Solicitud Información del usuario Información de la Base de Datos y privilegios

Tipo Solicitud Perfil Tipo Solicitud Roles Privilegios Esquema/

Nombre de la cuenta Objetos
Número de Tiene acceso a otra base de datos Base de Datos Ambiente (Pruebas, de usuario de Base de
Primer Segundo Nombre Primer Segundo Cédula Correo electrónico teléfono y Productiva? En caso afirmativo requerida (Nombre, Usuario del dominio Nombre de la máquina de quien solicita el permiso Desarrollo o Datos
Nombre Apellido Apellido extensión indique Nombre de BD e IP IP) Producción) (En caso de Especificar sobre cual
No debe ser default Indique la accion a Si son varios roles Si son varios
Indique la accion a modificación) En caso de dudas, realizar sobre la base debe separarlos por privilegios debe esquema u objetos
realizar con el usuario validar con DBA de datos coma separarlos por coma requieren los
privilegios
si, a Teradata: 10.80.4.20, a Vertica:
Crear Cuenta Fredi Giovanni Carranza Martinez 79641874 fredi.carranza@telefonica.com 3165208244 10.203.23.19, a BigData: 10.203.100.132 fgcarranzama BOGFGCARRANZAMA Produccion SQL_FGCARRANZAM consulta Asignar Privilegios consulta SELECT IMDB
10.203.23.25 IMDB A
si, a Teradata: 10.80.4.20, a Vertica: 10.203.100.132 SQL_FGCARRANZAM
Crear Cuenta Fredi Giovanni Carranza Martinez 79641874 fredi.carranza@telefonica.com 3165208244 10.203.23.19, a BigData: CRMDB fgcarranzama BOGFGCARRANZAMA Produccion A consulta Asignar Privilegios consulta SELECT CRMDB
10.203.23.25

FI-GSI-008 (19/07/06)
Colombia Telecomunicaciones SA E.S.P NIT 830122566-1 Transversal 60 (Avenida Suba) Nº 114 A - 55 Bogotá, Colombia Tl 5935399 Fax 5782728 www.telecom.net.co
 Solicitud Riesgo

Fuga de información de datos confidenciales, restringidos

o privados

Perdida de integridad de la información

Servidor
Incumplimiento legal (Articulo 17 de la ley 1581 de 2012)
Protección de datos personales.

Pérdida de disponibilidad de la información

Suplantación de identidad

Fuga de información de datos confidenciales, restringidos

o privados

Incumplimiento legal (Articulo 17 de la ley 1581 de 2012)

Protección de datos personales.

Administrador de
dominio

Perdida de integridad de la información

Fuga de información de datos confidenciales, restringidos

o privados

Administrador Local
Administrador Local
Pérdida de disponibilidad de la información

Fuga de información de datos confidenciales, restringidos

o privados

Suplantación de identidad

Aplicación Incumplimiento legal (Articulo 17 de la ley 1581 de 2012)

Protección de datos personales.

Perdida de integridad de la información

Fuga de información de datos confidenciales, restringidos

Mainframe
o privados

Fuga de información de datos confidenciales, restringidos

o privados

Indisponibilidad de la BD debido a la ejecución de

Bases de Datos consultas estructuradas dependiendo del nivel de
privilegios

Incumplimiento legal (Articulo 17 de la ley 1581 de 2012)

Protección de datos personales.

Perdida de integridad de la información

Aprobado por Subcomité de Seguridad - Acta 121

Fecha 5 de abril de 2016
 Matriz de Riesgo
Causa/Vulnerabilidad

Divulgacion de informacion confidencial

Uso de mecanismos inseguros para la transmision de datos
Manipulacion inadecuada de la informacion
Cambios no autorizados sobre data sensible.
Inadecuada gestión de acceso y privilegios en sistemas de
información y componentes tecnologicos.
Infeccion de código malicioso.
Configuracion incorrecta de parametros.
Instalacion de software no autorizado
Cambios en la configuracion de SO o SI
Firmas de antivirus desactualizadas

Alteración/Uso no autorizado de datos personales

Instalacion de software no autorizado

Firmas de antivirus desactualizadas
Infección de código malicioso
Cambios en la configuracion de SO

Uso de contraseñas debiles

Prestamo de usuarios
Uso de usuarios genericos para el ingreso a sistemas de informacion

Divulgacion de informacion confidencial

Acceso total a los equipos de cómputo y servidores del dominio
Uso de mecanismos inseguros para la transmision de datos

Alteración/Uso no autorizado de datos personales

Acceso total a los equipos de cómputo y servidores del dominio
Asignacion errada de los derechos de acceso
Configuracion incorrecta de parametros.
Manipulacion inadecuada de la informacion
Cambios no autorizados sobre data sensible.
Inadecuada gestión de acceso y privilegios en sistemas de
información y componentes tecnologicos.
Infeccion de código malicioso.
Configuracion incorrecta de parametros.
Instalacion de software no autorizado
Cambios en la configuracion de SO o SI
Uso de mecanismos inseguros para la transmision de datos
Firmas de antivirus desactualizadas

Asignacion errada de los derechos de acceso

Configuracion incorrecta de parametros.
Instalacion de software no autorizado
Firmas de antivirus desactualizadas
Infección de código malicioso
Cambios en la configuracion de SO
Divulgacion de informacion confidencial
Asignacion errada de los derechos de acceso
Uso de mecanismos inseguros para la transmision de datos
Inadecuada asignación de privilegios

Contraseñas débiles
Prestamo de usuarios
Uso de usuarios genericos para el ingreso a sistemas de informacion

Alteración/Uso no autorizado de datos personales

Manipulacion inadecuada de la informacion
Cambios no autorizados sobre data sensible.
Configuracion incorrecta de parametros.
Divulgacion de informacion confidencial
Inadecuada gestión de acceso y privilegios en sistemas de
información y componentes tecnologicos.
Inadecuada asignación de privilegios

Asignacion errada de los derechos de acceso

Configuracion incorrecta de parametros.
Uso de mecanismos inseguros para la transmision de datos
Divulgacion de informacion confidencial
Asignacion errada de los derechos de acceso
Configuracion incorrecta de parametros.
Envio de informacion sensible a correos externos de la organizacion.
Divulgacion de informacion confidencial

Queries/Sentencias SQL que no estén debidamente certificadas o

sean ejecutadas con parámetros inadecuados pueden incurir en una
indisponibilidad de la base de datos y los procesos que de esta
dependan.

Alteración/Uso no autorizado de datos personales

Manipulacion inadecuada de la informacion
Inadecuada gestión de acceso y privilegios en sistemas de
información y componentes tecnologicos.
Matriz de Riesgo
Responsabilidades del solicitante
(Aplican para cualquier tipo de solicitud)
• Velar por el cumplimiento de los controles de seguridad aplicables a
los recursos solicitados: normativa y procedimientos de seguridad, así
como otras directrices y requisitos. Numeral 3. Obligaciones y
Responsabilidades del Personal

• Tratamiento adecuado y responsable de la información a la cual tiene

acceso con los privilegios asignados de acuerdo con las aprobaciones
del área.

• Responder por las actividades que del usuario asignado queden

registros en las bitácoras (logs) de los sistemas donde se otorgaron
estos privilegios.

• Velar por la adecuada administración y cumplimiento de las políticas

de contraseñas, usuarios y demás implicaciones de seguridad
contempladas en el Reglamento Corporativo de Controles Mínimos de
Seguridad de Telefónica. (Numeral 2.4 Identificación y Autenticación y
2.5 Control de acceso)

• Notificar a la Jefatura de Seguridad Informática los riesgos derivados

de situaciones anómalas o que expongan la seguridad del sistema
sobre el cual se tienen los privilegios aquí expresados.

• Informar de las necesidades de instalaciones y/o actualizaciones

requeridas para mantener o mejorar los niveles de seguridad de la
plataforma en la que se otorgaron los privilegios aquí descritos.

• No podrá utilizar los privilegios otorgados para tareas como:

instalación y desinstalación de software, manipulación de archivos (File
system), cambios en la configuración de Sistema operativo, entre otros;
en caso de detectarse alguno de estos eventos se procederá al retiro de
los privilegios.
 Controles

• Reportar a la jefatura de Seguridad de la Información, aquellas

actividades que se identifiquen en el monitoreo y que no obedezcan
a la naturaleza de los privilegios otorgados.
• Verificar el cumplimiento y correcta aplicación en el sistema de las
políticas de seguridad de usuario.
•Autorizar oportunamente la aplicación de parches o
actualizaciones sobre los servidores.
• Realizar periódicamente pruebas de vulnerabilidad que minimicen
la probabilidad de intrusiones en los servidores SOX y servidores
críticos.
• Desarrollar e implantar los procedimientos operativos de
seguridad para la instalación y garantía de la integridad del software
en explotación.
• Supervisar el cumplimiento de los derechos de propiedad
intelectual en el software utilizado.
• Identificar, implantar, mantener y operar las tecnologías
antimalware más adecuadas.
• Desarrollar e implantar los procedimientos operativos de
seguridad, para la revisión periódica de los derechos de acceso de
los usuarios de aplicación y sistema operativo.
• Adaptar las aplicaciones y la infraestructura tecnológica para
cumplir con los requisitos de seguridad de la información en función
de su nivel de clasificación. Los controles que se implementarán
deben ser entregados por el área de Seguridad de la información.
• Desarrollar e implantar los procedimientos operativos de
seguridad en la gestión (generación, almacenamiento, archivo,
recuperación, distribución, retirada y destrucción) de las claves
criptográficas.
• Identificar, implantar, mantener y operar las tecnologías de gestión
de identidad más adecuadas (tecnologías Identity Management –
IdM, etc.) en las aplicaciones, servicios e infraestructura
tecnológica
• Desarrollar e implantar los procedimientos operativos de
seguridad para la solicitud, autorización y gestión (alta, baja,
modificación) del acceso de los usuarios en los servicios,
aplicaciones e infraestructura tecnológica
• Desarrollar e implantar los procedimientos operativos de
seguridad para la gestión de credenciales de acceso (asignación,
cambio, etc.) en las aplicaciones, servicios e infraestructura
tecnológica
 Controles

Establecer las directrices metodológicas,

requisitos, controles de seguridad y
procedimientos sobre el uso adecuado
de los recursos tecnológicos de la
Compañía, asi como de clasificación y
tratamiento de la información.

La revisión y supervisión continua del

cumplimiento de la Normativa, requisitos
y controles de seguridad

Efectuar la monitorización del uso, abuso

o robo de información y coordinar la
gestión de los incidentes de seguridad
que se deriven del incumplimiento de las
responsabilidades del usuario solicitante.