SlideShare una empresa de Scribd logo

Analisis Riesgo Metodología OCTAVE

Descargar como PPTX, PDF
Y
YairTobon

Análisis de Riesgos de una empresa encargada de adminstrar puntos de venta en restaurantes de comida rapida.

Tecnología
1 de 21
Seguridad Informática Análisis de Riesgos Metodología OCTAVE Tobón Romero Yair – 040045832 Zárate Aviña Jorge – 040045726 México, D.F. a 01 de Agosto de 2015
La empresa integrar soluciones informáticas específicamente diseñadas para las industrias de Alimentos y Bebidas, Hotelería y Comercio en General. Estas soluciones de hardware, software y servicios especializados dan como resultado sistemas escalables de Punto de Venta (POS), Sistemas Administrativos y de Control (Back Office) y Aplicaciones de Consolidación y Administración de Recursos en Oficinas Corporativas (Head Office) Por lo que proporcionan la información para la adecuada toma de decisiones en ámbitos operativos, financieros y de planeación. Introducción
Asociación de Consejeros posee la cuenta de un cliente multinacional de comida rápida el cual tiene contratado el servicio de administración del software de Punto de venta y Help Desk para los mercados de México, Panamá, Costa Rica y Puerto Rico, con lo que suman 450 restaurantes para atender en sus diferentes regiones. Asociación de Consejero, al percatarse que sus políticas y procesos de los sistemas que administra tienen vulnerabilidades, se dio a la tarea de llevar a cabo un programa de Gestión de Riesgos en el cual el primer punto de la Gestión es la planeación del riesgo, para lo cual se requiere realizar un Análisis de Riesgo con el fin de conocer no solo algunas, sino todas la vulnerabilidades que se tienen así como los riesgos que conllevan y el posible impacto que se tendría. Situación Actual
Para poder minimizar los riesgos y brindar un servicio de mayor calidad a sus clientes al proteger de manera integral su mayor activo que es la información en los aspectos de confiabilidad, integridad y disponibilidad, ya que con ello cada cliente toman decisiones estratégicas. Se utilizará la metodología OCTAVE para determinar y analizar las vulnerabilidades de las políticas y procesos, estudiando, identificando y evaluando los activos de información, activos de software y activos físicos, realizando un análisis de riesgo y sensibilidad. Objetivo
Se realizará un análisis de riesgos sobre los activos de información que se emplean tanto en la administración de los puntos de venta, como en el sistema de gestión de puntos de venta BackOffice y HeadOffice, tanto en aplicativos, repositorios de los datos y hardware. Alcance
• Para el desarrollo del análisis de riesgo dentro de este proyecto, se seleccionó la metodología OCTAVE (Operationally Critial Threat, Assest and Vulnerability Evaluation), debido a que se requiere la participación de las personas que se encuentran implicadas de manera directa en la operación de los activos críticas de información. • Con el objetivo de involucrar a todos los niveles de la organización desde los niveles operativos hasta la alta dirección, para que identificar de manera global las vulnerabilidades y amenazas a las que se encuentran expuestas las políticas y proceso de la empresa en los servicios de administración de sistemas de punto de ventas. Metodología
• Establecer criterios de medición de riesgos. • Desarrollar un perfil de activos de información. • Identificar contenedores de activos de información. • Identificar áreas de preocupación. • Identificar escenarios de amenaza. • Identificar riesgos. • Analizar riesgos. • Seleccionar un enfoque de mitigación. Fases de OCTAVE
• Información: Contiene información acerca de las ventas de cada restaurante, datos de cobro de TC, niveles de inventarios. • Software: El software donde se gestionan las órdenes, el cobro de las mismas, la consolidación de las ventas y los niveles de inventario son las responsabilidades principales de la empresa Asociación de Consejeros. • Físicos: Debido a que la administración de cada restaurante se realiza por medio de una PC en el lugar y es ahí donde se lleva acabo todo lo relacionado con las ventas. Ninguna de estas tareas se realizan a mano. Activos Críticos
• Laptops Help Desk no tienen usuarios definidos en Windows, ya que se comparten el equipo • Único usuario y contraseña para personal de Help Desk para ingresar al Back Office. • Único usuario y contraseñas para las bases de datos de los restaurantes en todas las regiones. • No existe antivirus en la PC del BackOffice del restaurante que es donde se realiza la administración contable. • No existe antivirus en las laptops de Help Desk. • Se puede ejecutar en la PC del BackOffice una sesión de SQL. • Que el personal de restaurante tenga a su disposición el generador de claves de soporte para la POS. • Implementación de alguna promoción en POS y que esta afecte su funcionamiento. • No existe seguridad para usuarios de Windows en las POS y se puede acceder a los recursos de dichos equipos Riesgos
• Hacer que los POS sean inoperantes • Robo de base de datos • Robo de logs de transacciones de TC • Manipulación de datos en inventario de los restaurantes • Manipulación de ventas en POS, por medio de clave de soporte • Virus o software malicioso Amenazas
Identificación de Amenazas y Vulnerabilidades Amenaza Área Afectada Resultado de la Amenaza Impacto Robo de logs de transacciones de TC Toda la organización Puede causar una mala imagen para la empresa, además de prestarse a fraudes con este tipo de cobro de TC. Alto Manipulación de ventas en POS, por medio de clave de soporte Operación - Informática – Contabilidad Si el personal del restaurante tiene en su poder la clave de soporte este puede manipular al POS para realizar ventas y cobrar pero dichas ventas no se reflejarían en el balance de la POS. Alto Virus o software malicioso Informática Puede causar perdida de la integridad y disponibilidad de la información. Alto Mala implementación de promociones en POS Operación Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual, lo que causa una mala imagen al cliente y mayor tiempo en la preparación de alimentos. Medio Robo de base de datos Informática En este caso ser daría la fuga de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Medio Manipulación de datos en inventario de los restaurantes Operación – Contabilidad Esto se puede prestar a realizar robo hormiga del inventario y por lo tanto afecta de manera económica a la empresa Bajo
Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos de Información Disponibilidad - Este Activo debe de contar con respaldos periodos - Debe de permanecer disponible para cualquier consulta. Confidencialidad - Se debe de tener un control de acceso para los diferentes niveles jerárquicos del personal Integridad - Se debe de asegurar que la información es completa e integra - Debe de aplicarse políticas de control cambios - Debe de aplicarse un control contra desastres en los repositorios de los restaurantes - Aplicación de protocolos seguros para la transferencia de datos. Prioritaria Alto
Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos de Software Disponibilidad - Creación de base de conocimiento tanto para el personal de operación como el de Help Desk para atender incidentes conocidos. - Garantizar la disponibilidad de aplicativos y bases de datos. Confidencialidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk - Creación de políticas para autenticación de usuario en equipos de Help Desk - Autenticación a BackOffice para cada miembro de Help Desk. - Uso exclusivo de correo electrónico corporativo Integridad - Políticas de depuración de información - Implementación de plan de recuperación de desastres Necesario Alto
Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos Físicos Disponibilidad - Los activos deben de estar siempre disponibles para su uso. - Los activos debe de estar en niveles óptimos de performance. Confiabilidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk Integridad - Creación de procedimiento de respaldos de información - Plan de mantenimiento correctivos y preventivos. Necesario Alto Personal Disponibilidad -Planeación de horarios. - Salarios competitivos. Confiabilidad - Aplicar acuerdos de confiabilidad - Aplicar políticas de Escritorio Limpio - Promover valores de la empresa en el personal Integridad - Capacitación - Políticas de seguridad en los puestos de trabajo - Creación de canales de comunicación con sus superiores Necesario Medio
Matriz de Ponderación La metodología OCTAVE sugiere asignar valores esperados a los impactos teniendo en cuenta los valores contenidos en una matriz como ponderación alta, media y baja, según corresponda, como se muestra a continuación.
Reconocimiento y Aceptación del Riesgo Amenaza Riesgo Impacto Ponderació n Riesgo Ponderació n Impacto Ponderació n Robo de logs de transacciones de TC Se pueden cometer fraudes de TC con este tipo de información Causa mala imagen a la empresa y es posible que se incurra en algún tipo de sanción administrativa por parte del banco. Alto Alto 5 Manipulación de ventas en POS, por medio de clave de soporte Que algún miembro del equipo de operaciones realice fraude al marcar en ceros la orden. Fuga de dinero a través de fraude. Bajo Medio 3 Virus o software malicioso Puede causar perdida de la integridad y disponibilidad de la información. Alteración a la información lo que ocasiona que se Alto Bajo 3
Reconocimiento y Aceptación del Riesgo Amenaza Riesgo Impacto Ponderación Riesgo Ponderación Impacto Ponderación Mala implementación de promociones en POS Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual Causa una mala imagen al cliente y mayor tiempo en la entrega de las órdenes. Medio Alto 4 Robo de base de datos Perdida de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Fuga de información sensible del personal de operación, así como días de entrega de mercancía y promedio de dinero recaudado por día en el restaurante. Medio Medio 3 Manipulación de datos en inventario de los restaurantes Se puede a realizar robo hormiga de materia prima. Afectación económica a la empresa al tener que reabastecer el restaurante. Bajo Bajo 1
Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderación Actual Robo de logs de transacciones de TC - Restricción uso de Logs. - Cambio de rutas de creación de log, además del nombre del archivo - Cifrado de Logs de transacciones. - Eliminación de historial de Logs cada semana. - Bloqueo de puerto USB para POS, PC de Restaurante y Laptops de Help Desk Por Implementar 5 Manipulación de ventas en POS, por medio de clave de soporte - Creación de un nuevo archivo generador de claves de soporte. - Modificación de la lógica a NewPOS para solicitar claves de soporte - Se distribuirá de manera diaria la clave de soporte a los supervisores de soporte. Implementado 1 Virus o software malicioso - Implementación de un antivirus corporativo para Help Desk - Propuesta para que el cliente compre una licencia corporativa de antivirus para las POS. - Implementar accesos restringido a la configuración de antivirus - Bloqueo de puertos USB tanto en POS, PC del restaurante como en laptops de Help Desk Por Implementar 4
Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderació n Actual Mala implementación de promociones en POS - Realizar pruebas integrales en un laboratorio cada vez que se tenga que implantar una promoción. - Integración de un comité de validación para realizar pruebas integrales. - Envío de promoción a todas las POS a nivel nacional. - Validación por parte de Help Desk con personal de operación que no exista ninguna falla después de la implementación de la promoción. Implemen tado 2 Robo de base de datos - Restricción de consola de comandos de SQL en el BackOffice. - Creación de usuario y contraseña por cada restaurante para acceso de la instancia de SQL. - Publicación de usuario y contraseñas solo a supervisores, gerente de Help Desk. - Eliminación de Software de base de datos en laptops de Help Desk - Bloqueo de puertos USB tanto en POS, BackOffice y laptops de HelpDesk Por Implemen ar 4
Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderaci ón Actual Manipulación de datos en inventario de los restaurantes - Los niveles de abastecimiento deben de ser corroborados diariamente al cierre del día en el restaurante. - Los datos capturados se deben de almacenar tanto en el Back Office como en el Head Office - Reporte centralizado en el Head Office en donde se visualicé el nivel de abastecimiento actual, lo teórico en base a un inventario mensual menos el consumo reportado por las ventas de productos. Aplicado 1
• http://www.expresionbinaria.com/8-pasos- para-hacer-una-evaluacion-de-riesgos-con- octave-allegro/ • http://auditoriauc20102mivi.wikispaces.com /file/view/Metodolog%C3%ACas+deGesti%C 3%B2n+de+Riesgos.pdf Referencias

Recomendados

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Magerit
MageritMagerit
MageritKrolina Agui
 
Arquitectura cliente servidor
Arquitectura cliente servidorArquitectura cliente servidor
Arquitectura cliente servidorFreddy Hugo Estupiñan Batalla
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia InformaticoFernando Alfonso Casas De la Torre
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría InformaticaUNEFA
 

Recomendados

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Magerit
MageritMagerit
MageritKrolina Agui
 
Arquitectura cliente servidor
Arquitectura cliente servidorArquitectura cliente servidor
Arquitectura cliente servidorFreddy Hugo Estupiñan Batalla
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia InformaticoFernando Alfonso Casas De la Torre
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría InformaticaUNEFA
 
Base de datos banco
Base de datos bancoBase de datos banco
Base de datos bancoSumner C
 
Perfil Del Auditor Informático
Perfil Del Auditor InformáticoPerfil Del Auditor Informático
Perfil Del Auditor Informáticorossemary jazmin
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Requerimiento de los sistemas de informacion
Requerimiento de los sistemas de informacionRequerimiento de los sistemas de informacion
Requerimiento de los sistemas de informacionAndres Arturo
 
UNIDAD I: Los sistemas de información
UNIDAD I: Los sistemas de informaciónUNIDAD I: Los sistemas de información
UNIDAD I: Los sistemas de informaciónMtro. Julio Cesar Cortez Jaimes
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaMartin Zǝlɐzuoƃ
 
Introduccion al análisis de sistemas de información
Introduccion al análisis de sistemas de informaciónIntroduccion al análisis de sistemas de información
Introduccion al análisis de sistemas de informaciónIngeniería de Sistemas e Informática
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de NegocioDavid Ortega
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
SISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALSISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALNATHALY ARIAS
 
06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)Mónica Romero Pazmiño
 
Seguridad en los sistemas de archivos
Seguridad en los sistemas de archivosSeguridad en los sistemas de archivos
Seguridad en los sistemas de archivosANDRES SALAZAR
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiJose Alvarado Robles
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
Centro de Computo
Centro de ComputoCentro de Computo
Centro de ComputoDeiver Briceño
 
Tipos de sistemas de información
Tipos de sistemas de informaciónTipos de sistemas de información
Tipos de sistemas de informaciónUniversidad de Panamá
 
Administración de memoria
Administración de memoriaAdministración de memoria
Administración de memoriaHeder Ithamar Romero
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAJhonatan Castañeda Velazquez
 
Evaluación de Riesgo
Evaluación de Riesgo Evaluación de Riesgo
Evaluación de Riesgo Modernizacion y Gobierno Digital - Gobierno de Chile
 

Más contenido relacionado

La actualidad más candente

Base de datos banco
Base de datos bancoBase de datos banco
Base de datos bancoSumner C
 
Perfil Del Auditor Informático
Perfil Del Auditor InformáticoPerfil Del Auditor Informático
Perfil Del Auditor Informáticorossemary jazmin
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaJuan Manuel García
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Requerimiento de los sistemas de informacion
Requerimiento de los sistemas de informacionRequerimiento de los sistemas de informacion
Requerimiento de los sistemas de informacionAndres Arturo
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de NegocioDavid Ortega
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónUniversidad San Agustin
 
SISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALSISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALNATHALY ARIAS
 
06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)Mónica Romero Pazmiño
 
Seguridad en los sistemas de archivos
Seguridad en los sistemas de archivosSeguridad en los sistemas de archivos
Seguridad en los sistemas de archivosANDRES SALAZAR
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiJose Alvarado Robles
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaCarlos R. Adames B.
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 

La actualidad más candente (20)

Base de datos banco
Base de datos bancoBase de datos banco
Base de datos banco
 
Perfil Del Auditor Informático
Perfil Del Auditor InformáticoPerfil Del Auditor Informático
Perfil Del Auditor Informático
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Requerimiento de los sistemas de informacion
Requerimiento de los sistemas de informacionRequerimiento de los sistemas de informacion
Requerimiento de los sistemas de informacion
 
UNIDAD I: Los sistemas de información
UNIDAD I: Los sistemas de informaciónUNIDAD I: Los sistemas de información
UNIDAD I: Los sistemas de información
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
Introduccion al análisis de sistemas de información
Introduccion al análisis de sistemas de informaciónIntroduccion al análisis de sistemas de información
Introduccion al análisis de sistemas de información
 
Plan Continuidad de Negocio
Plan Continuidad de NegocioPlan Continuidad de Negocio
Plan Continuidad de Negocio
 
Auditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - IntroducciónAuditoria Informática o de Sistemas - Introducción
Auditoria Informática o de Sistemas - Introducción
 
SISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIALSISTEMA DE INFORMACIÓN GERENCIAL
SISTEMA DE INFORMACIÓN GERENCIAL
 
06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)06 Normas de auditoria ti-410- Ecuador (1)
06 Normas de auditoria ti-410- Ecuador (1)
 
Seguridad en los sistemas de archivos
Seguridad en los sistemas de archivosSeguridad en los sistemas de archivos
Seguridad en los sistemas de archivos
 
Proceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas tiProceso de la auditoria de sistemas ti
Proceso de la auditoria de sistemas ti
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Metodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informaticaMetodologias de control interno, seguridad y auditoria informatica
Metodologias de control interno, seguridad y auditoria informatica
 
Centro de Computo
Centro de ComputoCentro de Computo
Centro de Computo
 
Tipos de sistemas de información
Tipos de sistemas de informaciónTipos de sistemas de información
Tipos de sistemas de información
 
Administración de memoria
Administración de memoriaAdministración de memoria
Administración de memoria
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 

Destacado

IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAJhonatan Castañeda Velazquez
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresalidytazo
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242hammettbv
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNAlejandra Prado
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38ronalitomejia
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...Rooswelth Gerardo Zavaleta Benites
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las EmpresasROBINHOOD
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Paola Lovee
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategiasalexander alticoru
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoJuan Prudencio
 

Destacado (20)

IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
 
Evaluación de Riesgo
Evaluación de Riesgo Evaluación de Riesgo
Evaluación de Riesgo
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresa
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
 
Tutorial 2 plagio
Tutorial 2 plagioTutorial 2 plagio
Tutorial 2 plagio
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las Empresas
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategias
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Documento análisis vulnerabilidad
Documento análisis vulnerabilidadDocumento análisis vulnerabilidad
Documento análisis vulnerabilidad
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategico
 
Proyecto disco bar
Proyecto disco barProyecto disco bar
Proyecto disco bar
 

Similar a Analisis Riesgo Metodología OCTAVE

Aplicacion de los sistemas de informacion
Aplicacion de los sistemas de informacionAplicacion de los sistemas de informacion
Aplicacion de los sistemas de informacionpheramrh
 
5.1 Aplicacion de los sistemas de informacion
5.1 Aplicacion de los sistemas de informacion5.1 Aplicacion de los sistemas de informacion
5.1 Aplicacion de los sistemas de informacionpheramrh
 
Unidad 5 sistemas de informacion
Unidad 5 sistemas de informacionUnidad 5 sistemas de informacion
Unidad 5 sistemas de informacionCasssandraG
 
5.1 sistemas de informacion
5.1 sistemas de informacion5.1 sistemas de informacion
5.1 sistemas de informacionCasssandraG
 
defensa FINAL.pptx
defensa FINAL.pptxdefensa FINAL.pptx
defensa FINAL.pptxAlexCCruz
 
Socializacion del proyecto
Socializacion del proyectoSocializacion del proyecto
Socializacion del proyectoyeyo_
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&nluis villacis
 
ADempiere Indumentaria (Spanish Brochure)
ADempiere Indumentaria (Spanish Brochure)ADempiere Indumentaria (Spanish Brochure)
ADempiere Indumentaria (Spanish Brochure)Openup Solutions
 
All Online Solutions
All Online SolutionsAll Online Solutions
All Online SolutionsJuan Onetto
 
Informe de requerimientos
Informe de requerimientosInforme de requerimientos
Informe de requerimientoscarnicos
 
Evaluación Software Contable a2
Evaluación Software Contable a2Evaluación Software Contable a2
Evaluación Software Contable a2beckys27
 
Nicaury Benitez Cortorreal | ADempiere
Nicaury Benitez Cortorreal | ADempiereNicaury Benitez Cortorreal | ADempiere
Nicaury Benitez Cortorreal | ADempiereNicaury Benitez
 

Similar a Analisis Riesgo Metodología OCTAVE (20)

Aplicacion de los sistemas de informacion
Aplicacion de los sistemas de informacionAplicacion de los sistemas de informacion
Aplicacion de los sistemas de informacion
 
Unidad5.1
Unidad5.1Unidad5.1
Unidad5.1
 
5.1 Aplicacion de los sistemas de informacion
5.1 Aplicacion de los sistemas de informacion5.1 Aplicacion de los sistemas de informacion
5.1 Aplicacion de los sistemas de informacion
 
Unidad5[1]
Unidad5[1]Unidad5[1]
Unidad5[1]
 
Unidad 5 sistemas de informacion
Unidad 5 sistemas de informacionUnidad 5 sistemas de informacion
Unidad 5 sistemas de informacion
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemas
 
5.1 sistemas de informacion
5.1 sistemas de informacion5.1 sistemas de informacion
5.1 sistemas de informacion
 
Unidad5jesus
Unidad5jesusUnidad5jesus
Unidad5jesus
 
defensa FINAL.pptx
defensa FINAL.pptxdefensa FINAL.pptx
defensa FINAL.pptx
 
Socializacion del proyecto
Socializacion del proyectoSocializacion del proyecto
Socializacion del proyecto
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
 
Topicos especiales2
Topicos especiales2Topicos especiales2
Topicos especiales2
 
La duni
La duniLa duni
La duni
 
ADempiere Indumentaria (Spanish Brochure)
ADempiere Indumentaria (Spanish Brochure)ADempiere Indumentaria (Spanish Brochure)
ADempiere Indumentaria (Spanish Brochure)
 
AUDITORIA DE LAS TICS
AUDITORIA DE LAS TICSAUDITORIA DE LAS TICS
AUDITORIA DE LAS TICS
 
All Online Solutions
All Online SolutionsAll Online Solutions
All Online Solutions
 
Informe de requerimientos
Informe de requerimientosInforme de requerimientos
Informe de requerimientos
 
Evaluación Software Contable a2
Evaluación Software Contable a2Evaluación Software Contable a2
Evaluación Software Contable a2
 
Especificación de requerimientos tatiana fuentes
Especificación de requerimientos tatiana fuentesEspecificación de requerimientos tatiana fuentes
Especificación de requerimientos tatiana fuentes
 
Nicaury Benitez Cortorreal | ADempiere
Nicaury Benitez Cortorreal | ADempiereNicaury Benitez Cortorreal | ADempiere
Nicaury Benitez Cortorreal | ADempiere
 

Último

Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Último (10)

Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Analisis Riesgo Metodología OCTAVE

  • 1. Seguridad Informática Análisis de Riesgos Metodología OCTAVE Tobón Romero Yair – 040045832 Zárate Aviña Jorge – 040045726 México, D.F. a 01 de Agosto de 2015
  • 2. La empresa integrar soluciones informáticas específicamente diseñadas para las industrias de Alimentos y Bebidas, Hotelería y Comercio en General. Estas soluciones de hardware, software y servicios especializados dan como resultado sistemas escalables de Punto de Venta (POS), Sistemas Administrativos y de Control (Back Office) y Aplicaciones de Consolidación y Administración de Recursos en Oficinas Corporativas (Head Office) Por lo que proporcionan la información para la adecuada toma de decisiones en ámbitos operativos, financieros y de planeación. Introducción
  • 3. Asociación de Consejeros posee la cuenta de un cliente multinacional de comida rápida el cual tiene contratado el servicio de administración del software de Punto de venta y Help Desk para los mercados de México, Panamá, Costa Rica y Puerto Rico, con lo que suman 450 restaurantes para atender en sus diferentes regiones. Asociación de Consejero, al percatarse que sus políticas y procesos de los sistemas que administra tienen vulnerabilidades, se dio a la tarea de llevar a cabo un programa de Gestión de Riesgos en el cual el primer punto de la Gestión es la planeación del riesgo, para lo cual se requiere realizar un Análisis de Riesgo con el fin de conocer no solo algunas, sino todas la vulnerabilidades que se tienen así como los riesgos que conllevan y el posible impacto que se tendría. Situación Actual
  • 4. Para poder minimizar los riesgos y brindar un servicio de mayor calidad a sus clientes al proteger de manera integral su mayor activo que es la información en los aspectos de confiabilidad, integridad y disponibilidad, ya que con ello cada cliente toman decisiones estratégicas. Se utilizará la metodología OCTAVE para determinar y analizar las vulnerabilidades de las políticas y procesos, estudiando, identificando y evaluando los activos de información, activos de software y activos físicos, realizando un análisis de riesgo y sensibilidad. Objetivo
  • 5. Se realizará un análisis de riesgos sobre los activos de información que se emplean tanto en la administración de los puntos de venta, como en el sistema de gestión de puntos de venta BackOffice y HeadOffice, tanto en aplicativos, repositorios de los datos y hardware. Alcance
  • 6. • Para el desarrollo del análisis de riesgo dentro de este proyecto, se seleccionó la metodología OCTAVE (Operationally Critial Threat, Assest and Vulnerability Evaluation), debido a que se requiere la participación de las personas que se encuentran implicadas de manera directa en la operación de los activos críticas de información. • Con el objetivo de involucrar a todos los niveles de la organización desde los niveles operativos hasta la alta dirección, para que identificar de manera global las vulnerabilidades y amenazas a las que se encuentran expuestas las políticas y proceso de la empresa en los servicios de administración de sistemas de punto de ventas. Metodología
  • 7. • Establecer criterios de medición de riesgos. • Desarrollar un perfil de activos de información. • Identificar contenedores de activos de información. • Identificar áreas de preocupación. • Identificar escenarios de amenaza. • Identificar riesgos. • Analizar riesgos. • Seleccionar un enfoque de mitigación. Fases de OCTAVE
  • 8. • Información: Contiene información acerca de las ventas de cada restaurante, datos de cobro de TC, niveles de inventarios. • Software: El software donde se gestionan las órdenes, el cobro de las mismas, la consolidación de las ventas y los niveles de inventario son las responsabilidades principales de la empresa Asociación de Consejeros. • Físicos: Debido a que la administración de cada restaurante se realiza por medio de una PC en el lugar y es ahí donde se lleva acabo todo lo relacionado con las ventas. Ninguna de estas tareas se realizan a mano. Activos Críticos
  • 9. • Laptops Help Desk no tienen usuarios definidos en Windows, ya que se comparten el equipo • Único usuario y contraseña para personal de Help Desk para ingresar al Back Office. • Único usuario y contraseñas para las bases de datos de los restaurantes en todas las regiones. • No existe antivirus en la PC del BackOffice del restaurante que es donde se realiza la administración contable. • No existe antivirus en las laptops de Help Desk. • Se puede ejecutar en la PC del BackOffice una sesión de SQL. • Que el personal de restaurante tenga a su disposición el generador de claves de soporte para la POS. • Implementación de alguna promoción en POS y que esta afecte su funcionamiento. • No existe seguridad para usuarios de Windows en las POS y se puede acceder a los recursos de dichos equipos Riesgos
  • 10. • Hacer que los POS sean inoperantes • Robo de base de datos • Robo de logs de transacciones de TC • Manipulación de datos en inventario de los restaurantes • Manipulación de ventas en POS, por medio de clave de soporte • Virus o software malicioso Amenazas
  • 11. Identificación de Amenazas y Vulnerabilidades Amenaza Área Afectada Resultado de la Amenaza Impacto Robo de logs de transacciones de TC Toda la organización Puede causar una mala imagen para la empresa, además de prestarse a fraudes con este tipo de cobro de TC. Alto Manipulación de ventas en POS, por medio de clave de soporte Operación - Informática – Contabilidad Si el personal del restaurante tiene en su poder la clave de soporte este puede manipular al POS para realizar ventas y cobrar pero dichas ventas no se reflejarían en el balance de la POS. Alto Virus o software malicioso Informática Puede causar perdida de la integridad y disponibilidad de la información. Alto Mala implementación de promociones en POS Operación Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual, lo que causa una mala imagen al cliente y mayor tiempo en la preparación de alimentos. Medio Robo de base de datos Informática En este caso ser daría la fuga de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Medio Manipulación de datos en inventario de los restaurantes Operación – Contabilidad Esto se puede prestar a realizar robo hormiga del inventario y por lo tanto afecta de manera económica a la empresa Bajo
  • 12. Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos de Información Disponibilidad - Este Activo debe de contar con respaldos periodos - Debe de permanecer disponible para cualquier consulta. Confidencialidad - Se debe de tener un control de acceso para los diferentes niveles jerárquicos del personal Integridad - Se debe de asegurar que la información es completa e integra - Debe de aplicarse políticas de control cambios - Debe de aplicarse un control contra desastres en los repositorios de los restaurantes - Aplicación de protocolos seguros para la transferencia de datos. Prioritaria Alto
  • 13. Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos de Software Disponibilidad - Creación de base de conocimiento tanto para el personal de operación como el de Help Desk para atender incidentes conocidos. - Garantizar la disponibilidad de aplicativos y bases de datos. Confidencialidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk - Creación de políticas para autenticación de usuario en equipos de Help Desk - Autenticación a BackOffice para cada miembro de Help Desk. - Uso exclusivo de correo electrónico corporativo Integridad - Políticas de depuración de información - Implementación de plan de recuperación de desastres Necesario Alto
  • 14. Características Control Seguridad Activo Controles de Seguridad Categorías de Información Riesgo Activos Físicos Disponibilidad - Los activos deben de estar siempre disponibles para su uso. - Los activos debe de estar en niveles óptimos de performance. Confiabilidad - Restricción de puertos USB tanto en equipos de restaurante como en equipos de Help Desk Integridad - Creación de procedimiento de respaldos de información - Plan de mantenimiento correctivos y preventivos. Necesario Alto Personal Disponibilidad -Planeación de horarios. - Salarios competitivos. Confiabilidad - Aplicar acuerdos de confiabilidad - Aplicar políticas de Escritorio Limpio - Promover valores de la empresa en el personal Integridad - Capacitación - Políticas de seguridad en los puestos de trabajo - Creación de canales de comunicación con sus superiores Necesario Medio
  • 15. Matriz de Ponderación La metodología OCTAVE sugiere asignar valores esperados a los impactos teniendo en cuenta los valores contenidos en una matriz como ponderación alta, media y baja, según corresponda, como se muestra a continuación.
  • 16. Reconocimiento y Aceptación del Riesgo Amenaza Riesgo Impacto Ponderació n Riesgo Ponderació n Impacto Ponderació n Robo de logs de transacciones de TC Se pueden cometer fraudes de TC con este tipo de información Causa mala imagen a la empresa y es posible que se incurra en algún tipo de sanción administrativa por parte del banco. Alto Alto 5 Manipulación de ventas en POS, por medio de clave de soporte Que algún miembro del equipo de operaciones realice fraude al marcar en ceros la orden. Fuga de dinero a través de fraude. Bajo Medio 3 Virus o software malicioso Puede causar perdida de la integridad y disponibilidad de la información. Alteración a la información lo que ocasiona que se Alto Bajo 3
  • 17. Reconocimiento y Aceptación del Riesgo Amenaza Riesgo Impacto Ponderación Riesgo Ponderación Impacto Ponderación Mala implementación de promociones en POS Puede hacer que el restaurante no pueda cobrar con la POS y tenga que realizar el cobro de manera manual Causa una mala imagen al cliente y mayor tiempo en la entrega de las órdenes. Medio Alto 4 Robo de base de datos Perdida de información sensible en cuanto a dinero recabado, empleados que laboran ahí, horarios de empleado, inventario. Fuga de información sensible del personal de operación, así como días de entrega de mercancía y promedio de dinero recaudado por día en el restaurante. Medio Medio 3 Manipulación de datos en inventario de los restaurantes Se puede a realizar robo hormiga de materia prima. Afectación económica a la empresa al tener que reabastecer el restaurante. Bajo Bajo 1
  • 18. Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderación Actual Robo de logs de transacciones de TC - Restricción uso de Logs. - Cambio de rutas de creación de log, además del nombre del archivo - Cifrado de Logs de transacciones. - Eliminación de historial de Logs cada semana. - Bloqueo de puerto USB para POS, PC de Restaurante y Laptops de Help Desk Por Implementar 5 Manipulación de ventas en POS, por medio de clave de soporte - Creación de un nuevo archivo generador de claves de soporte. - Modificación de la lógica a NewPOS para solicitar claves de soporte - Se distribuirá de manera diaria la clave de soporte a los supervisores de soporte. Implementado 1 Virus o software malicioso - Implementación de un antivirus corporativo para Help Desk - Propuesta para que el cliente compre una licencia corporativa de antivirus para las POS. - Implementar accesos restringido a la configuración de antivirus - Bloqueo de puertos USB tanto en POS, PC del restaurante como en laptops de Help Desk Por Implementar 4
  • 19. Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderació n Actual Mala implementación de promociones en POS - Realizar pruebas integrales en un laboratorio cada vez que se tenga que implantar una promoción. - Integración de un comité de validación para realizar pruebas integrales. - Envío de promoción a todas las POS a nivel nacional. - Validación por parte de Help Desk con personal de operación que no exista ninguna falla después de la implementación de la promoción. Implemen tado 2 Robo de base de datos - Restricción de consola de comandos de SQL en el BackOffice. - Creación de usuario y contraseña por cada restaurante para acceso de la instancia de SQL. - Publicación de usuario y contraseñas solo a supervisores, gerente de Help Desk. - Eliminación de Software de base de datos en laptops de Help Desk - Bloqueo de puertos USB tanto en POS, BackOffice y laptops de HelpDesk Por Implemen ar 4
  • 20. Monitoreo y Evaluación de Controles de Seguridad Amenaza Control Estatus Ponderaci ón Actual Manipulación de datos en inventario de los restaurantes - Los niveles de abastecimiento deben de ser corroborados diariamente al cierre del día en el restaurante. - Los datos capturados se deben de almacenar tanto en el Back Office como en el Head Office - Reporte centralizado en el Head Office en donde se visualicé el nivel de abastecimiento actual, lo teórico en base a un inventario mensual menos el consumo reportado por las ventas de productos. Aplicado 1