• No se han encontrado resultados

Plan de implementación del SGSI basado en la Norma ISO 27001 para la Empresa Ticsocial S A S

N/A
N/A
Protected

Academic year: 2020

Share "Plan de implementación del SGSI basado en la Norma ISO 27001 para la Empresa Ticsocial S A S"

Copied!
8
0
0

Texto completo

(1)TICSOCIAL S.A.S. Tabla evlauacion de riesgos. No. Nombre Activo. Propietario del activo. Amenza. R001. Correo electronico. Área administrativa/ Líder área de desarrollo. Difusion de software dañino. R002. WWW. Líder área de desarrollo. R003. WWW. Líder área de desarrollo. R004. R005. Intercambio electronico de datos Intercambio electronico de datos. Líder área de desarrollo Líder área de desarrollo. Vulnerabilidad. Propietario Consecue Probabili Riesgo Controles existentes del riesgo ncia dad. Falta de proteccion Líder área de contra virus y desarrollo codigo malicioso. Falta de Errores de Líder área de mantenimiento/actuali capacitación de desarrollo zacion de programas trabajo Caida del sistema por Falta de planes de Líder área de agotamiento de contingencia desarrollo recursos Falta de Líder área de Escapes de información politicas/normas/pr desarrollo ocedimientos Área Suplantacion de la Control de acceso administrativ identidad del usuario inadecuado a. 1. 3. Protección mediante anti-virus. 2. 2. 4. Ninguno en el momento. 2. 2. 4. Ninguno en el momento. 2. 1. 3. Ninguno en el momento. 2. 2. 4. Ninguno en el momento. 2. 2. 4. Ninguno en el momento. R006. Archivos de configuracion. Líder área de desarrollo. Suplantacion de la identidad del usuario. R007. Archivos de configuracion. Líder área de desarrollo. Acceso no autorizado. Administración deficiente de contraseña. Líder área de desarrollo. 2. 2. 4. Ninguno en el momento. R008. Datos control de acceso. Líder área de desarrollo. Errores del administrador. Definicion de rol inadecuada. Líder área de desarrollo. 1. 1. 2. Ninguno en el momento. Tabla de evaluación de riesgos. Falta de conciencia Líder área de de seguridad desarrollo. 2. Page 1 of 4.

(2) TICSOCIAL S.A.S. Datos control de R009 acceso. Líder área de desarrollo. R010. Datos prueba. Líder área de desarrollo. R011. Backups. Líder área de desarrollo. R012. Backups. Líder área de desarrollo. R103. Backups. Líder área de desarrollo. R014. Codigo Fuente. Líder área de desarrollo. R015. Codigo Fuente. Líder área de desarrollo. R016. Bases de datos corporativas. Líder área de desarrollo. Errores del administrador. R017. Bases de datos corporativas. Líder área de desarrollo. Suplantacion de la identidad del usuario. R018. Credenciales. Líder área de desarrollo. Indisponibilidad de personal. Tabla de evaluación de riesgos. Escapes de información. Falta de documentación. Área administrativ a. 2. 1. 3. Ninguno en el momento. 2. 1. 3. Ninguno en el momento. 2. 2. 4. Ninguno en el momento. 2. 2. 4. Ninguno en el momento. 2. 2. 4. Ninguno en el momento. 2. 2. 4. Ninguno en el momento. 2. 1. 3. Ninguno en el momento. Líder área de desarrollo. 1. 1. 2. Ninguno en el momento. Líder área de desarrollo. 2. 1. 3. Ninguno en el momento. Líder área de desarrollo. 1. 0. 1. Ninguno en el momento. Testeo Líder área de inadecuado/insufici desarrollo ente Monitoreo Destrucción de insuficiente de Líder área de información medidas de desarrollo seguridad Instalación/Desisnt Errores de Líder área de mantenimiento/actuali alación no desarrollo zacion de programas controlada Errores de Protección fisica Líder área de mantenimiento/actuali inadecuada desarrollo zacion de equipos Monitoreo Difusion de software insuficiente de Líder área de dañino medidas de desarrollo seguridad Errores de Falta de Líder área de mantenimiento/actuali politicas/normas/pr desarrollo zacion de programas ocedimientos Difusion de software dañino. Definicion de rol inadecuada Administración deficiente de contraseña Ausentismo y/o personal insuficiente. Page 2 of 4.

(3) TICSOCIAL S.A.S. R019. Credenciales. Líder área de desarrollo. Suplantacion de la identidad del usuario. Contraseñas no protegidas. Líder área de desarrollo. 1. 1. 2. Ninguno en el momento. Monitoreo insuficiente de medidas de seguridad. Líder área de desarrollo. 1. 2. 3. Ninguno en el momento. Definicion de rol inadecuada. Líder área de desarrollo. 1. 1. 2. Ninguno en el momento. Falta de conciencia Líder área de desarrollo de seguridad. 1. 0. 1. Ninguno en el momento. R020. Routers. Líder de tecnología. Averia de origen fisico o lógico. R021. Servidor de correos. Líder de tecnología. Acceso no autorizado. R022. Servidor de BD. Líder de tecnología. Errores del administrador. R023. Servidor de BD. Líder de tecnología. R024. Informatica Personal. Líder de tecnología. R025 R026. R027. R028. Informatica Personal Informatica Movil Informatica Movil. Perifericos. Líder de tecnología Líder de tecnología. Falta de Alteración accidental politicas/normas/pr de la información ocedimientos Locación/almacena Difusion de software miento no dañino protegido Falla del hardware Perdida de equipos y sus componentes Definicion de rol Acceso no autorizado inadecuada. Líder área de desarrollo. 2. 1. 3. Backups para restaurar la información. Líder de tecnología. 1. 1. 2. Protección mediante anti-virus. 1. 0. 1. 1. 0. 1. Líder de tecnología Líder de tecnología. Líder de tecnología. Robo. Protección fisica inadecuada. Líder de tecnología. 1. 0. 1. Líder de tecnología. Averia de origen fisico o lógico. Monitoreo insuficiente de medidas de seguridad. Líder de tecnología. 1. 0. 1. Tabla de evaluación de riesgos. Ninguno en el momento Ninguno en el momento Los dispositivos moviles pertenecientes a la empresa se mantiene dentro de las oficinas Ninguno en el momento. Page 3 of 4.

(4) TICSOCIAL S.A.S. Errores de R029 Soporte de la red Líder de tecnología mantenimiento/actuali zacion de equipos R030. Red inalambrica. Líder de tecnología. Acceso no autorizado. R031. Red local. Líder de tecnología. Acceso no autorizado. R032. Gerencia. Área administrativa. Indisponibilidad de personal. R033. Bases de datos. Líder de tecnología. Acceso no autorizado. R034. Bases de datos. Líder de tecnología. Alteración accidental de la información. R035. Bases de datos. Líder de tecnología. Acceso no autorizado. R036. Sistema Operativo /Ofimatica. Líder de tecnología. Monitoreo insuficiente de medidas de seguridad Falta de conciencia de seguridad Administración de red inadecuada Ausentismo y/o personal insuficiente Control de acceso inadecuado Control inadecuado de BD Monitoreo insuficiente de medidas de seguridad. Vulnerabilidades de los Falta de conciencia programas de seguridad. Líder de tecnología. 0. 1. 1. 1. 2. 2. 1. 3. 1. 0. 1. 1. 1. 2. 2. 1. 3. Líder de tecnología. 2. 1. 3. Ninguno en el momento. Líder de tecnología. 1. 0. 1. Ninguno en el momento. 2. 0. 2. Ninguno en el momento. 1. 0. 1. Ninguno en el momento. 2. 1. 3. Ninguno en el momento. Líder de tecnología Líder de tecnología Área administrativ a Líder de tecnología Líder de tecnología. Falta de Área delegación/particip administrativ ación/secesión a Falta de Líder área de Desarrolladores/ Líder área de Abuso de privilegios de R038 capacitación de desarrollo programadores desarrollo acceso trabajo Área administrativa/ Falta de Área Deficiencias en la R039 Proovedores Líder área de delegación/particip administrativ organización desarrollo ación/secesión a R037. Desarrolladores/ programadores. Tabla de evaluación de riesgos. Líder área de desarrollo. Indisponibilidad de personal. Ninguno en el momento. 1. Ninguno en el momento Ninguno en el momento Ninguno en el momento Ninguno en el momento Ninguno en el momento. Page 4 of 4.

(5) Categoria de activos Los siguientes son ejemplos de activos de información que se pueden encontrar en la organización. Personas. Alta dirección (miembros de la junta directiva, miembros de la junta supervisora, gerentes de unidades de neg Equipo de desarrollo Área administrativa Área de definición procesos Personas externas que visitan la organización. Aplicaciones y bases de datos AWS MySQL navicat (Licensida) Microsoft PowerBI Microsoft Office (Licensiada) Infobip Documentación (en papel o en formato electronico) Contratos Correspondencia de clietnes Reportes Facturacion Documentos personales TI, comunicaciones y otros equipos. Computadores de escritorio Portatiles Chromecast Impresoras Equipo de red Tablets Disco duro portable Infraestructura Oficina Rack para equipos de Red Mesas de oficina Servicios externalizados Servicios de correo y mensajeria Plataforma de comunicaciones.

(6) a, gerentes de unidades de negocios).

(7) Catalogo de amenzas La siguiente es una lista de amenazas. Esta lista no es definitiva. Fuego Daños por agua Desatres Naturales Desastres Industriales Averia de origen fisico o lógico Corte del suministro electrico Fallo de servicios de comunicaciones Errores de los usuarios Errores del administrador Deficiencias en la organización Difusion de software dañino Errores de (re-) encaminamiento Escapes de información Alteración accidental de la información Destrucción de información Vulnerabilidades de los programas Errores de mantenimiento/actualizacion de programas Errores de mantenimiento/actualizacion de equipos Caida del sistema por agotamiento de recursos Perdida de equipos Indisponibilidad de personal Suplantacion de la identidad del usuario Abuso de privilegios de acceso Acceso no autorizado Robo.

(8) Catalago de vulnerabilidades La siguiente es una lista de vulnerabilidades. Esta lista no es definitiva Protección fisica inadecuada Control de acceso inadecuado Desastre Natural Desastre provocado por el hombre Monitoreo insuficiente de medidas de seguridad Inadecuada prevención contra incendio/detección Ausentismo y/o personal insuficiente Definicion de rol inadecuada Falta de conciencia de seguridad Falta de capacitación de trabajo Falta de politicas/normas/procedimientos Falta de delegación/participación/secesión Falla del hardware y sus componentes Almacenamimento inadecuado/impropio Administración de red inadecuada Capacidad inadecuada de red Puntos de acceso no protegido Especificacion inadecuada/incompleta Testeo inadecuado/insuficiente Incopatibilidad(SW) Instalación/Desisntalación no controlada Contraseñas no protegidas Administración deficiente de contraseña Falta de documentación Falta de proteccion contra virus y codigo malicioso Locación/almacenamiento no protegido Control inadecuado de BD Falta de planes de contingencia Respaldo de datos.

(9)

Figure

Tabla evlauacion de riesgos
Tabla de evaluación de riesgos Page 2 of 4
Tabla de evaluación de riesgos Page 4 of 4

Referencias

Documento similar

En un estudio clínico en niños y adolescentes de 10-24 años de edad con diabetes mellitus tipo 2, 39 pacientes fueron aleatorizados a dapagliflozina 10 mg y 33 a placebo,

• Descripción de los riesgos importantes de enfermedad pulmonar intersticial/neumonitis asociados al uso de trastuzumab deruxtecán. • Descripción de los principales signos

Debido al riesgo de producir malformaciones congénitas graves, en la Unión Europea se han establecido una serie de requisitos para su prescripción y dispensación con un Plan

Como medida de precaución, puesto que talidomida se encuentra en el semen, todos los pacientes varones deben usar preservativos durante el tratamiento, durante la interrupción

que hasta que llegue el tiempo en que su regia planta ; | pise el hispano suelo... que hasta que el

E Clamades andaua sienpre sobre el caua- 11o de madera, y en poco tienpo fue tan lexos, que el no sabia en donde estaña; pero el tomo muy gran esfuergo en si, y pensó yendo assi

• For patients with severe asthma and who are on oral corticosteroids or for patients with severe asthma and co-morbid moderate-to-severe atopic dermatitis or adults with

Administration of darolutamide (600 mg twice daily for 5 days) prior to co-administration of a single dose of rosuvastatin (5 mg) together with food resulted in approximately