Anda di halaman 1dari 10

Asignatura Datos del alumno Fecha

Apellidos: Vilac Salazar


Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Actividades

Caso práctico: Gestión del riesgo en una organización. Parte I

Introducción

Esta actividad está organizada en dos partes puntuables. En el Tema 1 desarrollaremos


las tareas que debes llevar a cabo para la Parte I del caso, y en el Tema 2, la parte
correspondiente a la Parte II del caso.

Este trabajo consiste en la realización de la apreciación y tratamiento del riesgo de una


organización de forma automatizada, utilizando para ello la plataforma SANDAS G.R.C.

Como alumno del Máster dispondrás de un usuario y contraseña que te facilitará el


acceso a un proyecto de SANDAS G.R.C en una instancia Cloud.

Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR.

Modelo de la organización: Arquitectura empresarial

Cuando accedas al proyecto encontrarás ya disponible un modelo parcial de la


arquitectura empresarial de un ayuntamiento local.

Para modelar la organización, la plataforma SANDAS G.R.C ha sido pionera en la


utilización estándares de arquitectura empresarial, lo que nos permitirá su modelado
'formal', funcionalidad que utilizaremos en el desarrollo de esta práctica.

Además, contaremos con otra ventaja, que será la posibilidad de diseñar el modelo de
forma 100% gráfica.

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Este modelo de arquitectura empresarial puede incluir, conforme a las mejores


prácticas internacionales (ver TOGAF1), una descripción de la organización por capas:

Capa de negocio: entre otros, una descripción de los servicios de negocio


prestados por la compañía o productos comercializados, los procesos de negocio
mediante los que se organización presta esos servicios o genera esos productos, así
como las partes que contribuyen a la ejecución de esos procesos (roles de negocio,
actores de negocio — personas u organizaciones —).
Capa de aplicación: los sistemas de información de la compañía, detallando los
servicios automatizados que prestan esos sistemas de información (similar a
'funcionalidades' individuales o conjuntos de funcionalidades – 'módulos'
disponibles para los usuarios).
Capa de tecnología: entre otros, los elementos de la infraestructura de
informática/computación y comunicaciones que constituyen esos sistemas de
información utilizados por la compañía. La plataforma GESCONSULTOR utilizada
permite modelar de forma detallada conceptos de uso habitual como los siguientes:

o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un
servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306.
o Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de
datos – como un clúster MySQL compuesto de tres servicios MySQL que corren
sobre tres máquinas físicas o virtuales distintas -).
o Máquinas físicas o virtuales, generalizándolas en el concepto de host, que tendrá
una dirección IP de red asociada, que puede contener servicios software
publicados a través de una IP y puerto TCP/UDP.
o Infraestructura de virtualización, como hipervisores (como VMWare vFabric o
Microsoft Hyper-V), granjas de virtualización, etc.
o Infraestructura hardware, sobre la que correrán los host físicos o la
infraestructura de virtualización.
o Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas
(bridges) de los que unen redes lógicas (routers).
o Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN)
como físicas (Ethernet, WiFi, Punto a Punto, etc.).

1
TOGAF 9.1 – Guía de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf
TOGAF 9.1 – Documentación oficial: https://www2.opengroup.org/ogsys/catalog/q091

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Con carácter transversal, se pueden definir también ubicaciones, que permitirán


geo-posicionar especialmente los activos físicos, aunque se permite ubicar
geográficamente cualquier tipo de activo en general.

También es posible definir grupos que incluirán uno o varios activos y que
permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un
grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar
el impacto de un determinado evento sobre cada activo individual en caso de que sea
similar.

Modelo inicial facilitado

Cuando accedas al proyecto encontrarás un modelo de arquitectura empresarial ya


parcialmente elaborado de un Ayuntamiento. Su diseño visual será similar al siguiente:

Tramitación
expedientes

0 h.
Tramitación
expedientes
0 h. 0 h.
0 h. 0 h.
0 h.
0 h.

2 Expedientes 0 h. Técnico Responsable


Funcionarios en papel informático de la oficina

0 h. 0 h.

Correo Conexión a Almacenamiento Almacenamiento Aplicación


electrónico Internet en red local remoto tramitación exp.
0 h.
0 h. 0 h.
0 h. 0 h.
Sala de
servidores
0 h. 0 h.

Oficina

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

En el mismo encontrarás los siguientes activos:

Servicios de negocio: Hardware



 Prestados a usuarios externos

 4 PCs
o Tramitación de expedientes  1 Servidor – Elementos auxiliares
 Prestados a usuarios internos
 Equipamiento de comunicaciones

 Red de área local (LAN)



o Correo electrónico

 Firewall
o Almacenamiento remoto

Instalaciones

o Almacenamiento en red local
 Oficina
o Conexión a Internet
 Sala de Equipos (Data Center).
 Servicios subcontratados
Personal
Datos
 Un responsable de la oficina.
 Información de los expedientes
Software  Dos funcionarios.
 Aplicación para la tramitación de  Un informático externo a tiempo
expedientes parcial.

Como puedes apreciar en el esquema anterior, tan importante es


identificar/inventariar/modelar los activos, como identificar/inventariar/modelar las
relaciones entre los activos.

Estas relaciones entre Activos serán las que permiten determinar:

1. Cómo se propagará la criticidad —o valor— del activo a todos aquellos que requiere
para el desarrollo de sus funciones (recorriendo las relaciones «hacia abajo», desde
el activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias
«inferiores», directas o indirectas).
2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad
o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones
«hacia arriba», desde el activo done se ha materializado el evento hacia sus
dependencias «superiores»).

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Sobre estos activos que han sido identificados podremos, posteriormente, identificar
escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias
estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos,
para considerar si son aceptables o inaceptables para la organización).

Qué debes hacer: desarrollo del trabajo

PARTE 1: Completando el modelo de Arquitectura Empresarial

El objetivo de la primera parte del trabajo es:

o Completar el modelo de arquitectura empresarial con un mínimo de (se valorará


positivamente que el modelo incorpore hasta 20 nuevos activos):

o Dos nuevos activos en la capa de negocio.


o Tres nuevos activos en la capa de aplicación.
o Cinco nuevos activos en la capa de tecnología.

Entrega:

Para entregar la actividad deberás adjuntar un documento en formato PDF


(preferiblemente) o Word que contenga capturas y una explicación:

o Del razonamiento seguido para añadir los activos que hayas determinado.
Se pretende plantear un modelo basado en las actividades que el municipio de
una de las ciudades principales de Ecuador realiza, basándose en el modelo
inicial y añadiendo nuevos departamentos y actividades. En estas
dependencias se tiene como principales actividades la generación de trámites y
acceso a documentación a los clientes, por ende, se requiere entre los
principales departamentos, el financiero, talento humano y tecnología.
En la capa de negocio se agregó el departamento financiero y el sistema de
información y aplicaciones a las cuales los usuarios pueden acceder y tener
permisos sobre ella por medio de un rol asignado para cada una de las
aplicaciones e información disponible. En la capa de tecnología se pretende
brindar respaldo y seguridad a los datos del ayuntamiento.

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

o La criticidad que has definido explícitamente.


Nivel de riesgo Descripción
Confidencialidad Medio Al ser la información de facturación
solo de uso interno, esta no se
encuentra dispuesta a personas
externas.
Integridad Alto Es de suma importancia que la
información se mantenga integra a
través del tiempo por lo que es
necesario brindar las garantías que
permitan respaldar y mantener la
información integra para su uso.
Disponibilidad Alto Al ser la información de los clientes y
de los trámites realizados de suma
importancia para la generación de
procesos internos y seguimiento de
trámites, la disponibilidad es
primordial e imprescindible para todo
el ayuntamiento.

o Así como las relaciones (como mínimo las creadas entre los nuevos añadidos y
los ya existentes).

En la capa de negocio se añade el sistema financiero al cual solo se puede


acceder mediante perfiles de usuarios y está atado a las áreas de caja, control
interno y análisis de cartera.

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

En la capa de aplicación se añadio el almacenamiento de trámites y un sistema de


informacion que esta protegido por un sistema de respaldo y un sistema de alimentacion
ininterrumpida. Todos los sistemas cuentas con asignacion de roles y otorgando el
minimo de privilegios para los usaurios.

En la sala de CPD se añadió en la capa de aplicación un sistema de protección contra


incendios, un sistema integral de seguridad para el acceso y control de ingreso de
usuarios al CPD, un sistema de refrigeración con su respectivo sistema de monitoreo
y en la capa de tecnología los servidores que contienen la información de tramitación
realizada en cada una de las dependencias.

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Valoración:
Confidencialidad Integridad Disponibilidad
Al ser la información el El impacto sobre uno de los La utilización de
núcleo del negocio y el datos o información del medidas tecnológicas y
pago de haberes por negocio puede causar un control de incidentes
ventanilla y bancos es impacto alto que conlleve a que prevengan la
Negocio

necesario mantener la revelación de información de interrupción del


seguridad por medio de los usuarios. servicio.
enlaces seguros y claves de
encriptación que permitan
la confidencialidad de la
transacción.
Al manejar datos de No existe legalmente una ley No tener acceso a la
usuarios externos es sancionadora sobre la información cuando sea
conveniente mantener la integridad de los datos, pero necesaria, puede ser
seguridad de los mismo de al ser datos sensibles es causal de auditorías al
Legal

acuerdo a la constitución y indispensable aplicar ayuntamiento.


autorizados por el titular mecanismos de seguridad
como acuerdos de integridad
de la información.

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Autorización a la Aseguramiento de la La información solo


información por medio de integridad de la información estará disponible para el
convenios de por medio de auditorías y log personal que esté
Estatutario

responsabilidad para cada de control a los sistemas debidamente registrado


uno de los usuarios sensibles de información. y designado para cada
internos del ayuntamiento. uno de los procesos del
sistema.
No existe mecanismos Auditoria ejecutada por Auditoria ejecutada por
claros para la valoración de autoridades de control bajo autoridades de control
la confidencialidad ni leyes niveles de responsabilidad bajo niveles de
sancionadoras sobre la penal para cada uno de los responsabilidad penal
Regulatorio

confidencialidad de datos. usuarios implicados por para cada uno de los


manipulación indebida de la usuario implicados
información.
Utilización de convenios Todo el personal debe Garantizar la
con el personal interno de garantizar la integridad de la disponibilidad por
la institución para permitir información por medio de medio de mecanismos
el acceso a la información roles y responsabilidades tecnológicos y de
Contractual

en base a las funciones asignadas a cada uno de control de la


desempeñadas por cada ellos. información.
uno de los mismos. Capacitación constante a
cada uno de los responsables
del manejo de la
información,.

TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Vilac Salazar
Análisis de Riesgos
23/04/2018
Legales
Nombre: Janny Vilac

Entrega:

Para entregar la actividad deberás adjuntar un documento en formato PDF


(preferiblemente) o Word que contenga capturas y una explicación:

o Del razonamiento seguido para añadir los activos que hayas determinado.
o Tres matrices de valoración, para Confidencialidad, Integridad y
Disponibilidad, particularizando criterios de valoración para cada
combinación de nivel de impacto y criterio de impacto que consideres tiene
sentido.
o La criticidad que has definido explícitamente en los activos que has valorado
con una explicación de las relaciones (como mínimo las creadas entre los
nuevos añadidos y los ya existentes).

TEMA 1 – Actividades