Академический Документы
Профессиональный Документы
Культура Документы
Ingeniera en Telemtica
Seguridad 1
GRUPO TM-KSG1-1403C-001
08 de octubre de 2014
Unidad 1
Actividad 3. Anlisis de riesgo
Anlisis de Riesgo
La empresa con giro comercial de caja de ahorro y prstamo, la cual esta estructura de la
siguiente manera:
Como ya conoces cuales son los activos que manejan las empresas, contesta las siguientes
preguntas
1. Que se Busca Proteger?
Fundamentalmente, los activos de una empresa, ya que como nos indica el material de estudio
proporcionado, los riesgos son la estimacin del grado de exposicin de un activo a que una
amenaza se materialice sobre l causando daos a la organizacin. El riesgo indica lo que le puede
pasar a los activos sino se protegen adecuadamente. Las amenazas son los eventos que pueden
desencadenar un incidente produciendo daos materiales o inmateriales en los activos, es decir
toda la proteccin ejercida por un Sistema de Gestin de la Informacin gira alrededor de los
activos de la empresa.
2.
Bsicamente son, el establecimiento de las mismas, pero va desde la definicin de las partes que
componen el universo que va a estar regido bajo estas polticas.
Se definir el alcance del proyecto, es decir, se identificarn los procesos de negocio, los recursos
de informacin, los recursos tecnolgicos, y organizativos, las personas clave y las relaciones con
terceros.
La direccin general junto con los empleados de los departamentos involucrados en la
implantacin de las polticas sern los encargados de establecer las mismas
Se tendr que elaborar un documento donde se exponga el compromiso de la Direccin, los
principios bsicos que regirn el Sistema de Gestin de Seguridad as como la definicin de las
responsabilidades.
2. Investiga las estrategias ms adecuadas para definir las polticas de seguridad en una
organizacin.
Primero es importante mencionar porque hay que tener las polticas escritas, la siguiente es una
lista de algunas de estas razones:
Si bien las caractersticas bsicas de la PSI (Poltica de Seguridad Informtica), nos muestran una
perspectiva de las implicaciones en la formulacin de estas directrices, revisemos algunos aspectos
generales recomendados para la formulacin de las mismas.
Como cualquier otro proceso administrativo, debe existir alguna estandarizacin y algunos
parmetros para establecer Polticas de Seguridad son:
Considere efectuar un ejercicio de anlisis de riesgos informtico, a travs del cual valore
sus activos, el cual le permitir afinar las PSI de su organizacin.
Involucre a las reas propietarias de los recursos o servicios, pues ellos poseen la
experiencia y son fuente principal para establecer el alcance y las definiciones de
violaciones a la PSI.
Recuerde que es necesario identificar quin tiene la autoridad para tomar decisiones, pues
son ellos los interesados en salvaguardar los activos crticos de la funcionalidad de su rea
u organizacin.
Un consejo ms, no d por hecho algo que es obvio. Haga explcito y concreto los alcances
y propuestas de seguridad, con el propsito de evitar sorpresas y malos entendidos en el
momento de establecer los mecanismos de seguridad que respondan a las PSI trazadas.
3. Relaciona el anlisis con las polticas con base al caso expuesto y redacta un informe
2 programadores
1 de soporte tcnico.
Tecnologa
45 PCs,
3 laptops,
2 routers,
3 switch,
2 acces point,
Un enlace a internet.
Office 2010,
Antivirus
Legislacin
Todos las Pcs y Laptops cuentan con licenciamiento al igual que el office y el antivirus
Objetivo
La Caja de ahorro y prstamo debe proteger los datos confidenciales, restringidos o delicados para
evitar que posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Tanto la
proteccin de estos datos como la flexibilidad para acceder a ellos y la conservacin de la
productividad son requisitos crticos para la empresa.
EL control tecnolgico de la empresa no est diseado para evitar robos maliciosos o detectar
todos los datos. Su principal objetivo es fomentar la concienciacin de los usuarios para evitar
fugas accidentales. En esta poltica se describen los requisitos para la prevencin de fugas de
datos, las razones para su uso y su finalidad.
Alcance
1. Todos los empleados, contratistas o usuarios con acceso a los datos o a los sistemas de la
caja de ahorro y prstamo.
Datos financieros
Datos confidenciales
Direcciones IP
2.
3.
Las personas que visiten La Caja de ahorro y prstamo deben estar acompaadas por
algn empleado autorizado en todo momento. Si est encargado de acompaar a las
visitas, dirjalas solamente a las zonas adecuadas.
4.
5.
6.
Segn la poltica de contraseas, deber utilizar una contrasea segura en todos los
sistemas de La caja de ahorro y prstamo. Dichas credenciales deben ser exclusivas y no
deben utilizarse en otros sistemas o servicios externos.
7.
Al finalizar el contrato, los empleados debern devolver todos los registros (en cualquier
formato) que contengan informacin personal.
8.
9.
12. Las transferencias de datos dentro de La Caja de ahorro y prstamo deben realizarse
solamente a travs de los mecanismos seguros proporcionados por la empresa. La Caja de
ahorro y prstamo le proporcionar los sistemas o dispositivos correspondientes para tal
fin. No utilice otros mecanismos para el manejo de datos englobados en esta poltica.
13. Toda informacin transferida a cualquier dispositivo mvil (por ejemplo, memorias USB u
ordenadores porttiles) debe estar cifrada de acuerdo con las prcticas recomendadas del
sector, y las leyes y normativas correspondientes. Si tiene alguna duda sobre los requisitos,
solicite ayuda al departamento de TI.
Principios fundamentales
La prevencin de fugas de datos est diseada para concienciar a los usuarios sobre la
naturaleza confidencial o las posibles restricciones de los datos que transfieren.
Objetivo
La Caja de ahorro y prstamo debe proteger los datos confidenciales, restringidos o delicados para
evitar que posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Tanto la
proteccin de estos datos como la flexibilidad para acceder a ellos y la conservacin de la
productividad son requisitos crticos para la empresa.
Este control tecnolgico no est diseado para evitar robos maliciosos o detectar todos los datos.
Su principal objetivo es fomentar la concienciacin de los usuarios para evitar fugas accidentales.
En esta poltica se describen los requisitos para la prevencin de fugas de datos, las razones para
su uso y su finalidad.
Alcance
Todos los dispositivos de La Caja de ahorro y prstamo en los que se manejen datos de clientes,
delicados o de la empresa, e informacin de identificacin personal. Todos los dispositivos
utilizados de forma habitual para acceder al correo electrnico e Internet, o realizar otras tareas
relacionadas con el trabajo de los usuarios, y que no estn exentos de forma especfica por
razones tecnolgicas o empresariales justificadas.
Poltica
1. La tecnologa de prevencin de fugas de datos de La Caja de ahorro y prstamo
detecta datos en movimiento.
2. La tecnologa identifica grandes volmenes de datos englobados en la poltica (con
alto riesgo de contener informacin delicada y que pueden provocar graves
consecuencias si se manejan de forma inadecuada). Se consideran grandes
volmenes de datos aquellos que superan los 100 registros. Se consideran datos
englobados en la poltica:
a. Datos de tarjetas de crdito, nmeros de cuentas bancarias y dems
informacin financiera
b. Direcciones de correo electrnico, nombres, direcciones postales y otras
combinaciones de datos de identificacin personal
c. Documentos marcados de forma explcita como informacin confidencial de
La caja de ahorro y prstamo.
d. La prevencin de fugas de datos identifica contenido especfico como, por
ejemplo:
i. Datos de ventas (principalmente, previsiones, listas de renovaciones
y listados de clientes)
ii. Informacin de identificacin personal exportada fuera de los
sistemas controlados
3. La prevencin de fugas de datos se configurar para advertir a los usuarios por
medio de nuestro servicio a mviles cuando se sospeche que estn transfiriendo
datos delicados. Los usuarios podrn autorizar o denegar las transferencias. De esta
forma, los usuarios tienen la oportunidad de tomar las decisiones adecuadas para
proteger los datos sin afectar al funcionamiento de la empresa.
La configuracin de la solucin de prevencin de fugas de datos se modificar segn
el proceso de cambios informticos de La Caja de ahorro y prstamo y bajo la
autorizacin de los encargados de la gestin de la seguridad para identificar los
ajustes necesarios en la poltica de proteccin de la informacin y las
comunicaciones de los empleados.
Bibliografa
Jeimy J. Cano. (2004). Pautas y Recomendaciones para elaborar Polticas de Seguridad Informtica
(PSI). 07 de octubre de 2014, de Universidad de los Andes. Sitio web:
http://www.derechotecnologico.com/estrado/estrado004.html
Patrick D. Howard. (2003). Gua para elaborar polticas. 08 de agosto de 2014, de Universidad
Nacional de Colombia Sitio web:
http://www.dnic.unal.edu.co/docs/guia_para_elaborar_politicas_v1_0.pdf
CORPORACIN AUTNOMA REGIONAL PARA EL DESARROLLO SOSTENIBLE DEL CHOCO. (2011).
POLTICAS DE SEGURIDAD DE LOS RECURSOS INFORMTICOS EN CODECHOCO. 08 de agosto de
2014, de CORPORACIN AUTNOMA REGIONAL PARA EL DESARROLLO SOSTENIBLE DEL CHOCO
Sitio web: http://www.codechoco.gov.co/files/POLITICAS_INFORMATICAS_CODECHOCO.pdf
Gmez Vieites, lvaro. (2011). ENCICLOPEDIA DE LA SEGURIDAD INFORMTICA. 2 EDICIN
ACTUALIZADA. N/E Lugar de publicacin: RA-MA EDITORIAL.