Seguridad Información

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS

Unidad 2: Seguridad de la Informacin y Auditora
Captulo 1: Seguridad de la Informacin

Ejercicio 01: Contratacin de Servicios de Terceros de TI

En base a la definicin realizada en la Unidad Nro.1 de la Empresa de Comidas rpidas, realice la
identificacin de riesgos de contratacin de servicios de terceros en lo que refiere a infraestructura
de hardware.
Para situarse en la problemtica de la contratacin realice una lista de los procesos y prcticas que
menciona CMMI para la constelacin de Adquisiciones (CMMi-ACQ V1.3) cuya especificacin podr
encontrar en la Unidad 1 Capitulo 2: reas de SI&TI, apuntes complementarios. Utilice algn
ejemplo de contratacin referido a Tecnologas.

Ejercicio 02: Seleccin y Adquisicin de Software

identificacin de riesgos de seleccin y adquisicin de software.
Utilice como marco la Seleccin de Herramientas para la administracin de infraestructura realizada
en la unidad 1 capitulo 4: Gestin de Servicios

Ejercicio 03: Riesgos operacionales de TI

identificacin de riesgos operacionales de TI para el acceso a servicios bancarios a travs de banca
electrnica.

Antes de realizar la identificacin evale las polticas de seguridad relacionadas a la operatoria de 2
servicios de banca electrnica (ATM, Homebanking, POS, PDA, dispositivos mviles, etc.) y relacione
estas polticas con las definidas por el BCRA verificando si cumplen la normativa (ver en documentos
complementarios de este captulo)

Identifique de dichos servicios:
- Definicin y actualizacin de usuarios y claves
- Accesos
- Caractersticas relacionadas con las transacciones (consultas de saldos transferencias
pagos etc.)

Deber identificar al menos dos riesgos de cada servicio analizado, utilizando como marco para la
identificacin la taxonoma de riesgos del SEI Taxonomy of Operational Cyber Security Risks
descripta en la teora de esta Unidad.

Ejercicio 04: Sistema de Gestin de Seguridad de la Informacin

Dentro de las Polticas de Seguridad de la Informacin de la UTN se menciona entre otros
objetivos:

Garantizar la seguridad de la informacin implementando controles de accesos a los usuarios de los
sistemas, bases de datos y servicios de informacin, a travs de tcnicas de autenticacin y
autorizacin, registros y controles de actividades criticas y planes de concientizacin de los usuarios
para la utilizacin responsable de contraseas y equipos

Indique:
Con qu dominio y controles SOA (Ver ANEXO Declaracin de Aplicabilidad ISO
27002:2005) se relaciona el objetivo mencionado.
Qu Norma o Procedimiento y documentacin debern implementarse para evidenciar
el cumplimiento de la poltica y para que puedan realizarse los controles indicados
(indique al menos 2).



Ejercicio 04: Sistema de Gestin de Seguridad de la Informacin

Redacte una norma o procedimiento de Seguridad de TI que supone debera existir actualmente en
cualquier empresa indicando las consideraciones generales de la misma. Qu controles debera
implementar para verificar el cumplimiento de dicha norma o procedimiento, a qu objetivo y
dominio de control de la SOA (declaracin de aplicabilidad) se relaciona y cul sera la poltica de la
empresa para la existencia del procedimiento.



ANEXO: DESARROLLO GENERAL A REALIZAR PARA EVALUACION DE RIESGOS:

NOTA:
Este es un resumen de las actividades que deberan ser implementadas para realizar una Evaluacin de
Riesgos
Puede ser utilizado para realizar la etapa de Gestin de Riesgos solicitada en el Trabajo Integrador.
Algunas de las actividades que se mencionan ya han sido realizadas en dicho trabajo por lo que puede
utilizar la informacin ya recabada haciendo referencia a la misma.
Al pie de este documento se encuentra el formato de los formularios que se mencionan en este anexo

1. Plantee una Organizacin para la cual Ud. deber analizar los riesgos.

2. Establecimiento del Marco General:
Esta seccin debe finalizar con la confeccin de una narrativa del contexto que:

a. Establezca el contexto estratgico: Definir la relacin entre la Organizacin y el ambiente en el que
opera.
Aspectos financieros, operacionales, competitivos, polticos, imagen, sociales, clientes, culturales y legales
y Stakeholders (organizacin, propietarios, personal, clientes, proveedores, comunidad local y sociedad).

b. Establezca el contexto organizacional: Entender la organizacin, sus capacidades y habilidades.
Conocer sus objetivos y estrategias.
Objetivos del negocio: de operaciones, de Informacin Financiera y de cumplimiento legal.
Otros: la rentabilidad, el crecimiento institucional, posicionamiento competitivo, imagen, servicio al cliente,
productividad, calidad, recursos humanos, impacto en la comunidad.

c. Identifique Objetos Crticos: Entendiendo por objeto, el rea, proceso o actividad o cualquier otro
elemento en que se pueda subdividir la organizacin y sobre el cual se pueda efectuar administracin de
riesgos. Definir los criterios bajo los cuales se pueda establecer la criticidad de un objeto respecto de otro.
Criterios Prdida Financiera, Prdida de Imagen, Incumplimiento de la misin, etc., que nos permitan
elaborar una clasificacin de las reas, proyectos, procesos, sistemas o actividades sobre los cuales se
llevar a cabo la administracin de riesgos.

3. Identificacin de Riesgos

a. Establezca un marco especfico de administracin de riesgos: Entender la actividad o parte de la
organizacin para la cual se aplicar el proceso de administracin de riesgos.
Objetivos, estrategias y alcance de la evaluacin de riesgos a realizar.
Complete Formularios <PROCESO DE GESTION DE RIESGOS>, <ROLES DEL PROCESO>

b. Desarrolle criterios de evaluacin de riesgos: Definir e identificar los criterios de anlisis y el nivel de
aceptacin de los riesgos
Aspectos en los cuales va a centrar su atencin durante la evaluacin tales como: probabilidad de
ocurrencia del riesgo, impacto y severidad de ocurrencia, umbrales para disparar las actividades de
administracin

c. Identifique la estructura: Separar la actividad o proyecto en un conjunto de elementos que facilite su
comprensin y anlisis
Brindando un marco lgico de accin. Puede utilizar las listas de taxonomas de riesgos del apunte o las
listas provistas por cualquiera de los modelos evaluados. Por ejemplo:
Basado en procesos
Basado en Sistemas de Informacin (aplicaciones, programas, archivos, proceso, comunicaciones,
entradas, salidas).
Basado en Proyectos (ciclo de vida de desarrollo de SW, el proceso de administracin, etapas,
entregables).
Basado en recursos (Datos, Aplicaciones, Tecnologa, Instalaciones y Recurso Humano).
La identificacin de riesgos deber estar adecuadamente documentada. Para ello podr utilizar el
documento de identificacin de riesgos que se adjunta.

d. Identifique riesgos: Responder qu puede ocurrir? Identificar los eventos que puedan afectar los
elementos de la estructura identificada en el item 3.c.


Recuerde para esto algunas palabras claves como: eventos, deseables, no deseables, positivos,
negativos, probabilidad, impacto, objetivos, consecuencia, inciertos, inesperados, eventuales, etc. y las
definiciones de Riesgo.
Complete el formulario <DOCUMENTO DE IDENTIFICACIN DE RIESGOS>

4. Anlisis de Riesgos
a. Valorice el IMPACTO del riesgo: Asignar valor al evento de materializacin del riesgo propio del objeto
de anlisis.
b. Determine Controles Existentes: Identificar las actividades o mecanismos de control implementados
para mitigar los riesgos inherentes.
c. Determine la PROBABILIDAD de ocurrencia de los riesgos: Asignar una probabilidad de
materializacin del riesgo propio del objeto de anlisis.
d. Identifique la Exposicin o Severidad del riesgo: Resultante de aplicar la frmula: SEVERIDAD =
PROBABILIDAD * IMPACTO
e. Evale y priorice los riesgos: Comparar el resultado del anlisis de riesgo realizado contra los criterios
establecidos en el Marco general
Elabore una lista ordenada de mayor a menor (PARETO), por la valoracin del nivel de exposicin.
Esto le permitir definir los riesgos de mayor grado de importancia sobre los cuales deber definir las
opciones de tratamiento. Centre su atencin en lo crtico, de acuerdo a los niveles de aceptacin que
tenga definidos
Complete el formulario <PLANILLA DE RIESGOS>
Complete el formulario <PLANILLA DE PRIORIZACIN DE RIESGOS>

5. Planificacin de respuestas a los Riesgos

Complete el formulario <PLAN DE RESPUESTA A RIESGOS>

a. Identifique estrategias: Para la actividad o componente al cual aplic el proceso de administracin de
riesgos, determine las respuestas correspondientes al riesgo.
b. Evale opciones de tratamiento: Bajo las consideraciones del marco de referencia definido, establecer
cules de las opciones de tratamiento identificadas se ajustan a la organizacin y reducen el riesgo a un
nivel de exposicin aceptable.
Las opciones de tratamiento deben evaluarse con base en el alcance de la reduccin de riesgo (de su
probabilidad o de su impacto), la evaluacin debe extenderse a los beneficios u oportunidades que la
opcin de tratamiento pueda crear.
Tenga presente considerar varias opciones y que stas pueden aplicarse individualmente o de manera
combinada.
Considere los siguientes factores al momento de evaluar las opciones de tratamiento
Eficacia: Efectividad de la propuesta de propuesta de tratamiento para reducir el riesgos
Factibilidad: La probabilidad de aceptar la opcin propuesta
Eficiencia: Uso ptimo de los recursos, costo y efectividad de la opcin

c. Prepare planes de tratamiento: Elaborar los planes que le permitan poner en prctica las opciones de
tratamiento del riesgo seleccionadas.
Documente cmo se implementarn las opciones elegidas:
Identifique responsabilidades
Identifique Programas, resultados esperados, presupuesto
Especifique cmo se evaluar el desempeo y la revisin del proceso en su conjunto.
El plan debera incluir tambin un mecanismo para evaluar la implementacin de las opciones contra
criterios de desempeo y responsabilidades individuales y otros objetivos, y para controlar hitos crticos de
implementacin.


Formulario 1:
PROCESO DE GESTIN DE RIESGOS
ACTIVIDAD Indicar Nombre/Descripcin de la Actividad
Prctica Rol Responsable
Intervienen
Formulario Observaciones
Indicar
Nombre
Prctica
Indicar Rol
Responsable
Prctica
Indicar Nombre-
Formulario o No
Aplica
Agregar cuestiones de
Inters

ACTIVIDAD Indicar Nombre/Descripcin de Actividad
Prctica Rol Responsable Formulario Observaciones

. . .

Formulario 2:
ROLES DEL PROCESO DE GESTIN DE RIESGOS
Nombre del Rol Funciones
Indicar Nombre del Rol Indicar funciones asignadas en el contexto del proceso
definido

Formulario 3:
DOCUMENTO DE IDENTIFICACIN DE RIESGOS
Id.

Identificador Legajo: Apellido y Nombres:
Especificacin
Clasificacin
Indicadores
Contexto
Descripcin
Actividad
/Practicas

Rol/
Capacidad

Artefactos/
Caracters-
ticas

Causas

REFERENCIAS:
Especificacin: describir el evento particular que, una vez materializado, afecta en forma
adversa al proceso, sistema, proyecto o recurso. Puede tener la forma:
Relacionados con Artefactos:
Ar<Artefacto> no est desarrollado
Ar<Artefacto> no cuenta con CA<caracterstica>
Relacionados con actividades:
A<Actividad> no se ejecuta
A<Actividad> demora ms tiempo de lo esperado
A<Actividad> cuesta ms de lo esperado


A<Actividad> no cuenta con R<rol>
A<Actividad> no cuenta con P<prctica>
Relacionados con roles:
R<Rol> no est definido
R<Rol> no cuenta con C<Capacidad>

Clasificacin: Indicar dependiendo de la Taxonoma o Lista de Chequeo seleccionada:
Para la estructura de desglose del Riesgo del PMI: Categora/Sub-categora
Para taxonoma de riesgos operacionales del SEI: Clase de la Fuente/Subclase
Para la lista de chequeo de Riesgos de Proyectos de Adquisiciones de Software:
Categora/Fuente de Riesgo

Indicadores: Indicar las seales de advertencia que permitan detectar la proximidad del
riesgo o su materializacin

Contexto: Indicar cuestiones que mejoren la descripcin del riesgo en funcin del contexto
que se est evaluando.
Descripcin: Breve descripcin del contexto
Actividad/Prcticas: Actividad en la que se puede materializar el riesgo especificado
y Prcticas de dicha actividad
Rol/Capacidad: Rol involucrado en la actividad y Capacidad requerida para el rol
Artefactos/Caractersticas: Artefactos involucrados en la actividad/prctica
relacionados con el riesgo (ej: hardware, aplicaciones, documentos, herramientas y
productos de salida) y caractersticas de los mismos que se ven afectadas por la
materializacin o proximidad del riesgo.

Causas: Indicar causas o consecuencias del riesgo que permitan establecer relaciones con
otros riesgos.

Formulario 4: PLANILLA DE RIESGOS

Id. Descripcin Clasificacin Estado Probabilidad Impacto Severidad

REFERENCIAS:
Estado:
Pasivo ser asignado a un riesgo ya registrado y que ha dejado de afectar al desenvolvimiento
del proyecto dentro de los parmetros establecidos.
Activo ser asignado a un riesgo que ya est registrado y se estn ejecutando las acciones
correspondientes a la mitigacin de este.
Modificado ser asignado a un riesgo ya registrado y que se haya modificado alguna propiedad
Inicial: ser asignado a un riesgo que an no haya sido analizado e incorporado en la
planilla de priorizacin

Seguridad Información

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Seguridad Información

Diunggah oleh

Hak Cipta:

Format Tersedia

UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION

Asignatura: ADMINISTRACION DE RECURSOS

Anda mungkin juga menyukai