Professional Documents
Culture Documents
INFORMÁTICA
2
Seguridad
Informática
CAPITULO I
Objetivos
General Específicos
Evaluar la seguridad Evaluar
de información de la ○ el entorno
FINANCIERA
CONFIANZA S.A.A. a ○ el hardware
través de la ○ el software
metodología OCTAVE
○ la seguridad
Allegro
de la FINANCIERA CONFIANZA
S.A.A.
4
Alcance
Constatar las acciones tomadas
para mantener disponible y en buen
funcionamiento la seguridad de
información dentro de la Financiera
Confianza S.A.A., evaluando a través de la
metodología OCTAVE
5
Grupo de trabajo
El grupo de Trabajo para la realización de
la evaluación está conformado por:
6
Datos
generales de
la empresa
CAPITULO II
Conocimiento inicial
○ Microfinanzas Confianza S.A.A. es una
entidad dirigida en la línea de
microfinanzas, lleva en el sector
alrededor de los 20 años, y es parte de
la Fundación Microfinanzas BBVA.
8
9
Levantamiento de
información
Recepcion
Primera
4 salas de juntas
planta
Data center
archivador
servicio al Auditoría,
cliente,
Segunda
Mesa de dinero
planta
Contabilidad,
Tesorería
Área de Gerencia
sistemas,
Área jurídica,
10
Ubicación
our office
11
Dominios de la
norma iso 27000
○ Dominio 5: Políticas de seguridad de la Información.
○ Dominio 6: Organización de la seguridad de la
información.
○ Dominio 7: Seguridad de los Recursos Humanos.
○ Dominio 8: Gestión de recursos.
○ Dominio 9: Gestión de acceso de usuario.
○ Dominio 10: Criptografía.
○ Dominio 11: Seguridad física y ambiental.
○ Dominio 12: Seguridad Operacional.
○ Dominio 13: Seguridad de las Comunicaciones.
○ Dominio 15: Relaciones con los proveedores.
○ Dominio 16: Gestión de Incidentes de Seguridad de la
Información.
○ Dominio 17: Aspectos de Seguridad de la Información
de la gestión de la continuidad del negocio.
12
○ Dominio 18: Cumplimiento.
Plan de
Seguridad
Informática
CAPITULO III
Cronograma de trabajo
INICIO:
Mes de
noviembre
FIN:
Mes de
diciembre
14
Planificación
del proyecto
de auditoría
1 2 3
15
QUIEN
AUDITA
Tipo de
auditoría
CUAND QUIEN
EN FUNCIÓN
O SE SE
AUDITA
DE…
AUDITA
○ Auditoría Interna
○ Auditoría de un proceso
○ Auditoría parcial
○ Auditoría programada
SU
ALCAN
CE
16
Recolección de
información
para auditoría
1 2 3 4 5
17
Estructura de la
auditoría
• Evaluación de la infraestructura.
• Evaluación del entorno.
• Evaluación del Recurso Humano.
• Evaluación del Hardware.
• Evaluación del Software.
• Evaluación de la Seguridad.
• Evaluación del Control de activos fijos.
18
Desarrollo de
la auditoría
CAPITULO IV
Desarrollo del perfil
de los activos
○ Intranet ○ Inveracción
○ PSE ○ Directorio activo
○ Base de datos AcciónBack ○ Control de acceso
○ Correo electrónico ○ Cableado
○ Centro de negocios ○ Red eléctrica
○ AcciónBack ○ Servidor de aplicaciones
○ Documentos ○ Servidor de producción
○ Digitalizador ○ Servidor de pruebas
20
Actividades
21
Actividades
○ Actividad 6 : Determinar la
Valoración del Activo de Información
22
23
24
Identificación las áreas
de preocupación
La identificación de áreas de preocupación inicia con la
elaboración de los perfiles de riesgos de los activos de
información, el cual contiene un componente
denominado amenaza a través de una ecuación de
riesgo.
25
Por medio de una lluvia de ideas se realiza un
análisis sobre las posibles condiciones o
situaciones que se pueden representar y
poner en peligro los activos de información
de la organización, "estos escenarios en el
mundo real se denominan área de
preocupación y se pueden representar en
amenazas y causar resultado indeseables
para la compañía
26
Activos de información
○ Intranet
○ Plataforma de recaudo
○ sistema de documentación de clientes
○ centro de negocios
○ base de datos
○ correo electrónico
○ sistema de administración inmobiliaria
27
Activos de información
○ Exposición de los activos de información, acceso no autorizado a los
sistemas informáticos.
○ Interrupción en el servicio de energía eléctrica
○ Problemas de conectividad en la red interna de la organización
○ Desactualización de los sistemas
○ Alta rotación de Personal
○ etc...
28
29
30
31
Identificación de
riesgo
En el Paso 6 se capturan las consecuencias para
una organización si se realiza una amenaza,
completando la imagen de riesgo. Una amenaza
puede tener múltiples impactos potenciales en una
organización. Por ejemplo, la interrupción del
sistema de comercio electrónico de una
organización puede afectar la reputación de la
organización con sus clientes, así como su posición
financiera.
32
33
Tabla de consecuencias
de la Intranet
34
Evaluación de la
infraestructura
35
Dentro de este aspecto corresponde evaluar todo lo relacionado con la
infraestructura, es decir: lo tangible como paredes, piso, techo e instalaciones
eléctricas, su correspondientes mantenimiento y remodelaciones de la misma.
37
Evaluación de
mobiliario y equipo
Informe de auditoría
38
Evaluación de
recurso humano
Informe de auditoría
39
Evaluación de
hardware
Informe de auditoría
40
Evaluación de
software
Informe de auditoría
41
Evaluación de la
seguridad
Informe de auditoría
42
Evaluación de gestión
administrativa
Informe de auditoría
43
Debilidades
detectadas y
recomendaciones
finales
CAPITULO V
Opinión
favorable
Yellow Blue Red
Is the color of Is the colour of Is the color of
gold, butter and the clear sky and blood, danger
ripe lemons. the deep sea. and courage.
45
Opinión
desfavorable
○ Here you have a list of items
○ And some text
○ But remember not to overload your
slides with content
46
4.1.3. Identificar los
contenedores de los
activos informáticos
•Está enfocado en identificar los contenedores de los activos
informáticos.
47
○La metodología OCTAVE define así este concepto:
○“Un contenedor de información es cualquier lugar donde la
información ‘vive’; es decir, allí donde la información es
procesada, almacenada o transportada”. (Azucena H., Susana
O.,2011)
48
Para el desarrollo de este modelo se tienen en cuenta los contenedores más
utilizados por la compañía, realizando una pequeña descripción e indicando
el directamente responsable sobre el contenedor.
49
50
51
52
4.1.5. Identificaciòn
de Riesgos
Se capturan las consecuencias para una organización si se realiza
una amenaza, completando la imagen de riesgo. Una amenaza
puede tener múltiples impactos potenciales en una organización.
Por ejemplo, la interrupción del sistema de comercio electrónico
de una organización puede afectar la reputación de la
organización con sus clientes, así como su posición financiera.
53
Hoja de trabajo Metodología Octave Allegro
Desastres Naturales
54
Tabla de consecuencias de la Intranet
Falla en los componentes de hardware de los equipos: Los usuarios presentarían retrasos
en las operaciones de la finanza afectando a una o más áreas
Alta Rotación de Personal: Los usuarios tendrían problemas para acceder a la intranet y
al contenido
56
4.1.6. Anàlisis de
Riesgos
En este paso se mide cualitativamente el grado en que la organización se ve
afectada por una amenaza mediante el cálculo de una puntuación para cada
riesgo de cada activo de información
Total: 27
58
Desconocimiento en el manejo de los sistemas informáticos
en
Reputación 4 Medio(2) 4
Legal 3 Medio(2) 3
el manejo
de Productividad 2 Bajo(1) 2
Total: 17
60
Riesgos Problemas de conectividad en la red interna de la organización.
Consumidor 5 Bajo(1) 5
financiero
Problemas de
conectividad Reputación 4 Bajo(1) 4
en la red Legal 3 Bajo(1) 3
interna de la
organización. Productividad 2 Medio(2) 4
Seguridad 1 Bajo(1) 1
/Salud
Total: 17
61
Riesgos Interrupción en el servicio de internet
Total: 19
62
riesgos Falla en los componentes de hardware de los equipos.
Consumidor 5 Bajo(1) 5
financiero
Falla
Reputación 4 Bajo(1) 4
en los Legal 3 Bajo(1) 3
componentes
de hardware Productividad 2 Medio(2) 4
de los
equipos. Seguridad 1 Bajo(1) 1
/Salud
Total: 17
63
Riesgos Desactualización de los sistemas
Consumidor 5 Bajo(1) 5
financiero
Desactualización
de Reputación 4 Bajo(1) 4
los sistemas Legal 3 Bajo(1) 3
Productivid 2 Bajo(1) 2
ad
Seguridad 1 Bajo(1) 1
/Salud
Total: 15
64
Puntaje para determinar riesgos Fallo o defecto de Software
Consumidor 5 Bajo(1) 5
financiero
Fallo o
defecto de Reputación 4 Bajo(1) 4
Software Legal 3 Bajo(1) 3
Productividad 2 Medio(2) 4
Total: 17
65
riesgos Interrupción en el servicio de energía eléctrica.
Consumidor 5 Bajo(1) 5
financiero
Interrupción en el
servicio de Reputación 4 Bajo(1) 4
energía eléctrica. Legal 3 Bajo(1) 3
Productivid 2 Alto(3) 6
ad
Seguridad 1 Bajo(1) 1
/Salud
Total: 19
66
riesgos Alta Rotación de Personal
Consumidor 5 Bajo(1) 5
financiero
Alta Rotación de
Personal Reputación 4 Bajo(1) 4
Legal 3 Bajo(1) 3
Productividad 2 Medio(2) 4
Total: 17
67
Puntaje para determinar Desastres Naturales
Consumidor 5 Bajo(1) 5
financiero
Desastres
Naturales Reputación 4 Bajo(1) 4
Legal 3 Bajo(1) 3
Productividad 2 Alto(3) 6
Total: 20
68
Tabla resumen
69
Falla en los componentes de hardware de los Bajo 17
equipos
70
ENFOQUE DE
MITIGACIÓN
En OCTAVE Allegro se puede hacer uso de la
matriz de riesgo relativo, un elemento que
permite visualizar los riesgos a tratar con base
en la probabilidad y el puntaje de riesgo. Se
categorizan grupos de escenarios de amenazas
para su tratamiento con base en estos
resultados, como se muestra en la siguiente
imagen. Los riesgos que pertenecen al grupo 1
deberían ser tratados con mayor prioridad:
71
Matriz de riesgos relativos
30 A 45 16 A 29 0 A 15
72
Grupo Enfoque de Mitigación
Grupo 1 Mitigar
Grupo 2 Mitigar o transferir
Grupo 3 Transferir o aceptar
Grupo 4 Aceptar
73
Nombre del activo: Intranet
Control:
• Solo los empleados de la compañía pueden acceder a la intranet
• Cada uno de los empleados deben tener una usuario y contraseña
• La contraseña de acceso a la intranet debe contener letras mayúsculas,
minúsculas, números y caracteres especiales.
• Se debe cambiar la clave de las aplicaciones cada 30 a 45 días.
• Solo el ingeniero de infraestructura y el gerente de tecnología deben tener
conocimiento para realizar modificaciones sobre la intranet
• Los empleados que no pertenezcan al área de tecnología solo deben tener
acceso de consulta a la intranet.
74
Área de preocupación: Desconocimiento en el manejo de los sistemas
informáticos.
Control
• Se deben realizar un instructivo para el uso adecuado de la intranet.
• Se deben realizar capacitaciones trimestrales o bimestrales sobre el uso
adecuado de la intranet.
Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con
la operación de la compañía.
75
Área de preocupación: Interrupción en el servicio de internet
Control:
• Capacitar al personal para el uso adecuado de los equipos.
• Realizar mantenimientos preventivos de los equipos.
• Verificar la ventilación de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
• Verificar el voltaje de la tomas de corriente
76
Área de preocupación: Desactualización de los sistemas
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se deben desinstalar los programas que no sean de uso corporativo.
• Se debe adquirir software licenciado.
Control:
• Instalar antivirus en cada uno de los equipos y los servidores de la compañía
• Desinstalar los programas que no sean necesarios para la correcta
funcionalidad de la intranet
• Instalar el sistema operativo adecuado que permita la funcionalidad correcta de
la intranet
• Instalar las actualizaciones y parches de seguridad
77
Área de preocupación: Interrupción en el servicio de energía eléctrica.
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía
temporalmente sin afectar las operaciones de la compañía.
• Adquirir o rentar otra oficina en el cual se pueda trasladar parte del personal
para continuar con las operaciones de la compañía.
Adquirir un generador electrico.
Control:
• Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascenso
• Bonificaciones por cumplimiento de metas.
•• Mejorar ambiente
Capacitar laboral
constantemente al personal
78
Área de preocupación: Desastres Naturales
79
Mitigación de riesgo según el activo Plataforma de recaudo
Nombre del Plataforma de recaudo
activo:
•Control
Solo los clientes pueden acceder a la plataforma de recaudo.
• Los clientes deben ingresar a la plataforma con el número de identificación y la
contraseña.
• El sistema solicita el cambio de contraseña cada 30 a 45 días.
80
Área de preocupación: Exposición de los activos de información,
acceso no autorizado a la infraestructura física.
Puntaje de Riesgo Probabilidad Subjetiva: Categoría: Acción: Transferir o
Relativo: 22 Bajo Grupo 3 Aceptar
Control:
• Solo el gerente de infraestructura y el gerente de tecnología, pueden realizar modificaciones sobre la
plataforma
• Solo el gerente de infraestructura y el gerente de tecnología, pueden acceder a la administrador de la
plataforma de recaudo con un usuario y contraseña
Control:
• Tener un canal de contingencia con otro proveedor, que permita continuar con la operación de plataforma
de recaudo.
Control:
• Realizar mantenimientos preventivos de los equipos.
• Verificar la ventilación de los equipos.
• Adquirir repuestos compatibles con los equipos y con proveedores de confianza
81
Área de preocupación: Desactualización de los sistemas
Control:
• Instalar actualizaciones en los equipos y servidores de la compañía.
• Se debe adquirir software licenciado.
•Se deben desinstalar los programas que no sean de uso corporativo.
Control:
•Instalar las actualizaciones y parches de seguridad
•Instalar antivirus en el servidor en donde se aloja la plataforma de recaudo.
Control:
• Adquirir o rentar una planta que permita restablecer el servicio de energía temporalmente sin afectar las operaciones de la
compañía.
82
Área de preocupación: Alta Rotación de Personal
Control:
•Reconocimiento profesional
• Mejorar las condiciones de trabajo
• Brindar mejoras de ascens
• Bonificaciones por cumplimiento de metas.
• Mejorar ambiente laboral
•Capacitar constantemente al personal
Control:
• Adecuar un servidor dedicado que permite tener copias de seguridad de la plataforma de recaudo
en otra ciudad, asegurando la continuidad de la operación.
• Cada área debe tener un equipo contra incendios ubicado adecuadamente tales como
extinguidores, señalización
• Los materiales de alta tensión o combustibles deben ser almacenados en una zona segura a una
distancia prudencial.
83
Gracias!
Alguna consulta?
84