Dominio 8 grupo 11
-
Upload
alexander-velasque -
Category
Technology
-
view
957 -
download
0
Transcript of Dominio 8 grupo 11
![Page 1: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/1.jpg)
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Equipo Nº 11
UNFV – FIIS -2011
Universidad Nacional Federico Villarreal
Aplicación del Dominio
![Page 2: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/2.jpg)
IntroducciónLA INFORMACIÓN ES UN ACTIVO PARA LAS ORGANIZACIONES Y EN CONSECUENCIA REQUIERE UNA PROTECCIÓN ADECUADA, Y DEBIDO AL ACTUAL AMBIENTE CRECIENTE ESTÁ EXPUESTA A UN MAYOR RANGO DE AMENAZAS SIN CONTAR CON LAS DEBILIDADES INHERENTES DE LA MISMA.
![Page 3: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/3.jpg)
EMPRESANombre
“GACH INGENIERIA SAC”
GG:
Ing. César A. Cuyutupa Calixto
RUBRO:
Suministros, proyectos y ejecución de obras de ingeniería eléctrica
![Page 4: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/4.jpg)
Área de TI : No cuenta con un área específica
Servidores : No cuenta con algunoIntranet : NoDominio propioCorreo corporativo
SITUACIÓN ACTUAL
GENERAL
![Page 5: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/5.jpg)
SITUACIÓN ACTUALHardware
5 pc’s para uso de empleados (contador, logístico y desarrollo)
2 pc´s de uso gerencialRed Lan
![Page 6: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/6.jpg)
SITUACIÓN ACTUALSoftware
De seguridad, antivirus McAffeeEntorno Windows, Office,
OutlookDe desarrollo, AutoCad
![Page 7: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/7.jpg)
SITUACIÓN ACTUALInfraestructura
Lugar especifico para las áreas contables, logística, desarrollo (primer nivel), y para la gerencia (2do nivel).
![Page 8: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/8.jpg)
SITUACIÓN ACTUALGestión de la Información
Jerarquizada Acceso a la información jerarquizada (Desde arriba
hacia abajo) en caso de la gerencia. Bajo permisos de la gerencia vía correo Compartir información por redes, y por correo interno Control de contenido y por usuario.
![Page 9: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/9.jpg)
SITUACIÓN ACTUALGestión de la Información
Base de datos en Excel Backups cada 2 meses en discos duros
externos
![Page 10: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/10.jpg)
SITUACIÓN ACTUALGestión de la Información
GERENCIA
Contabilidad Logística Desarrollo
![Page 11: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/11.jpg)
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
DOMINIO 8
![Page 12: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/12.jpg)
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
En esta cláusula o dominio se
menciona seis categorías de
seguridad, las cuales se ramifican en sub-
categorías
![Page 13: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/13.jpg)
![Page 14: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/14.jpg)
Descripción Actual:
La empresa GACH INGENIERIA no
cuenta con un área de desarrollo de
aplicaciones, pero si tiene conocimientos de la necesidad de
implementar aplicaciones que le
permita la gestión de la contabilidad, del
inventariado
![Page 15: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/15.jpg)
Descripción Actual:
Por lo tanto la aplicación de este dominio en lo referente a la primera
parte no es factible, debido a la ausencia de
desarrollo, pero la empresa si adquiere
paquetes de trabajo, y cuenta con software
existente.
![Page 16: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/16.jpg)
Aplicaciones Actuales
Aplicaciones de Seguridad
ANTIVIRUS
![Page 17: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/17.jpg)
McAfee Antivirus Plus.Es un antivirus con el
cual la empresa defiende sus
ordenadores de toda clase de malware, incluyendo virus,
troyanos, gusanos o programas espías.
![Page 18: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/18.jpg)
Bit Defender 2010.Es un antivirus cuya
característica principal es que no consume muchos recursos
del ordenador, también erradica spyware e intercepta
intentos de phishing al navegar. Al mismo tiempo, comprueba el sistema en
busca de vulnerabilidades.Aplicaciones de Diseño
![Page 19: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/19.jpg)
AutoCAD. Es una herramienta
profesional pensada para el diseño y creación de planos, mapas, esquemas y diseños en 2D/3D. Actualmente es un referente en el campo del diseño asistido por ordenador, usado tanto por arquitectos e ingenieros como por la industria y diseñadores en general.
![Page 20: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/20.jpg)
GCAD 3D.
Es un programa de diseño en tres dimensiones pensado para diversos usos como la arquitectura, diseño
![Page 21: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/21.jpg)
Aplicaciones Actuales
Aplicaciones de Escritorio
![Page 22: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/22.jpg)
Suite Office 2010.Conjunto de aplicaciones con los cuales la empresa realiza sus actividades.Aplicaciones incluidas Microsoft Access 2010 Microsoft Excel 2010 Microsoft OneNote 2010 Microsoft Outlook 2010 Microsoft PowerPoint 2010 Microsoft Publisher 2010 Microsoft Word 2010 Microsoft Visio 2010 Microsoft Project 2010
![Page 23: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/23.jpg)
Windows 7
Es la versión más reciente de Microsoft Windows, línea de sistemas operativos producida por Microsoft Corporation.
![Page 24: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/24.jpg)
Aplicaciones y herramientas secundarias (Winrar, Adobe Reader, etc.)
![Page 25: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/25.jpg)
Categorías del Dominio a implementar:
1. REQUISITOS DE SEGURIDAD DE LOS
SISTEMAS
![Page 26: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/26.jpg)
1. REQUISITOS DE SEGURIDAD DE LOS SISTEMAS
![Page 27: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/27.jpg)
IMPLEMENTACIÓN DE LA CATEGORIA:Requisitos de Seguridad de los
SistemasGACH INGENIERIA S.A.C
ObjetivoRequisitos de la seguridad de los Sistemas de Información
![Page 28: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/28.jpg)
Antivirus. Si bien actualmente tienen
implementados dos antivirus, no se le está obteniendo el máximo
provecho, debido a que sus configuraciones están por defectos, es así que tienen
amenaza potencial en cuanto a seguridad
informática, producto de la vulnerabilidad innata de las
configuraciones predeterminadas.
![Page 29: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/29.jpg)
Lista de Actividades
FASE I. Recopilación y
Registro.
![Page 30: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/30.jpg)
Identificar la forma en la cual se gestiona la información.
Identificar las características de cada área en cuanto a accesibilidad y confidencialidad de la información
![Page 31: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/31.jpg)
Identificar los recursos físicos con los cuales cada área dispone.
Listar las vulnerabilidades existentes en cuanto al manejo de la información.
Listar vulnerabilidades inherentes en la información que se transmite o accede.
![Page 32: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/32.jpg)
Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes.
Registrar los requerimientos de seguridad de los interesados.
Registrar las vulnerabilidades de las actuales aplicaciones.
Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.
![Page 33: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/33.jpg)
Entrevistar a los interesados, para determinar los requerimientos de seguridad en cuanto a las aplicaciones existentes.
Registrar los requerimientos de seguridad de los interesados.
Registrar las vulnerabilidades de las actuales aplicaciones.
Realizar una evaluación y tratamiento de riesgos en la adquisición y mantenimiento de aplicaciones.
![Page 34: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/34.jpg)
Elaborar una guía acerca de los procesos de gestión de riesgos, para identificar los requisitos para controles de seguridad, basándose en la ISO/IEC TR 13335-3 conjuntamente con los requisitos de seguridad del manejo y accesibilidad de información
Realizar en cual se detallen las métricas a utilizar en la fase se seguimiento y control.
![Page 35: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/35.jpg)
FASE II. Implementación
![Page 36: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/36.jpg)
1. Configurar las aplicaciones existentes
de acuerdo a los requisitos de seguridad
registrados.
![Page 37: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/37.jpg)
2. Elaborar un documento en el cual se detalla las
especificaciones de seguridad de las actuales aplicaciones y de aquellos aspectos que deben
considerarse en la adquisición de nuevos paquetes de software o
aplicaciones.
![Page 38: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/38.jpg)
3. Elaborar un documento en el cual se determinan criterios para la evaluación de productos de seguridad de TI, basándose en la ISO/IEC 15408.
![Page 39: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/39.jpg)
FASE III. Seguimiento y
control
![Page 40: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/40.jpg)
Seguimiento y control
Realizar un seguimiento
periódico para determinar si la
implementación ha sido satisfactoria,
para ello se utilizaría las siguientes
métricas:
![Page 41: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/41.jpg)
Estadísticas de cortafuegos, tales como porcentaje de
paquetes o sesiones salientes que han sido bloqueadas (p.
ej., intentos de acceso a páginas web prohibidas;
número de ataques potenciales de hacking
repelidos, clasificados en insignificantes/preocupantes/
críticos).
![Page 42: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/42.jpg)
Estadísticas de vulnerabilidad de sistemas y redes, como nº de vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de parcheo de vulnerabilidades (analizadas por prioridades/categorías del fabricante o propias).
![Page 43: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/43.jpg)
Recomendaciones
![Page 44: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/44.jpg)
Involucrar a los "propietarios de activos
de información" en evaluaciones de riesgos a alto nivel y conseguir
su aprobación de los requisitos de seguridad que surjan. Debido que
si son realmente responsables de
proteger sus activos, es en interés suyo hacerlo de una manera correcta
![Page 45: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/45.jpg)
Recomendaciones Estar actualizado en
cuanto de las novedades sobre vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientación sobre la implementación, como, p. ej., OWASP
![Page 46: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/46.jpg)
2. SEGURIDAD DE LAS APLICACIONES DEL SISTEMA
![Page 47: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/47.jpg)
IMPLEMENTACIÓN DE LA CATEGORIA:
Seguridad de las Aplicaciones del SistemaGACH INGENIERIA S.A.C
ObjetivoProcesamiento correcto en las aplicacionesImplementación.
![Page 48: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/48.jpg)
La empresa en mención si bien tiene un área de desarrollo, esta se orienta al proceso de negocio en sí, es decir la elaboración de
planos de instalaciones eléctricas y cableado
estructurado.Debido a la inexistencia de un área propiamente al desarrollo
de aplicaciones para la empresa en sí no es factible la
aplicabilidad de esta categoría del dominio en mención.
![Page 49: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/49.jpg)
Recomendaciones:
Para la implementación de este dominio siempre
que sea posible, debemos utilizar librerías
y funciones estándar para necesidades corrientes como
validación de datos de entrada, restricciones de rango y tipo, integridad
referencial, etc.
![Page 50: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/50.jpg)
Para mayor confianza con datos vitales, debemos construir e implementar funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control).
![Page 51: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/51.jpg)
Se debe usar herramientas de prueba
automatizadas y manuales, para comprobar
cuestiones habituales como desbordamientos de
memoria, inyección SQL, etc.
![Page 52: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/52.jpg)
3. Controles Criptográficos
Objetivo. Proteger la confidencialidad autenticidad o integridad de la información.
![Page 53: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/53.jpg)
IMPLEMENTACIÓN DE LA CATEGORIA:
Controles CriptográficosGACH INGENIERIA S.A.C
ObjetivoProteger la confidencialidad autenticidad o integridad de la información.
![Page 54: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/54.jpg)
Implementación.El personal de la empresa GACH Ingeniería si bien posee contraseñas y/o passwords estos son
referente a cuanto sus cuentas de correo
electrónico e inicio de sesión en su respectivo ordenador, claro está que por eso se va a descuidar o prescindir del
uso de las mismas.
![Page 55: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/55.jpg)
La implementación de encriptación de datos en la rede se dará por medio de un router
administrable, con el cual se implementaran protocolos de
encriptación como los que poseen:
OSFPRIP v2EIGRP
Para las conexiones remotas se darán a través de VPN, las cuales se pueden adquirir por
medio del ISP local.
![Page 56: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/56.jpg)
4. Controles del Software en producción.
Objetivo. Proteger la confidencialidad autenticidad o integridad de la información.
![Page 57: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/57.jpg)
IMPLEMENTACIÓN DE LA CATEGORIA:
Controles del Software en producción GACH INGENIERIA S.A.C
ObjetivoProteger la confidencialidad autenticidad o integridad de la información.
![Page 58: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/58.jpg)
ImplementaciónLa empresa GACH Ingeniería cuenta con software de diseño, con el cual realiza sus actividades, si bien la mayoría de software que utiliza son comerciales, estos son adquiridos directamente de los proveedores, cabe destacar que la empresa cuenta con licencia para la utilización de las mismas.
![Page 59: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/59.jpg)
La implementación seria formalizar la adquisición de software, para su control en
producción, considerando que el software original otorga al usuario la ventaja de saber
que se encuentra libre de virus y otras amenazas.
![Page 60: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/60.jpg)
También le otorga al comprador en este caso
la empresa GACH Ingeniería la ventaja de saber que el programa en cuestión no afectará
su computadora de ninguna forma, por el contrario, la hará más productiva, funcional,
dependiendo de lo que el software deba
realizar
![Page 61: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/61.jpg)
5. Seguridad en los procesos de desarrollo y Soporte
Objetivo. Mantener la seguridad del software de aplicación y la información.
![Page 62: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/62.jpg)
IMPLEMENTACIÓN DE LA CATEGORIA:Seguridad en los procesos de desarrollo y
Soporte
GACH INGENIERIA S.A.C
ObjetivoMantener la seguridad del software de aplicación y la información.
ImplementaciónNo impresentable debido a que la empresa en mención no posee un área de desarrollo de aplicaciones ni terciariza este proceso.
![Page 63: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/63.jpg)
6. Control de las vulnerabilidades técnicas.
Objetivo. Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicitadas.
![Page 64: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/64.jpg)
IMPLEMENTACIÓN DE LA CATEGORIA:Control de las vulnerabilidades técnicas
GACH INGENIERIA S.A.C
ObjetivoReducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicitadas
![Page 65: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/65.jpg)
Implementación
La empresa cuenta con diversos aplicativos, los
cuales deben estar constantemente
actualizados, debido de que esta manera
estamos minimizando las vulnerabilidades de
los sistemas.
![Page 66: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/66.jpg)
Se debe hacer seguimiento constante de parches de
seguridad mediante herramientas de gestión de vulnerabilidades y/o
actualización automática siempre que sea posible
(p. ej., Microsoft Update o Secunia Software
Inspector). Evaluando la relevancia y criticidad o
urgencia de los parches en su entorno tecnológico.
![Page 67: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/67.jpg)
OTRAS ASPECTOS A CONSIDERAR EN CUANTO SE REFIERE A SEGURIDAD DE LA INFORMACIÓN
![Page 68: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/68.jpg)
Punto de vista actual Ya que la empresa actualmente se
encuentra en un buen índice de crecimiento, se le puede considerar tome los siguientes puntos acerca de su seguridad para que así pueda ser esta mucho mas confiable y segura a la hora de trabajarla.
![Page 69: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/69.jpg)
ÁREA DE TI
El área Seguridad entrega niveles de validación, generación e implantación de políticas y normas para el buen cumplimiento y aseguramiento de la información.
![Page 70: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/70.jpg)
POLÍTICAS DE SEGURIDAD
Como actualmente los usuarios no cuentan con una política formal o control de información se sugiere poner la disposición de la información con un mayor control sobre ella
![Page 71: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/71.jpg)
FIREWALLS Y ANTIVIRUS En la actualidad la empresa ha sufrido
varios daños hacia sus ordenadores, software, etc por virus traídos mediante medios extraíbles y descargas en internet, así como por spam.
![Page 72: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/72.jpg)
SOFTWARE DE CONTROL Y PREVENCIÓN DE RIESGOS
Por el poco control y seguridad que se tiene actualmente en la empresa, el personal pierde productividad al acceder a sitios no autorizados libremente (FACEBOOK, TWITTER, YOUTUBE, ETC)
![Page 73: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/73.jpg)
COPIAS DE SEGURIDAD
Como la empresa actualmente crea una copia de seguridad cada mes en discos externos y de forma manual, se recomienda el uso de programas que realizan esta acción automáticamente en un menor tiempo al actual.
![Page 74: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/74.jpg)
CONCLUSIONES La empresa GACH Ingeniería no cuenta actualmente con una política de seguridad, tampoco con dispositivos adecuados para la protección de la data.
El dominio en aplicación consta de 6 categorías, las cuales no todas han sido aplicadas en la empresa en mención, debido a las características y requisitos de seguridad de las mismas.
Existen algunas categorías del dominio de Adquisición, desarrollo y mantenimiento de sistemas que dependen de la aplicación de otros dominios de la norma NTP/ISO 17799-2007
La implementación de la presente no garantiza una total seguridad en cuanto a la accesibilidad, integración y disponibilidad de la información, debido a que es parte de un conjunto de dominios cuyo ámbito de aplicación es en algunos casos especifico en la organización.
![Page 75: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/75.jpg)
Recomendaciones
El funcionamiento correcto de un proceso de gestión de vulnerabilidades técnicas de una organización es crítico para muchas organizaciones y por lo tanto debe ser monitoreado.
Si no es posible realizar un prueba adecuada para los parches debido al costo o la falta de recursos, se puede considerar una demora en el parchado, para evaluar los riesgos asociados.
Las buenas prácticas incluyen la prueba de un nuevo software en un ambiente segregado de los ambientes de producción y desarrollo.
Los sistemas operativos solo deben ser actualizados cuando exista un requerimiento para realizarlo, estas no deben ser realizadas solo porque exista una nueva versión.
Se recomienda consultar estándares nacionales e internacionales como guía para el diseño, implementación, seguimiento y control de mecanismos y/o sistemas de seguridad de la información.
![Page 76: Dominio 8 grupo 11](https://reader035.fdocuments.net/reader035/viewer/2022062220/55912ebd1a28ab0c028b46ec/html5/thumbnails/76.jpg)
FIN DE LA PRESENTACIÓN