sábado, 30 de julio de 2011

[NTP/ISO 17799-2007] Dominio 8


Adquisición, desarrollo y mantenimiento de Sistemas
(Aplicación en la Empresa GACH Ingenería S.A.C.)
Servicios
Esta empresa se dedica al rubro de proyectos, instalación, auditoria e implementación de sistemas eléctricos así como la comercialización de materiales eléctricos en general.
-          Proyectos y Optimización de Sistemas Eléctricos.
-          Estudio de Calidad de Energía – Ahorro de Energía
-          Compensación Reactiva
-          Automatización
-          Puesta a Tierra
-          Tableros y Subestaciones Eléctricas
-          Redes Eléctricas en B.T y A.T.
-          Venta de Materiales Eléctricos en general
dominio 8
Adquisición, desarrollo y mantenimiento de Sistemas
En esta cláusula se menciona seis categorías de seguridad, las cuales se ramifican en sub-categorías, cada categoría contiene:
a)      Un objetivo de control declarando lo que se desea alcanzar.
b)      Uno o más controles que pueden ser aplicados para alcanzar el objetivo de control.

Descripción Actual:

La empresa GACH INGENIERIA no cuenta con un área de desarrollo de aplicaciones, pero si tiene conocimientos de la necesidad de implementar aplicaciones que le permita la gestión de la contabilidad, del inventariado( de los equipos con los que cuenta para realizar sus actividades de instalación eléctricas y/o de redes), por lo tanto la aplicación de este dominio en lo referente  a la primera parte no es factible, debido a la ausencia de desarrollo, pero la empresa si adquiere paquetes de trabajo, y cuenta con software existente.
Aplicaciones que cuentan en la actualidad.
Aplicaciones de Seguridad

ANTIVIRUS
                McAfee Antivirus Plus. Es un antivirus con el cual la empresa defiende sus ordenadores de toda clase de malware, incluyendo virus, troyanos, gusanos o programas espías.
                Bit Defender 2010. Es un antivirus cuya característica principal es que no consume muchos recursos del ordenador,  también erradica spyware e intercepta intentos de phishing al navegar. Al mismo tiempo, comprueba el sistema en busca de vulnerabilidades.
Aplicaciones de Diseño
                AutoCAD. Es una herramienta profesional pensada para el diseño y creación de planos, mapas, esquemas y diseños en 2D/3D. Actualmente es un referente en el campo del diseño asistido por ordenador, usado tanto por arquitectos e ingenieros como por la industria y diseñadores en general.
                GCAD 3D. Es un programa de diseño en tres dimensiones pensado para diversos usos como la arquitectura, diseño industrial, etc.
Aplicaciones de Escritorio
Suite Office 2010. Conjunto de aplicaciones con los cuales la empresa realiza sus actividades.
Aplicaciones incluidas
§  Microsoft Access 2010
§  Microsoft Excel 2010
§  Microsoft OneNote 2010
§  Microsoft Outlook 2010
§  Microsoft PowerPoint 2010
§  Microsoft Publisher 2010
§  Microsoft Word 2010
§  Microsoft Visio 2010
§  Microsoft Project 2010
Sistema Operativo
                Windows 7. Es la versión más reciente de Microsoft Windows, línea de sistemas operativos producida por Microsoft Corporation.
Aplicaciones y herramientas secundarias (Winrar, Adobe Reader, etc.)
Categorías del Dominio a implementar:
1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS


IMPLEMENTACIÓN  DE LA CATEGORIA:

Requisitos de Seguridad de los Sistemas
GACH INGENIERIA S.A.C
Objetivo
Requisitos de la seguridad de los Sistemas de Información
Antivirus. Si bien actualmente tienen implementados dos antivirus, no se le está obteniendo el máximo provecho, debido a que sus configuraciones están por defectos, es así que tienen amenaza potencial en cuanto a seguridad informática, producto de la vulnerabilidad innata de las configuraciones predeterminadas.
También el antivirus Bit Defender entre una de sus funcionalidades es listar las vulnerabilidades del ordenador en el cual se encuentra instalado, pero actualmente no hay persona encargada de realizar estas actividades de manera periódica.
En el caso del antivirus McAfee, tiene las siguientes funcionalidades, que actualmente no están siendo utilizadas de la manera  eficiente:
Ö        Integración del  cortafuegos y protección de e-mail y web
Ö        Protección en tiempo real y análisis programable
Ö        Borrado permanente de archivos
Ö        Limpiador de disco
En el caso del antivirus Bit Defender, tenemos las siguientes características:
Ö        Panel de estado claro y conciso
Ö        Consumo de recursos muy bajo
Ö        Cifrado de mensajería instantánea
Ö        Modo Juego y Modo Portátil
Observaciones:
Cabe mencionar que el borrado de la información sensible está siendo gestionado por el Sistema Operativo y que el ordenador principal posee el antivirus McAfee.
1.3 Lista de Actividades
FASE I. Recopilación y Registro.
1.       Identificar la forma en la cual se gestiona la información.
2.       Identificar las características de cada área en cuanto a accesibilidad y confidencialidad de la información.
3.       Identificar los recursos físicos con los cuales cada área dispone.
4.       Listar las vulnerabilidades existentes en cuanto al manejo de la información.
5.       Listar vulnerabilidades inherentes en la información que se transmite o accede.
6.       Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes.
7.       Registrar los requerimientos de seguridad de los interesados.
8.       Registrar las vulnerabilidades de las actuales aplicaciones.
9.       Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.
10.   Elaborar una guía acerca de los procesos de gestión de riesgos, para identificar los requisitos para controles de seguridad, basándose en la ISO/IEC TR 13335-3 conjuntamente con los requisitos de seguridad del manejo y accesibilidad de información
11.   Realizar en cual se detallen las métricas a utilizar en la fase se seguimiento y control.
FASE II. Implementación
1.       Configurar las aplicaciones existentes  de acuerdo a los requisitos de seguridad  registrados.
2.       Elaborar un documento en el cual se detalla  las especificaciones de seguridad de las actuales aplicaciones y de aquellos aspectos que deben considerarse en la adquisición de nuevos paquetes de software o aplicaciones.
3.       Elaborar un documento en el cual se determinan criterios para la evaluación de productos de seguridad de TI, basándose en la ISO/IEC 15408.
FASE III. Seguimiento y control
Realizar un seguimiento periódico  para determinar si la implementación ha sido satisfactoria, para ello se utilizaría las siguientes métricas:
Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a páginas web prohibidas; número de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/críticos).
Estadísticas de vulnerabilidad de sistemas y redes, como nº de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categorías del fabricante o propias).
1.4 Recomendaciones:
Involucrar a los "propietarios de activos de información" en evaluaciones de riesgos a alto nivel y conseguir su aprobación de los requisitos de seguridad que surjan. Debido que si son realmente responsables de proteger sus activos, es en interés suyo hacerlo de una manera correcta
Estar actualizado en cuanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientación sobre la implementación, como, p. ej., OWASP...
Deseas saber más?
DESCARGAR
       

0 comentarios:

Publicar un comentario

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Blogger Templates - Premium Blogger Themes