Analisis De Vulnerabilidades
Páginas: 30 (7458 palabras)
Publicado: 18 de junio de 2012
Tabla de Contenido
Introducción 3
Objetivos4
Metodología5
Planear y Organizar6
1. Definir un plan estratégico6
2. Definir la arquitectura de la información 7
3. Determinar la dirección tecnológica 8
4. Determinar los procesos, organización y relaciones de TI8
5. Administrar la inversión en TI 9
6. Comunicar las aspiraciones y la dirección de la gerencia11
7. Administrar losrecursos humanos de TI 12
8. Administrar la calidad13
9. Evaluar y administrar los riesgos de TI14
10. Administrar proyectos 16
Preguntas aplicando ISO 27001-2005
* Política de seguridad18
* Organización de la seguridad de la información 18
* Gestión de activos19
* Seguridad de los recursos humanos20
* Seguridad física y ambiental21
* Gestión de las comunicaciones yoperaciones22
* Control de acceso25
* Adquisición, desarrollo y mantenimiento de los sistemas de información 27
* Gestión de incidentes en la seguridad de la información 28
* Cumplimiento29
Situación presupuestal y financiera30
Bibliografía32
Introducción
El presente trabajo trata de una serie de procedimientos para analizar y evaluar las vulnerabilidades que se pueden presentar en unaempresa en este caso se hicieron en la empresa SOTEC (Soluciones Técnicas), sin embargo se trata de generalizar los tipos de debilidades que pueden presentar, para poder adaptarlo a cualquier tipo de empresa que involucre sistemas de información.
“El fraude informático puede darse desde un área técnica hasta un departamento de Marketing o recursos humanos”
Federico Pacheco, ESET
Comentariotomado de ITNOW, mayo 2011-Edicion 67
Objetivos
* Brindar un estudio de las vulnerabilidades en que puede verse involucrada la empresa.
* Determinar si existen políticas de seguridad.
* Determinar si tienen implementada la planeación estratégica.
* Determinar como es el flujo de información.
* Determinar si se realizan procesos de respaldo de información.
* Inculcar oconcientizar la importancia de los activos de la empresa.
Metodología
* Identificar si las políticas de seguridad están siendo implementadas adecuadamente.
* Determinar si tienen aplicados procesos para evitar ataques externos.
* Identificar si la empresa tiene un sistema de detección y prevención de intrusos.
* Identificar y evaluar los mecanismos de seguridad de la información.* Identificar si recursos humanos esta al tanto de las políticas de seguridad.
* Verificar las áreas en las que se encuentran los servidores para determinar si son seguras.
* Evaluar que el acceso físico a las áreas de información critica este restringido.
* Incorporar una serie de cuestionarios para agilizar la evaluación.
Figura #1, Los cuatro dominios Interrelacionados de COBITPlanear y Organizar
Se puede decir que la planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI ya que nos brinda un patrón a seguir.
Se logra con:
* El compromiso con la alta gerencia y con la gerencia del negocio para alinear la planeación estratégica de TI con las necesidades del negocio actuales y futuras.
* El entendimiento de las capacidades actualesde TI.
* La aplicación de un esquema de prioridades para los objetivos del negocio que cuantifique los requerimientos de negocio.
Se mide con:
* El porcentaje de objetivos de TI en el plan estratégico de TI, que dan soporte al plan estratégico del negocio.
* El porcentaje de proyectos TI en el portafolio de proyectos que se pueden rastrear hacia el plan táctico de TI.
* El retrasoentre las actualizaciones del plan estratégico de TI y las actualizaciones de los planes tácticos de TI.
Modelo de madurez
1. Definir un plan estratégico
* Determinar si la empresa tiene definido un plan estratégico de TI.
(Echenique)0 | No existe | X |
1 | Inicial | |
2 | Repetible pero intuitivo | |
3 | Definido | |
4 | Administrado y Medido | |
5 | Optimizado | |
Donde:...
Introducción 3
Objetivos4
Metodología5
Planear y Organizar6
1. Definir un plan estratégico6
2. Definir la arquitectura de la información 7
3. Determinar la dirección tecnológica 8
4. Determinar los procesos, organización y relaciones de TI8
5. Administrar la inversión en TI 9
6. Comunicar las aspiraciones y la dirección de la gerencia11
7. Administrar losrecursos humanos de TI 12
8. Administrar la calidad13
9. Evaluar y administrar los riesgos de TI14
10. Administrar proyectos 16
Preguntas aplicando ISO 27001-2005
* Política de seguridad18
* Organización de la seguridad de la información 18
* Gestión de activos19
* Seguridad de los recursos humanos20
* Seguridad física y ambiental21
* Gestión de las comunicaciones yoperaciones22
* Control de acceso25
* Adquisición, desarrollo y mantenimiento de los sistemas de información 27
* Gestión de incidentes en la seguridad de la información 28
* Cumplimiento29
Situación presupuestal y financiera30
Bibliografía32
Introducción
El presente trabajo trata de una serie de procedimientos para analizar y evaluar las vulnerabilidades que se pueden presentar en unaempresa en este caso se hicieron en la empresa SOTEC (Soluciones Técnicas), sin embargo se trata de generalizar los tipos de debilidades que pueden presentar, para poder adaptarlo a cualquier tipo de empresa que involucre sistemas de información.
“El fraude informático puede darse desde un área técnica hasta un departamento de Marketing o recursos humanos”
Federico Pacheco, ESET
Comentariotomado de ITNOW, mayo 2011-Edicion 67
Objetivos
* Brindar un estudio de las vulnerabilidades en que puede verse involucrada la empresa.
* Determinar si existen políticas de seguridad.
* Determinar si tienen implementada la planeación estratégica.
* Determinar como es el flujo de información.
* Determinar si se realizan procesos de respaldo de información.
* Inculcar oconcientizar la importancia de los activos de la empresa.
Metodología
* Identificar si las políticas de seguridad están siendo implementadas adecuadamente.
* Determinar si tienen aplicados procesos para evitar ataques externos.
* Identificar si la empresa tiene un sistema de detección y prevención de intrusos.
* Identificar y evaluar los mecanismos de seguridad de la información.* Identificar si recursos humanos esta al tanto de las políticas de seguridad.
* Verificar las áreas en las que se encuentran los servidores para determinar si son seguras.
* Evaluar que el acceso físico a las áreas de información critica este restringido.
* Incorporar una serie de cuestionarios para agilizar la evaluación.
Figura #1, Los cuatro dominios Interrelacionados de COBITPlanear y Organizar
Se puede decir que la planeación estratégica de TI es necesaria para gestionar y dirigir todos los recursos de TI ya que nos brinda un patrón a seguir.
Se logra con:
* El compromiso con la alta gerencia y con la gerencia del negocio para alinear la planeación estratégica de TI con las necesidades del negocio actuales y futuras.
* El entendimiento de las capacidades actualesde TI.
* La aplicación de un esquema de prioridades para los objetivos del negocio que cuantifique los requerimientos de negocio.
Se mide con:
* El porcentaje de objetivos de TI en el plan estratégico de TI, que dan soporte al plan estratégico del negocio.
* El porcentaje de proyectos TI en el portafolio de proyectos que se pueden rastrear hacia el plan táctico de TI.
* El retrasoentre las actualizaciones del plan estratégico de TI y las actualizaciones de los planes tácticos de TI.
Modelo de madurez
1. Definir un plan estratégico
* Determinar si la empresa tiene definido un plan estratégico de TI.
(Echenique)0 | No existe | X |
1 | Inicial | |
2 | Repetible pero intuitivo | |
3 | Definido | |
4 | Administrado y Medido | |
5 | Optimizado | |
Donde:...
Leer documento completo
Regístrate para leer el documento completo.