Manual de procedimientos para el análisis de vulnerabilidades a infraestructura

Nombre

Puesto

Firma

MARCO ANTONIO ESPINOSA VERA

DIRECTOR DE

SISTEMAS E INFRAESTRUCTURA

RAÚL HUMBERTO CEBALLOS MARTIN

DIRECTOR DE SISTEMAS DE

DESARROLLO

LUIS JAVIER RODRÍGUEZ LOZANO

SUBDIRECTOR DE SEG DE LA INFORMACION

RAÚL AGUILAR VILLEDA

SUBDIRECTOR DE CONTRALORÍA

Descripción de actividades en alto nivel

Área

• Identifica de manera conjunta con la Subdirección de Seguridad de la Información los activos a evaluar en el análisis de vulnerabilidades y comparte la relación o inventario de la infraestructura tecnológica previamente identificados.
• Revisar el informe de resultados y firmar de conocimiento.
• Brindar planes de mitigación que contengan como mínimo fechas compromiso de atención, responsables de atención, tiempos de atención y recursos necesarios para la atención.
• Aplicar las contramedidas de mitigación de vulnerabilidades, previa evaluación de impactos de manera conjunta con el área de Seguridad de la Información, sobre aquellos activos de infraestructura Tecnológica en los que se identifiquen vulnerabilidades.

• Dirección de Sistemas e Infraestructura

• Definir y acordar en conjunto con la Dirección de Sistemas e Infraestructura

horarios para ejecutar el análisis de vulnerabilidades        a        activos        de

• Subdirección        de        Seguridad        de        la Información

infraestructura tecnológica dependiendo de los requisitos de cumplimiento regulatorio, institucional o control interno a los que haya que apegarse.

• Generar informe de resultados indicando los activos de infraestructura tecnológica y el total de vulnerabilidades identificadas por criticidad en cada activo.
• De manera conjunta con la Dirección de Sistemas Infraestructura y con la Dirección de Sistemas de Desarrollo realizará la revisión de los informes de análisis de vulnerabilidades para participar en la creación del plan que permita la mitigación de las debilidades reportadas   estableciendo   fechas

compromiso de atención.

Nombre de los documentos relacionados:

Nombre de los documentos referenciados

• Manual de Políticas para el Análisis de Vulnerabilidades y Pentest

• N/A

CONCEPTO

DESCRIPCIÓN

Amenaza

Una causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización.

Vulnerabilidad

La debilidad de un activo o grupo de activos de información que puede ser explotada por una o más amenazas ya sea por una deficiencia en el diseño,

implementación, operación o controles internos en un proceso.

Análisis de vulnerabilidades

Es un proceso mediante el cual se determina a través de herramientas de software y servicios de consultoría la debilidad, el nivel de exposición, nivel de explotabilidad y la predisposición a la pérdida de un

 elemento  o  grupo  de  elementos  (infraestructura

CONCEPTO

DESCRIPCIÓN

tecnológica, aplicaciones, etc.) ante el conjunto de amenazas conocidas al día de la evaluación.

Infraestructura tecnológica

Se llama infraestructura tecnológica a los distintos elementos de hardware y software empleados para optimizar la productividad y el funcionamiento de una empresa y que además de facilitar los procesos de

operación, proporciona seguridad a la información que gestiona.

Confidencialidad

La protección de la información privada o sensible contra la divulgación no autorizada.

Integridad

La precisión y validez de la información; es decir, que no haya sido modificada.

Disponibilidad

Garantizar que los sistemas de información y los datos se encuentren listos para su uso cuando se les necesita.

N°. actividad

Responsable

Descripción

1

Gerente de Seguridad de la Información

De manera conjunta con la Dirección de Sistemas Infraestructura realizarán la identificación de los activos a evaluar de acuerdo al alcance del análisis de

vulnerabilidades requerido

2

Solicita vía correo electrónico el listado de activos de infraestructura tecnológica asociados a la línea de negocio, proceso, aplicación o plataforma previamente

identificados

3

Especialista Relación con

Negocio SR

Recibe solicitud y envía por correo electrónico el listado correspondiente        a        los        activos        de        infraestructura

tecnológica

4

Gerente de Seguridad de la Información

Recibe        el        listado        de        activos        de        infraestructura tecnológica

5

Identifica las actividades, responsables y fechas para iniciar el análisis de vulnerabilidades

6

Elabora plan de trabajo de análisis de vulnerabilidades y se lo envía al Especialista Relación con Negocio SR

7

Especialista Relación con Negocio SR

Recibe el plan de trabajo, analiza en conjunto con el personal responsable administrador de plataforma los periodos de tiempo comprendidos y proponen horarios para ejecutar el análisis de vulnerabilidades en los

activos correspondientes

8

Comparte vía correo electrónico retroalimentación del plan de trabajo

9

Gerente de Seguridad de la Información

Recibe plan de trabajo con la propuesta de horarios

¿Existen posibles ajustes en los horarios? Sí, continúa con actividad 10

No, continúa con actividad 12

10

Realiza ajustes en los horarios propuestos por el Especialista Relación con Negocio SR

11

Envía por correo electrónico el plan de trabajo con las modificaciones correspondientes al Especialista Relación con Negocio SR

Regresa a la actividad 7

12

Planea las fechas, actividades, responsables de la ejecución y comparte dichas tareas con el responsable designado por la Dirección de Sistemas e Infraestructura para su programación en la reunión Control de Cambios, a través del medio que dicha Dirección determine.