UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora Captulo 1: Seguridad de la Informacin
Ejercicio 01: Contratacin de Servicios de Terceros de TI
En base a la definicin realizada en la Unidad Nro.1 de la Empresa de Comidas rpidas, realice la identificacin de riesgos de contratacin de servicios de terceros en lo que refiere a infraestructura de hardware. Para situarse en la problemtica de la contratacin realice una lista de los procesos y prcticas que menciona CMMI para la constelacin de Adquisiciones (CMMi-ACQ V1.3) cuya especificacin podr encontrar en la Unidad 1 Capitulo 2: reas de SI&TI, apuntes complementarios. Utilice algn ejemplo de contratacin referido a Tecnologas.
Ejercicio 02: Seleccin y Adquisicin de Software
En base a la definicin realizada en la Unidad Nro.1 de la Empresa de Comidas rpidas, realice la identificacin de riesgos de seleccin y adquisicin de software. Utilice como marco la Seleccin de Herramientas para la administracin de infraestructura realizada en la unidad 1 capitulo 4: Gestin de Servicios
Ejercicio 03: Riesgos operacionales de TI
En base a la definicin realizada en la Unidad Nro.1 de la Empresa de Comidas rpidas, realice la identificacin de riesgos operacionales de TI para el acceso a servicios bancarios a travs de banca electrnica.
Antes de realizar la identificacin evale las polticas de seguridad relacionadas a la operatoria de 2 servicios de banca electrnica (ATM, Homebanking, POS, PDA, dispositivos mviles, etc.) y relacione estas polticas con las definidas por el BCRA verificando si cumplen la normativa (ver en documentos complementarios de este captulo)
Identifique de dichos servicios: - Definicin y actualizacin de usuarios y claves - Accesos - Caractersticas relacionadas con las transacciones (consultas de saldos transferencias pagos etc.)
Deber identificar al menos dos riesgos de cada servicio analizado, utilizando como marco para la identificacin la taxonoma de riesgos del SEI Taxonomy of Operational Cyber Security Risks descripta en la teora de esta Unidad.
Ejercicio 04: Sistema de Gestin de Seguridad de la Informacin
Dentro de las Polticas de Seguridad de la Informacin de la UTN se menciona entre otros objetivos:
Garantizar la seguridad de la informacin implementando controles de accesos a los usuarios de los sistemas, bases de datos y servicios de informacin, a travs de tcnicas de autenticacin y autorizacin, registros y controles de actividades criticas y planes de concientizacin de los usuarios para la utilizacin responsable de contraseas y equipos
Indique: Con qu dominio y controles SOA (Ver ANEXO Declaracin de Aplicabilidad ISO 27002:2005) se relaciona el objetivo mencionado. Qu Norma o Procedimiento y documentacin debern implementarse para evidenciar el cumplimiento de la poltica y para que puedan realizarse los controles indicados (indique al menos 2).
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora Captulo 1: Seguridad de la Informacin
Ejercicio 04: Sistema de Gestin de Seguridad de la Informacin
Redacte una norma o procedimiento de Seguridad de TI que supone debera existir actualmente en cualquier empresa indicando las consideraciones generales de la misma. Qu controles debera implementar para verificar el cumplimiento de dicha norma o procedimiento, a qu objetivo y dominio de control de la SOA (declaracin de aplicabilidad) se relaciona y cul sera la poltica de la empresa para la existencia del procedimiento.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora Captulo 1: Seguridad de la Informacin
ANEXO: DESARROLLO GENERAL A REALIZAR PARA EVALUACION DE RIESGOS:
NOTA: Este es un resumen de las actividades que deberan ser implementadas para realizar una Evaluacin de Riesgos Puede ser utilizado para realizar la etapa de Gestin de Riesgos solicitada en el Trabajo Integrador. Algunas de las actividades que se mencionan ya han sido realizadas en dicho trabajo por lo que puede utilizar la informacin ya recabada haciendo referencia a la misma. Al pie de este documento se encuentra el formato de los formularios que se mencionan en este anexo
1. Plantee una Organizacin para la cual Ud. deber analizar los riesgos.
2. Establecimiento del Marco General: Esta seccin debe finalizar con la confeccin de una narrativa del contexto que:
a. Establezca el contexto estratgico: Definir la relacin entre la Organizacin y el ambiente en el que opera. Aspectos financieros, operacionales, competitivos, polticos, imagen, sociales, clientes, culturales y legales y Stakeholders (organizacin, propietarios, personal, clientes, proveedores, comunidad local y sociedad).
b. Establezca el contexto organizacional: Entender la organizacin, sus capacidades y habilidades. Conocer sus objetivos y estrategias. Objetivos del negocio: de operaciones, de Informacin Financiera y de cumplimiento legal. Otros: la rentabilidad, el crecimiento institucional, posicionamiento competitivo, imagen, servicio al cliente, productividad, calidad, recursos humanos, impacto en la comunidad.
c. Identifique Objetos Crticos: Entendiendo por objeto, el rea, proceso o actividad o cualquier otro elemento en que se pueda subdividir la organizacin y sobre el cual se pueda efectuar administracin de riesgos. Definir los criterios bajo los cuales se pueda establecer la criticidad de un objeto respecto de otro. Criterios Prdida Financiera, Prdida de Imagen, Incumplimiento de la misin, etc., que nos permitan elaborar una clasificacin de las reas, proyectos, procesos, sistemas o actividades sobre los cuales se llevar a cabo la administracin de riesgos.
3. Identificacin de Riesgos
a. Establezca un marco especfico de administracin de riesgos: Entender la actividad o parte de la organizacin para la cual se aplicar el proceso de administracin de riesgos. Objetivos, estrategias y alcance de la evaluacin de riesgos a realizar. Complete Formularios <PROCESO DE GESTION DE RIESGOS>, <ROLES DEL PROCESO>
b. Desarrolle criterios de evaluacin de riesgos: Definir e identificar los criterios de anlisis y el nivel de aceptacin de los riesgos Aspectos en los cuales va a centrar su atencin durante la evaluacin tales como: probabilidad de ocurrencia del riesgo, impacto y severidad de ocurrencia, umbrales para disparar las actividades de administracin
c. Identifique la estructura: Separar la actividad o proyecto en un conjunto de elementos que facilite su comprensin y anlisis Brindando un marco lgico de accin. Puede utilizar las listas de taxonomas de riesgos del apunte o las listas provistas por cualquiera de los modelos evaluados. Por ejemplo: Basado en procesos Basado en Sistemas de Informacin (aplicaciones, programas, archivos, proceso, comunicaciones, entradas, salidas). Basado en Proyectos (ciclo de vida de desarrollo de SW, el proceso de administracin, etapas, entregables). Basado en recursos (Datos, Aplicaciones, Tecnologa, Instalaciones y Recurso Humano). La identificacin de riesgos deber estar adecuadamente documentada. Para ello podr utilizar el documento de identificacin de riesgos que se adjunta.
d. Identifique riesgos: Responder qu puede ocurrir? Identificar los eventos que puedan afectar los elementos de la estructura identificada en el item 3.c. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora Captulo 1: Seguridad de la Informacin
Recuerde para esto algunas palabras claves como: eventos, deseables, no deseables, positivos, negativos, probabilidad, impacto, objetivos, consecuencia, inciertos, inesperados, eventuales, etc. y las definiciones de Riesgo. Complete el formulario <DOCUMENTO DE IDENTIFICACIN DE RIESGOS>
4. Anlisis de Riesgos a. Valorice el IMPACTO del riesgo: Asignar valor al evento de materializacin del riesgo propio del objeto de anlisis. b. Determine Controles Existentes: Identificar las actividades o mecanismos de control implementados para mitigar los riesgos inherentes. c. Determine la PROBABILIDAD de ocurrencia de los riesgos: Asignar una probabilidad de materializacin del riesgo propio del objeto de anlisis. d. Identifique la Exposicin o Severidad del riesgo: Resultante de aplicar la frmula: SEVERIDAD = PROBABILIDAD * IMPACTO e. Evale y priorice los riesgos: Comparar el resultado del anlisis de riesgo realizado contra los criterios establecidos en el Marco general Elabore una lista ordenada de mayor a menor (PARETO), por la valoracin del nivel de exposicin. Esto le permitir definir los riesgos de mayor grado de importancia sobre los cuales deber definir las opciones de tratamiento. Centre su atencin en lo crtico, de acuerdo a los niveles de aceptacin que tenga definidos Complete el formulario <PLANILLA DE RIESGOS> Complete el formulario <PLANILLA DE PRIORIZACIN DE RIESGOS>
5. Planificacin de respuestas a los Riesgos
Complete el formulario <PLAN DE RESPUESTA A RIESGOS>
a. Identifique estrategias: Para la actividad o componente al cual aplic el proceso de administracin de riesgos, determine las respuestas correspondientes al riesgo. b. Evale opciones de tratamiento: Bajo las consideraciones del marco de referencia definido, establecer cules de las opciones de tratamiento identificadas se ajustan a la organizacin y reducen el riesgo a un nivel de exposicin aceptable. Las opciones de tratamiento deben evaluarse con base en el alcance de la reduccin de riesgo (de su probabilidad o de su impacto), la evaluacin debe extenderse a los beneficios u oportunidades que la opcin de tratamiento pueda crear. Tenga presente considerar varias opciones y que stas pueden aplicarse individualmente o de manera combinada. Considere los siguientes factores al momento de evaluar las opciones de tratamiento Eficacia: Efectividad de la propuesta de propuesta de tratamiento para reducir el riesgos Factibilidad: La probabilidad de aceptar la opcin propuesta Eficiencia: Uso ptimo de los recursos, costo y efectividad de la opcin
c. Prepare planes de tratamiento: Elaborar los planes que le permitan poner en prctica las opciones de tratamiento del riesgo seleccionadas. Documente cmo se implementarn las opciones elegidas: Identifique responsabilidades Identifique Programas, resultados esperados, presupuesto Especifique cmo se evaluar el desempeo y la revisin del proceso en su conjunto. El plan debera incluir tambin un mecanismo para evaluar la implementacin de las opciones contra criterios de desempeo y responsabilidades individuales y otros objetivos, y para controlar hitos crticos de implementacin. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora Captulo 1: Seguridad de la Informacin
Formulario 1: PROCESO DE GESTIN DE RIESGOS ACTIVIDAD Indicar Nombre/Descripcin de la Actividad Prctica Rol Responsable Intervienen Formulario Observaciones Indicar Nombre Prctica Indicar Rol Responsable Prctica Indicar Nombre- Formulario o No Aplica Agregar cuestiones de Inters
ACTIVIDAD Indicar Nombre/Descripcin de Actividad Prctica Rol Responsable Formulario Observaciones
. . .
Formulario 2: ROLES DEL PROCESO DE GESTIN DE RIESGOS Nombre del Rol Funciones Indicar Nombre del Rol Indicar funciones asignadas en el contexto del proceso definido
Formulario 3: DOCUMENTO DE IDENTIFICACIN DE RIESGOS Id.
REFERENCIAS: Especificacin: describir el evento particular que, una vez materializado, afecta en forma adversa al proceso, sistema, proyecto o recurso. Puede tener la forma: Relacionados con Artefactos: Ar<Artefacto> no est desarrollado Ar<Artefacto> no cuenta con CA<caracterstica> Relacionados con actividades: A<Actividad> no se ejecuta A<Actividad> demora ms tiempo de lo esperado A<Actividad> cuesta ms de lo esperado UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora Captulo 1: Seguridad de la Informacin
A<Actividad> no cuenta con R<rol> A<Actividad> no cuenta con P<prctica> Relacionados con roles: R<Rol> no est definido R<Rol> no cuenta con C<Capacidad>
Clasificacin: Indicar dependiendo de la Taxonoma o Lista de Chequeo seleccionada: Para la estructura de desglose del Riesgo del PMI: Categora/Sub-categora Para taxonoma de riesgos operacionales del SEI: Clase de la Fuente/Subclase Para la lista de chequeo de Riesgos de Proyectos de Adquisiciones de Software: Categora/Fuente de Riesgo
Indicadores: Indicar las seales de advertencia que permitan detectar la proximidad del riesgo o su materializacin
Contexto: Indicar cuestiones que mejoren la descripcin del riesgo en funcin del contexto que se est evaluando. Descripcin: Breve descripcin del contexto Actividad/Prcticas: Actividad en la que se puede materializar el riesgo especificado y Prcticas de dicha actividad Rol/Capacidad: Rol involucrado en la actividad y Capacidad requerida para el rol Artefactos/Caractersticas: Artefactos involucrados en la actividad/prctica relacionados con el riesgo (ej: hardware, aplicaciones, documentos, herramientas y productos de salida) y caractersticas de los mismos que se ven afectadas por la materializacin o proximidad del riesgo.
Causas: Indicar causas o consecuencias del riesgo que permitan establecer relaciones con otros riesgos.
Formulario 4: PLANILLA DE RIESGOS
Id. Descripcin Clasificacin Estado Probabilidad Impacto Severidad
REFERENCIAS: Estado: Pasivo ser asignado a un riesgo ya registrado y que ha dejado de afectar al desenvolvimiento del proyecto dentro de los parmetros establecidos. Activo ser asignado a un riesgo que ya est registrado y se estn ejecutando las acciones correspondientes a la mitigacin de este. Modificado ser asignado a un riesgo ya registrado y que se haya modificado alguna propiedad Inicial: ser asignado a un riesgo que an no haya sido analizado e incorporado en la planilla de priorizacin