tesis
Páginas: 9 (2244 palabras)
Publicado: 22 de mayo de 2014
1 RIESGOS
“Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo”.1
A medida que evolucionan los sistemas de Tecnologías de Información, también lo hacen las amenazas a la seguridad que estos pueden sufrir. Es por esto que para para el análisis y gestión de riesgos de los sistemas informáticos existen diversas metodologías.
El proyecto Webpropuesto se basa en la metodología MAGERIT “Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones públicas” (Ver Anexo Nº 4); se trata de un método formal para realizar un análisis de riesgos y recomendar los controles necesarios para su minimización2, está metodología permitirá realizar un estudio de los posibles riesgos que soporta el sistema Weby el entorno asociado a él.
Teniendo en consideración la alternativa de alquiler del servidor Web, se determina que está se podría convertir en una de las principales amenazas en el proyecto propuesto.
Con el propósito de minimizar y mitigar los efectos de un problema de seguridad se realiza el análisis de riesgos y por ello se deberán establecer aspectos de relación contractual yplantear las siguientes salvaguardas:
Nivel de servicio (disponibilidad).
Compromiso de secreto (confidencialidad).
Identificación y calificación del personal encargado.
Resolución de incidencias (planes de contingencias).
Asunción de responsabilidades y penalización por incumplimientos.
La Escuela “Dr. José Peralta”, y la institución proveedora del servicio de hosting y Central de Datos;deben considerar los posibles riesgos a los que se expone el proyecto y sus respectivas salvaguardas; los cuales se detallan a continuación:
1 Riesgos Operacionales
Cuadro Nº 5.4
Riesgos Operacionales/ Errores y fallos no intencionados
Errores del Departamento de Secretaría
Tipos de activos
Dimensiones
Salvaguarda
[S] Servicios
[D] Datos / información
[SW] Software
[D]Disponibilidad
[I] Integridad
Solicitar autorización inmediata ante quien corresponda para la modificación y corrección de datos.
Descripción:
Equivocaciones del personal del departamento de secretaria cuando usan los servicios, datos. (Introducción de datos incorrectos).
Errores del administrador informático
Tipos de activos
Dimensiones
Salvaguarda
[S] Servicios
[D] Datos / información[SW] Software
[HW] Hardware
[COM] redes de comunicaciones
[D] Disponibilidad
[I] Integridad
[C] Confidencialidad
[A_S] Autenticidad del servicio
[A_D]Autenticidad de los datos
[T_S] Trazabilidad del servicio
[T_D] Trazabilidad de los datos
Aplicar condiciones contractuales: responsabilidad en seguridad.
Descripción:
Equivocaciones de administrador informático con responsabilidad deoperación.
Difusión de software dañino
Tipos de activos
Dimensiones
Salvaguarda
[SW] Software
[D] Disponibilidad
[I] Integridad
[C] Confidencialidad
[A_S] Autenticidad del servicio
[A_D]Autenticidad de los datos
[T_S] Trazabilidad del servicio
[T_D] Trazabilidad de los datos
Protección de seguridad contra ataques informáticos: Mantener actualizados los programas de antivirusy firewall, a fin de realizar la protección frente al código dañino y detección de intrusión a través de un seguimiento y monitorización de uso.
Descripción:
Propagación inocente de virus, espías, gusanos, troyanos, bombas lógicas, entre otros.
Indisponibilidad del personal
Tipos de activos
Dimensiones
Salvaguarda
[P] Personal interno
[D] Disponibilidad
Considerar los serviciosde personal para el desempeño de actividades.
Descripción:
Ausencia accidental del puesto de trabajo: enfermedad, entre otros.
Cuadro Nº 5.5
Riesgos Operacionales/ Ataque Intencional
Manipulación de la configuración
Tipos de activos
Dimensiones
Salvaguarda
[S] Servicios
[D] Datos / información
[SW] Software
[HW] Hardware
[COM] redes de comunicaciones
[I] Integridad
[C]...
“Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo”.1
A medida que evolucionan los sistemas de Tecnologías de Información, también lo hacen las amenazas a la seguridad que estos pueden sufrir. Es por esto que para para el análisis y gestión de riesgos de los sistemas informáticos existen diversas metodologías.
El proyecto Webpropuesto se basa en la metodología MAGERIT “Metodología de Análisis y Gestión de Riesgos de los sistemas de Información de las Administraciones públicas” (Ver Anexo Nº 4); se trata de un método formal para realizar un análisis de riesgos y recomendar los controles necesarios para su minimización2, está metodología permitirá realizar un estudio de los posibles riesgos que soporta el sistema Weby el entorno asociado a él.
Teniendo en consideración la alternativa de alquiler del servidor Web, se determina que está se podría convertir en una de las principales amenazas en el proyecto propuesto.
Con el propósito de minimizar y mitigar los efectos de un problema de seguridad se realiza el análisis de riesgos y por ello se deberán establecer aspectos de relación contractual yplantear las siguientes salvaguardas:
Nivel de servicio (disponibilidad).
Compromiso de secreto (confidencialidad).
Identificación y calificación del personal encargado.
Resolución de incidencias (planes de contingencias).
Asunción de responsabilidades y penalización por incumplimientos.
La Escuela “Dr. José Peralta”, y la institución proveedora del servicio de hosting y Central de Datos;deben considerar los posibles riesgos a los que se expone el proyecto y sus respectivas salvaguardas; los cuales se detallan a continuación:
1 Riesgos Operacionales
Cuadro Nº 5.4
Riesgos Operacionales/ Errores y fallos no intencionados
Errores del Departamento de Secretaría
Tipos de activos
Dimensiones
Salvaguarda
[S] Servicios
[D] Datos / información
[SW] Software
[D]Disponibilidad
[I] Integridad
Solicitar autorización inmediata ante quien corresponda para la modificación y corrección de datos.
Descripción:
Equivocaciones del personal del departamento de secretaria cuando usan los servicios, datos. (Introducción de datos incorrectos).
Errores del administrador informático
Tipos de activos
Dimensiones
Salvaguarda
[S] Servicios
[D] Datos / información[SW] Software
[HW] Hardware
[COM] redes de comunicaciones
[D] Disponibilidad
[I] Integridad
[C] Confidencialidad
[A_S] Autenticidad del servicio
[A_D]Autenticidad de los datos
[T_S] Trazabilidad del servicio
[T_D] Trazabilidad de los datos
Aplicar condiciones contractuales: responsabilidad en seguridad.
Descripción:
Equivocaciones de administrador informático con responsabilidad deoperación.
Difusión de software dañino
Tipos de activos
Dimensiones
Salvaguarda
[SW] Software
[D] Disponibilidad
[I] Integridad
[C] Confidencialidad
[A_S] Autenticidad del servicio
[A_D]Autenticidad de los datos
[T_S] Trazabilidad del servicio
[T_D] Trazabilidad de los datos
Protección de seguridad contra ataques informáticos: Mantener actualizados los programas de antivirusy firewall, a fin de realizar la protección frente al código dañino y detección de intrusión a través de un seguimiento y monitorización de uso.
Descripción:
Propagación inocente de virus, espías, gusanos, troyanos, bombas lógicas, entre otros.
Indisponibilidad del personal
Tipos de activos
Dimensiones
Salvaguarda
[P] Personal interno
[D] Disponibilidad
Considerar los serviciosde personal para el desempeño de actividades.
Descripción:
Ausencia accidental del puesto de trabajo: enfermedad, entre otros.
Cuadro Nº 5.5
Riesgos Operacionales/ Ataque Intencional
Manipulación de la configuración
Tipos de activos
Dimensiones
Salvaguarda
[S] Servicios
[D] Datos / información
[SW] Software
[HW] Hardware
[COM] redes de comunicaciones
[I] Integridad
[C]...
Leer documento completo
Regístrate para leer el documento completo.