Aplicando Iso 27001- Sgsi
Click here to load reader
-
Upload
patrisoft-sac -
Category
Documents
-
view
155 -
download
8
description
Transcript of Aplicando Iso 27001- Sgsi
AUDITORÍA DE SISTEMASNOMBRE: CÉSAR HERNÁN PATRICIO PERALTA
2012
CÉSAR HERNÁN PATRICIO PERALTA
COMPUTER PATRISOFT S.A.C. - 20510843810Implementación de Tecnologías de Información y Comnicaciones
Nº ACTIVIDAD DESCRIPCIÓN CATEGORÍA PROPIETARIO
1 Analista Programador Programador de Sistemas Personal Desarrollo
2 Archivador Documentos Archivador de Facturas Documentos Contabilidad
3 Archivador de Contratos Archivador de Contratos Documentos Contabilidad
4 BD Registro de Compras y Ventas Registro de Compras y Ventas Datos Contabilidad
5 Archivos del Servidor Archivos del Servidor Datos Gerencia Sistemas
6 Diseñador Web Diseñador Web Personal Diseño
7 BD Contabilidad - Hosting BD Contabilidad - Hosting Datos Gerencia Sistemas
8 BD Logística - Hosting BD Logística - Hosting Datos Gerencia Sistemas
9 BD Colegios - Hosting BD Colegios - Hosting Datos Gerencia Sistemas
10 Código Fuente - Sistema Contable Código Fuente - Sistema Contable Datos Desarrollo11 Código Fuente - Sistema Logístico Código Fuente - Sistema Logístico Datos Desarrollo12 Código Fuente - Sistema Colegio Código Fuente - Sistema Colegio Datos Desarrollo13 Código Fuente - Sistema Ventas Código Fuente - Sistema Ventas Datos Desarrollo14 Agenda Personal Agenda Personal Datos Gerencia Sistemas15 Correos de Los Clientes Correos de Los Clientes Datos Gerencia Sistemas16 BD Asistencia Personal BD Asistencia Personal Datos Gerencia Sistemas17 CD Soporte Técnico CD Soporte Técnico Matriales Soporte Técnico
www.computerpatrisoft.com
CUSTODIO UBICACIÓN AMENAZAS VULNERABILIDADIMPACTO
PROBABILIDADC I D
Programador Equipo Personal A1 V1 M1 B1 A1 M M M
Contabilidad Equipo Contabilidad A3 V3 B2 M2 B2 B A A
Contabilidad Equipo Contabilidad A3 V3 B2 M2 B2 B A A
Contabilidad Equipo Contabilidad A4 V4 M3 A3 A3 M B B
Gerencia Sistemas Servidor de Archivos A5 V1,V2 M1 M1 B1 M M M
Diseñador Web Equipo Personal A6 V1,V5 M4 B4 A4 M M M
Gerencia Sistemas Laptop Gerencia A2,A7,A9 V1,V2,V6 M5 B5 B5 B A A
Gerencia Sistemas Laptop Gerencia A2,A7,A9 V1,V2,V6 M5 B5 B5 B A A
Gerencia Sistemas Laptop Gerencia A2,A7,A9 V1,V2,V6 M5 B5 B5 B A A
Desarrollo Servidor de Archivos A2,A7 V1,V2,V5,V7
Desarrollo Servidor de Archivos A2,A7 V1,V2,V5,V7
Desarrollo Servidor de Archivos A2,A7 V1,V2,V5,V7
Desarrollo Servidor de Archivos A2,A7 V1,V2,V5,V7
Gerencia Sistemas Escritorio Gerencia A8 V3
Gerencia Sistemas Laptop Gerencia A2,A9 V3
Gerencia Sistemas Servidor de Archivos A2,A7 V1,V2
Soporte Técnico Soporte Técnico A10 V8
VALOR IMPACTO
RIESGO INHERENTE
CTRL PBR PTR
C1 M B B B
C3 A M M M
C3 A M M M
C1,C4 B A B A
C1,C2,C5 M M B A
C1,C2,C5 B M B A
C1,C2,C5,C6 A M B M
C1,C2,C5,C6 A M B M
C1,C2,C5,C6 A M B M
VALOR RIEGO INHERENTE
RIESGO RESIDUAL
AMENAZASNº TIPO
1 A1
2 A2
3 A3
4 A4
5 A5
6 A6
7 A7
8 A8
9 A9
10 A10
11 A11
12 A12
13 A13
14 A14
15 A15
16 A16
17 A17
18 A18
19 A19
20 A20
21 A21
22 A22
23 A23
24 A24
25 A25
26 A26
27 A27
28 A28
29 A29
30 A30
AMENAZASDESCRIPCIÓN
Robo de Información (Código Fuente)
Cuenta con Clave de Acceso sin renobar
Monto de Facturas de Clientes en Archivadores sin Protección
Controlar los Diseños web de los clientes en Forma Privada
Dejar Laptop en la Oficina
Realizar Inventario de CDs cada Semana
Información de Ingresos y Egresos Mensual de la Empresa en las computadoras de otra área o abiertos
Falta Preocupación de Cambio de Clave a Los Servidores Temporalmente
Data importante debe de estar guardada en backup fuera de la empresa
Documentos Personales deben de estar Guardados en lugares con llave
VULNERABILIDADNº TIPO DESCRIPCIÓN
1 V1
2 V2
3 V3
4 V4
5 V5
6 V6 Evitar dejar laptop de gerencia en la empresa
7 V7
8 V8
9 V910 V1011 V1112 V1213 V1314 V1415 V1516 V1617 V1718 V1819 V1920 V2021 V2122 V2223 V2324 V2425 V2526 V2627 V2728 V2829 V2930 V30
No tenga conocimiento Politicas de Privacidad de Informcación
No Cambia cada cierto tiempo de clave a los equipos
Evitar dejar Documentos Privados al alcance de los trabajadores
Evitar dejar Archivos en Otras computadoras o dejar abiertos los Archivos Importantes
Evitar que cualquier Personal use USB o correo Externo en la Empresa
Realizar Backup cada semana y guardarlos en otra ubicación fuera de la empresa
Presentar cada semana la actualización de Materiales y CD del Área de Soporte
Formula: IMPACTO=C+I+D
IMPACTO 1C I D
A1 Cuenta Con Politicas 90% A1 Cumple con Politicas de Privacidad 90% A1M1 Cuenta con algunas 50% M1 Cumple algunas 50% M1B1 No Cuenta 25% B1 No Cumple 25% B1
Valor Impacto 6 MIMPACTO 2
C I D
A2 90% A2 90% A2
M2 50% M2 Cumple algunas 50% M2
B2 No Cuenta 25% B2 No Cumple 25% B2
Valor Impacto 4 B
IMPACTO 3C I D
A3 90% A3 90% A3
M3 50% M3 Cumple algunas 50% M3
B3 No Cuenta 25% B3 No Cumple 25% B3
Valor Impacto 8 M
IMPACTO 4C I D
A4 90% A4 90% A4
M4 50% M4 Cumple algunas 50% M4
B4 No Cuenta 25% B4 No Cumple 25% B4
Valor Impacto 6 M
Cuenta Con Protección los Archivadores y o Documentos
Cumple con Politicas de Protección de Documentos
Cuenta con Cajones con Llave
Uso de información en equipos asignados
Cumple con Politicas de uso de los equipos asigandos
Cuentan con clave para cada equipo asignado
Cuentan las computadoras con los puertos Usb Bloqueados y uso de otro tipo de correo
Cumple con Politicas de uso de los equipos con bloqueo de usb y correo
Cuentan con usb bloqueados pero uso de correos no
IMPACTO 5C I D
A5 90% A5 90% A5
M5 Cumple algunas 50% M5 Cumple algunas 50% M5B5 No Cuenta 25% B5 No Cumple 25% B5
Valor Impacto 4 B
Cuenta con control de backup semanales, y politicas en uso de información
Cumple con Politicas de uso de los backups asignados al DBA
IMPACTO 1VALORD
Cumple com documentos disponibles 90% 9Cumple algunas 50% 6No Cumple 25% 3
IMPACTO 2VALORD
90% 9
Cumple algunas 50% 1
No Cumple 25% 3
IMPACTO 3VALORD
90% 9
Cumple algunas 50% 6
No Cumple 25% 3
IMPACTO 4VALORD
90% 9
Cumple algunas 50% 6
No Cumple 25% 3
Cumple con documentos disponibles que indican el resguardo de documentos con valor
Cumple con documentos disponibles que indican el uso unico de equipo por personal
Cumple con documentos disponibles que indican el bloqueo de usb y correos
IMPACTO 5VALORD
90% 9
Cumple algunas 50% 6No Cumple 25% 3
Cumple con documentos disponibles el uso de backup semanales
PROBABILIDADB 1 VEZ X AÑOM 6 MESESA 1 MES
CONTROLESNº TIPO DESCRIPCIÓN
1 C1
2 C2
3 C3 Colocar stand con Llave para los Archivadores
4 C4
5 C5
6 C6 Bloquear Usb y Correo externos7 C78 C89 C9
10 C1011 C1112 C1213 C1314 C1415 C1516 C1617 C17
Capacitación al Personal sobre las Política privacidad de Información
Firma de Compromiso de Confidencialidad de Información
Colocar Claves y Asiganar Politicas de uso de asignación de equipos por personal
Cambiar las claves termporalamente a los servidores
RIESGO INHERENTEB 7-9M 4-6A 1-3
R.I.= I*P