Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria
Subido por Scarleth Montalvan

recomendacion es de seguridad informatica para activos criticos ti

Anuncio 
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
FACULTAD INGENIERIA
PROGRAMA DE INGENIERIA DE SISTEMAS
ESPECIALIZACIÓN EN AUDITORIA DE SISTEMAS DE INFORMACION
BOGOTÁ D.C.
LICENCIA CREATIVE COMMONS: Atribucion – No comercial – Compartirlgual
2.5 (CC BY-NC-SA 2.5)
AÑO DE ELABORACIÓN: 2015
TÍTULO: DISEÑO DE RECOMENDACIONES DE SEGURIDAD INFORMÁTICA
SOBRE LOS ACTIVOS DE INFORMACIÓN CRÍTICOS DE LA EMPRESA GRAN
TIERRA ENERGY COLOMBIA- SECCIONAL BOGOTÁ.
AUTOR (ES):
Forero Cruz, William y Quiroz Pedraza, Jhon Henry
DIRECTOR(ES)/ASESOR(ES):
Díaz Benito, Cesar Orlando
MODALIDAD:
Tesis – Practica empresarial.
PÁGINAS: 597 TABLAS: 106 CUADROS:
.
CONTENIDO:
RESUMEN
INTRODUCCIÓN
OBJETIVOS
JUSTIFICACIÓN
MARCOS DE REFERENCIA
ALCANCES Y LIMITACIONES
DISEÑO METODOLÓGICO
1
FIGURAS: 107 ANEXOS: 13
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
PRESUPUESTO Y FUENTES DE FINANCIACIÓN
DESARROLLO METODOLÓGICO
PLANIFICACIÓN
ANÁLISIS DE RIESGOS
GESTIÓN DE RIESGOS
CONCLUSIONES
REFERENCIAS
DESCRIPCIÓN: El trabajo consistió en la realización de recomendaciones de
seguridad sobre activos y sistemas de información críticos con los que cuenta
Gran Tierra Energy, y con la utilización de la metodología “MAGERIT”, el uso de la
herramienta “PILAR”, el uso de planeación estratégica y el enfoque de las tres
barreas o anillos de seguridad.
METODOLOGÍA: Para el diseño de las recomendaciones de seguridad sobre el
conjunto de activos de información críticos (Servicios, hardware, software,
soportes de información, redes de comunicaciones, instalaciones, personas) con
los que cuenta Gran Tierra Energy seccional Bogotá1; se utilizó la metodología de
Análisis y Gestión de Riesgos MAGERIT con el apoyo de la herramienta PILAR2,
herramientas de planeación estratégica y el enfoque de las tres barreras o anillos
de seguridad en el diseño de las respectivas recomendaciones de seguridad.
La metodología Magerit se desarrolló en tres grandes procesos (planificación,
análisis y gestión). Para el proceso de planeación se realizó un análisis y
diagnóstico de la organización sobre los activos y sistemas de información más
críticos y esenciales para el modelo de negocio siguiendo las actividades que
indica la metodología y con el apoyo de herramientas de planeación estratégica,
como lo es el análisis interno (Matriz PCI), externo (POAM), matrices por proceso
(en cada proceso se identificaron los diferentes activos de información por cada
dominio de seguridad, con sus respectivos responsables y funciones). Todo lo
anterior permitió no solo identificar activos esenciales para el posterior análisis de
riesgos y recomendaciones de seguridad, si no para tener un diagnostico general
y vulnerabilidades de seguridad en Gran Tierra Energy.
1 Gran Tierra Energy es una de las más exitosas compañías de petróleo y gas independientes que han entrado en Colombia en los
últimos años nuestro país. La sede en Colombia objeto del proyecto es la sede ubicada en Bogotá.
2
Procedimiento Informático-Lógico para el Análisis de Riesgos. Es una herramienta automática desarrollada bajo las
especificaciones del Centro Criptológico Nacional de Inteligencia que soporta el análisis y la gestión de riesgos de un sistema de
información siguiendo la metodología MAGERIT.
2
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
En el proceso de análisis y gestión se consolidaron y definieron los activos de
información a tratar, identificando el conjunto de amenazas a las que pueden estar
expuestos los diferentes activos en sus respectivos dominios3 y dimensiones de
seguridad4, categorizándolas por diferentes tipos de amenazas ([N] Desastres
naturales, [I] De origen industrial, [E] Errores y fallos no intencionados, [A] Ataques
intencionados), para posteriormente valorar la frecuencia de ocurrencia o
probabilidad con la que se puede presentar la amenaza y la posible degradación
causada dada la materialización de esta sobre cada activo de información.
Con la identificación y valoración de las amenazas a las que están expuestos los
diferentes activos de información en sus diferentes dominios y dimensiones de
seguridad se identificaron los impactos y riesgos potenciales y acumulados
existentes, para posteriormente identificar y evaluar el nivel de madurez de las
salvaguardas o contra medidas que permiten hacer frente a las amenazas y de
esta forma identificar y evaluar los impactos y riesgos residuales y diseñar los
respectivos controles y/o salvaguardas siguiendo los criterios de la metodología
MAGERIT, lo cual permitirá prevenir, mitigar y corregir los riesgos identificados;
además de contribuir al mejoramiento continuo de la organización en materia de
seguridad informática.
Complementando el análisis y gestión de riesgos realizado mediante la
metodología, se diseñarán anillos de seguridad sobre los riesgos críticos, lo cual
consiste en implementar un conjunto de controles que actúan sobre las amenazas
de los riesgos identificados de tres maneras interdependientes pero que tienen
sinergia a través de controles preventivos, detectivos y correctivos; de manera que
para cada riesgo critico se formularán tres (3) anillos de seguridad con el fin de
contribuir en la organización a disminuir los riesgos potenciales y residuales sobre
los activos de información.
PALABRAS CLAVES: RECOMENDACIONES DE SEGURIDAD, ACTIVOS D
EINFORMACION, RIESGOS, MAGERIT, BARRERAS DE SEGURIDAD, ANILLOS
DE
SEGURIDAD,
CONTROLES
,SALVAGUARDAS,
PLANEACION
ESTRATEGICA.
3
Dominios de seguridad (datos/información, soportes de información, servicios, software, hardware,
comunicaciones, elementos auxiliares, instalaciones y personas)
4
Dimensiones de seguridad (Disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad)
3
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
CONCLUSIONES:
El trabajo realizado, referente al diseño de recomendaciones de seguridad sobre
activos y sistemas de información críticos con los que cuenta Gran Tierra Energy,
y con la utilización de la metodología “MAGERIT”, el uso de la herramienta
“PILAR”, el uso de planeación estratégica y el enfoque de las tres barreas o anillos
de seguridad se obtuvo un diagnóstico, identificación y análisis de riesgos
confiable y holístico, así:
 Como resultado de identificar los diferentes activos de información con los que
cuenta cada proceso de TI en sus diferentes dominio se seguridad en Gran
Tierra Energy y determinando sus funciones y sus respectivos responsables
mediante herramientas de planeación estratégica se observó lo siguiente:
 Por restructuraciones realizadas ha desaparecido el departamento de
Planeación estrategia, los roles y responsabilidades ha recaído en las
gerencias de cada Área, sin que el proceso se halla formalizado.
 El proceso donde se definen los objetivos por áreas para el 2015 no se ha
concluido.
 Existe una alta rotación del personal de TI en casa Matriz. Generando
cambios contantes en las estrategias de las demás regiones incluyendo
Colombia.
 Existe una alta dependencia de la operación del centro de Cómputo del
Edificio AR, para la prestación de servicios de usuarios e Bogotá y las
demás sedes en Colombia.
 Se está llegando al límite en VRAM de la infraestructura Virtual de
Colombia.
 Los procesos de donación de equipos en las regiones, pueden ser mal
utilizados por los funcionarios a los que son entregados para donación.
 Excelente manejo de las políticas HSE, logrando más de 3 años sin
incidentes, incapacitantes o enfermedades profesionales en los
integrantes del equipo de TI.
 Por una inundación que se presentó en el Centro de Computo del edificio
AR, se implementó un sistema de detección de Agua, el departamento de
HSE agregó al sistema de aspersión, válvulas que permite cortar el
suministro de agua en caso de volverse a presentar este tipo de eventos.
Pero la forma de utilizarse no ha sido comunicada en la organización.
4
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
 Algunos procesos de contratación no tienen en cuenta los requerimientos
de los usuarios, adquiriendo productos o servicios que no están acorde a
las necesidades.
 Se observa un alto compromiso de la Gerencia de TI para alinear sus
procesos a las mejores prácticas y normatividad en materia de seguridad y
gobierno de TI.
 Al realizar el análisis interno mediante el uso del Perfil de capacidad
institucional (PCI), la cual permite evaluar las fortalezas y debilidades en Gran
Tierra Energy en relación al medio interno e involucrando todos los procesos
de TI de la organización se observó lo siguiente:
 Debilidades en su estructura organizacional al ser muy flexible.
 Habilidad para atraer y retener gente creativa en materia de seguridad
informática y el uso de tics.
 Ejecución de planes estratégicos de sistemas de información (PESI).
 Medición de los procesos de TI y realización de planes de mejoramiento en
el área de TI.
 Auditorías externas en materia de seguridad informática
 Existencia de planes de continuidad y recuperación de desastres.
 Al realizar el análisis externo mediante el uso perfil de oportunidades y
amenazas (POAM), la cual permite evaluar las oportunidades y amenazas en
Gran Tierra Energy en relación con las oportunidades y amenazas que le
presenta el entorno se observó lo siguiente:
 La existencia de políticas y programas de desarrollo relacionados con el
sector y en maría de TI y seguridad informática.
 Se observan reservas por parte de la organización en cuanto a recursos
humanos capacitados.
 Las políticas de gobierno de Colombia en relación al modelo de negocio
(petróleo y gas) son favorables para la organización.
 Se evidencian procedimientos, buenas prácticas y marcos de trabajo en
materia de seguridad informática y de riesgos en la organización (ITIL,
políticas de seguridad informática, entre otros)
 La organización se puede ver afectada por efectos culturales, políticos,
geográficos y económicos.
5
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
 La organización se puede ver afectada por efectos
internacionales y el precio de la bolsa, el petróleo y el dólar.
conflictos
 Se logró identificar las debilidades y amenazas existentes (internas y
externas), de tal forma que se diseñaron controles y salvaguardas que
mitigaran y previeran la materialización y el impacto de estas. Los resultados
se observan a continuación:
 Con la encuesta realizada y diferenciada en nivel estratégico, táctico
operativo, se recopilo información relativa al estado actual y uso de los activos
y sistemas de información
en Gran Tierra Energy (Servicios,
datos/información, hardware, software, redes de comunicación, equipamiento
auxiliar e instalaciones) como la siguiente:
 De destacar la no existencias de matriz de riesgos de activos, o la no
divulgación de esta al interior del equipo. Tampoco es conocida por los
6
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
integrantes del equipo la implementación de una metodología de análisis de
riesgos
 La pregunta 9 de la encuesta general evidencia una infraestructura y
políticas de seguridad y de activos de la información que cumplen su
cometido. Según lo reportados por los encuestados solo en 4 ocasiones se
han presentados incidentes de perdida de CONFIDENCIALIDAD en los
activos de información
 El impacto sobre los activos de información antes y después de los controles
en la dimensión DISPONIBILIDAD, sin tener en cuenta las dependencias entre
activos son los siguientes:
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
Se puede observar que los activos puntuados con Impacto [M-], luego de la
identificacion y evaluacion de los controles pasaron de representar el 35% a
representar 6%, el porcentaje restante (29%) se redistribuyo en las escalas de
impacto inferiores.
 El impacto sobre los activos de información antes y después de los controles
en la dimensión INTEGRIDAD, sin tener en cuenta las dependencias entre
activos son los siguientes:
7
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
En esta dimensión el comportamiento del Impacto antes y después de la
identificacion y evaluacion de los controles sobre los activos de información,
analizados en forma independiente, es más marcada, los activos sin valor
apreciable pasan del 59% al 70%
 El impacto sobre los activos de información antes y después de los controles
en la dimensión CONFIDENCIALIDAD, sin tener en cuenta las dependencias
entre activos son los siguientes:
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
8
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
En la dimensión CONFIDENCIALIDAD los activos con puntuación de impacto de
[A-] antes de la identificacion y evaluacion de los controles representaban el 21%,
luego se redujeron aproximadamente a la mitad, pasando a ser un 12% del total,
adicional los activos sin valor apreciable, se duplicaron luego de la evaluacion de
los controles.
 El impacto sobre los activos de información antes y después de los controles
en la dimensión AUTENTICIDAD, sin tener en cuenta las dependencias entre
activos son los siguientes:
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
En la Dimensión de AUTENTICIDAD, los activos puntuados con impacto [M-]
pasaron de representar el 14% a representar solo el 6%, el 88% de los activos
luego de la identificacion y evaluacion de los controles, quedan ponderados con
impacto sin valor apreciable.
 El impacto sobre los activos de información antes y después de los controles
en la dimensión TRAZABILIDAD, sin tener en cuenta las dependencias entre
activos son los siguientes:
9
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
En la Dimensión de TRAZABILIDAD, los activos puntuados con impacto [B-]
disminuyeron considerablemente luego de la identificación y evaluación de los
controles.
 El impacto sobre los activos de información antes y después de los controles
en la dimensión DISPONIBILIDAD, teniendo en cuenta las dependencias entre
activos son los siguientes:
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
10
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
En la dimensión DISPONIBILIDAD el 41% de los Activos tienen una ponderación
de Impacto [A+], luego de la identificación y evaluación de los controles este valor
baja a 31%, si se observa detenidamente los activos ponderados con impacto alto
(72%), después de los controles, los activos ponderados con impacto Alto
equivalen al (53%)
 El impacto sobre los activos de información antes y después de los controles
en la dimensión INTEGRIDAD, teniendo en cuenta las dependencias entre
activos son los siguientes:
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
En la dimensión integridad la identificacion y evaluacion de los controles reduce
del 72% de activos de información con impacto considerable, al 37% es decir se
controla el 50% de la afectaciones a los activos de información
 El impacto sobre los activos de información antes y después de los controles
en la dimensión CONFIDENCIALIDAD, teniendo en cuenta las dependencias
entre activos son los siguientes:
11
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
En la dimensión de la CONFIDENCIALIDAD la identificación y evaluación de los
controles reduce el Impacto [A+] del 21% al 3%, lo que es una reducción muy
importante y nos permite ver la efectividad de los controles.
 El impacto sobre los activos de información antes y después de los controles
en la dimensión AUTENTICIDAD, teniendo en cuenta las dependencias entre
activos son los siguientes:
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
En lo que refiere a la AUTENTICIDAD, la identificacion y evaluacion de los
controles aumenta los activos sin valor apreciable de impacto del 65% al 79%, y
12
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
reduce los activos que tiene impacto [A+] del 14% al 3%, comprobando
nuevamente la efectividad de la metodología utilizada.
 El impacto sobre los activos de información antes y después de los controles
en la dimensión TRAZABILIDAD, teniendo en cuenta las dependencias entre
activos son los siguientes:
ANTES DE CONTROLES
DESPUÉS DE CONTROLES
En la dimensión de la trazabilidad la identificacion y evaluacion de los controles
sobre los activos con impacto [M+] reducen su porcentaje de 10% al 6%.
 Después de identificar las salvaguardas con las que cuenta Gran Tierra
Energy y evaluar el nivel de madurez de cada salvaguarda, se evaluó el riesgo
potencial y residual. los riesgos más críticos identificados sobre los activos de
información antes y después de los controles en la dimensión
DISPONIBILIDAD, sin tener en cuenta las dependencias entre activos, son los
siguientes:
13
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
Todos los riesgos más representativos que en la dimensión de DISPONIBILIDAD
se redujeron luego de la implementación de los controles
 Los riesgos más críticos identificados sobre los activos de información antes y
después de los controles en la dimensión INTEGRIDAD, sin tener en cuenta
las dependencias entre activos, son los siguientes:
14
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
 Los riesgos más críticos identificados sobre los activos de información antes y
después de los controles en la dimensión CONFIDENCIALIDAD, sin tener en
cuenta las dependencias entre activos, son los siguientes:
 Los riesgos más críticos identificados sobre los activos de información antes y
después de los controles en la dimensión AUTENTICIDAD, sin tener en
cuenta las dependencias entre activos, son los siguientes:
15
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
 Los riesgos más críticos identificados sobre los activos de información antes y
después de los controles en la dimensión TRAZABILIDAD, sin tener en cuenta
las dependencias entre activos, son los siguientes:
16
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
 Después de identificar las salvaguardas con las que cuenta Gran Tierra
Energy y evaluar el nivel de madurez de cada salvaguarda, se evaluó el riesgo
potencial y residual. los riesgos más críticos identificados sobre los activos de
información antes y después de los controles en la dimensión
DISPONIBILIDAD, teniendo en cuenta las dependencias entre activos, son los
siguientes:
 Los riesgos más críticos identificados sobre los activos de información antes y
después de los controles en la dimensión INTEGRIDAD, teniendo en cuenta
las dependencias entre activos, son los siguientes:
17
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
 Los riesgos más críticos identificados sobre los activos de información antes y
después de los controles en la dimensión CONFIDENCIALIDAD, teniendo en
cuenta las dependencias entre activos, son los siguientes:
18
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
 Los riesgos más críticos identificados sobre los activos de información antes y
después de los controles en la dimensión AUTENTICIDAD, teniendo en
cuenta las dependencias entre activos, son los siguientes:
 Los riesgos más críticos identificados sobre los activos de información antes y
después de los controles en la dimensión TRAZABILIDAD, teniendo en cuenta
las dependencias entre activos, son los siguientes:
19
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
 Uno de los dominios de seguridad más importantes a tener en cuenta para
garantizar las dimensiones de seguridad “disponibilidad, confidencialidad,
integridad, autenticidad y trazabilidad” son las personas, pues el análisis
realizado y estudios de soporte muestran que estos son quienes emplean y
utilizan los activos y sistemas de información y que pueden, consciente o
inconscientemente, propiciar un incidente de seguridad o potenciar un
riesgo.
 Con el desarrollo del presente trabajo Gran Tierra Energy identificó
falencias, de tal forma que se diseñaron recomendaciones de seguridad
que permitieran prevenir, mitigar, transferir y/o asumir los riesgos, además
de preparar a la organización para posteriores evaluaciones y auditorías en
materia de seguridad informática. Los controles se propusieron y diseñaron
de tres formas:
1. Proponiendo el aumento del nivel de madurez en varios de los controles
identificados y evaluados, como se muestra a continuación:
20
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
2. Proponiendo salvaguardas en los diferentes dominios de seguridad y
definiendo el tipo de protección en cada una de las dimensiones de
seguridad, como las siguientes:
Protección a los equipos informáticos (HW)
Dimensión de seguridad
Tipo de
protección
{D}
[M] mixta
[EL] eliminación
x
[M] mixta
[EL] eliminación
x
x
x
[RF] reducción de la
frecuencia
(prevención)
[RF] reducción de la
frecuencia
(prevención)
[AD]
administrativa
x
x
x
[PR] prevención,
[MN]
monitorización
x
Mantenimiento periódico según
especificaciones de los
fabricantes
Mantenimiento sólo por personal
debidamente autorizado
Monitorización de fallos e
incidencias
[M] mixta
[EL] eliminación
x
x
[M] mixta
[EL] eliminación
x
x
[D] detección
x
x
Registro de fallos, reales o
sospechados y de mantenimiento
preventivo y correctivo
[RI] reducción del
impacto
x
x
Copias de seguridad de la
configuración
Procedimiento para la adquisición
de hardware conjuntamente con
la necesidad de repuestos,
garantías sobre el producto y
cláusulas de penalización.
Retirada de componentes
innecesarios
[R] recuperación
[DT] detección,
[MN]
monitorización
[IM]
minimización del
impacto, [MN]
monitorización
[RC]
recuperación
[EL] eliminación
Salvaguarda y/o control
Normativa sobre el uso correcto
de los equipos
Procedimientos de uso del
equipamiento
Inventario de equipos (Propios,
ajenos y responsables)
Revisión periódica del inventario
Asignación de roles y
responsabilidades a los
funcionarios que dispongan del
HW
Procedimiento para alta, baja del
HW y modificación de privilegios
Política de adquisición de HW
Estrategia
[M] mixta
{I}
{C}
{A}
{T}
x
x
x
x
x
x
x
[RF] reducción de la
frecuencia
(prevención)
[RI] reducción del
impacto
[EL] eliminación,
[PR] prevención
[IM]
minimización del
impacto
x
x
x
[RI] reducción del
impacto
[IM]
minimización del
impacto
[IM]
x
x
x
[RI] reducción del
21
x
x
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
Salvaguarda y/o control
Estrategia
impacto
Evitar acceso visual a pantallas y
monitores por personas no
autorizadas
Creación y actualización de los
planes de continuidad del HW
Proceso de autorización de
recursos para el tratamiento de la
información
Los nuevos medios deben tener
la aprobación adecuada,
autorizando su propósito y uso
Comprobación de que el nuevo
HW adquirido sea compatible con
los demás dispositivos del
sistema
Autorización previa para el uso de
medios informáticos personales
para el tratamiento de la
información de la organización.
Normativa sobre el manejo de
información compartida, e
implantación de medidas
Normas de manejo de
información sensible en función
de la seguridad que proporcionan
los medios
Relación e identificación del
personal autorizado a acceder al
sistema (contratistas, socios, etc.)
Asignación de permisos y
recursos en función de roles de
usuarios
Seguridad de los equipos fuera
de las instalaciones
Normativa de uso de equipos
fuera de las instalaciones
Póliza de seguro para los equipos
fuera de su lugar de trabajo
Protección de los dispositivos de
red
Seguimiento permanente de
actualizaciones (HW)
Realización de cambios y
mantenimiento del HW por
personal debidamente autorizado
Tipo de
protección
Dimensión de seguridad
{D}
[M] mixta
minimización del
impacto
[EL] eliminación
[M] mixta
[EL] eliminación
x
[M] mixta
[EL] eliminación
x
[M] mixta
[EL] eliminación
x
[M] mixta
[EL] eliminación
x
[M] mixta
[EL] eliminación
[M] mixta
{I}
{C}
{A}
{T}
x
x
x
x
x
x
x
[EL] eliminación
x
x
x
[M] mixta
[EL] eliminación
x
x
x
[M] mixta
[EL] eliminación
x
x
x
x
[M] mixta
[EL] eliminación
x
x
x
x
[M] mixta
[EL] eliminación
x
x
x
x
[M] mixta
[EL] eliminación
x
x
[M] mixta
[EL] eliminación
x
[M] mixta
[EL] eliminación
x
[M] mixta
[EL] eliminación
x
[M] mixta
[EL] eliminación
x
22
x
x
x
x
x
x
x
x
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
Salvaguarda y/o control
Estrategia
Registro de todo cambio en el
HW
[M] mixta
Control de versiones de todo
cambio de hw
Normatividad para dar de baja del
HW
Registro y revisión de la actividad
de los dispositivos de
reproducción (número de copias,
usuarios que las han realizado,
etc.)
Prohibición de establecimiento de
conversaciones confidenciales en
lugares públicos o sin adecuadas
medidas de protección
Prohibición de dejar mensajes
confidenciales en contestadores
automáticos
Formación y concienciación en el
uso seguro de los sistemas y
recursos
Tipo de
protección
Dimensión de seguridad
{D}
{I}
{C}
{A}
{T}
x
x
[M] mixta
[EL] eliminación,
[MN]
monitorización
[EL] eliminación
x
x
[M] mixta
[EL] eliminación
x
[M] mixta
[EL] eliminación,
[MN]
monitorización
x
[M] mixta
[EL] eliminación
x
x
x
[M] mixta
[EL] eliminación
x
x
x
[M] mixta
[AW]
concienciación
x
x
x
x
x
x
x
3. Diseñando recomendaciones de seguridad mediante el enfoque de las
tres barreras o anillos de seguridad, como las siguientes:
Activo de información
afectado
Discos virtuales
Recomendación de anillos de seguridad No 1
Dominio de seguridad
Dimensión de seguridad
afectado
afectada
Soportes de información
Disponibilidad
23
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
Recomendaciones:
 Las anteriores recomendaciones coadyuvó en gran medida en la
prevención, mitigación, control y gestión de riesgos a que están expuestos
los sistemas de información y su conjunto de activos, evitando así, posibles
responsabilidades laborales, civiles, fiscales y penales sobre el personal de
Gran Tierra Energy, además de que se vea afectada por pérdidas
económicas y de imagen. Asimismo buscan reducir en términos de
probabilidad o impacto los riesgos identificados.
 El análisis y gestión de riesgos no debe ser entendido como una actividad
aislada sino como parte de las actividades y procesos primordiales en la
organización.
 La responsabilidad de establecer los controles no corresponde a los
desarrolladores del proyecto, sino a la dirección de la empresa en sus
niveles estratégico, como los son la alta dirección de la organización y los
niveles tácticos que son dueñas de los procesos y activos de información y
porque interpretan e implementa las políticas establecidas por la dirección.
 Como resultado de las recomendaciones de seguridad se espera que los
niveles de riesgo sean los siguientes:
En la dimensión disponibilidad:
24
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
En la dimensión integridad:
25
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
En la dimensión Confidencialidad:
En la dimensión Autenticidad:
26
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
En la dimensión Trazabilidad:
 El trabajo realizado, referente al análisis y gestión de riesgos sobre activos
y sistemas de información, mostraron que es un campo que no ha recibido
la relevancia suficiente en las organizaciones tanto públicas como privadas.
 El análisis y gestión de riesgos no debe ser entendido como una actividad
aislada sino como parte de las actividades y procesos primordiales en la
organización.
FUENTES:
[1].
MAGERIT. (2012)– versión 3 Metodología de Análisis y Gestión de Riesgos de los
Sistemas
de
Información
Libro
I
-
Método,
MINISTERIO
DE
ADMINISTRACIONES PÚBLICAS Madrid.
[2].
MAGERIT. (2012)– versión 3 Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información Libro II - Catalogo, MINISTERIO DE
ADMINISTRACIONES PÚBLICAS Madrid.
27
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
[3].
MAGERIT. (2012) – versión 3 Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información Libro III - Técnicas, MINISTERIO DE
ADMINISTRACIONES PÚBLICAS Madrid.
[4].
MAGERIT versión II, Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información libro 1- método p.18
[5].
ANDREU, Rafael, RICKART Joan, & VALOR, Joseph. (1991)Estrategia y sistemas
de información.
[6].
LARDENT Alberto R. (2001) Sistemas de información para la gestión empresarial,
planeamiento, tecnología y calidad, Prentice Hall, Buenos Aires.
[7].
RINCÓN ROJAS, Edgar, (1999).Planeación de sistemas de información, Bogotá:
Universidad Distrital.
[8].
PIATTINI, (2007).Mario G. Calidad de Sistemas de Información. Alfaomega.
[9].
PIATTINI, (2001) Auditoría Informática: Un enfoque práctico, Alfaomega, p. 50
[10]. COOPERS Y LYBRAND., (1997) Los nuevos conceptos del control interno.
Informe C.O.S.O, Ediciones Díaz de Santos, Madrid, I, 43.
[11]. ICONTEC, (2004) Norma Técnica Colombiana NTC-5254. Gestión del Riesgo, 1
[12]. IEEE LATIN AMERICA TRANSACTIONS, VOL. 5, NO. (2007) Un Proceso de
Ingeniería de Requisitos de Seguridad en la Práctica, Mellado Daniel,
Fernandez Eduardo, Piattini Mario.
[13]. E.T.S.I. Telecomunicación (UPM), (1999) Efecto 2000 tecnología global con fecha
de caducidad, Sáez Vacas, Fernando.
[14]. FIGUEROA, Luis C.; HERRERA, Andrea y GIRALDO, Olga L. Guía de buenas
prácticas en gestión de riesgo de TI en el sector bancario colombiano [en
28
Ç
RESUMEN ANALÍTICO EN EDUCACIÓN - RAE -
línea]. Colombia: Universidad de los Andes, 2010 [consultado el 1 de mayo
del
2015].
Disponible
en
Internet:
http://biblioteca.uniandes.edu.co/Tesis_22010_segundo_semestre/347.pdf.
LISTA DE ANEXOS:
Anexo 1: glosario.
Anexo 2: Encuesta general, Estratégica, Tácticas, Operativa.
Anexo 3: Identificaciones de Activos.
Anexo 4: Dependencias entre Activos.
Anexo 5: Valores Propios
Anexo 6: Valores Acumulados
Anexo 7: Identificación de Amenazas.
Anexo 8: Valoración de las amenazas.
Anexo 9: Identificación de Salvaguardas.
Anexo 10: Impacto Acumulado
 Potencial
 Residual
 Objetivo
Anexo 11: Impacto Repercutido.
 Potencial
 Residual
 Objetivo
Anexo 12: Riesgo repercutido
 Potencial
 Residual
 Objetivo
Anexo 13: Riesgo Acumulado
 Potencia
 Residual
 Objetivo
29
Documentos relacionados
Consulta rápida del Diccionario de la lengua
Consulta rápida del Diccionario de la lengua
Bibliografia
Bibliografia
¿Quiénes no están obligados a realizar el aporte al Ministerio de
¿Quiénes no están obligados a realizar el aporte al Ministerio de
Técnico en Seguridad e Higiene Industrial y Medio Ambiente
Técnico en Seguridad e Higiene Industrial y Medio Ambiente
¿Cuáles son las entidades que conforman las Entidades Obligadas?
¿Cuáles son las entidades que conforman las Entidades Obligadas?
c~ - 41
c~ - 41
Enlace en nueva ventana: Uso correcto de términos relacionados con la prevención de riesgos laborales (2010)
Enlace en nueva ventana: Uso correcto de términos relacionados con la prevención de riesgos laborales (2010)
consejos prácticos - Ibercaja Aula en Red
consejos prácticos - Ibercaja Aula en Red
SOLICITUD DE VOLUNTARIADO Estimados familiares: El centro
SOLICITUD DE VOLUNTARIADO Estimados familiares: El centro
Descargar
Anuncio
Anuncio