Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMÁTICA
PRESENTADO A:
CHRISTIAN REYNALDO ANGULO
PRESENTADO POR:
LAURA CATALINA ESPAÑA LOPEZ
JACK DENNIS QUINTERO
CARLOS ANTONIO GARZON
SANDRA PATRICIA HERNANDEZ
SANDRA PAOLA MOLINA
1. INTRODUCCIÓN.........................................................................................................4
2. OBJETIVOS...................................................................................................................5
2.1 GENERAL........................................................................................................5
2.2 ESPECÍFICOS.................................................................................................5
3 PLANTEAMIENTO DEL PROBLEMA............................................................................6
3.1 FORMULACION DEL PROBLEMA..................................................................6
4. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA...............................................6
4.1 SITUACIÓN ACTUAL DE LA UNIVERSIDAD NACIONAL ABIERTA Y A
DISTANCIA............................................................................................................6
5 DIAGNOSTICO INTERNO Y EXTERNO (MARGERIT).................................................8
6 OBJETIVOS ESTRATÉGICOS DE LA COMPAÑÍA.....................................................27
7 DEFINICIÓN DEL MODELO DE SEGURIDAD INFORMÁTICA..................................28
8 CONCLUSIONES.........................................................................................................38
9. BIBLIOGRAFÍA............................................................................................................39
RESUMEN
2.1 GENERAL
2.2 ESPECÍFICOS
Historia
Misión
Visión
Ubicación Geográfica
Estructura Organizacional
1. Activos
Activos esenciales:
Activos relevantes:
[D] Datos:
Buckups
Políticas de seguridad de contraseñas
A. [S] Servicios:
Correo Institucional
Página Web: https://www.unad.edu.co/
Administrador de identidades
Campus virtual
B. [SW] Aplicaciones informáticas:
Bases de datos.
Ofimática
Antivirus
Sistemas operativos
Control de acceso
C. [HW] Equipos informáticos:
Firewall
Servidores
Ordenadores Portátiles
Ordenadores de sobremesa
Impresoras
Router
Escáner
Switch
UPS
D. [COM] Redes de comunicaciones:
LAN
Red inalámbrica
VPN
Cableado de red
Gabinete centro de red
E. [AUX] Equipamiento auxiliar:
Fuente de energía
Sistema de alimentación interrumpida
Rcak
F. [Media] Soportes de información:
Discos duros externos
USB
DVD
G. [P] Personal
Parte administrativa
Parte operacional
Estudiantes
H. [L] Instalaciones
Sedes administrativas
CEAD
CCAV
UDR
Valoración de activos
Valor Criterio
10 Extremo Daño
extremadamente
grave
9 Muy alto Daño muy grave
6-8 Alto Daño grabe
3-5 Medio Daño importante
1-2 Bajo Daño menor
0 Despreciable Irrelevante a efectos
prácticos
Fuente: Datos obtenido del Magerit V3 libro 2 Catalogo de elementos
Dimensiones:
[D] disponibilidad
[I] integridad de los datos
[C] confidencialidad de los datos
[A] autenticidad de los usuarios y de la información
[T] trazabilidad del servicio y de los datos
[D] Datos
Activo Dimensión de seguridad
[D] [I] [C] [A] [T]
Buckups 3
Políticas de seguridad de 2 2
contraseñas
[S] Servicios
Activo Dimensión de seguridad
[D] [I [C] [A [T]
] ]
Página web 3
Administrador 5 2 2 5
de
identidades
Campus 5 3 3 3 5
virtual
[SW] Software
Activo Dimensión de seguridad
[D [I [C [A] [T]
] ] ]
Base de 6 6 6 6
datos
Ofimática 1
Antivirus 8
Sistemas 4 6
operativos
Control de 5 5
acceso
[HW] hardware
Activo Dimensión de seguridad
[D] [I [C] [A [T]
] ]
Firewall 8
Servidores 4 6 6
Ordenadores 2
portátiles
Ordenadores 2
de
sobremesa
Impresoras 2
Router 4 6
Escáner 2
Switch 6 8
UPS 3
[COM] Comunicaciones
Activo Dimensión de seguridad
[D] [I [C] [A [T]
] ]
LAN 2
VPN 4
Red 2
inalámbrica
Cableado de 2
red
Gabinete 2
centro de red
Rack 4
Fuente de energía 4
Sistema de alimentación 4
interrumpida
[P] Personal
Activo Dimensión de seguridad
[D] [I] [C] [A] [T]
Administrativa 5 5
Operacional 5 5
Estudiantes 5
[L] Instalaciones
Activo Dimensión de seguridad
[D] [I] [C] [A] [T]
Sedes 5 5
administrativas
CEAD 5 5
CCAV 5 5
UDR 5 5
[R] Redes
Activo Dimensión de seguridad
[D] [I] [C] [A] [T]
VLAN 8 8
VPN 8 8
Cableado de Red 7 7
Gabinete de centro 8 8
de red
Jerarquía de dependencias
Frecuencia anual
1. Daños naturales
[L] Instalaciones
AMENAZA Probabilidad Frecuencia Dimensiones
Por agua MB B [D]
Por fuego MB B
[MEDIA] Soporte de
información
AMENAZA Probabilidad Frecuencia Dimensiones
Por agua MB B [D]
Por fuego B B
2. De origen industrial
[L] Instalaciones
AMENAZA Probabilidad Frecuencia Dimensiones
Por agua MB B [D]
Por fuego MB B
Emanaciones MB B
electromagnéticas
[MEDIA] Soportes de
información
AMENAZA Probabilidad Frecuencia Dimensiones
Por agua MB B [D]
Por fuego MB B
Contaminación mecánica MB B
Contaminación MB B
electromagnética
Deterioro de origen físico o M B
lógico
Degradación de los soportes MB B
de almacenamiento de la
información
Condiciones inadecuadas de B B
temperatura o humedad
Corte del suministro eléctrico B B
[SW] Aplicaciones
informáticas
AMENAZA Probabilidad Frecuencia Dimensiones
Deterioro de origen físico o MB B [D]
lógico
[COM] Redes de
comunicaciones
AMENAZA Probabilidad Frecuencia Dimensiones
Fallo de servicios de MB B [D]
comunicaciones
3. Error y fallos no intencionados
[D] Datos
AMENAZA Probabilidad Frecuencia Dimensiones
Error de los usuarios M M [D]
Error del administrador B B [C]
Cambio accidental de la M B [I]
información
Destrucción de información MB B
Fugas de información MB B
[S] Servicios
AMENAZA Probabilidad Frecuencia Dimensiones
Error de los usuarios MB B [D]
Error del administrador MB B [C]
Error de [re-]encaminamiento MB B [I]
Error de secuencia MB B
Cambio accidental de la M B
información
Destrucción de información MB B
Fugas de información MB B
Caída del sistema por MB B
agotamiento de recursos
[SW] Aplicaciones
informáticas
AMENAZA Probabilidad Frecuencia Dimensiones
Error de los usuarios MB B [D]
Error del administrador MB B [C]
Error de [re-]encaminamiento MB B [I]
Error de secuencia MB B
Cambio accidental de la M B
información
Destrucción de información MB B
Fugas de información MB B
Difusión de software dañino MB B
Vulnerabilidades de los M B
programas (software)
Error de mantenimiento / M B
actualización de programas
(software)
[MEDIA] Soportes de
formación
AMENAZA Probabilidad Frecuencia Dimensiones
Error de los usuarios MB B [D]
Error del administrador MB B [C]
[I]
Cambio accidental de la M B
información
Destrucción de información MB B
Fugas de información MB B
Difusión de software dañino MB B
Error de mantenimiento / M B
actualización de equipos
(hardware)
Pérdida de equipos MB B
[COM] Redes de
comunicaciones
AMENAZA Probabilidad Frecuencia Dimensiones
Error del administrador MB B [D]
[C]
Cambio accidental de la M B [I]
información
Destrucción de información MB B
Fugas de información MB B
Error de secuencia MB B
Error de [re-]encaminamiento M B
Caída del sistema por MB B
agotamiento de recursos
[L] Instalaciones
AMENAZA Probabilidad Frecuencia Dimensiones
Cambio accidental de la MB B [D]
información [C]
Destrucción de información MB B [I]
Fugas de información MB B
[P] Personal
AMENAZA Probabilidad Frecuencia Dimensiones
Deficiencias en la MB B [D]
organización
4. Ataques intencionados
[D] Datos
AMENAZA Probabilidad Frecuencia Dimensiones
Suplantación de la identidad M M [D]
del usuario [C]
Abuso de privilegios de B B [I]
acceso
Acceso no autorizado M B
Modificación deliberada de la MB B
información
Destrucción de información MB B
Divulgación de información MB B
[S] Servicios
AMENAZA Probabilidad Frecuencia Dimensiones
Suplantación de la identidad M M [D]
del usuario [C]
Abuso de privilegios de B B [I]
acceso
Uso no previsto M B
[Re-]encaminamiento de MB B
mensajes
Cambio de secuencia MB B
Acceso no autorizado MB B
Repudio M B
Modificación deliberada de la MB B
información
Destrucción de información M B
Divulgación de información MB B
Denegación de servicio M B
[SW] Aplicaciones
informáticas
AMENAZA Probabilidad Frecuencia Dimensiones
Suplantación de la identidad M M [D]
del usuario [C]
Abuso de privilegios de B B [I]
acceso
Uso no previsto M B
Difusión de software dañino MB B
Cambio de secuencia MB B
Acceso no autorizado MB B
Manipulación de programas M B
Modificación deliberada de la MB B
información
Destrucción de información M B
Divulgación de información MB B
[COM] Redes de
comunicación
AMENAZA Probabilidad Frecuencia Dimensiones
Suplantación de la identidad M M [D]
del usuario [C]
Abuso de privilegios de B B [I]
acceso
Uso no previsto M B
[Re-]encaminamiento de MB B
mensajes
Cambio de secuencia MB B
Acceso no autorizado MB B
Análisis de tráfico MB B
Interceptación de información MB B
(escucha)
Denegación de servicio M B
Modificación deliberada de la MB B
información
Divulgación de información MB B
[L] Instalaciones
AMENAZA Probabilidad Frecuencia Dimensiones
Modificación deliberada de la B B [D]
información [C]
Uso no previsto M B [I]
Destrucción de información M B
Acceso no autorizado M B
Manipulación de los equipos M B
Ataque destructivo MB B
3. Análisis de riesgos
Valoración Cuantitativa
M Apreciable 10 a 15
B Bajo 5a9
MB Despreciable 1a4
CRITICO 25 25 25 25 25 25
Servicios
[S]
APRECI
ABLE 15 20 25 4 9 15
Hardware Software
[SW]
APRECI
ABLE 20 25 4 9 15 15
[HW]
APRECI
ABLE 25 4 9 15 20 15
Comunica[COM]
APRECI
ABLE 4 9 15 20 25 15
ciones
auxiliarEquipo
[AUX]
APRECI
ABLE 9 15 20 25 4 15
Personal Soportes
[Media]
APRECI
ABLE 15 20 25 4 9 15
información
de
APRECIA
[P]
BLE 20 25 4 9 15 15
[R]Redes Instalaciones
[L]
APRECIA
BLE 25 4 9 15 20 15
APRECIA
BLE 4 9 15 20 25 15
Zero Trust es una iniciativa estratégica que ayuda a prevenir violaciones de datos
exitosas al eliminar el concepto de confianza de la arquitectura de red de una
organización. Arraigado en el principio de "nunca confíe, siempre verifique", Zero
Trust está diseñado para proteger los entornos digitales modernos al aprovechar
la segmentación de la red, evitar el movimiento lateral, proporcionar prevención de
amenazas de capa 7 y simplificar el control granular de acceso de usuarios.
John Kindervag creó Zero Trust, durante su mandato como vicepresidente y
analista principal de Forrester Research, basándose en la constatación de que los
modelos de seguridad tradicionales operan con el supuesto anticuado de que todo
dentro de la red de una organización debe ser confiable. Bajo este modelo de
confianza roto, se supone que la identidad de un usuario no se ve comprometida y
que todos los usuarios actúan de manera responsable y se puede confiar en ellos.
El modelo Zero Trust reconoce que la confianza es una vulnerabilidad. Una vez en
la red, los usuarios, incluidos los actores de amenazas y los intrusos maliciosos,
son libres de moverse lateralmente y acceder o extraer cualquier información a la
que no estén limitados. Recuerde, el punto de infiltración de un ataque a menudo
no es la ubicación del objetivo.
Zero Trust no depende de una ubicación. Los usuarios, los dispositivos y las
cargas de trabajo de las aplicaciones están ahora en todas partes, por lo que no
puede aplicar Zero Trust en una ubicación: debe proliferar en todo su entorno. Los
usuarios correctos deben tener acceso a las aplicaciones y datos correctos.
Los usuarios también acceden a aplicaciones críticas y cargas de trabajo desde
cualquier lugar: hogar, cafeterías, oficinas y sucursales pequeñas. Zero Trust
requiere visibilidad, cumplimiento y control consistentes que se pueden entregar
directamente en el dispositivo o a través de la nube. Un perímetro definido por
software proporciona acceso seguro al usuario y evita la pérdida de datos,
independientemente de dónde se encuentren los usuarios, qué dispositivos se
usen o dónde se alojen sus cargas de trabajo y datos (es decir, centros de datos,
nubes públicas o aplicaciones SaaS).
Las cargas de trabajo son muy dinámicas y se mueven a través de múltiples
centros de datos y nubes públicas, privadas e híbridas. Con Zero Trust, debe tener
una visibilidad profunda de la actividad y las interdependencias entre usuarios,
dispositivos, redes, aplicaciones y datos. Las puertas de enlace de segmentación
monitorean el tráfico, detienen las amenazas y aplican el acceso granular a través
del tráfico norte-sur y este-oeste dentro de su centro de datos local y entornos de
múltiples nubes.
El entorno creativo a Zero Trust, que consiste en una superficie de protección que
contiene un solo elemento DAAS protegido por un microperímetro aplicado en la
capa 7 con la política del método Kipling por una puerta de enlace de
segmentación, es un proceso simple e iterativo en el que puede repetir un
elemento de superficie / DAAS protegido en un momento.
Para la construcción de la arquitectura Zero Trust para el acceso seguro a las
aplicaciones en un entorno virtual, se valida el proceso prescriptivo, probando las
aplicaciones una a una y reduciendo su perfil de riesgo de migración. Para ellos se
validan varias fases a implementar.
Controles generales
Nombre Observaciones
Uso aceptable de El correcto manejo de los activos debe ser edificado, documentado
los activos e implementado con reglas y normas para el uso aceptable de
información y del correcto manejo de la información de esos
activos.
8 CONCLUSIONES
Realizar la adaptación de modelos de seguridad informática, nos da un panorama
más avanzado de los principios y políticas que se deben implementar en las
diferentes aplicaciones y activos de una empresa, donde se deben realizar análisis
sobre las características de la misma para garantizar que los requerimientos
organizacionales apliquen al modelo requerido para la valoración o diagnóstico de
seguridad interno y externo de la organización aplicándolos a los activos de la
empresa en todas sus áreas, brindando un enfoque global de procesos en cada
uno de los modelos para el diagnóstico e implementación de los mismos, dando a
conocer algunos que en donde los más relevantes son Modelos de defensa en
profundidad, Modelo de defensa en amplitud, Modelo MSPI y el Modelo Zero
Trust. Con ello se asegura la fiabilidad, estabilidad, disponibilidad y óptimo
rendimiento en las aplicaciones de las organizaciones, en nuestro caso conocer de
manera clara la infraestructura y modelos aplicados a la UNAD.
9. BIBLIOGRAFÍA
Universidad Nacional Abierta y a Distacia. (s.f.). Obtenido de Reseña histórica:
https://informacion.unad.edu.co/transparencia-y-acceso-a-la-informacion/acerca-
de-la-unad/resena-historica
Modelo para el gobierno de las TIC basado en las normas ISO. (2012). España:
AENOR - Asociación Española de Normalización y Certificación. Páginas (29 -39)
Recuperado de http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action?
ppg=1&docID=10637138&tm=1456691942576