SISTEMAS DE GESTIN DE SEGURIDAD INFORMTICA ACTIVIDAD SUMATIVA 2

PRESENTADO POR: CLEMENTE SILVA GUTIERREZ COD: 7602403

GRUPO: 233003_2

PRESENTADO A: ING. LORENA SUAREZ

UNIVERSIDAD NACIONAL ABIERTA Y ADISTANCIA UNAD ESPECIALIZACIN EN SEGURIDAD INFORMATICA 2014

INTRODUCCIN La seguridad informtica es el rea que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con sta; en una Organizacin (incluyendo la informacin contenida, material informtico, programas, etc.). Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas, concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software, bases de datos, metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta llega a personas con manos inescrupulosas y con el conocimiento para utiliza diferentes herramientas tecnolgicas para afectar y obtener beneficios.

Las empresas han tomado conciencia de la necesidad de implementar sistemas de seguridad informtica para proteger su informacin y evitar el riesgo a un posible ataque. En este sentido, las empresas que manejan un Sistema de Gestin de la Seguridad de la informacin pretenden utilizar sus tcnicas y herramientas para salvaguardar su informacin.

OBJETIVOS

Explorar la plataforma del curso de Especializacin: Sistema de gestin de seguridad informacin para identificar su estructura general, actividades de aprendizaje a desarrollar, sus intencionalidades formativas, los espacios virtuales diseados para interactuar con los dems participantes del curso, y el modulo; todo con el fin de prepararnos para el desarrollo del trabajo en proceso. Describir el rea de informtica o departamento de sistemas de una organizacin, identificando cada uno de los elementos y herramientas utilizadas para desarrollar sus actividades empresariales. Identificar con ayuda de herramientas informticas, las vulnerabilidades, los riesgos y las amenazas que se presentan en una organizacin basados en los Sistemas de Gestin de la Seguridad de la informacin, que ofrecen las normas internacionales.

DESARROLLO DE LA ACTIVIDAD Nombre de la empresa: I. E. Hercio Mena Padilla Tipo de empresa (Publica / Privada): Publica Sector: Educacin.

Misin: La formacin de mujeres y hombres ticos, emprendedores y cultos, que lideren transformaciones en su entorno. Visin: En el 2018 la IE Heraclio Mena Padilla ser una IE incluyente, con liderazgo en la conservacin, preservacin y cuidado del ambiente, en gestin, formacin integral, con sentido de lo pblico y bilinge.

Paso 1: Inventario de activos INVENTARIO DE RECURSOS INFORMATICOS Tipos de activos Activo de informacin Descripcin Informacin general de la institucin educativa, acceso a los estudios impartidos, matriculas, expedientes acadmicos, documentacin, ect. * Windows 7 Profesional Sp1 licenciado * Office 2010 profesional plus Sp1 licenciado * Antivirus AVG internet security * Adobe Reader 11.0.4 Aplicacin * Pracsis software para el seguimiento y la evaluacin de calificaciones * Adobe flash player (plugin) * Java * Software de licencia gratuita

* Contamos con 2 computadores de escritorio marca PC Smart (Intel Pentium Dual Core 660 3.6ghz, memoria RAM DDR 3 de 2 Gb, Disco Duro 500 Gb, unidad DVD, puertos USB, monitor LCD 18.5). Hardware * Contamos con 2 computadores de escritorio marca PC Smart (Intel Pentium Dual Core 660 3.6ghz, memoria RAM DDR 3 de 2 Gb, Disco Duro 500 Gb, unidad DVD, puertos USB, monitor LCD 18.5). * Impresora HP laserjet 5100 tn. * Impresora Epson L355. * medio guiado * cableado estructurado de categora 5e Red * modem del servicio de internet con capacidad de 4Mb empresa agente EDATEL * 1 switch Tp-link De 24 Puertos * UPS Interactiva Unitec 650va Equipamiento auxiliar Instalacin Personal * Equipo de acondicionado) refrigeracin (Aire

* instalaciones electricas * Personal administrativo secretaria(usuarios) Tabla 1

Paso 2: Valoracin de activos Valoracin cualitativa de cada uno de los activo en relacin a las 4 dimensiones de seguridad contempladas en la metodologa magerit.

Cdigo
INF_ARC SER_ARC PRCSS WNDWS COM_ADM FCN PASCTR

Nombre
Servicio de secretaria Tramitacin de documento Pracsis Windows Comunicaciones Establecimiento(oficina) Personal administrativo secretaria

D
2 2 2 2 1 2 2 Tabla 2

I
4 4 4 4 2 4 4

C
5 5 5 5 3 5 5

A
6 6 6 6 3 6 6

T
5 5 6 6 3 5 5

En la tabla 2 se ven reflejados cada valorar de los activos de la institucin con el nivel de

dependencia, presentado en forma de rbol de acuerdo a las 4 dimensiones.

Nota: Las dimensiones de seguridad contempladas en esta metodologa son: Disponibilidad, Integridad, Confiabilidad, Autenticidad y Trazabilidad.

Paso 3: Amenazas (Identificacin y valoracin)

En siguientes tablas se muestran las mltiples amenazas que pueden afectar los activos de una institucin a travs de la herramienta pilar logramos identificarlas y determinar el nivel de exposicin en la que se encuentra cada activo de informacin en la organizacin.

Cdigo

Nombre

Amenazas

Frecuencia

D
100%

I
100%

C
100%

A
100%

Servicio de INF_ARC secretaria [I.5] Avera de origen fsico o lgico [E.1] Errores de los usuarios [E.2] Errores del administrador del sistema / de la seguridad [E.8] Difusin de software daino [E.15] Alteracin de la informacin [E.18] Destruccin de la informacin [E.19] Fugas de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.5] Suplantacin de la identidad [A.6] Abuso de privilegios de acceso [A.7] Uso no previsto [A.8] Difusin de software daino [A.11] Acceso no autorizado [A.15] Modificacin de la informacin 1 1 1 1 1 1 1 1 10 1,15 1,15 1,15 1,15 1,15 1,15

50% 1% 20% 10% 10% 20% 10% 1% 50% 10% 1% 1% 20% 1% 50% 1% 1% 100% 10% 10% 100% 10% 50% 50% 10% 10% 100% 50% 100% 20% 10% 20% 10%

[A.18] Destruccin de la informacin [A.19] Revelacin de informacin [A.22] Manipulacin de programas

1,15 1,15 1,15

50% 50% 50% 100% 100%

Tabla 3

La tabla 3 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo (servicio de secretaria de la institucin).

Cdigo

Nombre

Amenazas

Frecuencia

D
100%

I
100%

C
100%

A
100%

Tramitacin de SER_ARC documento [I.5] Avera de origen fsico o lgico [E.1] Errores de los usuarios [E.2] Errores del administrador del sistema / de la seguridad [E.8] Difusin de software daino [E.15] Alteracin de la informacin [E.18] Destruccin de la informacin [E.19] Fugas de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.5] Suplantacin de la identidad [A.6] Abuso de privilegios de acceso [A.7] Uso no previsto [A.8] Difusin de software daino [A.11] Acceso no autorizado [A.15] Modificacin de la informacin 1 1 1 1 1 1 1 1

50% 1% 20% 10% 10% 20% 10% 1% 50% 10% 1% 20% 20% 10% 20% 10%

1,15

1%

1%

1,15 1,15 1,15 1,15 1,15 1,15 1% 1% 100%

50% 10% 10% 100% 10% 50%

50% 10% 10% 100% 50%

100%

[A.18] Destruccin de la informacin [A.19] Revelacin de informacin [A.22] Manipulacin de programas

1,15 1,15 1,15

50% 50% 50% 100% 100%

Tabla 4

La tabla 4 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo (Tramitacin de documento de la institucin).

Cdigo
PRCSS

Nombre
Pracsis

Amenazas
[I.5] Avera de origen fsico o lgico [E.1] Errores de los usuarios [E.2] Errores del administrador del sistema / de la seguridad [E.8] Difusin de software daino [E.15] Alteracin de la informacin [E.18] Destruccin de la informacin [E.19] Fugas de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.5] Suplantacin de la identidad [A.6] Abuso de privilegios de acceso [A.7] Uso no previsto [A.8] Difusin de software daino [A.11] Acceso no autorizado [A.15] Modificacin de la informacin

Frecuencia
1 1 1 1 1 1 1 1

D
100% 50% 1% 20% 10%

I
100%

C
100%

A
100%

10% 20% 10% 1%

10% 20% 10%

50% 10% 1% 20% 20%

1,15

1%

1%

1,15 1,15 1,15 1,15 1,15 1,15 1% 1% 100%

50% 10% 10% 100% 10% 50%

50% 10% 10% 100% 50%

100%

[A.18] Destruccin de la informacin [A.19] Revelacin de informacin [A.22] Manipulacin de programas

1,15 1,15 1,15

50% 50% 50% 100% 100%

Tabla 5

La tabla 5 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo (Pracsis software utilizado por la institucin).

Cdigo
WNDWS

Nombre
Windows

Amenazas
[N.1] Fuego [N.2] Daos por agua [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales [I.3] Contaminacin medioambiental [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura o humedad [I.11] Emanaciones electromagnticas [E.1] Errores de los usuarios [E.2] Errores del administrador del sistema / de la seguridad [E.8] Difusin de software daino [E.15] Alteracin de la informacin [E.18] Destruccin de la informacin [E.19] Fugas de informacin

Frecuencia
0,1 0,1 0,1 0,5 0,5 0,5 0,1 1 1 1 1 1 1 1 1 1 1 1

D
100% 100% 50% 100% 100% 50% 100% 50% 10% 50% 100% 100%

I
100%

C
100%

A
100%

1% 1% 20% 10% 10% 20% 10% 1% 50% 10% 10% 20% 10%

[E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [E.25] Prdida de equipos [A.5] Suplantacin de la identidad [A.6] Abuso de privilegios de acceso [A.7] Uso no previsto [A.8] Difusin de software daino [A.11] Acceso no autorizado [A.15] Modificacin de la informacin [A.18] Destruccin de la informacin [A.19] Revelacin de informacin [A.22] Manipulacin de programas [A.23] Manipulacin del hardware [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo Tabla 6

1%

20%

20%

10

1%

1%

10%

10 5 1,15 1,15 1,15 1,15 1,15 1,15 1,15 1,15 1,15 0,58 2,3 5,8 1,15

50% 5% 50% 10% 10% 100% 10% 10% 1% 100% 10% 50% 50% 50% 50% 50% 100% 5% 100% 100% 100% 50% 10% 10% 50% 50% 10% 100% 50% 100%

La tabla 6 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo (Windows sistema operativo utilizado por la institucin).

Cdigo

Nombre

Amenazas
[N.1] Fuego

Frecuencia
1

D
100% 100%

I
100%

C
100%

A
100%

COM_ADM Comunicaciones

[N.2] Daos por agua [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales [I.3] Contaminacin medioambiental [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.8] Fallo de servicios de comunicaciones [I.11] Emanaciones electromagnticas [E.1] Errores de los usuarios [E.2] Errores del administrador del sistema / de la seguridad [E.8] Difusin de software daino [E.9] Errores de [re]encaminamiento [E.10] Errores de secuencia [E.15] Alteracin de la informacin [E.18] Destruccin de la informacin [E.19] Fugas de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.24] Cada del sistema por agotamiento de recursos [A.5] Suplantacin de la identidad [A.6] Abuso de privilegios de acceso [A.7] Uso no previsto [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes

1 0,5 1 1 1 1 0,1 1 1 0,1 1 1 1 1 1 1 1 1 1

100% 100% 100% 100% 100% 10% 10% 50% 50% 1% 1% 20% 10% 10% 20% 10% 10% 20% 10% 10% 10% 1% 50% 10% 1% 20% 20%

10

1%

1%

1 1,15 1,15 1,15 1,15 1,15

50% 10% 10% 10% 100% 10% 10% 100% 50% 50% 50% 100% 10% 100% 100%

[A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.12] Anlisis de trfico [A.14] Interceptacin de informacin (escucha) [A.15] Modificacin de la informacin [A.18] Destruccin de la informacin [A.19] Revelacin de informacin [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.26] Ataque destructivo [A.27] Ocupacin enemiga Tabla 7

1,15 5,8 1,15 1,15 1,15 1,15 1,15 1,15 11,5 0,115 1,15 50% 50% 100% 100% 50%

10% 10% 50% 2% 5% 10% 100%

50% 100% 100%

50%

La tabla 7 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo (servicio de comunicacin de la institucin).

Cdigo
FCN

Nombre
Establecimient o (oficina)

Amenazas

Frecuencia

D
100%

I
10%

C
50%

[N.1] Fuego [N.2] Daos por agua [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales [I.3] Contaminacin medioambiental [I.4] Contaminacin electromagntica [I.11] Emanaciones electromagnticas [A.5] Suplantacin de la identidad

1 1 0,5 1 1 1 1 0,1 0,1 1,15

100% 100% 100% 100% 100% 100% 10% 10% 1% 10% 50%

[A.6] Abuso de privilegios de acceso [A.7] Uso no previsto [A.11] Acceso no autorizado [A.26] Ataque destructivo [A.27] Ocupacin enemiga Tabla 8

1,15 1,15 5,8 0,115 1,15

10% 10% 100% 100%

10% 10% 10%

50% 50% 50% 50%

La tabla 8 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo (Establecimiento (oficina) de la institucin).

Cdigo
PASCTR

Nombre
Personal administrativo secretaria

Amenazas

Frecuencia

D
50%

I
50% 10%

C
50%

[E.15] Alteracin de la informacin [E.18] Destruccin de la informacin [E.19] Fugas de informacin [E.28] Indisponibilidad del personal [A.15] Modificacin de la informacin [A.18] Destruccin de la informacin [A.19] Revelacin de informacin [A.28] Indisponibilidad del personal [A.29] Extorsin [A.30] Ingeniera social (picaresca) Tabla 9

1 1 1 1 1,15 1,15 11,5 0,58 1,04 0,58 50% 20% 20% 10% 30% 1%

10%

50%

50%

10% 20%

50% 20%

La tabla 9 muestra el resumen de valoracin de amenazas, herramienta Pilar referente al activo (Personal administrativo secretaria de la institucin).

Paso 4: Salvaguardas

Los salvaguardad mostrados a continuacin nos darn a conocer los procedimientos o mecanismos tecnolgicos que reducen el riesgo.
ASPECTO G G G G G TDP PR PR EL PR PR SALVAGUARDAS [H] Protecciones Generales [D] Proteccin de la Informacin [K] Gestin de claves criptogrficas [S] Proteccin de los Servicios [SW] Proteccin de las Aplicaciones Informticas (SW) [HW] Proteccin de los Equipos Informticos (HW) [COM] Proteccin de las Comunicaciones [IP] Puntos de interconexin: conexiones entre zonas de confianza [MP] Proteccin de los Soportes de Informacin [AUX] Elementos Auxiliares [L] Proteccin de las Instalaciones [PS] Gestin del Personal [H.IR] Gestin de incidentes [BC] Continuidad del negocio [G] Organizacin 7 DUDAS FUENTES COMENTARIOS RECOMENDACIN 7 ON / OFF APLICABLE

G G

PR PR

6 8

PR

G G F P G G G

PR PR PR PR RC CR AD

6 7 6 5 5 6

G G

AD AD

[E] Relaciones Externas [NEW] Adquisicin / desarrollo Tabla 10 La tabla 10 las valoracin de salvaguardias por activo. Herramienta Pilar 4

Paso 5: impacto residual

Impacto Repercutido

Los activos se relacionan unos con otros, de forma que el efecto de una amenaza en un activo tiene consecuencias indirectas en los activos que dependen del activo directamente daado. El impacto repercutido mide el dao en los activos.
POTENCIAL

D ACTIVOS
[INF_ARC]Servicio de secretaria [SER_ARC]Tramitacin de documento [PRCSS]Pracsis [WNDWS]Windows [COM_ADM]Comunicaciones [FCN]Establecimiento(oficina) [PASCTR]Personal administrativo secretaria [2] [2] [2] [2] [2] [1] [2] [1] Tabla 11

I
[4] [4] [4] [4] [4] [2] [1] [3]

C
[5] [5] [5] [5] [5] [3] [4] [4]

A
[6] [6] [6] [6] [6] [3]

ACTUAL

D ACTIVOS
[INF_ARC]Servicio de secretaria [2] [2]

I
[4] [4]

C
[5] [5]

A
[6] [6]

[SER_ARC]Tramitacin de documento [PRCSS]Pracsis [WNDWS]Windows [COM_ADM]Comunicaciones [FCN]Establecimiento(oficina) [PASCTR]Personal administrativo secretaria

[2] [1] [2] [1] [2] [1] Tabla 12

[4] [4] [3] [2] [1] [2]

[5] [5] [4] [3] [4] [3]

[6] [6] [6] [3]

OBJETIVO

D ACTIVOS
[INF_ARC]Servicio de secretaria [SER_ARC]Tramitacin de documento [PRCSS]Pracsis [WNDWS]Windows [COM_ADM]Comunicaciones [FCN]Establecimiento(oficina) [PASCTR]Personal administrativo secretaria [2] [2] [2] [1] [2] [1] [2] [1] Tabla 13

I
[4] [4] [4] [4] [3] [2] [1] [2]

C
[5] [5] [5] [5] [4] [3] [4] [3]

A
[6] [6] [6] [6] [6] [3]

Riesgo repercutido

En las tablas a continuacin veremos el riesgo repercutido el cual nos estar mostrando el calculado tomando en consideracin el valor propio del activo. El riesgo repercutido estima el dao a la institucin, calculando el dao en los activos explcitamente valorados.
POTENCIAL

D ACTIVOS
{2,5}

I
{3,4}

C
{4,3}

A
{5,2}

[INF_ARC]Servicio de secretaria [SER_ARC]Tramitacin de documento [PRCSS]Pracsis [WNDWS]Windows [COM_ADM]Comunicaciones [FCN]Establecimiento(oficina) [PASCTR]Personal administrativo secretaria

{2,5} {2,5} {2,2} {2,5} {1,9} {2,2} {1,4} Tabla 14

{3,4} {3,4} {3,4} {3,4} {2,2} {2,2} {2,8}

{4,3} {4,3} {3,9} {3,9} {2,9} {4,0} {4,3}

{5,2} {5,2} {4,5} {4,5} {3,4}

ACTUAL

D ACTIVOS
[INF_ARC]Servicio de secretaria [SER_ARC]Tramitacin de documento [PRCSS]Pracsis [WNDWS]Windows [COM_ADM]Comunicaciones [FCN]Establecimiento(oficina) [PASCTR]Personal administrativo secretaria {2,4} {2,4} {2,4} {1,8} {1,8} {1,8} {1,9} {0,96} Tabla 15

I
{3,2} {3,2} {3,2} {3,1} {2,7} {2,1} {2,0} {2,2}

C
{3,9} {3,9} {3,9} {3,7} {3,2} {2,7} {3,8} {3,7}

A
{5,0} {5,0} {5,0} {4,4} {4,4} {3,3}

OBJETIVO

D ACTIVOS
[INF_ARC]Servicio de secretaria [SER_ARC]Tramitacin de documento [PRCSS]Pracsis [WNDWS]Windows [COM_ADM]Comunicaciones [FCN]Establecimiento(oficina) {2,4} {2,4} {2,4} {1,8} {1,8} {1,8} {1,9}

I
{3,2} {3,2} {3,2} {3,1} {2,7} {2,1} {2,0}

C
{3,9} {3,9} {3,9} {3,7} {3,2} {2,7} {3,8}

A
{5,0} {5,0} {5,0} {4,4} {4,4} {3,3}

[PASCTR]Personal administrativo secretaria

{0,96} Tabla 15

{2,2}

{3,7}

CONCLUSIONES

La plataforma del curso de Especializacin: Sistema de gestin de seguridad informacin se pudo identificar la estructura general, actividades de aprendizaje que se desarrollaron, sus intencionalidades formativas, los espacios virtuales diseados para interactuar con los dems participantes del curso. De manera analtica logramos conocer a fondo el rea de informtica o departamento de sistemas de una organizacin, pudimos identificar un sin nmero de elementos y herramientas que se utilizan para desarrollar las diferentes actividades empresariales de una organizacion. Identificamos con la ayuda de herramientas informticas (herramienta PILAR), las vulnerabilidades, los riesgos y las amenazas que se presentan en una organizacin y como mitigarlos a travs los Sistemas de Gestin de la Seguridad de la informacin, que ofrecen las normas internacionales.

BIBLIOGRAFA Y CIBERGRAFIA

Libro I, II y II MAGERIT versin 3.0Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin Sistema de Gestin de la Seguridad de la informacin SGSI

Gua de seguridad de las tic (ccn-stic-470-b) manual de usuario pilar versin 4.4 http://www.youtube.com/watch?v=chNhPIALeRE Como usar PILAR BASIC - Seguridad de la informacin - Control de activos