Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SeguridadSistemasInformacion PDF
SeguridadSistemasInformacion PDF
Seguridad en el CPD.
Seguridad en los servidores.
Seguridad en la red de datos.
Metodologa MAGERIT.
SEGURIDAD EN EL CPD
Introduccin.
Las
Introduccin
Amenazas a la seguridad de los sistemas de
informacin:
Fraudes, sabotajes, piratera informtica.
Espionaje comercial e industrial.
Vandalismo, terrorismo.
Averas.
Problemas elctricos, interferencias.
Desastres naturales (fuego, agua,
terremotos).
Amenazas lgicas
Exploits:
Programas que aprovechan fallos de programacin (bugs)
del sistema operativo o de las aplicaciones instaladas.
Pueden paralizar el sistema provocando una denegacin
de servicio.
Herramientas de seguridad:
Permiten al administrador verificar la seguridad general.
Pueden utilizarse como programas de ataque.
Puertas traseras:
Atajos de programacin para depurar fallos de programas.
Si quedan abiertos, pueden ser aprovechados para atacar.
Amenazas lgicas
Virus:
Secuencia de cdigo que puede infectar otros programas
modificndolos para incluir una copia de s mismo
Actualmente el correo electrnico y la mensajera
instantnea son los medios de mayor propagacin de
virus y troyanos
Bombas lgicas:
Virus latente que se activa ante ciertas caractersticas.
Conejos o bacterias:
Virus que se reproduce hasta saturar el sistema.
Amenazas lgicas
Gusanos:
Programa que se propaga por la red para intentar
aprovechar fallos de los sistemas.
Automatizan el proceso de ataque y pueden portar virus.
Rootkits:
Gusanos que intentan ocultar su presencia, usados
expresamente para tomar el control del usuario
administrador.
Troyanos o Caballos de Troya:
Programa que imita el comportamiento del original para
obtener informacin del usuario.
Amenazas lgicas
Phishing:
Troyano que intenta tomar informacin confidencial
(normalmente bancaria) usando una pgina web falsa.
Suelen blanquear el dinero obtenido captando clientes
para teletrabajo.
Pharming:
Tcnica de phishing que aprovecha fallos en el DNS para
redirigir al navegador del usuario a una pgina web falsa.
Spoofing:
Tcnica para suplantar la direccin de la mquina original,
modificando los paquetes de datos de la comunicacin.
Amenazas lgicas
XSS (Cross-Site Scripting):
Ataques por inyeccin de cdigo en pginas web con
formularios o scripts (JavaScript, VBScript, etc.).
Bulos (hoax):
Mensajes engaosos sobre virus, solidaridad, etc., para
captar direcciones o provocar denegacin de servicio.
Correo basura (spam):
Mensajes no solicitados, enviados masivamente con
propaganda o incluyendo tcnicas de ataques
informticos.
A. Villaln Huerta: Seguridad en Unix y Redes, v2.1. 2002.
Wikipedia, la enciclopedia libre: http://es.wikipedia.org/
Medidas de seguridad
Prevencin:
Medidas dedicadas a evitar un desastre o un ataque a la
seguridad.
Deteccin:
Las encargadas de detectar y localizar un problema lo
antes posible para disminuir sus consecuencias.
Recuperacin:
Aquellas que se encargan de restaurar la informacin o el
entorno al nivel operativo previo a la incidencia.
Plan de contingencia
Informe
Control de acceso
Evaluar
Instalacin elctrica
Suministro
Sistema anti-incendios
Detectores
de humos y gases.
Sistema de extincin automtico con
control centralizado.
Extintores distribuidos segn normativa.
Botones de emergencia.
Puertas cortafuegos y de emergencia.
Armario ignfugo para material reservado
(copias de seguridad, documentos, etc.).
Seguir normas de prevencin de incendios.
Climatizacin
Cableado horizontal
Las
Cableado vertical
Interconexin
Armarios de distribucin
Los cables interiores de las rosetas
van a la parte trasera de las
regletas de parcheo.
Los latiguillos conectan las regletas
de parcheo con las puertas de
enlace de la electrnica.
La electrnica se interconecta con
latiguillos de mayor ancho de
banda.
Mobiliario
Bastidores
de distribucin y de instalacin de
maquinaria segn normativas (tipo rack).
Armarios, estanteras y cajoneras de oficina
funcionales y con medidas de seguridad.
Mesas de trabajo amplias.
Sillas de ruedas cmodas y de altura regulable.
Medidas de prevencin de riesgos, seguridad e
higiene.
Otras medidas de adaptacin de los puestos de
trabajo.
Normativas
Normativas de seguridad:
Reglamento de Baja Tensin.
ISO/IEC 11801 - Cableado estructurado de propsito
general..
IEEE 802.3 - Redes de rea local y metropolitana y
actualizaciones para las diferentes tcnicas de
sealizacin.
NBE-CPI96 - Control de Proteccin de Incendios.
Normativa sobre compatibilidad electromagntica (R.D
444/94).
Reglamento de proteccin de datos.
Normativas
Normativas tcnicas:
EIA/TIA SP-2840 - Cableado de telecomunicaciones para
edificios comerciales.
EIA/TIA 568 - Cableado estructurado de propsito general.
EIA/TIA 569 - Canalizacin y zonas para equipos de
telecomunicaciones en edificios comerciales.
EIA/TIA-TSB-36, TSB-40- Especificaciones adicionales
sobre cable UTP.
EIA/TIA PN 3012 Cableado de instalaciones con fibra
ptica.
EIA/TIA 942- Infraestructura de telecomunicaciones para
Centros de Datos.
Sala de Mquinas.
Bastidores tcnicos.
Acceso fsico.
Sala de Mquinas
Debe
Bastidor tcnico
Sistema de localizacin de equipos informticos,
electrnicos y de comunicaciones, con medidas
normalizadas para alojar material de cualquier
fabricante (norma EIA 310-D).
Altura fija entre puntos de anclaje, se mide en
Unidades de Almacenamiento (42 U ~ 2 m).
La anchura entre barras de anclaje es de 19, aunque
la del armazn puede variar (60, 80 cm).
La profundidad debe ajustarse al material almacenado
(80, 100 cm).
El suelo o falso suelo debe soportar en poco espacio
el peso del rack, de sus componentes y del material.
Componentes de un bastidor
Armazn
metlico, sin
parte inferior para
refrigeracin.
Puertas frontal (trabajo) y
trasera (instalacin) con
cerraduras.
Paneles laterales con
rejillas de ventilacin.
Barras verticales de
anclaje.
Componentes de un bastidor
Guas
o estantes para el
apoyo de equipos.
Contrapesos y
estabilizadores.
Regletas de alimentacin
(hasta un pequeo SAI).
Soporte extra de
refrigeracin.
Puede incluir switch de
consola para los equipos.
Webopedia: http://www.webopedia.com/
generales.
Estructuras de redes.
Cortafuegos y representantes.
La red privada.
Zona desmilitarizada.
Redes virtuales.
Almacenamiento centralizado: SAN, NAS.
Servicios de red.
Recomendaciones generales
Seguir
normas abiertas.
Alto ancho de banda con factores de crecimiento.
Usar las ltimas tecnologas (10GE, WiMAX, etc.).
Dispositivos de almacenamiento masivo (SAN de
fibra, iSCSI, NAS).
Factores de calidad, fiabilidad y escalabilidad.
Alta capacidad, densidad y redundancia.
Flexibilidad con facilidad de acceso para
movimientos y cambios.
Sistemas de seguridad y monitorizacin.
Solucin para Centros de Datos de Seimon 10G ip. Seimon, 2006.
Cortafuegos (firewall)
Controla y filtra el trfico entre zonas de red,
redirigiendo los paquetes que cumplen las
condiciones de su poltica de seguridad y filtrando el
resto.
Pueden hacerse filtrados desde el nivel de enlace de
datos hasta el de aplicacin.
Las tcnicas NAT (enmascaramiento de IP)
reescriben la direccin origen para permitir el acceso
desde la red privada como si se hiciese desde una
red normal a travs de un router.
El cortafuegos personal filtra el trfico de una
mquina determinada.
Representante (proxy)
Cortafuegos
Tipos de proxys
Proxy-cach:
Almacena los resultados para futuras consultas,
mejorando la velocidad de acceso.
Transparente:
Cortafuegos de aplicacin con tcnicas NAT.
Inverso:
Instalado en servidores web para controlar el
acceso, balancear la carga o aumentar el
rendimiento (con cach).
Wikipedia, la enciclopedia libre: http://es.wikipedia.org/
La red privada
Red
local de la empresa.
Las conexiones al exterior deben hacerse
mediante cortafuegos (firewall) o
representantes (proxys).
Sin conexin desde el exterior o con
acceso muy controlado.
IPv4 define un conjunto de direcciones
para redes privadas (10.x.x.x, 192.168.x.x).
Conexiones permitidas:
Red interna -> DMZ
Red interna -> Internet
Internet -> DMZ
Wikipedia, la enciclopedia libre: http://es.wikipedia.org/
Almacenamiento de datos
Tipos
de dispositivos de almacenamiento.
Discos redundantes (RAID).
Volmenes lgicos (LVM).
Sistemas de archivos.
Modelos de almacenamiento SNIA.
Dispositivos de almacenamiento
Almacenamiento conectado directamente (DAS):
Dispositivos conectados directamente a la
mquina, tanto interna como externamente.
Almacenamiento conectado a la red (NAS):
Sistema de almacenamiento conectado a la red
local, con soporte para servicio de ficheros
remotos.
Red de almacenamiento (SN o SAN):
Red paralela dedicada al acceso a sistemas de
almacenamiento remotos.
Modelo clsico de
almacenamiento
APLICACIN
Disco
Cliente
Cliente
Red
RAID
Discos
Servidor
Discos
Niveles RAID
RAID 0 o por bandas:
Los datos se dividen en bandas, escribiendo cada una de
ellas en un disco; no hay tolerancia a fallos.
Se mejoran las prestaciones de acceso.
La capacidad total es la suma de las de cada disco.
RAID 1 o espejo:
Los datos se almacenan en espejo, repitiendo la
misma escritura en cada disco.
Se incrementa la seguridad y la tolerancia a fallos, puede
sustituirse un disco defectuoso sin afectar al funcionamiento.
La capacidad total es la de cualquier disco (sern iguales).
Niveles RAID
RAID 5 o bandas con paridad:
Se usan ms de 2 discos para distribuir las bandas de
datos y sus paridades. Cada disco contiene una banda de
datos y la paridad de las bandas de otros datos.
Se incrementan la seguridad, las prestaciones y los costes.
La capacidad total es la suma total de la capacidad de los
discos menos el tamao de las bandas de paridad.
JBOD (Grupo de Discos) o RAID lineal:
Los discos (de cualquier tamao) se agrupan
secuencialmente para formar un disco lgico mayor.
No se incrementan las prestaciones ni la seguridad, slo la
capacidad.
Sistemas de archivos
rbol
APLICACIN
Cliente
Cliente
LAN
Puente
NAS
SN
Sistema de
archivos
Servidor
Servidor
NAS
Red
RAID
Discos
Discos
Discos
Dispositivos
Mquina
sin LVM
APLICACIN
Sistema de
archivos
Servidor
Red
Matriz de discos
Discos
Discos
Dispositivos
Cliente
Cliente
LAN
Servidor de
Ficheros (NAS)
SN
privada?
Discos
Sistema de
archivos
Servidor
Red
Dispositivos
Sistema de
archivos
Servidor
Red
LAN
Matriz de discos
Discos
Discos
Dispositivos
Mquina
sin LVM
APLICACIN
Servicios de red
Permiten
datos
Otros servicios
Servicio de
directorio
aplics
Otros
dispositivos
Otros
clientes
Clientes de
aplicaciones
Cortafuegos
Servicio de ficheros
Internet
cuentas
Clientes del
dominio
y de datos
Servicios centralizados
Red interna
SEGURIDAD EN SERVIDORES
Introduccin.
Sistemas
Introduccin
Causas
de fallos informticos.
Previsin de fallos.
Ataques a la seguridad.
Funciones del rea de Seguridad.
Previsin de fallos
Planificacin de necesidades:
Documentacin y estudio de los recursos.
Previsin de ampliaciones, compras con futuro.
Infraestructuras adecuadas (SAI, aire acondicionado, red
informtica, etc.).
Seguridad fsica y lgica.
Documentacin:
Registros actualizados.
Polticas de uso y permisos.
Descripcin de procedimientos comunes.
Formar e informar a los usuarios.
Previsin de fallos
Automatizacin:
Configuracin bsica.
Procedimientos comunes y tareas peridicas.
Registro de incidencias y rendimiento.
Trabajos especficos (informes, servicios, etc.).
Alertas de seguridad.
Tareas no automatizadas:
Configuracin detallada.
Revisin de registros y archivado de datos.
Actualizaciones crticas.
Aprendizaje continuo (sistema, usuarios, etc.).
Ataques a la seguridad
Acceso no autorizado:
Clientes que pueden disfrutar de servicios sin tener los
derechos necesarios para su utilizacin.
Especificar cuidadosamente los permisos de acceso a los
recursos y los usuarios autorizados para cada uno de ellos.
Aprovechamiento de los fallos de programacin:
Programas, servicios de red o componentes del sistema
operativo vulnerables a ataques por no ser diseados
originalmente teniendo en cuenta una seguridad elevada.
Deshabilitar servicios vulnerables, encontrar alternativas
viables e instalar parches de seguridad.
Ataques a la seguridad
Denegacin de servicio:
Saturar de peticiones un servicio para que se vuelva
inestable o deje de funcionar.
Impedir que el trfico sospechoso pueda alcanzar los
servicios de la mquina, aplicar lmites segn las
dimensiones del sistema.
Suplantacin de identidad:
Mquina o aplicacin que simula las acciones realizadas
por otra, imitando al original.
Usar mecanismos de control para verificar la autenticidad
de la informacin recibida, as como de los usuarios o
mquinas clientes; rechazar conexiones no vlidas.
Ataques a la seguridad
Indiscrecin:
Obtener informacin privilegiada mediante programas de
escucha para redes de difusin (como Ethernet),
capturando datos destinados a terceros.
Evitar tecnologas de red con difusin e imponer el uso de
encriptacin de datos.
Direcciones de inters
Centro de Alerta Temprana sobre Virus y Seguridad
Informtica (Alerta-Antivirus):
http://alerta-antivirus.red.es/
Asociacin de Internautas (Seguridad):
http://seguridad.internautas.org/
CERT Coordination Center: http://www.cert.org/
Forum for Incident Response and Security Teams
(FIRST): http://www.first.org/
Hispasec - Securidad Informtica:
http://www.hispasec.com/
SANS Institute: http://www.sans.org/
Cortafuegos local
de red
(IP, MAC) de emisor y
receptor.
Tipo de protocolo
(TCP, UDP).
Puertos especficos.
Trfico entrante o
saliente.
Aplicaciones que usan
la red.
Firewall Builder, NetCitadel, LLC.
de prevencin y deteccin.
En el mbito empresarial debe usarse un entorno
cliente/servidor para proteger toda la red.
Combinar la proteccin de PCs con la de
servicios generales (web, correo, ficheros).
Evaluar el uso de una nica suite de programas o
aplicaciones especializadas.
El uso puntual de herramientas de deteccin va
web puede servir para comprobar entornos
presuntamente infectados o atacados.
Honeypots y Honenets
Honeypot:
Ordenador o programa usado para atraer a
piratas simulando ser vulnerable, permitiendo
recoger informacin sobre los atacantes y sus
tcnicas.
Honeynet:
Red informtica usada como honeypot, con fines
de investigacin para recoger gran cantidad de
informacin sobre los atacantes.
Wikipedia, la enciclopedia libre: http://es.wikipedia.org/
The Honeynet Project: http://www.honeynet.org/
Medidas de recuperacin
Poltica
de copias de seguridad.
Sistemas de recuperacin de datos.
Anlisis forense.
Copias de seguridad
Principal
Tipos de medios
Cinta:
Coste medio, lenta, poco fiable, gran capacidad,
soportes reutilizables un nmero limitado de veces.
CD, DVD:
Barato, rpido, acceso selectivo, poca capacidad,
hay medios no reutilizables, existen formatos
incompatibles.
Disco (SAN, NAS):
Muy caro, rpido, fiable, gran capacidad, medio no
extrable, permite rplicas tipo foto.
Planificacin de copias
Definir
operativo.
Programas instalados.
Datos de aplicaciones.
Datos de usuarios.
Planificacin de copias
Establecer un calendario peridico para cada
mquina indicando:
Tipo de copia.
Tcnica de grabacin.
Soporte.
El operador debe etiquetar los medios fungibles
indicando:
Orden para restaurar los datos.
Mquina.
Tipo de datos.
Fecha de grabacin.
Tipos de copias
Completa:
Copia completa de todos los datos (servidor, sistema de
archivos, tipo de datos).
Proceso ms lento, necesita ms medios.
Diferencial:
Copiar los datos modificados desde la ltima copia
completa.
Ahorro de tiempo en restauracin.
Incremental:
Copiar los datos modificados desde la ltima copia.
Ahorro en tiempo de creacin y de medios.
Nmero de copias
5
3
Completa
Diferencial
Incremental
0
Da 1
Da 2
Da 3
Da 4
Da 5
Sistemas de recuperacin
Replicacin:
Produccin de una copia exacta de los datos en
poco tiempo, tanto por sistemas hardware como
software.
Proteccin continua:
Salvaguardia de cada cambio en los datos
permitiendo volver a cualquier estado previo.
Se puede conseguir cualquier nivel de
granularidad en la restauracin (ficheros,
buzones, mensajes, etc.).
Anlisis forense
Estudio
Seguridad en PCs
Acceso
sistema debe
estar actualizado con
parches de seguridad.
Elegir programas
seguros y
mantenerlos
actualizados.
Preparar alertas y
acciones automticas.
Centro de Seguridad
de Windows activa
herramientas bsicas
como actualizaciones
automticas de parches
del sistema, cortafuegos
local y estado del
antivirus.
Las aplicaciones bsicas
pueden sustituirse por
programas
especializados.
Panda Platinum 2006, Panda Software.
es el conjunto
de tablas para polticas
del cortafuegos Netfilter,
incluido en los ncleos de
Linux.
Las herramientas grficas
pueden ayudar a
configurar IPTables e
incluso actuar de forma
proactiva, bloqueando las
conexiones al detectar un
ataque.
Desactivar servicios
Los
sistemas
operativos incluyen
servicios para PCs, que
pueden ser inseguros o
ralentizar el sistema.
Un servicio de red
abierto es un potencial
punto de entrada al
sistema.
Seguir la poltica
empresarial sobre
instalacin de software.
el control de claves.
Polticas de creacin de usuarios y grupos.
Polticas de permisos de acceso.
Cuotas de disco.
Auditora de seguridad.
Cuentas de usuarios
Tiene un nombre y un identificador de usuario nicos.
Pertenece a uno o varios grupos de usuarios.
Puede definirse la informacin de la persona
propietaria de la cuenta.
Tiene asociado un directorio personal para los datos
del usuario.
Debe contar con clave de acceso o credencial
personal, difciles de conseguir por un impostor.
Perfil de entrada propio, donde se definen las
caractersticas de su entorno de operacin.
Puede tener fecha de caducidad, cuotas de disco, etc.
El sper-usuario
Usuario
Permisos en Windows
Permisos normales NTFS:
Control total: todos los
permisos.
Modificar: cambiar
contenido, borrar.
Lectura y ejecucin: lanzar
un programa o aplicacin.
Listar contenido de carpeta:
acceder a una carpeta.
Leer: ver el contenido.
Escribir: guardar cambios.
Propiedades de carpeta en Windows 2000.
Permisos en Windows
Atributos de archivos: son globales a todos los usuarios.
Slo lectura: no puede modificarse ni borrarse.
Oculto: no se muestra en el listado normal de su
directorio.
De sistema: propio del sistema operativo.
Archivado: indicador de copia de seguridad.
Atributos extendidos: definidos por las aplicaciones.
Listas de control de acceso:
Asignacin especfica de permisos a ciertos usuarios o
grupos.
Permisos en Unix/Linux
Conjuntos de permisos:
Para el propietario.
Para el grupo.
Para el resto de grupos.
Permisos normales:
Lectura (r): leer, ver
contenido.
Escritura (w): escribir,
modificar o borrar.
Ejecucin/acceso (x): lanzar
un programa o acceder a un
directorio.
Konqueror, del entorno KDE 3.5 en Fedora Core 5.
Permisos en Unix/Linux
Permisos especiales:
Usuario activo (SUID): el usuario que lanza un programa
se convierte durante su ejecucin en el usuario
propietario del fichero.
Grupo activo (SGID): el usuario que lanza un programa
pertenece al grupo de dicho fichero durante la ejecucin.
Directorio compartido (sticky): slo el propietario puede
borrar sus datos en un directorio de acceso general.
Listas de control de acceso (ACL):
Asignacin especfica de permisos a ciertos usuarios o
grupos.
Cuotas de disco
Tcnica
Cuota
Almacenamiento
Lmite Lmite
mnimo mximo
Cuotas de disco
Puede
definirse un
periodo de validez tras el
cual el usuario deber
rebajar el lmite inferior.
Tambin pueden
asignarse cuotas a
grupos.
El sistema avisa al
administrador cuando un
usuario supera los
lmites.
Propiedades de unidad de disco en Windows XP.
Auditora de seguridad
Herramientas que permiten al administrador registrar
las operaciones que realizan los usuarios del
sistema.
Suele ser muy flexible, permitiendo registrar gran
nmero de acciones.
El volumen de informacin crece continuamente y
debe almacenarse en un sistema de archivos
independiente o en un servidor dedicado.
Puede limitarse para evitar el registro de gran
cantidad de informacin que sera difcil de procesar.
Hay aplicaciones que generan informes resumidos,
estadsticas y alertas.
Registro de incidencias
El
registro de
incidencias y sucesos
complementa al
sistema de auditora.
Ambos sistemas
deben ser de acceso
exclusivamente
administrativo.
Servicios de red y
aplicaciones pueden
aadir ms registros.
Visor de sucesos de Windows XP.
Gnome-system-log del entorno GNOME 2.14 de Fedora Core 5.
SEGURIDAD EN LA RED
Bloqueo
de puertos.
Sincronizacin de servidores.
Arranque remoto.
La red inalmbrica.
Bloqueo de puertos
En
Recomendaciones generales
Deshabilitar
Sincronizacin de servidores
Para
Arranque remoto
Proceso
Arranque remoto
1. Encendido o
arranque por WOL
WOL
2. Solicitud DHCP
DHCP 3. Datos de red
(IP, DNS,...)
4. Solicitud de
arranque remoto
Rembo
(u otro)
5. Men de arranque
6. Seleccin de arranque
(posible solicitud de datos
de instalacin del sistema)
La red inalmbrica
Los
La red inalmbrica
Analizar
METODOLOGA MAGERIT
Introduccin.
Anlisis
y gestin de riesgos.
Participantes en un proyecto Magerit.
Desarrollo de un proyecto Magerit.
Ciclo de vida de una aplicacin.
MTRICA 3 y MAGERIT.
Introduccin
Metodologa
Guas
Mtodo:
Conceptos, tareas y metodologa para el
desarrollo del anlisis y la gestin de riesgos
(AGR).
Catlogo de elementos:
Lista abierta de activos, criterios de valoracin,
amenazas y salvaguardias.
Gua de tcnicas:
Consulta para implantar las tcnicas habituales
en gestin de proyectos y AGR.
Objetivos
Directos:
Concienciar a los responsables de los sistemas de
informacin de la existencia de riesgos y de la
necesidad de atajarlos a tiempo.
Ofrecer un mtodo sistemtico para analizar riesgos.
Ayudar a descubrir y planificar las medidas oportunas
para mantener los riesgos bajo control.
Indirectos:
Preparar a la organizacin para procesos de
evaluacin, auditora, certificacin o acreditacin.
Esquema general
Anlisis y gestin
de riesgos
Planificacin
Implantacin de
salvaguardias
Gestin de
config. y cambios
Objetivos, estrategia
y poltica
Organizacin
Concienciacin y
formacin
Incidencias y
recuperacin
Anlisis de riesgos
estn expuestos a
activos
interesan por su
amenazas
valor
causan una cierta
degradacin
impacto
con una cierta
frecuencia
riesgo
Tipos de activos
Capa 1: Entorno.
Equipamiento y suministros: energa, climatizacin,
comunicaciones.
Personal: direccin, operacin, desarrollo, etc.
Otros: edificios, mobiliario, etc.
Capa 2: El sistema de informacin.
Equipos informticos (hardware).
Aplicaciones (software).
Comunicaciones.
Soportes de informacin: discos, cintas, etc.
Tipos de activos
Capa 3: La informacin.
Datos.
Meta-datos: estructuras, ndices, claves de cifra, etc.
Capa 4: Las funciones de la organizacin.
Objetivos y misin.
Bienes y servicios producidos.
Tipos de activos
Capa 5: Otros activos.
Credibilidad o buena imagen.
Conocimiento acumulado.
Independencia de criterio o actuacin.
Intimidad de las personas.
Integridad fsica de las personas.
Valoracin de activos
Coste de reposicin: adquisicin e instalacin.
Coste de mano de obra especializada invertida en
recuperar el valor del activo.
Lucro cesante: prdida de ingresos.
Capacidad de operar: confianza de los usuarios y
proveedores que se traduce en prdida de actividad
o en peores condiciones econmicas.
Sanciones por incumplimiento de la ley u
obligaciones contractuales.
Dao a otros activos, propios o ajenos.
Dao a personas y medioambientales.
Valoracin de riesgos
Debe
muy alto
alto
medio
bajo
despreciable
Frecuencias
Estimar
Salvaguardias
Procedimientos
o mecanismos
tecnolgicos que reducen el riesgo.
Reducen la frecuencia de las amenazas
(salvaguardias preventivas).
Limitan la degradacin producida por una
amenaza o detectan un ataque.
Debe estimarse el porcentaje del grado de
eficacia para cada contra medida.
interesan por su
amenazas
causan una
cierta
salvaguardias
activos
valor
degradacin
residual
frecuencia
residual
impacto
residual
riesgo
residual
Gestin de riesgos
Proceso
polticas de responsabilidades
dentro de la organizacin.
Indicar normas y procedimientos de actuacin.
Desplegar salvaguardias y controles tcnicos.
Tcnicas generales
Otras
Participantes en el proyecto
Comit de direccin:
Directivos de la organizacin con conocimiento de los
objetivos estratgicos y autoridad para validar y
aprobar cada proceso realizado durante del proyecto.
Responsabilidades:
asignar recursos para la ejecucin del proyecto,
aprobar los resultados finales de cada proceso.
Participantes en el proyecto
Comit de seguimiento:
Responsables de las unidades afectadas por el
proyecto y de servicios comunes de la organizacin
(planificacin, presupuesto, RRHH, etc.).
Responsabilidades:
resolver las incidencias en el desarrollo del proyecto,
asegurar la disponibilidad de recursos humanos con
los perfiles adecuados,
aprobar informes intermedios y finales de cada
proceso,
elaborar informes finales para el comit de direccin.
Participantes en el proyecto
Equipo de proyecto:
Personal experto en tecnologas y sistemas de
informacin y personal tcnico cualificado del dominio
afectado, con conocimientos de gestin de seguridad
y AGR.
Responsabilidades:
llevar a cabo las tareas del proyecto,
recopilar, procesar y consolidar datos,
elaborar los informes.
Participantes en el proyecto
Grupo de interlocutes:
Usuarios representativos de las unidades afectadas
por el proyecto.
Subgrupos:
Responsables de servicio, conscientes de la misin
de la organizacin y sus estrategias a medio y largo
plazo.
Responsables de servicios internos.
Personal de explotacin y operacin de servicios
informticos, conscientes de los medios
desplegados y de las incidencias habituales.
a realizar,
datos de entrada,
datos de salida (productos, documentos),
tcnicas recomendadas,
participantes intervienentes o afectados por el
cumplimiento de las acciones
Proceso P2:
Anlisis de riesgos
Proceso P3:
Gestin de riesgos
P1: Planificacin
Actividad A1.1: Estudio de oportunidad
Tarea T1.1.1: Determinar la oportunidad
Actividad A1.2: Determinacin del alcance del proyecto
Tarea T1.2.1: Objetivos y restricciones generales
Tarea T1.2.2: Determinacin del dominio y lmites
Tarea T1.2.3: Identificacin del entorno
Tarea T1.2.4: Estimacin de dimensiones y coste
Actividad A1.3: Planificacin del proyecto
Tarea T1.3.1: Evaluar cargas y planificar entrevistas
Tarea T1.3.2: Organizar a los participantes
Tarea T1.3.3: Planificar el trabajo
Actividad A1.4: Lanzamiento del proyecto
Tarea T1.4.1: Adaptar los cuestionarios
Tarea T1.4.2: Criterios de evaluacin
Tarea T1.4.3: Recursos necesarios
Tarea T1.4.4: Sensibilizacin
desarrollo
subcontratado
desarrollo
propio
aceptacin
despliegue
operacin
mantenimiento
MTRICA 3
La
versin 3 de la Metodologa de
Planificacin, Desarrollo y Mantenimiento
de sistemas de informacin (MTRICA) fue
creada el ao 2000 por el Ministerio
espaol de Administraciones Pblicas
(MAP).
MTRICA 3 ha tenido en cuenta como
referencia el Modelo de Ciclo de Vida de
Desarrollo de la norma ISO 12207.
Catlogo general de publicaciones oficiales: http://publicaciones.administracion.es/
MTRICA 3
Define las estrategias para desarrollar sistemas de
informacin que logren los fines de la organizacin.
Dota a la organizacin de productos software que
satisfagan las necesidades de los usuarios dando una
mayor importancia al anlisis de requisitos.
Mejora la productividad de los sistemas permitiendo
reutilizacin y capacidad de adaptacin a los cambios.
Facilita la comunicacin entre los participantes en la
produccin de software a lo largo del ciclo de vida del
proyecto, segn su papel y responsabilidad.
Facilita la operacin, mantenimiento y uso de los
productos software obtenidos.
MTRICA 3
MTRICA
Procesos y Subprocesos
Proceso de Planificacin:
PSI Planificacin del sistema de informacin.
Proceso de Desarrollo:
EVS Estudio de viabilidad del sistema.
ASI Anlisis del sistema de informacin.
DSI Diseo del sistema de informacin.
CSI Construccin del sistema de informacin.
IAS Implantacin y aceptacin del sistema.
Proceso de Mantenimiento:
MSI Mantenimiento del sistema de informacin.
Interfaces
Las
METRICA 3 y MAGERIT
La
MTRICA 3 y MAGERIT
Magerit