Professional Documents
Culture Documents
Proyecto de
seguridad
informtica
Unidad 1
Evidencia de
Aprendizaje
NOMBRE: Roberto lvarez Granados
MATRCULA: AL12501836
CARRERA: Ingeniera en Desarrollo de Software
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Estimados Alumnos,
Esta evidencia de aprendizaje es individual y se realizar mediante la herramienta Base
de datos.
Su propsito es que ustedes identifiquen los principales elementos que intervienen en la
seguridad de la informtica, sus caractersticas, ventajas y desventajas, mediante el
anlisis de un caso donde podrn observar el problema, necesidad o rea de
oportunidad, considerando el riesgo de la prdida de informacin.
En este espacio tambin podrn conocer la legislacin correspondiente y proponer
soluciones factibles que permitan mejorar los aspectos analizados.
A continuacin se expone un ejemplo de planteamiento de la evidencia.
Desarrolla los siguientes planteamientos:
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Situacin actual: existe una poltica de seguridad conocida por todos, pero la
computadora de la direccin, por una variacin elctrica, sufri daos en la placa base y
disco duro, por lo que deben cambiarse.
La informacin que contiene el equipo de cmputo fue previamente respaldada y se
encuentra segura.
1. Enlista los activos de la organizacin.
2. Si uno de los 4 equipos de cmputo se infectara con gusano (IWorm), qu
medidas deben tomarse?
3. Despus de cambiar el disco duro daado, se decide tirarlo en el bote de basura.
Qu implica esta accin?
4. Con qu aspectos legales estn cumpliendo y cules requieren atencin? 5.
Respecto a la seguridad, qu aspectos deben mejorarse?
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
5. Identifica y menciona el marco legal nacional involucrado en la seguridad informtica
de tu proyecto.
6. Relaciona los aspectos legales con los riesgos, amenazas y vulnerabilidades en
relacin con el cumplimiento o incumplimiento de los mismos.
7. Analiza las medidas de seguridad para definir aquellas que son susceptibles de
mejora.
8. Despus de realizar la actividad, gurdala con el nombre
DSEI_U1_EA_XXYZ y envala a tu Docente en lnea mediante la herramienta Tarea.
9. Espera la retroalimentacin necesaria para considerarla e integrarla en una segunda
versin de tu Evidencia (en caso de ser necesario).
*No olvides consultar los criterios de evaluacin de la unidad 1 para que los consideres
en el desarrollo de tu actividad.
Lineamientos de formato
Criterios de evaluacin
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
INTRODUCCIN
La preparacin para la atencin de emergencias en el lugar de trabajo cobra
cada da ms importancia dadas las implicaciones legales, econmicas y ambientales
que una de estas puede generar. Por tal motivo el prepararse para atender emergencias
en esta Compaa es prioritario ya que stas pueden ocurrir en cualquier momento y
generar consecuencias devastadoras.
Dentro de este contexto, la (a la organizacin descrita en el caso la llamaremos
COMPAA) COMPAA ha iniciado el anlisis de la seguridad fsica y lgica, a travs,
de los riesgos y vulnerabilidad de su sistema de informacin, que se requiere, para
empezar a definir la estructura o plan de emergencias y de esta forma poder enfrentar la
perturbacin parcial o total del Inmueble por la materializacin de un riesgo, que pone en
peligro a los trabajadores, la estabilidad operacional o a la comunidad del rea
circundante y reducir el impacto ambiental sobre el rea afectada.
Para facilitar las decisiones estratgicas en el manejo de emergencias, es necesario
hacer un anlisis de vulnerabilidad, tratando de identificar y evaluar aquellos
componentes de mayor sensibilidad al riesgo, en relacin con el efecto sobre las
personas, la infraestructura, bienes y activos teniendo en cuenta no solo su valor
econmico sino el valor estratgico para la COMPAA
DESARROLLO
SEGURIDAD FSICA:
Objetivos Especficos
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
inspeccin realizada por profesionales idneos en el tema de patologa
estructural.
MARCO LEGAL
NORMA - AO
REQUERIMIENTO
Ttulo III: Normas para preservar, conservar y mejorar la salud de
los individuos en sus ocupaciones.
Art. 93 - reas de circulacin: Claramente demarcadas, con
amplitud suficiente para el trnsito seguro de las personas y
provistas de sealizacin adecuada.
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Art. 116 - Equipos y dispositivos para la extincin de incendios:
Con diseo, construccin y mantenimiento que permita su uso
inmediato con la mxima eficiencia.
Art. 117 - Equipos, herramientas, instalaciones y redes elctricas:
Diseados, construidos, instalados, mantenidos, accionados y
sealizados de manera que prevengan los riesgos de incendio o
contacto con elementos sometidos a tensin.
Art. 127 De la Medicina Preventiva y Saneamiento Bsico: Todo
lugar de trabajo tendr las facilidades y los recursos necesarios
para la prestacin de los primeros auxilios a los trabajadores.
Ttulo VII:
Art. 501: Cada comit de emergencia deber elaborar un plan de
emergencia para su respectiva jurisdiccin con los resultados
obtenidos en los anlisis de vulnerabilidad. Adems, debern
considerarse los diferentes tipos de desastre que puedan
presentarse en la comunidad respectiva.
El comit Nacional de Emergencias elaborar para aprobacin
del ministerio de salud un modelo con instrucciones que
aparecer en los planes de contingencia.
Art. 502: El Ministerio de Salud coordinara los programas de
entrenamiento y capacitacin para planes de contingencia en
los aspectos sanitarios vinculados a urgencias o desastres.
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Art. 4 Edificios y locales: Construccin segura y firme; techos
cerchas con suficiente resistencia a los efectos del viento y su
propia
carga; cimiento o piso sin sobrecarga; factor de seguridad
acero
estructural (4 para cargas estticas y 6 en dinmicas)
Art. 14 Escaleras de comunicacin entre plantas del edificio:
Con condiciones de solidez, estabilidad y seguridad,
preferiblemente de materiales incombustibles y espaciosas.
Resolucin 2400 de
1979 (Estatuto de
Seguridad Industrial)
Resolucin 1016 de
Marzo 31 de 1989
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Acuerdo 20 de 1995
Ley 322
Sistema
Bomberos
del 1996.
Nacional de
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Nacional para la Prevencin y atencin de desastres de una
herramienta que permita coordinar y plaera el control
y atencin de riesgos y sus efectos asociados sobre las personas,
el medio ambiente, y las instalaciones en esta clase de eventos.
Este plan se complementara con existentes.
Normas Internacionales
NFPA - National Fire
Protection (Asociacin Nacional
de Proteccin Contra el Fuego de
Unidos)
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Reglamento de Construcciones Sismo Resistentes
TTULO C - Concreto Estructural
TTULO D - Mampostera Estructural
TITULO J - Requisitos de proteccin contra incendios en
edificaciones
NSR - 10
Elementos
SI
17
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Exitintor Solkaflan
Elementos
Camilla
SI
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Inmovilizadores
NO
Silbatos o pitos
NO
NO
Alarma de evacuacin
SI
Detectores de humo
SI
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
NO
1
Se recomiendan 4 Botiquines, ubicados en
diferentes oficinas del personal directivo de
la Compaa.
Se ubic adicionalmente en el primer piso
una estacin de emergencia con dotacin de
elementos para atencin de primeros
auxilios.
NO
NO
Sealizacin de emergencia
NO
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Radio
Plizas de seguros
NO
NO
NO
Otros
X
ANLISIS DE VULNERABILIDAD
ANALISIS DE RIESGO
NOMBRE: Roberto lvarez Granados
MATRCULA: AL12501836
CARRERA: Ingeniera en Desarrollo de Software
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
Objetivos
Determinar la ubicacin, caractersticas, consecuencias y patrn de comportamiento
de fenmenos de tipo natural provocados por el hombre o por los procesos
tecnolgicos en la COMPAA, y que en cualquier momento puedan generar
alteraciones repentinas en las actividades normales de la misma.
Determinar el nivel de explosin y la predisposicin a la prdida de un elemento o
grupo de elementos ante una amenaza especfica, teniendo en cuenta los elementos
sometidos a riesgo como son: personas, recursos y sistemas y procesos.
Identificacin de Amenazas
Una amenaza o posible aspecto iniciador de eventos en las fases de construccin,
operacin y mantenimiento y abandono de la organizacin, se define como una
condicin latente derivada de la posible ocurrencia de un fenmeno fsico de origen
natural, socio natural o antrpico no intencional, que puede causar dao a la
poblacin y sus bienes, la infraestructura. El ambiente y la econmica pblica y
privada.
Las amenazas se pueden convertir:
Naturales: Fenmenos de remocin de masa, movimientos ssmicos,
inundaciones, lluvias torrenciales, granizadas, vientos fuertes y otros
dependiendo de la geografa y el clima.
Tecnolgico: Incendios, explosiones, fugas, derrames, fallas estructurales, fallas
en equipos y sistemas, intoxicaciones, trabajos de alto riesgo, entre otros.
Sociales: hurto, asaltos, secuestros, asonadas, terrorismo, concentraciones
masivas, entre otros.
METODOLOGIA DE TRABAJO
Mediante observacin directa a todas las instalaciones del Inmueble de la
COMPAA, se analizaron los siguientes aspectos:
a)Revisin de la informacin general suministrada por la informacin del caso, en
cuanto a datos generales e informacin de antecedentes de eventos ocurridos
NOMBRE: Roberto lvarez Granados
MATRCULA: AL12501836
CARRERA: Ingeniera en Desarrollo de Software
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
en tiempo pasado.
b) Observacin imaginaria en base a la informacin presentada en las instalaciones
para identificar amenazas tanto internas como externas, que significa la posible
ocurrencia de un fenmeno fsico de origen natural, tecnolgico o provocado por
el hombre y que puede manifestarse en un sitio especifico y en un tiempo
determinado.
c) Una vez identificadas las amenazas se procede a evaluarlas, combinando el
anlisis de probabilidad, con el comportamiento fsico de la fuente generadora,
utilizando informacin de eventos ocurridos en el pasado y se calific de forma
cualitativa con base en la siguiente escala:
EVENTO
POSIBLE
PROBABLE
COMPORTAMIENTO
COLOR
ASIGNADO
VERDE
AMARILLO
ROJO
INMINENTE
PERSONAS
RECURSOS
SISTEMAS Y PROCESOS
ASPECTOS DE CALIFICACIN
Organizacin
Capacitacin
Dotacin
Materiales
Edificacin
Equipos
Servicios Pblicos
Sistemas Alternos
Recuperacin
VALOR
INTERPRETACIN
CALIFICACIN
VALOR
0.0 1.0
1.1 2.0
2.1 3.0
BAJA
MEDIA
ALTA
VERDE
AMARILLO
ROJO
3 a 4 rombos en
rojo
1 a 2 rombos
rojos o 4
amarillos
NIVEL DE RIESGO
PORCENTAJE
Del 75% al
100%
Del 50% al
74%
1 a 3 rombos
amarillos y los
restantes verdes
Del 25% al
49%
IDENTIFICACIN DE AMENAZAS
Teniendo en cuenta el criterio de calificacin de amenazas en cuanto sus
probabilidades como posibles, probables e inminentes, identificadas en la
COMPAA, se analizan a continuacin:
Amenazas identificadas en la COMPAA
CLASE
De
Origen
natural
AMENAZA
POSIBILIDAD
Movimientos
ssmicos y
terremotos
Si
Granizadas
Si
Bajo
Si
Taponamiento de drenajes y
diseos de rampas
Bajo
Inundaciones
COLOR
Tecnolgico
CLASE
Social
AMENAZA
POSIBILIDAD
Incendios
SI
Explosiones
SI
No se han Presentado
Bajo
Derrames
NO
No se han Presentado
Bajo
Fallas
Estructurales
Fallas en
equipos y
sistemas
Contacto
elctrico
No han presentado en la
Torre Central, pero si en
estructuras adyacentes
(Ala Norte)
No se han presentado
fallas crticas en equipos y
sistemas
Cableado parcialmente
expuesto
Presencia de grupos que
pueden llegar a generar
disturbios
Aunque el Inmueble
cuenta con controles de
seguridad y
comunicaciones, no se
lleva el control de acceso
de visitantes al
inmueble
Condiciones sociopolticas y conflictos de
intereses dentro de la
Universidad
SI
SI
SI
Terrorismo
SI
Asaltos robos
Si
Asonadas
SI
CALIFICACIN
COLOR
Alto
Medio
Bajo
Medio
Medio
Medio
Alto
RIESGO
BUENO
REGULAR
MALO
0.5
1.0
PERSONAS
0.5
CALIFICACIN
0.5
COLOR
Capacitacin
Dotacin
SUBTOTAL
0.5
0.5
Materiales
Edificaciones
Equipos
SUBTOTAL
0.5
0.5
0.5
0.5
0.5
1.5
RECURSOS
0.5
0.5
0.5
0.5
SISTEMAS
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
AMENAZA
Movimientos
ssmicos y
terremotos
Y PROCESOS
0
0
0
0
0
0
0
DIAMANTE DE RIESGO
INTERPRETACIN
PERSONAS
Para la amenaza de
SISMO el nivel de
riesgo es MEDIO.
SISTEMAS Y
PROCESOS
RECURSOS
AMENAZA
RIESGO
BUENO
REGULAR
0.5
Organizacin
Capacitacin
Dotacin
SUBTOTAL
0
0
Materiales
Edificaciones
Equipos
SUBTOTAL
Servicios Pblicos
Sistemas Alternos
0
0
MALO
CALIFICACIN
1.0
PERSONAS
0
0
0.5
0.5
0.5
RECURSOS
0.5
0.5
0
0.5
0.5
1
SISTEMAS Y PROCESOS
0
0
COLOR
Recuperacin
SUBTOTAL
AMENAZA
0
0
DIAMANTE DE RIESGO
INTERPRETACIN
Para la amenaza de
GRANIZADAS
el
nivel de riesgo es
BAJO.
PERSONAS
Granizadas
SISTEMAS Y
PROCESOS
RECURSOS
AMENAZA
RIESGO
BUENO
REGULAR
0.5
MALO
CALIFICACIN
COLOR
1.0
PERSONAS
0
0
0
0
0.5
0.5
0.5
RECURSOS
Materiales
Edificaciones
Equipos
SUBTOTAL
0.5
0.5
0.5
0.5
0.5
0.5
1.5
SISTEMAS Y PROCESOS
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
AMENAZA
0
0.5
0
0.5
0.5
0
DIAMANTE DE RIESGO
PERSONAS
Inundacin
RECURSOS
SISTEMAS Y
PROCESOS
INTERPRETACIN
Para la amenaza de
INUNDACIN
el
nivel de riesgo es
BAJO.
AMENAZA
RIESGO
BUENO
REGULAR
0.5
MALO
CALIFICACIN
COLOR
1.0
PERSONAS
0
0.5
0.5
1
0.5
0.5
RECURSOS
Materiales
Edificaciones
Equipos
SUBTOTAL
0.5
0.5
0.5
0.5
0.5
0.5
1.5
SISTEMAS Y PROCESOS
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
AMENAZA
Incendios
0
0
0
0
0.5
0.5
0.5
DIAMANTE DE RIESGO
INTERPRETACIN
PERSONAS
Para la amenaza de
INCENDIOS el nivel
de riesgo es MEDIO.
SISTEMAS Y
PROCESOS
RECURSOS
AMENAZA
ASPECTOS
VULNERABLES A
CALIFICAR
Organizacin
Capacitacin
Dotacin
SUBTOTAL
RIESGO
BUENO
REGULAR
0.5
MALO
CALIFICACIN
COLOR
1.0
PERSONAS
0
0.5
0
0.5
0.5
0
RECURSOS
Materiales
Edificaciones
Equipos
SUBTOTAL
0.5
0.5
0.5
0.5
0
1
0
SISTEMAS Y PROCESOS
0.5
0.5
0.5
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
AMENAZA
0.5
0.5
0.5
1.5
DIAMANTE DE RIESGO
INTERPRETACIN
Para la amenaza de
EXPLOSIONES
el
nivel de riesgo es
BAJO.
PERSONAS
Explosiones
SISTEMAS Y
PROCESOS
RECURSOS
AMENAZA
RIESGO
BUENO
REGULAR
0.5
Organizacin
Capacitacin
Dotacin
SUBTOTAL
0.5
0.5
0.5
Materiales
0.5
MALO
CALIFICACIN
1.0
PERSONAS
0.5
0.5
0.5
1.5
RECURSOS
0.5
COLOR
Edificaciones
Equipos
SUBTOTAL
0.5
0.5
0.5
0.5
1.5
SISTEMAS Y PROCESOS
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
0
0
AMENAZA
FALLAS
ESTRUCTURALES
0
0.5
0
0.5
0.5
DIAMANTE DE RIESGO
INTERPRETACIN
PERSONAS
Para la amenaza
de
FALLAS
ESTRUCTURALES
el nivel de riesgo es
MEDIO.
SISTEMAS Y
PROCESOS
RECURSOS
AMENAZA
RIESGO
BUENO
REGULAR
0.5
MALO
CALIFICACIN
COLOR
1.0
PERSONAS
0
0
0
0
0.5
0
0.5
RECURSOS
Materiales
Edificaciones
Equipos
SUBTOTAL
0.5
0.5
0.5
0.5
0.5
0.5
1.5
SISTEMAS Y PROCESOS
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
AMENAZA
0
0
0.5
DIAMANTE DE RIESGO
0
0
0.5
0.5
INTERPRETACIN
Para
la amenaza
de
FALLAS EN
EQUIPOS
Y
SISTEMAS el nivel
de riesgo es BAJO.
PERSONAS
FALLAS EN
EQUIPOS Y
SISTEMAS
SISTEMAS Y
PROCESOS
RECURSOS
AMENAZA
RIESGO
BUENO
REGULAR
0.5
MALO
CALIFICACIN
COLOR
1.0
PERSONAS
0.5
0.5
0.5
0.5
0
1
0
RECURSOS
Materiales
Edificaciones
Equipos
SUBTOTAL
0.5
0.5
0.5
0.5
0.5
0.5
1.5
SISTEMAS Y PROCESOS
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
AMENAZA
CONTACTO
ELCTRICO
0
0.5
0
0.5
0.5
0
DIAMANTE DE RIESGO
INTERPRETACIN
PERSONAS
Para la amenaza
de
CONTACTO
ELCTRICO
el
nivel de riesgo es
BAJO.
SISTEMAS Y
PROCESOS
RECURSOS
AMENAZA
RIESGO
BUENO
REGULAR
0.5
MALO
CALIFICACIN
COLOR
1.0
PERSONAS
0
0.5
1
1.5
0.5
1
RECURSOS
Materiales
Edificaciones
Equipos
SUBTOTAL
0.5
0.5
0
0.5
1
0
0.5
SISTEMAS Y PROCESOS
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
AMENAZA
0
0
0
0
0.5
0.5
0.5
DIAMANTE DE RIESGO
PERSONAS
TERRORISMO
SISTEMAS Y
PROCESOS
RECURSOS
AMENAZA
RIESGO
INTERPRETACIN
Para la amenaza
de TERRORISMO
el nivel de riesgo es
BAJO.
VULNERABLES A
CALIFICAR
BUENO
REGULAR
0.5
Organizacin
Capacitacin
Dotacin
SUBTOTAL
MALO
CALIFICACIN
COLOR
1.0
PERSONAS
0.5
0.5
0.5
0.5
0.5
0.5
1.5
RECURSOS
Materiales
Edificaciones
Equipos
SUBTOTAL
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
0
0
0
0.5
0.5
1
0.5
0.5
SISTEMAS Y PROCESOS
0
0
0.5
0.5
0.5
AMENAZA
DIAMANTE DE RIESGO
INTERPRETACIN
PERSONAS
ASALTOS ROBOS
SISTEMAS Y
PROCESOS
RECURSOS
Para la amenaza
de
ASALTOS
ROBOS el nivel de
riesgo es BAJO.
AMENAZA
RIESGO
BUENO
REGULAR
0.5
MALO
CALIFICACIN
1.0
PERSONAS
0
0.5
0.5
1
0.5
0.5
RECURSOS
Materiales
Edificaciones
0.5
0
0.5
0
COLOR
Equipos
SUBTOTAL
0.5
0.5
1
SISTEMAS Y PROCESOS
Servicios Pblicos
Sistemas Alternos
Recuperacin
SUBTOTAL
AMENAZA
0
0.5
0.5
1
0.5
0.5
DIAMANTE DE RIESGO
PERSONAS
ASONADAS
SISTEMAS Y
PROCESOS
RECURSOS
AMENAZA
INTERPRETACIN
Para la amenaza
de ASONADAS el
nivel de riesgo es
MEDIO.
INTERPRETACIN DE RESULTADOS
Se evidencia que las principales amenazas encontradas en el anlisis de
vulnerabilidad de a la COMPAA son de nivel medio y bajo. Dentro de las
Amenazas que requieren de actividades de intervencin son: incendios, Asonadas,
Fallas Estructurales y movimientos ssmicos y terremotos.
Para el caso de las amenazas de tipo natural (movimientos ssmicos y terremotos)
y de tipo social (asonadas) es importante el tema de formacin, divulgacin y
preparacin ante este tipo de emergencias, junto la disposicin de planos y
sealizacin de las vas de evacuacin, sin dejar de lado la gestin con la
comunidad y los Cuerpos de ayuda externos (bomberos del sector, Polica,
Centros Asistenciales, Cruz Roja, Defensa Civil, DPAE).
En cuanto a las Amenazas de tipo tecnolgico (Fallas Estructurales e incendios),
es importante contemplar las actividades de mantenimiento preventivo y correctivo
de los equipos de trabajo e instalaciones elctricas; as mismo la disposicin de
programas de inspeccin a las instalaciones locativas, equipos de emergencia y a
las fuentes de ignicin.
Como aspecto Positivo dentro de la COMPAA existe un frreo compromiso, por
adelantar actividades de administracin, control y actualizacin de emergencias.
Se recomienda actualizar las actividades de Divulgacin y capacitacin al
personal, trabajadores y visitantes del plan de emergencia del Inmueble
(Socializacin).
Se recomienda verificar el sismo resistencia del Inmueble tomando como
referencia el acuerdo NSR 98 o NRS 10. Tambin se recomienda verificar el
anclaje de las estanteras ubicadas en el edificio.
Con respecto a los tanques de agua ubicados en el ltimo piso del Inmueble
se debe emitir un concepto de riesgo frente a la estructura toda vez que
es importante corroborar si la estructura fue contemplada y diseada desde
un principio para soportar o no dichos tanques.
- En conclusin, luego de realizar inspeccin a las reas vulnerables del
Inmueble y emitir el concepto referente a la patologa estructural, se puede
inferir que en la actualidad el Inmueble puede ser ocupada de manera
segura.
ANCHO DE LAS
SALIDAS EN METROS
2
3
1.70
1.70
CARGA MXIMA
OCUPACIONAL
112
DIMENSIN DE
LA SALIDAS (m)
1.70
N PERSONAS
MXIMAS A
CUMPLIMIENTO
RESPECTO A LA NTC
EVACUAR SEGN
DIMENSIN DE
SALIDAS
283
SI
PUERTA DE SALIDA
DIMENSIN DE LA
SALIDAS (m)
1.70
1.70
23
23
PUERTA A
PUERTA B
46
Administrativo
16
Total
20
PUNTO DE ENCUENTRO
Es el lugar que se designa con el fin de establecer el conteo final de las
personas evacuadas de las diferentes reas y verificar si todos lograron salir
del Inmueble. Los sitios de reunin final, deben estar alejados un mnimo de
20 metros de cualquier edificacin y 50 metros de riesgos crticos. No deben
ubicarse en lo posible sobre vas pblicas o rutas de acceso a las
edificaciones, tampoco deben estar demasiado lejos que implique grandes
desplazamientos. 2
En la COMPAA el Punto de Encuentro debe establecerse en:
PUNTO DE ENCUENTRO
1 Externo Principal
UBICACIN
Zona Verde Polideportivo
46
BIBLIOGRAFA
SEGURIDAD LGICA:
Objetivo General:
Desarrollar una consultora de seguridad en LA COMPAA para determinar
diversos factores que intervienen para lograr mejorar la seguridad de la
informacin en la organizacin. Objetivos Especficos: Conocer de forma
detallada la metodologa que se implementara para realizar una correcta
consultora de seguridad a la compaa. Implementar de forma correcta y
eficiente la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin. Realizar un planteamiento de anlisis de Riesgos de seguridad
con miras a identificar vulnerabilidades as como tambin los riesgos
potenciales y polticas de la compaa Brindar un informe detallado en el cual
se brindaran soluciones especficas para aplacar con los riesgos o amenazas
con el fin de minimizar los ataques a los que enfrenta la COMPAA. Formular
en base al anlisis de riesgos de quien se debe proteger los activos de la
compaa ya sean estos usuarios inexpertos como atacantes externos, adems
de las aplicaciones a las cuales se debe tener usos restringidos considerados
como fundamentales para la organizacin. Resolver el planteamiento propuesto
en el caso, que consiste en enlistar los activos que conformen el sistema
informtico, suponer si uno de los equipos de cmputo se infectara con gusano
(IWorm), qu medidas se deberan tomar?, qu se debera hacer en el
supuesto caso de que se debiera cambiar un disco duro daado (por ejemplo:
se decide tirarlo en el bote de basura). Qu implica esta accin? Qu se
podra hacer en este caso?, Con qu aspectos legales estn cumpliendo y
cules requieren atencin?, respecto a la seguridad, qu aspectos deben
mejorarse?
Planteamiento.
La presente evidencia de aprendizaje tiene como finalidad identificar
los principales elementos que intervienen en la seguridad de la
informtica, sus caractersticas, ventajas y desventajas, mediante el
anlisis de un caso donde se podr observar el problema, necesidad o
rea de oportunidad, considerando el riesgo de la prdida de
informacin.
Descripcin de la Compaa.
Conformada por una oficina: tiene 4 computadoras; una de ellas tiene comentado 1
multifuncional. Todas estn conectadas mediante cable al servidor, Direccin: 1
computadora conectada mediante red inalmbrica, la cual contiene el respaldo de toda la
informacin de la empresa, servidor con servicio de internet, sala de reuniones: 1
computadora porttil, proyector y pantalla, mesa con 8 sillas, personal: 1 director, 4
trabajadores, software: sistemas operativos, programas de aplicacin especfica,
antivirus y firewall.
Misin.
Dar el mejor servicio de informtica a todos sus clientes con la mejor
Visin
Ser la Compaa lder en el sector de Informtica en Mxico con los
mayores ndices de servicios al pblico con mayor xito, ofreciendo
los mejores servicios de calidad.
Polticas.
Nuestro compromiso con nuestros clientes es brindar un servicio
integral:
A nuestros clientes les brindaremos el respaldo requerido para
el mejor desarrollo de sus actividades.
A nuestros clientes les brindamos asesora preventiva y un
servicio integral en la revisin y atencin a todo tipo de
problemticas informticas en nuestras instalaciones y en
servicio a domicilio.
En ambos casos, con un personal altamente capacitado y a un precio
competitivo, cumpliendo y superando sus expectativas, mejorando
continuamente el control de nuestros procesos por medio de un
eficaz Sistema de Gestin de la Calidad para beneficio de la
compaa, los clientes y colaboradores
DESCRIPCIN DE LA METODOLOGA
UTILIZADA.
Anlisis de Riesgos
El anlisis de riesgos es una aproximacin metdica para determinar
el riesgo siguiendo unos pasos pautados:
-
activos
-
Paso 1: Activos
El activo esencial es la informacin que maneja el sistema; o sea los
datos. Y alrededor de estos datos se pueden identificar otros activos
relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y
los servicios que se necesitan para poder gestionar dichos
datos.
Las aplicaciones informticas (software) que permiten manejar
los datos.
Los equipos informticos (hardware) y que permiten hospedar
datos, aplicaciones y servicios.
Los soportes de informacin que son dispositivos de
almacenamiento de datos.
El equipamiento auxiliar que complementa el material
informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de
comunicaciones.
Las personas que explotan u operan todos los elementos
anteriormente citados.
Dependencias
Aparece como importante el concepto de dependencias entre
activos o la medida en que un activo superior se vera afectado por
un incidente de seguridad en un activo inferior.
Se dice que un activo superior depende de otro activo inferior
Capa 2:
10
11
12
La informacin
Datos
Meta-datos: estructuras, ndices, claves de cifra, etc.
Dimensiones de valoracin
Las dimensiones se utilizan para valorar las consecuencias de la
materializacin de una amenaza.
La valoracin que recibe un activo en una cierta dimensin es la
medida del perjuicio para la organizacin si el activo se ve daado en
dicha dimensin.
[D] Disponibilidad
Aseguramiento de que los usuarios autorizados tienen acceso cuando
lo requieran a la informacin y sus activos asociados.
Qu importancia tendra que el activo no estuviera disponible?
Un activo tiene un gran valor desde el punto de vista de
disponibilidad cuando si una amenaza afectara a su disponibilidad, las
consecuencias seran graves.
[I] Integridad de los datos
Garanta de la exactitud y completitud de la informacin y los
mtodos de su procesamiento.
VALORACIN
La valoracin puede ser cuantitativa (con una cantidad
numrica) o cualitativa (en alguna escala de niveles). Los
criterios ms importantes a respetar son:
Homogeneidad:
Relatividad:
Es importante poder relativizar el valor de un activo en comparacin
con otros activos.
Se ha elegido una escala detallada de tres valores:
Importancia del Activo
Valor
Criterio
De gran importancia a la
organizacin
Alto
Bajo
De menor importancia a la
organizacin
Paso 2: Amenazas
El siguiente paso consiste en determinar las amenazas que pueden
afectar a cada activo. Las amenazas son cosas que ocurren. Y, de
todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros
activos y causar un dao.
Descripcin:
Complementaria o ms detallada de la amenaza: lo que le puede
ocurrir a activos del tipo indicado con las consecuencias indicadas.
Criterio
Alto
Dao grave
Bajo
Dao menor
Criterio
Alto
Bastante Frecuente
Medio Frecuente
Bajo
Poco Frecuente
Criterio
Alto
Alto impacto
Bajo
Bajo impacto
IMPACTO
VALOR
Criterio
Alto
Alto riesgo
Bajo
Bajo riesgo
FRECUENCIA
RIESGO
IMPACTO
DESARROLLO DE LA METODOLOGIA.
Paso 1: Activos.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Estara usted de acuerdo que como grupo de consultores le brindemos
una metodologa de anlisis de riesgo.
_________________________________________________________________
Nombre:
Cargo:
Objetivo: Conocer especficamente la infraestructura de hardware y software
de la compaa, para identificar las diferentes vulnerabilidades y amenazas
de la compaa, y as brindndoles un anlisis de riesgo efectivo.
Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la
compaa para que esta cumpla con los requisitos y expectativas que la
compaa necesita, solicitamos su colaboracin para el llenado de la siguiente
encuesta contestando las siguientes preguntas. De ante mano muchas
gracias por su colaboracin.
1.
2.
3.
4.
5.
6.
Cules son los servicios de Internet a los que tienen acceso los
usuarios?
___________________________________________________________________
___________________________________________________________________
7.
8.
9.
10.
11.
12.
13.
El antivirus que utilizan actualmente cumple con los requerimientos de
la compaa.
_________________________________________________________________
_________________________________________________________________
14.
15.
Las personas que accedan al equipo de cmputo entran con alguna
contrasea.
_________________________________________________________________
_________________________________________________________________
16.
Las aplicaciones consideradas fundamentales cuentan con algn tipo
de contrasea o usuarios especficos?
_________________________________________________________________
_________________________________________________________________
Identificacin de Activos.
Tablas de inventario de activos
Departamento: Direccin
No
Descripcin
Finalidad
Categor
a
Criticida
d
HW, SW,
SI
Alto
HW
medio
Promociones,
publicidad
Impresora
Canon,
Publicaciones e
para todo el
impresiones
departamento
Departamento:
Oficina
No
Descripcin
Finalidad
Computadoras
Control de Ventas,
clientes,
proveedores,
Dell
Impresora
Categora Criticidad
HW, SW, SI
Alto
HW
medio
HW
bajo
cotizaciones
Reportes ventas,
precios
Scanner para
Captura de datos,
todo el
informes de ventas y
departamento
cotizaciones
Descripcin
Finalidad
Categora Criticidad
Computadora
Presentaciones
HW, SW, SI
Alto
HW
medio
HW
bajo
Dell, Portatil
1
Proyector para
Reportes y
cotizaciones,
todo el
de acuerdo al
departamento
Departamento.
Scanner
HW
bajo
Modem
(Conexin a Internet)
HW
medio
HW
medio
Fax y
Fotocopiadora
Identificacin de Amenazas
Tablas de amenazas y vulnerabilidades
Dimensiones:
Dimensiones:
[Dis] Disponibilidad
Descripcin:
Inundaciones: Posibilidad de que el agua dae por completo los
recursos del sistema.
Dimensiones:
[Dis] Disponibilidad
Dimensiones:
[Dis] Disponibilidad
Dimensiones:
[Dis] Disponibilidad
Descripcin:
Como consecuencia del paso del
tiempo
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay una ubicacin adecuada para almacenar y resguardar
soportes de informacin (medios magnticos, medios
pticos, documentos en papel)
Dimensiones:
1
. [I] Integridad
2
. [C] Confidencialidad
3
. [A_S] Autenticidad del servicio
4
. [A_D] Autenticidad de los datos
7
. [D] Disponibilidad
Dimensiones:
1. [C] Confidencialidad
2
. [A_S] Autenticidad del servicio
3
. [A_D] Autenticidad de los datos
4
. [I] Integridad
Descripcin:
Cuando un atacante consigue hacerse pasar por un usuario
autorizado, disfruta de los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por
personas ajenas a la Organizacin o por personal contratado
temporalmente.
Dimensiones:
1
. [C] Confidencialidad
2
. [I] Integridad
Descripcin:
Cada usuario disfruta de un nivel de privilegios para un determinado
propsito; cuando un usuario abusa de su nivel de privilegios para
realizar tareas que no son de su competencia, hay problemas.
Tipos de activos:
Dimensiones:
[Dis] Disponibilidad
Dimensiones:
1. [Dis] Disponibilidad
2
. [I] Integridad
3
. [C] Confidencialidad
4
. [A_S] Autenticidad del Servicio
5
. [A_D] Autenticidad de los Datos
Descripcin:
Propagacin intencionada de virus, espas (spyware), gusanos,
troyanos, bombas lgicas, etc.
compaa.
Por medio de que no tienen control en la red se conectan
equipos personales en los cuales se puede infectar de virus
peligrosos la red.
No mantienen un control para el uso de memorias USB,
discos duros externos, etc.
Dimensiones:
[Dis] Disponibilidad
Descripcin:
Eliminacin intencional de informacin, con nimo de obtener un
beneficio o causar un perjuicio.
Dimensiones:
[Dis] Disponibilidad
Descripcin:
La carencia de recursos suficientes provoca la cada del sistema
cuando la carga de trabajo es desmesurada.
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sistemas de deteccin y prevencin de intrusos en
la institucin (IPS / IDS) que pudiera detectar movimientos o
patrones de conducta anormales en el entorno de la red,
orientados a alterar el funcionamiento normal de los servicios
de informacin.
[A_Int.8] Robo
Tipos de activos:
[HW] Equipos Informticos
(hardware)
[SI] Soportes de Informacin
Dimensiones:
1
. [Dis] Disponibilidad
2
. [C] Confidencialidad
67
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
y no difieren en mucho de estas, salvo por el hecho que llevan
el texto que dice visitante, pero pueden fcilmente ser
confundidas.
Cdig
o
Descripcin
[DesN.1] Fuego
[DesN.2] Daos por Agua
[Indus.1] Corte del Suministro Elctrico
[Indus.2] Condiciones Inadecuadas de temperatura
Degradacin de los Soportes de Almacenamiento de la
[Indus.3] Informacin
[A_Int.1] Manipulacin de la Configuracin
[A_Int.2] Suplantacin de la Identidad del Usuario
[A_Int.3] Abuso de Privilegios de Acceso
[A_Int.4] Uso no Previsto
[A_Int.5] Difusin de Software Daino
[A_Int.6] Destruccin la Informacin
[A_Int.7] Denegacin de Servicio
NOMBRE: Roberto lvarez Granados
MATRCULA: AL12501836
CARRERA: Ingeniera en Desarrollo de Software
68
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
[A_Int.8] Robo
69
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
Como los ataques con malware son cada vez ms frecuentes, el inters ha
empezado a cambiar de proteccin frente a virus y spyware, a proteccin frente al
malware, y los programas han sido especficamente desarrollados para
combatirlos.
Los programas anti-malware pueden combatir el malware de dos formas:
1. Proporcionando proteccin en tiempo real (real-time protection) contra la
instalacin de malware en una computadora. El software anti-malware escanea
todos los datos procedentes de la red en busca de malware y bloquea todo lo que
suponga una amenaza.
2. Detectando y eliminando malware que ya ha sido instalado en una
computadora. Este tipo de proteccin frente al malware es normalmente mucho
ms fcil de usar y ms popular. Este tipo de programas anti-malware escanean el
contenido del registro de Windows, los archivos del sistema operativo, la memoria
y los programas instalados en la computadora. Al terminar el escaneo muestran al
usuario una lista con todas las amenazas encontradas y permiten escoger cuales
eliminar.
La proteccin en tiempo real funciona idnticamente a la proteccin de los
antivirus: el software escanea los archivos al ser descargados de Internet y
bloquea la actividad de los componentes identificados como malware. En algunos
casos, tambin pueden interceptar intentos de ejecutarse automticamente al
arrancar el sistema o modificaciones en el navegador web. Debido a que muchas
veces el malware es instalado como resultado de exploits para un navegador web
o errores del usuario, usar un software de seguridad para proteger el navegador
web puede ser una ayuda efectiva para restringir los daos que el malware puede
causar.
Mtodos de proteccin
70
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
Tener instalado un antivirus y un firewall y configurarlos para que se actualicen
automticamente de forma regular ya que cada da aparecen nuevas amenazas.
Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador
solo debe utilizarse cuando sea necesario cambiar la configuracin o instalar un
nuevo software.
Tener precaucin al ejecutar software procedente de Internet o de medio extrable
como CD o memorias USB. Es importante asegurarse de que proceden de algn
sitio de confianza.
Una recomendacin en tablet, telfono celular y otros dispositivos mviles es
instalar aplicaciones de tiendas muy reconocidas como App Store, Google Play o
Nokia Store, pues esto garantiza que no tendrn malware. Existe adems, la
posibilidad de instalar un antivirus para este tipo de dispositivos.
Evitar descargar software de redes P2P, ya que realmente no se sabe su
contenido ni su procedencia.
Desactivar la interpretacin de Visual Basic Script y permitir JavaScript, ActiveX y
cookies slo en pginas web de confianza.
Utilizar contraseas de alta seguridad para evitar ataques de diccionario.36
Es muy recomendable hacer copias de respaldo regularmente de los documentos
importantes a medios extrables como CD, DVD o Disco duro externo, para
poderlos recuperar en caso de infeccin por parte de algn malware, pero
solamente si se est 100% seguro que esas copias estn limpias.
Nota: El mtodo de restauracin de sistema de windows, podra restaurar tambin
archivos infectados, que hayan sido eliminados anteriormente por el antivirus, por
tanto es necesario, desactivar sta funcin antes de desinfectar el sistema, y
posteriormente reactivarla.
Qu haras en el supuesto caso de que debas cambiar un disco duro daado (por
ejemplo: se decide tirarlo en el bote de basura). Qu implica esta accin?
Qu haras en este caso?
El tirar un disco duro a la basura, implica que la informacin que contenga pueda
ser robada con algn software con los que se puede recuperar dicha informacin,
a pesar que dicho disco haya sido formateado previamente.
NOMBRE: Roberto lvarez Granados
MATRCULA: AL12501836
CARRERA: Ingeniera en Desarrollo de Software
71
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
Lo correcto es primeramente habra que analizar los daos del disco duro, y en
base a estos decidir, primero formatearlo a bajo nivel para borrar toda la
informacin, posteriormente, rayar con una lija de agua los platos del disco duro
para evitar que cualquier persona pueda salvar algn tipo de informacin y
posteriormente, dicho disco duro almacenarlo por el tiempo que sea necesario,
hasta que consideremos que dicha informacin ya es obsoleta y posteriormente
depositarlo en depsitos especiales para este tipo de objetos.
CONCLUSIONES
Entre las conclusiones que se dan en base al desarrollo del
presente trabajo se han determinado diferentes amenazas a las cuales
se ven afectada la compaa estn las naturales como lo son el fuego es
decir peligro a incendios que puedan causar estragos o incluso acabar
con los recurso de sistemas de informacin con los cuales cuentan
equipos informticos entendindose por esto hardware debido a que se
han
identificado
diferentes
vulnerabilidades
con
las
que
se
ve
72
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
disponibilidad de los servicios de informacin durante este problema se
d o dure el corte de energa adems de presentarse el riesgo de que los
sistemas elctricos podran ser susceptibles a cortos circuitos que
podran provocar la interrupcin del suministro total o parcial, debido a
la quema de fusibles de proteccin entre otros.
est
en
algn
soporte
informtico,
hay
amenazas
especficas.
Estas son las principales amenazas a las que la compaa se ve afectada
de acuerdo a las vulnerabilidades que se han observado por parte del
grupo de consultores entre otras que se han dado a conocer por parte
de la compaa.
73
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
GLOSARIO.
74
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
identificados.
75
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
BIBLIOGRAFIA.
Enlaces bibliogrficos.
Foro MAGERIT:
http://foro.map.es/
URLS.
http://www.csi.map.es/csi/pg5m20.htm
http://www.enisa.europa.eu/rmra/methods_tools/m_magerit.html
76
Seguridad Informtica
Unidad 1. Evidencia de aprendizaje. Proyecto de seguridad
informtica
77