Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

ANÁLISIS DE RIESGOS UNIVERSIDAD FRANCISOC DE PAULA

Anuncio 
ANÁLISIS DE RIESGOS UNIVERSIDAD FRANCISOC DE PAULA SANTANDER
Presentado por Erickson Jesús Tirado Goyeneche
0152600
Presentado a
Ing. Jean Polo Cequeda
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
SEGURIDAD INFORMÁTICA
INGENIERÍA DE SISTEMAS
CÚCUTA
2012
OBJETIVO GENERAL
Desarrollar un Plan de Gestión de Riesgos para la Universidad Francisco de Paula
Santander, mediante el uso de la metodología Pilar.
OBJETIVOS ESPECIFICOS




Identificar los activos más importantes de la universidad para su funcionamiento.
Describir las posibles amenazas que actúan sobre los activos.
Analizar las vulnerabilidades que puedan presentarse.
Establecer los posibles riesgos potenciales a los que está expuesta la universidad
mediante la identificación de amenazas y vulnerabilidades que implementa la
metodología Pilar.
 Determinar los posibles mecanismos utilizados como salvaguardas
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
ACTIVOS
Personal
Subcontratados o terceros
Personal poco capacitado
Personal no conforme o desmotivado
Instalaciones
Cuarto de Comunicaciones
Salas de Computo
Zona de Planta Eléctrica
Laboratorios (Física, Química, Redes, Telecomunicaciones entre otros)
Equipamiento
Servidores
Redes de cableado para computadores
Antenas microondas
Redes cableado telefónico
Redes de cableado eléctrico
Aplicaciones (web: página de la universidad y derivados; software de escritorio)
Antivirus y cortafuegos desactualizados
Medios Extraíbles
Creación de aplicaciones de baja calidad
METODOLOGÍA PILAR
Fase 1: Establecimiento de objetivos de seguridad:
Definir el alcance del estudio.
La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y
nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de
redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder
implementar sus servicios en un entorno mucho más amplio, lo cual lógicamente ha traído
consigo, la aparición de nuevas amenazas para los sistemas de información.
Las políticas de seguridad informática surgen como una herramienta organizacional para
concienciar a los colaboradores de la organización sobre la importancia y sensibilidad de la
información y servicios críticos que permiten a la empresa crecer y mantenerse
competitiva, asegurando el buen uso de los recursos informáticos y la información como
activos de una organización, manteniéndolos libres de peligros, daños o riesgos.
Este documento de referencia pretende describir a partir de la abstracción de los la
Universidad Francisco de Paula Santander; como es el funcionamiento de la empresa y el
desarrollo de cada uno de los procesos, desde el punto de vista de la Seguridad Informática;
enfocándonos principalmente en la participación de los recursos, tanto físicos como
tecnológicos, que en conjunto con la infraestructura física, deben proporcionar seguridad de
la información, reconociendo a la misma como un activo fundamental para el desarrollo y
sostenimiento de la empresa.
Identificar y evaluar los activos físicos que forman parte del sistema.
Los activos son aquellos recursos (hardware/software), que tiene y explota una empresa.
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
Centros de datos
Servidores
Equipos de escritorio
Equipos móviles
PDA
Teléfonos móviles
Enrutadores
Conmutadores de red
Equipos de fax
PBX
Medios extraíbles (por ejemplo, cintas, disquetes, CD-ROM, DVD, discos duros portátiles,
Dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.)
Fuentes de alimentación
Sistemas de alimentación ininterrumpida
Sistemas contra incendios
Sistemas de aire acondicionado
Identificar y evaluar los activos de software que forman parte del
Sistema.
●
●
●
●
●
●
Software de aplicación de servidor
Software de aplicación de usuario final
Herramientas de desarrollo
Sistema de Información Financiero SIF
Sistema de Información Académico
Sitios Web internos
Fase 2: Evaluación de riesgos:
Identificar y valorar el tipo y nivel de las amenazas que pueden afectar al sistema.
Se conoce como Amenaza al evento accidental o provocado, que puede ocasionar daño o pérdida
de recursos. Pueden ser de Origen (Amenazas naturales, de agentes externos y/o internos) o de
intencionalidad (Accidentes, errores, actuaciones malintencionadas).
La división de sistemas de la Universidad Francisco de Paula Santander, día a día está expuesta a
estos tipos de amenazas, dentro de las cuales encontramos:
Origen:
Amenazas Naturales: Ocasionando la pérdida total o parcial de la Infraestructura de ésta división:
●
●
●
●
Terremotos.
Inundaciones.
Incendios.
Explosión.
Amenazas de Agentes Externos: Provienen de agentes externos a la división de sistemas, pueden
causar graves pérdidas de información, tiempo, e incluso dinero.
●
●
●
●
●
●
Virus informáticos, gusanos, caballos de Troya.
Intrusos en la red (Accesos de Usuarios no permitidos).
Pérdida o Robo de la información.
Conflictos Sociales.
Fallas eléctricas.
Robo de equipos usado para el manejo de la información.
Amenazas de Agentes Internos: Provienen de agentes internos a la división de sistemas, éstas son
mucho más costosas, debido a que el infractor tiene mayor acceso a la información.
●
●
●
●
Descuido por parte de los empleados.
Uso indebido del Acceso a Internet por parte de los empleados.
Errores en la utilización de herramientas y recursos del sistema.
Conflictos entre empleados de la empresa que pongan en riesgo la confidencialidad de la
información.
Intencionalidad:
Accidentes:
●
Daño del Hardware utilizado dentro de la división de sistemas ( equipos, servidores,
cableado).
Incendio o inundación provocados ya sea por el personal de la división, algún daño en el Hardware
o por un agente externo.
Errores:
●
●
●
●
●
Fallas dentro de alguno de los sistemas de información.
Falla de Servidores.
Desgaste o daño permanente del Hardware.
Software desactualizado.
Ejecución defectuosa de procedimientos.
Actuaciones Malintencionadas:
●
Actividades fraudulentas por parte de los empleados de la empresa con el fin de obtener
algún beneficio económico o social.
● Fuga de información a través del personal que ingresa de manera temporal en sustitución
de empleados en vacaciones.
Valorar las vulnerabilidades de los sistemas ante las amenazas identificadas.
Una vulnerabilidad es una debilidad que puede ser aprovechada por una amenaza y ocasionar
pérdidas. Pueden presentarse a nivel de diseño, implementación, y/o uso del sistema o los
sistemas de información dentro de la División de Sistemas.
Diseño
● Diseño deficiente del cableado estructurado.
● Mala configuración en las bases de datos.
● Debilidad en el diseño de protocolos utilizados en las redes.
● Políticas de seguridad insuficiente o inexistente.
Implementación
●
●
Errores de programación.
Existencia de “BackDoors” en los sistemas informáticos.
●
Descuido de los fabricantes.
●
●
●
●
Fallas en los sistemas.
Pérdida de medios.
Mala configuración de los sistemas informáticos.
Desconocimiento y falta de sensibilización de los usuarios y de los responsables de
informática.
Compatibilidad.
Recalentamiento de dispositivos.
Deficiencia en alguno de los equipos o servidores.
Uso
●
●
●
Fase 3: Identificación y selección de salvaguardas.
Las contramedidas deben ser apropiadas a la naturaleza del riesgo, deben aplicarse en el
momento adecuado, y deben ser lo suficientemente flexibles para adaptarse a la situación.
1. Mecanismos de identificación y autenticación
Físicos:
●
●
●
Solicitud del documento de identidad que lo identifica como miembro adscrito a la
dependencia.
Implementación de un Lector de Código de Barras que certifique que el usuario realmente
se encuentra activo en el sistema.
Actualización permanente de los datos.
Tecnológicos:
●
●
La forma habitual de autorizar una persona es por medio de un identificador de usuario
y una clave, y asociando a este usuario una serie de permisos . Por ello, es de vital
importancia que estos usuarios y sus claves sean custodiados de forma adecuada.
La intención de la tecnología de huella digital es identificar de manera precisa y única a
una persona por medio de su huella digital. Certificando la autenticidad de las personas de
manera única e inconfundible por medio de un dispositivo electrónico que captura la
huella digital y de un programa que realiza la verificación.
2. Mecanismos de control de acceso
Físicos:
●
La implementación de Bitácoras de Acceso por parte del personal de Vigilancia, con el
fin de garantizar de que los ingresos a las áreas restringidas, sea sólo por personal
autorizado.
● Instalación de cámaras de Seguridad en las entradas y en los puntos críticos, donde se
creería que se requiere mayor vigilancia.
Virtuales:
●
Los dos tipos más importantes de sistemas de detección de intrusos son los basados en
red y los basados en host:
• Basados en red: Estos detectores son aplicaciones que están conectadas a la red
interna de la empresa y analizan todo el tráfico detectando anomalías que puedan
indicar que hay intrusos. La ventaja de estos sistemas es que sirven para todos los
equipos de una red, aunque si el tráfico de la red está cifrado no suele ser muy
eficientes.
• Basados en host: Estos detectores están instalados en la misma máquina a
proteger y analizan un comportamiento anómalo en el equipo. Estos sistemas
suelen ser más eficientes aunque tienen el inconveniente de tener que instalarse
en cada ordenador a proteger
●
La función fundamental de un cortafuegos es la de limitar y controlar el tránsito de
información entre una red externa (por ejemplo Internet) de una red interna (la Intranet).
Las funciones de un cortafuego son varias:
• Permite bloquear el acceso a determinadas páginas de Internet (por ejemplo, algunas de
uso interno de una empresa).
• Monitorizar las comunicaciones entre la red interna y externa.
• Controlar el acceso a determinado servicios externos desde dentro de una empresa (por
ejemplo, puede evitar que los empleados de una empresa usen Internet para
descargarse ficheros).
3. Mecanismos de separación
●
Garantizar la persistencia de los datos, mediante la ejecución periódica de copias de
seguridad o backups con el fin de salvaguardar la información.
4. Mecanismos de seguridad en las comunicaciones
●
●
●
Realizar un mantenimiento periódico a la planta física, y a la infraestructura
tecnológica, con el fin de mejorar la funcionalidad de los procesos
institucionales.
La criptografía es una disciplina muy antigua cuyo objeto es la de ocultar la información a
personas no deseadas.
Practicar la protección de la información cuando viaja por la red mediante la
implementación de protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por la
red.
Documentos relacionados
Seguridad Informática
Seguridad Informática
Descargar
Anuncio
Anuncio