• Author / Uploaded
• mostoles

• Categories
• La seguridad
• Outsourcing
• Servidor (Computación)
• Tecnología
• Informática

Citation preview

M1.809 · Sistemas de Gestión de la Seguridad · PEC2 · 2017-2018 · Programa · de Estudis deYnformàticaMultimèdia y T elecomunicació

SEGUNDA PRUEBA DE EVALUACIÓN CONTINUA Presentación La segunda práctica de este curso, pretende evaluar el grado de conocimiento del concepto de análisis de Riesgos. Para cualquier duda y/o aclaración sobre el enunciado, tenéis que dirigiros al consultor responsable de vuestra aula.

Formato y fecha de entrega En relación al formato de entrega tenéis que tener en cuenta las siguientes consideraciones: Tendrá que ser en .PDF. El nombre del archivo tiene que ser ApellidosNombre_SGSI_PEC2 En el pie de cada página tenéis que incluir vuestro nombre completo (Nombre y apellidos), así como el número de página y el total de páginas que contiene el documento. Es importante que razonáis las respuestas de todos los ejercicios, indicando todos los pasos que habéis realizado para obtener la solución. Las respuestas sin justificación, que sean una copia de una fuente de información y/o que no contengan las referencias utilizadas, no recibirán ninguna puntuación. La fecha tope para la entrega será el día03/11/2017 y recordáis que todas las entregas tienen que realizarse a través del aula.

1

M1.809 · Sistemas de Gestión de la Seguridad · PEC2 · 2017-2018 · Programa · de Estudis deYnformàticaMultimèdia y T elecomunicació

Competencias Las competencias del Máster que se trabajarán en esta PEC son las siguientes: -

Capacidad de análisis y síntesis de la Seguridad de un sistema

-

Capacidad de auto aprendizaje consultando información

-

Conocimiento de herramientas y tendencias tecnológicas del mercado en relación a la Informática.

-

Capacidad para identificar y analizar los procesos críticos de una organización, así como el impacto que produciría la interrupción de estos procesos.

Objetivos El principal objetivo de esta prueba es la elaboración de un análisis de riesgos sencillo, dado un caso de uso, complementado con algunas cuestiones teóricas

Descripciónde los ejercicios a realizar. La prueba se compone de 6 tipos de ejercicios que debéis de contestar. A continuación,se detallan las instrucciones para la realización de todos los ejercicios, así como el enunciado de los mismos.

2

M1.809 · Sistemas de Gestión de la Seguridad · PEC2 · 2017-2018 · Programa · de Estudis deYnformàticaMultimèdia y T elecomunicació

EJERCICIO A: A.1.- Enumera los elementos más importantes de un análisis de riesgos, y describe detalladamente cada elemento. A.2.- Suponiendo que se identifica un riesgo, y este está por encima del nivel aceptable (también conocido como umbral), identifica qué opciones podrías elegir para tratarlo, y describe detalladamente cada opción. A.3.- Haz un listado de las metodologías de gestión de riesgos de seguridad de la información que se pueden utilizar para implementar un SGSI basado en la ISO 27001. Destaca las características principales de cada metodología, describe brevemente los pasos que hay que seguir en cada metodología, y desarrolla un ejemplo para cada una.

EJERCICIO B: Responde con Verdadero o Falso a los siguientes puntos, justificando tus respuestas. Las respuestas que no estén justificadas no serán evaluadas. B.1.- Uno de los motivos por los que una organización debe realizar un análisis de riesgos, es que permite realizar y elaborar planes de continuidad del negocio. B.2.- Una amenaza hace referencia a las debilidades que puede tener un activo B.3.- Si una organización identifica un riesgo que está por encima del umbral, y no lo puede reducir, porque no posee medios económicos suficientes, debe eliminarlo, eliminando el activo que posea dicho riesgo. B.4.- Todos los activos tienen un propietario del riesgo, pero no tienen por qué tener un propietario propio del activo. B.5.- Los controles de seguridad se implementan en base a los riesgos identificados en el análisis, por tanto, no es necesario implementar por defecto los 114 controles de seguridad que posee el Anexo A de la ISO 27001. B.6.- A la hora de implementar las medidas de seguridad, es necesario considerar 3 costes: coste de protección, coste de exposición y coste de reposición.

3

M1.809 · Sistemas de Gestión de la Seguridad · PEC2 · 2017-2018 · Programa · de Estudis deYnformàticaMultimèdia y T elecomunicació

B.7.- Se lleva a cabo un análisis de riesgos intrínseco cuando se tiene en consideración las medidas de seguridad que ya existen implementadas en la organización. B.8.- Los requisitos de seguridad generan controles, los controles protegen contra amenazas, las amenazas incrementan los riesgos, y los riesgos pueden tratarse a través de una metodología de gestión de riesgos, pero esta tiene que estar basada en activos. B.9.- Una vulnerabilidad hace referencia a las situaciones que le pueden ocurrir a un activo B.10.- El riesgo residual es aquel que una vez implementada una medida de seguridad sobre un activo, el riesgo se consigue reducir, aunque no tiene por qué estar por debajo del nivel aceptable.

EJERCICIO C: C.1.- En la Wiki, en el apartado “Creación del SGSI”, podéis encontrar un ejemplo real de una metodología de gestión de riesgos. Tomando como referencia esta metodología, cread una plantilla en formato Excel para desarrollar un inventario de activos. Una vez creada la plantilla, completadla con activos. Piensa en las diferentes categorías que pueden existir, y en base a estas categorías, identifica todos los activos que se te ocurran (mínimo 25). Para la identificación de los activos, vamos a considerar el siguiente caso de estudio: Empresa del sector aeronáutico, que posee un CPD principal en la oficina de la organización, y otro CPD secundario externalizado. El CPD primario cuenta con 10 servidores físicos, 8 de los cuales tienen un Windows Server 2008, y los otros 2 se utilizan para máquinas virtuales (VMware). De los 8 servidores, 1 tiene una base de datos MySQL con la información de clientes, otro tiene otro MySQL con información de proveedores, y otro tiene también MySQL con información relevante de la configuración de los diferentes elementos que fabrica la compañía. Por otra parte, la organización posee un firewall, un switch, un punto de acceso Wifi, y una unidad de cinta para las copias de seguridad (5 cintas LTO en total). Para la compañía trabajan actualmente 10 empleados (sin contar con la dirección de la organización, que la componen 3 personas más), 5 de ellos son técnicos y pertenecen al área de TI, otros 2 pertenecen a RRHH, otro a finanzas, otro a relaciones con proveedores, y otro pertenece al área de calidad. Cada empleado 4

M1.809 · Sistemas de Gestión de la Seguridad · PEC2 · 2017-2018 · Programa · de Estudis deYnformàticaMultimèdia y T elecomunicació

tiene un portátil y un dispositivo móvil (smartphone). Los empleados tienen instalado en sus equipos el software habitual que tiene por defecto Windows 10. Además, la organización posee 2 medios de almacenamiento externo para compartir información con entidades externas. Se subcontrata el hospedaje de la página web de la organización, y el correo electrónico. También se subcontrata servicio de seguridad física, así como servicio de limpieza. Enlace de acceso: http://cv.uoc.edu/webapps/xwiki/wiki/matm1709/view/Main/Creación+del+SGSI

EJERCICIO D: D.1.- En esta ocasión hablaremos sobre la gestión de riesgos, que se puede dividir principalmente en 3 etapas: 1.- Análisis de riesgos: Se identifican riesgos y se evalúan 2.- Tratamiento de riesgos: Para cada uno de los riesgos identificados, y que superen un nivel aceptable, es necesario realizar un tratamiento. Para este tratamiento, principalmente tenemos 4 opciones: reducir los riesgos, evitarlos, transferirlos y aceptarlos. 3.- Plan de tratamiento de riesgos: Se elabora un plan para llevar a cabo el tratamiento de los riesgos identificados (que superan el nivel aceptable). Este plan, puede ser visto como un plan de proyecto, enfocado -obviamente- en el tratamiento de riesgos, por lo que, al igual que cualquier plan de proyecto, deberá definir las acciones a llevar a cabo para el tratamiento, los plazos, los recursos, etc. Hasta aquí todo bien, pero, ¿Qué es realmente un activo? ¿Un activo puede ser una consola de aire acondicionado? ¿En la ISO 27001 es obligatorio el uso de activos? ¿Podríamos evaluar riesgos sin basarnos en activos?Escribid vuestras respuestas en el foro de la asignatura.Después de escribir vuestra respuesta en el foro, haced una captura de pantalla de vuestra respuesta (o vuestras respuestas, en caso de que participéis más veces), e incluirla dentro del documento de vuestra solución.

5

M1.809 · Sistemas de Gestión de la Seguridad · PEC2 · 2017-2018 · Programa · de Estudis deYnformàticaMultimèdia y T elecomunicació

EJERCICIO E: E.1.- El estándar ISO 27001 establece una serie de documentos que son obligatorios, y que el estándar, referencia como “información documentada”. Elabora una lista de estos documentos que son obligatorios, y haz una breve descripción de cada uno.

EJERCICIO F: F.1.- Crea un listado/catálogo de amenazas/vulnerabilidades, y asigna las que consideres oportunas a cada uno de los activos identificados en la actividad C.1

6

M1.809 · Sistemas de Gestión de la Seguridad · PEC2 · 2017-2018 · Programa · de Estudis deYnformàticaMultimèdia y T elecomunicació

Recursos Los recursos que podréis utilizar como referencia para resolver esta prueba son los siguientes: Básico: Módulo 2 de los apuntes Complementarios: Wiki de la asignatura

Criterios de evaluación A continuación, se detallan los criterios de evaluación de esta prueba: Ejercicio A

20%

Ejercicio B

15%

Ejercicio C

20%

Ejercicio D

10%

Ejercicio E

15%

Ejercicio F

20%

Nota: Propiedad intelectual A menudo es inevitable, al producir una obra multimedia, hacer uso de recursos creados por terceras personas. Es por lo tanto comprensible hacerlo en el marco de una práctica de nuestros estudios, siempre que esto se documente claramente y no suponga plagio en la práctica. Por lo tanto, al presentar una práctica que haga uso de recursos ajenos, se presentará junto con ella un documento en el cual se detallen todos ellos, especificando el nombre de cada recurso, su autor, el lugar donde se obtuvo y su estatus legal: si la obra está protegida por copyright o se acoge a alguna otra licencia de uso (CreativeCommons, licencia GNU, GPL ...). El estudiante tendrá que asegurarse que la licencia que sea no impide específicamente su uso en el marco de la práctica. En caso de no encontrar la información correspondiente tendrá que

7

M1.809 · Sistemas de Gestión de la Seguridad · PEC2 · 2017-2018 · Programa · de Estudis deYnformàticaMultimèdia y T elecomunicació

asumir que la obra está protegida por copyright. Tendrán que, además, adjuntar los archivos originales cuando las obras utilizadas sean digitales, y su código fuente si corresponde.

8