Trabajo de Seguridad _SGSI

UNIVERSIDAD NACIONAL DE SAN CRISTBAL DE HUAMANGA

FACULTAD DE INGENIERA DE MINAS, GEOLOGA Y CIVIL

ESCUELA DE FORMACIN PROFESIONAL DE INGENIERA DE SISTEMAS

PRIMER TRABAJO DE LABORATORIOIMPLEMENTACIN DEL SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN DE LA OFICINA DE ADMISION DE LA UNSCH .

INTEGRANTES: CISNEROS SUMARI, Gaude Yunfer. QUISPE GAMBOA, Keber. RAMOS HUAMAN, Roger Frank. YUPARI GLVEZ, Sherelly Yedizza.

CURSO:SEGURIDAD INFORMTICA

SIGLA:IS 444

FECHA:18-08-2014

DOCENTE:Prof. Carlos Vila QuispeAYACUCHO - PER2014INTRODUCCION

Un Sistema de Gestin de la Seguridad de la informacin, es una forma sistemtica de administrar la informacin sensible de una institucin, para que permanezca segura. Abarca a las personas, los procesos y las tecnologas de informacin. La forma total de la Seguridad de la Informacin, y la integracin de diferentes iniciativas de seguridad necesitan ser administradas para que cada elemento sea completamente efectivo. Aqu es donde entra el SGSI que permite coordinar esfuerzos de seguridad con mayor efectividad.La oficina de admisin es la encargada de llevar a cabo los procesos de admisin en dos periodos durante un ao lectivo, el cual conlleva una alta responsabilidad con la informacin que se maneja durante el proceso.(mas info)

CAPITULO ISITUACION ACTUAL DE LA UNIVERSIDAD NACIONAL SAN CRISTOBAL DE HUAMANGA1.1 DELIMITACION DEL ALCANCELa UNSCH actualmente cuenta con diversas reas en las cuales se disponen de activos valiosos. Una de las reas en las que hay informacin confidencial est en custodia de la Oficina de Admisin de la Universidad Nacional de San Cristbal de Huamanga.La oficina de Admisin es la encargada de llevar a cabo todo el proceso de Admisin que se lleva acabo 2 veces al ao, de manera eficaz y objetiva.1.1.1 ANTECEDENTES DE LA EMPRESA1.1.2 MISIONLa Universidad Nacional de San Cristbal de Huamanga es una institucin acadmica con tradicin e identidad que genera, promueve y difunde conocimientos, tecnologa y cultura. Forma profesionales con capacidad creativa, innovadora y liderazgo, basados en principios ticos y valores para el desarrollo sostenible y el bienestar de la sociedad.1.1.3 VISIONUniversidad moderna con tradicin, liderazgo y excelencia acadmica; comprometida con el desarrollo humano.

1.1.4 DIAGRAMA ORGANIZACIONAL

1.1.5 PROCESOSLa identificacin de procesos dentro del alcance constituye un pilar fundamental para el enfoque del SGSI. En nuestro caso los procesos involucrados son:Publicacin de cronograma, Inscripcin de postulantes, Publicacin de asignacin de salones, Elaboracin del preguntas, Ejecucin examen, Revisin del examen, Publicacin de los resultados y Entrega de constancia de ingreso.Publicacin de cronogramaInscripcin de postulantes Publicacin de asignacin salones Elaboracin preguntasEjecucin examenRevisin examenPublicacin resultadosEntrega constancia ingreso

1.1.6 ACTIVOS

1.2 ANALISIS SITUACIONAL ACTUAL1.2.1 ANALISIS CRITICO1.3 CONCLUSIONESCAPITULO IIDESARROLLO DE EL ANALISIS DE GESTION DE RIESGOS PARA LA OFICINA DE ADMISION2.1 ACTIVIDADES PRELIMINARES2.2 ESTUDIO DE OPORTUNIDAD2.3 DETERMINACION DEL ALCANCE DEL PROYECTO2.4 ANALISIS DE RIESGOS2.5 CARACTERIZACION DE LOS ACTIVOSEsta actividad consta de 2 sub-tareas: Identificacin de los activos Valoracin de los activos

2.6 IDENTIFICACION DE LOS ACTIVOSEntre los activos de informacin, segn la clasificacin de la ISO 27001:2005, se encuentran:A. Activos de InformacinDocumentacin y Registros

DescripcinSoporte esttico no electrnico que contiene datos.

ActivosOficiosMemosFicha nico del examenReglamento

Activos auxiliares

DescripcinOtros dispositivos que ayudan al funcionamiento de la organizacin

ActivosSuministros de oficina

Activos auxiliares

DescripcinActivos que representan el buen nombre de la empresa y la imagen que los clientes tienen de ella

ActivosImagen y reputacin de la empresa

B. SoftwareSistemas Operativos

DescripcinSon todos los programas de una computadora que constituyen la base operativa sobre la cual se ejecutarn todos los otros programas (servicios o aplicaciones)

ActivosOficiosMemosFicha nico del examenReglamento

Paquetes de programas

DescripcinEs un producto comercializado como tal con soporte, versin y mantenimiento.

ActivosAntivirusMicrosoft office

Software de Aplicacin de Oficina

DescripcinDatos y servicios informticos compartidos y privados, que utilizan los protocolos y tecnologas de comunicacin (por ejemplo, tecnologa de Internet).

ActivosAplicacin Microsoft Visual Studio

C. Activos FsicosPCs de Oficina

DescripcinHardware informtico que pertenece al organismo o que es utilizado en los locales del organismo.

ActivosComputadoras personales.

Equipos de Oficina

DescripcinHardware para la recepcin, la transmisin o la emisin de datos.

ActivosImpresoras, Copiadora y Telfono

Servidor

DescripcinHardware informtico que pertenece al organismo y maneja informacin importante del proceso de Admisin y postulantes.

ActivosServidor de Base de datos.

Soporte electrnico

DescripcinSoporte informtico conectado a una computadora o una red informtica para el almacenamiento de datos.

ActivosCD-ROM y memoria extrable.

Medios de comunicacin

DescripcinSe caracteriza principalmente por las caractersticas fsicas y tcnicas del soporte.

ActivosCableado estructurado, tecnologa Ethernet, cables y switch.

Establecimiento

DescripcinEst formado por el conjunto de lugares que contienen o parte del sistema y los medios fsicos necesarios para su funcionamiento.

ActivosLocal Garcilazo, Oficina de Admisin

D. ServiciosComunicacin

DescripcinServicios y equipo de telecomunicaciones brindados por un prestador.

ActivosLnea telefnica, redes telefnicas internas.

Energa

DescripcinServicios y medios (fuentes de energa y cableado) necesarios para la alimentacin elctrica del hardware y los perifricos.

ActivosEntrada de la red elctrica.

Portal Externo

DescripcinEs un punto de acceso que encontrar o utilizar un usuario cuando busque informacin o un servicio del organismo

ActivosPgina Web de la UNSCH.

E. PersonasEmpleados

DescripcinEs el que manipula elementos delicados del proceso de admisin de la UNSCH y que tiene una responsabilidad particular en este tema.

ActivosRecursos Humanos.

2.7 VALORIZACION DE ACTIVOSEl objetivo es identificar la valoracin de todos los activos dentro del alcance del SGSI, indicando que impacto puede sufrir el negocio con la prdida de Confidencialidad, Integridad, Disponibilidad.Para obtener esta valoracin, se realizaron conversaciones con el personal encargado de cada proceso; que conocen la importancia de cada activo dentro de la empresa, para as determinar los niveles de Confidencialidad, Integridad y Disponibilidad requeridos para cada proceso, que permitan cumplir con las operaciones del negocio.ACTTIVOSCONFIDENCIALIDADINTEGRIDADDISPONIBILIDAD

Documentacin y Registros 433

Sistemas operativos433

Paquetes o software estndar 133

PCs de oficina 334

Equipos de oficina222

Servidor433

Soporte electrnico211

Servicio de Comunicaciones224

Servicio de energa elctrica123

Aplicacin de Microsoft Visual Studio.433

Portal de Informacin133

Suministros de oficina121

Empleados212

Establecimiento131

Medios y soporte133

Tabla N 6: Tasacin de activos2.8 CARACTERIZACION DE LAS AMENAZASUna vez terminada la valoracin se procede a la valoracin de activo por activo de las amenazas, las amenazas estn clasificadas en cuatro grupos: Desastres Naturales Desastres industriales Errores y fallos no intencionados Ataque intencionados

Esta actividad consta de 2 sub-tareas: Identificacin de las amenazas Valoracin de la amenazas

2.9 IDENTIFICACION DE LAS AMENAZAS1.- Desastres naturales.- Sucesos que pueden ocurrir sin intervencin humana

Amenaza: Fuego Daos por agua Desastres naturalesActivos: Activos fsicos Servicios de comunicacin, energa Documentacin y registros

Afecta: Disponibilidad del Servicio, Integridad, Trazabilidad del servicio, Trazabilidad de losdatos.

2.- De origen industrial.- Sucesos que pueden ocurrir de forma accidental, derivados de laactividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o deliberada.

Amenaza: Corte de suministro elctrico Degradacin en el hardware Condiciones inadecuadas de temperatura y/o humedad.Activos: Activos fsicos Servicios de comunicacin, energa Documentacin y registros

Afecta: Disponibilidad del Servicio, Integridad, Trazabilidad del servicio, Trazabilidad de los datos, funcionamiento y procesamiento correcto de datos.

3.- Errores y Fallos no intencionados.- Fallos no intencionales causados por las personas.

Amenaza: Errores de los usuarios Errores de configuracin Alteracin de informacin Introduccin de informacin incorrecta Divulgacin de informacin Errores de actualizacin VirusActivos: Activos fsicos Servicios de comunicacin, energa Documentacin y registros Software

Afecta: Disponibilidad del Servicio, Confidencialidad, Integridad, Autenticidad de los usuariosde servicio, Autenticidad del origen de datos, Cumplimiento con regulaciones de seguridad, Trazabilidad del servicio y Trazabilidad de los datos.

4.- Ataques intencionados.- Fallos deliberados causados por las personas.

Amenaza: Instalacin no autorizada o cambios de SW Manipulacin de la configuracin Brechas de seguridad no detectadas Uso no previsto Abuso de privilegios de acceso Acceso no autorizado Anlisis de trfico Negacin de servicio Robo Ataque destructivo Ingeniera social Inautorizada copia de informacin VirusActivos: Activos fsicos Servicios de comunicacin, energa Documentacin y registros Software

Afecta: Disponibilidad del Servicio, Confidencialidad, Integridad, Autenticidad de los usuariosde servicio, Autenticidad del origen de datos, Cumplimiento con regulaciones de seguridad, Trazabilidad del servicio, Trazabilidad de los daos y Plan de contingencia.

2.10 VALORIZACION DE LAS AMENAZASACTIVOSAMENAZASVALORDESCRIPCIN

Documentacin y RegistrosA1: FuegoBajaEs baja la probabilidad deincendios en el sector dondese encuentra la Oficina de Admisin

V1: Falta de proteccin contra fuegoMediaActualmente en la Oficina de Admisin no setienen ninguna proteccincontra fuego, como extintores

A2: Daos por aguaBajaNo se ha registrado este tipo de incidente

V2: Falta de proteccin fsica adecuadaBajaLos documentos se encuentran en gavetasprotegidas contra ingreso deagua.

A3: Desastres naturalesBajaNo se ha registrado este tipo de incidente

V3: Condiciones locales donde los recursos son fcilmente afectados por desastresMediaNo existen protecciones requeridas para enfrentardaos causados antedesastres naturales

A4. Prdida de informacinMediaSe han presentado problemas debido a fallas delos empleados

V4.1: Errores de los empleadosAltaNo se realizan respaldos dela informacin, esto combinado con los errores delos usuarios

V5.2: Almacenamiento no protegidoMediaLos documentos se encuentran en gavetas bajollave. Pero susceptible adaos por fuerza bruta

A5: Divulgacin de informacinMediaNo se encuentran definidos polticas de confidencialidad

V5: Almacenamiento no protegidoMediaLos documentos se encuentran en gavetas bajo llave. Pero susceptible adaos por fuerza bruta

A6: Ataque destructivoAltaEn la Oficina de Admisin no se ha presentado este problema

V6: Falta de proteccin fsicaAltaLa seguridad de estos elementos es muy escasa

A7: Modificacin no autorizada de informacin.MediaSe han registrado problemas debidos a cambios en lainformacin no previstos

V7: Insuficiente entrenamiento de empleadosBajaLos empleados conocen susresponsabilidades, y autorizaciones permitidas a lainformacin

Sistemas OperativosA1: Negacin de ServicioBajaEsta forma de ataque no ha tomado lugar todava, peropodra pasar en cualquiermomento

V1: Capacidad insuficiente de los recursosMediaLa recursos de los SOs, es suficiente para la cantidad deinformacin que maneja la oficina de admisin

A2: Errores de configuracin del servicioBajaNo se han presentado registros de este problema

V2: Falta de capacitacin del administradorMediaEl administrador no cuenta con gran conocimiento de los Sistemas operativos de los servidores.

A3: VirusMediaEl servidor ha sido afectado una vez por un Virus de computacin

V3: Falta de proteccin actualizadaAltaNo se sigue procedimientos aprobados para la actualizacin ymantenimiento del software

A4: Controles de seguridad no cumplidosAltaNo se ha definido controles de seguridad, razn por la cual ciertos controles no han sido cumplidos

V4: Falta de polticas de seguridadAltaActualmente no se tienen unapoltica aprobada, est en proceso de desarrollo todava

A5: Alteracin no autorizado de la configuracinBajaNo se ha registrado ningn incidente

V5: Falta de control de accesoAltaEl control de acceso puede ser fcilmente vulnerado debido a la dbil seguridad fsica de los equipos de cmputo

Paquetes o software estndarA1: Negacin de servicioBajaNo se ha registrado este tipo de incidente

V1: Capacidad insuficiente de los recursosBajaSe cuenta con los recursos suficientes

A2: VirusAltaSe ha registrado varias veces virus

V2: Falta de proteccin actualizadaAltaNo se lleva ningn tipo de actualizacin para el software

A3: Escape de informacinBajaNo se ha registrado este tipo de incidente

V3: Falta de control de accesoBajaEn el sw estndar no se necesita ningn tipo de control de acceso

A4: Falta de capacidad de restauracinBajaNo se ha registrado este tipo de incidente

V4: Falta de copias de backup continuasAltaNo se tiene copias de respaldo para restauracin

A5: Uso no previstoAltaEl personal en algunas ocasiones hacen uso de estas herramientas con fines personales

V5: Falta de polticas de seguridadAltaActualmente no se tienen una poltica.

PCs de oficinaFuegoBajaEs baja la probabilidad de incendios en el sector donde se encuentra la Oficina de Admisin

Daos por aguaBajaNo se ha registrado este tipo de incidente

Desastres naturalesBajaNo se ha registrado este tipo de incidente

Acceso no autorizadaAltaEl control de acceso puede ser fcilmente vulnerado debido a la dbil seguridad fsica de los equipos de cmputo

Corte de suministro elctricoMediaLa energa elctrica se cort en algunas veces

Instalacin no autorizada o cambios de swMediaLos SW han sido cambiados e instaladas ms de 3 veces

Uso no previstoAltaEl personal en algunas ocasiones hacen uso de estas herramientas con fines personales

Incumplimiento con controles de seguridadAltaNo se ha definido controles de seguridad, razn por la cual ciertos controles no han sido cumplidos

Degradacin de hwMedioHay algunos HWs que deberan estar en desuso peor son utilizados.

Inautorizada copia de swAltaSe realizan copias de SW sin autorizacin, no hay nada que lo impida.

Ataque destructivoBajaNo se encontraron incidencias de este tipo

RoboBajaNo hubo ningn robo de PCs

Equipos de oficinaFuegoBajaEs baja la probabilidad de incendios en el sector donde se encuentra la Oficina de Admisin


Degradacin o Falla de HWMedioHay algunos HWs que deberan estar en desuso peor son utilizados.


Uso no previstoMediaSe encontr que se usan algunos equipos para hacer otras cosas

ServidorFuegoBajaEs baja la probabilidad de incendios en el sector donde se encuentra la Oficina de Admisin



Negacin de servicioBajaEsta forma de ataque no ha tomado lugar todava, pero podra pasar en cualquier momento

Corte suministro elctricoMediaLa energa elctrica se cort en algunas veces

Degradacin o falla del HWMedioHay algunos HWs que deberan estar en desuso peor son utilizados.

Manipulacin de la configuracinBajaNo se ha registrado ningn incidente


Soporte electrnicoFuegoBajaEs baja la probabilidad de incendios en el sector donde se encuentra la Oficina de Admisin




Robo

Servicio de comunicacionesFuego

Daos por agua

Desastres naturales

Degradacin de servicio y equipos

Errores de configuracin

Manipulacin de configuracin

Ataque destructivo

Fallas de servicio de telefona

Servicio de energa elctricaFuego

Daos por agua

Desastres naturales

Ataque destructivo

Aplicacin de Microsoft Visual StudioErrores de los usuarios

Errores de configuracin

Escapes de informacin

Errores de actualizacin del programa

Manipulacin de configuracin

Abuso de privilegios de acceso

Portal de informacinModificacin no autorizada del sitio web

Sitio web no disponible

Publicacin de informacin incorrecta de la oficina de admisin

Suministros de oficinaFuego

Daos por agua

Desastres naturales

Robo

EmpleadosErrores de los empleados

Insuficiente persona

Divulgacin de informacin confidencial

EstablecimientoFuego

Daos por agua

Acceso no autorizada

Desastres naturales

Medios y soporteAcceso no autorizada a la informacin

Robo

Daos de cables

Anlisis de trfico

2.11 CARACTERIZACION DE LAS SALVAGUARDAS2.12 IDENTIFICACION DE SALVAGUARDAS2.13

2 JUSTIFICACINEn la actualidad uno de los principales activos que las organizaciones poseen, es la informacin. Por lo cual es necesario que toda organizacin que busque una excelencia en los servicios o productos que ofrece, adopte una Sistema de Gestin para el manejo adecuado de la informacin, garantizando as su disponibilidad, confidencialidad e integridad. Toda organizacin que desee convertirse en un proveedor confiable debera garantizar la continuidad de su negocio ante posibles escenarios de amenazas que pudieran presentarse.Para cubrir estas necesidades la ISO -Organizacin Internacional para la Estandarizacin- cre una norma certificable que permite a las organizaciones encaminarse en un Sistema de Gestin de Seguridad de la Informacin, la ISO 27001:2005.La razn principal por la que se opta por la oficina de admisin es porque esta maneja un gran volumen informacin que es importante y confidencial.

3 IDENTIFICACIN DE LOS PROCESOSLa identificacin de procesos dentro del alcance constituye un pilar fundamental para el enfoque del SGSI. En nuestro caso los procesos involucrados son:Publicacin de cronograma, Inscripcin de postulantes, Publicacin de asignacin de salones, Elaboracin del preguntas, Ejecucin examen, Revisin del examen, Publicacin de los resultados y Entrega de constancia de ingreso.

Publicacin de cronogramaInscripcin de postulantes Publicacin de asignacin salones Elaboracin preguntasEjecucin examenRevisin examenPublicacin resultadosEntrega constancia ingreso

4 NIVELES A ASEGURAR: Elementos a asegurar por nivel: Nivel fsico Nivel lgico

Nivel fsico: Proteccin del acceso al servidor de base de datos. Proteccin de los equipos, como computadoras personales y todo Hardware informtico que pertenece al organismo o que es utilizado en los locales del organismo. Controlar el acceso del personal y determinar a qu usuarios se les puede permitir el uso de los distintos recursos y a cules se les debe restringir. Proteccin a los lugares que contienen parte del sistema y los medios fsicos necesarios para su funcionamiento, como por ejemplo Local Garcilazo, Oficina de Admisin.Nivel lgico: Poner contraseas para el acceso a los servidores. Hacer backup de los datos ms importantes. No permitir que usuarios no autorizados puedan leer la base de datos de la nmina de personal.

5 ACTIVOS A PROTEGERa) Activos de informacinDocumentacin y RegistrosActivos auxiliaresb) SoftwareSistemas OperativosPaquetes de programasSoftware de Aplicacin de Oficinac) Activos fsicosPCs de OficinaEquipos de OficinaServidorSoporte electrnicoEstablecimientod) PersonasEmpleados

OBJETIVO El objetivo es implementar un SGSI con la finalidad de contar con un proceso definido para Evaluar, Implementar, Mantener y Administrar la seguridad de la informacin y disponer de una Metodologa para poder Administrar los riesgos.

DEFINICIN DEL ENTORNO Se define como entorno la oficina de admisin de la universidad nacional san Cristbal de huamanga.

Niveles que cubrir el proyecto Nivel fsico; Nivel lgico;

Hitos a cubrir en cada nivel Alcance a nivel Fsico: Proteccin de los establecimientos contra el acceso fsico no autorizado. Proteccin de las oficinas del sector de Cmputos contra el acceso fsico no autorizado. Proteccin del hardware e instalaciones del sector de Cmputos y de Ventas contra el acceso fsico no autorizado. Proteccin de la red de comunicaciones de toda la empresa contra el acceso fsico no autorizado. Proteccin de Cables. Proteccin de Servidores.

Alcance a nivel Lgico: Proteccin de los datos del sector de cmputos contra el acceso no autorizado. Proteccin de la integridad de los datos del sector de cmputos. Proteccin de las aplicaciones de toda la empresa contra el acceso no autorizado. Implantacin de restricciones de uso de software Implantacin de un sistema de administracin de usuarios y contraseas.

Trabajo de Seguridad _SGSI

Documents

Transcript of Trabajo de Seguridad _SGSI