UNIVERSIDAD CONTINENTAL DE CIENCIAS E INGENIERIA

FACULTAD DE INGENIERIA ESCUELA ACADEMICO PROFESIONAL DE INGENIERIA DE SISTEMAS E INFORMATICA

EXAMEN ORAL DE SUFICIENCIA PROFESIONAL PARA OPTAR EL TITULO PROFESIONAL DE INGENIERO DE SISTEMAS E INFORMTICA

Alumno: BACH. JORGE JOEL CASIA HUINCHO

HUANCAYO-PERU NOVIEMBRE - 2012

INDICE

TEMA I Modulo Direccin de Proyectos de TI Gestin de Riesgo Riesgos Tpicos de un Proyecto de TI Pginas 3 9 TEMA II Mdulo Gestin de Riesgos de TI Nivel de Riesgo Residual Deseado Pginas 10 - 16 TEMA III Modulo Redes Inalmbricas Como se implementa un ISP WIFI (proveedor de acceso a Internet Inalmbrico WiFi): Relacin de equipos usados, seguridad utilizada con sus clientes, y como soluciona el ancho de banda fijo entre los usuarios Pginas 17 23 TEMA IV Modulo Seguridad de la Informacin ISO 27003 Pginas 24 32 TEMA V Modulo Seguridad de la Informacin Plan de Continuidad de Negocio Pginas 33 - 38

TEMA I Gestin de Riesgo Riesgos Tpicos de un Proyecto de TI

TEMA I Gestin de Riesgo Riesgos Tpicos de un Proyecto de TI Introduccin: Antes de entrar al anlisis y valoracin de los riesgos a los que deben hacer frente nuestras organizaciones y/o negocios en los proyectos de TI es importante entender algunos conceptos tales como riesgo, amenazas, vulnerabilidades que nos van a llevar a hacer una mejor anlisis y valoracin adecuada. En la actualidad las empresas adoptan distintas formas de cmo gestionar un proyecto. Algunas cuentas con un rea exclusivamente para poder gestionar proyectos mientras que otras adoptan mejores prcticas en la ejecucin de un proyecto. Ya sea por una u otra forma con la experiencia de gestionar proyectos, se hace un modelo de cmo gestionar proyectos adjuntado a ello, las plantillas a utilizar y las formas de trabajo, con el equipo apropiado y siempre aprendiendo de cada proyecto. Los riesgos que implica en la gestin de un proyecto no necesariamente van a ser iguales. Por ello cada proyecto es considerado nico. el riesgo de un proyecto puede ser positivo o negativo El riesgo tiene su origen en la incertidumbre, ya que por ms que gestionemos con toda la experiencia que hayamos juntado. Siempre existe algo que no sabemos. Por ello a esa incertidumbre que se somete cada desarrollo de proyecto, se tiene que gestionar respuesta a los riesgos y poder reducir los efectos de cada riesgo. 1. 1.1. Definicin de vocabulario segn la ISO 27000 Qu es riesgo?:

[ISO 27000]: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin. Teniendo en cuenta que las amenazas y las vulnerabilidades, separadas no representan un peligro. El riesgo indica lo que le podra pasar a los activos si no se protegen adecuadamente y este es medido por la probabilidad y el impacto que puede causar. Estndar ASNZ: La posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos, el riesgo en trminos de una combinacin, es un evento o circunstancia y su probabilidad.

ISO 31000: El efecto de la incertidumbre en los objetivos 1.2. Qu es una amenaza?:

[ISO 27000]: Causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin. Son eventos que pueden desencadenar un incidente produciendo prdidas econmicas, materiales, prestigio. 1.3. Qu es vulnerabilidad?:

[ISO 27000]: Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. 1.4. Confidencialidad:

[ISACA] Aseguramiento de que la informacin es accesible solo para aquellos autorizados a tener acceso. 1.5. Integridad:

[ISACA] Garanta de la exactitud y completitud de la informacin de la informacin y los mtodos de su procesamiento. 1.6. Disponibilidad:

[ISACA] Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados. 1.7. Cmo manejar los riesgos en un proyecto?: Identificacin del riesgo Proyecto de riesgo Evaluacin de riesgo Administracin de riesgo Factores de riesgos: Fallas en el desempeo del proveedor Sobrecostos del proveedor Cambios por ingeniera y diseo Fallas en la administracin de proyectos Errores de prueba Errores en diseo de equipo Errores de costo de servicio o producto
1

1.8.

Plazos de ciclo Ventajas de una gestin de riesgos en un proyecto de TI:

Minimizar la Gestin por Crisis Minimizar sorpresas y problemas Aumentar probabilidad de xito del proyecto Evitar que ocurran problemas, o si ocurren, evitar su escalacion

1.9.

Desventajas de una gestin de riesgos en los proyecto de TI: Gasto de tiempo Gasto financiero Mayor uso de Recursos Obstruccin del proyecto

1.10. Importancia de la gestin de riesgos en los proyectos de TI Con una buena gestin de riesgos se puede reducir el impacto que este nos puede causar, teniendo as, un plan contra estos eventos que siempre estarn presentes, Con ello ahorramos tiempo, dinero, y recursos, optimizando el desarrollo del proyecto. 1.11. Riesgos tpicos de un proyecto de TI:
Prdida de personal clave

Inexperiencia con la tecnologa Lentitud en una toma de decisiones Cambios en las prioridades Trabajos no programados Recortes presupuestarios Cambios en el proyecto Crisis econmica Baja motivacin Accidentes Enfermedades Desastres naturales
1

Problemas climticos Resistencia al cambio

Al iniciar el proceso de identificacin de riesgos en un proyecto de TI, tenemos que tener en cuenta que cada proyecto es nico, por ende los riesgos asociados a cada uno de ellos llegara a ser diferente:

PMI nos orienta en la Gestin de Riesgos: Plan de gestin de riesgos: Planificacin de la Gestin de Riesgos (6 clusulas) Metodologa Roles y responsabilidades Presupuesto Prioridad de riesgos Categora Definicin de probabilidades de riesgo Definicin de impacto Identificacin del riesgo (11 clusulas) Activos de los procesos de la organizacin Enunciado del alcance del proyecto Revisiones de la documentacin Anlisis de lista de control Anlisis cualitativo de riesgos (10 clusulas) Evaluar el impacto y la probabilidad de los riesgos identificados Priorizar riesgos Anlisis cuantitativo de riesgos(9 clusulas) Analiza numricamente la probabilidad de cada riesgo y sus consecuencias en los objetivos del proyecto, como as tambin la magnitud total del riesgo Plan de respuesta de riesgos (9 clusulas) Desarrollar opciones y determinar acciones Reducir amenazas a objetos del proyecto Mejorar las oportunidades Identificacin de responsables a cada respuesta Supervisin y control de riesgos (17 clusulas) Se ocupa del seguimiento de los riesgos identificados, de la supervisin de los riesgos residuales, y de la identificacin de nuevos riesgos asegurando la ejecucin de los planes de riesgo y evaluando su eficacia en la ejecucin de los mismos.
1

Caso prctico correspondiente a Gestin de Proyectos Riesgo tpicos de un proyecto. Alcance del problema a plantear En el proyecto Colibr desarrollado en la Municipalidad Provincial de Huancayo se implementaron los siguientes Sistemas de Informacin. Implementacin de los de ventanilla nica, gestin documentaria. Para lo cual dentro del desarrollo de las actividades del proyecto se encontr eventos de riesgos que puso al proyecto en retrasos consecuente de ello, nuevas formas de trabajo y empleando nuevos recursos, nuevos presupuestos: Cuando analizamos riesgos de un proyecto y estos no son solucionados con los debidos detalles necesarios. Nos trae consecuencias graves, tanto al proyecto como al producto. 1.12. Trabajos no programados: Al momento de realizar el desarrollo de las actividades (identificacin de requisitos) este no se llega a terminar de acuerdo con el cronograma definido y si se completa no se evala o se contrasta con lo que en realidad sucede y lo que se quiere lograr. Para lo cual se vuelve a programar trabajos que inicialmente no estaba dentro de nuestro cronograma o se realiza el trabajo sin llevar en cuenta el cronograma lo que por defecto ocasiona retrasos, actividades sin realizar, actividades concluidas no veraces. El efecto: el efecto de este riesgo ocasiona la prdida de tiempo, gastos extras, nuevos recursos, desprestigio. Quien lo ocasiona: al momento de ejecutar la recopilacin de la informacin suceden percances que se convierten en riesgo de ambas partes tanto del grupo ejecutante, o la Municipalidad Provincial de Huancayo, que no es consiente sobre la realizacin de los Sistemas de Informacin y de la importancia que este puede ser. La empresa: No toma el inters necesario para con la realizacin de este proyecto y no concientiza a las personas que se involucraran dentro de ella. Y lo sucede que las personas no cuentan con un tiempo disponible para las entrevistas por sus actividades de trabajo del da a da. Y la solucin ms prxima es de poder visitarles en otro momento para poder culminar con la actividad. Grupo ejecutante: Mantiene un cronograma establecido por lo que se debe cumplir sin mayores inconvenientes, cuando la persona ya tiene planificada una entrevista con la otra parte (trabajador de la empresa) este debera de lograr el objetivo de esa entrevista y lograr con el fin, que es la culminacin de la actividad para con ese trabajador. Pero cuando el trabajador de la empresa no
1

le da el tiempo necesario o simplemente est ocupado, esta actividad no se realiza en su totalidad lo que ocasiona nuevas entrevistas, nuevos tiempos, nuevos gastos, nuevos recursos. Por lo que el proyecto se retrasa o en algunos casos se tiene una holgura y hace que estos sucesos pasen a ser planificados. Solucin: la empresa ejecutora al momento de poner en marcha la ejecucin de las actividades debera de mantener una cierta holgura para cada actividad, porque no toda las actividades son necesariamente iguales y adems hacer comprometer a la gerencia de TI el apoyo bajo un documento para no tener inconvenientes como es este riesgo, y as poder tener una mejor planificacin de nuestras actividades. Logrando el objetivo del proyecto. 2. Resistencia al cambio:

Al momento de la recopilacin de la informacin para el desarrollo de los Sistemas de Informacin se encontr al personal de la Municipalidad Provincial de Huancayo insatisfecho y descontento para con el desarrollo de estos Sistemas de Informacin. La gestin del rea de TI no se previno o no tomo en cuenta la opinin y la magnitud que este puede alcanzar dentro de la organizacin o la necesidad primordial de nuestros clientes, y el temor al uso de las nuevas tecnologas, aduciendo ellos que solo les retrasara en el trabajo. Por lo que al momento de ser ejecutada nos encontramos con muchas crticas, mala informacin y hacen que el proyecto no tenga el impacto que en realidad debera de ser. Efecto: es que la informacin que necesitamos para la implementacin del proyecto no nos sea facilitada como expertos que son de cada rea, por ende el proyecto presenta errores. Quien lo ocasiona: la empresa no concientiza a sus colaboradores de que los nuevos cambios llegara a ser un beneficio para ellos mismos haciendo que su trabajo sea ms ligero y rpido. Solucin: para obtener el impacto que este puede ser tendremos que brindar capacitaciones, charlas, y monitoreo continuo. Para alcanzar el impacto del proyecto.

TEMA II Mdulo Gestin de Riesgos de TI Nivel de Riesgo Residual Deseado

TEMA II Mdulo Gestin de Riesgos de TI Nivel de Riesgo Residual Deseado El riesgo residual deseado es alcanzar, que nuestra organizacin tenga el mnimo riesgo. Y que ya cuando ya hayamos hecho un plan que disminucin o reduccin del riesgo ya sea asumiendo el riesgo, tercerizar el riesgo, compartiendo el riesgo, reducir el riesgo, etc. que este nos puede causar un gran impacto al negocio y podamos realizar todas nuestras actividades lo ms normal que sea. Riesgo residual: [ISACA] El riesgo que queda despus de la gestin de riesgo ha puesto en marcha la respuesta. 2.1. Qu es riesgo?:

[ISO 27000]: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una prdida o dao en un activo de informacin. Teniendo en cuenta que las amenazas y las vulnerabilidades, separadas no representan un peligro. El riesgo indica lo que le podra pasar a los activos si no se protegen adecuadamente y este es medido por la probabilidad y el impacto que puede causar. Probabilidad: Raro Improbable Posible Probable Casi seguro Impacto: 2.2. Insignificante Menor Moderado Mayor Catastrfico Apetito de Riesgo:

Es una ponderacin de alto nivel de cunto riesgo la administracin y la Junta estn dispuestas a aceptar en el logro de sus metas.
1

2.3.

Tolerancia al Riesgo:

Es el nivel aceptable de variacin en relacin a la concesin de un objetivo. Algunos de los aspectos claves, que debemos tener presente: 2.4. Qu es una amenaza?:

Segn [ISO 27000]: Causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin. Son eventos que pueden desencadenar un incidente produciendo prdidas econmicas, materiales, prestigio. 2.5. Qu es vulnerabilidad?:

[ISO 27000]: Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. 2.6. Confidencialidad:

[ISACA] Aseguramiento de que la informacin es accesible solo para aquellos autorizados a tener acceso. 2.7. integridad:

[ISACA] Garanta de la exactitud y completitud de la informacin de la informacin y los mtodos de su procesamiento. 2.8. disponibilidad:

[ISACA] Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados. PMI nos orienta del como evaluar un riesgo residuales en un proyecto. Anlisis cualitativo de riesgos (10 clusulas) Evaluar el impacto y la probabilidad de los riesgos identificados Priorizar riesgos Anlisis cuantitativo de riesgos(9 clusulas) Analiza numricamente la probabilidad de cada riesgo y sus consecuencias en los objetivos del proyecto, como as tambin la magnitud total del riesgo

Caso prctico correspondiente al tema de gestin de riesgos riesgo residual deseado. En el proyecto Colibr, desarrollado en la Municipalidad Provincial de Huancayo se implementaron los siguientes Sistemas de Informacin. Implementacin de los de ventanilla nica, gestin documentaria. Para lo cual dentro del desarrollo de las actividades del proyecto se encontr eventos de riesgos que puso al proyecto en retrasos consecuente de ello, nuevas formas de trabajo y empleando nuevos recursos, nuevos presupuestos: Cuando analizamos riesgos de un proyecto y estos no son solucionados con los debidos detalles necesarios. Nos trae consecuencias graves, tanto al proyecto como al producto. Cuadro N 1 identificacin de requerimientos y su respectivo anlisis:
FASE ACTIVIDADES Modelamiento de Requerimientos del Sistema de Informacin TAREAS COD. EVENTO RIESGO ER01 EVENTO RIESGO El Analista de Sistemas realizo un inadecuado anlisis de requerimientos funcionales resultando disconformidad en el Usuario por no ser lo que solicito FACTOR RIESGO Personal FALLA CONSECUENCIA - Aplicacin no deseada - Implementacin de aplicacin errnea - Implementacin de aplicacin que no encaja con la estrategia de negocio a implementar - Quejas y descontento del Usuario - Pago adicional al programador para implementar nuevos cambios

ANALISIS DE REQUERIMIENTOSDEL SISTEMA DE INFORMACIN

Obtencin y Anlisis de Requerimientos

Desconocimiento del proceso / aplicacin - Mala aplicacin de ingeniera de requisitos - Pobre digitacin de requerimientos - Poca participacin / validacin del usuario

Cuadro N 2 Anlisis de la probabilidad de y estrategia a asumir como organizacin ante el riesgo identificado
RIESGO ABOSULTO CONTROLES PROBABILIDAD IMPACTO NIVEL DE EXPOSICION ZONA DE RIESGO ZONA DE RIESGO IMPORTANTE ESTRATEGIA DE ADMINISTRACION DE RIESGOS REDUCIR EL RIESGO, EVITAR EL RIESGO, COMPARTIR O TRANSFERIR

Ninguno

3 - Posible

5 - Catastrfico

15

Cuadro N 3 Matriz de riesgo absoluto a la que la organizacin de enfrenta

MATRIZ RIESGO ABSOLUTO

ER01
5

ER02 ER08 ER03

3 2 1 1

ER04 ER14 ER05 ER06 ER11 ER07 ER09

IMPACTO

ER10

PROBABILIDAD
Cuadro N 4 cuadro de riesgo residual ya con el control que la organizacin impuso para que el riesgo sea controlado.
RIESGO RESIDUAL CONTROLES EXISTENTES PROBABILIDAD IMPACTO NIVEL DE EXPOSICION ZONA DE RIESGO ESTRATEGIA DE ADMINISTRACION DE RIESGOS

- Verificacin de la especificacin requerimientos funcionales vs. Lo solicitado por el usuario

2 - Improbable

4 - Mayor

ZONA DE RIESGO MODERADO

ASUMIR EL RIESGO, REDUCIR EL RIESGO

Cuadro N 5 Matriz de riesgo residual deseado. Representa una evaluacin y respuesta al riesgo. Cambiando as el nivel de riesgo que enfrentara una organizacin. Dando as prioridad a otros riesgos que pudiramos enfrentar.

MATRIZ RIESGO RESIDUAL

5

IMPACTO

4 3 2 1

ER03 ER06 ER02 ER05 ER13

ER01 ER11 ER14 ER04 ER07 ER08 ER09

ER10 ER12

PROBABILIDAD
Cuadro N 6 representa el nivel de estrategia que una organizacin puede asumir ante un riesgo. Por ende las respuestas a estos incidentes son reducidas al mnimo. Como toda organizacin anhelara ser al momento de ejecutar un proyecto.
RIESGO RESIDUAL DESEADO CONTROLES NUEVOS TIPO DE CONTROL 1 TIPO DE CONTROL 2 PROBABILIDAD IMPACTO NIVEL DE EXPOSICION ZONA DE RIESGO ESTRATEGIA DE ADMINISTRACION DE RIESGOS

1 - Raro

4 - Mayor

ZONA DE RIESGO ACEPTABLE

EVITAR EL RIESGO

Cuadro N 7 representa la variacin de un evento al ptimo. Poniendo el as a los riesgos en una posicin ms segura y controlada.

MATRIZ RIESGO RESIDUAL DESEADO

5 4

2 1

ER01 ER06 ER05 ER07 ER09 ER02 ER03 ER04

1

IMPACTO

ER14 ER08

ER10

ER12

PROBABILIDAD

TEMA III Modulo Redes Inalmbricas

TEMA III Modulo Redes Inalmbricas Como se implementa un ISP WIFI (proveedor de acceso a Internet Inalmbrico WiFi): Relacin de equipos usados, seguridad utilizada con sus clientes, y como soluciona el ancho de banda fijo entre los usuarios A medida que avanza la tecnologa las organizaciones han adoptado distintos tipos de tecnologa, y ello implica prepararse. Por ende las necesidades de estar al margen de las tecnologas son casi imposibles ya que tienen un costo, y no siempre las organizaciones estn o estamos dispuestos a asumirlo. Las empresas y la multitud de personas cada da mas estn con la necesidad de obtener o estar continuamente con la informacin, los usuarios estn con la necesidad de estar conectados en lnea casi todo el tiempo, usuarios mviles en el cual los cables no son tiles puesto que necesitan tener y acceder a su informacin a cualquier hora y en el sitio que puedan estar. Por ende una de las solucionas que ha abarcado en estos ltimos aos es la del servicio de internet inalmbrico o WIFI, ya que con las tecnologas existentes hasta la actualidad ya sea una Tablet, celular, porttiles, etc. Puedes acceder a mundo. Movilidad:

Movilidad: los usuarios se sienten generalmente satisfechos de la libertad que les ofrece una red inalmbrica y de hecho son ms propensos a utilizar el material informtico
.Flexibilidad:

Una red inalmbrica puedes ser utilizada en lugares temporales, cubrir zonas de difcil acceso al cable, unir edificios distantes. Desventajas: Calidad y continuidad de la seal: estas nociones no son garantizadas a causa de los problemas que pueden provenir de las interferencias, del equipo y del entorno. Seguridad: la seguridad de las redes inalmbricas an no es del todo fiable ya que es an una tecnologa innovadora. Confidencialidad: [ISACA] Aseguramiento de que la informacin es accesible solo para aquellos autorizados a tener acceso.

Integridad:
1

[ISACA] Garanta de la exactitud y completitud de la informacin de la informacin y los mtodos de su procesamiento.

Disponibilidad:

[ISACA] Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados. 3.1. Problemas de seguridad de las WIFI:

El acceso de usuarios no autorizados a nuestra red puede llegar a ser muy peligroso. En la actualidad se vio casos en donde usuarios ingresan a una red para robar informacin o para hacer uso de nuestra conexin a internet. 3.2. Existe aun WIFI abiertas?:

Sigue siendo relativamente factible realizar un escaneo en bsqueda de redes inalmbricas accesibles y encontrar redes sin ningn tipo de seguridad aplicada. Aunque es cierto que cada vez es menor el nmero de usuarios que dejan abiertas sus redes. 3.3. Tecnologas u opciones de seguridad:

A la hora de configurar una red WIFI hay dos elementos de seguridad a tener en cuenta, el cifrado de las comunicaciones y la autenticacin o control de acceso. Por un lado, para evitar que nadie pueda capturar las comunicaciones y acceder a su contenido, es necesario cifrarlas, las tecnologas mencionadas permiten cifrar las comunicaciones, pero algunas son inseguras, por otro lado, para evitar que alguien pueda acceder a la red de forma no autorizada es necesario disponer de mecanismos de autenticacin robustos que permitan identificar quien pueda conectarse a la red.

WEP: (Privacidad Equivalente a Cableado) La seguridad de la red es extremadamente importante, especialmente para las aplicaciones o programas que almacenan informacin valiosa. WEP cifra los datos en su red de forma que slo el destinatario deseado pueda acceder a ellos. Los cifrados de 64 y 128 bits son dos niveles de seguridad WEP. WEP codifica los datos mediante una clave WPA/WPA2: WPA emplea el cifrado de clave dinmico, lo que significa que la clave est cambiando constantemente y hacen que las incursiones en la red inalmbrica sean ms difciles que con WEP. WPA est considerado como uno de los ms altos niveles de seguridad inalmbrica para su red, es el mtodo recomendado si su dispositivo es compatible con este tipo de cifrado. Las claves se insertan como de dgitos alfanumricos, sin restriccin de longitud, en la que se recomienda utilizar caracteres especiales, nmeros, maysculas.
1

Mtodo de autenticaciones: OSA (Open System Autentication)

Es una autenticacin abierta y no es muy fiable ya que realmente se necesita de nada para poder acceder a la red y los datos son enviados totalmente sin encriptaR. ACL (Acces Control List)

Utiliza como mtodo de autenticacin las direcciones MAC en donde a una AP se le va a indicar que direcciones MAC se pueden conectar a l. CNAC(Closed Network Acces Control)

Este mecanismo pretende controlar el acceso a la red inalmbrica y permitirlo solo a aquellas estaciones cliente que conozcan de la red SSID. 3.4. Por qu conectarse a una red WIFI? En la actualidad existen muchos dispositivos que tienen WIFI incorporados por ello hay que utilizarla. Muchas personas desconocen de las bondades de los equipos que adquieren hacindola as un equipo perdido. Conectarse por WIFI es igual que estar en una oficina de trabajo, solo que no habr algn cable que conecte a la red. Cmo puedo configurar el Control de ancho de banda/IP QoS en el Router inalmbrico? La respuesta es IP QoS, el cual est diseado para minimizar el impacto causado cuando la conexin tiene una gran carga. El uso de IP QoS, se puede asignar un mnimo especfico o ancho de banda mximo para cada equipo, lo que significa que tienen menos impacto en los dems. Que es Qos? Son las perteneciente a Quality of Service o calidad de servicio en castellano son la tecnologa que nos garantiza la transmisin de cierta cantidad de informacin en un tiempo dado y que ello nos permite regular nuestro ancho de banda para utilizar ciertas aplicaciones por internet. Ya sean programas, videos, msica. Etc.

Pasos obligatorios:

Cambiar contrasea de administracin Modificar el SSID por defecto Utilizar encriptacin WPA/WPA2-PSK

Pasos opcionales: 3.5.

Ocultar el SSID Configurar filtrado MAC Cambiar las claves de forma regular Desactivar DCHP Apagar el AP cuando no se utilice Control de potencia

Algunas comparaciones de una red LAN con una WLAN LAN Conexin hasta donde el cable alcance(Max 100m) Mayores tasas de transmisin Baja interferencia del medio Posicin fija Fcil planeamiento WLAN Conexin hasta donde las ondas de radio lleguen Menores tasa de transmisin Depende de los elementos que conformen el ambiente. Posicin mvil o portable Necesita realizar un planeamiento para verificar la cobertura de seales.

3.6.

cliente WIFI:

Cualquier dispositivo que tenga una tarjeta WIFI dentro de ella ejemplo de ellos: Reproductores de msica,. Impresoras WIFI Proyectores Ipod-Touch Laptop Celulares

3.7.

Caso de ejemplo:

Para ser un proveedor de servicios de internet inalmbrico tenemos que adquirir ciertos equipos que sern indispensables a la hora de ser implementada. Por ello se tratara de abordar o cubrir un espacio de 500 metro a la redonda, manteniendo 15 clientes. 3.8. Equipos utilizados:

Para ello contamos con estos equipos: Antena Omnidireccional Outdoor Nacional de 9 dBi AP TP-Link TL-WA501G Caja Waterproof 220x170x80 + Accesorios Pigtail

Solucin de ancho de banda: Como la poblacin que se quiere dar cobertura es poca la solucin ms ptima, y que no nos incurra en otros gastos se puso un router administrable.

TEMA IV Modulo Seguridad de la Informacin ISO 27003

TEMA IV Modulo Seguridad de la Informacin ISO 27003 Hacia inicios de febrero de 2010 se publica la norma ISO/IEC 27003, con la finalidad de proporcionar una gua sobre de implementacin del estndar ISO 27001. ISO / IEC 27003:2010 se centra en los aspectos crticos necesarios para el xito del diseo e implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI) segn con la norma ISO / IEC 27001:2005. En l se describe el proceso de especificacin y diseo del SGSI desde el inicio hasta la produccin de planes de ejecucin. En l se describe el proceso de obtener autorizacin de la direccin para implementar un SGSI, define un proyecto para implementar un SGSI (denominado en la norma ISO / IEC 27003:2010 como el proyecto de SGSI), y proporciona orientacin sobre cmo planificar el proyecto de SGSI, resultando en una final del proyecto SGSI ejecucin del plan. De acuerdo con la norma ISO / IEC 27001:2005. Proporciona instrucciones claras sobre la planificacin de un proyecto de SGSI en las organizaciones de todos los tamaos en todos los sectores. BS ISO / IEC 27003:2010 no incluye recomendaciones para la realizacin de las actividades de seguridad de la informacin, sino que slo sirve de gua en el diseo del plan de implementacin de SGSI. 4.1. Introduccin: La Implantacin de un Sistema de Gestin de Seguridad de Informacin es una decisin estratgica que debe involucrar a toda la organizacin. Y que debe ser apoyada y dirigida desde la direccin su diseo depender de los objetivos y necesidades de la empresa, as como de su estructura estos elementos son los que van a definir el alcance de la implantacin del sistema, es decir, las reas que van a verse involucradas en el cambio. En ocasiones no es necesario un sistema que implique a toda la organizacin, puede ser que solo sea necesario en un departamento, una sede en concreto o un rea de negocio. El tiempo de implantacin de un sistema de seguridad de la informacin vara en funcin al tamao de la empresa, el estado inicial de la seguridad de la informacin y los recursos destinados a ello. El propsito de esta Norma Internacional es proporcionar orientacin prctica en el desarrollo del plan de aplicacin de un Sistema de Gestin de Seguridad
1

de la Informacin (SGSI) dentro de una organizacin de conformidad con la norma ISO / IEC 27001:2005. La implementacin real de un SGSI es generalmente ejecutada como un proyecto. El proceso descrito en esta Norma Internacional ha sido diseado para proporcionar apoyo a la aplicacin de la norma ISO / IEC 27001:2005; (partes pertinentes de las clusulas 4, 5 y 7 inclusive) y el documento: La preparacin de comenzar un plan de implantacin del SGSI en una organizacin, la definicin de la estructura organizativa del proyecto, y obtener la aprobacin de la gestin las actividades crticas para el proyecto de SGSI. Ejemplo para alcanzar los requisitos de la norma ISO / IEC 27001:2005. Mediante el uso de esta norma internacional de la organizacin ser capaz de desarrollar un proceso de gestin de seguridad de la informacin, que los interesados la garanta de que los riesgos para los activos de informacin estn continuamente mantiene dentro de lmites aceptables seguridad de la informacin segn lo definido por la organizacin. Esta Norma Internacional no cubre las actividades de funcionamiento y actividades del SGSI otros, sino que abarca los conceptos sobre cmo disear las actividades que darn lugar despus de las operaciones del SGSI comenzar. Los resultados de concepto en el plan de ejecucin final del proyecto SGSI. La ejecucin real de la parte especfica de organizacin de un proyecto de SGSI est fuera del alcance de esta Norma Internacional. La ejecucin del proyecto SGSI debe llevarse a cabo utilizando metodologas normalizadas de la gestin de proyectos. Antes de poder entrar en ms detalles de cmo debemos implantar un SGSI, hay algo muy importante que hay que tener siempre presente: La empresa debe contar con una estructura organizativa as como de recursos necesarios, entre otras cosas, para llevar a cabo la implantacin de un SGSI. La metodologa que acabamos de mencionar para medir y evaluar los resultados debe estar en continua evaluacin. Puesto que es precisamente la base de cualquier Sistema de Seguridad de la Informacin. Por ello para su implementacin utilizaremos en modelo PDCA, un modelo dividido en cuatro fases en el que finalizada la ltima y analizados los resultados se vuelve a comenzar de nuevo por la primera. Las siglas PDCA corresponden en ingles a Plan. Do, Check, Act. Y han sido traducidas como. Planificacin, Ejecucin, Seguimiento y Mejora.

La continua evaluacin de nuestro sistema de Gestin de Seguridad de la Informacin debe estar documentada, para lo que utilizaremos los cuatro tipos distintos de documentacin que representamos en esta estructura piramidal. 4.2. Objetivo de la norma Proporcionar orientacin prctica en El desarrollo del plan de implementacin para un proyecto de SGSI aplicable a cualquier tipo de organizaciones de todos los tamaos Fases a considerar.

4.3.

4.3.1. Fase 1: Obtener la aprobacin de la gestin para Inicio de un proyecto de SGSI Objetivo: Obtener la aprobacin de la gestin e iniciar el SGS. Definicin de un modelo de negocio y el plan del proyecto. Aclarar a la organizacin de elaborar el anteproyecto de SGSI alcance Crear el modelo de negocio y el plan del proyecto para la gestin de aprobacin Prioridades a desarrollando un SGSI Definir las funciones y responsabilidades preliminares para el alcance del SGSI Los sistemas de gestin existentes requisitos de seguridad de la informacin

4.3.2. Fase 2: Definicin del alcance del SGSI y Poltica de SGSI Objetivos: Definir el mbito de aplicacin y los lmites del SGSI desarrollando las poltica del SGSI y Obtener la aprobacin de la gestin Definir el alcance organizativo y los lmites Definir la informacin comunicacin (TIC) Alcance y lmites Definir el alcance fsico y Lmites Integrar cada mbito y lmites para obtener el SGSI Alcance y lmites .Desarrollar la poltica del SGSI y Obtener la aprobacin del manejo

4.3.3. Fase 3: Realizacin de informacin Anlisis de seguridad requisito Objetivos: Definir los requisitos para recibir el apoyo del SGSI, identificar los activos de informacin, y obtener la informacin sobre el estado actual del Alcance Dentro de la SGSI Definir los requisitos de seguridad de la informacin para el proceso de SGSI Identificar los activos dentro del alcance del SGSI Llevar a cabo una informacin Evaluacin de la Seguridad

4.3.4. Realizacin de la Evaluacin de Riesgos y plan de tratamiento de riesgos Objetivos: Definir la metodologa para evaluacin de riesgos, identificar, analizar y evaluar los riesgos de seguridad de informacin para la seleccin de las opciones de tratamiento de riesgos y seleccin de objetivos de control y controles Llevar a cabo una evaluacin de riesgos describir los objetivos de control y controles Obtener Gestin de Autorizaciones para la aplicacin y operacin de un SGSI

4.3.5. Fase 5: Diseo del SGSI Objetivos: Diseo de seguridad de la organizacin sobre la base de las opciones de tratamiento seleccionados de riesgo, as como los requisitos relativos a la inscripcin y los documentos Diseo de los controles integrados comisin de seguridad clasificacin de las TIC, los procesos fsicos y organizacionales, diseando los requisitos especficos del SGSI Diseo de seguridad de la informacin organizacional Diseo de las TIC y la seguridad de la informacin fsica

Diseo SGSI especificacin seguridad de la informacin Producir el plan final SGSI proyecto

4.4.Sistema de Gestin de Seguridad de la Informacin (SGSI)

Un Sistema de Gestin de la seguridad de la Informacin (SGSI) es, como el nombre lo sugiere, un conjunto de polticas de administracin de la informacin. El concepto clave de un SGSI es para una organizacin el diseo, implantacin, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la informacin, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de informacin minimizando a la vez los riesgos de seguridad de la informacin. La seguridad de la informacin, segn ISO/IEC 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la informacin: 4.5.Fase de planificacin: La primera fase de modelo PDCA para la implantacin del sistema es la fase de planificacin. Durante esta fase se realiza un estudio de la situacin de la organizacin desde el punto de vista de la seguridad, para estimar las medidas que se van a implantar en funciona las necesidades detectadas. No toda la informacin de la que disponemos tiene el mismo valor o est sometida los mismos riesgos. Por ello es importante realizar un anlisis de riesgos que valore los activos de informacin y vulnerabilidades a las que estn expuestas as mismo, es necesaria una gestin de dichos riesgos para reducirlos en la medida que sea posible. Con el resultado obtenido en la anlisis y la gestin

de riesgos estableceremos minimizar los riesgos. 4.6.Fase de ejecucin:

unos controles adecuados que nos permitan

En la fase de ejecucin del modelo PDCA se lleva a cabo la implantacin de los controles de seguridad seleccionados en la fase anterior. Estos controles se refieren a los controles ms tcnicos, as como a la documentacin necesaria, esta fase tambin requiere un tiempo de concienciacin y formacin para dar a conocer que se est haciendo y por qu, al personal de la empresa. 4.7.Fase de seguimiento: La tercera fase del modelo PDCA es la fase de seguimiento. En ella se evala la eficacia y el xito de los controles implantados. Por ello es muy importante contar con registros e indicadores que provengan de estos controles. 4.8.Fase de mejora: El modelo PDCA se completa con la fase de mejora durante las que se llevaran cabo las labores de mantenimiento del sistema. Si durante la fase anterior de seguimiento se ha detectado algn punto dbil, este es el momento de mejorarlo o corregirlo. Para ello se cuenta con tres tipos de medidas:

Medidas correctoras: resuelven un problema observado durante las auditorias. Estas acciones pueden ir desde la actualizacin de un documento hasta el cambio de una estructura de red o de un responsable de un activo. Las acciones correctivas deben ser realizadas tan pronto como sean detectados las incidencias.

Medidas preventivas: no estn asociadas a ningn problema encontrado en la auditoria aunque pueden responder a algn comentario realizado por el auditor sobre una posible mejora o alguna resolucin tomada por la direccin de la empresa para mejorar el sistema. Las acciones preventivas de deben implantar poco a poco para conseguir que el sistema sea cada vez ms robusto. El sistema debe ir mejorando en cada ciclo PDCA.

Medidas de mejora: Si durante la fase anterior se seguimiento y se ha detectado algn punto dbil, este es el momento clave para poder mejorarla o corregirlo.

Al finalizar las cuatro fases del modelo PDCA. Se toman los resultados de la ltima y se comienza nuevamente por la primera. Si el objetivo de la implantacin de este sistema era la certificacin, el ciclo completo tendr una duracin de un ao, coincidiendo con las realizaciones de las auditorias de certificacin que se realizan cada ao. 4.9. mbito de aplicacin: Esta Norma Internacional se centra en los aspectos crticos necesarios para el xito del diseo e implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI) segn la norma ISO / IEC 27001:2005. En l se describe el proceso de especificacin y diseo del SGSI desde el inicio hasta la produccin de planes de ejecucin. Se describe el proceso de obtener la aprobacin de la gestin para implementar un SGSI, define un proyecto para implementar un SGSI (se refiere la presente norma internacional como el proyecto de SGSI), y proporciona orientacin sobre cmo planificar el proyecto de SGSI, lo que resulta en una implementacin final del proyecto SGSI plan. Esta Norma Internacional est destinada a ser utilizado por las organizaciones de la implementacin de un SGSI. Es aplicable a todo tipo de organizacin (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) de todos los tamaos. complejidad de cada organizacin y los riesgos son nicos, y sus requisitos especficos impulsar la implementacin del SGSI. Las organizaciones ms pequeas se encuentra que las actividades se seala en esta norma son aplicables a ellos y puede simplificarse. Las organizaciones a gran escala o complejo puede encontrar que una organizacin en capas o sistema de gestin es necesaria para gestionar las actividades de esta norma internacional eficaz. Sin embargo, en ambos casos, las actividades correspondientes se puede planificar mediante la aplicacin de esta Norma Internacional. Esta Norma Internacional ofrece recomendaciones y explicaciones, no se especifica ningn requisito. Esta Norma Internacional est destinada a ser
1

utilizada en conjuncin con la norma ISO / IEC 27001:2005 e ISO / IEC 27002:2005, pero no tiene la intencin de modificar y / o reducir los requisitos especificados en la norma ISO / IEC 27001:2005 o las recomendaciones formuladas en ISO / IEC 27002:2005. Reivindicacin de conformidad con esta Norma Internacional no es apropiada. 4.10. Caso prctico:
Se necesita implementar un Sistema de Gestin de Seguridad de la Informacin (SGSI), segn la norma ISO/IEC 27003 la el Gobierno Regional Junn. En la actualidad se est por realizar un manual de procedimientos de toda la organizacin para lo cual se est proponiendo utilizar la ISO 27003 ya que como la organizacin cuenta con la tecnologa, personal y recursos necesarios para poder gestionar un SGSI. La norma a utilizar nos guiara como organizar un SGSI. Bajo las fases de la ISO 27003 tenemos los siguientes documentos a presentar

Obtener la aprobacin de la gestin para Inicio de un proyecto de SGSI Definicin del alcance del SGSI y Poltica de SGSI Realizacin de informacin Anlisis de seguridad requisito Realizacin de la Evaluacin de Riesgos y plan de tratamiento de riesgos Diseo del SGSI

TEMA V Modulo Seguridad de la Informacin Plan de Continuidad de Negocio

TEMA V Modulo Seguridad de la Informacin Plan de Continuidad de Negocio El negocio de una empresa depende de la informacin y los sistemas que la soportan por ello hay que estar prevenidos ante la multitud de amenazas que pueden afectar a nuestra informacin. Cuando una organizacin implanta la norma ISO/IEC 27001 lo que quiere conseguir es reducir sus riesgos y evitar posibles incidentes de seguridad. Sin embargo, hay que tener presente que existen situaciones que son imposibles de evitar. Ya que no es posible proteger al 100% los activos de informacin, por eso las empresas tienen que planificarse con el fin de evitar que las actividades de su entidad queden interrumpidas. 5.1. Gestin de Continuidad de Negocio-concepto: Proceso de desarrollar acuerdos previos y procedimientos que permitan a una organizacin responder a un evento de modo que las funciones crticas del negocio continen con los niveles de interrupcin o cambios esenciales planificados. Fuente -Disaster Recovery International Institute. Proceso cclico. Conocer los procesos del negocio. Impulsado y apoyado por la alta gerencia para buscar la continuidad del negocio ante cualquier eventualidad.

5.2.

Objetivos de un anlisis de riesgo en la continuidad del negocio: Garantizar razonablemente la preparacin de la empresa en caso de ocurrir un evento catastrfico. Ello implica prepararse a nivel de TI. Evaluar los riesgos de que el centro de cmputo se afecte. Promover un conocimiento comn de la planificacin de la Continuidad del Negocio / Recuperacin de Desastres mediante la educacin, asistencia y publicacin del recurso estndar. Certificar individuos calificados en la disciplina Promover la credibilidad y el profesionalismo de las personas certificadas. Identificacin de impactos potenciales. Identificacin de amenazas y vulnerabilidades. Determinacin de niveles de aceptables de riesgo. Planeamientos de alternativas para mitigar los riesgos.

5.3.

Causas de interrupcin en la continuidad del negocio: Fallos del sistema Fuego Software Inundacin Rayo Sabotaje Terrorismo

5.4.

Equipos de recuperacin de desastres: El equipo que responde ante sucesos tiene que estar dispuestos las 24 horas del da. Ya que hoy en da los negocios estn abiertos en todo momento, por ejemplo las entidades financieras los bancos brindan servicios en todo momento y estos servicios tienen que tener accesibilidad, si ocurriera cualquier tipo de incidente tienen que haber equipos para poder recuperar los servicios: Las personas con nivel de autoridad y nivel de decisiones manteniendo una buena comunicacin con las dems reas. Asumir y responder los servicio y/o procesos crticos

5.5.

Gestin de la continuidad-entrenamiento: Tiene que tener un plan un programa para difundir formacin a todos los empleados. Y ello tiene que ser continua en todo el tiempo y nivel. Ya que nunca sabemos quin encontrara la incidencia. Realizar ejercicios de simulacin. Revisin y actualizacin de la documentacin del plan. Manuales actualizados. Aprender de los errores

5.6.

Gestin de continuidad Pruebas: Pruebas totales planificadas o por sorpresa parcial. Coordinadas con todas las funciones afectadas. Verificar si el plan es completo y preciso. Evaluar el conocimiento y entrenamiento del resto de personal. Evaluar la coordinacin de los distintos equipos internos o externos Evaluacin y documentacin de los resultados. Actualizacin del plan. Informa a la direccin.
1

5.7.

Gestin de continuidad Mantenimiento Usando el entrenamiento y las pruebas nos ser ms fcil: Actualizar la informacin contenida en el plan. Revisar la idoneidad de los procedimientos. Hacer cambios en los equipos de gestin. Descubrir nuevos incidentes. Reforzar relaciones con los compaeros internos externos. Conclusin: No importa el tamao de la empresa o el costo de las medidas de seguridad implantadas. Toda organizacin debe contar con un plan de continuidad de negocio, ya que tarde o temprano se encontrara con una incidencia de seguridad. Es decir que estos planes tienen como objetivo impedir que las actividades de la empresa u organizacin sean interrumpidas y de no poder evitarlo, hacer que el tiempo de inactividad sea el mnimo posible. Y adems debemos tener en cuenta que no solo es evitar la inoperatividad de nuestras actividades si no tambin mantener el nivel de servicio aceptada por la organizacin Caso de un plan de continuidad de negocio: La corporacin Zeto kaiba. Es un empresa que vende servicios de diversin como video juegos, pinboll juegos de meza un centro de diversiones dirigido a jvenes, nios, adultos: La empresa cuenta con tres locales en diferentes partes de la ciudad 1000 m2 cada una con 30 trabajadores cada una. El terreno est dividido en 300 m2 est dispuesta la parte administrativa. Y 150 m 2 al almacenamiento de cables fuentes de energa, para poder continuar. Con los servicios. El mecanismo de funcionamiento de los juegos es. Cada aparato y/o equipo cuenta con un lector de tarjeta. La cual este manifiesta si la tarjeta cuenta con un saldo o no para poder poner en marcha el juego. Y esta informacin es contrastada con una base de datos de las tarjetas. Si no contamos con saldo en la tarjeta no podr manipular el equipo. Hasta que pueda recargar su tarjeta. El da 1 de diciembre hora 10.00 am sucede un incidente estamos siendo extorsionados por un malhechor dice que hay una bomba en la parte central del primer local es decir. En el mismo centro de los juegos. En gerente de la empresa. Ese da no se encontraba, la secretaria del gerente recibe una llamada del malicioso, y le comenta que necesita
1

5.8.

5.9.

que le den 50.000 soles. O ara explosionar la bomba dentro a las 4pm horas. Inmediatamente la secretaria se contacta con el gerente y le explica el caso. Y que llamar nuevamente. Procedimiento: Secretaria: 1. Llamar al gerente y sub gerente y dar a conocer el problema que se est incurriendo en el momento. 2. Cerrar las puertas de la oficina y esperar afuera. 3. Una vez solucionado el problema llamar al personal para retornar al trabajo. En el caso sea ms de 1dia El Gerente: y si el gerente no est por motivo de viaje o algn motivo especial. El segundo a llamar ser el Sub Gerente. 1. Llamar a seguridad y pedir que lea la promocin 15 2. Conversar y solicitar al jefe del rea de TI y servicios auxiliares, manifestarles que los equipos deben de estar inactivos a las (segn evaluacin del gerente). Y seguir la promocin 15 4. Segn evaluacin. Llamar a la polica. 5. Llamar a las sedes y pedir que se revise las imgenes de seguridad. 6. Esperar llamada de respuestas de las imgenes de seguridad. Personal de Seguridad: 1. Inspeccionar los juegos. y verificar algn sospechoso 2. Avisar al personal de mantenimiento que verifique la integridad de los equipos. 3. Leer la promocin 15 (si es emergencia) Personal de mantenimiento: 1. Si se encontrara algo extrao comunicar al jefe de seguridad. 2. Comunicar a la administracin 3. Hacer que ningn cliente pueda observar o sospechar

Promocin 15: Personal de seguridad: 1. Se solita abandonar los juegos por motivos de mantenimiento, a cambio de ello se les est entregando 4 jugadas gratis en los juegos que deseen. para ello tendr que pasar por la puerta de salida y RECOGER SU VALE que en 5 minutos se apagaran los juegos. (repetir 2 veces) 2. Pasado los 5 minutos cerciorarse si queda alguien. Y solucionar en 5 minutos. 3. Cerrar las puertas y esperar afuera del local. rea de TI: 1. Llevar los vales al personal de seguridad con 4 jugadas 1000 2. Comunicarse con las otras dos sedes para revisin de imgenes de seguridad de la ltima semana. 3. Pasado 10 minutos de lo avisado apagar los equipos en su totalidad. 4. Cerrar las puertas y esperar fuera del local. 5. Comunicar a las dems reas de la empresa. Con estos procedimientos tratamos de reducir el peligro, y que el negocio contine a la brevedad posible. Sin sufrir daos de personal de la empresa ni los clientes. Pudiendo as seguir con las operaciones. Pero a la vez revisando la integridad de los equipos. Verificando si existiese dicha bomba. Hasta esta Fase es plan de contingencia: si el hecho sucediera. Y la bomba explosionara. El comit de recuperacin entra en accin: bajo las directrices que se tuvo en cuenta: Siguen el entrenamiento que se les imparti. Para dar con la continuidad del negocio