Resumen ejecutivo inventario de activos de información. Procesos Dir. Corporativa Recursos Tecnologicos

Transcripción

1 Resumen ejecutivo inventario de activos de información Procesos Dir. Corporativa Recursos Tecnologicos

2 Agenda Diagrama de relación de activos inventariados para el proceso Muestra la relación entre los activos y el impacto en otros activos al comprometerse una característica de seguridad de un activo relacionado sin tener en cuenta los controles actuales. Tabla de Parámetros para la calificación Criterios definidos para la calificación dada al activo ante el compromiso o perdida de la característica de seguridad del activo. Resumen de activos del proceso calificados según su confidencialidad Resumen de activos del proceso calificados según su integridad Resumen de activos del proceso calificados según su disponibilidad Resumen de activos del proceso calificados según su criticidad Sobre los activos con criticidad alta y muy alta para la organización se elaborara el análisis de riesgos de acuerdo con la metodología. Próximas Acciones

3 Diagrama de Relación de los Activos de Información de la ERU

4 Parámetros para la clasificación VALOR CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUANTIFICACION USO ALTAMENTE RESTRINGIDO. Información cuya modificación no autorizada Información cuya inaccesibilidad Superior a Información que sólo puede ser conocida y utilizada por un no puede repararse, ocasionando pérdidas permanente durante ocho (8) horas grupo muy reducido de empleados generalmente la alta MUY dirección de la entidad. - Su divulgación o uso no autorizado puede ocasionar pérdidas graves a la ERU, al Sector Público o a Terceros. graves para la Entidad, al Sector Público o a terceros. puede ocasionar pérdidas graves a la entidad, al Sector Público o a terceros. USO RESTRINGIDO. Información cuya modificación no autorizada Información cuya inaccesibilidad - Información que sólo puede ser conocida y utilizada por un es de difícil reparación y puede ocasionar permanente durante dos (2) días grupo de empleados, que la necesiten para realizar su pérdidas significativas para la Entidad, el Sector puede ocasionar pérdidas trabajo. - Su divulgación o uso no autorizado puede ocasionar Público o a terceros. significativas a la entidad, al Sector Público o a terceros. pérdidas significativas a la ERU al Sector Público o a terceros. De $ A $ USO INTERNO. - Información que puede ser conocida y utilizada por todos los empleados de la entidad y algunas entidades externas debidamente autorizadas. - Su divulgación o uso no autorizado puede ocasionar riesgos o pérdidas leves para la ERU, el Sector Público o a terceros. Información cuya modificación no autorizada puede repararse aunque puede ocasionar pérdidas leves para la Entidad, el Sector Público o a terceros. Información cuya inaccesibilidad permanente durante una (1) semana podría ocasionar pérdidas leves para la entidad, el Sector Público o terceros. De $ A $ BAJO USO PUBLICO. - Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea empleado de la entidad o no. Información cuya modificación no autorizada puede repararse fácilmente, o no afecta la operación diaria de la Entidad. Información cuya inaccesibilidad no afecta la operativa diaria de la entidad. Hasta $

5 Resumen de Inventario por Clasificación de Confidencialidad Activos de Información inventariados del Proceso Según su calificación de Confidencialidad TIPO DE ACTIVO MUY BAJO TOTAL INSTALACIONES DOCUMENTO FISICO DOCUMENTO DIGITAL BASE DE DATOS HARDWARE RECURSO HUMANO SOFTWARE SERVICIO DIGITAL CLAVES O CONTRASEÑAS % MUY 0% 24% NOMBRE ACTIVO DESCRIPCION BREVE DEL ACTIVO CONFIDENCIALIDAD ARCHIVO DE CONFIGURACIONES DESCRIPCIÓN DE CONFIGURACIÓN TALES COMO DIRECCIONES IP CARPETAS COMPARTIDAS, LINEAS TELEFONICAS, USUARIOS Y CLAVES DE RECURSOS Y SERVICIOS. CLAVES DE INSTALACION DE SOFTWARE NUMERO DE LICENCIA O LLAVE DE INSTALACIÓN DE SOFTWARE USUARIOS Y CONTRASEÑAS DE SERVICIOS DE RED, BASE DE DATOS, CONTRASENAS DE USUARIOS ADMINISTRACION ACCESO A LICENCIAS Y DOWLOAD DE ACTUALIZACIONES, EQUIPOS O PRIVILEGIADOS CRITICOS BASE DE DATOS INTRANET MYSQL BASE DE DATOS APOTEOSYS ORACLE CONTENIDO UNIDAD BACKUP EXTERNA DOCUEMNTOS DIGITALES Y BACKUPS DE BASES DE DATOS CARPETA CENTRALIZADA TESORERIA DOCUMENTOS DIGITALES DEL AREA DE TESORERIA CARPETA CENTRALIZADA FINANCIERA DOCUMENTOS DIGITALES DE LA DIRECCION FINANCIERA CARPETA CENTRALIZADA PREDIOS DOCUMENTOS DIGITALES DEL AREA DE PREDIOS CARPETA CENTRALIZADA PLANEACION DOCUMENTOS DIGITALES DEL AREA DE TESORERIA CARPETA CENTRALIZADA COMUNICACIONES DOCUMENTOS DIGITALES DEL AREA DE COMUNICACIONES CARPETA CENTRALIZADA RECURSOS FISICOS DOCUMENTOS DIGITALES DEL AREA DE RECURSOS FISICOS CARPETA CENTRALIZADA CONTRATOS DOCUMENTOS DIGITALES DEL AREA DE CONTRATOS

6 Resumen de Inventario por Clasificación de Integridad Activos de Información inventariados del Proceso Según su calificación de Integridad TIPO DE ACTIVO MUY BAJO TOTAL INSTALACIONES DOCUMENTO FISICO DOCUMENTO DIGITAL BASE DE DATOS HARDWARE RECURSO HUMANO SOFTWARE SERVICIO DIGITAL CLAVES O CONTRASEÑAS % MUY 3% 23% NOMBRE ACTIVO DESCRIPCION BREVE DEL ACTIVO INTEGRIDAD BACKUP DE SERVIDORES COPIA DE BASE DE DATOS Y DE APLICACIONES MUY ARCHIVO DE CONFIGURACIONES DESCRIPCIÓN DE CONFIGURACIÓN TALES COMO DIRECCIONES IP CARPETAS COMPARTIDAS, LINEAS TELEFONICAS, USUARIOS Y CLAVES DE RECURSOS Y SERVICIOS. BASE DE DATOS INTRANET MYSQL BASE DE DATOS APOTEOSYS ORACLE CONTENIDO UNIDAD BACKUP EXTERNA DOCUEMNTOS DIGITALES Y BACKUPS DE BASES DE DATOS MUY CARPETA CENTRALIZADA TESORERIA DOCUMENTOS DIGITALES DEL AREA DE TESORERIA CARPETA CENTRALIZADA FINANCIERA DOCUMENTOS DIGITALES DE LA DIRECCION FINANCIERA CARPETA CENTRALIZADA PREDIOS DOCUMENTOS DIGITALES DEL AREA DE PREDIOS CARPETA CENTRALIZADA PLANEACION DOCUMENTOS DIGITALES DEL AREA DE TESORERIA CARPETA CENTRALIZADA COMUNICACIONES CARPETA CENTRALIZADA RECURSOS FISICOS DOCUMENTOS DIGITALES DEL AREA DE COMUNICACIONES DOCUMENTOS DIGITALES DEL AREA DE RECURSOS FISICOS CARPETA CENTRALIZADA CONTRATOS DOCUMENTOS DIGITALES DEL AREA DE CONTRATOS

7 Resumen de Inventario por Clasificación de Disponibilidad Activos de Información inventariados del Proceso Según su calificación de Disponibilidad TIPO DE ACTIVO MUY BAJO TOTAL INSTALACIONES DOCUMENTO FISICO DOCUMENTO DIGITAL BASE DE DATOS HARDWARE RECURSO HUMANO SOFTWARE SERVICIO DIGITAL CLAVES O CONTRASEÑAS % MUY 7% 37% NOMBRE ACTIVO DESCRIPCION BREVE DEL ACTIVO DISPONIBILIDAD PERSONAL RECURSOS PERSONAL Y CONTRATISTAS TECNOLOGICOS PARTICIPAN EN EL PROCESO INSTALACIONES ERU OFICINA PISO 10 Y PISO 11 MUY CENTRO DE COMPUTO Y CABLEADO, AREA DE PROCESAMIENTO DE AREA DE UBICACIÓN DE LOS DATOS SERVIDORES Y PRINCIPALES MUY COMPONENTES DE COMUNICACIÓN ARCHIVO CENTRAL GESTION DOCUMENTAL ARCHIVO CENTRAL DE LA ERU MUY EQUIPO DE COMPUTO EQUIPO DE COMPUTO ASIGNADO SERVIDORES SERVIDORES DE LA EMPRESA PARA CONTROL DOMINIO, CARPETAS COMPARTIDAS SWITCHS, CABLEADO, PUNTOS DE EQUIPO DE COMUNICACIONES CONEXIÓN, FIREWALL SERVICIO DE CORREO SERVICIO DE CUENTA DE CORREO INSTITUCIONAL SERVICIO DE ACCESO A RED SERVICIO DE VALIDACION DE USUARIO Y ACCESO A ESTACIONES DE TRABAJO (WINDOWS LOGON) NOMBRE ACTIVO DESCRIPCION BREVE DEL ACTIVO DISPONIBILIDAD BACKUP DE SERVIDORES COPIA DE BASE DE DATOS Y DE APLICACIONES MUY ARCHIVO DE CONFIGURACIONES DESCRIPCIÓN DE CONFIGURACIÓN TALES COMO DIRECCIONES IP CARPETAS COMPARTIDAS, LINEAS TELEFONICAS, USUARIOS Y CLAVES DE RECURSOS Y SERVICIOS. SERVICIO DE INTRANET APACHE CONTENIDO DIGITAL SERVICIO DE INTRANET MYSQL BASE DE DATOS SERVICIO DE SISTEMA APOTEOSYS APLICACIONES CARPETA COMPARTIDA EJECUTABLES BASE DE DATOS INTRANET MYSQL BASE DE DATOS APOTEOSYS ORACLE CONTENIDO UNIDAD BACKUP EXTERNA DOCUEMNTOS DIGITALES Y BACKUPS DE BASES DE DATOS CARPETA CENTRALIZADA TESORERIA DOCUMENTOS DIGITALES DEL AREA DE TESORERIA CARPETA CENTRALIZADA FINANCIERA DOCUMENTOS DIGITALES DE LA DIRECCION FINANCIERA CARPETA CENTRALIZADA PREDIOS DOCUMENTOS DIGITALES DEL AREA DE PREDIOS CARPETA CENTRALIZADA PLANEACION DOCUMENTOS DIGITALES DEL AREA DE TESORERIA CARPETA CENTRALIZADA DOCUMENTOS DIGITALES DEL AREA DE COMUNICACIONES COMUNICACIONES CARPETA CENTRALIZADA RECURSOS DOCUMENTOS DIGITALES DEL AREA DE RECURSOS FISICOS FISICOS CARPETA CENTRALIZADA CONTRATOS DOCUMENTOS DIGITALES DEL AREA DE CONTRATOS

8 Resumen de Inventario por Clasificación de Criticidad Activos de Información inventariados del Proceso Según su calificación de Criticidad TIPO DE ACTIVO MUY ALTA ALTA MEDIA BAJA TOTAL INSTALACIONES DOCUMENTO FISICO DOCUMENTO DIGITAL BASE DE DATOS HARDWARE RECURSO HUMANO SOFTWARE SERVICIO DIGITAL CLAVES O CONTRASEÑAS % MUY 9% 38% Sobre los 26 activos clasificados con criticidad alta o muy alta se realizara el proceso de análisis de riesgo.

9 Próximos Pasos Análisis de Riesgos A partir de la identificación de los activos y su clasificación y valoración de criticidad para los procesos se realizar el análisis de riesgos para el activo. Este proceso se realizara solo sobre los activos que fueron evaluados con criticidad ALTA o MUY ALTA. Recursos: Se sugiere trabajar con el mismo grupo de personas que realizo el inventario en mínimo 3 sesiones de 2 horas Etapas del procedimiento Identificar vulnerabilidades del activo (defectos, debilidades, diseño, exposición) Identificar las posibles fuentes de amenaza que podrían activar accidentalmente o explotar intencionalmente las debilidades. Describir el riesgo, identificar su impacto, determinar su probabilidad y el riego inherente. Valorar el riesgo sin controles, identificar controles, valorar la efectividad de los controles. Determinar el riesgo residual Identificar proyectos o actividades para la implementación de controles. o acciones frente al riesgo residual.