ORACLE IAM EN TELEMÁTICA: UN CASO DE ESTUDIO EN EL SECTOR AUTOMOTRIZ (DELOITTE)

PROYECTO MÓDULO GESTIÓN DE IDENTIDAD:

ORACLE IAM EN TELEMÁTICA: UN CASO DE ESTUDIO EN EL SECTOR AUTOMOTRIZ (DELOITTE)

Integrantes

RAQUEL GONZÁLEZ ANDRADE

FREDY MADERA VILLADA

Profesor

JOSÉ EDUARDO PATIÑO SANTAFÉ

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO

ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN

GESTION DE LA IDENTIDAD

Noviembre 15 de 2022

Contenido

1.        INTRODUCCIÓN        3

2.        OBJETIVOS        4

4.        RESPUESTAS        7

1.        Trazabilidad        7

2.        Riesgos de seguridad de la información        8

3.        CONCLUSION        9

4.        REFERENCIAS        10

1. INTRODUCCIÓN

 Este ejercicio plantea la revisión de los conceptos y modelos de control de acceso, analiza cómo interactúa el control de acceso con la gestión de identidad especialmente con los procesos de autenticación y autorización; y revisa algunos conceptos importantes para este tema tales como el permiso y rol. Lo anterior es útil para comprender cómo funcionan los diferentes modelos de control de acceso.

El control de acceso es parte fundamental de los procesos de autenticación, autorización y trazabilidad dentro del marco de la gestión de identidad. Por ello aquí abordamos este tema con el fin de contar con los conceptos que permitan un mejor entendimiento de los procesos de la gestión de identidad mencionados.    

1. OBJETIVOS

La entrega tres considera los siguientes puntos a desarrollar:  

1. Proponer los procesos/procedimientos que pueden ser implementados para llevar a cabo trazabilidad en el caso estudio de acuerdo con situaciones de monitoreo y riesgo que pueda identificar. Considere la definición metodológica: los recursos requeridos (herramientas que puedan apoyar el monitoreo, personal para realizar las actividades, tecnología e infraestructura requerida, entre otros).

En el caso de herramientas, personal adicional, tecnología, infraestructura, indique el análisis económico que sustente el requerimiento, así como el análisis de tiempos de implementación que puedan ser requeridos.

1. Realizar el planteamiento de al menos 3 riesgos de seguridad de la información que

identifique en el caso estudio frente a gestión de identidad y control de acceso y para cada riesgo indique:

a. Descripción de la situación del caso estudio donde se evidencia el riesgo

b. Las vulnerabilidades y amenazas o causas asociadas que dan origen al riesgo

c. Las posibles consecuencias del riesgo identificado

d. Dueño del riesgo que propone explicando porque su propuesta (puede considerar funcionarios que no estén mencionados en el caso estudio si así lo requiere).

e. Descripción del plan de tratamiento que propone para tratar el riesgo indicando de que tipo es (Recuerde que el tratamiento puede considerarse como aceptar, eliminar, mitigar o transferir). Para cada plan considere:

f. Responsable de implementar el plan de tratamiento que propone explicando porque su propuesta.

g. Si el plan de tratamiento es de tipo mitigar, indique los siguientes aspectos:

i. Descripción del(los) control(es) que se implementaría para mitigar

ii. Categoría del control: administrativo, técnico o físico (explicando porque define esa categoría).

iii. Funcionalidad del control: Preventivo, detectivo, correctivo, diasuasivo, recuperación, compensatorio. (Explicando porque define esa funcionalidad).

iv. Responsable de ejecución del control que propone explicando porque su propuesta.

v. Responsable de revisión del control que propone explicando porque su propuesta (para estos responsables también puede plantear funcionarios que no estén mencionados en el caso estudio si lo requiere).

vi. Frecuencia de ejecución del control propuesta.

vii. Frecuencia de revisión del control propuesta.

1. Considerar que usted es el encargado de realizar una auditoría interna a la empresa del

caso estudio, referente a gestión de identidad y control de acceso. Para ello su criterio de auditoria (o punto de referencia para realizar la auditoría) es el estándar ISO 27002 considerando los objetivos de control que pueden tener alguna relación con control de

acceso y gestión de identidad. A partir del análisis del caso estudio identifique al menos 3 hallazgos u observaciones de no conformidad con la definición de los controles de ISO 27002 y preséntelos como puntos de auditoría. Para cada hallazgo u observación indique:

...