Este documento describe el análisis de riesgos y vulnerabilidades realizado en una universidad. Incluye una descripción de las funciones del director de informática, los requisitos para implementar seguridad como el análisis de riesgos y elaboración de políticas. También presenta los resultados del análisis de riesgos identificando varios riesgos y su valoración, y propone implementar un sistema de seguridad basado en el ciclo PHVA.

1. ACTIVIDAD DE RECONOCIMIENTO
ALEXA MILENA RODRIGUEZ PINTO
Cód. 52761210
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Especialización en Seguridad Informática
2014

2. ANÁLISIS DE RIESGOS Y VULNERABILIDADES EN LA UNIVERSIDAD
MANUELA BELTRAN
Diseñar sistemas y mecanismos de seguridad de la
información en la División de Tecnologías de la
Información y las Comunicaciones de la
Universidad de Popayán según las políticas de la
institución y las normas internacionales vigentes.

3. PLAN DE
SEGURIDAD

4. FUNCIONES/RESPONSABILIDADES DEL DIRECTOR DE
INFORMATICA
Realizar análisis de
situaciones de riesgo y la
planificación y
programación de las
actuaciones precisas para
la implantación y realización
de los servicios de
seguridad
Verificar las diferentes
propuesta de los sistemas
de seguridad que resulten
pertinentes
Velar por la observancia de
la regulación de seguridad
aplicable.
Controlar la formación
permanente del personal de
seguridad

5. REQUERIMIENTOS PARA IMPLANTAR SEGURIDAD CONSTA DE
LA SIGUIENTE FASE
 Análisis y Gestión de Riesgos
 Elaboración de las políticas de seguridad
 Fases de planificación
 Fases de implementación y operación
 Fases de verificación
 Fases de revisión por parte de las directivas de la universidad

6. RESULTADOS ANALISIS
DE RIESGOS
Mediante este análisis, se reconocen todas aquellas amenazas a las
que se enfrenta la Institución. De esta manera, se pueden conocer
los potenciales problemas que pueden surgir y el grado de
seguridad existente para poder evitarlos.
Una vez conocidas aquellas amenazas que planean sobre la
Institución, se podrán estudiar los mecanismos de prevención y
recuperación existente y poder determinar si éstos son válidos o
necesitan ser corregidos.
Los conceptos que van a ser utilizados en el Análisis de Riesgos
son los siguientes:

7. Activo: Componente del sistema al que la Institución le asigna un
valor.
Amenaza: Ocurrencia de un evento que cause un impacto no
deseado.
Riesgo: Posibilidad de que una amenaza se realice.
Vulnerabilidad: Debilidad o ausencia de medidas de salvaguarda.
Salvaguarda: Medida de control para reducir el riesgo asociado a
una determinada amenaza.

8. VALORACIÓN DEL RIESGO
Cuadrante Valoración del riesgo
Impacto significante y probabilidad Alta Alto
Impacto significante y probabilidad Baja Medio-alto
Impacto insignificante y probabilidad Alta Medio-bajo
Impacto insignificante y probabilidad Baja Bajo

9. Identificación del Riesgo
TIPOS DE RIESGOS
ADMINISTRACION DE RIESGOS
Controlados
por la
organización
Transferidos a
terceros
Con cuáles de
ellos se puede
convivir
Valoració
n
R1 Acceso no autorizado por
Ingeniería Social y Phising
(Base de Datos).
X
Alto
R2 Errores del programador por
falta de capacitación en el
área (Base de Datos).
X
Medio-
Alto
R3 Acceso físico no Autorizado
por terceras personas
(Información).
X Alto
R4 Acceso no autorizado por
Ingeniería Social y Phising
(aplicaciones propietarias y
adquiridas, código abierto).
X Alto
R5 Errores de seguridad por
mala administración .
X Medio-
Alto

10. Implementación del modelo PHVA (Planificar,
Hacer, Verificar y Actuar).
Se propone un sistema inicial de controles (SGSI) con teniendo en
cuenta el ciclo de Planear, Hacer, Verificar y Actuar definido en la
norma ISO/IEC 27000.
Toda organización hoy en día debe estar a la vanguardia de los
procesos de cambio sí desea permanecer en el centro de atención
respecto a su competencia. Y el manejo de su información debe
presentarse en sistemas que ofrezcan información continua,
actual, confiable y para consultas en tiempo real.
Al identificar los riesgos de la información, se procura mantener un
respaldo de recuperación rápida, que conserve su integridad y que
proteja su confidencialidad.

11. Planificación: En esta etapa se diseña el SGSI con la
evaluación y tratamiento de riesgos, seleccionando controles.
Se tendrán en cuenta que todos y cada uno de los activos de la
empresa sobre los cuales se han detectado riesgos por presentan
vulnerabilidades bajas, medias o altas en cuanto a cada uno de los
activos que se analizaron en la empresa para detectar
vulnerabilidades que posee la empresa.
Hacer: Se implementa y pone en uso el SGSI ensayando los
controles, políticas, los procedimientos y procesos.
Implementación de políticas de Seguridad Informática: Son la
forma de comunicación entre los gerentes y sus usuarios en
relación con los recursos y servicios informáticos que son lo más
importante de una empresa.

12. Identificación de problemas: Porque la táctica no es ocultar las
debilidades sino encontrarlas para combatirlas.
Desarrollo del Plan de Seguridad Informática: Donde se han
definido los lineamientos establecidos para la planeación, Diseño
e implementación del modelo de seguridad, creando en la
empresa una cultura de seguridad informática bien alineada con
las políticas institucionales.
Análisis de la seguridad en los equipos de computación: Equipos
físicos, conexiones, conectividad a redes, servidores,
almacenamiento en hosting.
Auditoría y revisión de sistemas.

13. Las tecnologías de la información y las comunicaciones son una
herramienta efectiva para superar obstáculos que se observan
en empresas que no realizan inversión en tecnología; las
empresas con alta inversión en tecnología tienen un mayor
dominio de los mercados, lo que es positivo.
Se establecen controles teniendo en cuenta:
Decreto 4540 de 22 de diciembre de 2006, controles en aduana,
para protección de la Propiedad Intelectual.
ISO/IEC 27001 Estándar internacional para los sistemas de
gestión de la seguridad informática.
ISO/IEC 17799. Estándar de controles de seguridad informática.

14. Se determinan los siguientes controles:
Infraestructura:
Se realizan los cambios necesarios en la planta física, su
infraestructura se diseña con las principales normas de seguridad
que permitan prevenir o remediar los riesgos evaluados.
 Control de acceso a oficinas de la empresa bloqueando
puertas.
 Cámaras de Vigilancia
 Alarmas
 Protección contra incendios

15. Planta de personal:
Se deben realizar cambios en los manuales de funciones, adecuando
las responsabilidades de los activos reconocidos en el estudio,
también se debe modificar la planta de personal, habilitando el cargo
de jefe de sistemas el cual se encargue de administrar la seguridad
sobre los sistemas informáticos.
Verificar: Se debe mantener un continuo seguimiento y revisión del
SGSI, monitoreando cualquier incidente, para realizar los respectivos
cambios, esto se logra con la evaluación de los riesgos
permanentemente, por medio de las auditorías.
Actuar: Etapa en la cual se mantiene un ambiente de Actualización y
mejora continua del SGSI, mejorando e implementando nuevos
controles, adecuando nuevas políticas y revisando los procedimientos
para efectuar ajustes de mejora.

16. Políticas de seguridad
Una política de seguridad informática es aquella que fija los lineamientos
y procedimientos que deben adoptar las empresas para salvaguardar sus
sistemas y la información que estos contienen. Se elaboran con el
propósito de proteger la información de la empresa, estas servirán de
guía para la implementación de medidas de seguridad que contribuirán a
mantener la integridad, confidencialidad y disponibilidad de los datos
dentro de los sistemas de aplicación, redes, instalaciones de cómputo y
procedimientos manuales.

17. Elegir una contraseña única: Proteja las páginas de edición de la
base de datos utilizando un nombre de usuario y una contraseña
diferentes de los de la base de datos u otros recursos. Si la
contraseña de editor llega a verse amenazada, los demás recursos
seguirán a salvo.
 Diseñar y crear la base de datos cuidadosamente
Especifique tipos de datos y tamaños de campo. Esto limita la
capacidad para crear peticiones dañinas y la cantidad de texto que
pueden introducir los usuarios malintencionados.
 Deshabilitar, eliminar o controlar el acceso a los
procedimientos almacenados y a las macros integradas

18. Algunas bases de datos contienen macros integradas para eliminar
tablas e incluso bases de datos completas. Asegúrese de que un
usuario malintencionado no pueda utilizarlas.
 No utilizar HTML en las columnas de la base de datos
No muestre ni utilice HTML en ninguna columna de la base de
datos. Aunque el Asistente para resultados de base de datos lo
permite, esta función sólo debe utilizarse en un entorno de
confianza.
 Acceso por parte de terceros
La Institución debe establecer para terceros al menos las mismas
restricciones de acceso a la información que a un usuario interno.
Además, el acceso a la información debe limitarse a lo mínimo
indispensable para cumplir con el trabajo asignado.

19. Las excepciones deben ser analizadas y aprobadas por el área de seguridad
informática.
Esto incluye tanto acceso físico como lógico a los recursos de información
de la Institución.