ACTIVIDAD CONTEXTO ESCENARIO 7

PRESENTADO POR:
ANDRES MAURICIO LONDOÑO RODRIGUEZ CODIGO: 2012010419

JAIR HUMBERTO BONILLA QUESADA CODIGO: 2012010401

PRESENTADO A:
JEFFREY BORBON

ACTIVIDAD CONTEXTO ESCENARIO 7

MODULO DE TEORIA DE LA SEGURIDAD
ESPECIALIZACION SEGURIDAD DE LA INFRMACION
POLITECNICO GRANCOLOMBIANO
 ACTIVIDAD

Han sido contratados como responsables de seguridad de la información en una empresa de

servicios de tecnología y una de las primeras actividades que decide realizar es un análisis de
cómo se maneja la seguridad en los procesos y actividades principales de la organización. Para
ello realiza una auditoría básica en la cual identifica lo siguiente:
• Al hablar con el jefe de desarrollo le comentan que por ausencia de recursos el entorno de
desarrollo se encuentra acoplado al de pruebas y en ocasiones los desarrolladores requieren
realizar algunas pruebas en el entorno productivo de los clientes.
• La revisión de algunos equipos le permite identificar que se encuentran instalados juegos y
aplicativos de forma ilegal en estaciones de trabajo de la compañía.
• Haciendo un chequeo del equipo de TI, le indican que la solución de backups para servidores
(que incluye datos de repositorios de código) presenta fallos de integridad debido a unos discos
alarmados desde hace 3 semanas. Sin embargo, en un correo electrónico que le hacen llegar,
nota que esto se mencionó en el comité de tecnología de la empresa hace ya más de 10
meses.
• En revisión de los contratos que aplican para el personal del área de desarrollo, nota que la
definición de la cláusula de confidencialidad no es clara, asimismo, no encuentra algún apartado
o nota que haga referencia a la propiedad intelectual de la organización y los deberes de los
empleados.
• Observa una reunión del jefe de desarrollo de un proyecto que está en fase de análisis de
requerimientos con el cliente y nota que en el plan de trabajo no se encuentra incluida actividad
o fase alguna relacionada con seguridad.
• Haciendo un chequeo rápido de los repositorios de GIT empleados por la entidad, nota que en
la plataforma Bitbucket se encuentran públicos apartados de código y quien aparece como
dueño del repositorio es un exempleado de la empresa.
• Hay unos hallazgos de unas auditorías por parte de algunos clientes del sector financiero a
causa de la inexistencia de una política de desarrollo seguro de software. Según le indican,
dentro de la política de seguridad se menciona que la empresa desarrolla de forma segura pero
que para los clientes parece no ser suficiente.
1. sobre la información resultado de la auditoría, se debe determinar qué riesgo(s) puedan suponer una afectación de la seguridad
de la información. Se debe emplear la siguiente tabla:
HALLAZGO
Al hablar con el jefe de desarrollo
indica que por ausencia de
recursos el entorno de desarrollo
se encuentra acoplado al de
pruebas y en ocasiones los
desarrolladores requieren realizar
algunas pruebas en el entorno
productivo de los clientes.
Se encuentran instalados juegos
y aplicativos de forma ilegal en
estaciones de trabajo de la
compañía.
El backups para servidores (que
COMO AFECTA LA
SEGURIDAD
Esto afecta la disponibilidad al
manejar los entornos
acoplados, porque al realizar
pruebas en la red de
producción se puede ver
afectada la disponibilidad de la
información, comprometiendo
la base de datos donde reposa
la información de la compañía.
También puede verse
implicada las políticas de
seguridad de la compañía
comprometiendo la
confidencialidad e integridad
de la información, permitiendo
el acceso a la misma o
evitando el acceso a los
clientes del entorno
productivo.
Al tener software sin licencia
instalado en el equipo se
puede generar una falta de
integridad en la seguridad
de la empresa.
Se generar vulnerabilidad en
los equipos ya que pueden
instalar software espías con lo
cual se vería comprometida la
información de la compañía.
Puede verse afectada la
CAUSA
No tener claridad de tener
separados el entorno de
desarrollo con el de
producción.
La falta de recursos para la
ampliación de la red.
Falta de implementación de
un estándar de aplicativos
en las estaciones de trabajo.
Falta de control en los
permisos de los usuarios de
la red de la compañía.
Falta de concientización de
CONSECUENCIAS
Se pude afectar la base de
datos en donde reposa la
información de los clientes de
la compañía.
Se puede ver afectado los
servicios de la compañía.
Se puede ver afectado el
acceso de los usuarios.
Puede generar una brecha de
seguridad permitiendo el fácil
acceso a los datos de la
compañía.
Puede verse afectada la
seguridad de la red,
permitiendo el acceso a un
intruso.
Puede verse comprometida la
información de la compañía.
Puede verse afectado el
desempeño de los equipos de
cómputo (hardware y
software).
Puede haber pérdida de
incluye datos de repositorios de información de la compañía. la gravedad del problema del información en una base de
código) presenta fallos de personal a cargo. datos.
integridad debido a unos discos Puede afectarse los servicios
alarmados desde hace 3 de la compañía. Falta de recursos para la Puede verse afectado los
semanas. Sin embargo, en un adquisición de hardware y servicios de la compañía.
correo electrónico que le hacen Puede verse afectado el software.
llegar, nota que esto se backup realizado y presentar Puede afectar el respaldo de
mencionó en el comité de problemas a respaldarlo. los backups.
tecnología de la empresa hace
ya más de 10 meses.
En revisión de los contratos que Los empleados pueden extraer La falta de implementación Los empleados pueden extraer
aplican para el personal del área información de la compañía. cláusulas de la información de los
de desarrollo, se observa que la confidencialidad. documentos internos y
definición de la clausula de Los desarrolladores pueden externos de la compañía.
confidencialidad no es clara, comercializar el software de la La falta de explicación de
asimismo, no se observa compañía ya que no es los deberes a los Los empleados del área de
algún apartado o nota que haga considerado como una empleados. desarrollo pueden extraer y
referencia a la propiedad restricción. comercializar el software de la
intelectual de la organización y compañía.
los deberes de los empleados.
Los empleados no tendrán una
visión clara de las obligaciones
adquiridas.
Se observa una reunión del jefe No se puede garantizar que el Plan de trabajo de Se genera brechas de
de desarrollo de un proyecto servicio este siempre proyectos mal diseñado. inseguridad en la
que está en fase de análisis de disponible. implementación del
requerimientos con el cliente Falta de personal con proyecto.
y observa que en el plan de No se garantiza que la
experiencia.
trabajo no se encuentra incluida información se accedida por el
actividad o fase alguna personal deseado. Se puede presentar la
relacionada con seguridad. Falta de seguridad en los afectación del servicio.
No se garantiza la integridad procesos.
de la información. La información puede ser
accedida y modificada por
personal no autorizado.
Haciendo un chequeo rápido de Se está exponiendo No tener seguridad en la Se puede generar
los repositorios de GIT información de la compañía. plataforma de los vulnerabilidades de seguridad
empleados por la entidad, nota repositorios de los códigos en la red.
que en la plataforma Bitbucket Se está exponiendo el código fuentes.
se encuentran públicos y se está generando una Genera riesgos para
 apartados de código y quien brecha de la seguridad.
aparece como dueño del
repositorio es un El exempleado de la compañía
exempleado de la empresa. tiene aún los privilegios con
los cuales puede acceder a la
red y realizar cualquier
procedimiento.
Hay unos hallazgos de unas El no tener políticas de
auditorías por parte de algunos desarrollo seguro establecidas
clientes del sector financiero a permite vulnerabilidades que
causa de la inexistencia de una ocasionen fallas en la
política de desarrollo seguro de confidencialidad,
software. Según le indican, disponibilidad, integridad,
dentro de la política de autenticidad y trazabilidad de
seguridad se menciona que la la información de los clientes.
empresa desarrolla de forma
segura pero que para los
clientes parece no ser suficiente.
No haber un protocolo de la información interna y
retiro de empleado. externa de la compañía.
Se permite el ingreso a la red
de la compañía a
exempleados.
No tener establecida una Se presentan fallas de
política de desarrollo seguridad en el software
seguro. desarrollado a los clientes.
No tener en cuenta el nivel Se genera inconformidad por
parte del cliente con el trabajo
de satisfacción de los realizado.
clientes.

2. Tome del total de riesgos identificados, los 2 más relevantes o que mayor impacto generan sobre la entidad e indique qué
mecanismos o controles de seguridad consideraría necesarios implementar. Para cada uno haga una estimación de tiempo para
implementarlo, a quiénes involucraría y un costo estimado (no deben cotizar nada, sólo sondear de forma básica y colocar un
valor de referencia). Recordar que los controles pueden ser técnicos, administrativos, legales, físicos.

RIESGOS MÁS CONTROLES DE TIEMPO PARA A QUIÉNES COSTO ESTIMADO

RELEVANTES SEGURIDAD IMPLEMENTARLO INVOLUCRARÍA
Red de desarrollo Implementar una red de 2 meses. Alta gerencia. $ 20.000.000
acoplada a la red de pruebas. Área de infraestructura.
pruebas. Implementar una política Area de desarrollo.
de seguridad para las Area de seguridad de red.
pruebas que la compañía Empresa contratada para
requiera realizar. la creación de la red.
fallos de integridad de Test mensuales de 2 meses. Alta gerencia. $ 5.000.000.
backups para servidores chequeo de integridad Área de infraestructura.
los backup. Area de TI.
Diseño de plan de Area de seguridad de red.
contingencia para fallas Empresa auditora.
de backup.
Implementar una política
de seguridad para el
proceso de backups.