Actividad 2: Análisis de Riesgos sobre ISO27001:2013
pauco1234Monografía29 de Mayo de 2021
3.368 Palabras (14 Páginas)142 Visitas
[pic 1]
GESTIÓN DE LA SEGURIDAD
Actividad 2: Análisis de Riesgos sobre
ISO27001:2013
Implementación de un plan de gestión ciberseguridad.
Jefferson Ortega jeffersonsantia.ortega035@comunidadunir.net
Luis Vinueza luisalfredo.vinueza129@comunidadunir.net
Edgar Guamán edgar.guaman202@comunidadunir.net
Contenido
- Introducción 2
- Análisis de Activos 2
- Análisis de controles 4
- Categorización amenazas 9
- Análisis de Riesgos 10
- Plan de tratamiento de riesgos 13
- Análisis de los Incidentes de Seguridad 16
- Conclusiones 18
- Bibliografía 18
4
Introducción
RTVEC o Ecuador TV, rama de la Empresa pública de Medios Públicos del Ecuador constituye el principal representante de la televisión pública nacional. Ecuador Tv tiene la misión de “brindar a la ciudadanía contenidos televisivos y radiofónicos que formen, informen y entretengan sanamente, fortaleciendo los valores familiares, sociales, culturales y la participación ciudadana.”
Este medio de comunicación difunde información en estricto apego a la verdad, pues deben ser ejemplo por la posición que ocupa en nuestra sociedad.
Fundado el 27 de noviembre de 2007, inició esta nueva propuesta de televisión, para brindar a la ciudadanía contenidos que formen, informen y entretengan sanamente.
La empresa cuenta con diferentes gerencias y departamentos que la administran, diferenciando claramente sus competencias, obligaciones y responsabilidades.
La seguridad de la información dentro de la empresa es un punto clave, dado que existe una gama completa de tipos de información. Es decir, a más de la información común manejada dentro de la cualquier empresa como la de índole personal, financiera, procesos, etc; existe información de gran sensibilidad relacionado con todos los contenidos de carácter periodístico, documental y político que internienen en el proceso de generación de contenidos televisivos al aire, como cadenas nacionales, informativos, noticieros y programas de opinión, así como información circulante de último momento que es de carácter confidencial.
Análisis de Activos
Tipo | Nombre | Descripción | V. Estrat. |
[D] Datos / Información | Archivo General | El archivo histórico de todos el contenido multimedia usado para la emisión de contenidos al aire, incluyendo material en bruto, catalogado, grabaciones ,material producido y contenidos emitidos al aire. | Muy Alto |
[D] Datos / Información | Bases de Datos | Información estructurada de todo el contenido histórico, coyntura política nacional, información estratégica. | Muy Alto |
[D] Datos / Información | Copias de Seguridad | Copias de seguridad de los servidores del data center. | Alto |
[D] Datos / Información | Correos Electrónicos Internos | Archivo de las comunicaciones realizadas a partir del correo electrónico institucional. | Alto |
[HW] Equipos informáticos (hardware) | Data Center | Granja de servidores referentes a todos los sistemas utilizados en el flujo de trabajo. Desde el directorio activo hasta los servidores de automatización de emisiones al aire. | Alto |
[AUX] Equipamiento auxiliar | Dispositivos de identificación | Todos los controles necesarios para el acceso identificado de cada uno de los funcionarios a su área correspondiente para evitar intrusos en áreas estratégicas | Medio |
[HW] Equipos informáticos (hardware) | Estaciones de trabajo | Todas las estaciones de trabajo a nivel de usuario final. | Muy Bajo |
[D] Datos / Información | Información Financiera y Ventas | Información referente a todos los procesos, contratos y despliegue administrativo. | Muy Alto |
[D] Datos / Información | Información Personal | Los datos personales del personal que labora dentro de RTVEC | Medio |
[Media] Soportes de información | Licencias de los Sistemas | Las licencias de todos las plataformas de trabajo utilizadas en el proceso de emisión de contenidos al aire. | Alto |
[L] Instalaciones | Planta de Generación eléctrica y UPS | Sistema auxiliar de alimentación eléctrica para todas las áreas críticas dentro de la organización. | Alto |
[COM] Redes de comunicaciones | Red interna | Toda la red interna , incluido componentes intermedios activos como switches en una infraestructura de núcleo colapsado. | Alto |
[AUX] Equipamiento auxiliar | Servicios de proveedores externos | Servicios solicitados a proveedores externos , tales como servicio de internet, canal de fibra dedicado para recepción de señales de audio y video, espacio satelital. | Muy Alto |
[HW] Equipos informáticos (hardware) | Sistema de vigilancia de circuito cerrado | Sistema de vigilancia de seguridad para prevenir el ingreso de personal no autorizado | Medio |
[D] Datos / Información | Sistema y Registro de Tickets e Incidencias | Registro de incidencias de fallos y resoluciones a nivel técnico de cada uno de los casos reportados hacia el departamento de sistemas. | Alto |
Tabla 1. Descripción de Activos
Análisis de controles
Específicamente refiriéndose al punto A.5 “Políticas de Seguridad de la Información”, se puede observar que tiene un buen nivel de control de 86% pero que se puede mejorar.
[pic 2][pic 3]
Figura 1. Políticas de Seguridad de la Información
En el punto A.6 “Organización de la seguridad” tenemos un nivel de control del 67% que es un
nivel medianamente bueno y a su vez se subdivide en con los puntos A.6.1 y A.6.2.
[pic 4][pic 5]
Figura 2. Organización de la seguridad de la información
En el control A.7 de Seguridad ligada a los recursos humanos se subdivide en 3 puntos que son
A.7.1 con un nivel de control medianamente bajo del 43%, el punto A.7.2 con un nivel bajo del 36% y el punto A.7.3 con un control nulo del 0%.
...