ESCUELA SUPERIOR POLITECNICA DEL LITORALMAESTRA EN SEGURIDAD INFORMTICA APLICADA
ISO 27001
Deber No. 5Taller No. 1EMPRESA: EMPRESA DE SEGURIDAD
INTEGRANTES: LUIS CHOEZPAUL GARCIAPATRICIO AGUIRREJOSEPH GUAMAN
CLASIFICACIN DE LOS ACTIVOS
ACTIVOS PRIMARIOS CLASIFICADOS
Nombre Activo Primario Laptops
PCs bajo Windows
Servidores y redes Nombre Activo Primario Servidor Linux
Servidor Windows
Componentes activos de red
Sistemas clientes y Computadoras aisladas
Servidores y redes
Gestin de redes y sistemas
Nombre Activo Primario Intercambio de medios de datos
Modem
Firewall
Telecomunicaciones Nombre Activo Primario Mquina de fax
Otros componentes TI Nombre Activo Primario Software y aplicaciones
Bases de datos
Sistemas de Transmisin de Datos
ESCUELA SUPERIOR POLITECNICA DEL LITORALMAESTRA EN SEGURIDAD INFORMTICA APLICADA
ISO 27001
CLASIFICACIN DE LOS ACTIVOS
ACTIVOS PRIMARIOS CLASIFICADOS
Descripcin general confidencialidadComputadoras porttiles en general.
PCs conectadas en red como clientes de un servidor.
Descripcin general confidencialidad
Invasion de la privacidad de los usuarios o clientes
Invasion de la privacidad de los usuarios o clientes
Computador bajo sistema operativo Unix/Linux que provee servicios en una red.
Invasin de la privacidad de los usarios o clientes
Computador bajo sistema operativo Windows que provee servicios en una red.
Invasin de la privacidad de los usarios o clientes
Routers, switches y dems dispositivos activos de conectividad; topologa, configuracin, seleccin y protocolos de comunicaciones.
Invasin de la privacidad de los usarios o clientes
Fugas de informacin confidencial
Descripcin general confidencialidadFugas de informacin confidencial
Dispositivo de comunicacin de banda ancha Fugas de informacin confidencial
Fugas de informacin confidencial
Descripcin general confidencialidadDispositivo de envo manual de imgenes de documentos va telefnica. Fugas de informacin confidencial
Descripcin general confidencialidadFugas de informacin confidencial
Fugas de informacin confidencial
Operaciones centralizadas de chequeo y monitoreo centralizado de una red y administracin de usuarios, distribucin de software y manejo de aplicaciones.
Manejo de medios de datos en trnsito no electrnico; almacenamiento fsico en origen y destino.
Dispositivo de proteccin entre dos redes, tpicamente en el acceso a Internet.
Manejo de los aspectos de seguridad del ciclo de vida de los Sistemas que dispone la DIRTIC: requerimientos, seleccin, pruebas, aprobacin, instalacin, desinstalacin.
Seleccin, instalacin, configuracin y operacin de un sistema de bases de datos por medio de un DBMS.
ESCUELA SUPERIOR POLITECNICA DEL LITORALMAESTRA EN SEGURIDAD INFORMTICA APLICADA
ISO 27001
CLASIFICACIN DE LOS ACTIVOS
integridad disponibilidadcambio deliberado degradacion de rendimiento
cambio deliberado degradacion de rendimiento
integridad disponibilidadcambio deliberado falta de servicio
cambio deliberado falta de servicio
cambio deliberado falta de servicio
resultados incorrectos interrupcin de servicio
integridad disponibilidadcambio deliberado degradacion de rendimiento
cambio deliberado interrupcin de servicio
cambio deliberado falta de servicio
integridad disponibilidadcambio deliberado degradacion de rendimiento
integridad disponibilidadresultados incorrectos interrupcin de servicio
resultados incorrectos interrupcin de servicio
ESCUELA SUPERIOR POLITECNICA DEL LITORALMAESTRA EN SEGURIDAD INFORMTICA APLICADA
ISO 27001
CLASIFICACIN DE LOS ACTIVOS
Amenaza
Amenaza
Diversidad de posibilidades de acceso a sistemas TI en red
No cumplimiento con las medidas de seguridad TI. Por negligencia o pruebas insuficientes. Podran producirse daos que podran haberse previsto o al menos minimizados.
Transferencia de registros de datos incorrecta o indeseada. Datos anteriores que no debieran aparecer. Si se envan electrnicamente las listas podran no estar actualizadas respecto de personal que no trabaja ms.
Puede afectar a toda la red o secciones de la misma. Podra ser un equipo que afecta toda su rea, o componentes activos en el camino de las comunicaciones (y no hay caminos redundantes) o para redundancia o balanceo de carga (con las consiguientes restricciones de ancho de banda).
En redes Windows pueden ocurrir relaciones de interconfianza inadecuadas. Esto puede darse especialmente cuando los derechos de acceso se hacen muy amplios asumiendo que nadie de otro dominio acceder los recursos locales.
Reconocimiento de vulnerabilidades en el software
AmenazaFalla o mal funcionamiento de un componente de red
Autenticacin faltante o de pobre calidad
Amenaza
Amenaza
Falla de componentes de un sistema de gestin de red o de sistemas
Los errores en la ruta de transmisin o en los dispositivos de conexin pueden producir prdidas o que la informacin se vuelva ilegible.
Corrupcin parcial o datos no inteligibles por manipulacin de datos no intencionales, chequeos inadecuados de la sincronizacin de transacciones, e intrusiones deliberadas.
No se puede almacenar ms datos, email entrante se rechaza, no se pueden mantener auditorias.
ESCUELA SUPERIOR POLITECNICA DEL LITORALMAESTRA EN SEGURIDAD INFORMTICA APLICADA
ISO 27001
CLASIFICACIN DE LOS ACTIVOS
Vulnerabilidad
Vulnerabilidad
Falta de procedimientos para la utilizacin de equipos porttiles po parte de los usuarios de la empresa.
Poca capacitacin al personal para la utilizacion de las PCs y falta de conocimientos de los servicios que dispone
No existen planes de contigencia para siministrar el servicio de red en el caso que haya un evento imprevisto
Falta de capacitaciny certificaciones de instalacin y configuracin de se servidores en Sistema operativo de Microsoft.
Falta de polticas de seguridad para el acceso y utilizacin de equipos de red, asi cmo de los custodios de estos equipos
Vulnerabilidad
Vulnerabilidad
Vulnerabilidad
No existe el software apropiado para el monitoreo y gestin de regres asi como falta de capaitacin a los operadores.
No existes energa estabilizada para la proteccin de equipos informticos.
Falta de procedimientos de utilizacin de equipos y no existe responsable directo de estos activos.
No existe un equipo adecuado para que realice las funciones de Firewall, falta de personal en el area.
Falta de mantenimiento y calibracin de los equipos de transmicin de datos.
Utilizacin de software no licenciado, el cual ocaciona errores en todos los temas de seguridad de software en los equipos.
Fata de capcitacin y certificacin del DBA, poca experiencia en utilizacin de base de datos.
ACTIVO