Sistemas de Gestión de Seguridad Informática [Actividad Sumativa 2]
-
Upload
ing-clemente-silva-gutierrez -
Category
Documents
-
view
35 -
download
2
Transcript of Sistemas de Gestión de Seguridad Informática [Actividad Sumativa 2]
-
SISTEMAS DE GESTIN DE SEGURIDAD INFORMTICA
ACTIVIDAD SUMATIVA 2
PRESENTADO POR:
CLEMENTE SILVA GUTIERREZ COD: 7602403
GRUPO:
233003_2
PRESENTADO A:
ING. LORENA SUAREZ
UNIVERSIDAD NACIONAL ABIERTA Y ADISTANCIA UNAD
ESPECIALIZACIN EN SEGURIDAD INFORMATICA
2014
-
INTRODUCCIN
La seguridad informtica es el rea que se enfoca en la proteccin de la
infraestructura computacional y todo lo relacionado con sta; en una Organizacin
(incluyendo la informacin contenida, material informtico, programas, etc.). Para
ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas,
concebidas para minimizar los posibles riesgos a la infraestructura o a la
informacin. La seguridad informtica comprende software, bases de datos,
metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un
riesgo si sta llega a personas con manos inescrupulosas y con el conocimiento
para utiliza diferentes herramientas tecnolgicas para afectar y obtener beneficios.
Las empresas han tomado conciencia de la necesidad de implementar sistemas de
seguridad informtica para proteger su informacin y evitar el riesgo a un posible
ataque. En este sentido, las empresas que manejan un Sistema de Gestin de la
Seguridad de la informacin pretenden utilizar sus tcnicas y herramientas para
salvaguardar su informacin.
-
OBJETIVOS
Explorar la plataforma del curso de Especializacin: Sistema de gestin de
seguridad informacin para identificar su estructura general, actividades de
aprendizaje a desarrollar, sus intencionalidades formativas, los espacios
virtuales diseados para interactuar con los dems participantes del curso,
y el modulo; todo con el fin de prepararnos para el desarrollo del trabajo en
proceso.
Describir el rea de informtica o departamento de sistemas de una
organizacin, identificando cada uno de los elementos y herramientas
utilizadas para desarrollar sus actividades empresariales.
Identificar con ayuda de herramientas informticas, las vulnerabilidades, los
riesgos y las amenazas que se presentan en una organizacin basados en
los Sistemas de Gestin de la Seguridad de la informacin, que ofrecen las
normas internacionales.
-
DESARROLLO DE LA ACTIVIDAD
Nombre de la empresa: I. E. Hercio Mena Padilla
Tipo de empresa (Publica / Privada): Publica
Sector: Educacin.
Misin:
La formacin de mujeres y hombres ticos, emprendedores y cultos, que lideren
transformaciones en su entorno.
Visin:
En el 2018 la IE Heraclio Mena Padilla ser una IE incluyente, con liderazgo en la
conservacin, preservacin y cuidado del ambiente, en gestin, formacin integral,
con sentido de lo pblico y bilinge.
Paso 1: Inventario de activos
INVENTARIO DE RECURSOS INFORMATICOS
Tipos de activos Descripcin
Activo de informacin Informacin general de la institucin educativa,
acceso a los estudios impartidos, matriculas, expedientes acadmicos, documentacin, ect.
Aplicacin
* Windows 7 Profesional Sp1 licenciado
* Office 2010 profesional plus Sp1 licenciado
* Antivirus AVG internet security
* Adobe Reader 11.0.4
* Pracsis software para el seguimiento y la evaluacin de calificaciones
* Adobe flash player (plugin)
* Java
* Software de licencia gratuita
-
Hardware
* Contamos con 2 computadores de escritorio marca PC Smart (Intel Pentium Dual Core 660 3.6ghz, memoria RAM DDR 3 de 2 Gb, Disco
Duro 500 Gb, unidad DVD, puertos USB, monitor LCD 18.5).
* Contamos con 2 computadores de escritorio marca PC Smart (Intel Pentium Dual Core 660 3.6ghz, memoria RAM DDR 3 de 2 Gb, Disco
Duro 500 Gb, unidad DVD, puertos USB, monitor LCD 18.5).
* Impresora HP laserjet 5100 tn.
* Impresora Epson L355.
Red
* medio guiado
* cableado estructurado de categora 5e
* modem del servicio de internet con capacidad de 4Mb empresa agente EDATEL
* 1 switch Tp-link De 24 Puertos
Equipamiento auxiliar
* UPS Interactiva Unitec 650va
* Equipo de refrigeracin (Aire acondicionado)
Instalacin * instalaciones electricas
Personal * Personal administrativo secretaria(usuarios)
Tabla 1
Paso 2: Valoracin de activos
Valoracin cualitativa de cada uno de los activo en relacin a las 4 dimensiones de
seguridad contempladas en la metodologa magerit.
Cdigo Nombre D I C A T
INF_ARC Servicio de secretaria 2 4 5 6 5
SER_ARC Tramitacin de documento 2 4 5 6 5
PRCSS Pracsis 2 4 5 6 6
WNDWS Windows 2 4 5 6 6
COM_ADM Comunicaciones 1 2 3 3 3
FCN Establecimiento(oficina) 2 4 5 6 5
PASCTR Personal administrativo secretaria 2 4 5 6 5
Tabla 2
En la tabla 2 se ven reflejados cada valorar de los activos de la institucin con el nivel de
-
dependencia, presentado en forma de rbol de acuerdo a las 4 dimensiones.
Nota: Las dimensiones de seguridad contempladas en esta metodologa son:
Disponibilidad, Integridad, Confiabilidad, Autenticidad y Trazabilidad.
Paso 3: Amenazas (Identificacin y valoracin)
En siguientes tablas se muestran las mltiples amenazas que pueden afectar los activos de una
institucin a travs de la herramienta pilar logramos identificarlas y determinar el nivel de
exposicin en la que se encuentra cada activo de informacin en la organizacin.
Cdigo Nombre Amenazas Frecuencia D I C A T
INF_ARC Servicio de secretaria
100% 100% 100% 100%
[I.5] Avera de origen fsico o lgico
1 50%
[E.1] Errores de los usuarios 1 1% 10% 10%
[E.2] Errores del administrador del sistema / de la seguridad
1 20% 20% 20%
[E.8] Difusin de software daino
1 10% 10% 10%
[E.15] Alteracin de la informacin
1 1%
[E.18] Destruccin de la informacin
1 50%
[E.19] Fugas de informacin 1 10%
[E.20] Vulnerabilidades de los programas (software)
1 1% 20% 20%
[E.21] Errores de mantenimiento / actualizacin de programas (software)
10 1% 1%
[A.5] Suplantacin de la identidad
1,15 50% 50% 100%
[A.6] Abuso de privilegios de acceso
1,15 1% 10% 10%
[A.7] Uso no previsto 1,15 1% 10% 10%
[A.8] Difusin de software daino
1,15 100% 100% 100%
[A.11] Acceso no autorizado 1,15 10% 50%
[A.15] Modificacin de la informacin
1,15 50%
-
[A.18] Destruccin de la informacin
1,15 50%
[A.19] Revelacin de informacin
1,15 50%
[A.22] Manipulacin de programas
1,15 50% 100% 100%
Tabla 3
La tabla 3 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo
(servicio de secretaria de la institucin).
Cdigo Nombre Amenazas Frecuencia D I C A T
SER_ARC Tramitacin de documento
100% 100% 100% 100%
[I.5] Avera de origen fsico o lgico
1 50%
[E.1] Errores de los usuarios 1 1% 10% 10%
[E.2] Errores del administrador del sistema / de la seguridad
1 20% 20% 20%
[E.8] Difusin de software daino
1 10% 10% 10%
[E.15] Alteracin de la informacin
1 1%
[E.18] Destruccin de la informacin
1 50%
[E.19] Fugas de informacin 1 10%
[E.20] Vulnerabilidades de los programas (software)
1 1% 20% 20%
[E.21] Errores de mantenimiento / actualizacin de programas (software)
1,15 1% 1%
[A.5] Suplantacin de la identidad
1,15 50% 50% 100%
[A.6] Abuso de privilegios de acceso
1,15 1% 10% 10%
[A.7] Uso no previsto 1,15 1% 10% 10%
[A.8] Difusin de software daino
1,15 100% 100% 100%
[A.11] Acceso no autorizado 1,15 10% 50%
[A.15] Modificacin de la informacin
1,15 50%
-
[A.18] Destruccin de la informacin
1,15 50%
[A.19] Revelacin de informacin
1,15 50%
[A.22] Manipulacin de programas
1,15 50% 100% 100%
Tabla 4
La tabla 4 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo
(Tramitacin de documento de la institucin).
Cdigo Nombre Amenazas Frecuencia D I C A T
PRCSS Pracsis 100% 100% 100% 100%
[I.5] Avera de origen fsico o lgico
1 50%
[E.1] Errores de los usuarios 1 1% 10% 10%
[E.2] Errores del administrador del sistema / de la seguridad
1 20% 20% 20%
[E.8] Difusin de software daino
1 10% 10% 10%
[E.15] Alteracin de la informacin
1 1%
[E.18] Destruccin de la informacin
1 50%
[E.19] Fugas de informacin 1 10%
[E.20] Vulnerabilidades de los programas (software)
1 1% 20% 20%
[E.21] Errores de mantenimiento / actualizacin de programas (software)
1,15 1% 1%
[A.5] Suplantacin de la identidad
1,15 50% 50% 100%
[A.6] Abuso de privilegios de acceso
1,15 1% 10% 10%
[A.7] Uso no previsto 1,15 1% 10% 10%
[A.8] Difusin de software daino
1,15 100% 100% 100%
[A.11] Acceso no autorizado 1,15 10% 50%
[A.15] Modificacin de la informacin
1,15 50%
-
[A.18] Destruccin de la informacin
1,15 50%
[A.19] Revelacin de informacin
1,15 50%
[A.22] Manipulacin de programas
1,15 50% 100% 100%
Tabla 5
La tabla 5 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo
(Pracsis software utilizado por la institucin).
Cdigo Nombre Amenazas Frecuencia D I C A T
WNDWS Windows 100% 100% 100% 100%
[N.1] Fuego 0,1 100%
[N.2] Daos por agua 0,1 50%
[N.*] Desastres naturales 0,1 100%
[I.1] Fuego 0,5 100%
[I.2] Daos por agua 0,5 50%
[I.*] Desastres industriales 0,5 100%
[I.3] Contaminacin medioambiental
0,1 50%
[I.4] Contaminacin electromagntica
1 10%
[I.5] Avera de origen fsico o lgico
1 50%
[I.6] Corte del suministro elctrico
1 100%
[I.7] Condiciones inadecuadas de temperatura o humedad
1 100%
[I.11] Emanaciones electromagnticas
1 1%
[E.1] Errores de los usuarios 1 1% 10% 10%
[E.2] Errores del administrador del sistema / de la seguridad
1 20% 20% 20%
[E.8] Difusin de software daino
1 10% 10% 10%
[E.15] Alteracin de la informacin
1 1%
[E.18] Destruccin de la informacin
1 50%
[E.19] Fugas de informacin 1 10%
-
[E.20] Vulnerabilidades de los programas (software)
1 1% 20% 20%
[E.21] Errores de mantenimiento / actualizacin de programas (software)
10 1% 1%
[E.23] Errores de mantenimiento / actualizacin de equipos (hardware)
1 10%
[E.24] Cada del sistema por agotamiento de recursos
10 50%
[E.25] Prdida de equipos 5 5% 10%
[A.5] Suplantacin de la identidad
1,15 50% 50% 100%
[A.6] Abuso de privilegios de acceso
1,15 10% 10% 50%
[A.7] Uso no previsto 1,15 10% 1% 10%
[A.8] Difusin de software daino
1,15 100% 100% 100%
[A.11] Acceso no autorizado 1,15 10% 10% 50%
[A.15] Modificacin de la informacin
1,15 50%
[A.18] Destruccin de la informacin
1,15 50%
[A.19] Revelacin de informacin
1,15 50%
[A.22] Manipulacin de programas
1,15 50% 100% 100%
[A.23] Manipulacin del hardware
0,58 50% 50%
[A.24] Denegacin de servicio 2,3 100%
[A.25] Robo de equipos 5,8 5% 10%
[A.26] Ataque destructivo 1,15 100%
Tabla 6
La tabla 6 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo
(Windows sistema operativo utilizado por la institucin).
Cdigo Nombre Amenazas Frecuencia D I C A T
COM_ADM Comunicaciones 100% 100% 100% 100%
[N.1] Fuego 1 100%
-
[N.2] Daos por agua 1 100%
[N.*] Desastres naturales 0,5 100%
[I.1] Fuego 1 100%
[I.2] Daos por agua 1 100%
[I.*] Desastres industriales 1 100%
[I.3] Contaminacin medioambiental
1 10%
[I.4] Contaminacin electromagntica
0,1 10%
[I.5] Avera de origen fsico o lgico
1 50%
[I.8] Fallo de servicios de comunicaciones
1 50%
[I.11] Emanaciones electromagnticas
0,1 1%
[E.1] Errores de los usuarios 1 1% 10% 10%
[E.2] Errores del administrador del sistema / de la seguridad
1 20% 20% 20%
[E.8] Difusin de software daino
1 10% 10% 10%
[E.9] Errores de [re-]encaminamiento
1 10%
[E.10] Errores de secuencia 1 10%
[E.15] Alteracin de la informacin
1 1%
[E.18] Destruccin de la informacin
1 50%
[E.19] Fugas de informacin 1 10%
[E.20] Vulnerabilidades de los programas (software)
1 1% 20% 20%
[E.21] Errores de mantenimiento / actualizacin de programas (software)
10 1% 1%
[E.24] Cada del sistema por agotamiento de recursos
1 50%
[A.5] Suplantacin de la identidad
1,15 10% 50% 100%
[A.6] Abuso de privilegios de acceso
1,15 10% 10% 50% 100%
[A.7] Uso no previsto 1,15 10% 10% 50%
[A.8] Difusin de software daino
1,15 100% 100% 100%
[A.9] [Re-]encaminamiento de mensajes
1,15 10%
-
[A.10] Alteracin de secuencia
1,15 10%
[A.11] Acceso no autorizado 5,8 10% 50% 100%
[A.12] Anlisis de trfico 1,15 2%
[A.14] Interceptacin de informacin (escucha)
1,15 5%
[A.15] Modificacin de la informacin
1,15 10%
[A.18] Destruccin de la informacin
1,15 50%
[A.19] Revelacin de informacin
1,15 50%
[A.22] Manipulacin de programas
1,15 50% 100% 100%
[A.24] Denegacin de servicio
11,5 50%
[A.26] Ataque destructivo 0,115 100%
[A.27] Ocupacin enemiga 1,15 100% 50%
Tabla 7
La tabla 7 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo
(servicio de comunicacin de la institucin).
Cdigo Nombre Amenazas Frecuencia D I C A T
FCN Establecimient
o (oficina)
100% 10% 50%
[N.1] Fuego 1 100%
[N.2] Daos por agua 1 100%
[N.*] Desastres naturales 0,5 100%
[I.1] Fuego 1 100%
[I.2] Daos por agua 1 100%
[I.*] Desastres industriales 1 100%
[I.3] Contaminacin medioambiental
1 10%
[I.4] Contaminacin electromagntica
0,1 10%
[I.11] Emanaciones electromagnticas
0,1 1%
[A.5] Suplantacin de la identidad
1,15 10% 50%
-
[A.6] Abuso de privilegios de acceso
1,15 10% 10% 50%
[A.7] Uso no previsto 1,15 10% 10% 50%
[A.11] Acceso no autorizado 5,8 10% 50%
[A.26] Ataque destructivo 0,115 100%
[A.27] Ocupacin enemiga 1,15 100% 50%
Tabla 8
La tabla 8 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo
(Establecimiento (oficina) de la institucin).
Cdigo Nombre Amenazas Frecuencia D I C A T
PASCTR Personal
administrativo secretaria
50% 50% 50%
[E.15] Alteracin de la informacin
1 10%
[E.18] Destruccin de la informacin
1 1%
[E.19] Fugas de informacin 1 10%
[E.28] Indisponibilidad del personal
1 30%
[A.15] Modificacin de la informacin
1,15 50%
[A.18] Destruccin de la informacin
1,15 10%
[A.19] Revelacin de informacin
11,5 50%
[A.28] Indisponibilidad del personal
0,58 50%
[A.29] Extorsin 1,04 20% 10% 50%
[A.30] Ingeniera social (picaresca)
0,58 20% 20% 20%
Tabla 9
La tabla 9 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo
(Personal administrativo secretaria de la institucin).
-
Paso 4: Salvaguardas
Los salvaguardad mostrados a continuacin nos darn a conocer los procedimientos o
mecanismos tecnolgicos que reducen el riesgo.
ASPECTO TDP SALVAGUARDAS DUDAS FUENTES COMENTARIOS RECOMENDACIN ON / OFF
APLICABLE
G PR [H] Protecciones Generales
7
G PR [D] Proteccin de la Informacin
G EL [K] Gestin de claves criptogrficas
G PR [S] Proteccin de los Servicios
G PR [SW] Proteccin de las Aplicaciones Informticas (SW)
7
G PR [HW] Proteccin de los Equipos Informticos (HW)
6
G PR [COM] Proteccin de las Comunicaciones
8
G PR
[IP] Puntos de interconexin: conexiones entre zonas de confianza
G PR [MP] Proteccin de los Soportes de Informacin
G PR [AUX] Elementos Auxiliares
6
F PR [L] Proteccin de las Instalaciones
7
P PR [PS] Gestin del Personal
6
G RC [H.IR] Gestin de incidentes
5
G CR [BC] Continuidad del negocio
5
G AD [G] Organizacin 6
-
G AD [E] Relaciones Externas
G AD [NEW] Adquisicin / desarrollo
4
Tabla 10
La tabla 10 las valoracin de salvaguardias por activo. Herramienta Pilar
Paso 5: impacto residual
Impacto Repercutido
Los activos se relacionan unos con otros, de forma que el efecto de una amenaza en
un activo tiene consecuencias indirectas en los activos que dependen del activo
directamente daado.
El impacto repercutido mide el dao en los activos.
Tabla 11
ACTUAL
D I C A T
ACTIVOS [2] [4] [5] [6]
[INF_ARC]Servicio de secretaria [2] [4] [5] [6]
POTENCIAL
D I C A T
ACTIVOS [2] [4] [5] [6]
[INF_ARC]Servicio de secretaria
[2] [4] [5] [6]
[SER_ARC]Tramitacin de documento [2] [4] [5] [6]
[PRCSS]Pracsis [2] [4] [5] [6]
[WNDWS]Windows [2] [4] [5] [6]
[COM_ADM]Comunicaciones [1] [2] [3] [3]
[FCN]Establecimiento(oficina) [2] [1] [4]
[PASCTR]Personal administrativo secretaria
[1] [3] [4]
-
[SER_ARC]Tramitacin de documento [2] [4] [5] [6]
[PRCSS]Pracsis [1] [4] [5] [6]
[WNDWS]Windows [2] [3] [4] [6]
[COM_ADM]Comunicaciones [1] [2] [3] [3]
[FCN]Establecimiento(oficina) [2] [1] [4]
[PASCTR]Personal administrativo secretaria
[1] [2] [3]
Tabla 12
OBJETIVO
D I C A T
ACTIVOS [2] [4] [5] [6]
[INF_ARC]Servicio de secretaria [2] [4] [5] [6]
[SER_ARC]Tramitacin de documento [2] [4] [5] [6]
[PRCSS]Pracsis [1] [4] [5] [6]
[WNDWS]Windows [2] [3] [4] [6]
[COM_ADM]Comunicaciones [1] [2] [3] [3]
[FCN]Establecimiento(oficina) [2] [1] [4]
[PASCTR]Personal administrativo secretaria
[1] [2] [3]
Tabla 13
Riesgo repercutido
En las tablas a continuacin veremos el riesgo repercutido el cual nos estar
mostrando el calculado tomando en consideracin el valor propio del activo.
El riesgo repercutido estima el dao a la institucin, calculando el dao en los
activos explcitamente valorados.
POTENCIAL
D I C A T
ACTIVOS {2,5} {3,4} {4,3} {5,2}
-
[INF_ARC]Servicio de secretaria {2,5} {3,4} {4,3} {5,2}
[SER_ARC]Tramitacin de documento {2,5} {3,4} {4,3} {5,2}
[PRCSS]Pracsis {2,2} {3,4} {3,9} {4,5}
[WNDWS]Windows {2,5} {3,4} {3,9} {4,5}
[COM_ADM]Comunicaciones {1,9} {2,2} {2,9} {3,4}
[FCN]Establecimiento(oficina) {2,2} {2,2} {4,0}
[PASCTR]Personal administrativo secretaria
{1,4} {2,8} {4,3}
Tabla 14
ACTUAL
D I C A T
ACTIVOS {2,4} {3,2} {3,9} {5,0}
[INF_ARC]Servicio de secretaria {2,4} {3,2} {3,9} {5,0}
[SER_ARC]Tramitacin de documento {2,4} {3,2} {3,9} {5,0}
[PRCSS]Pracsis {1,8} {3,1} {3,7} {4,4}
[WNDWS]Windows {1,8} {2,7} {3,2} {4,4}
[COM_ADM]Comunicaciones {1,8} {2,1} {2,7} {3,3}
[FCN]Establecimiento(oficina) {1,9} {2,0} {3,8}
[PASCTR]Personal administrativo secretaria
{0,96} {2,2} {3,7}
Tabla 15
OBJETIVO
D I C A T
ACTIVOS {2,4} {3,2} {3,9} {5,0}
[INF_ARC]Servicio de secretaria {2,4} {3,2} {3,9} {5,0}
[SER_ARC]Tramitacin de documento {2,4} {3,2} {3,9} {5,0}
[PRCSS]Pracsis {1,8} {3,1} {3,7} {4,4}
[WNDWS]Windows {1,8} {2,7} {3,2} {4,4}
[COM_ADM]Comunicaciones {1,8} {2,1} {2,7} {3,3}
[FCN]Establecimiento(oficina) {1,9} {2,0} {3,8}
-
[PASCTR]Personal administrativo secretaria
{0,96} {2,2} {3,7}
Tabla 15
-
CONCLUSIONES
La plataforma del curso de Especializacin: Sistema de gestin de
seguridad informacin se pudo identificar la estructura general, actividades
de aprendizaje que se desarrollaron, sus intencionalidades formativas, los
espacios virtuales diseados para interactuar con los dems participantes
del curso.
De manera analtica logramos conocer a fondo el rea de informtica o
departamento de sistemas de una organizacin, pudimos identificar un sin
nmero de elementos y herramientas que se utilizan para desarrollar las
diferentes actividades empresariales de una organizacion.
Identificamos con la ayuda de herramientas informticas (herramienta
PILAR), las vulnerabilidades, los riesgos y las amenazas que se presentan
en una organizacin y como mitigarlos a travs los Sistemas de Gestin de
la Seguridad de la informacin, que ofrecen las normas internacionales.
-
BIBLIOGRAFA Y CIBERGRAFIA
Libro I, II y II MAGERIT versin 3.0Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
Sistema de Gestin de la Seguridad de la informacin SGSI
Gua de seguridad de las tic (ccn-stic-470-b) manual de usuario pilar versin 4.4
http://www.youtube.com/watch?v=chNhPIALeRE Como usar PILAR BASIC - Seguridad de la informacin - Control de activos