INSTITUTO TECNOLGICO

DE TUXTEPEC
METODOLOGIA SCRAMM APLICADA
AL CENTRO DE CMPUTO DEL
INSTITUTO TECNOLOGICO DE
TUXTEPEC
UNIDAD II
Alumnos:

Andrs Antonio Pavn

Jos Vctor Carrera Castro
Feliciano Gonzalo Alejandro
Ricardo Vzquez Pavn
Jess Duque Arzate
Alejandro Santos Sandoval

Catedrtico:
M.C. Mara luisa acosta sanjun
Materia: Auditora en Seguridad Informtica

Semestre: 7to

TUXTEPEC, OAX. A 14 DE NOVIEMBRE DEL 201

INTRODUCCION
Se entiende por seguridad informtica al conjunto de normas, procedimientos y herramientas,
que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de
la informacin que reside en una organizacin.
Mediante una auditora realizada al Centro de Cmputo del Instituto Tecnolgico de Tuxtepec,
se busca establecer las posibles amenazas que ponen en riesgo los activos informticos en esta
dependencia, empleando la metodologa Cramm, aplicando los conocimientos obtenidos
previamente en la investigacin de dicha metodologa.

OBJETIVO GENERAL
Desarrollar un Plan de Gestin de Riesgos para el Centro de Cmputo del Instituto Tecnolgico
de Tuxtepec, mediante el uso de la metodologa Cramm.

OBJETIVOS ESPECIFICOS

Identificar los activos que hacen parte del Centro de Cmputo, y por lo tanto son
importantes para su funcionamiento.
Describir las posibles amenazas que actan sobre los activos.
Analizar las posibles vulnerabilidades que puedan presentarse.
Establecer los posibles riesgos potenciales a los que est expuesto el Centro de
Cmputo del Instituto Tecnolgico de Tuxtepec mediante la identificacin de amenazas y
vulnerabilidades que implementa la metodologa Cramm
Determinar los posibles mecanismos utilizados como salvaguardas.

INSTITUTO TECNOLOGICO DE TUXTEPEC: CENTRO DE CMPUTO

El Centro de Cmputo es un departamento del Instituto Tecnolgico de Tuxtepec, cuyo objetivo

es el de prestar servicios tales como el uso de los laboratorios destinados a la enseanza de
distintas materias que se relacionen con el uso de equipos informticos.

Objetivo
Brindar una adecuada asistencia y asesora tcnica para que se optimice el uso de recursos
tecnolgicos tanto de hardware como de software.
Mantener en buen funcionamiento los servidores, equipos de cmputo y comunicacin y software
en el Instituto Tecnolgico de Tuxtepec.

Funciones

Planear, coordinar, controlar y evaluar las actividades de desarrollo de sistemas y

servicios de cmputo.
Elaborar el programa operativo anual y el anteproyecto de presupuesto del Centro de
Cmputo y presentarlos a la Subdireccin de Servicios Administrativos, para lo
conducente.
Aplicar la estructura orgnica autorizada para el Centro de Cmputo y los procedimientos
establecidos.
Organizar, coordinar y controlar los servicios de almacenamiento, captura y explotacin
de informacin del Instituto Tecnolgico de Tuxtepec.
Establecer y mantener actualizados los sistemas de captacin, validacin y explotacin
de informacin del Instituto Tecnolgico de Tuxtepec.
Coordinar el anlisis, diseo y programacin de sistemas de los procesos aprobados.
Controlar la operacin y mantenimiento del equipo de cmputo, as como la
infraestructura del Centro de Cmputo.
Realizar estudios de factibilidad para la seleccin de equipo y servicio de cmputo, a fin
de mantenerlos actualizados en el Instituto Tecnolgico de Tuxtepec.

METODOLOGA CRAMM
La metodologa CRAMM define tres fases para la realizacin del anlisis de riesgos:
Fase 1: Establecimiento de objetivos de seguridad:
Definir el alcance del estudio.
La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y nuevas
plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de redes, ha
abierto nuevos horizontes a las empresas para mejorar su productividad y poder implementar
sus servicios en un entorno mucho ms amplio, lo cual lgicamente ha trado consigo, la aparicin
de nuevas amenazas para los sistemas de informacin.
Las polticas de seguridad informtica surgen como una herramienta organizacional para
concienciar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la
informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva,
asegurando el buen uso de los recursos informticos y la informacin como activos de una
organizacin, mantenindolos libres de peligros, daos o riesgos.

Identificar y evaluar los activos fsicos que forman parte del sistema.
Los activos son aquellos recursos (hardware/software), que tiene y explota una organizacin.

Centros de datos
Servidores
Equipos de escritorio
Equipos mviles
PDA
Telfonos mviles
Enrutadores
Conmutadores de red
Equipos de fax
PBX
Medios extrables (por ejemplo, cintas, disquetes, CD-ROM, DVD, discos duros porttiles,
Dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.)
Fuentes de alimentacin
Sistemas de alimentacin ininterrumpida
Sistemas contra incendios

Sistemas de aire acondicionado

Identificar y evaluar los activos de software que forman parte del

Sistema.

Software de aplicacin de servidor

Software de aplicacin de usuario final
Herramientas de desarrollo
Sistema de Informacin Acadmico
Sitios Web internos

Fase 2: Evaluacin de riesgos:

Identificar y valorar el tipo y nivel de las amenazas que pueden afectar al sistema.
Se conoce como Amenaza al evento accidental o provocado, que puede ocasionar dao o
prdida de recursos. Pueden ser de Origen (Amenazas naturales, de agentes externos y/o
internos) o de intencionalidad (Accidentes, errores, actuaciones malintencionadas).
El Centro de Cmputo del Instituto Tecnolgico de Tuxtepec, da a da est expuesta a estos
tipos de amenazas, dentro de las cuales encontramos:
Origen:
Amenazas Naturales: Ocasionando la prdida total o parcial de la Infraestructura de sta divisin:
Terremotos.
Inundaciones.
Incendios.
Explosin.
Amenazas de Agentes Externos: Provienen de agentes externos al Centro de Cmputo pueden
causar graves prdidas de informacin, tiempo, e incluso dinero.
Virus informticos, gusanos, caballos de Troya.
Intrusos en la red (Accesos de Usuarios no permitidos).
Prdida o Robo de la informacin.
Conflictos Sociales.
Fallas elctricas.
Robo de equipos usado para el manejo de la informacin.

Amenazas de Agentes Internos: Provienen de agentes internos al Centro de Cmputo, stas son
mucho ms costosas, debido a que el infractor tiene mayor acceso a la informacin.
Descuido por parte de encargados.
Uso indebido del Acceso a Internet por parte de los alumnos.
Errores en la utilizacin de herramientas y recursos del sistema.
Conflictos entre empleados del Centro de Cmputo que pongan en riesgo la
confidencialidad de la informacin.
Intencionalidad:
Accidentes:
Dao del Hardware utilizado dentro del Centro de Cmputo (equipos, servidores,
cableado).
Incendio o inundacin provocados ya sea por el personal del Centro de Cmputo, algn
dao en el Hardware o por un agente externo.

Errores:
Fallas dentro de alguno de los sistemas de informacin.
Falla de Servidores.
Desgaste o dao permanente del Hardware.
Software desactualizado.
Ejecucin defectuosa de procedimientos.
Actuaciones Malintencionadas:
Actividades fraudulentas por parte de los empleados del Centro de Cmputo con el fin de
obtener algn beneficio econmico o social.
Fuga de informacin a travs del personal que ingresa de manera temporal en sustitucin
de empleados por discapacidad laboral.

Valorar las vulnerabilidades de los sistemas ante las amenazas identificadas.

Una vulnerabilidad es una debilidad que puede ser aprovechada por una amenaza y ocasionar
prdidas. Pueden presentarse a nivel de diseo, implementacin, y/o uso del sistema o los
sistemas de informacin dentro del Centro de Cmputo.
Diseo
Diseo deficiente del cableado estructurado.
Mala configuracin en las bases de datos.
Debilidad en el diseo de protocolos utilizados en las redes.
Polticas de seguridad insuficiente o inexistente.
Implementacin
Errores de programacin.
Existencia de BackDoors en los sistemas informticos.


Uso

Descuido de los fabricantes.

Fallas en los sistemas.
Prdida de medios.
Mala configuracin de los sistemas informticos.
Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de
informtica.
Compatibilidad.
Recalentamiento de dispositivos.
Deficiencia en alguno de los equipos o servidores.
Condiciones ambientales no aptas para el uso de los sistemas.

Los tipos de Vulnerabilidades ms conocidos a nivel del sistema son:

Vulnerabilidad de desbordamiento de buffer: Si algunos de los programas no controla la

cantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepase
la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria
adyacentes.

Vulnerabilidad de condicin de carrera (race condition): Si varios procesos acceden al

mismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Es
el caso tpico de una variable, que cambia su estado y puede obtener de esta forma un
valor no esperado.

Vulnerabilidad de Cross Site Scripting (XSS): Es una vulnerabilidad de las aplicaciones

web, que permite inyectar cdigo VBSript o JavaScript en pginas web vistas por el
usuario. El phishing es una aplicacin de esta vulnerabilidad. En el phishing la vctima
cree que est accediendo a una URL (la ve en la barra de direcciones), pero en realidad
est accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este
sitio las estar enviando a un lugar incorrecto.

Vulnerabilidad de denegacin del servicio: La denegacin de servicio hace que un servicio

o recurso no est disponible para los usuarios. Suele provocar la prdida de la
conectividad de la red por el consumo del ancho de banda de la red de la vctima o
sobrecarga de los recursos informticos del sistema de la vctima.

Vulnerabilidad de ventanas engaosas (Window Spoofing): Las ventanas engaosas son

las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo nico que
quieren es que el usuario de informacin. Hay otro tipo de ventanas que si las sigues
obtienen datos del ordenador para luego realizar un ataque.

Combinar las valoraciones de amenazas y vulnerabilidades para calcular la medida de los

riesgos.
Un riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad,
causando un determinado impacto en la organizacin. Luego de un anlisis detallado de las
posibles amenazas y vulnerabilidades, obtenemos que los posibles riesgos son los siguientes:

Corrupcin de la informacin. Modificacin o eliminacin de datos existentes en las bases

de datos y creacin de nueva informacin falsa y errnea.
Prdida de informacin debido a fallos en los dispositivos de almacenamiento que ocurren
por factores ambientales, mal manejo de las herramientas, desgaste por el tiempo de
vida.
Acceso a informacin Confidencial. Los usuarios de los sistemas de informacin del
Centro de Cmputo, tanto trabajadores de este como estudiantes, tienen acceso a
informacin especfica de acuerdo a las necesidades de cada uno.
El correcto funcionamiento de los computadores, servidores y dems equipos se pueden
ver afectados por la infeccin de virus informticos como troyanos, gusanos, bombas
lgicas, hoax, joke, entre otros, robando as informacin, alterando el sistema del
hardware, dando control a usuarios externos de controlar los equipos principales y siendo
molestos para las actividades normales.

Fase 3: Identificacin y seleccin de contramedidas.

Las contramedidas deben ser apropiadas a la naturaleza del riesgo, deben aplicarse en el
momento adecuado, y deben ser lo suficientemente flexibles para adaptarse a la situacin.
1. Mecanismos de identificacin y autenticacin
Fsicos:
Solicitud del documento de identidad que lo identifica como personal o alumno del
Instituto Tecnolgico de Tuxtepec.
Actualizacin permanente de los datos.
Tecnolgicos:
La forma habitual de autorizar una persona es por medio de un identificador de usuario
y una clave, y asociando a este usuario una serie de permisos . Por ello, es de vital
importancia que estos usuarios y sus claves sean custodiados de forma adecuada.

2. Mecanismos de control de acceso

Fsicos:
La implementacin de Bitcoras de Acceso por parte del personal de Vigilancia, con
el fin de garantizar de que los ingresos a las reas restringidas, sea slo por personal
autorizado.
Instalacin de cmaras de Seguridad en las entradas y en los puntos crticos, donde se
creera que se requiere mayor vigilancia.
Virtuales:
Los dos tipos ms importantes de sistemas de deteccin de intrusos son los basados en
red y los basados en host:
Basados en red: Estos detectores son aplicaciones que estn conectadas a la
red interna de la empresa y analizan todo el trfico detectando anomalas que
puedan indicar que hay intrusos. La ventaja de estos sistemas es que sirven para
todos los equipos de una red, aunque si el trfico de la red est cifrado no suele
ser muy eficientes.
Basados en host: Estos detectores estn instalados en la misma mquina a
proteger y analizan un comportamiento anmalo en el equipo. Estos sistemas
suelen ser ms eficientes aunque tienen el inconveniente de tener que instalarse
en cada ordenador a proteger
La funcin fundamental de un cortafuegos es la de limitar y controlar el trnsito de
informacin entre una red externa (por ejemplo Internet) de una red interna (la Intranet).
Las funciones de un cortafuego son varias:
Permite bloquear el acceso a determinadas pginas de Internet (por ejemplo, algunas
de uso interno de una empresa).
Monitorizar las comunicaciones entre la red interna y externa.
Controlar el acceso a determinado servicios externos desde dentro de una empresa (por
ejemplo, puede evitar que los empleados de una empresa usen Internet para
descargarse ficheros).
3. Mecanismos de separacin

Garantizar la persistencia de los datos, mediante la ejecucin peridica de copias de

seguridad o backups con el fin de salvaguardar la informacin.

4. Mecanismos de seguridad en las comunicaciones

Realizar un mantenimiento peridico a la planta fsica, y a la infraestructura

tecnolgica, con el fin de mejorar la funcionalidad de los procesos
institucionales.
La criptografa es una disciplina muy antigua cuyo objeto es la de ocultar la informacin
a personas no deseadas.

Ttulo:
PROCEDIMIENTO DE AUDITORA INTERNA

Cdigo:
ITTUX-MEJ-PR-01

Anexo:
A

Versin:
02

Pgina:
11/12

Practicar la proteccin de la informacin cuando viaja por la red mediante la

implementacin de protocolos seguros, tipo SSH o Kerberos, que cifran el trfico por la
red.

ANEXO A

PERFIL DEL PUESTO DEL AUDITOR INTERNO

Depende de:
Funcin general
Funciones especificas

Requisitos mnimos de
puesto

No aplica
Planear, preparar y realizar las Auditorias internas
1. Planear y preparar la Auditoria.
2. Comunicar y establecer los requisitos de la auditoria.
3. Dirigir el proceso de auditoria en el periodo planificado
4. Verificar que el SGC o el SGSI, es conforme con las
disposiciones planificadas en la norma con los requisitos del
SGC o el SGSI, segn corresponda.
5. Verificar que el SGC o el SGSI implementado se mantiene de
manera eficaz.
6. Planear y realizar las actividades y atribuciones de sus
responsabilidades efectiva y eficientemente.
7. Informar al rea auditada los hallazgos obtenidos durante el
proceso.
8. Documentar las observaciones.
9. Redactar las no conformidades encontradas del SGC o del
SGSI en la SAC.
10. Elaborar y presentar el informe de auditora.
Ttulo Profesional Universitario.
Curso de Auditor Interno ISO 27001.
Deseable Formacin del Auditor ISO 27001
Experiencia profesional mnima de tres aos en ejecucin de
auditoras de sistemas de gestin de calidad o de sistemas
de gestin de seguridad de la informacin.
Habilidades
Comunicacin efectiva
Verstil
Mentalidad abierta
Perceptivo

Integridad y
comportamiento tico
Liderazgo

Decidido

Observador

Respeto y trabajo en equipo

Tenaz

Organizacin y planificacin

Seguro de s mismo

Diplomtico

ANEXO B
Ttulo:
PROCEDIMIENTO DE AUDITORAS INTERNAS

Cdigo:
ITTUX-MEJ-PR-03

Anexo:
B

Versin:
00

Pgina:
12/12

EVALUACION DEL AUDITOR INTERNO

Instituto Tecnologico de
Tuxtepec
Evaluado
:
Evaluado
r:

Fecha:
Norma de referencia:

CRITERIOS DE
EVALUACION

MUY
BASTANTE
SATISFACTO SATISFACTO
RIO
RIO
CONOCIMIENTO Y DESEMPEO COMO AUDITOR
1
2
3
4
5
6
7
8
9

POCO
SATISFACTO
RIO

conocimiento de la norma iso 27001-2013, segun corresponda

conocimiento de la norma iso 27001-2013, segun corresponda
Haber completado y aprobado el curso de informacion de auditores,
corespondiente
Experiencia como auditor interno
Desempeo satisfactorio en auditoria(s) previa(s)
Haber realizado inducciones y cursos al personal respect al SGC o al
SGSI, segun correponda.
Haber realizado las auditorias en el period programado
CONOCIMIENTO Y DESEMPEO GENERAL
conocimiento de los procesos de la organizacion
Conocimientos de los objetivos, alcanse y criterios de la auditoria

NADA
SATISFACTORI
O

10

Conocimiento de la documentacion del SGC o del SGSI, segun

corresponda
11
Experiencia laboral en la organizacion (minimo seis (6) meses)
12
Desempeo general en la organizacion
HABILIDADES DEL AUTOR
13
Comunicacion efectiva (informa y se informa de los demas )
14
Mentalidad abierta (dispuesto a considerar ideas alternativas)
15
Perceptivo (cosciente y capaz de entender las situaciones)
16
Decidido (alcanza conclusions oportunas basadas en el analisis y
razonamientos logicos )
17
Respect y trabajo en equipo (actua y colabora efectivamente con los
demas )
18
Organizacion y planificacion (organiza y dispone de las cosas
logrando fluidez en sus actividades)
19
Diplomatico (contacto en las relaciones con las personas )
20
Versatile (se adapta facilmente a diferentes situaciones)
21
Integridad y comportamiento etico (imparcial, sincere, honesto y
discreto)
22
Liderasgo (capacidad para dirigir un grupo)
23
Observador (consciente del entorno fisico y las actividades)
24
Tenaz (persistente, orientado hacia el logro de los objetivos)
25
Seguro de si mismo(actua en forma independiente)
CRITERIOS DE CALIFICACION
RESUMEN
CALIFICATIVO
PORCENTAJE
CONOCIMIENTO Y DESEMPEO COMO AUDITOR
0.00 muy satisfactorio
>4 - 5
CONOCIMIENTO Y DESEMPEO GENERAL
0.00 bastante
>3 4
satisfactorio
HABILIDADES DEL AUDITOR
0.00
satisfactorio
>2 3
RESULTADO*
Poco satisfactorio
>1 2
<1
0-00 Nada satisfactorio
OBSERVACIONES / ACCIONES A TOMAR