Módulo Proyecto

Unidad 1 / Escenario 2

Proyecto Grupal
Etapas de un plan de comunicación
estratégica

Módulo

Gestión de identidad

Nombre de la entrega

Proyecto módulo gestión de identidad

Nivel académico

Especialización

Tipo de entrega

Estudio de caso
 INSTRUCCIONES PARA
REALIZAR LA ENTREGA

El proyecto puede ser realizado en grupos de estudiantes de acuerdo con lo determinado por
el tutor.

El proyecto se define para ser presentado en tres entregas, sin embargo, frente a dudas
metodológicas en cualquier momento pueden ser solicitadas aclaraciones frente a su
desarrollo.

Para el desarrollo del proyecto se tomará como referencia el caso estudio entregado por el
tutor durante la semana uno del módulo.

POLITÉCNICO GRANCOLOMBIANO
22
 ENTREGA1
SEMANA 3

La entrega uno considera los siguientes puntos a desarrollar:

1. Indicar los mecanismos de identificación que se encuentran en el caso estudio.

Mencione cuales son los problemas que identifica frente a estos mecanismos (si los hay)
y que cambios realizaría para mejorar los procesos de identificación realizados en el caso
estudio.

En las mejoras planteadas debe considerar si aplica adquisiciones, nuevos desarrollos, entre
otros, debe plantear el análisis económico que sustente la mejora que propone, así como el
análisis de tiempos de implementación que puedan ser requeridos.

2. Describir el(los) modelo(s) de control de acceso que identifica en el caso estudio,

presentando en qué situación identifica el modelo de control de acceso (especificar
la parte del caso estudio donde identifica cada modelo) y la justificación de porque lo
clasifica como el modelo de control de acceso que seleccione (esto se refiere a DAC,
MAC, RBAC o BR-RBAC).

Para cada situación donde identifica un modelo de control de acceso, explique las ventajas y
desventajas que identifica de ese modelo que encuentra aplicado en la situación. Si identifica
posibles mejoras en la aplicación del modelo indíquelas igualmente.

3. Realizar la definición de las políticas de control de acceso que considere pertinentes

para responder a los requerimientos de seguridad del caso estudio. La definición de las
políticas debe considerar las tres frases: política de alto nivel, planteamiento de las reglas
(representación formal) y la descripción de la implementación técnica.

POLITÉCNICO GRANCOLOMBIANO
33
 ENTREGA 2
SEMANA 5

La entrega dos considera los siguientes puntos a desarrollar:

1. Proponer un modelo RBAC basado en la información entregada a continuación:

• Haga uso del listado de empleados entregado teniendo en cuenta la actividad que
desarrollan. Si para el desarrollo requiere definir nuevos empleados puede hacerlo.

• Haga uso de los roles definidos y cree otros que considere necesarios para el
desarrollo del punto. Si es necesario modificar alguno de los roles definidos puede
realizarlo indicando las modificaciones que realice.

• Utilice la referencia de los módulos y operaciones definidas para el aplicativo

“MoviRed”. Tenga en cuenta en el momento de plantear el modelo RBAC aplicar
el análisis requerido de segregación de funciones de acuerdo con las operaciones
existentes y la asignación de estas a los roles que utilice.

2. Proponer una matriz de accesos que presente el esquema de roles, recursos (objetos)
y permisos definidos en el modelo RBAC del punto anterior. Puede presentar el punto
como una matriz de accesos, una tabla de autorizaciones, una lista de control de acceso o
una lista de capacidades (el estudiante puede escoger cualquiera de las representaciones
anteriores).

3. Identificar los mecanismos y técnicas de autenticación y autorización utilizados en el

caso estudio. Especifique la parte del caso estudio donde identifica el uso de estos
mecanismos y técnicas. Mencione cuales son los problemas que identifica frente a estos
mecanismos y técnicas (si los hay) y que cambios realizaría para mejorar los procesos de
autenticación y autorización realizados en el caso estudio.

POLITÉCNICO GRANCOLOMBIANO
44
 ENTREGA 3 Y SUSTENTACIÓN
SEMANAS 7 Y 8

La entrega tres considera los siguientes puntos a desarrollar:

1. Proponer los procesos/procedimientos que pueden ser implementado para llevar a

cabo trazabilidad en el caso estudio de acuerdo con situaciones de monitoreo y riesgo
que pueda identificar. Considere la definición metodológica: los recursos requeridos
(herramientas que puedan apoyar el monitoreo, personal para realizar las actividades,
tecnología e infraestructura requerida, entre otros).

En el caso de herramientas, personal adicional, tecnología, infraestructura, indique el

análisis económico que sustente el requerimiento, así como el análisis de tiempos de
implementación que puedan ser requeridos.

2. Realizar el planteamiento de al menos 3 riesgos de seguridad de la información que

identifique en el caso estudio frente a gestión de identidad y control de acceso y para
cada riesgo indique:

a. Descripción de la situación del caso estudio donde se evidencia el riesgo

b. Las vulnerabilidades y amenazas o causas asociadas que dan origen al riesgo

c. Las posibles consecuencias del riesgo identificado

d. Dueño del riesgo que propone explicando porque su propuesta (puede considerar
funcionarios que no estén mencionados en el caso estudio si así lo requiere).

e. Descripción del plan de tratamiento que propone para tratar el riesgo indicando de
que tipo es (Recuerde que el tratamiento puede considerarse como aceptar, eliminar,
mitigar o transferir). Para cada plan considere:

f. Responsable de implementar el plan de tratamiento que propone explicando porque

su propuesta.

POLITÉCNICO GRANCOLOMBIANO
55
 g. Si el plan de tratamiento es de tipo mitigar, indique los siguientes aspectos:

i. Descripción del(los) control(es) que se implementaría para mitigar

ii. Categoría del control: administrativo, técnico o físico (explicando porque define esa
categoría).

iii. Funcionalidad del control: Preventivo, detectivo, correctivo, diasuasivo,

Recuperación, compensatorio. (Explicando porque define esa funcionalidad).

iv. Responsable de ejecución del control que propone explicando porque su propuesta.

v. Responsable de revisión del control que propone explicando porque su propuesta

(para estos responsables también puede plantear funcionarios que no estén
mencionados en el caso estudio si lo requiere).

vi. Frecuencia de ejecución del control propuesta.

vii. Frecuencia de revisión del control propuesta.

3. Considerar que usted es el encargado de realizar una auditoría interna a la empresa del
caso estudio, referente a gestión de identidad y control de acceso. Para ello su criterio
de auditoria (o punto de referencia para realizar la auditoría) es el estándar ISO 27002
considerando los objetivos de control que pueden tener alguna relación con control de
acceso y gestión de identidad. A partir del análisis del caso estudio identifique al menos
3 hallazgos u observaciones de no conformidad con la definición de los controles de
ISO 27002 y preséntelos como puntos de auditoría. Para cada hallazgo u observación
indique:

A. Nombre del hallazgo: a que hace referencia el hallazgo (Ej. Segregación de funciones).

B. Descripción del hallazgo: Descripción de lo que se evidencio como falencia (Ej. La

organización no cuenta con una política definida para la segregación de funciones que rija
como deben ser concedidos los accesos en función de evitar conflictos de interés).

C. Numeral de ISO 27002 referente: Código del control que se asocia con el hallazgo (Ej.
A.6.1.2 Separación de deberes).

POLITÉCNICO GRANCOLOMBIANO
66
 D. Recomendaciones: Indicar que recomendaciones realizaría para dar cubrimiento de
forma correctiva y preventiva (si aplica) para subsanar el hallazgo u observación (Ej.
Establecer una política formal (documentada, aprobada y divulgada) para la segregación
de funciones en la organización).

La sustentación del proyecto será definida de acuerdo con los parámetros del tutor e indicada
durante el desarrollo del módulo a los estudiantes.

POLITÉCNICO GRANCOLOMBIANO
77