ANÁlisis de riesgos universidad francisoc de paula santander




descargar 34.56 Kb.
títuloANÁlisis de riesgos universidad francisoc de paula santander
fecha de publicación02.12.2015
tamaño34.56 Kb.
tipoAula
med.se-todo.com > Documentos > Aula





ANÁLISIS DE RIESGOS UNIVERSIDAD FRANCISOC DE PAULA SANTANDER
Presentado por Erickson Jesús Tirado Goyeneche

0152600

Presentado a

Ing. Jean Polo Cequeda

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER

SEGURIDAD INFORMÁTICA

INGENIERÍA DE SISTEMAS

CÚCUTA

2012

OBJETIVO GENERAL
Desarrollar un Plan de Gestión de Riesgos para la Universidad Francisco de Paula Santander, mediante el uso de la metodología Pilar.

OBJETIVOS ESPECIFICOS


  • Identificar los activos más importantes de la universidad para su funcionamiento.

  • Describir las posibles amenazas que actúan sobre los activos.

  • Analizar las vulnerabilidades que puedan presentarse.

  • Establecer los posibles riesgos potenciales a los que está expuesta la universidad mediante la identificación de amenazas y vulnerabilidades que implementa la metodología Pilar.

  • Determinar los posibles mecanismos utilizados como salvaguardas


UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
ACTIVOS
Personal

Subcontratados o terceros

Personal poco capacitado

Personal no conforme o desmotivado

Instalaciones

Cuarto de Comunicaciones

Salas de Computo

Zona de Planta Eléctrica

Laboratorios (Física, Química, Redes, Telecomunicaciones entre otros)
Equipamiento
Servidores

Redes de cableado para computadores

Antenas microondas

Redes cableado telefónico

Redes de cableado eléctrico

Aplicaciones (web: página de la universidad y derivados; software de escritorio)

Antivirus y cortafuegos desactualizados

Medios Extraíbles

Creación de aplicaciones de baja calidad

METODOLOGÍA PILAR
Fase 1: Establecimiento de objetivos de seguridad:

Definir el alcance del estudio.
La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder implementar sus servicios en un entorno mucho más amplio, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información.
Las políticas de seguridad informática surgen como una herramienta organizacional para concienciar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten a la empresa crecer y mantenerse competitiva, asegurando el buen uso de los recursos informáticos y la información como activos de una organización, manteniéndolos libres de peligros, daños o riesgos.
Este documento de referencia pretende describir a partir de la abstracción de los la Universidad Francisco de Paula Santander; como es el funcionamiento de la empresa y el desarrollo de cada uno de los procesos, desde el punto de vista de la Seguridad Informática; enfocándonos principalmente en la participación de los recursos, tanto físicos como tecnológicos, que en conjunto con la infraestructura física, deben proporcionar seguridad de la información, reconociendo a la misma como un activo fundamental para el desarrollo y sostenimiento de la empresa.


Identificar y evaluar los activos físicos que forman parte del sistema.
Los activos son aquellos recursos (hardware/software), que tiene y explota una empresa.


  • Centros de datos

  • Servidores

  • Equipos de escritorio

  • Equipos móviles

  • PDA

  • Teléfonos móviles

  • Enrutadores

  • Conmutadores de red

  • Equipos de fax

  • PBX

  • Medios extraíbles (por ejemplo, cintas, disquetes, CD-ROM, DVD, discos duros portátiles, Dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.)

  • Fuentes de alimentación

  • Sistemas de alimentación ininterrumpida

  • Sistemas contra incendios

  • Sistemas de aire acondicionado


Identificar y evaluar los activos de software que forman parte del

Sistema.


  • Software de aplicación de servidor

  • Software de aplicación de usuario final

  • Herramientas de desarrollo

  • Sistema de Información Financiero SIF

  • Sistema de Información Académico

  • Sitios Web internos

Fase 2: Evaluación de riesgos:

Identificar y valorar el tipo y nivel de las amenazas que pueden afectar al sistema.

Se conoce como Amenaza al evento accidental o provocado, que puede ocasionar daño o pérdida de recursos. Pueden ser de Origen (Amenazas naturales, de agentes externos y/o internos) o de intencionalidad (Accidentes, errores, actuaciones malintencionadas).

La división de sistemas de la Universidad Francisco de Paula Santander, día a día está expuesta a estos tipos de amenazas, dentro de las cuales encontramos:

Origen:

Amenazas Naturales: Ocasionando la pérdida total o parcial de la Infraestructura de ésta división:

  • Terremotos.

  • Inundaciones.

  • Incendios.

  • Explosión.


Amenazas de Agentes Externos: Provienen de agentes externos a la división de sistemas, pueden causar graves pérdidas de información, tiempo, e incluso dinero.

  • Virus informáticos, gusanos, caballos de Troya.

  • Intrusos en la red (Accesos de Usuarios no permitidos).

  • Pérdida o Robo de la información.

  • Conflictos Sociales.

  • Fallas eléctricas.

  • Robo de equipos usado para el manejo de la información.


Amenazas de Agentes Internos: Provienen de agentes internos a la división de sistemas, éstas son mucho más costosas, debido a que el infractor tiene mayor acceso a la información.

  • Descuido por parte de los empleados.

  • Uso indebido del Acceso a Internet por parte de los empleados.

  • Errores en la utilización de herramientas y recursos del sistema.

  • Conflictos entre empleados de la empresa que pongan en riesgo la confidencialidad de la información.


Intencionalidad:

Accidentes:

  • Daño del Hardware utilizado dentro de la división de sistemas ( equipos, servidores, cableado).

Incendio o inundación provocados ya sea por el personal de la división, algún daño en el Hardware o por un agente externo.

Errores:

  • Fallas dentro de alguno de los sistemas de información.

  • Falla de Servidores.

  • Desgaste o daño permanente del Hardware.

  • Software desactualizado.

  • Ejecución defectuosa de procedimientos.


Actuaciones Malintencionadas:

  • Actividades fraudulentas por parte de los empleados de la empresa con el fin de obtener algún beneficio económico o social.

  • Fuga de información a través del personal que ingresa de manera temporal en sustitución de empleados en vacaciones.

Valorar las vulnerabilidades de los sistemas ante las amenazas identificadas.
Una vulnerabilidad es una debilidad que puede ser aprovechada por una amenaza y ocasionar pérdidas. Pueden presentarse a nivel de diseño, implementación, y/o uso del sistema o los sistemas de información dentro de la División de Sistemas.
Diseño

  • Diseño deficiente del cableado estructurado.

  • Mala configuración en las bases de datos.

  • Debilidad en el diseño de protocolos utilizados en las redes.

  • Políticas de seguridad insuficiente o inexistente.

Implementación

  • Errores de programación.

  • Existencia de “BackDoors” en los sistemas informáticos.



  • Descuido de los fabricantes.

Uso

  • Fallas en los sistemas.

  • Pérdida de medios.

  • Mala configuración de los sistemas informáticos.

  • Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.

  • Compatibilidad.

  • Recalentamiento de dispositivos.

  • Deficiencia en alguno de los equipos o servidores.


Fase 3: Identificación y selección de salvaguardas.
Las contramedidas deben ser apropiadas a la naturaleza del riesgo, deben aplicarse en el momento adecuado, y deben ser lo suficientemente flexibles para adaptarse a la situación.

1. Mecanismos de identificación y autenticación

Físicos:

  • Solicitud del documento de identidad que lo identifica como miembro adscrito a la dependencia.

  • Implementación de un Lector de Código de Barras que certifique que el usuario realmente se encuentra activo en el sistema.

  • Actualización permanente de los datos.


Tecnológicos:

  • La forma habitual de autorizar una persona es por medio de un identificador de usuario y una clave, y asociando a este usuario una serie de permisos . Por ello, es de vital importancia que estos usuarios y sus claves sean custodiados de forma adecuada.

  • La intención de la tecnología de huella digital es identificar de manera precisa y única a una persona por medio de su huella digital. Certificando la autenticidad de las personas de manera única e inconfundible por medio de un dispositivo electrónico que captura la huella digital y de un programa que realiza la verificación.


2. Mecanismos de control de acceso
Físicos:

  • La implementación de Bitácoras de Acceso por parte del personal de Vigilancia, con el fin de garantizar de que los ingresos a las áreas restringidas, sea sólo por personal autorizado.

  • Instalación de cámaras de Seguridad en las entradas y en los puntos críticos, donde se creería que se requiere mayor vigilancia.

Virtuales:

  • Los dos tipos más importantes de sistemas de detección de intrusos son los basados en red y los basados en host:

• Basados en red: Estos detectores son aplicaciones que están conectadas a la red interna de la empresa y analizan todo el tráfico detectando anomalías que puedan indicar que hay intrusos. La ventaja de estos sistemas es que sirven para todos los equipos de una red, aunque si el tráfico de la red está cifrado no suele ser muy eficientes.

• Basados en host: Estos detectores están instalados en la misma máquina a proteger y analizan un comportamiento anómalo en el equipo. Estos sistemas suelen ser más eficientes aunque tienen el inconveniente de tener que instalarse en cada ordenador a proteger

  • La función fundamental de un cortafuegos es la de limitar y controlar el tránsito de información entre una red externa (por ejemplo Internet) de una red interna (la Intranet).

Las funciones de un cortafuego son varias:

• Permite bloquear el acceso a determinadas páginas de Internet (por ejemplo, algunas de uso interno de una empresa).

• Monitorizar las comunicaciones entre la red interna y externa.

• Controlar el acceso a determinado servicios externos desde dentro de una empresa (por ejemplo, puede evitar que los empleados de una empresa usen Internet para descargarse ficheros).
3. Mecanismos de separación


  • Garantizar la persistencia de los datos, mediante la ejecución periódica de copias de seguridad o backups con el fin de salvaguardar la información.



4. Mecanismos de seguridad en las comunicaciones


  • Realizar un mantenimiento periódico a la planta física, y a la infraestructura tecnológica, con el fin de mejorar la funcionalidad de los procesos institucionales.

  • La criptografía es una disciplina muy antigua cuyo objeto es la de ocultar la información a personas no deseadas.

  • Practicar la protección de la información cuando viaja por la red mediante la implementación de protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por la red.

similar:

ANÁlisis de riesgos universidad francisoc de paula santander iconUniversidad francisco de paula santander

ANÁlisis de riesgos universidad francisoc de paula santander iconUniversidad francisco de paula santander

ANÁlisis de riesgos universidad francisoc de paula santander iconUniversidad francisco de paula santander

ANÁlisis de riesgos universidad francisoc de paula santander iconUniversidad francisco de paula santander

ANÁlisis de riesgos universidad francisoc de paula santander iconUniversidad francisco de paula santander

ANÁlisis de riesgos universidad francisoc de paula santander iconUniversidad francisco de paula santander facultad de educacion artes y humanidades

ANÁlisis de riesgos universidad francisoc de paula santander iconUniversidad francisco de paula santander facultad de educacion artes y humanidades

ANÁlisis de riesgos universidad francisoc de paula santander iconAnalisis plan ordenamiento territorial municipio concepcion, santander

ANÁlisis de riesgos universidad francisoc de paula santander iconUniversidad industrial de santander

ANÁlisis de riesgos universidad francisoc de paula santander iconUniversidad de santander udes


Medicina



Todos los derechos reservados. Copyright © 2015
contactos
med.se-todo.com