Documentos de Académico
Documentos de Profesional
Documentos de Cultura
HUAMANGA
CURSO
SEGURIDAD INFORMTICA
SIGLA
IS 444
FECHA
18-08-2014
DOCENTE
PER
2014
INTRODUCCION
ser
administradas
para
que
cada
elemento
sea
CAPITULO I
SITUACION ACTUAL DE LA UNIVERSIDAD NACIONAL SAN
CRISTOBAL DE HUAMANGA
1.1 DELIMITACION DEL ALCANCE
1.1.5 PROCESOS
La identificacin de procesos dentro del alcance constituye un pilar
fundamental para el enfoque del SGSI. En nuestro caso los procesos
involucrados son:
Publicacin de cronograma, Inscripcin de postulantes, Publicacin de
asignacin de salones, Elaboracin del preguntas, Ejecucin examen,
Revisin del examen, Publicacin de los resultados y Entrega de
constancia de ingreso.
Publicacin de cronograma
Ejecucin examen
Revisin examen
Publicacin resultados
1.1.6 ACTIVOS
1.2
CONCLUSIONES
CAPITULO II
ACTIVIDADES PRELIMINARES
2.2
ESTUDIO DE OPORTUNIDAD
2.3
2.4
ANALISIS DE RIESGOS
2.5
Activos
B. Software
Sistemas Operativos
Descripcin
Activos
Paquetes de programas
Descripcin
Es un producto comercializado como tal con
soporte, versin y mantenimiento.
Activos
Antivirus
Microsoft office
Software de Aplicacin de Oficina
Descripcin
Datos y servicios informticos compartidos y
privados, que utilizan los protocolos y tecnologas
de comunicacin (por ejemplo, tecnologa de
Internet).
Activos
Aplicacin Microsoft Visual Studio
C. Activos Fsicos
PCs de Oficina
Descripcin
Activos
Equipos de Oficina
Descripcin
Activos
Servidor
Descripcin
Activos
Soporte electrnico
Descripcin
Activos
Soporte
informtico
conectado
a
una
computadora o una red informtica para el
almacenamiento de datos.
CD-ROM y memoria extrable.
Medios de comunicacin
Descripcin
Se
caracteriza
principalmente
por
las
caractersticas fsicas y tcnicas del soporte.
Activos
Cableado estructurado, tecnologa Ethernet,
cables y switch.
Establecimiento
Descripcin
Activos
D. Servicios
Comunicacin
Descripcin
Activos
Energa
Descripcin
Activos
Portal Externo
Descripcin
Activos
E. Personas
Empleados
Descripcin
Activos
2.7
VALORIZACION DE ACTIVOS
CONFIDENCIALIDA
D
4
INTEGRIDA
D
3
DISPONIBILID
AD
3
3
2
3
2
4
2
4
2
3
1
3
1
Servicio
de
energa elctrica
Aplicacin
de
Microsoft
Visual
Studio.
Portal
de
Informacin
Suministros
de
oficina
Empleados
Establecimiento
Medios y soporte
2.8
2
1
1
1
3
3
Tabla N 6: Tasacin de activos
2
1
3
1.- Desastres naturales.- Sucesos que pueden ocurrir sin intervencin humana
Amenaza:
Activos:
Fuego
Activos fsicos
Daos por agua
Servicios de comunicacin, energa
Desastres naturales
Documentacin y registros
Afecta: Disponibilidad del Servicio, Integridad, Trazabilidad del servicio, Trazabilidad de
losdatos.
2.- De origen industrial.- Sucesos que pueden ocurrir de forma accidental, derivados de
laactividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o
deliberada.
Amenaza:
Activos:
Corte de suministro elctrico
Activos fsicos
Degradacin en el hardware
Servicios de comunicacin, energa
Condiciones
inadecuadas
de
Documentacin y registros
temperatura y/o humedad.
Afecta: Disponibilidad del Servicio, Integridad, Trazabilidad del servicio, Trazabilidad de los
datos, funcionamiento y procesamiento correcto de datos.
3.- Errores y Fallos no intencionados.- Fallos no intencionales causados por las personas.
Amenaza:
Activos:
2.10
ACTIVOS
AMENAZAS
A1: Fuego
V1:
Falta
proteccin
fuego
Documentacin y
Registros
de
contra
VALO
R
Baja
Media
Baja
V2:
Falta
de
proteccin
fsica
adecuada
A3:
Desastres
naturales
V3:
Condiciones
locales
donde
los
recursos
son
fcilmente afectados
por desastres
A4.
Prdida
de
informacin
Baja
Baja
Media
Media
DESCRIPCIN
Es baja la probabilidad deincendios
en el sector dondese encuentra la
Oficina de Admisin
Actualmente en la Oficina de
Admisin no se
tienen ninguna proteccin
contra fuego, como extintores
No se ha registrado este tipo de
incidente
Los documentos se encuentran en
gavetasprotegidas contra ingreso
deagua.
No se ha registrado este tipo de
incidente
No existen protecciones requeridas
para enfrentardaos causados ante
desastres naturales
Sistemas Operativos
Alta
V5.2:
Almacenamiento
no
protegido
A5: Divulgacin de
informacin
V5: Almacenamiento
no protegido
Media
A6:
Ataque
destructivo
V6:
Falta
de
proteccin fsica
A7: Modificacin no
autorizada
de
informacin.
V7:
Insuficiente
entrenamiento
de
empleados
A1:
Negacin
de
Servicio
Alta
V1:
Capacidad
insuficiente de los
recursos
A2:
Errores
de
configuracin
del
servicio
V2:
Falta
de
capacitacin
del
administrador
A3: Virus
Media
V3:
Falta
de
proteccin
actualizada
A4:
Controles
de
seguridad
no
cumplidos
V4: Falta de polticas
de seguridad
Alta
A5:
Alteracin
no
autorizado
de
la
configuracin
V5: Falta de control
de acceso
Baja
A1:
Negacin
de
servicio
V1:
Capacidad
Baja
Media
Media
Alta
Media
Baja
Baja
Baja
Media
Media
Alta
Alta
Alta
Baja
No se realizan respaldos de
la informacin, esto combinado con
los errores delos usuarios
Los documentos se encuentran en
gavetas bajollave. Pero susceptible a
daos por fuerza bruta
No se encuentran definidos polticas
de confidencialidad
Los documentos se encuentran en
gavetas bajo llave. Pero susceptible
a
daos por fuerza bruta
En la Oficina de Admisin no se ha
presentado este problema
La seguridad de estos elementos es
muy escasa
Se han registrado problemas debidos
a cambios en lainformacin no
previstos
Los empleados conocen sus
responsabilidades, y autorizaciones
permitidas a lainformacin
Esta forma de ataque no ha tomado
lugar todava, peropodra pasar en
cualquiermomento
La recursos de los SOs, es suficiente
para la cantidad deinformacin que
maneja la oficina de admisin
No se han presentado registros de
este problema
El administrador no cuenta con gran
conocimiento de los Sistemas
operativos de los servidores.
El servidor ha sido afectado una vez
por un Virus de computacin
No se sigue procedimientos
aprobados para la actualizacin y
mantenimiento del software
No se ha definido controles de
seguridad, razn por la cual ciertos
controles no han sido cumplidos
Actualmente no se tienen una
poltica aprobada, est en proceso de
desarrollo todava
No se ha registrado ningn incidente
Paquetes o software
estndar
PCs de oficina
Equipos de oficina
insuficiente de los
recursos
A2: Virus
V2:
Falta
de
proteccin
actualizada
A3:
Escape
de
informacin
V3: Falta de control
de acceso
A4:
Falta
de
capacidad
de
restauracin
V4: Falta de copias de
backup continuas
A5: Uso no previsto
suficientes
Alta
Alta
Baja
Baja
Baja
Alta
Alta
Alta
Baja
Desastres naturales
Baja
Acceso no autorizada
Alta
Corte de suministro
elctrico
Instalacin
no
autorizada o cambios
de sw
Uso no previsto
Media
Incumplimiento
con
controles
de
seguridad
Degradacin de hw
Alta
Inautorizada copia de
sw
Alta
Ataque destructivo
Baja
Robo
Fuego
Baja
Baja
Baja
Degradacin
Medio
o Falla
Baja
Media
Alta
Medio
Servidor
de HW
Ataque destructivo
Baja
Uso no previsto
Media
Fuego
Baja
Baja
Desastres naturales
Baja
Negacin de servicio
Baja
Corte
suministro
elctrico
Degradacin o falla
del HW
Manipulacin de la
configuracin
Ataque destructivo
Media
Fuego
Baja
Baja
Desastres naturales
Baja
Ataque destructivo
Baja
Medio
Baja
Baja
Soporte electrnico
Servicio de
comunicaciones
Servicio de energa
elctrica
Aplicacin de
Microsoft Visual
Robo
Fuego
Daos por agua
Desastres naturales
Degradacin
de
servicio y equipos
Errores
de
configuracin
Manipulacin
de
configuracin
Ataque destructivo
Fallas de servicio de
telefona
Fuego
Daos por agua
Desastres naturales
Ataque destructivo
Errores
de
los
usuarios
Errores
de
configuracin
Escapes
de
informacin
Errores
de
Studio
Portal de informacin
Suministros de oficina
Empleados
Establecimiento
Medios y soporte
actualizacin
del
programa
Manipulacin
de
configuracin
Abuso de privilegios
de acceso
Modificacin
no
autorizada del sitio
web
Sitio
web
no
disponible
Publicacin
de
informacin
incorrecta
de
la
oficina de admisin
Fuego
Daos por agua
Desastres naturales
Robo
Errores
de
los
empleados
Insuficiente persona
Divulgacin
de
informacin
confidencial
Fuego
Daos por agua
Acceso no autorizada
Desastres naturales
Acceso no autorizada
a la informacin
Robo
Daos de cables
Anlisis de trfico
2.11
2.12
IDENTIFICACION DE SALVAGUARDAS
2.13
2 JUSTIFICACIN
En la actualidad uno de los principales activos que las organizaciones
poseen, es la informacin. Por lo cual es necesario que toda organizacin
que busque una excelencia en los servicios o productos que ofrece,
Publicacin de cronograma
Ejecucin examen
Revisin examen
4 NIVELES A ASEGURAR:
Elementos a asegurar por nivel:
Publicacin resultados
Elaboracin preguntas
Nivel fsico
Nivel lgico
Nivel fsico:
Proteccin del acceso al servidor de base de datos.
Proteccin de los equipos, como computadoras personales y todo
Hardware informtico que pertenece al organismo o que es utilizado en los
locales del organismo.
Nivel lgico:
Poner contraseas para el acceso a los servidores.
Hacer backup de los datos ms importantes.
No permitir que usuarios no autorizados puedan leer la base de datos
de la nmina de personal.
5 ACTIVOS A PROTEGER
a) Activos de informacin
Documentacin y Registros
Activos auxiliares
b) Software
Sistemas Operativos
Paquetes de programas
Software de Aplicacin de Oficina
c) Activos fsicos
PCs de Oficina
Equipos de Oficina
Servidor
Soporte electrnico
Establecimiento
d)
Personas
Empleados
OBJETIVO