SEGURIDAD INFORMATICA (IS-444)

UNSCH-2009 II

LABORATORIO N 4 HERRAMIENTAS PARA EL ANLISIS DE RIESGOS 1. OBJETIVO 1.1. Analizar e identificar las principales bondades de PILAR BASIC. 1.2. Herramienta de Autoevaluacin de normativa ISO 17799. 2. INFORME PREVIO 3. DESARROLLO TERICO 3.1. PILAR BASIC Herramienta para el anlisis de riesgos. Ofrece un amplio conjunto de utilidades para la realizacin de un anlisis cualitativo. Ofrece una sencilla forma de sistematizar el proceso laborioso de cargar datos y calcular con posterioridad los impactos y los riesgos. Los resultados obtenidos por la herramienta aporta una versin simplificada de la complejidad del problema, mediante la que es posible comprender mejor el mismo y adoptar conclusiones razonadas.

3.2. MAGERIT Metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las administraciones pblicas, elaborada por el consejo Superior de Informacin de Administracin Electrnica Espaa.

Bach. Manuel A. Lagos Barzola

http://www.unsch.edu.pe/~mlagosb/

SEGURIDAD INFORMATICA (IS-444)

UNSCH-2009 II

4. DESARROLLO DE LA PRCTICA PRIMERA PARTE: 4.1. Localizar la web de la ONGEI-PER, leer y anotar las principales funciones de esta oficina y especficamente cules son sus funciones enfocadas a la seguridad informtica. 4.2. Localizar y leer el concepto y aspectos bsicos de MAGERIT 2.0 y anotar la URL y los conceptos fundamentales y aspectos bsicos en el informe de la prctica. 4.3. Instalar la herramienta PILAR, y arrancar el programa con la configuracin por defecto, en modo presentacin, y seleccionando modo cualitativo. Capturar pantallas para el informe de la prctica. 4.4. Abrir el fichero de ejemplo STIC_es, y abrir el proyecto pyme_es. 4.5. Repasar los conceptos y listas tipificadas de activos, dependencias entre activos, amenazas y salvaguardas. 4.6. Anotar algunos ejemplos de cada apartado. Ejemplos: a qu activos afectan los errores de usuario y a qu activos afecta el fuego? Localiza la amenaza de menor frecuencia, pero mayor impacto. 4.7. Revisar la relacin de activos-amenazas. Capturar pantallas para el informe de la prctica. 4.8. Explorar las salvaguardas. Pon un ejemplo de salvaguarda. 4.9. Analizar la ventana de Riesgos. 4.10. La seccin de Informes de "Modelo de valor" y "Salvaguradas" no funcionan en la versin demo. 4.11. Revisar en detalle y comparar los diferentes informes de seguridad segn las normas: ISO/IEC 27002. Anotar algunos ejemplos del grado de cumplimiento de cada norma. SEGUNDA PARTE: 4.12. En base a las reas de la Universidad analizadas por su grupo se va a hacer un diagnstico respecto a la norma ISO 17799, tome como referencia la informacin recopilada de estas reas.

4.13. Cuestionario ISO 27002 (Antigua ISO 17799). Buenas prcticas de seguridad. Abrir el cuestionario Autodiagnstico ISO 17799.xls, e ir respondiendo a cada uno de los 127 controles de los 10 captulos de la norma, tomando en cada caso nota de la razn de la puntuacin asignada y de las posibles mejoras en cada apartado. 4.14. Revisar y apuntar los resultados de cumplimiento de cada uno de los captulos, indicando cul es el mejor y el peor. Adjuntar el archivo Excel a la prctica. 4.15. Cuestionario ISO 27001 (SGSI). Sistema de Gestin de la Seguridad de auditora de la Informacin. Abrir el cuestionario iso_27001_complinace_checklist.xls. Leer las instrucciones para cumplimentar la hoja. Revisar la primera solapa (Compliance Checklist) y poner un porcentaje de cumplimiento para cada control

Bach. Manuel A. Lagos Barzola

http://www.unsch.edu.pe/~mlagosb/

SEGURIDAD INFORMATICA (IS-444)

UNSCH-2009 II

(grado de madurez del control). Identificar que significa Findings y poner algn ejemplo de una auditora real. Adjuntar el archivo Excel a la prctica.
5. CONCLUSIONES

6. RECOMENDACIONES

7. BIBLIOGRAFA 7.1. La enciclopedia de la Seguridad Informtica, Vieites. 7.2. http://www.iit.upcomillas.es/palacios/seguridad/cap01.

Bach. Manuel A. Lagos Barzola

http://www.unsch.edu.pe/~mlagosb/