Universidad Abierta y a Distancia de Mxico

Ingeniera en Telemtica
Seguridad 1
GRUPO TM-KSG1-1403C-001

08 de octubre de 2014

Unidad 1
Actividad 3. Anlisis de riesgo

Luis Eduardo de la Pea Solis

AL12542172
FACILITADOR: JOHANN PREZ FONSECA

Actividad 3. Anlisis de riesgos

De acuerdo al caso propuesto por tu Facilitador(a) debers realizar un anlisis de
riesgos, adems de vincularlo a las polticas de seguridad.

Anlisis de Riesgo
La empresa con giro comercial de caja de ahorro y prstamo, la cual esta estructura de la
siguiente manera:

1. En el rea de TI, cuenta con 2 programadores, un administrador de la base de datos, 1

administrador de la red y servidores, y 1 de soporte tcnico.
2. EL servidor de archivos tiene el sistema operativo Windows server 2008, 45 PCs, 3
laptops, 2 routers, 3 switch, 2 acces point, un enlace a internet.
3. Las 30 PCs cuentan con sistema operativos Windows 7 a 32 bits, Office 2010, y una
aplicacin desarrollada para el control de los clientes, el sistema gestor de la base de datos
es SQL Server.
4. Todos las Pcs y Laptops cuentan con licenciamiento al igual que el office y antivirus
5. Los usuarios tienen acceso a su propio correo asignado, con dominio de la empresa y
acceso a Internet.
6. Se realizan respaldos diarios del sistema de informacin, dependiendo de ltimo que se
retira del departamento de TI.
7. Uno de los programadores desarrolla software para otras compaas con diferente giro
por su propia cuenta.

1. Identifica los pasos a seguir para el anlisis de riesgos.

Como ya conoces cuales son los activos que manejan las empresas, contesta las siguientes
preguntas
1. Que se Busca Proteger?

Fundamentalmente, los activos de una empresa, ya que como nos indica el material de estudio
proporcionado, los riesgos son la estimacin del grado de exposicin de un activo a que una
amenaza se materialice sobre l causando daos a la organizacin. El riesgo indica lo que le puede
pasar a los activos sino se protegen adecuadamente. Las amenazas son los eventos que pueden
desencadenar un incidente produciendo daos materiales o inmateriales en los activos, es decir
toda la proteccin ejercida por un Sistema de Gestin de la Informacin gira alrededor de los
activos de la empresa.

2.

Investiga que son las polticas de seguridad.

Bsicamente son, el establecimiento de las mismas, pero va desde la definicin de las partes que
componen el universo que va a estar regido bajo estas polticas.
Se definir el alcance del proyecto, es decir, se identificarn los procesos de negocio, los recursos
de informacin, los recursos tecnolgicos, y organizativos, las personas clave y las relaciones con
terceros.
La direccin general junto con los empleados de los departamentos involucrados en la
implantacin de las polticas sern los encargados de establecer las mismas
Se tendr que elaborar un documento donde se exponga el compromiso de la Direccin, los
principios bsicos que regirn el Sistema de Gestin de Seguridad as como la definicin de las
responsabilidades.

2. Investiga las estrategias ms adecuadas para definir las polticas de seguridad en una
organizacin.

Primero es importante mencionar porque hay que tener las polticas escritas, la siguiente es una
lista de algunas de estas razones:

Si bien las caractersticas bsicas de la PSI (Poltica de Seguridad Informtica), nos muestran una
perspectiva de las implicaciones en la formulacin de estas directrices, revisemos algunos aspectos
generales recomendados para la formulacin de las mismas.

1. Para cumplir con las regulaciones legales o tcnicas.

2. Como gua para el comportamiento profesional y personal.
3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que
tengan tareas o responsabilidades similares.
4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales
en el trabajo
5. Permite encontrar las mejores prcticas en el trabajo.
6. Permiten asociar la filosofa de u na organizacin al trabajo.

Como cualquier otro proceso administrativo, debe existir alguna estandarizacin y algunos
parmetros para establecer Polticas de Seguridad son:

Considere efectuar un ejercicio de anlisis de riesgos informtico, a travs del cual valore
sus activos, el cual le permitir afinar las PSI de su organizacin.

Involucre a las reas propietarias de los recursos o servicios, pues ellos poseen la
experiencia y son fuente principal para establecer el alcance y las definiciones de
violaciones a la PSI.

Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y

riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.

Recuerde que es necesario identificar quin tiene la autoridad para tomar decisiones, pues
son ellos los interesados en salvaguardar los activos crticos de la funcionalidad de su rea
u organizacin.

Desarrolle un proceso de monitoreo peridico de las directrices en el hacer de la

organizacin, que permita una actualizacin oportuna de las mismas

Un consejo ms, no d por hecho algo que es obvio. Haga explcito y concreto los alcances
y propuestas de seguridad, con el propsito de evitar sorpresas y malos entendidos en el
momento de establecer los mecanismos de seguridad que respondan a las PSI trazadas.

Esto lo podemos resumir en un diagrama de 11 etapas en 4 fases:

3. Relaciona el anlisis con las polticas con base al caso expuesto y redacta un informe

Nuestra empresa de caja de ahorro y prstamo, cuenta con la

siguiente lista de activos:
Personas

2 programadores

1 administrador de la base de datos

1 administrador de la red y servidores

1 de soporte tcnico.

Tecnologa

45 PCs,

3 laptops,

2 routers,

3 switch,

2 acces point,

Un enlace a internet.

Sistema operativo Windows server 2008,

Las PCs con sistema operativos Windows 7 a 32 bits,

Office 2010,

Una aplicacin desarrollada para el control de los clientes,

El sistema gestor de la base de datos es SQL Server.

Antivirus

Legislacin

Todos las Pcs y Laptops cuentan con licenciamiento al igual que el office y el antivirus

Poltica de proteccin de datos

Requisitos para los empleados

Cmo utilizar esta poltica

Esta poltica el comportamiento que se espera de los empleados a la hora de manejar
datos y ofrece una clasificacin de los tipos de datos con los que deben tener especial
cuidado.

Objetivo
La Caja de ahorro y prstamo debe proteger los datos confidenciales, restringidos o delicados para
evitar que posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Tanto la
proteccin de estos datos como la flexibilidad para acceder a ellos y la conservacin de la
productividad son requisitos crticos para la empresa.

EL control tecnolgico de la empresa no est diseado para evitar robos maliciosos o detectar
todos los datos. Su principal objetivo es fomentar la concienciacin de los usuarios para evitar
fugas accidentales. En esta poltica se describen los requisitos para la prevencin de fugas de
datos, las razones para su uso y su finalidad.

Alcance
1. Todos los empleados, contratistas o usuarios con acceso a los datos o a los sistemas de la
caja de ahorro y prstamo.

2. Definicin de los datos protegidos

Informacin de identificacin personal

Datos financieros

Datos restringidos o delicados

Datos confidenciales

Direcciones IP

Poltica: requisitos para los empleados

1.

Realice los cursos de concienciacin sobre seguridad de La Caja de ahorro y prstamo y

compromtase a adherirse a la poltica de la empresa.

2.

Si se encuentra con algn individuo desconocido no autorizado en La caja de ahorro y

prstamo, comunquelo inmediatamente al personal de seguridad.

3.

Las personas que visiten La Caja de ahorro y prstamo deben estar acompaadas por
algn empleado autorizado en todo momento. Si est encargado de acompaar a las
visitas, dirjalas solamente a las zonas adecuadas.

4.

No est permitido hacer referencia a temas o datos delicados y confidenciales en pblico o

a travs de sistemas o canales de comunicacin no controlados por La caja de ahorro y
prstamo. Por ejemplo, est prohibido utilizar sistemas externos de correo electrnico no
alojados por La Caja de ahorro y prstamo para la distribucin de datos.

5.

Mantenga su escritorio organizado. Para conservar la seguridad de la informacin, no deje

ningn dato englobado en esta poltica sin atender encima del escritorio.

6.

Segn la poltica de contraseas, deber utilizar una contrasea segura en todos los
sistemas de La caja de ahorro y prstamo. Dichas credenciales deben ser exclusivas y no
deben utilizarse en otros sistemas o servicios externos.

7.

Al finalizar el contrato, los empleados debern devolver todos los registros (en cualquier
formato) que contengan informacin personal.

8.

Si se produce el extravo de cualquier dispositivo que contenga datos englobados en esta

poltica (por ejemplo, telfonos mviles, porttiles, etc.), informe de inmediato al personal
del departamento de TI.

9.

Si sospecha que algn sistema o proceso no cumple la poltica o pone en peligro la

seguridad de la informacin, tiene el deber de informar al departamento de TI para que se
tomen las medidas necesarias.

10. Si se le ha concedido la capacidad de trabajar de forma remota, tome medidas de

precaucin adicionales para asegurarse de que maneja los datos adecuadamente. Solicite
ayuda al departamento de TI si no est seguro de sus responsabilidades.
11. Asegrese de no exponer de forma excesiva los activos que contengan datos englobados
en esta poltica.

12. Las transferencias de datos dentro de La Caja de ahorro y prstamo deben realizarse
solamente a travs de los mecanismos seguros proporcionados por la empresa. La Caja de
ahorro y prstamo le proporcionar los sistemas o dispositivos correspondientes para tal
fin. No utilice otros mecanismos para el manejo de datos englobados en esta poltica.
13. Toda informacin transferida a cualquier dispositivo mvil (por ejemplo, memorias USB u
ordenadores porttiles) debe estar cifrada de acuerdo con las prcticas recomendadas del
sector, y las leyes y normativas correspondientes. Si tiene alguna duda sobre los requisitos,
solicite ayuda al departamento de TI.

Poltica de proteccin de datos

Prevencin de fugas de datos (datos en
movimiento)
Cmo utilizar esta poltica
Esta poltica tiene como finalidad servir de gua a los empleados de La caja de ahorro y
prstamo para implementar los controles de prevencin de fugas de datos.

Principios fundamentales
La prevencin de fugas de datos est diseada para concienciar a los usuarios sobre la
naturaleza confidencial o las posibles restricciones de los datos que transfieren.

Objetivo
La Caja de ahorro y prstamo debe proteger los datos confidenciales, restringidos o delicados para
evitar que posibles fugas daen el prestigio o afecten de forma negativa a los clientes. Tanto la
proteccin de estos datos como la flexibilidad para acceder a ellos y la conservacin de la
productividad son requisitos crticos para la empresa.

Este control tecnolgico no est diseado para evitar robos maliciosos o detectar todos los datos.
Su principal objetivo es fomentar la concienciacin de los usuarios para evitar fugas accidentales.
En esta poltica se describen los requisitos para la prevencin de fugas de datos, las razones para
su uso y su finalidad.

Alcance
Todos los dispositivos de La Caja de ahorro y prstamo en los que se manejen datos de clientes,
delicados o de la empresa, e informacin de identificacin personal. Todos los dispositivos
utilizados de forma habitual para acceder al correo electrnico e Internet, o realizar otras tareas
relacionadas con el trabajo de los usuarios, y que no estn exentos de forma especfica por
razones tecnolgicas o empresariales justificadas.

Poltica
1. La tecnologa de prevencin de fugas de datos de La Caja de ahorro y prstamo
detecta datos en movimiento.
2. La tecnologa identifica grandes volmenes de datos englobados en la poltica (con
alto riesgo de contener informacin delicada y que pueden provocar graves
consecuencias si se manejan de forma inadecuada). Se consideran grandes
volmenes de datos aquellos que superan los 100 registros. Se consideran datos
englobados en la poltica:
a. Datos de tarjetas de crdito, nmeros de cuentas bancarias y dems
informacin financiera
b. Direcciones de correo electrnico, nombres, direcciones postales y otras
combinaciones de datos de identificacin personal
c. Documentos marcados de forma explcita como informacin confidencial de
La caja de ahorro y prstamo.
d. La prevencin de fugas de datos identifica contenido especfico como, por
ejemplo:
i. Datos de ventas (principalmente, previsiones, listas de renovaciones
y listados de clientes)
ii. Informacin de identificacin personal exportada fuera de los
sistemas controlados
3. La prevencin de fugas de datos se configurar para advertir a los usuarios por
medio de nuestro servicio a mviles cuando se sospeche que estn transfiriendo
datos delicados. Los usuarios podrn autorizar o denegar las transferencias. De esta
forma, los usuarios tienen la oportunidad de tomar las decisiones adecuadas para
proteger los datos sin afectar al funcionamiento de la empresa.
La configuracin de la solucin de prevencin de fugas de datos se modificar segn
el proceso de cambios informticos de La Caja de ahorro y prstamo y bajo la
autorizacin de los encargados de la gestin de la seguridad para identificar los
ajustes necesarios en la poltica de proteccin de la informacin y las
comunicaciones de los empleados.

4. La solucin de prevencin de fugas de datos registrar los incidentes de forma

centralizada para facilitar su revisin. El departamento informtico evaluar los
eventos para identificar los datos que pueden ser delicados, las situaciones en las
que se autoriz su transferencia y los posibles usos inadecuados. El departamento de
recursos humanos recibir notificaciones sobre dichos eventos para ocuparse de
ellos segn los procesos habituales y proteger a los empleados.
5. Si cree que se ha producido una filtracin de datos, siga el procedimiento de gestin
de incidentes informticos e informe al departamento de TI y al departamento de
Recursos Humanos

Bibliografa
Jeimy J. Cano. (2004). Pautas y Recomendaciones para elaborar Polticas de Seguridad Informtica
(PSI). 07 de octubre de 2014, de Universidad de los Andes. Sitio web:
http://www.derechotecnologico.com/estrado/estrado004.html
Patrick D. Howard. (2003). Gua para elaborar polticas. 08 de agosto de 2014, de Universidad
Nacional de Colombia Sitio web:
http://www.dnic.unal.edu.co/docs/guia_para_elaborar_politicas_v1_0.pdf
CORPORACIN AUTNOMA REGIONAL PARA EL DESARROLLO SOSTENIBLE DEL CHOCO. (2011).
POLTICAS DE SEGURIDAD DE LOS RECURSOS INFORMTICOS EN CODECHOCO. 08 de agosto de
2014, de CORPORACIN AUTNOMA REGIONAL PARA EL DESARROLLO SOSTENIBLE DEL CHOCO
Sitio web: http://www.codechoco.gov.co/files/POLITICAS_INFORMATICAS_CODECHOCO.pdf
Gmez Vieites, lvaro. (2011). ENCICLOPEDIA DE LA SEGURIDAD INFORMTICA. 2 EDICIN
ACTUALIZADA. N/E Lugar de publicacin: RA-MA EDITORIAL.