Академический Документы
Профессиональный Документы
Культура Документы
DE TUXTEPEC
METODOLOGIA SCRAMM APLICADA
AL CENTRO DE CMPUTO DEL
INSTITUTO TECNOLOGICO DE
TUXTEPEC
UNIDAD II
Alumnos:
Catedrtico:
M.C. Mara luisa acosta sanjun
Materia: Auditora en Seguridad Informtica
Semestre: 7to
INTRODUCCION
Se entiende por seguridad informtica al conjunto de normas, procedimientos y herramientas,
que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de
la informacin que reside en una organizacin.
Mediante una auditora realizada al Centro de Cmputo del Instituto Tecnolgico de Tuxtepec,
se busca establecer las posibles amenazas que ponen en riesgo los activos informticos en esta
dependencia, empleando la metodologa Cramm, aplicando los conocimientos obtenidos
previamente en la investigacin de dicha metodologa.
OBJETIVO GENERAL
Desarrollar un Plan de Gestin de Riesgos para el Centro de Cmputo del Instituto Tecnolgico
de Tuxtepec, mediante el uso de la metodologa Cramm.
OBJETIVOS ESPECIFICOS
Identificar los activos que hacen parte del Centro de Cmputo, y por lo tanto son
importantes para su funcionamiento.
Describir las posibles amenazas que actan sobre los activos.
Analizar las posibles vulnerabilidades que puedan presentarse.
Establecer los posibles riesgos potenciales a los que est expuesto el Centro de
Cmputo del Instituto Tecnolgico de Tuxtepec mediante la identificacin de amenazas y
vulnerabilidades que implementa la metodologa Cramm
Determinar los posibles mecanismos utilizados como salvaguardas.
Objetivo
Brindar una adecuada asistencia y asesora tcnica para que se optimice el uso de recursos
tecnolgicos tanto de hardware como de software.
Mantener en buen funcionamiento los servidores, equipos de cmputo y comunicacin y software
en el Instituto Tecnolgico de Tuxtepec.
Funciones
METODOLOGA CRAMM
La metodologa CRAMM define tres fases para la realizacin del anlisis de riesgos:
Fase 1: Establecimiento de objetivos de seguridad:
Definir el alcance del estudio.
La seguridad informtica ha tomado gran auge, debido a las cambiantes condiciones y nuevas
plataformas tecnolgicas disponibles. La posibilidad de interconectarse a travs de redes, ha
abierto nuevos horizontes a las empresas para mejorar su productividad y poder implementar
sus servicios en un entorno mucho ms amplio, lo cual lgicamente ha trado consigo, la aparicin
de nuevas amenazas para los sistemas de informacin.
Las polticas de seguridad informtica surgen como una herramienta organizacional para
concienciar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la
informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva,
asegurando el buen uso de los recursos informticos y la informacin como activos de una
organizacin, mantenindolos libres de peligros, daos o riesgos.
Identificar y evaluar los activos fsicos que forman parte del sistema.
Los activos son aquellos recursos (hardware/software), que tiene y explota una organizacin.
Centros de datos
Servidores
Equipos de escritorio
Equipos mviles
PDA
Telfonos mviles
Enrutadores
Conmutadores de red
Equipos de fax
PBX
Medios extrables (por ejemplo, cintas, disquetes, CD-ROM, DVD, discos duros porttiles,
Dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.)
Fuentes de alimentacin
Sistemas de alimentacin ininterrumpida
Sistemas contra incendios
Amenazas de Agentes Internos: Provienen de agentes internos al Centro de Cmputo, stas son
mucho ms costosas, debido a que el infractor tiene mayor acceso a la informacin.
Descuido por parte de encargados.
Uso indebido del Acceso a Internet por parte de los alumnos.
Errores en la utilizacin de herramientas y recursos del sistema.
Conflictos entre empleados del Centro de Cmputo que pongan en riesgo la
confidencialidad de la informacin.
Intencionalidad:
Accidentes:
Dao del Hardware utilizado dentro del Centro de Cmputo (equipos, servidores,
cableado).
Incendio o inundacin provocados ya sea por el personal del Centro de Cmputo, algn
dao en el Hardware o por un agente externo.
Errores:
Fallas dentro de alguno de los sistemas de informacin.
Falla de Servidores.
Desgaste o dao permanente del Hardware.
Software desactualizado.
Ejecucin defectuosa de procedimientos.
Actuaciones Malintencionadas:
Actividades fraudulentas por parte de los empleados del Centro de Cmputo con el fin de
obtener algn beneficio econmico o social.
Fuga de informacin a travs del personal que ingresa de manera temporal en sustitucin
de empleados por discapacidad laboral.
Uso
Ttulo:
PROCEDIMIENTO DE AUDITORA INTERNA
Cdigo:
ITTUX-MEJ-PR-01
Anexo:
A
Versin:
02
Pgina:
11/12
ANEXO A
Depende de:
Funcin general
Funciones especificas
Requisitos mnimos de
puesto
No aplica
Planear, preparar y realizar las Auditorias internas
1. Planear y preparar la Auditoria.
2. Comunicar y establecer los requisitos de la auditoria.
3. Dirigir el proceso de auditoria en el periodo planificado
4. Verificar que el SGC o el SGSI, es conforme con las
disposiciones planificadas en la norma con los requisitos del
SGC o el SGSI, segn corresponda.
5. Verificar que el SGC o el SGSI implementado se mantiene de
manera eficaz.
6. Planear y realizar las actividades y atribuciones de sus
responsabilidades efectiva y eficientemente.
7. Informar al rea auditada los hallazgos obtenidos durante el
proceso.
8. Documentar las observaciones.
9. Redactar las no conformidades encontradas del SGC o del
SGSI en la SAC.
10. Elaborar y presentar el informe de auditora.
Ttulo Profesional Universitario.
Curso de Auditor Interno ISO 27001.
Deseable Formacin del Auditor ISO 27001
Experiencia profesional mnima de tres aos en ejecucin de
auditoras de sistemas de gestin de calidad o de sistemas
de gestin de seguridad de la informacin.
Habilidades
Comunicacin efectiva
Verstil
Mentalidad abierta
Perceptivo
Integridad y
comportamiento tico
Liderazgo
Decidido
Observador
Tenaz
Organizacin y planificacin
Seguro de s mismo
Diplomtico
ANEXO B
Ttulo:
PROCEDIMIENTO DE AUDITORAS INTERNAS
Cdigo:
ITTUX-MEJ-PR-03
Anexo:
B
Versin:
00
Pgina:
12/12
Instituto Tecnologico de
Tuxtepec
Evaluado
:
Evaluado
r:
Fecha:
Norma de referencia:
CRITERIOS DE
EVALUACION
MUY
BASTANTE
SATISFACTO SATISFACTO
RIO
RIO
CONOCIMIENTO Y DESEMPEO COMO AUDITOR
1
2
3
4
5
6
7
8
9
POCO
SATISFACTO
RIO
NADA
SATISFACTORI
O
10