AMENAZAS
|
Implicancia de Seguridad
|
Medida de Seguridad Aplicada
|
Interés en obtener información estratégica del negocio, por parte de los competidores.
|
La existencia de información atractiva para competidores de negocio tales como información de clientes, marketing, configuración de equipos entre otras.
|
Estándares de seguridad para servidores.
Control de acceso a las aplicaciones de la empresa. Revisión y depuración periódica de dichos accesos otorgados.
Restricciones en el manejo de información enviada por correo electrónico.
Verificación de la información impresa en reportes, evitar mostrar información innecesaria.
|
Acceso no autorizado a los sistemas por hackers o crackers.
|
La actividad vandálica realizada por hackers o crackers de sistemas, puede afectar la disponibilidad, integridad y confidencialidad de los sistemas informáticos del negocio. Estos actos pueden ser desarrollados por personal interno o externo a la empresa.
Adicionalmente si dichas actividades es realizada contra equipos que proveen servicios a los clientes (página web), la reputación de la empresa se podría ver afectada en un grado muy importante.
|
Estándares de seguridad para servidores.
Delimitación de responsabilidades y sanciones en los contratos con proveedores de servicios.
Verificación de evaluaciones periódicas de la seguridad de los sistemas involucrados.
Concientización y compromiso formal de los usuarios en temas relacionados a la seguridad informática.
Políticas de Seguridad.
|
Interrupción de los Sistemas informáticos producto de infección por virus.
|
El riesgo de pérdida por virus informático es alto si no se administra adecuadamente el sistema de Antivirus y los usuarios no han sido concientizados en seguridad de información.
|
Adecuada arquitectura e implementación del sistema antivirus.
Verificación periódica de la actualización del antivirus de computadoras personales y servidores.
Generación periódica de reportes virus detectados y actualización de antivirus.
|
Interrupción de los Sistemas informáticos a través del personal que ingresa de manera temporal.
|
Los accesos otorgados al personal temporal deben ser controlados adecuadamente, asimismo la actividad realizada por los mismos en los sistemas debe ser periódicamente monitoreada.
El personal temporal podría realizar actividad no autorizada, la cual podría ser detectada cuando haya finalizado sus labores en la empresa.
|
Control adecuado de los accesos otorgados.
Depuración periódica de accesos otorgados a los sistemas.
Adecuada configuración y revisión periódica de los registros (logs) de aplicaciones y sistemas operativos.
|
No se cuenta con un inventario de perfiles de acceso a los equipos de red.
|
El control sobre la actividad es llevado en muchos casos, mediante perfiles de usuarios controlando así los privilegios de acceso a los equipos.
|
Se debe contar con inventarios de los perfiles de acceso a los equipos.
Se deben revisar periódicamente los perfiles y acceso.
|
Exceso de contraseña manejadas por los usuarios.
|
La necesidad de utilizar contraseña distintas para cada sistema o aplicación de la empresa, puede afectar las seguridad en la medida que el usuario no sea capaz de retener en la memoria, la relación de nombres de usuario y contraseñas utilizadas en todos los sistemas. La necesidad de anotar las contraseñas por parte de los usuarios, expone las mismas a acceso por parte de personal no autorizado.
|
Uniformizar dentro de lo posible la estructura de las contraseñas empleadas y sus fechas de renovación.
|
Existencia de usuarios de las áreas de sistemas, departamento técnico y personal temporal en la sala de telecomunicaciones.
|
El ambiente de producción debe contar con controles de acceso adecuados con respecto a los usuarios de las áreas de sistemas, departamento técnico y personal temporal, esto incluye las aplicaciones y bases de datos de la misma.
|
Inventario y depuración de perfiles de acceso que poseen los usuarios de las áreas de sistemas, departamento técnico y personal temporal en la sala de telecomunicaciones.
Adecuada segregación de funciones del personal del área de sistemas.
Procedimientos de pase a las sala de telecomunicaciones.
|
Falta de conciencia en seguridad por parte del personal interno.
|
El personal de la empresa es el vínculo entre la política de seguridad y su implementación final para aplicar la política de seguridad, se pueden establecer controles y un monitoreo constante, pero la persona es siempre el punto mas débil de la cadena de seguridad, este riesgo se puede incrementar si el usuario no recibe una adecuada capacitación y orientación en seguridad de información.
Para una adecuada administración de la seguridad informática se requiere que personal capacitado que pueda cumplir las labores de elaboración de políticas y administración de seguridad en el área de seguridad informática, así como implementación de controles y configuración de sistemas en el área de sistemas.
|
Programa de capacitación de la empresa relacionado a la seguridad informática.
|
Falta de personal con conocimientos técnicos de seguridad informática
|
|
Capacitación del personal técnico en temas de seguridad informática o inclusión de nuevo personal con conocimientos de seguridad informática para las áreas de seguridad Informática y sistemas.
|
Falta de controles adecuados para la información que envían los usuarios hacia Internet.
|
El acceso hacia Internet por medios como correo electro, ftp (file tranfer protocol) o incluso web puede facilitar el robo de información.
No existen controles adecuados sobre el acceso a Internet.
No existen herramientas de inspección del tráfico de red.
|
Implementación de una adecuada arquitectura de red.
Mejores práticas para la configuración de firewalls.
Implementación y administración de herramientas para inspección del tráfico de la red.
|
Arquitectura de red inapropiada para controlar accesos desde redes externas
|
Posibilidad de acceso no autorizado a sistemas por parte de de personal externo a la empresa.
Existencia de redes externas que se conectan con la red de FIBERNET sin la protección de un firewall.
Los servidores de la red pública nos están aislados de la red interna.
|
Diseño de arquitectura de seguridad de red.
Adecuada configuración de elementos de control de conexiones (Firewall).
Implementación y administración de herramientas de seguridad.
|
Fuga de información estratégica mediante sustracción de computadores portátiles.
|
Es posible obtener información confidencial de la empresa tales como configuración de equipos, direcciones IP, entre otras, mediante el robo de la misma.
|
Uso de programas para la encripción de la data en las computadoras.
Uso de mecanismos de protección de equipo portátiles como cables de seguridad.
|
Controles de acceso hacia Internet desde la red interna.
|
Posibilidad de acceso no autorizado desde la red interna hacia equipos de terceros en Internet.
Posibilidad de Fuga de información.
|
Implementación de una adecuada arquitectura de red.
Mejores prácticas para la configuración de Firewalls.
Implementación y administración de herramientas de inspección de tráfico de red.
Monitoreo periódico de la actividad, mediante el análisis de de los registros (logs) de los sistemas.
|
