El análisis de la gestión de la seguridad para mejorar la organización de la seguridad de las aplicaciones

Objetivo:

• Proponer controles de seguridad para mejorar la seguridad en las aplicaciones de las organizaciones.

Resultados:

1. Analiza el siguiente caso y realiza un reporte en donde resuelvan las cuestiones solicitadas:

Se ha decidido implementar un nuevo sistema de seguridad en un hotel, por lo que se ha asignado personal para la liberación de los controles de seguridad diseñados anteriormente, en donde se deben realizar pruebas, diseñar e implementar un nuevo sistema de soporte a la toma de decisiones, la seguridad del sistema y aseguramiento de la calidad.

Los controles de seguridad deberán garantizar que los datos sean los correctos en todas las transacciones realizadas en los restaurantes, casino y tienda de recuerdos, que los huéspedes puedan validar su acceso a las habitaciones por medio de llaves electrónicas, que las reservaciones realizadas de forma remota se realicen satisfactoriamente y se realice el registro en la base de datos del hotel, los reportes generados deben contener información correcta, monitorizar el interior del hotel por medio de un sistema de circuito cerrado y realizar copias de seguridad con las grabaciones.

Primero se analizaron los posibles amenazas y riesgos, así como su impacto en la organización, en donde se pudieron identificar los siguientes:

Amenaza Probabilidad Vulnerabilidad (%) Impacto Riesgo total nivel riesgo residual brecha 15%

Inconsistencia de datos 15% 30% $800 $36 medio $5.4

Fallas en tarjetas de acceso a las habitaciones 30% 20% $900 $54 alto $8.1

Error en reservaciones realizadas de forma remota 50% 30% $6000 $900 alto $135

Reportes con información incompleta 10% 5% $200 $1 bajo $0.15

Fallas con las cámaras del circuito cerrado 40% 20% $1000 $80 alto $12

Antes de liberar los controles de seguridad, y de acuerdo a la información que se te proporcionó del caso, se te ha solicitado que realices lo siguiente:

1. Identifica los roles necesarios dentro de la empresa según el caso planteado.

• Propietario de la información

• Custodio de la información

• Propietario del sistema

• Administrador de la seguridad

• Propietario de la aplicación

• Supervisor

• Analista de control de cambios

• Analista de datos

• Propietario del proceso

• Proveedor de soluciones

• Usuario

2. Menciona la función principal que debe desempeñar cada uno de estos roles y su responsabilidad según el caso mencionado.

Propietario de la información- debe de proteger la información y usa un conjunto específico de información

Custodio de la información-mantiene y protege los datos, hacer copias de seguridad, valida la integridad de los datos, y restaura los datos desde la copia de seguridad, entre otras cosas

Propietario del sistema- considera la seguridad para las decisiones de adquisición de sistemas y desarrollo de proyectos

Administrador de la seguridad-crea cuentas de usuarios, implementa software de seguridad, prueba parches de seguridad

Propietario de la aplicación-dicta quien y quien no accede las aplicaciones

Supervisor- responsable actividad de todos los usuarios y de cualquier activo creado y que sea propiedad de dichos usuarios

Analista de control de cambios- responsable de aprobar o rechazar las propuestas de cambios a la red, sistema o software, asegurarse de que el cambio no inducirá ninguna vulnerabilidad

Analista de datos -asegura que los datos sean almacenados de manera que tengan más sentido para la compañía y para los usuarios que necesitan consultarlos y trabajar con ellos

Propietario del proceso-define correctamente, mejora y monitorea el proceso de seguridad

...