sistemas de gestión de seguridad informática [actividad sumativa 2]

SISTEMAS DE GESTIN DE SEGURIDAD INFORMTICA

ACTIVIDAD SUMATIVA 2

PRESENTADO POR:

CLEMENTE SILVA GUTIERREZ COD: 7602403

GRUPO:

233003_2

PRESENTADO A:

ING. LORENA SUAREZ

UNIVERSIDAD NACIONAL ABIERTA Y ADISTANCIA UNAD

ESPECIALIZACIN EN SEGURIDAD INFORMATICA

2014

INTRODUCCIN

La seguridad informtica es el rea que se enfoca en la proteccin de la

infraestructura computacional y todo lo relacionado con sta; en una Organizacin

(incluyendo la informacin contenida, material informtico, programas, etc.). Para

ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas,

concebidas para minimizar los posibles riesgos a la infraestructura o a la

informacin. La seguridad informtica comprende software, bases de datos,

metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un

riesgo si sta llega a personas con manos inescrupulosas y con el conocimiento

para utiliza diferentes herramientas tecnolgicas para afectar y obtener beneficios.

Las empresas han tomado conciencia de la necesidad de implementar sistemas de

seguridad informtica para proteger su informacin y evitar el riesgo a un posible

ataque. En este sentido, las empresas que manejan un Sistema de Gestin de la

Seguridad de la informacin pretenden utilizar sus tcnicas y herramientas para

salvaguardar su informacin.

OBJETIVOS

Explorar la plataforma del curso de Especializacin: Sistema de gestin de

seguridad informacin para identificar su estructura general, actividades de

aprendizaje a desarrollar, sus intencionalidades formativas, los espacios

virtuales diseados para interactuar con los dems participantes del curso,

y el modulo; todo con el fin de prepararnos para el desarrollo del trabajo en

proceso.

Describir el rea de informtica o departamento de sistemas de una

organizacin, identificando cada uno de los elementos y herramientas

utilizadas para desarrollar sus actividades empresariales.

Identificar con ayuda de herramientas informticas, las vulnerabilidades, los

riesgos y las amenazas que se presentan en una organizacin basados en

los Sistemas de Gestin de la Seguridad de la informacin, que ofrecen las

normas internacionales.

DESARROLLO DE LA ACTIVIDAD

Nombre de la empresa: I. E. Hercio Mena Padilla

Tipo de empresa (Publica / Privada): Publica

Sector: Educacin.

Misin:

La formacin de mujeres y hombres ticos, emprendedores y cultos, que lideren

transformaciones en su entorno.

Visin:

En el 2018 la IE Heraclio Mena Padilla ser una IE incluyente, con liderazgo en la

conservacin, preservacin y cuidado del ambiente, en gestin, formacin integral,

con sentido de lo pblico y bilinge.

Paso 1: Inventario de activos

INVENTARIO DE RECURSOS INFORMATICOS

Tipos de activos Descripcin

Activo de informacin Informacin general de la institucin educativa,

acceso a los estudios impartidos, matriculas, expedientes acadmicos, documentacin, ect.

Aplicacin

* Windows 7 Profesional Sp1 licenciado

* Office 2010 profesional plus Sp1 licenciado

* Antivirus AVG internet security

* Adobe Reader 11.0.4

* Pracsis software para el seguimiento y la evaluacin de calificaciones

* Adobe flash player (plugin)

* Java

* Software de licencia gratuita

Hardware

* Contamos con 2 computadores de escritorio marca PC Smart (Intel Pentium Dual Core 660 3.6ghz, memoria RAM DDR 3 de 2 Gb, Disco

Duro 500 Gb, unidad DVD, puertos USB, monitor LCD 18.5).

* Contamos con 2 computadores de escritorio marca PC Smart (Intel Pentium Dual Core 660 3.6ghz, memoria RAM DDR 3 de 2 Gb, Disco

Duro 500 Gb, unidad DVD, puertos USB, monitor LCD 18.5).

* Impresora HP laserjet 5100 tn.

* Impresora Epson L355.

Red

* medio guiado

* cableado estructurado de categora 5e

* modem del servicio de internet con capacidad de 4Mb empresa agente EDATEL

* 1 switch Tp-link De 24 Puertos

Equipamiento auxiliar

* UPS Interactiva Unitec 650va

* Equipo de refrigeracin (Aire acondicionado)

Instalacin * instalaciones electricas

Personal * Personal administrativo secretaria(usuarios)

Tabla 1

Paso 2: Valoracin de activos

Valoracin cualitativa de cada uno de los activo en relacin a las 4 dimensiones de

seguridad contempladas en la metodologa magerit.

Cdigo Nombre D I C A T

INF_ARC Servicio de secretaria 2 4 5 6 5

SER_ARC Tramitacin de documento 2 4 5 6 5

PRCSS Pracsis 2 4 5 6 6

WNDWS Windows 2 4 5 6 6

COM_ADM Comunicaciones 1 2 3 3 3

FCN Establecimiento(oficina) 2 4 5 6 5

PASCTR Personal administrativo secretaria 2 4 5 6 5

Tabla 2

En la tabla 2 se ven reflejados cada valorar de los activos de la institucin con el nivel de

dependencia, presentado en forma de rbol de acuerdo a las 4 dimensiones.

Nota: Las dimensiones de seguridad contempladas en esta metodologa son:

Disponibilidad, Integridad, Confiabilidad, Autenticidad y Trazabilidad.

Paso 3: Amenazas (Identificacin y valoracin)

En siguientes tablas se muestran las mltiples amenazas que pueden afectar los activos de una

institucin a travs de la herramienta pilar logramos identificarlas y determinar el nivel de

exposicin en la que se encuentra cada activo de informacin en la organizacin.

Cdigo Nombre Amenazas Frecuencia D I C A T

INF_ARC Servicio de secretaria

100% 100% 100% 100%

[I.5] Avera de origen fsico o lgico

1 50%

[E.1] Errores de los usuarios 1 1% 10% 10%

[E.2] Errores del administrador del sistema / de la seguridad

1 20% 20% 20%

[E.8] Difusin de software daino

1 10% 10% 10%

[E.15] Alteracin de la informacin

1 1%

[E.18] Destruccin de la informacin

1 50%

[E.19] Fugas de informacin 1 10%

[E.20] Vulnerabilidades de los programas (software)

1 1% 20% 20%

[E.21] Errores de mantenimiento / actualizacin de programas (software)

10 1% 1%

[A.5] Suplantacin de la identidad

1,15 50% 50% 100%

[A.6] Abuso de privilegios de acceso

1,15 1% 10% 10%

[A.7] Uso no previsto 1,15 1% 10% 10%

[A.8] Difusin de software daino

1,15 100% 100% 100%

[A.11] Acceso no autorizado 1,15 10% 50%

[A.15] Modificacin de la informacin

1,15 50%

[A.18] Destruccin de la informacin

1,15 50%

[A.19] Revelacin de informacin

1,15 50%

[A.22] Manipulacin de programas

1,15 50% 100% 100%

Tabla 3

La tabla 3 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo

(servicio de secretaria de la institucin).


SER_ARC Tramitacin de documento

100% 100% 100% 100%


1 50%



1 20% 20% 20%


1 10% 10% 10%


1 1%


1 50%



1 1% 20% 20%


1,15 1% 1%


1,15 50% 50% 100%


1,15 1% 10% 10%

[A.7] Uso no previsto 1,15 1% 10% 10%


1,15 100% 100% 100%



1,15 50%


1,15 50%


1,15 50%


1,15 50% 100% 100%

Tabla 4


(Tramitacin de documento de la institucin).


PRCSS Pracsis 100% 100% 100% 100%


1 50%



1 20% 20% 20%


1 10% 10% 10%


1 1%


1 50%



1 1% 20% 20%


1,15 1% 1%


1,15 50% 50% 100%


1,15 1% 10% 10%

[A.7] Uso no previsto 1,15 1% 10% 10%


1,15 100% 100% 100%



1,15 50%


1,15 50%


1,15 50%


1,15 50% 100% 100%

Tabla 5


(Pracsis software utilizado por la institucin).


WNDWS Windows 100% 100% 100% 100%

[N.1] Fuego 0,1 100%

[N.2] Daos por agua 0,1 50%

[N.*] Desastres naturales 0,1 100%

[I.1] Fuego 0,5 100%

[I.2] Daos por agua 0,5 50%

[I.*] Desastres industriales 0,5 100%

[I.3] Contaminacin medioambiental

0,1 50%

[I.4] Contaminacin electromagntica

1 10%


1 50%

[I.6] Corte del suministro elctrico

1 100%

[I.7] Condiciones inadecuadas de temperatura o humedad

1 100%

[I.11] Emanaciones electromagnticas

1 1%



1 20% 20% 20%


1 10% 10% 10%


1 1%


1 50%



1 1% 20% 20%


10 1% 1%

[E.23] Errores de mantenimiento / actualizacin de equipos (hardware)

1 10%

[E.24] Cada del sistema por agotamiento de recursos

10 50%

[E.25] Prdida de equipos 5 5% 10%


1,15 50% 50% 100%


1,15 10% 10% 50%

[A.7] Uso no previsto 1,15 10% 1% 10%


1,15 100% 100% 100%

[A.11] Acceso no autorizado 1,15 10% 10% 50%


1,15 50%


1,15 50%


1,15 50%


1,15 50% 100% 100%

[A.23] Manipulacin del hardware

0,58 50% 50%

[A.24] Denegacin de servicio 2,3 100%

[A.25] Robo de equipos 5,8 5% 10%

[A.26] Ataque destructivo 1,15 100%

Tabla 6


(Windows sistema operativo utilizado por la institucin).


COM_ADM Comunicaciones 100% 100% 100% 100%

[N.1] Fuego 1 100%

[N.2] Daos por agua 1 100%


[I.1] Fuego 1 100%

[I.2] Daos por agua 1 100%

[I.*] Desastres industriales 1 100%


1 10%


0,1 10%


1 50%

[I.8] Fallo de servicios de comunicaciones

1 50%


0,1 1%



1 20% 20% 20%


1 10% 10% 10%

[E.9] Errores de [re-]encaminamiento

1 10%

[E.10] Errores de secuencia 1 10%


1 1%


1 50%



1 1% 20% 20%


10 1% 1%

[E.24] Cada del sistema por agotamiento de recursos

1 50%


1,15 10% 50% 100%


1,15 10% 10% 50% 100%

[A.7] Uso no previsto 1,15 10% 10% 50%


1,15 100% 100% 100%

[A.9] [Re-]encaminamiento de mensajes

1,15 10%

[A.10] Alteracin de secuencia

1,15 10%

[A.11] Acceso no autorizado 5,8 10% 50% 100%

[A.12] Anlisis de trfico 1,15 2%

[A.14] Interceptacin de informacin (escucha)

1,15 5%


1,15 10%


1,15 50%


1,15 50%


1,15 50% 100% 100%

[A.24] Denegacin de servicio

11,5 50%


[A.27] Ocupacin enemiga 1,15 100% 50%

Tabla 7


(servicio de comunicacin de la institucin).


FCN Establecimient

o (oficina)

100% 10% 50%

[N.1] Fuego 1 100%

[N.2] Daos por agua 1 100%


[I.1] Fuego 1 100%

[I.2] Daos por agua 1 100%

[I.*] Desastres industriales 1 100%


1 10%


0,1 10%


0,1 1%


1,15 10% 50%


1,15 10% 10% 50%

[A.7] Uso no previsto 1,15 10% 10% 50%



[A.27] Ocupacin enemiga 1,15 100% 50%

Tabla 8


(Establecimiento (oficina) de la institucin).


PASCTR Personal

administrativo secretaria

50% 50% 50%


1 10%


1 1%


[E.28] Indisponibilidad del personal

1 30%


1,15 50%


1,15 10%


11,5 50%

[A.28] Indisponibilidad del personal

0,58 50%

[A.29] Extorsin 1,04 20% 10% 50%

[A.30] Ingeniera social (picaresca)

0,58 20% 20% 20%

Tabla 9


(Personal administrativo secretaria de la institucin).

Paso 4: Salvaguardas

Los salvaguardad mostrados a continuacin nos darn a conocer los procedimientos o

mecanismos tecnolgicos que reducen el riesgo.

ASPECTO TDP SALVAGUARDAS DUDAS FUENTES COMENTARIOS RECOMENDACIN ON / OFF

APLICABLE

G PR [H] Protecciones Generales

7

G PR [D] Proteccin de la Informacin

G EL [K] Gestin de claves criptogrficas

G PR [S] Proteccin de los Servicios

G PR [SW] Proteccin de las Aplicaciones Informticas (SW)

7

G PR [HW] Proteccin de los Equipos Informticos (HW)

6

G PR [COM] Proteccin de las Comunicaciones

8

G PR

[IP] Puntos de interconexin: conexiones entre zonas de confianza

G PR [MP] Proteccin de los Soportes de Informacin

G PR [AUX] Elementos Auxiliares

6

F PR [L] Proteccin de las Instalaciones

7

P PR [PS] Gestin del Personal

6

G RC [H.IR] Gestin de incidentes

5

G CR [BC] Continuidad del negocio

5

G AD [G] Organizacin 6

G AD [E] Relaciones Externas

G AD [NEW] Adquisicin / desarrollo

4

Tabla 10

La tabla 10 las valoracin de salvaguardias por activo. Herramienta Pilar

Paso 5: impacto residual

Impacto Repercutido

Los activos se relacionan unos con otros, de forma que el efecto de una amenaza en

un activo tiene consecuencias indirectas en los activos que dependen del activo

directamente daado.

El impacto repercutido mide el dao en los activos.

Tabla 11

ACTUAL

D I C A T

ACTIVOS [2] [4] [5] [6]

[INF_ARC]Servicio de secretaria [2] [4] [5] [6]

POTENCIAL

D I C A T

ACTIVOS [2] [4] [5] [6]

[INF_ARC]Servicio de secretaria

[2] [4] [5] [6]

[SER_ARC]Tramitacin de documento [2] [4] [5] [6]

[PRCSS]Pracsis [2] [4] [5] [6]

[WNDWS]Windows [2] [4] [5] [6]

[COM_ADM]Comunicaciones [1] [2] [3] [3]

[FCN]Establecimiento(oficina) [2] [1] [4]

[PASCTR]Personal administrativo secretaria

[1] [3] [4]







[1] [2] [3]

Tabla 12

OBJETIVO

D I C A T

ACTIVOS [2] [4] [5] [6]

[INF_ARC]Servicio de secretaria [2] [4] [5] [6]







[1] [2] [3]

Tabla 13

Riesgo repercutido

En las tablas a continuacin veremos el riesgo repercutido el cual nos estar

mostrando el calculado tomando en consideracin el valor propio del activo.

El riesgo repercutido estima el dao a la institucin, calculando el dao en los

activos explcitamente valorados.

POTENCIAL

D I C A T

ACTIVOS {2,5} {3,4} {4,3} {5,2}

[INF_ARC]Servicio de secretaria {2,5} {3,4} {4,3} {5,2}

[SER_ARC]Tramitacin de documento {2,5} {3,4} {4,3} {5,2}

[PRCSS]Pracsis {2,2} {3,4} {3,9} {4,5}

[WNDWS]Windows {2,5} {3,4} {3,9} {4,5}

[COM_ADM]Comunicaciones {1,9} {2,2} {2,9} {3,4}

[FCN]Establecimiento(oficina) {2,2} {2,2} {4,0}


{1,4} {2,8} {4,3}

Tabla 14

ACTUAL

D I C A T

ACTIVOS {2,4} {3,2} {3,9} {5,0}



[PRCSS]Pracsis {1,8} {3,1} {3,7} {4,4}

[WNDWS]Windows {1,8} {2,7} {3,2} {4,4}




{0,96} {2,2} {3,7}

Tabla 15

OBJETIVO

D I C A T

ACTIVOS {2,4} {3,2} {3,9} {5,0}



[PRCSS]Pracsis {1,8} {3,1} {3,7} {4,4}

[WNDWS]Windows {1,8} {2,7} {3,2} {4,4}




{0,96} {2,2} {3,7}

Tabla 15

CONCLUSIONES

La plataforma del curso de Especializacin: Sistema de gestin de

seguridad informacin se pudo identificar la estructura general, actividades

de aprendizaje que se desarrollaron, sus intencionalidades formativas, los

espacios virtuales diseados para interactuar con los dems participantes

del curso.

De manera analtica logramos conocer a fondo el rea de informtica o

departamento de sistemas de una organizacin, pudimos identificar un sin

nmero de elementos y herramientas que se utilizan para desarrollar las

diferentes actividades empresariales de una organizacion.

Identificamos con la ayuda de herramientas informticas (herramienta

PILAR), las vulnerabilidades, los riesgos y las amenazas que se presentan

en una organizacin y como mitigarlos a travs los Sistemas de Gestin de

la Seguridad de la informacin, que ofrecen las normas internacionales.

BIBLIOGRAFA Y CIBERGRAFIA

Libro I, II y II MAGERIT versin 3.0Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin

Sistema de Gestin de la Seguridad de la informacin SGSI

Gua de seguridad de las tic (ccn-stic-470-b) manual de usuario pilar versin 4.4

http://www.youtube.com/watch?v=chNhPIALeRE Como usar PILAR BASIC - Seguridad de la informacin - Control de activos

sistemas de gestión de seguridad informática [actividad sumativa 2]

Documents