GRUPO 2 [Marcos Rojas Pacheco - Daniel Ruiz Raposo - Álvaro Ramos Albertos]

¿QUE ORGANIZACIÓN ACTUAL SE CONOCE?

En el plan de director de seguridad que se enfocara en asesorar a autónomos y pymes, también se encarga de las ventas online de productos para estas empresas que asesora y el transporte de estas mercancías.

IDENTIFICADOR NOMBRE DESCRIPCIÓN TIPO UBICACIÓN CRITICO
01 Tablet Contabilidad de mercancía Dispositivo (físico) Sala de CPD1 No
02 Ordenador de sobremesa Acceso a página web empresarial, base de datos e informes de ventas Dispositivo (físico) Sala de CPD1
03 Teléfonos móviles Contactos de proveedores y clientes Dispositivo (físico) Ubicación móvil No
04 Información / Datos Datos personales de clientes, contratos y facturas. Almacenamiento (Lógico) CPD Externo
05 Servidor Web Servidor para la página web corporativa. Servidor (físico) CPD Externo

RESPONSABLES DE LA GESTION DE LOS ACTIVOS

Los activos mencionados en el departamento de delivery estarán bajo la responsabilidad de comités para garantizar el seguimiento de la ejecución de las iniciativas que implementaremos, así como del análisis y recogida de la información.

Comité de Seguridad

  • Ordenadores de sobremesa con acceso a la base de datos.
  • Servidor Web de la página corporativa.
  • Tablets encargadas de la contabilidad de la mercancía.

Comité de Información

  • Información y datos personales de clientes, facturas y contratos.
  • Teléfonos móviles con información de proveedores y clientes.

Comité de ámbito

  • Legalidad y organización de las futuras iniciativas.

ANÁLISIS TÉCNICO DE SEGURIDAD

  • Copias de seguridad (documentadas con procedimiento básico)
  • Antivirus actualizado gestionado por subcontrata (procedimiento documentado pero que no ha sido aprobado por la dirección)
  • Cumplimiento RGPD a través de consultoría ( Bien documentado tras el trabajo de la consultoría, aprobado por la dirección y formal)
  • Firewall que establece una zona segura y otra pública (la información solo la conoce el administrador de red)
  • No existen políticas de seguridad por escrito.
  • La página web externalizada y no tiene control sobre esta de seguridad.

ANALISIS DE RIESGO

ACTIVO AMENAZA PROBABILIDAD IMPACTO RIESGO
Tablets / Dispositivos móviles Errores de los usuarios Medio (2) Medio (2) 5
PC Interrupción de otros servicios y suministros Medio (2) Alto (3) 6
DATOS Abuso de privilegios de acceso Medio (2) Alto (3) 6
SERV. WEB Denegación de servicios (DDOS) Medio (2) Alto (3) 6

NIVEL DE RIESGO ACEPTABLE

Según los riesgos observados que tiene la empresa y nuestro baremo de peligrosidad de estos sobre los activos, determinamos unos umbrales distintos para tratar los riesgos:

UMBRALES RANGO COMENTARIO
Transferir 8 AL 10 Este riesgo será pasado a un tercero
Eliminar 6 AL 7 El riesgo será eliminado
Implantar 5 AL 7 Al riesgo se implantara medidas de seguridad
Asumir 1 AL 4 El riesgo se asumira, pero será justificado

MEDIDAS QUE IMPLEMENTAR PARA MITIGAR

Título del control Tabla de atributos Control Propósito Orientación Otra información
Medidas de control en la contabilidad de mercancía Predictivo,Confidencialidad,Proteger,Seguimiento Utilización de métodos de encriptación en los dispositivos. Se encriptará los dispositivos de almacenamiento de las tablets para prevenir la lectura no autorizada de estos. Dentro de los ajustes de android, iremos al apartado de seguridad o privacidad y elegiremos la opción cifrar teléfono o encriptar smartphone. https://tabletzona.es/encriptar-cifrar-tablet-android/
Utilización segura de ordenadores Preventivo,Integridad,Identificar,Proteger,Seguimiento Implantación de métodos seguros a nivel de usuario sobre la utilización de estos dispositivos. Con un control sobre políticas de usuario a nivel local evitaremos el uso indebido de usuarios evitando la manipulación de datos confidenciales. Utilización del asistente para configuración de seguridad (SCW) que guiará a través del proceso de aplicación de directivas de seguridad. https://learn.microsoft.com/es-es/windows/security/threat-protection/security-policy-settings/administer-security-policy-settings
Correcto uso de dispositivos móviles Correctivo,Confidencialidad,Respuesta,Seguimiento Establecimiento de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPGDD) Utilización de antivirus en moviles, utilización de moviles para desempeñar únicamente funciones laborales, limitaciones y prohibiciones en la utilización de programas no establecidos en la normativa. Informar previamente a los trabajadores de la utilización de móviles corporativos para controlar el uso de estos. https://www.boe.es/buscar/pdf/2018/BOE-A-2018-16673-consolidado.pdf

MEDIDAS QUE IMPLEMENTAR PARA MITIGAR

Título del control Tabla de atributos Control Propósito Orientación Otra información
Confidencialidad de información y datos Correctivo,Confidencialidad,Integridad,Proteger,Seguimiento Utilización de encriptación simétrica y comprobación de hash sobre los archivos guardados. Uso de encriptación AES-256 para los archivos y verificación de hash generados con MD5 Se utilizarán programas como Cipher-block chaining (CBC) que se encarga de un encriptado al que se aplica la operación XOR con el bloque de cifrado anterior de forma secuencial, aparte de que genera Hash md5 de los archivos. https://www.techtarget.com/searchsecurity/definition/cipher-block-chaining
Mantenimiento en la disponibilidad del servidor web Preventivo,Disponibilidad,Identificación,Respuesta,Seguimiento Implantación de Captcha y registro de IP al momento de entrar en la página web Se utilizará un Captcha para identificar el acceso de un usuario o robot, aparte de obtener en un registro la dirección IP para prevenir ataques de denegación de servicios en la página web. Implementación de shieldon creando un firewall definido por software, configurando el número de paquetes enviados, el tipo de estos, verificación de captcha si detecta peticiones ‘extrañas’ desde una IP, bloqueo de IP si estas peticiones se reiteran, etc… https://github.com/terrylinooo/shieldon

CONOCER LA ESTRATEGIA DE LA ORGANIZACIÓN

Tras una fase en la consideración de los proyectos en curso y futuros de la empresa consultando con los departamentos y con la dirección, se han determinado que las medidas empresariales que van a optar a realizar serán el aseguramiento de confiabilidad con los proveedores y clientes, aparte de la expansión del negocio con más sedes pero manteniendo la misma estructura jerárquica y de trabajo.

PRIORIZAR Y DEFINIR PROYECTO E INICIATIVAS

ID PROYECTO DESCRIPCIÓN ISO-27002
01 Desarrollar e implementar una política de seguridad. Desarrollar e implementar una política de seguridad que contenga al menos los siguientes aspectos: - Compromís de la Dirección. - Utilización del e-mail e internet. - Utilización de dispositivos móviles. - Aspectos de protección de datos. 5.1.1 Conjunto de políticas para la seguridad de la información. 5.1.2 Revisión de las políticas para la seguridad de la información.
02 Desplegar un plan de concienciación en materia de seguridad de la información. Llevar a cabo sesiones de formación y concienciación que cubran tanto el personal de los departamentos operativos como a la Dirección. 7.2.2 Concienciación, educación y capacitación en seguridad de la información.
03 Mejora en la gestión de incidentes y atención al usuario. Definir, documentar e implementar un proceso para la gestión de los incidentes de seguridad. 16.1.1 Responsabilidades y procedimientos. 16.1.3 Notificación de puntos débilesde la seguridad. 16.1.5 Respuesta a los incidentes de seguridad.
04 Desarrollar un Plan de continuidad TIC. Llevar a cabo acciones técnicas para la segmentación de la red corporativa y posteiormente implantar sistemas de detección de intrusos 13.1.2Mecanismos de seguridad asociados a servicios en red. 13.2.1 Políticas y procedimietos de intercambio de información. 13.2.4 Acuerdos de confidencialidad y secreto.
05 Clasificación de la información. Definir un sistema de clasificación de la información que contemple al menos tres nivele de seguridad (público, privado y confidencial). Este sistema debe contemplar aspectos como el etiquetado, acceso, destrucción de la información, uso de cifado, etc. 17.1.2 Implantación de la continuidad de la seguridad de la información. 17.2.1 Disponibilidad de instalaciones para el procesamiento de la información.
06 Regulación de los servicios TIC prestados por terceros. Revisar y homogeneizar los contratos establecidos con los proveedores TIC externos a fin de garantizar que estos son adecuados a las necesidads de la organización. Para aquellos que sean críticos, establecer acuerdos de nivel de servicio 13.2.1 Políticas y procedimientos de intercambio de información. 13.2.4 Acuerdos de confidencialidad y secreto.

APROBAR EL PLAN DIRECTOR DE SEGURIDAD

Una vez aprobado el Plan Director de Seguridad y una vez aceptado daremos como un margen mínimo de duración para implementarlo entre los 6 meses y un año pudiendo ser prolongado al año y medio una vez sean solucionados los riesgos más importantes para la empresa con lo que pueden ser afectados los activos de la empresa.

PUESTA EN MARCHA

Una vez presentado y aprobado el Plan Director de Seguridad al cliente, la empresa se pondrá manos a la obra en las medidas tomadas para intentar llevarlas a cabo en el mínimo tiempo posible, adaptando a los trabajadores a la nueva forma de trabajo.

El nuevo grupo responsable del mantenimiento tendrá una nueva función, la cual implica revisar copias de seguridad cada cierto periodo de tiempo, acordado entre los responsables y la dirección de la empresa, también se decidirá el tiempo que almacenarán las copias de los albaranes de los paquetes enviados.

Referencias

WEBGRAFICA

PORTADA

MARCOS

Los activos localizados en el departamento de Delivery son los siguientes:

La empresa que nos solicita el plan director de seguridad se enfoca en asesorar a autónomos y pymes, también se encarga de las ventas online de productos para estas empresas que asesora y el transporte de estas mercancías, ya que maneja un negocio online, seleccionaremos el departamentos de delivery para realizar un análisis sobre los procesos que este realiza. Los activos localizados en el departamento de Delivery son los siguientes:

MARCOS

Los activos mencionados en el departamento de delivery estarán bajo la responsabilidad de comités para garantizar el seguimiento de la ejecución de las iniciativas que implementaremos, así como del análisis y recogida de la información. Comité de Seguridad Ordenadores de sobremesa con acceso a la base de datos. Servidor Web de la página corporativa. Tablets encargados de la contabilidad de la mercancía. Comité de Información Información y datos personales de clientes, facturas y contratos. Teléfonos móviles con información de proveedores y clientes. Comité de ámbito Legalidad y organización de las futuras iniciativas.

ALVARO Ahora vamos a analizar que tiene la empresa y que puede llegar a ser un riesgo para ella, también indicar si alguna de ellas es factible para la evaluación de controles.

DANIEL Ahora vamos a crear el modelo de maduración para ver si llevan a cabo el control de seguridad en los sistemas de información, no existe un proceso formal en la empresa para poder realizar el análisis de la estrategia, con lo cual depende de la suerte y de tener personal de alta calidad para realizar esta labor. También vemos que la seguridad se realiza de un modo totalmente informal y la responsabilidad es individual y no hay formación. El control es aplicado conforme a un procedimiento documentado, pero no ha sido aprobado ni por el responsable de seguridad ni con el comité de dirección. El control administrado se lleva a cabo de acuerdo a un procedimiento documentado que es aprobado y formalizado. El control optimizado es aplicado de acuerdo a un procedimiento documentado que también está aprobado y formalizado y la eficacia se mide periódicamente mediante indicadores MODELO DE MADUREZ

DANIEL Ahora vamos a analizar los riesgos más importantes que podrían ser un gran factor de amenaza para nuestra empresa y podría afectar a la misma.

DANIEL ESTABLECER OBJETIVOS Ahora vamos a establecer el objetivo que debería tener la empresa que en este caso sería el objetivo a alcanzar, el objetivo óptimo es imposible de conseguirlo en este caso por que seria una cantidad de dinero invertido la cual, no le saldría rentable a la empresa invertir, también vamos a ver su objetivo actual y con todos esos datos vamos darle un objetivo más asequible para la empresa.

DANIEL

Según los riesgos observados que tiene la empresa y nuestro baremo de peligrosidad de estos sobre los activos, determinaremos umbrales distintos para tratar los riesgos:

DANIEL

DANIEL Ahora vamos a crear y utilizar las medidas las cuales vamos a implementar para poder mitigar los riesgos anteriormente mencionados, crearemos una tabla para poder decir las medidas que se van a tomar.

DANIEL Ahora vamos a crear y utilizar las medidas las cuales vamos a implementar para poder mitigar los riesgos anteriormente mencionados, crearemos una tabla para poder decir las medidas que se van a tomar.

DANIEL Tras una fase en la consideración de los proyectos en curso y futuros de la empresa consultando con los departamentos y con la dirección, se han determinado que las medidas empresariales que van a optar a realizar serán el aseguramiento de confiabilidad con los proveedores y clientes, aparte de la expansión del negocio con más sedes pero manteniendo la misma estructura jerárquica y de trabajo

DANIEL Ahora vamos a dividir el proyecto de la siguiente manera y ordenarla por ID según su prioridad a la hora de aplicarlas.

MARCOS

A todos los empleados se les dará un curso adaptado y legible de todas las normas y nuevos planes para el uso de las nuevas herramientas e implementación de seguridad de las mismas, también se le dará un documento en el cual el empleado una vez realizada la formación de esta implementación, rellenará un cuestionario de conceptos dados sobre las mismas medidas para saber que lo han entendido correctamente y comprendido. El coste de todas las implementaciones y curso de formación para los empleados y las medidas de seguridad rondarán los 10.000 - 15.000 € como mínimo para poder hacer efectivas las mejoras sobre el departamento de Delivery. La empresa al ver este gasto, analizará la propuesta para poder implementar las medidas necesarias, con lo cual nos dará como resultado un gasto asumible de 8.000 €, esto quiere decir, que quiere cubrir el rango que tenga mayor riesgo y sea fatal para la empresa, las medidas se implementaran lo antes posible para que no ocurra ninguna incidencia en la empresa.

ALVARO

Tras la implementación de los nuevos equipos en la empresa, es necesario asignar a un grupo que coordine y se haga responsable del correcto uso y mantenimiento de éstos, ya que de lo contrario, un mal uso podrá perjudicar en el rendimiento y seguridad de ésta. Los responsables se encargarán entre otras funciones a explicar a transportistas y repartidores el correcto uso de nuevas aplicaciones más eficientes que las anteriores para la firma de clientes en las nuevas tabletas. Los responsables del seguimiento y mantenimiento de las mejoras tomadas y la dirección de la empresa acordaron revisar los equipos implantados cada 15 días, asegurándose de que no se ha dado ningún fallo en los equipos. El nuevo grupo responsable del mantenimiento tendrá una nueva función, la cual implica revisar copias de seguridad cada cierto periodo de tiempo, acordado entre los responsables y la dirección de la empresa, también se decidirá el tiempo que almacenarán las copias de los albaranes de los paquetes enviados. Tras el análisis de las medidas implementadas en la empresa, se puede confirmar la sobreescritura de la documentación de las copias de seguridad en un lenguaje técnico, así como la aprobación de la dirección de la empresa del antivirus en funcionamiento. También se implementaron políticas de seguridad según el LOPGDD que fueron utilizadas para las bases de la empresa, aparte de guardar copias tanto escritas como digitales de estas. Por último, tras contactar con la página web que estaba externalizada, se le mandó un correo solicitando el acceso al panel de control de seguridad sobre esta, para poder configurarlo y garantizar el correcto mantenimiento de dicha página, ésta solicitud fue autorizada .