Documente Academic
Documente Profesional
Documente Cultură
Actividades
Introducción
Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR.
Además, contaremos con otra ventaja, que será la posibilidad de diseñar el modelo de
forma 100% gráfica.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
Este modelo de arquitectura empresarial puede incluir, conforme a las mejores prácticas
internacionales (ver TOGAF1), una descripción de la organización por capas:
Capa de negocio: entre otros, una descripción de los servicios de negocio prestados
por la compañía o productos comercializados, los procesos de negocio mediante los
que se organización presta esos servicios o genera esos productos, así como las partes
que contribuyen a la ejecución de esos procesos (roles de negocio, actores de negocio
— personas u organizaciones —).
Capa de aplicación: los sistemas de información de la compañía, detallando los
servicios automatizados que prestan esos sistemas de información (similar a
'funcionalidades' individuales o conjuntos de funcionalidades – 'módulos' disponibles
para los usuarios).
Capa de tecnología: entre otros, los elementos de la infraestructura de
informática/computación y comunicaciones que constituyen esos sistemas de
información utilizados por la compañía. La plataforma GESCONSULTOR utilizada
permite modelar de forma detallada conceptos de uso habitual como los siguientes:
o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un
servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306.
o Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de
datos – como un clúster MySQL compuesto de tres servicios MySQL que corren
sobre tres máquinas físicas o virtuales distintas -).
o Máquinas físicas o virtuales, generalizándolas en el concepto de host, que tendrá
una dirección IP de red asociada, que puede contener servicios software
publicados a través de una IP y puerto TCP/UDP.
o Infraestructura de virtualización, como hipervisores (como VMWare vFabric o
Microsoft Hyper-V), granjas de virtualización, etc.
o Infraestructura hardware, sobre la que correrán los host físicos o la infraestructura
de virtualización.
o Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas
(bridges) de los que unen redes lógicas (routers).
o Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN)
como físicas (Ethernet, WiFi, Punto a Punto, etc.).
1
TOGAF 9.1 – Guía de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf
TOGAF 9.1 – Documentación oficial: https://www2.opengroup.org/ogsys/catalog/q091
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
También es posible definir grupos que incluirán uno o varios activos y que
permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un
grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar el
impacto de un determinado evento sobre cada activo individual en caso de que sea
similar.
Tramitación
expedientes
0 h.
Tramitación
expedientes
0 h. 0 h.
0 h. 0 h.
0 h.
0 h.
0 h. 0 h.
Oficina
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
1. Cómo se propagará la criticidad —o valor— del activo a todos aquellos que requiere
para el desarrollo de sus funciones (recorriendo las relaciones «hacia abajo», desde el
activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias
«inferiores», directas o indirectas).
2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad
o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones
»hacia arriba», desde el activo done se ha materializado el evento hacia sus
dependencias «superiores»).
Sobre estos activos que han sido identificados podremos, posteriormente, identificar
escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos, para
considerar si son aceptables o inaceptables para la organización).
Entrega:
– Del razonamiento seguido para añadir los activos que hayas determinado.
– La criticidad que has definido explícitamente.
– Así como las relaciones (como mínimo las creadas entre los nuevos añadidos y
los ya existentes).
o Realizar, utilizando los activos, sus criticidades y las relaciones entre los mismos:
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
d. Evaluar los escenarios de riesgo conforme a los criterios de aceptación del riesgo
que definamos (clasificándolos en aceptables e inaceptables. Se valorará
negativamente que haya riesgos en la franja de tolerables — aquellos que se
encuentran entre el nivel máximo aceptable y el nivel mínimo inaceptable).
Entrega:
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
Tabla de contenido
1. Modelado visual ................................................................................................ 8
2. Razonamiento seguido para añadir los siguientes activos: . 9
4. Razonamiento de la criticidad definida explícitamente ........ 20
5. Razonamiento de las relaciones creadas ....................................... 30
a) Relaciones que incluyen al Servicio de Sistema de información – Correo
Electrónico .............................................................................................................................. 30
b) Relaciones que incluyen al Servicio de Negocio - Tramitación de
expedientes electrónicos ................................................................................................... 31
c) Relaciones que incluyen al Servicio de Negocio - Tramitación
expedientes papel ............................................................................................................... 33
d) Relaciones que incluyen al Servicio de Negocio - Almacenamiento
remoto ..................................................................................................................................... 34
e) Relaciones que incluyen al Servicio de Sistema de Información -
Almacenamiento en red local .......................................................................................... 35
f) Relaciones que incluyen al Servicio de Negocio – Conexión a Internet . 36
6. Identificación de los escenarios de riesgo .................................... 37
7. Análisis de los escenarios de riesgo .................................................. 46
8. Documentar los criterios de aceptación del riesgo que se
han considerado ...................................................................................................... 47
9. Evaluar los escenarios de riesgo conforme a los criterios de
aceptación del riesgo que se definan (clasificándolos en
aceptables – inaceptables) .............................................................................. 48
10. Tratar todos los riesgos considerados como inaceptables
51
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
1. Modelado visual
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
• Red local: red que conecta todos los equipos que trabajan en el Ayuntamiento.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
• Datos de conexión: datos de los que se hace uso en la conexión a Internet del
Ayuntamiento.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
o Integridad
§ Estatutario: muy alto
§ Legal: medio
§ Negocio: alto
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
composición de las criticidades más restrictivas que vaya heredando (el SAI es tan crítico
como lo que deba proteger, y en este caso será tan crítico como cualquier elemento que
proteja en el lugar donde se encuentra. Es decir, será tan crítico como la Sala de
servidores, que a su vez será tan crítica como los sistemas que se hallan ubicados allí).
Pero, el Servicio de Sistema de Información de correo electrónico, no sólo hereda del
Servicio de Negocio de correo electrónico, sino que también heredará la criticidad del
Proceso de Negocio tramitación de expedientes. Como se ha explicado con el SAI, la
criticidad heredada se compondrá de los valores más restrictivos heredados.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
Por encima de todos los activos tenemos la información utilizada para la Tramitación de
expedientes en papel la cual se relaciona con el servicio de negocio de Tramitación de
expedientes papel (de la información se valora la confidencialidad y la integridad, que
pasarán heredadas al servicio de negocio). Del servicio de negocio se valora la
disponibilidad. El servicio de negocio se relaciona con los 2 Funcionarios (que realizarán
los trámites en papel), el Responsable de la oficina (que también realizará trámites) y
con Expedientes en papel (que es el archivo físico donde se hallan ubicados estos
expedientes). Todos ellos heredarán la criticidad del servicio de negocio (que, a su vez,
por estar relacionado, la hereda de la Información de Negocio).
Los 4 puestos de trabajo se relacionan con los 2 funcionarios y con el responsable de la
oficina, puesto que son utilizados por ellos para realizar los expedientes (escribirlos e
imprimirlos), y heredarán la criticidad de los mismos.
La oficina se relaciona con los 2 Funcionarios, el Responsable de la oficina y los
Expedientes en papel, puesto que es su lugar de trabajo o ubicación. La oficina será tan
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
crítica como lo sean los activos que contiene. Así que su criticidad es la heredada por
estos 3 activos anteriores.
Se ha optado por no relacionar los 4 puestos de trabajo con la Oficina, porque estos
puestos podrían ser móviles, es decir, no tendrían por qué encontrarse siempre ubicados
en la oficina.
La red local se relaciona con los 4 puestos de trabajo. No se ha relacionado la red local
con la oficina porque, vistas las relaciones anteriores, la criticidad heredada es la de los
usuarios. El único elemento diferenciador, del que puede heredar en el caso de la oficina,
es el archivo de expedientes de papel, pero su criticidad no es relevante para la de una
red local.
Las relaciones de la red local con el firewall y el router, de éstos con la Sala de servidores
y de ésta con el SAI, son exactamente las mismas que en los apartados anteriores.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
En lo alto de la cadena tenemos la Información de Negocio, que son los datos de conexión
a Internet (de los que se valora su confidencialidad y su integridad). Éste activo se
relaciona con el Servicio de Negocio de conexión a Internet, al cual traspasa esa
criticidad. Del propio Servicio de Negocio se valora la disponibilidad.
El servicio de negocio se relaciona con el Servicio de Sistema de Información, heredando
éste la criticidad. El Servicio de Sistema de Información se relaciona con el router, del
cual hace uso para poder llevar a cabo la conexión, heredando éste la criticidad.
La relación del router con la Sala de servidores y de ésta con el SAI, son las mismas que
en los apartados anteriores.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
2 funcionarios
4 puestos de trabajo
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
Responsable de la oficina
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
Sala de servidores
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
De este modo, todos los hechos que tengan un impacto “muy alto” tendrán un
nivel 8, independientemente de su probabilidad; y los que tengan un impacto
“alto” tendrán un nivel 7, también independientemente de su probabilidad.
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades
Asignatura Datos del alumno Fecha
Apellidos: Salguero Cruz
Análisis de Riesgos
12-06-2017
Legales
Nombre: Antonio
TEMA 1 – Actividades