Académique Documents
Professionnel Documents
Culture Documents
U.E.C:
CATEDRATICO:
ALUMNOS:
HUANCAYO-PER
2016
DEDICATORIA
El presente trabajo est dedicado a
las
personas
que
contribuyen
incondicionalmente en el proceso de
mi formacin profesional
NDICE DE CONTENIDOS
1.1. Descripcin de la organizacin...............................................................5
1.1.1. Razn social ...............................................................................5
Planteamiento de Estudio............................................................6
2.3.
Identificacin de Activos............................................................10
2.4.
Identificacin de Requerimientos...............................................14
2.5.
Valoracin de Activos................................................................15
2.5.1.Descripcin de Activos......................................................16
2.6.
Gestin de Riesgos...................................................................18
2.7.
Criterio de Valoracin................................................................21
2.7.1.Dependencia de activos ..................................................25
2.7.2.Representacion Dependencia de activos .........................26
2.8.
Clasificacin de Activos.............................................................32
2.8.1.Procesos del Laboratorio de Computo..............................33
2.8.2.Normas y Polticas y Medidas de Seguridad.....................37
INTRODUCCIN
La seguridad, en informtica como en otras reas, se basa en la proteccin
de activos. Estos activos pueden ser elementos tan tangibles como
un servidor o una base de datos, o pueden ser la reputacin de una empresa.
de
forma
nica,
sean
usuarios
finales,
otros
servicios
o computadoras externas.
Autorizacin: no solo es necesario saber quines acceden a nuestros activos,
tambin es necesario establecer que es lo que pueden hacer con ellos. Un
nivel de autorizacin dado determina qu tipo de operaciones o transacciones
puede efectuar un cliente dado sobre un recurso dado.
Registro y Auditoria: luego de efectuada una operacin, es importante que esta
sea registrada adecuadamente, en particular es esencial si queremos evitar el
repudio de transacciones efectuada por un cliente.
Desarrolladores, diseadores y administradores de la aplicacin, como por una
eventual auditora de sistemas.
CAPITULO I
GENERALIDADES
En este captulo se analizar los aspectos generales del proyecto como
son el planteamiento del problema, formulacin del problema, objetivo
general, justificacin terica, metodolgica y prctica.
As como tambin la hiptesis, tipo de investigacin, nivel de investigacin
y el sistema de referencia.
1.1.
Descripcin de la Organizacin
1.1.2. Razn Social
Colegio San Juan Bosco
1.1.3. Giro de Negocio
Colegio San Juan Bosco, es una empresa del sector privado,
cuya actividad econmica es la de prestar servicios de
educacin, con el compromiso de formar lderes ntegros que
promuevan el desarrollo de nuestro pas.
1.1.4. Ubicacin
Jr. Cuzco 779 Huancayo - Junn Per
2.1.
Problemas de hardware
Problemas de software
Problemas de recursos humanos
Problemas de instalaciones fsicas
PROBLEMAS DE HARDWARE
a. Vandalismo. - Destruccin del equipo por parte de usuarios,
principalmente en centros de cmputo.
b. Obsolescencia de equipos. - El acelerado paso en la
innovacin de los equipos, es de particular importancia para los
propietarios de los centros de cmputo, y se vuelve un
problema ya que es necesario estar actualizando tanto el
software como el hardware. Discos duros ms veloces y de
mayor capacidad, perifricos que amplan su rango de accin,
impresoras con mayor nitidez, etc.
c. Consumibles. - La colocacin estratgica y el suministro
adecuado de los recursos que requieren las computadoras para
su funcionamiento, es de vital importancia y se vuelve un
problema, sobre todo de tiempo, cuando no estn disponibles
en el momento.
d. Mantenimiento inadecuado. - Deben existir programas de
mantenimiento y cumplirse al pie de la letra, ya que el retraso
en las actividades de limpieza en los equipos por lo general da
como resultado daos en los mismos.
2.2.
PROBLEMAS DE SOFTWARE
como
accidentales
de
violacin
de
su
contra
accesos no
autorizados y como
con
el
fin
de
garantizar
la
oportuna
2.3.
adecuada
para
mantener
en
ptimas
una
adecuada
supervisin
de
las
actividades
estos
factores
influyen
notablemente
en
la
no
autorizada
de
dispositivos
ya
sean
Anlisis
de
riesgos.
- Identificar,
evaluar
Cmputo
afectando
instalaciones,
equipo,
monetario,
alteraciones en nmina.
3. IDENTIFICACIN DE ACTIVOS
Papel
Tarjeta
2. Activos tecnolgicos
Paquete do programas o software estndar
Descripcin
El software estndar o paquete de programas es un
producto comercializado como tal (y no como desarrollo
nico o especfico) con soporte, versin y mantenimiento.
Presta un servicio genrico a los usuarios y a las
aplicaciones pero no es personalizado o especifico como la
Activos
aplicacin profesional.
Antivirus Symantec Cliente. Software de contabilidad
Software de atencin al cliente.
Microsoft Visio Nero Suite
Microsoft Visual Estudio, Microsoft Project y Adobe
Illustrator
Hardware Porttil
Descripcin
Activos
Descripcin
Activos
Servidores
Descripcin
Activos
Soporte electrnico
Descripcin
Activos
informtico estndar.
CD ROM. Disco duro extrable. memoria extrable
Infraestructura
Establecimiento
Descripcin
El tipo establecimiento est formado por el conjunto de
lugares que contienen todo o parte del sistema y los medios
Activos
Portal extremo
Descripcin
Un portal extremo es un punto de acceso que encontrar o
utilizar un usuario cuando busque informacin o un
servicio del organismo. Los portales brindan un gran
Activos
Medios de Comunicacin
Descripcin
Activos
4. Personal
Empleados
Descripcin
Activos
prestador.
Lnea telefnica, central telefnica redes telefnicas
internas
2.4.
IDENTIFICACIN DE REQUERIMIENTOS
Se identificar los requerimientos de los activos de la CO en base
a los objetivos del negocio, aspectos legales para de esta manera
identificar las obligaciones del SGSI. Los requerimientos estn
determinados con respecto.
2.5.
ACTIVOS DE INFORMACIN
Los requerimientos de seguridad de la informacin deberan estn
enfocados en base a la Confidencialidad. Disponibilidad e
Integridad. La informacin no debera ser vista por personal no
autorizado la informacin puede ser modificada nicamente por
personal autorizado La informacin debera estar disponible en
cualquier momento
2.6.
SOFTWARE
Si el Software es comercial la confidencialidad no aplica, para
software propietario de la organizacin existe el requerimiento de
confidencialidad.
Las aplicaciones no deberan ser utilizadas por personal no
autorizado.
El software puede ser modificado nicamente por personal
autorizado el software, en especial aplicaciones deberan estar
disponibles al menos durante la jornada laboral.
2.7.
ACTIVOS FSICOS
Para los activos fsicos se debe enfocar los requerimientos de
hardware, no en la informacin que procesen, que transmitan o
almacenen.
Los cambios en el Hardware deben ser realizados nicamente por
personal autorizado el Hardware debe ser accesible por el
personal autorizado al menos durante la jornada laboral.
2.8.
SERVICIOS
Los servicios agrupan informacin, software y activos fsicos, se
deben especificar los requerimientos en base a los aspectos ms
importantes.
Los servicios deberan ser consistentes y completos los servicios
deberan estar disponibles cuando ser requiera tpicamente la
confidencialidad no aplica a servicios, sin embargo, depende de la
naturaleza del servicio.
2.9.
PERSONAS
Para las personas los requerimientos nicamente se enfocan en
la disponibilidad de las personas. Por ejemplo:
El administrador del sistema debe proveer el funcionamiento
correcto de los servicios de la red y sistemas (Disponibilidad del
personal)
ACTIVOS
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
TOTAL
Documentation y Registros.
DATOS
PERSONAL
2
Hardware Porttil
PCs de oficina
Sistemas operativos
3
3
2
1
3
3
3
2
2
3
2
3
2
2
3
8
9
6
5
9
Medios y Soporte
Establecimientos
Servicio de energa
Suministros de oficina
3
3
2
2
3
2
2
3
3
Empleados
TECNOLOGIA
Servidores
Equipos de Oficina
Paquetes software estndar
INFRAESTRUCTURA
SISTEMAS DE
INFORMACION
Sistema web
PROCESOS
Servicio de correo electrnico
Sistema de operacin
Sistema de Comunicacin
PLATAFORMA VIRTUAL
7
9
7
SISTEMA OPERATIVO
El activo ubicado en el rea de informtica, perteneciente
a todos los equipos de cmputo de la organizacin posee
el sistema operativo de Windows 8.1 ultmate.
BACKUP
Este activo representa las copias de seguridad de la
informacin de la base de datos que se realizan de forma
automtica y se guarda en un disco duro, adems se
realiza una copia diaria (en DVD) y una semanal (externa)
que se entrega al jefe del rea de Informtica. Este activo
es importante para la institucin en cuanto a que debe
protegerse el acceso a las copias de seguridad porque
contienen los datos importantes y otros documentos que
son de carcter confidencial por ley.
SOFTWARE DE DESARROLLO
NAVEGADORES
Son usados ya que son los ms comerciales e interactan
con los sistemas operativos con normalidad Mozilla
Firefox, Google Chrome y safari.
REDES DE COMUNICACIONES
La institucin tiene bajo su responsabilidad instalaciones
dedicadas al servicio de comunicaciones como intranet
donde consultan los padres de familia, tanto alumno que
dan soporte a la transferencia de datos, aplicaciones y
servicios digitales.
Red WIFI
La red de acceso inalmbrico permite la conexin de
usuarios.
Red LAN
La red de datos se encuentra ubicado en la Oficina de
Estadstica e Informtica y permite la conexin de usuarios,
administrativos a fin que puedan acceder a recursos
proporcionado por el servicio de Internet.
Cableado Estructurado
Se encuentra instalado en la institucin para su fcil acceso
a personal autorizado.
Equipos de redes
La institucin cuenta
con
Acces
point,
Switch
de
distribucin y Router
2.6. GESTIN DE RIESGOS (Fuentes de Dao)
Perdida de datos
Informacin errnea
Daos en hardware
Perdidas econmicas
Perdida de credibilidad
Cada de red
Software desactualizado
Impacto
Acceso no autorizado
Por vulneracin de los sistemas de seguridad en operacin (Ingreso
no autorizado a las instalaciones).
Desastres Naturales
computacionales ms sensibles.
Por fallas de la comunicacin.
Por fallas en el tendido fsico de la red local.
Fallas en las telecomunicaciones con la fuerza de venta.
Fallas en las telecomunicaciones con instalaciones externas.
Por fallas de Central Telefnica.
d) Otros imponderables.
Fallas de Hardware
c) Falla en el Router.
d) Falla en el FireWall.
Informacin
elaborada
por
el
Consejo
Superior
de
muy alta
casi
seguro
fcil
alta
muy alto
medio
media
posible
difcil
baja
poco
probable
muy
difcil
MB
muy baja
muy raro
extremad
amente
difcil
MA
AMENAZA Y VULNERABILIDAD
TABLA 2.7.1. Amenaza y Vulnerabilidad por Activo de Informacin
Id
Riesg
o
Activo
Vulnerabilidad
Amenaza
Posibilidad de
que la amenza
explote la
vulnerabilidad
Impacto
estimado
Falta de manejo de
sesiones
Manipulacin de
informacin
Alto
Alto
Susceptibilidad a
variaciones de voltaje
Prdida de
suministro de
energa
Alto
Muy Alto
R3
No hay manejo de
contraseas
Intrusin invasiva y
espionaje
Alto
Muy Alto
R4
Gestin inadecuada
de la red
Saturacin de los
sistemas de
informacin
Alto
Alto
Falla de equipos de
comunicacin de red
Prdida de
comunicacin entre
equipos
Alto
Muy Alto
Ancho de banda
insuficiente
Comunicacin lenta
Alto
Alto
R1
R2
R5
R6
Computadora de
escritorio
Cableado y
servicios de red
R7
Llaves de ingreso
R8
R9
Base de datos
R10
R11
Servidores
R12
R13
Destruccin, robo o
manipulacin de
equipos y de
documentos
Alto
Muy Alto
Acceso a bases de
datos
Almacenamiento de
contraseas
negligente
Bajo
Muy Alto
Gestor de base de
datos obsoleto
Intrusin invasiva
Bajo
Muy Alto
No realizacin de
archivos de respaldo
Prdida de
informacin
Alto
Alto
Prdida de
informacin
Alto
Alto
No hay manejo de
sesiones de usuario
Acceso al sistema
por varias personas
con un solo usuario
Alto
Alto
Constantes
modificaciones de
datos sin campos de
auditoria
Alto
Muy Alto
Falta de
mecanismos de
backup
Alto
Alto
Mala administracin
de fechas
Alto
Alto
Sistema
monousuario
Modificacin de
"Acadmicus" Pos informacin
Grado
Perdida de
informacin
R14
R15
Acceso a ambientes o
instalaciones
Servicio limitado
Sistema
acadmico clienteservidor (web)
R16
Sin servicio
Corte de energa en
la institucion
Alto
Muy Alto
R17
Servidor y sistema
independiente de los
sistemas acadmicos
Data desactualizada
Alto
Muy Alto
R18
Prdida de
funcionamiento
Sistema hecho en
programa
desactualizado
Alto
Alto
R19
Informacin
inconsistente
Data desactualizada
Alto
Muy Alto
R20
Prdida de
informacin
Manipulacin por
personal no
autorizado
Alto
Alto
R21
Deterioro de
documentos
Deterioro de
documentos por
factores ambientales
Alto
Muy Alto
R22
Falta de mecanismos
de backup
Prdida de
documentos
Alto
Muy Alto
R23
Deterioro de
documentos
Alto
Muy Alto
Alto
Alto
Sistema de CUNA
Files acadmicos
de estudiantes
R24
Files de equipos
asignados a
usuario.
Prdida de
informacin
Falta de
mecanismos de
transporte
Manipulacin por
personal no
autorizado
R25
Deterioro de
documentos
Deterioro de
documentos por
factores ambientales
Alto
Muy Alto
R26
Falta de mecanismos
de backup
Prdida de
documentos
Alto
Muy Alto
R27
Deterioro de
documentos
Falta de
mecanismos de
transporte
Alto
Muy Alto
R28
Informacin no real
Actas incompletas
Alto
Muy Alto
en
la
medida
que
indica
el
grado
de
se
la
denomina dependencia
acumulada.
La
1
Personal a Cargo
Base de Datos
Backup Principal
2
PC-Escritorio
Dispositivos Porttiles
3
Redes de comunicacin
4
Navegadores, antivirus
5
Instalaciones
Intranet
DEFINICIN DE AMENAZA
Se puede definir como amenaza a todo elemento o
accin capaz de atentar contra la seguridad de la
informacin.
Las amenazas surgen a partir de la existencia de
vulnerabilidades, es decir que una amenaza slo
puede existir si existe una vulnerabilidad que pueda
ser aprovechada, e independientemente de que se
comprometa o no la seguridad de un sistema de
informacin.
Diversas situaciones, tales como el incremento y el
perfeccionamiento de las tcnicas de ingeniera
social, la falta de capacitacin y concientizacin a los
usuarios en el uso de la tecnologa, y sobre todo la
creciente rentabilidad de los ataques, han provocado
en los ltimos aos el aumento de amenazas
intencionales.
Tipos de amenazas
Las amenazas pueden clasificarse en dos tipos:
una vulnerabilidad,
ponen
en riesgo los
ejemplo
las
amenazas
fenmenos naturales).
relacionadas
con
Ciclo de amenazas
DEFINICIN DE VULNERABILIDAD
Hace
referencia
sistema permitiendo
una
a
un
debilidad
atacante
en
un
violar
la
DEFINICIN DE RIESGO
ACONTESIMIE
CLASIFICACI
NTO
Insignificante
ON
0
Muy bajo
bajo
Medio
Alto
Muy alto
Grave
Activos Crticos
Nombre
Servidor
Descripcin
Intel core 2 duo
Clasificacin
6
Intel Core i5
Procesador de 3.2 GH
software
4 gb de ram
Sistema operativo
Windows 8.1 ultimate
antivirus
Office
Software de diseo
Router
switch
Switch Gigabit
Administrable D-Link
L2 48 Puertos PoE
No crticos
Nombre
Escritorio
sillas
Extintor
Descripcin
Medida de 1.08 metros
Por 0.48 metros
Ergonmicas secretarial
CO2
Clasificacin
3
2
2
Descripcin de actividad
3
El usuario ya sea
docente o alumno
puede solicitar el
prstamo del
Cable UTP
Cable UTP categora 5
2
laboratorio.
Conectores
Jaks rj45
1 Cada alumno
cuenta con su
identificacin.
El encargado
verifica valides del
2.8.1. PROCESOS DEL LABORATORIO DE COMPUTOsolicitante y toma la
decisin
El encargado da
como
responsabilidad al
usuario asignado.
Cuenta con un
informe del horario
y fecha.
Verifica el
funcionamiento del
equipo
Realiza sanciones
impresora
Autoriza la
reparacin de
equipo
2.8.2. NORMAS,
POLITICAS
Y
MEDIDAS
DE
SEGURIDAD
2.8.2.1.
NORMAS
DEL
CENTRO
DE
CMPUTO.
Los
correspondientes
informtica.
diferentes
asignaturas
de
LAS RESPONSABILIDADES
1. Las sanciones que podrn aplicarse a quienes violen las
disposiciones de este reglamento o cometan daos o cualquier acto
ilcito en el centro de cmputo son de acuerdo a la falta cometida:
a. amonestacin escrita.
b. Suspensin temporal (1 semana. 1 mes. etc.)
c. Suspensin definitiva.
2. Las llamadas de atencin verbal podrn ser aplicadas de inmediato
por el encargado del Centro de Cmputo en turno quien lo registrara
y reportara a las correspondientes autoridades.
Los motivos por causas de llamadas de atencin
verbal son las siguientes:
Mover el monitor. CPU y teclado.
Mantener encendido su telfono
celular.
Escuchar msica de audio.
Mantenerse de pie sin autorizacin.
Abrir las ventanas.
Abandonar a cada momento el centro de cmputo.
3. La acumulacin de dos amonestaciones de parte de los usuarios,
ameritara la suspensin temporal (1 semana) del servicio del centro
de cmputo.
4. El usuario tendr una suspensin definitiva, en los
siguientes casos:
a) Reincidencia en el mal cumplimiento.
b) Daos o alteraciones a las instalaciones, materiales o equipo
ocasionados con negligencia.
c) Robos de material o equipo.
d) Conducta inapropiada.
e) Actos que pongan en peligro la vida o la seguridad de
terceros.
5. La suspensin temporal podr contemplar de 7 a 30 das hbiles y
se comunicara al estudiante y a las autoridades correspondientes en
forma escrita, impidiendo el ingreso de usuario al centro de
cmputo.
Restricciones de uso de los equipos.
a. Queda prohibido abrir, manipular o efectuar cambios a
los componentes fsicos que conforman el equipo de
cmputo.
b. Ningn usuario deber tener acceso al equipo que
sirva de servidor en el centro de cmputo.
c.
ENCARGADO DEL CENTRO DE CMPUTO
El encargado del centro de cmputo es la mxima
autoridad del mismo. Est obligado a:
1. Vigilar que el reglamento del Centro de Cmputo se
cumpla.
2. Cuidar del orden dentro del centro de cmputo.
3. Tener y mantener actualizadas estrategias antivirus.
4. Mantener un registro del uso del equipo del centro de
cmputo.
5. Llevar el control de apartado del equipo de cmputo.
6. Auxiliar a los usuarios cuando lo necesiten.
7. Atender las contingencias en caso de corte de
energa, cada de seal de Internet, averas en los
equipos.
8. Presentar un reporte final de su horario de trabajo, del
uso del centro de cmputo y de reporte de fallas de
equipo.
PROHIBICIONES DEL ENCARGADO DEL CENTRO
DE CMPUTO.
1. Escuchar msica dentro del centro de cmputo.
2. Hacer tareas o cualquier trabajo de ndole personal.
3. Instalar software sin la autorizacin por escrito del
director.
4. Utilizar juegos en la computadora.
5. Bajar software de Internet, sin el debido permiso.
6. El encargado del centro de cmputo administra lodos
los permisos para impresin.
LOS ESTUDIANTES
1. Los estudiantes debern reportar al encargado del
cmputo.
2. No se puede borrar programas u otros archivos de
utilidad del centro de cmputo.
3. Todo archivo se debe guardar en disquetes
autorizados por el encargado del centro de cmputo.
UTILIZACION DEL HARDW ARE EN EL CENTRO DE
CMPUTO.
1. Est totalmente prohibido desconectar los cables de
energa que conectan a cada perifrico, para evitar
algn tipo de accidente.
2. Utilizar la impresora sin la autorizacin del encargado
del centro de cmputo.
3. Se prohbe mover los perifricos de su lugar sin la
autorizacin del encargado del centro de cmputo.
4. No conectar ningn perifrico que sea ajeno al centro
de cmputo.
SANCIONES APLICABLES.
La institucin educativa determinara la aplicacin de
la suspensin de acceso a Internet, en atencin al
tipo de incumplimiento del presente documento, las
que sern ejecutadas inmediatamente.
El incumplimiento de las normas establecidas podr
acarrear la suspensin de servicio de la siguiente
forma:
1. Incumplimiento por primera vez de las normas y lineamientos
establecidos; se Suspender el servicio por quince das.
2. Incumpliendo de las normas y lineamientos por segunda vez: se
suspender el servicio por un mes.
3. Tercera vez de incumplimiento; se suspender el servicio por dos
meses o suspensin permanente.
CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES
RECOMENDACIONES
salvaguardas.
BIBLIOGRAFIA