Identificación de salvaguardas para riesgos

COD AMENAZA TIPO DE ACTIVO COD VULNERABILIDAD Dirección V36 Gestión deficiente de las

6. SELECCIÓN DE CONTROLES

6.2. Identificación de salvaguardas para riesgos

A continuación, se encuentran los riesgos encontrados para la organización Lovato City Gas S.A.S y los respectivos controles que se van a utilizar para eliminar o mitigar el posible riesgo:

ID Riesgo COD Control

Accesos a las aplicaciones no autorizados

C1 La alta dirección de la empresa debe revisar periódicamente el estado de los usuarios roles y permisos en las aplicaciones y bases de datos.

C2 Monitorear periódicamente los Logs de las aplicaciones.

C3 Llevar un registro de las personas que ingresan a las instalaciones de la empresa. C4 Se debe capacitar al personal en el uso de las

aplicaciones los cuidados mínimos que debe tener, cerrar sesiones o bloquear el computador cuando no se encuentren en el puesto de trabajo

Abuso de privilegios de acceso

C5 Se deben realizar capacitaciones y tomar medidas sobre el uso de las aplicaciones para que no se abuse de información privilegiada. C6 Se debe crear un registro documental con

derechos y obligaciones del personal y cada área.

C7 Revocar derechos y accesos a las aplicaciones una vez se ha terminado el contrato del personal.

C8 Se debe tener una gestión de contraseñas y usuarios periódicamente.

Alteración de la información

C9 Se debe tener un Backup de toda la información en digital y esta debe estar en poderío de la alta gerencia.

C10 Se debe realizar un manual de la importancia de los datos e información confidencial de la empresa para que no sean alterados.

C11 Se debe capacitar al personal de la oficina informando la importancia de que la información no sea alterada.

C12 Se debe desarrollar políticas y normas dentro de la organización e indicar que es un deber del empleado mantener la información de la

ID Riesgo COD Control

misma manera como se le entrego sin alteración alguna.

Manipulación de aplicaciones

C13 Definir por escrito un documento el cual contenga buenas prácticas para manejar las aplicaciones de la empresa.

C14 Tener un documento claro donde se especifique los roles de usuarios que pueden acceder a las aplicaciones.

C15 Controlar el acceso de las personas ajenas o invitados a la empresa.

C16 Colocar mayor seguridad a las aplicaciones que se utilizan dentro de la organización. C17 Manejar métodos criptográficos para las

aplicaciones que se encuentran fuera de la intranet.

Denegación de acceso a las aplicaciones

C18 Se debe actualizar el acceso de las aplicaciones de los usuarios.

C19 Debe informar al supervisor o el área de tecnología la aplicación a la que está intentando acceder.

C20 Se debe denegar el acceso público y encriptar las aplicaciones que se encuentren fura de la intranet.

Caída de los sistemas

C21 Para la facturación que se realiza a través del sistema se debe tener unas facturas manuales en caso de caída del sistema de facturación, luego se deben ingresar al sistema con el mismo código de facturado, anexar la factura manual a la digital y guardarlos en una carpeta de facturas manuales la cual estará a cargo de la alta dirección.

C22 Se debe informar al área de tecnología para que proceda a revisar porque los sistemas se encuentran caídos.

C23 Asegurar los servidores

C24 Adquirir un sistema UPS en caso de caída eléctrica.

C25 Mantener los servicios internos de manera local para que no se vean afectados en caso de fallos de internet.

Corte del suministro eléctrico

C26 Adquirir un sistema de alimentación ininterrumpida (UPS) acorde a las necesidades de la organización.

ID Riesgo COD Control

Daños por agua o sustancia

C27 Ubicar los equipos a una altura prudente del suelo.

C28 Alejar los equipos y datos físicos de los talleres donde se pueden encontrar sustancias.

C29 Impermeabilizar el área de servidores y telecomunicaciones

Desastres naturales

C30 Garantizar la debida ejecución de las pruebas de continuidad.

C31 Realizar periódicamente simulacros de evacuación en caso de que se presente una emergencia.

C32 Tener un BackUp en la nube de la información confidencial

R10

Fuego C33 Realizar periódicamente simulacros de evacuación en caso de que se presente una emergencia.

C34 Adquisición de equipos contra incendios C35 Tener un BackUp en la nube de la información

confidencial R11 Condiciones inadecuadas de temperatura o humedad

C36 Como se manejan con talleres mecánicos es necesario alejar los activos de información de los talleres ya que en estos se encuentran altas temperaturas y humedad.

R12

Fallo de servicios

C37 Ejecutar las pruebas de contingencia de TI. C38 Garantizar que todos los equipos estén

ligados a un contrato con Acuerdos de niveles de servicio (SLA).

C39 Adquirir servidores adicionales que permitan la continuidad de negocio (COB).

C40 El área de tecnología debe atender inmediatamente el servicio caído.

R13 Degradación de los soportes de almacenamiento de la Información

C41 Se debe realizar una revisión periódica de los equipos utilizados realizar un respectivo mantenimiento y limpieza

C42 Los archivos confidenciales que se encuentren en físico se deben almacenar en carpetas con acetatos para prevenir el deterioro de esta información y la alta dirección debe encargarse del almacenamiento del mismo.

C43 Hacer una revisión cada tres meses liderado por el área de tecnología de todos los soportes de la información si alguno presenta deterioro

ID Riesgo COD Control

informar a la alta dirección para proceder a arreglo o cambio antes de que se pierda la información.

R14

Errores de los usuarios

C44 Realizar capacitaciones periódicamente al personal.

C45 Realizar capacitación completa al personal nuevo del buen uso de las aplicaciones e información.

C46 Tener un Check List de la lista d los posibles errores comunes de los usuarios con su respectiva solución para repararlo.

R15

Difusión de software dañino

C47 Implementar una política restrinja la instalación de software por parte de los usuarios.

C48 Revisar periódicamente el estado de los permisos de los usuarios.

C49 Revisar periódicamente las aplicaciones instaladas en los equipos de la compañía

R16

Destrucción de información

C50 Realizar periódicamente copias de respaldo de la información de los equipos.

C51 Realizar políticas donde el usuario que destruye la información asuma las consecuencias legales.

C52 Digitalizar todos los documentos físicos y tener un Backup de estos en la nube.

R17

Fuga de

información

C53 Revisar la configuración de los Logs de aplicaciones y bases de datos.

C54 Contar con un Antivirus y actualizar cada vez que se requiera. Además programar escaneos frecuentes.

C55 Configurar e instalar un Firewall.

R18

Indisponibilidad del personal

C56 Tener un plan de acción para cuando se presente esta indisponibilidad del personal. C57 Tener un delegado de actividades en caso de

que el usuario no pueda llevar a cabo la tarea por indisponibilidad.

R19

Errores de mantenimiento y actualización

C58 Se debe tener un documento con los posibles errores comunes de mantenimiento e instalación con su respectiva solución para ser aplicada en cualquier momento.

C59 El área de tecnología es la encargada de corregir o mitigar estos errores de instalación.

ID Riesgo COD Control

R20

Suplantación de identidad de personal

C60 Se debe revisar los Logs de aplicaciones las horas en las que entran los usuarios

C61 En caso de creer que exista suplantación el personal deber informar al alta dirección y al área de tecnología esta suplantación.

C62 Implementar una política restrinja los sitios de navegación por parte de los usuarios

R21

Robo o extorsión

C63 Realizar periódicamente pruebas de hacking ético para establecer el nivel de protección de los sistemas.

C64 Se debe remitir a las autoridades e informar el caso causado.

Tabla 45. Controles para los riesgos encontrados Fuente: Autores

In document Propuesta de implementación de un Sistema de Gestión de Seguridad de la Información basado en la Norma ISO 27001:2013 para la Empresa Lovato City Gas S A S (página 87-91)