ANLISIS DE RIESGOS Y VULNERABILIDADES

ACTIVIDAD No 1
INSTALAR Y ADMINISTRAR LA SEGURIDAD EN LA RED A PARTIR DE NORMAS INTERNACIONALES

TECNOLOGIA EN GESTION DE REDES DATOS CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL SENA, MEDELLN

INTRODUCCION
Con esta gua usted har una inmersin en el mundo de la seguridad informtica, investigando y aprendiendo a usar herramientas que le permiten realizar los anlisis requeridos, tambin podr descubrir cul es la diferencia entre un hacker, un profesional en seguridad y un delincuente informtico y cules son las metodologas que emplean para poder desarrollar sus actividades. Finalmente podr hacer un comparativo entre lo que significa un anlisis de riesgos y la importancia de un anlisis de vulnerabilidades dentro del mismo y entender la importancia de continuar la formacin para poder remediar todas las brechas de seguridad encontradas.

PALABRAS CLAVES (KEY WORDS)

Seguridad de la informacin, seguridad informtica, seguridad en redes, confidencialidad, integridad, disponibilidad, bugs, vulnerabilidades, no repudio, intrusin, hacking, hacker, anlisis forense informtico, anlisis de vulnerabilidades, anlisis de riesgos, ciclo PHVA, magerit, osstmm, CEH, SANS, NIST, OWASP, penetration testing, norma de seguridad, ISO 27000, acta de confidencialidad, activo, activo de informacin, delincuente informtico, Ley 1273 de 2009. Tabla 1. Sub actividades correspondientes a la Actividad 1.

DESCRIPCIN DE ACTIVIDADES 1 ANLISIS DE RIESGOS Y VULNERABILIDADES Actividad

1.1

Descripcin
Haga un recorrido por LA ENTIDAD e identifique todos los activos tangibles que existan, de

igual forma observe y enumere todos los activos intangibles que pueda identificar. 1.2 Realice una descripcin detallada de cada uno de los activos identificados y clasifquelos en una tabla comparativa asignando un valor de importancia dentro de LA ENTIDAD. Para esto es necesario que visite y hable con las personas que trabajan con LA ENTIDAD, en este caso se buscan personas que tengan relacin con el manejo de la informacin, no solamente personal tcnico del rea de informtica. Por ejemplo, en algunas compaas las secretarias y los gerentes pueden tener ms conocimiento sobre los procesos relacionados con el manejo de la informacin, ellos sabrn decirle que es lo que consideran ms importante. Use estos datos citando las fuentes correspondientes y organice su informacin. Elabore un mapa/diagrama mental/conceptual del escenario a evaluar, esto es, un mapa donde se representen todos los activos tangibles e intangibles identificados en las actividades previas. Es muy importante no dejar pasar detalles, pues de esta informacin depende el xito del anlisis de riesgos. Investigue acerca de las herramientas existentes para realizar un analisis de vulnerabilidades en entornos reales, identifique cuales de estas herramientas puede usar para la ejecucin de sus pruebas en esta fase del proyecto. Experimente de forma controlada --en los ambientes de aprendizaje-- con las diferentes herramientas evaluadas en la actividad anterior, descubra las posibilidades de las mismas de una forma responsable y con la supervisin de un instructor experto en el rea. Realice un anlisis de vulnerabilidades para LA ENTIDAD teniendo como base todo el conocimiento y destrezas desarrolladas hasta el momento, no es necesario que evale cada uno de los activos, trate de identificar los activos mas importantes y que no sean propensos a sufrir daos reales por las pruebas. Si considera que el riesgo de ejecutar un anlisis de vulnerabilidades a un activo especifico es muy alto, NO LO HAGA y asesrese con los instructores expertos, recuerde que hacer pruebas en entornos que se encuentran en produccin puede resultar en consecuencias lamentables en el tema relacionado con la informacin de LA ENTIDAD y por ende puede tener consecuencias legales. 1.7 Realice un anlisis de riesgos tomando como base la informacin recopilada hasta el momento y los resultados del anlisis de vulnerabilidades, como resultado de esta actividad, debe generar una matriz, plantilla, tabla donde se enumere uno a uno todos los activos evaluados. Escriba un resumen ejecutivo y un informe tcnico donde se resuma y se detallen respectivamente los anlisis realizados hasta este punto (riesgos y vulnerabilidades), comparta la documentacin creada con el grupo de instructores expertos para recibir

1.3

1.4

1.5

1.6

1.8

retroalimentacin y realizar las correcciones pertinentes. 1.9 Organice toda la informacin que considere necesaria tal como manuales, informes, instructivos, guas, etc., que le permita al siguiente grupo continuar con la segunda fase del proyecto formativo. De igual forma preprese para recibir todo el material generado por los otros grupos que se encuentran realizando actividades similares.

Tabla 2. Evidencias de aprendizaje para la Actividad 1

EVIDENCIAS DE APRENDIZAJE ACTIVIDADES 1 ANLISIS DE RIESGOS Y VULNERABILIDADES

Evidencias de Conocimiento
1. Prueba de conocimientos al terminar la actividad 1.8 (A 1.8), sobre toda la parte terica de anlisis de riesgos y anlisis de vulnerabilidades.

Evidencias de Desempeo
1. Verificacin en la etapa de levantamiento de activos (observacin) (A1.1).

Evidencias de Producto
1. Tabla/plantilla con la clasificacin de activos. (A1.2). 2. Mapa mental/conceptual donde se detalle el escenario a evaluar. (A1.3). 3. Informe Anlisis de Vulnerabilidades (A1.6) 4. Matriz Anlisis de Riesgos (A1.7) 5. Resumen ejecutivo e Informe tcnico de todo el proceso de desarrollo de la primera fase del proyecto formativo. (A1.8). 6. CD o DVD con una recopilacin de todo el material investigado o realizado durante la primera fase del proyecto. El material debe entregarse de forma organizada y con las respectivas licencias que permitan una redistribucin acadmica. (A1.9).

Actividades elaboradas por: Fernando Alonso Quintero Londoo Andrs Mauricio Ortiz Morales

Versin: Fecha: 2.0 2.1 22/02/2012 22/01/2012

Ajustado por: Julin Ciro Ramrez Andrs Mauricio Ortiz Morales 2.2 4/04/2013