Caso Practico Gestion Seguridad

5/12/2018 Caso Practico Gestion Seguridad - slidepdf.com

http://slidepdf.com/reader/full/caso-practico-gestion-seguridad-55a4d10053a49 1/7

GESTION DE TECNOLOGIA DE INFORMACION

CASO:

Gestión de Seguridad en Tecnologías de Informaciónde la Empresa ABZ

M. Sc:

YUCRA SOTOMAYOR DANIEL ALEJANDRO

INTEGRANTES:

AMERY DEL ALCAZAR JESSICA

LOJA YOPLAC JONATHAN

SEMESTRE2011 - I

Caso: Gestión de Seguridad en Tecnologías de Información dela Empresa ABZ



En una empresa ABZ, pertenece al rubro de Venta de Libros al por mayor yacaba de modernizar la infraestructura de Tecnologías de Información,implementado un nuevo sistema de Ventas vía Web, además de adquirir 25nuevas computadoras clientes y un Servidor para la gestión y autenticaciónde usuarios para el área de Logística, también se han implementado 5teléfonos IP.

La empresa ABZ es consiente sobre posibles riesgos en el tema deseguridad informática, además para garantizar la operatividad yfuncionamiento de la Infraestructura de Información instalada se ha creadoa un “COMITÉ DE SEGURIDAD DE TI” para preveer una adecuada yeficiente Gestión de las Tecnologías de Información de la Empresa ABZ.

Además se conoce que la empresa anteriormente se ha presentado riesgosde: Virus y Fraudes Informáticos

Usted como integrante del Comité Seguridad de TI, se solicita la siguiente

información:

Desarrollo:

1. ¿Cual deberían ser sus actividades principales?• Conocer el core del negocio.



• Siendo una empresa con un sistema Web, la actividad delnegocio es la Venta por Internet. Dentro de las actividadesprincipales están la de revisar los routers, switch y que cuentencon una infraestructura adecuada para el servicio por Internet;asi mismo se debe controlar el acceso solo al personal

autorizado.• Otra de las actividades principales es la evaluación si se cuenta

con equipos adecuados en el centro de Cómputo.

2. ¿Qué estrategias de seguridad recomendaría en el PETI de la EmpresaABZ?Dentro de las estrategias de seguridad se plantean los siguientesobjetivos:

Objetivo: Manejar la seguridad de la información dentro de la organización.Se debiera establecer un marco referencial gerencial para iniciar y controlar

la implementación de la seguridad de la información dentro de laorganización. La gerencia debiera aprobar la política de seguridad de lainformación, asignar los roles de seguridad y coordinar y revisar laimplementación de la seguridad en toda la organización.

• Compromiso de la gerencia con la seguridad de la información

• Coordinación de la seguridad de la información• Asignación de las responsabilidades de la seguridad de la información

• Autorización de proceso para facilidades procesadoras deinformación.

• Acuerdos de confidencialidad• Contacto con las autoridades

Objetivo: Mantener la seguridad de la información y los medios deprocesamiento de información de la organización que son ingresados,procesados, comunicados a, o manejados por, grupos externos.La seguridad de la información y los medios de procesamiento de lainformación de la organización no debieran ser reducidos por la introducciónde productos y servicios de grupos externos.

• Tratamiento de la seguridad cuando se lidia con clientes.

• Tratamiento de la seguridad en acuerdos con terceros.

• Identificación de los riesgos relacionados con los grupos externos.

3. Mencione cuales podrían ser sus amenazas (Físicas, Naturales,Hardware, software, Ambiente, Comunicaciones y Humanas)

• Verificar que se cuente con una política de seguridad interna.

• Inspeccionar el Area de TI si cumple con la seguridad fisica y deamenazas, es decir comprobar si cuentan con controles deentrada adecuada que aseguren el permiso de acceso solo alpersonal autorizado.

• Evaluar si existen políticas de Back Up y evaluar el nivel deprotección de la BD ante cualquier amenaza de hackers.

• Solicitar información de los sistemas que sus procesos

involucran acceso conexión a la base de datos.



4. A partir de las amenazas planteadas, mencione sus respectivasvulnerabilidades.

• Al no contar con políticas de seguridad la empresa está siendoexpuesta a riesgos y amenazas constantemente tanto por

parte interna como externa.

• Al no proveer esto la empresa está siendo expuesta a perdidasde activos asi como también corremos el riesgo de que sedañen los equipos y que se haga un mal uso de la información.

• Al no evaluar las políticas de Back Up nos damos cuenta que nose utiliza ninguna implementación de ninguna normativa endicha organización.

• Evaluar la frecuencia con la que lo sistemas interactúan con la

base de datos y a qué grado se encuentra.

5. Identifique los posibles riesgos y califique su impacto y probabilidad• Toda Empresa debe contar con políticas de seguridad ya que

ahí se establecen cuales son las normas a cumplir por todos lostrabajadores.Probabilidad: Media

• Dentro de la primera amenaza se corre el riesgo de quepersonal no autorizado tenga acceso al centro de cómputo.

Probabilidad: Alta

• Verificar las políticas de back up, ya que la Base de Datos correel riesgo de que algún hacker pueda tener acceso.Probabilidad: Alta

• Se debe evaluar el tiempo de respuesta en ambas plataformascon el fin de obtener un indicativo de mejoras con la puesta enpráctica.Probabilidad: Media

6. Detalle una política específica sobre la administración del portal deventas de la empresa ABZ.

Política de “Autentificación de clientes en el portal”Definición:“Para poder realizar transacciones comercialesen la página web, el cliente primero debe de registrasebrindando la información solicitada por el portal.”Prohibiciones: “En caso que el cliente olvide su usuario ycontraseña, el portal web no brindara esta información amenos que el cliente envié el formato de solicitudrespectiva que puede descargar del portal con su firma

escaneada.”



Declaración de intención de monitorear su uso: “Laempresa monitoreara el uso que el cliente realice en lapágina web para validar características de compra”.

7. Desarrolle el procedimiento para la política específica del punto 6.Procedimiento de Alta de UsuarioCuando el cliente ingrese al portal de ventas, el sistema le solicitaraun usuario y contraseña. Si el usuario ingresa a la cuenta por 1ra vezse debe de crear una cuenta.El portal de ventas le solicitara la siguiente información para crear lacuenta: Tipo de Documento de identidad, nro. de documento, nombrecompleto, dirección de correo electrónico, dirección actual, país deresidencia, teléfono de contacto. Una vez que el cliente registra lainformación, lo envía al administrador del portal.El administrador del portal, valida que la información este registrada

correctamente y de ser así creara la cuenta de usuario a través deSistema Administración de Privilegios de Ventas y asignara un perfilde usuario.El administrador del portal enviara al correo electrónico del cliente, elusuario y contraseña adicionando las condiciones del uso del portalde ventas.

8. Defina un estándar para la conexión a internet y respaldo de copia de ladata del sistema de ventas.

Control de acceso a la red

Prevenir el acceso no autorizado de los servicios de la red.Debería controlarse el acceso a los servicios a las redes internas yexternas.Hay que asegurarse que el acceso de los usuarios a las redes y susservicios no comprometan la seguridad de dichos servicios, por mediode: NORMA TECNICA NTP-ISO/IEC 17799 PERUANA 109 de 173a) interfaces adecuadas entre la red de la organización y las redespúblicas o las privadas de otras organizaciones;b) mecanismos adecuados de autenticación para los usuarios y losequipos;c) control de los accesos de los usuarios a los servicios de información

9. Defina políticas de seguridad para los riesgos de Virus y FraudesElectrónicos, además identifique su alcance, responsabilidades yposibles Áreas de Aplicación.

1. Protección contra software maliciosoOBJETIVO: Proteger la integridad del software y de la información.Se requieren ciertas precauciones para prevenir y detectar laintroducción de software malicioso.El software y los recursos de tratamiento de información sonvulnerables a la introducción de software malicioso como virusinformáticos, “gusanos de la red”, “caballos de troya” y “bombas

lógicas”. Los usuarios deberían conocer los peligros que puedeocasionar el software malicioso o no autorizado y los administradores



deberían introducir controles y medidas especiales para detectar oevitar su introducción.

Medidas y controles contra software maliciosoControlSe deberían implantar controles para detectar el software malicioso yprevenirse contra él, junto a procedimientos adecuados paraconcientizar a los usuarios.

Guía de ImplementaciónNORMA TECNICA NTP-ISO/IEC 17799La protección contra el software malicioso debería basarse en laconciencia de la seguridad, en sistemas adecuados de acceso y encontroles de gestión de los cambios.Los controles siguientes deberían ser considerados:a) Una política formal que requiera el cumplimiento de las licenciasde software y la prohibición del uso de software no autorizado.

b) Una política formal de protección contra los riesgos asociados a laobtención de archivos y software por redes externas o cualquier otromedio, indicando las medidas protectoras a adoptar.c) La realización de revisiones regulares del software y de los datoscontenidos en los sistemas que soportan procesos críticos de laorganización. Se debería investigar formalmente la presencia de todoarchivo no aprobado o toda modificación no autorizada.d) La instalación y actualización frecuente de software de detección yreparación de virus, que exploren los computadores y los medios deforma rutinaria o como un control preventivo.Las revisiones llevadas a cabo deben incluir:

• Verificación de archivos electrónicos de origen incierto o noautorizado, o recibidos a través redes no fiables, para comprobar laexistencia de virus antes de usarlos.

• Verificación de todo archivo adjunto a un correo electrónico o detoda descarga para buscar software malicioso antes de usarlo. Estacomprobación se hará en distintos lugares, por ejemplo, en losservidores de correo, en los computadores personales o a la entradaen la red de la organización.

• La verificación de códigos maliciosos en las paginas Web.e) los procedimientos y responsabilidades de administración para lautilización de la protección de antivirus, la formación para su uso, lainformación de los ataques de los virus y la recuperación de éstos.

f) Los planes de continuidad del negocio apropiados para recuperarsede losAtaques de virus, incluyendo todos los datos y software necesarios derespaldo y las disposiciones para la recuperación.g) La implementación de procedimientos para recolectar informaciónregularmente, como suscribirse a listas de correo y/o verificar paginasWeb queContengan información sobre nuevos virus.h) los procedimientos para verificar toda la información relativa alsoftware malicioso y asegurarse que los boletines de alerta sonprecisos e informativos. Los administradores se deberían asegurar

que se diferencian los virus reales de los falsos avisos de virus,usando fuentes calificadas, por ejemplo, revistas reputadas, sitios deInternet fiables o los proveedores de software antivirus. Se debería



advertir al personal sobre el problema de los falsos avisos de virus yqué hacer en caso de recibirlos.

2. Servicios de comercio electrónicoOBEJTIVO: Asegurar la seguridad de los servicios de comercioelectrónico y su uso seguro. Se debieran considerar las implicanciasde seguridad asociadas con el uso de servicios de comercioelectrónico, incluyendo las transacciones en-línea, y losrequerimientos de controles. También se debieran considerar laintegridad y la disponibilidad de la información publicadaelectrónicamente a través de los sistemas públicamente disponibles.

Comercio electrónico

CONTROLLa información involucrada en el comercio electrónico que pasa através de redes públicas debiera protegerse de la actividadfraudulenta, disputas de contratos, divulgación no autorizada y

modificación.

Guía de Implementación:Las consideraciones de seguridad para el comercio electrónicodebieran incluir lo siguiente:a) El nivel de confianza que cada parte requiere de la identidad de laotra; por ejemplo, a través de la autenticación.b) Los procesos de autorización asociados con aquellos que puedenestablecer precios, emitir o firmar documentos de comercialización;c) Asegurar que los socios comerciales estén totalmente informadosde sus autorizaciones;d) Determinar y cumplir con los requerimientos para laconfidencialidad, integridad, prueba de despacho y recepción dedocumentos claves, y el no-repudio de los contratos; por ejemplo,asociado con procesos de licitación y contratos.e) El nivel de confianza requerido para la integridad de las listas deprecios publicitadas.f) La confidencialidad de cualquier data o información confidencial.g) La confidencialidad e integridad de cualquier transacción,información de pago, detalles de la dirección de entrega y laconfirmación de la recepción.h) El grado de verificación apropiado para chequear la información depago suministrada por un cliente.

i) Seleccionar la forma de liquidación más apropiada del pago paraevitar el fraude; j) El nivel de protección requerido para mantener la confidencialidad eintegridad de la información de la orden.k) Evitar la pérdida o duplicación de la información de la transacción.l) La responsabilidad asociada con cualquier transacción fraudulenta.m) Requerimientos de seguro.

Caso Practico Gestion Seguridad

Documents

Transcript of Caso Practico Gestion Seguridad