Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • CASO - IsO27002

    Загружено:

    Christian Diestra Arroyo
    74 просмотров6 страниц
    CASO - IsO27002

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    DOCX, PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    CASO - IsO27002

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    74 просмотров6 страниц

    CASO - IsO27002

    Загружено:

    Christian Diestra Arroyo
    CASO - IsO27002

    Авторское право:

    © All Rights Reserved
    Скачайте в формате DOCX, PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 6

    Curso: Seguridad Empresarial (Basado en la ISO27002)

    CASO DE ESTUDIO
    ANLISIS DE SEGURIDAD DE LA INFORMACIN EMPRESA AHORROS S.A.C.

    Antecedentes

    La Empresa Ahorros S.A.C., es una Caja de Ahorros, que posee un grupo de


    inversionistas. El grupo de inversionistas mueven grandes montos de dinero y buscan
    una calidad del servicio excelente.

    Ahorros S.A.C. tiene un total de 120 empleados, el 80% se ubica en su sede principal
    de Lima y el 20% restante en la Sucursal ubicada en la ciudad de Chimbote. Su principal
    aplicativo es un sistema (ERP) integrado de atencin al cliente, finanzas y operaciones,
    este sistema fue desarrollado por el rea de Sistemas. El grupo de desarrolladores son
    20 personas, 5 de las cuales pertenecen al soporte tcnico y 15 se dedican a labores
    de programacin. Salvo las Jefaturas del rea, el resto del personal est bajo la
    modalidad de Outsourcing. El centro de datos consta de 08 servidores Intel y 02 Blade
    Center con Sistemas Operativos Windows Server y Linux, el lenguaje de programacin
    utilizado es Visual Studio .NET y SQL Server.

    Problemtica

    El Sr. Juan Prez, Gerente de Ahorros S.A.C., desea brindar una excelente calidad en
    los servicios para sus clientes: durante las labores de trabajo en las ltimas semanas
    han sufrido una serie de interrupciones de servicio en sus sistemas que han impactado
    seriamente en la imagen de la empresa frente a sus clientes. Los servicios de Ahorros
    S.A.C., son altamente dependientes de la disponibilidad y eficiencia de sus sistemas.

    Sumado a esto se han presentado reclamos de clientes por aparentes fugas de


    informacin personal. Los clientes reclaman acerca que han sido contactados por otras
    Cajas de Ahorro ofrecindoles servicios con informacin personal que slo ellos
    conocen y que estn grabados en los sistemas de Ahorros S.A.C. Debido a que mucha
    de la informacin est categorizada como confidencial, es por ello que, el impacto de
    estos eventos no ha sido mayor, pero ha causado seria preocupacin en la Gerencia de
    Ahorros S.A.C., debido a que podra ser utilizada para fines indebidos si llegara a caer
    en malas manos.

    El Jefe de Sistemas ha informado al Sr. Juan Prez que esos eventos se debieron a
    una serie de problemas tcnicos, fallas de proveedores y errores humanos que
    difcilmente volvern a repetirse. Adems, asegura haber tomado las medidas
    necesarias para que esto realmente sea as.

    Ing. Nelson Angeles Quiones Ing. Empresarial


    Curso: Seguridad Empresarial (Basado en la ISO27002)

    Situaciones Especficos

    El personal de Sistemas no ha sido capacitado en temas de seguridad de la informacin.


    Debido a son personal externo, RRHH menciona que se ha asignado presupuesto para
    estos temas. Ante esto el Jefe de Sistemas est dudando si el cdigo de la programacin
    de sus aplicaciones se ha incorporado buenas prcticas de seguridad en el diseo y
    construccin de los sistemas. Una de las muestras sobre esto es, que parte del equipo
    de programadores an cuenta con accesos a los ambientes de produccin, a fin de dar
    soporte a errores del software en dichos ambientes.

    En las instalaciones del centro de datos, durante el cierre de fin de mes se present un
    incidente debido a una avera del equipo de aire acondicionado. Durante el problema la
    temperatura se elev hasta niveles que originaron que algunos de los servidores se
    apagaran. No se contaban con los controles fsicos que detectaran este tipo de
    situaciones de manera preventiva. De igual manera, han ocurrido dos eventos de cada
    general de servidores debido a que el grupo electrgeno con que se cuenta es bastante
    antiguo y no respondi adecuadamente en momentos de corte de energa.

    Para el caso de los eventos de fuga de informacin de los clientes, la Gerencia solicit
    un informe histrico de los accesos realizados al sistema en los ltimos 60 das. Si bien
    se detect que diversos usuarios haban utilizado opciones del sistema que no les
    corresponda por sus funciones, no existe una explicacin clara.

    La infraestructura tecnolgica es relativamente moderna e incluye controles de


    seguridad como herramientas de backup, firewalls, controles de acceso a la red, etc.
    Sin embargo, se ha registrado una serie de problemas de virus debido a que muchas
    personas an utilizan medios externos de almacenamiento que no estn debidamente
    controlados (USBs).

    En la empresa no existe suficiente nivel de conciencia de los asuntos de seguridad de


    informacin. Las responsabilidades de la seguridad se tienen asignadas a la Jefatura
    de Sistemas, quien debe de cumplirlas a la par de sus dems tareas operativas. Las
    Gerencias Usuarias y el personal que les reportan se sienten involucrados en la
    problemtica de seguridad. Por lo anterior, Ahorros S.A.C. no ha formalizado polticas o
    procedimientos sobre temas relevantes a la Seguridad de Informacin.

    En referencia a los incidentes sobre no disponibilidad de sistemas estos fueron debido


    a la saturacin de los recursos de los servidores, por ello se repotenci con urgencia
    este hardware. Esta situacin no pudo ser prevista con anticipacin. Otra importante
    falla de los sistemas ha surgido por cambios en la configuracin de Hardware y Software

    Ing. Nelson Angeles Quiones Ing. Empresarial


    Curso: Seguridad Empresarial (Basado en la ISO27002)

    de los servidores, los cuales, al ser implementados en los ambientes de produccin,


    originaron eventos imprevistos.

    En lo que se refiere al acceso a los sistemas de informacin y el control de ingreso a los


    mismos, an no se ha implementado la poltica de cambio peridico de contraseas,
    motivado por el desaliento y negativa de muchos usuarios y gerencias, alegando que
    les quita demasiado tiempo. Otro problema sumado a esto es la falta de la longitud
    mnima de contraseas y la complejidad de las mismas. Esto se agrava al tener un nico
    perfil de acceso al sistema y mostrndose las opciones generales del sistema.

    Ing. Nelson Angeles Quiones Ing. Empresarial


    Curso: Seguridad Empresarial (Basado en la ISO27002)

    SE SOLICITA DE USTED:

    1. Analizar la situacin de la empresa Ahorros S.A.C., desde el punto de vista de cada


    dominio de la seguridad de informacin (Estndar ISO 27002). (03 ptos.)

    DOMINIO ANLISIS DE SITUACIN ACTUAL


    5. POLTICA DE SEGURIDAD
    6. ASPECTOS ORGANIZATIVOS S.I.
    7.
    8.
    9.
    10.
    11.
    12.
    13.
    14.
    15.
    16.
    17.
    18.

    2. Realizar el anlisis de riesgos para la situacin de la empresa Ahorros S.A.C.,


    aplicando las buenas prcticas de seguridad de informacin del estndar ISO 27002.
    (04 ptos.)

    3. Formular un plan de implementacin de controles para Ahorros SAC, luego anexar


    las evidencias de cada control a implementar para este caso, basado en la
    ISO27002. (10 ptos.)

    PROBLEMA(s) CONTROL
    5. POLTICA DE SEGURIDAD

    6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC.

    14. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN.

    Ing. Nelson Angeles Quiones Ing. Empresarial


    Curso: Seguridad Empresarial (Basado en la ISO27002)

    4. Proponer la mejor propuesta de organigrama para Ahorro SAC, basado en la


    ISO27002 y al mismo tiempo redactar la Poltica de Seguridad. (03 ptos.)

    Ing. Nelson Angeles Quiones Ing. Empresarial


    Curso: Seguridad Empresarial (Basado en la ISO27002)

    ANEXOS:

    CONTROL

    5.1.1. Poltica de Seguridad para AHORROS SAC.

    Ing. Nelson Angeles Quiones Ing. Empresarial

    Вам также может понравиться