Task: Cutting Edge Technology - SPECIFIC EXAMPLE: ROBIN

CHAPTER 7 LEARNING CONTEXT: RUNESCAPE GAMEPLAY

7.3 SPECIFIC EXAMPLE: ROBIN

7.3.2 Task: Cutting Edge Technology

A continuación se presenta la identificación de riesgos a los que está sometida la información del BBB, con la finalidad de mitigar, transferir o controlar aquellos riesgos que atenten contra la administración de la seguridad de la información mediante mecanismos definidos y documentados sistemáticamente y se cree un ciclo de mejora continua.

Para la identificación de riesgos a los que está sometida la información del negocio, se han considerado las siguientes fuentes de información:

0% 20% 40% 60% 80% 100%

88% 12%

127 • Reuniones con diversas áreas de la institución.

• Diagnóstico de seguridad de la información actual.

• Análisis de cumplimiento de la norma ISO/IEC 27001.

• Análisis de fuentes de información observación, documentación y procesos propios institucionales. • Amenazas. • Vulnerabilidades 3.4.1 Riesgos identificados N° Riesgo Causa Nivel de Riego 1 Seguridad de

la información. No se tiene un sistema gestión de la seguridad de la información

Muy Alto 2 Acceso no autorizado a la información contenida en las aplicaciones.

Accesos indetectables por registros de bitácoras incompletos, como en las bases de datos, sistemas operativos, otros.

Alto No se realiza supervisión a las bitácoras de los equipos

No se realiza supervisión a las bitácoras de los equipos o algunos carecen de ellas.

Que no se cuenten con mecanismos eficientes para el control de los usuarios (acceso, operaciones y de privilegios), como gestión de la identidad de los usuarios internos y externos.

Usuarios con niveles de privilegios, como usuarios con administradores o con privilegios no propios de su cargo.

128 N° Riesgo Causa Nivel de Riego 3 Continuidad de aplicaciones

Falta de afinamiento de la herramienta de evaluación de planes

de continuidad y recuperación de desastres. Alto

Acceso a la información no autorizada.

Usuarios que ya no tienen necesidad de acceder y / o conocer a la información, como los privilegios para la modificación a los datos.

Alto Inadecuada segregación de funciones, por lo cual las

aplicaciones requieren una revisión de autorizaciones por perfil de usuario.

5 Divulgación de datos.

Clasificación de información deficiente, ya que no considera la utilización de códigos, sellos, firmas o señales de advertencia según su nivel de seguridad.

Alto Información revelada a terceros no autorizados durante una

emergencia, por lo que es posible que se brinde información a personas no autorizadas durante y luego del evento.

Canales de comunicación inseguros, por lo que la información transmitida puede darse a conocer por personas no autorizadas Procesos débiles en la eliminación de la información que está contenida en los medios de almacenamiento móviles, por lo que puede divulgarse cuando este es desechado o reasignado a otro propietario.

Ausencia de un custodio de la información, por lo que no hay alguien responsable en aplicar los controles de seguridad.

129 N° Riesgo Causa Nivel de Riego 6 Acceso no autorizado a los medios de almacenamient o, expone los datos sensibles a la divulgación.

Los funcionarios no conocen sobre las políticas de medios de almacenamiento, en el análisis de fuentes de información podría observarse que las áreas no aplican los controles referentes al tratamiento adecuado de los medios de almacenamiento que tienen bajo su custodia.

Alto 7 Fallas del sistema no se detectan en momentos oportunos.

Falta de registros de bitácoras, por lo que no puede identificarse

la razón de las fallas. Alto

Incumplimiento de

proveedores.

Falta de supervisión de los requisitos de seguridad en los documentos contractuales, por lo cual hay proveedores sin contrato de confidencialidad y pueden divulgar información.

Alto

10 Pérdida de la integridad.

Operación del respaldo de datos de información.

Alto Uso de extintores en las áreas sensibles.

Interrupción de las

operaciones del negocio.

La utilización de los equipos y aplicaciones ha sido descontinuada por el proveedor, por lo cual se dificulta el

soporte de los equipos y aplicaciones. _Alto

Ausencia de esquemas de continuidad de los proveedores de servicios críticos, por lo cual se limitaría la operación normal.

130

N° Riesgo Causa

Nivel de Riego Que los tiempos de respuesta por parte de TI ante

requerimientos, incidentes o problemas de los usuarios sean inadecuados.

Cuarto de comunicaciones de las oficinas sin controles requeridos para su protección

Procesos inadecuados

La documentación es escaza en contenido y forma de acuerdo con la normativa buscada.

Alto Tiempos de respuesta altos en incidentes.

SGSI no conocido por todos Contratación de personal Falta de cumplimiento

14 Procesos

131

Capítulo IV

132 4 Introducción

El propósito de este capítulo es que por medio de los planes de acción propuestos basados en las deficiencias encontradas, el BBB pueda mejorar el nivel de madurez de la seguridad de la información con la ayuda de un Plan de Gestión de Seguridad de la Información, para conocer, gestionar y minimizar los posibles riesgos y amenazas que atentan contra la seguridad de la información.

Así mismo se busca disminuir las brechas detectadas en el análisis de las mejores prácticas en materia de Seguridad de la Información, a través de los procesos establecidos en normas y estándares internacionales como ISO/IEC 2700.

4.1 Supuestos

Para implementar cada una de las recomendaciones en el corto plazo deben considerarse los siguientes supuestos:

• El alto compromiso de las partes involucradas y el apoyo de la Gerencia es esencial para garantizar el éxito de cada iniciativa.

• El orden de ejecución de las iniciativas descritas en este documento, puede ser modificado, producto de la existencia de otras actividades con alta prioridad para el BBB, el nivel de apetito al riesgo de la Institución versus la inversión en recursos o alguna otra situación imprevista.

• Las recomendaciones en este documento fueron definidos como iniciativas. Por lo tanto, si el BBB modifica alguna de estas acciones a proyecto, debe considerar el impacto que ocasionará en la asignación de recursos y estimación de tiempo para su desarrollo.

133 El primer paso para documentar las oportunidades de mejora, fue considerar la matriz de evaluación realizado en el capítulo anterior, analizando los resultados de los siguientes criterios:

• Brechas identificadas que deben subsanarse para asegurar la confidencialidad, integridad y disponibilidad de la información del BBB.

• Plan de tratamiento de los hallazgos identificados cuyos plazos de ejecución fueron definidos que serían en el corto plazo, mediante sesiones con el equipo de trabajo, se determinó que las recomendaciones se debía ejecutar a corto plazo y se debía incluir actividades y tareas que no requirieran más recursos de lo existente ni presupuesto adicional.

In document Using the MMORPG ‘RuneScape’ to Engage Korean EFL (English as a Foreign Language) Young Learners in Learning Vocabulary and Reading Skills (Page 149-157)