Академический Документы
Профессиональный Документы
Культура Документы
AUTORA
IRMA YESABETH CUEVA BELTRN
070490336-8
CARATULA
AUTORA:
Yo, Cueva Beltrn Irma Yesabeth, como autora del presente trabajo probatorio del
componente prctico del Examen de Grado de Carcter Complexivo, soy responsable
de las ideas, conceptos, procedimientos y resultados vertidos en el mismo.
f.
Cueva Beltrn Irma Yesabeth
C.I.: 070490336-8
Correo electrnico: yesabeth_cueva@hotmail.com
FRONTISPICIO
II
RESUMEN
La importancia de una buena gestin de Tecnologas de la Informacion es relevante en
actualidad ms aun en las instituciones educativas, el presente informe permite realizar
un anlisis de los riesgos tecnolgicos a los que estaran expuestos el departamento
de sistemas del Colegio e Instituto Tecnolgico Superior Jos Miguel Capelo y la
institucin en general, a travs de la elaboracin del plan de riesgos se lograr
cuantificar y comparar los requerimientos de seguridad de la informacion y en base a
las diferencias encontradas definir los controles y adiciones necesarios para cumplir
estos requerimientos, para el desarrollado de este proyecto se ha definido una
metodologa que guiar y alinear la caracterizacin, identificacin y anlisis de los
riesgos; la metodologa definida es la NIST SP 800-30, desarrollada por el National
Institute of Standards and Technology, misma que tiene entre sus principales objetivos
el aseguramiento de los sistemas de informacin que almacenan, procesan y trasmiten
informacin. La gestin de riesgos es considerada como un proceso el cual incluye el
anlisis y la priorizacin de riesgos, con el objetivo de tener una visin de todos los
riesgos y amenazas a los que estara expuesto el departamento de sistemas de la
institucin, adems se determinara que riesgos pueden ser o no gestionados. El
propsito de este anlisis es determinar si existe un entorno que brinde seguridad y
confiabilidad para los equipos de la institucin, as como tambin proyectar planes de
mitigacin de riesgos con el cual se podr transformar entornos informticos que no
son seguros en protegidos. Se deber analizar exhaustivamente cada una las
situaciones en donde podran ocurrir estos eventos para as lograr desarrollar un buen
plan del tratamiento de los riesgos el cual pueda alcanzar a controlar y porque no evitar
que se susciten hechos que afecten a la institucin.
Palabras Claves: Riesgo, Metodologas de Anlisis de Riesgos, NIST SP 800-30,
Vulnerabilidades, Seguridad.
III
ABSTRACT
The importance of good management of information technology is even more relevant
today in educational institutions, this report allows an analysis of the technological risks
to be exposed to the IT department of the College and Institute Technological Superior
"Jose Miguel Capelo "and the institution in general, through the development of the risk
plan will be achieved quantify and compare the security requirements of information and
based on the differences and additions define the controls needed to meet these
requirements for the developed this project has defined a methodology to guide and
align the characterization, identification and analysis of risks; the methodology defined
is the NIST SP 800-30, developed by the National Institute of Standards and
Technology, it has among its main objectives the securing of information systems that
store, process and transmit information. Risk management is considered as a process
which includes the analysis and prioritization of risks, in order to have a vision of all
risks and threats that they would be exposed systems department of the institution, and
it is determined that Risks can be managed or not. The purpose of this analysis is to
determine if there is an environment that provides safety and reliability for the
equipment of the institution as well as to project risk mitigation plans with which you can
transform computing environments that are unsafe in protected. It should thoroughly
analyze each situation in which these events could occur in order to achieve a good
plan to develop risk treatment which can achieve control and why not prevent events
affecting the institution may arise.
IV
NDICE DE CONTENIDOS
CARTULA ..................................................................................................................... I
FRONTISPICIO .............................................................................................................. II
RESUMEN .................................................................................................................... III
ABSTRACT .................................................................................................................. IV
1.
2.
INTRODUCCIN ..................................................................................................... 1
1.1.
1.2.
Problema ........................................................................................................... 2
1.3.
DESARROLLO ........................................................................................................ 3
2.1.
2.3.
Resultados ........................................................................................................ 8
3.
CONCLUSIONES .................................................................................................. 10
4.
5.
ANEXOS................................................................................................................ 12
NDICE DE TABLAS
VI
NDICE DE FIGURAS
VII
1. INTRODUCCIN
Estas situaciones que se suscitan de manera inadvertida son conocidas como riesgos,
este se constituye como una falta de conocimiento sobre futuros acontecimientos y se
pueden definir como Posibilidad de que existan consecuencias indeseables o
inconvenientes de un acontecimiento relacionado con el acceso o uso de la tecnologa
y cuya aparicin no se puede determinar a priori. (4).
Es trascendental indicar que no todos los riesgos tienen la misma importancia, por ello
existe la caracterizacin del mismo, en donde se evaluar el impacto y la mayor
ocurrencia en los que se puedan suscitar. Este proceso se lo puede llevar a cabo
utilizando mapas bidimensionales de impactos y probabilidades, estos permiten la toma
de decisiones en relacin a los riesgos en los que se debe tomar mayor precaucin.
Para el diseo de un plan para el tratamiento de riesgos de tecnologas de informacin
es indispensable trabajar con una metodologa la cual presentar sus lineamientos en
donde enfrascaremos nuestra planificacin. Entre las metodologas ms idneas para
el desarrollo de estas planificaciones se encuentran: CMMI, SPICE, PMBOK, COBIT y
la NIST SP 800-30, la cul es considerada entre una de las mejores debido a respuesta
inmediata a los impactos sobre los objetivos del proyecto, fue desarrollada por el NIST,
y debemos destacar que esta compuesta de 9 pasos bsicos para el anlisis de riesgos
entre los que tenemos: caracterizacin, del sistema, identificacin de amenaza,
identificacin de vulnerabilidades, control de anlisis, determinacin de la probabilidad,
anlisis de impacto, determinacin del riesgo, recomendaciones de control y resultado
de la implementacin o documentacin(4)
1.1. Marco Contextual
El desarrollo del plan para el tratamiento de riesgos de tecnologas de informacin ser
orientado al departamento de sistemas del Colegio e Instituto Tecnolgico Superior
Jos Miguel Capelo ubicado en el cantn Machala, provincia de El Oro, actualmente
el Departamento de Sistemas cuenta con cuatro reas que son: Gestin de
Tecnologas de Informacin, Soporte a usuarios, Administracin de red y
Mantenimiento de hardware y software, entre las principales razones que se tomaron
en cuenta para elaborar un plan para el tratamiento de riesgos de tecnologas es
debido a sus antecedentes de los cuales se puede destacar que principalmente no
existen inventarios de hardware y software, existen falencias con el acceso al servicio
de internet debido a su lentitud, teniendo inconvenientes de internet en donde se tienen
interrupciones de hasta 3 horas por da, adems la nica poltica de seguridad de la
informacin que poseen es copia de una poltica de seguridad de otra institucin
educativa, y este proceso fue realizado solo con el fin de cumplir con un requisito del
Ministerio de Educacin ya que se les solicitaba para habilitarles el acceso a la
aplicacin de gestin acadmica, adems esta poltica solo incluye aspectos generales
de seguridad para uso de software, resultado de ello no poseen polticas internas que
permitan manejar, controlar o disminuir el impacto de eventos que lleguen a suscitarse
y afectar los equipos de hardware del departamento de sistema y la institucin en
general.
1.2. Problema
El tratamiento de riesgos tecnolgicos mediante la implementacin de la metodologa
NIST SP 800-30, garantizar la seguridad de la informacin en el Colegio e Instituto
Tecnolgico Superior Jos Miguel Capelo?
2
Marco Terico
2.1.1. Riesgo
Es la probabilidad de que una amenaza se convierta en un desastre. Las
vulnerabilidades o las amenazas por separado no representan factores de peligro,
pero si estas se acopian se convierten en un riesgo. (5)
2.1.2. Gestin de Riesgo
La Gestin de Riesgos consiste en un proceso cclico que se inicia a partir de un
conjunto de informacin recogida de diversas fuentes (requisitos, personas,
procesos de desarrollo, presupuestos, expectativas). Toda esta informacin
proporciona una lista de riesgos a tener en cuenta. El proceso de Gestin de
Riesgos los analiza, prioriza y plantea planes de respuesta, dando como resultado
el conjunto de riesgos priorizados, los planes de respuesta a dichos riesgos y un
conjunto de indicadores que se utilizarn para medir el xito del proceso, y en su
caso, mejorarlo (6)
Por su parte el autor Galaway (2004) define la Gestin de riesgos de un proyecto
como el arte y la ciencia de identificar, analizar, y responder a los riesgos a lo largo
de la vida de un proyecto, con el propsito de lograr los objetivos del proyecto.
2.1.3. Metodologas de gestin de riesgos
Existen metodologas que permiten hacer un uso adecuado del anlisis de riesgos y
as asegurar los sistemas de informacin de las organizaciones. Entre las
principales tenemos: OCTAVE, MEHARI, MAGERIT,CRAMM, EBIOS, NIST SP
800-30. En la tabla 1 se hace referencia a las fases que componen cada una de las
metodologas mencionadas anteriormente.
Tabla 1. Fases de las metodologas para el anlisis de riesgos
METODOLOGAS
FASES
Caracterizacin del sistema
Identificacin de amenazas
Identificacin de vulnerabilidades
Anlisis de controles
Determinacin de la probabilidad
3
1A
1B
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Tabla 1. Continua
Anlisis de impacto
Determinacin del riesgo
Recomendaciones de control
Documentacin de resultados
Establecimiento de parmetros
Necesidades de Seguridad
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Marco Metodolgico
Encontrado
Parcialmente
No
encontrado
X
X
X
X
X
X
X
X
X
X
X
Cantidad
90
2
5
3
1
7
1
1
Fuente de
Amenaza
Prdida del
personal
Hackers, cracker
Usuarios finales y
personal docente o
administrativo no
capacitado
Administracin
incorrecta del
sistema
Acciones de la amenaza
Falta de polticas de
seguridad
Polticas para el
sistema de red
Ausencia de licencias
de software
Fallas del proveedor
de Internet
Vulnerabilidad
Una vez que hemos analizado las amenazas humanas, tcnicas y vulnerabilidades
debemos hacer un anlisis de los controles tcnicos y no tcnicos que existen
institucin.
6
Probabilidad
de
ocurrencia
Alta
Medio
Principio de
seguridad
afectado
Disponibilidad
Nivel de
atencin
del riesgo
Medio
Media
Alto
Disponibilidad
Medio
Alta
Medio
Disponibilidad
Medio
Media
Alto
Disponibilidad
Medio
Alta
Medio
Disponibilidad
Medio
Medio
Medio
Disponibilidad
Medio
Medio
Medio
Disponibilidad
Medio
Bajo
Alta
Integridad
Bajo
Alto
Alto
Disponibilidad
Alto
Bajo
Medio
Integridad
Bajo
Media
Medio
Confidencialidad
Medio
Media
Medio
Disponibilidad
Medio
Alta
Bajo
Integridad
Bajo
Bajo
Medio
Confidencialidad
Bajo
Impacto
2.3. Resultados
Una vez que se ha analizado y evaluado, las amenazas, y el riesgos que tiene cada
vulnerabilidad, como resultado de este anlisis se ha elaborado un plan para el
tratamiento de riesgos de tecnologas de informacion para el departamento de sistemas
del Colegio e Instituto Tecnolgico Superior Jos Miguel Capelo ubicado en el cantn
Machala.
A continuacin se realizado el listado de las vulnerabilidades detectadas, en relacin al
riesgo, a las mismas que se sugiere uno o varios controles los cuales permitirn reducir
la posibilidad de ocurrencia de estos riesgos.
Tabla 9. Controles recomendados, con relacin al anlisis de riesgos.
Nivel de impacto de
Vulnerabilidad
Control sugerido
riesgo
Red inalmbrica abierta
Alto
Hotspot
Cifrado de Red
Falta de control en la Inventario de gestin de
Alto
administracin de IP
redes.
Inexistencia de polticas Preparacin de polticas de
Alto
de uso de red
uso de red.
Falta de control de los Elaborar filtro de contenidos,
datos que se descarguen
Alto
Firewall.
a travs de la red
Inexistencia de respaldo Elaborar
Alto
polticas
de
de la informacin.
respaldo.
Inexistencia de reglas de Elaborar
Alto
polticas
de
autentificacin
de
contrasea.
usuarios
Concientizacin en temas de
seguridad.
Fallas por parte del Emitir comunicados a la
Alto
proveedor de internet
secretaria
de
rectorado
acerca de los problemas de
internet suscitados.
Abuso de las conexiones Elaborar polticas de uso de
Alto
de red
red
Inexistencia de polticas Disear
Alto
polticas
de
de uso de hardware
hardware
Uso
de
contraseas Elaborar
Alto
polticas
para
dbiles
contraseas,
Capacitacin a usuarios
finales sobre temas de
seguridad.
Uso
de
contraseas Elaborar
polticas
de
repetidas en distintos
Alto
contrasea.
equipos de computo
Concientizacin en temas
de seguridad.
No existe mantenimiento Disear
plan
de
de
las
instalaciones
Alto
mantenimientos preventivos
elctricas.
para
las
estaciones
elctricas
Robo de informacin
Medio
Elaborar
polticas
de
confidencialidad
8
Utilizacin de versiones
de aplicaciones obsoletas
Personal no capacitado
en temas de seguridad
Falta de mantenimiento
preventivo en equipos de
cmputo
Cableado de red expuesto
Inexistencia de reglas
visitas de sitios web con
software malicioso
Descarga de archivos
ejecutables de sitios web
no seguros
Inexistencia de licencias
de antivirus
Daos de hardware por
alzas y bajas elctricas
Fugas
y
robo
de
informacin
Inexistencia de polticas
para
mantener
la
integridad de los equipos
Utilizacin de software sin
actualizacin
Daos en la configuracin
de los equipos por falta de
mantenimiento.
Mal manejo y uso del
hardware
Desastres
naturales
dentro de la institucin
Polticas hardening
Medio
Elaborar
planes
de
mantenimiento preventivo.
Elaborar planes de periodos
de renovacin de hardware.
Elaborar
planes
de
actualizaciones
para
aplicaciones ms utilizadas
en la institucin
Concientizar al personal de
recibir capacitacin del buen
uso y manejo de las TICs
Elaborar
planes
para
mantenimiento preventivo de
computadoras
Cableado estructura
Capacitacin
a
usuarios
finales.
Gestor de contenidos.
Capacitacin
a
usuarios
finales.
Gestor de contenidos.
Evaluacin y adquisicin de
licencias de antivirus
Implementacin de UPS
Medio
Establecer
polticas
de
confidencial
Establecer
polticas
de
integridad para los equipos.
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Disear
planes
de
actualizaciones de software
para equipos de la institucin
Elaboracin de planes para
mantenimiento preventivo
Medio
Capacitacin a todo el
personal
docente,
administrativo y de servicio
de la institucin.
Elaborar
planes
de
prevencin para desastres
naturales
Bajo
Bajo
Medio
3. CONCLUSIONES
El desarrollo del plan para el tratamiento de riesgos de tecnologas de informacin
a travs de la metodologa NIST SP 800-30 presenta la oportunidad de entender
los conceptos definidos en relacin a la gestin de riesgos.
Debido a la constante evolucin de la tecnologas de informacin tambin
evolucionan nuevas amenazas que son ms difciles de detectar y contrarrestarlas,
estas amenazas pueden arremeter en contra de las organizaciones pblicas y
privadas de tal modo que afectarn las actividades diarias y causarn prdidas
considerables, mediante la gestin de los riesgos tecnolgicos podemos mitigar las
posibles amenazas a las que se encuentran expuestas ests organizaciones.
Se realiz el anlisis y la evaluacin de las vulnerabilidades y amenazas que se
suscitan en la institucin educativa.
El objetivo de disear un plan para el tratamiento de riesgos de tecnologas es
crear conciencia en el personal docente y administrativo sobre la seguridad
informtica para poder prevenir riesgos y disear estrategias con el fin de asegurar
la informacin y brindar un ambiente seguro para los equipos de hardware de la
Institucin Educativa
El diseo de este plan controlar considerablemente la ocurrencia de incidentes.
El tratamiento de riesgos tecnolgicos es un proceso continuo que se debe realizar
al menos una vez al ao.
Finalmente, es necesario enfatizar que independientemente el mbito en que se
encuentre una organizacin necesita tener una plan para el tratamiento de riesgos,
en muchas organizaciones e instituciones tomar medidas preventivas suelen pasar
por desapercibidas pero aplicar este tipo de gestiones radicar formidablemente la
disminucin de prdidas y perjuicios.
10
4. REFERENCIAS BIBLIOGRFICAS
1. Arencibia MG. Biblioteca Virtual. [Online].; 2006 [cited 2015 Octubre 12. Available
from: http://www.eumed.net/libros-gratis/2006a/mga-01/2b.htm.
2. Enrique Surez y Anna Pappagallo. Introduction of
Comunication. Revista Omnia. 2008;: p. 111-129.
the
Information
and
from:
11
5. ANEXOS
12
13
14
15
16
17
18