INSTITUTO TECNOLÓGICO SUPERIOR SUDAMERICANO CARRERA DE DESARROLLO DE SOFTWARE ASIGNATURA DERECHO Y SEGURIDAD INFORMATICA TRABAJO ISO 27001 - MAGERIT INTEGRANTES: Javier Jadan Cesar Hidalgo Luis Guillermo John Gomez JULIO - 2020 ISO 27001 – MARGERIT Introducción Basándonos en la norma ISO 27001 y Margerit se lleva cabo una investigación sobre un caso de estudio y un escenario ya antes planteado, sin embargo, es importante conocer bien los términos relevantes relacionados a esta investigación. Por un lado, tenemos a MARGETIR que es una metodología práctica para gestión de riesgos, normalmente cuando se habla de gestión de la información se puede llegar a pensar en la aplicación de la normativa ISO no obstante este tipo de metodologías es una alternativa para las empresas, es importante hacer mención que para estos procedimientos se debe de conocer y controlar los riesgos a la que está expuesta la empresa es importante recalcar que esta metodología ofrece también sistema sistemático para analizar los riesgos derivados del uso de las tecnologías de la información y comunicación. La norma ISO 27001 pretende asegurar la confidencialidad, integridad y disponibilidad de la información ya sea de sus equipos tecnológicos, sistemas o aplicaciones, cumple también con procesos de planificación, implantación, verificación y control de un Sistema de Gestión de Seguridad de la Información, a partir de la realización de un análisis de riesgos y de la estructuración e implementación de los mismos para su mitigación. La aplicación de estos conceptos durante el análisis y recolección de información a la empresa evaluada se la ha llevado por secciones las cuales buscan ser de manera precisa al momento de obtener muestras y que los mismo deriven en respuestas concretas y contundentes, nuestra investigación esta direccionada a una empresa de la ciudad de Gualaceo llamada “Graficompu” el cual se dedica al mantenimiento y soporte técnico de equipos electrónicos, sin embargo también se dedica al desarrollo de aplicaciones web en especial para el ámbito de facturación y comercialización de este modo su estudio nos permitirá conocer sus posibles vulnerabilidades y amenazas con desarrollaremos planes de mitigación ante posibles ataques y como al llegarse la estructura gestionada puede evitar estos actividades maliciosas. Objetivos - Conocer acerca de los términos relacionados al análisis de la seguridad informática - Estudiar los casos de uso y escenarios previo a su análisis y recolección de información. - Seguir los procedimientos de acuerdos a las normativas y metodologías establecidas. - Tabular y deducir los resultados obtenidos. Desarrollo Autodiagnóstico ISO 27001 Política de seguridad Organización de la seguridad Clasificación y entorno de activos Seguridad personal Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Adm. De incidentes Gestión de la continuidad del negocio Conformidad Resultado autodiagnostico general Identificación de activos En la siguiente tabla se identificará los activos que posee la empresa Graficompu Un activo es aquello que tiene algún valor para la organización y por tanto debe protegerse Activos Software Hardware Personas Datos Sistemas operativos: Windows 10, macOS. Antivirus. Impresora. Cámaras de seguridad. Teléfonos. Laptops Computadora de escritorio Router Switch Disco duro Servidores Clientes Secretaria Personal Técnico Contadora Base de datos Valoración de activos Valor Activos Nivel 5 Sistemas operativos Critico 2 Antivirus Alto 2 Impresora Moderado 4 Cámaras de seguridad Muy Alto 2 Teléfonos Moderado 4 Laptops Muy Alto 4 Computador a de escritorio Muy Alto 2 Router Muy Alto 2 Switch Moderado 2 Disco duro Critico 5 Servidores Critico 5 Clientes 4 Dependencia Funcionalidad Pilares de la información Todos los activos dependen de el Tecnologías de última generación Varios activos dependen de él. Pocos activos dependen de él. Número considerado de activos dependen de él. Pocos activos dependen de él. Número considerado de activos dependen de él. Número considerado de activos dependen de él. Número considerado de activos dependen de él... Pocos activos dependen de él. Tecnologías avanzadas Tecnologías limitadas. Tecnologías muy avanzadas Integridad y no interrupción afectan totalmente a los servicios Integridad y no interrupción afectan significativamente. Integridad y no interrupción afectan parte de los servicios Divulgación, modificación y no interrupción afectan gravemente los servicios Tecnologías limitadas. Tecnologías muy avanzadas Integridad y no interrupción afectan parte de los servicios Divulgación, modificación y no interrupción afectan gravemente los servicios Tecnologías muy avanzadas Divulgación, modificación y no interrupción afectan gravemente los servicios Tecnologías muy avanzadas Divulgación, modificación y no interrupción afectan gravemente los servicios Todos los activos dependen de el Tecnologías limitadas. Tecnologías de última generación Tecnologías de última generación Critico Todos los activos dependen de el Tecnologías de última generación Secretaria Muy Alto Tecnologías muy avanzadas 4 Personal técnico Muy Alto 4 Contadora Muy Alto Número considerado de activos dependen de él.. Número considerado de activos dependen de él. Gran cantidad de activos depende de él. Integridad y no interrupción afectan parte de los servicios Integridad y no interrupción afectan parte de los servicios Integridad y no interrupción afectan totalmente a los servicios Integridad y no interrupción afectan totalmente a los servicios Divulgación, modificación y no interrupción afectan gravemente los servicios 5 Base de datos Todos los activos dependen de el Tecnologías de última generación Critico Todos los activos dependen de el Tecnologías muy avanzadas Divulgación, modificación y no interrupción afectan gravemente los servicios Tecnologías avanzadas. Integridad y no interrupción afectan significativamente a los servicios Integridad y no interrupción afectan totalmente a los servicios Valoración del impacto Datos Valoración activo Personas Escala valor Software Disponibilidad Hardware Integridad Tipo de activo confidencialidad Valoración del impacto Impresora (destinado a R.H) 2 2 2 2 Moderado Indirecto Cámara de seguridad (vigilancia) 5 5 4 4 Muy alto Directo Teléfono(destinado a R.H) 4 4 4 4 Moderado Indirecto Laptops(uso de personal laboral) 5 5 5 5 Muy alto Indirecto Computadora de escritorio(uso por parte de secretariado u oficina) 5 5 5 5 Muy alto Indirecto Router(extensor de señal) 5 5 5 5 Muy alto Indirecto Switch(ampliación de red) 4 4 4 5 Moderado Indirecto Disco duro(almacenamiento y procesamiento) 5 5 5 5 Critico Indirecto Servidores(alojamiento de app) 5 5 5 5 Critico Directo S.O (Windows, MacOS) 5 5 5 5 Critico Indirecto Antivirus 4 4 4 4 Alto Indirecto Clientes (prestación de servicio) 5 5 5 5 Critico Directo Secretaria (recepción de requerimientos y atención al cliente) 4 4 4 4 Muy alto Indirecto Personal técnico(Soporte tecnico) 5 5 5 5 Muy alto Directo Contadora(parte contable de la empresa) 5 4 5 5 Muy alto Indirecto Base de datos(almacenamiento) 5 5 5 5 Critico Directo Descripción del Activo Identificación de amenazas Las amenazas pueden estar clasificadas en naturales, físicas, ambientales, organizacionales, accidentales y técnicas. Clasificación Descripción A Accidentales: clasifica las acciones humanas que pueden dañar los activos de información. B Deliberadas: Clasifica todas las acciones deliberadas. E Ambientales: clasifica todos los incidentes que se basa en acciones. Identificación de vulnerabilidades Conclusiones Bibliografía
