Analisis y riesgos
Páginas: 14 (3346 palabras)
Publicado: 14 de agosto de 2015
4. Análisis y propuestas
Debido a que SpiralByte no cuentan con un plan bien elaborado sobre la seguridad y continuidad de su negocio, nos hemos dado a la tarea de crear técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientosque resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
Los medios que hemos creado para llevar a cabo estas técnicas serán especificados a continuación:
Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas nilos archivos que no correspondan (sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentespuntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.
Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.
4.1. Análisis de riesgos de la empresa.
Elementos de un análisis de riesgo
Se pretende diseñar unas técnicas para implementar un análisisde riesgo informático en SpiralByte en donde se deben tomar los siguientes puntos como referencia a seguir:
1. Construir un perfil de las amenazas que esté basado en los activos de la organización.
Esta es una evaluación organizacional y se refiere a dos tareas importantes:
Recopilación de información de los distintos niveles de la organización, y la consolidación y el análisis de esainformación.
El equipo de análisis determina cuales activos son más importantes para la organización (activos críticos) e identifica lo que se está haciendo para proteger esos activos.
Los procesos a realizar son:
1.1 Identificar los conocimientos de Dirección: Identificar los elementos importantes, los altos directivos definir qué bienes son importantes para ellos y la organización. También priorizar losactivos para identificar los más importantes.
1.2 Identificar los conocimientos en el área de gestión operativa:
Descripción de las áreas de interés.
Definición de los requisitos de seguridad para los activos importantes.
La identificación de las estrategias actuales de protección y vulnerabilidades de la organización
Verificación de los participantes del personal
1.3 Crear perfil de Amenaza:Consolidación de datos preliminar: el equipo de análisis recoge las listas de activos, requisitos de seguridad, y áreas de interés recogidos en los procesos de 1 a 2 en un formato utilizable
Selección de los activos críticos: de todos los activos identificados por los altos directivos y operativos, generales y personal de TI, los más críticos son elegidos por el equipo de análisis
Definición de losrequisitos de seguridad para los activos críticos: el equipo de análisis refina cualquier información obtenida durante los procesos de 1 a 2 para llegar a un conjunto final de requisitos de seguridad
La determinación de las amenazas a los activos críticos: las áreas de interés definidas durante los procesos de 1 a 2 se refinan y se expanden los perfiles de amenaza.
2. Identificación de losactivos de información
Los activos de información son ficheros y bases de datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, material de formación, aplicaciones, software del sistema, equipos informáticos, equipo de comunicaciones, servicios informáticos y de comunicaciones, utilidades generales como por ejemplo calefacción, iluminación, energía y aire acondicionado y...
Debido a que SpiralByte no cuentan con un plan bien elaborado sobre la seguridad y continuidad de su negocio, nos hemos dado a la tarea de crear técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientosque resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
Los medios que hemos creado para llevar a cabo estas técnicas serán especificados a continuación:
Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas nilos archivos que no correspondan (sin una supervisión minuciosa).
Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro.
Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentespuntos.
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.
Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo.
4.1. Análisis de riesgos de la empresa.
Elementos de un análisis de riesgo
Se pretende diseñar unas técnicas para implementar un análisisde riesgo informático en SpiralByte en donde se deben tomar los siguientes puntos como referencia a seguir:
1. Construir un perfil de las amenazas que esté basado en los activos de la organización.
Esta es una evaluación organizacional y se refiere a dos tareas importantes:
Recopilación de información de los distintos niveles de la organización, y la consolidación y el análisis de esainformación.
El equipo de análisis determina cuales activos son más importantes para la organización (activos críticos) e identifica lo que se está haciendo para proteger esos activos.
Los procesos a realizar son:
1.1 Identificar los conocimientos de Dirección: Identificar los elementos importantes, los altos directivos definir qué bienes son importantes para ellos y la organización. También priorizar losactivos para identificar los más importantes.
1.2 Identificar los conocimientos en el área de gestión operativa:
Descripción de las áreas de interés.
Definición de los requisitos de seguridad para los activos importantes.
La identificación de las estrategias actuales de protección y vulnerabilidades de la organización
Verificación de los participantes del personal
1.3 Crear perfil de Amenaza:Consolidación de datos preliminar: el equipo de análisis recoge las listas de activos, requisitos de seguridad, y áreas de interés recogidos en los procesos de 1 a 2 en un formato utilizable
Selección de los activos críticos: de todos los activos identificados por los altos directivos y operativos, generales y personal de TI, los más críticos son elegidos por el equipo de análisis
Definición de losrequisitos de seguridad para los activos críticos: el equipo de análisis refina cualquier información obtenida durante los procesos de 1 a 2 para llegar a un conjunto final de requisitos de seguridad
La determinación de las amenazas a los activos críticos: las áreas de interés definidas durante los procesos de 1 a 2 se refinan y se expanden los perfiles de amenaza.
2. Identificación de losactivos de información
Los activos de información son ficheros y bases de datos, contratos y acuerdos, documentación del sistema, manuales de los usuarios, material de formación, aplicaciones, software del sistema, equipos informáticos, equipo de comunicaciones, servicios informáticos y de comunicaciones, utilidades generales como por ejemplo calefacción, iluminación, energía y aire acondicionado y...
Leer documento completo
Regístrate para leer el documento completo.