Sergio Bustos 624407

1.  Identificar recursos sensibles
Básicamente toda la información es un recurso sensible al no tener una arquitectura en su información lo mas seguiros es que  no se está aprovechando la información de la forma más eficiente. Por esta razón es que el sistema puede ser fácilmente atacable, al desarrollar una buena arquitectura se va a poder proteger mejor la integridad de la información.


2.  Definir políticas se seguridad
Crear perfiles específicos para el ingreso de la información, los cuales van a tener perfiles que les permiten solo consulta, modificación o eliminación. con esto aumentara la seguridad de nuestro sistema.
Crear un log donde se registrara todo los movimientos que tiene la base de datos, para poder identificar quien a estado modificando, o eliminando la información de manera ilegal o irresponsable.


3.  Identificar las amenazas del sistema (Árbol de ataque)

Casos de estudio PS

PERSPECTIVA DE SEGURIDAD

Juan Carlos Cubillos Pinzón

John Victoria

Esteban vega

1.    Identificar recursos sensibles

Básicamente se debe recomponer toda la estructura del la empresa ya que si se sigue pensando en solucionar la seguridad de a pocos es muy difícil que se tomen decisiones verdaderas y claras, por lo anterior se identifica en el problema:

Integridad. Es necesario asegurar que los datos no sufran cambios no autorizados, la pérdida de integridad puede acabar en fraudes, decisiones erróneas o como paso a otros ataques. El sistema contiene información que debe se protegida de modificaciones imprevistas, no autorizas o accidentales, como información de censo o sistemas de transacciones financieras.

Disponibilidad. La continuidad operativa de la entidad, la pérdida de disponibilidad puede implicar, la pérdida de productividad o de credibilidad de la entidad. El sistema contiene información o proporciona servicios que deben estar disponibles a tiempo para satisfacer requisitos o evitar pérdidas importantes, como sistemas esenciales de seguridad y protección de la vida.   

Confidencialidad. La protección de datos frente a la difusión no autorizada, la pérdida de confidencialidad puede resultar en problemas legales, pérdida del negocio o de credibilidad. El sistema contiene información que necesita protección contra la divulgación no autorizada, como información parcial de informes, información personal o información comercial patentada

2. Definir políticas se seguridad

Para la definición de políticas de seguridad se tendrán en cuenta:

La política: La directriz de alto nivel en la cual se expresan  valores y objetivos de la organización para proporcionar dirección y soporte a la alta gerencia en  los temas relacionados con seguridad informática. 

Estandarización de la solución: Requisitos de obligatorio cumplimiento, que especifican tecnologías y  métodos, para implementar las políticas de seguridad informática expuestas por la alta gerencia,  establecen un marco de acción coordinado que busca alinear los esfuerzos de la organización para  procurar los fundamentos de la seguridad informática.   

Procedimiento: El conjunto de pasos operacionales específicos sugeridos para efectuar  una labor particular, que se puede modificar en respuesta a los cambios en la dinámica del  negocio y la tecnología. P.e Procedimiento para toma de respaldos.   En términos generales, este mecanismo apoya todos los fundamentos de seguridad informática 

3. Identificar las amenazas del sistema (Árbol de ataque) 

4. Diseñar implementación de seguridad

Una vez la política ha sido aprobada formalmente, se pasa a la fase de implementación.

Comunicación: La comunicación de la política es la primera etapa que se realiza en esta fase. La política debe ser inicialmente difundida a los empleados del banco o a quienes sean afectados directamente por la política (contratistas, proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el método inicial de distribución de la política. Debe planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la visibilidad de la política.

Cumplimiento: Implementar la política. La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la política. Implica trabajar con otras personas del  banco, directores, jefes de departamentos, directores de grupo (de división o de sección) para interpretar cuál es la mejor manera de implementar la política en diversas situaciones y oficinas; asegurando que la política es entendida por aquellos que requieren implementarla, monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir el impacto inmediato de la política en las actividades operativas. Dentro de estas actividades está la elaboración de informes a la administración del estado de la implementación de la política.

Excepciones: Gestionar las situaciones donde la implementación no es posible Debido a problemas de coordinación, falta de personal y otros requerimientos operacionales, no todas las políticas pueden ser cumplidas de la manera que se pensó al comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones a la política para permitir a ciertas oficinas o personas el no cumplimiento de la política. Debe establecerse un proceso para garantizar que las solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para aprobación o desaprobación, documentadas y vigiladas a través del periodo de tiempo establecido para la excepción. El proceso también debe permitir excepciones permanentes a la política al igual que la no aplicación temporal por circunstancias de corta duración. 

5. Evaluar los riesgos.

Tipo de Riesgo	Factor
Robo de hardware	Alto
Robo de información	Alto
Vandalismo     Medio	Medio
Fallas en los equipos	Medio
Virus Informáticos	Medio
Equivocaciones	Medio
Accesos no autorizados	Medio
Fraude	Bajo
Fuego	Muy Bajo
Terremotos	Muy Bajo

NATALIA PINEDA     CÓDIGO. 624388                                                                                           JOHN MONROY        CÓDIGO. 624628

CASO DE ESTUDIO PUNTO DE VISTA DE LA SEGURIDAD

    1.    Identificar recursos sensibles

Recurso	Es sensible	Área encargada
Personal de la empresa	Pueden ser incitados a cambian y a efectuar manipulación de la información	Área de recursos humanos, gerente personal
Computadores	Pueden tener fallas en el momento del registro de la información	Área de tecnología y soporte técnico
Servidores	Perdida de información	Área de tecnología y soporte técnico
Respaldo de información	Pueden surgir perdidas de información de los diferentes equipos y servidores	Motor de base de datos, control de versiones, repositorio

    2.    Definir políticas se seguridad

•  Los activos de información solo pueden ser accedidos y custodiados por usuarios que tengan permisos para ello.
• Las modificaciones realizadas deben ser registradas asegurando su confiabilidad.
• Los activos de información son objeto de clasificación,   y se llevan registros de las copias generadas  de aquellos catalogados como confidenciales.
• Es   fiable   el   contenido   de   los   activos   de   información   que conserven la  confidencialidad, integridad, disponibilidad, autenticidad y legalidad
• Realizar una copia de seguridad de los cambios que se generan en el sistema
• Medir y analizar las dimensiones del cambio del sistema y las consecuencias que estos van a generar entre los componentes del sistema y los usuarios que hacen uso de este.
• Llevar a cabo un completo análisis de los riesgos y las amenazas que van a ser generadas al llevar a cabo cambios de diferentes tipos en el sistema, ya sean cambios tecnológicos, de personal, de tiempo, económicos, etc.
• Evaluar la complejidad del desarrollo y de los cambios necesarios y pertinentes en el sistema.

    3.    Identificar las amenazas del sistema (Árbol de ataque)

      1. Ingreso al servidor de la base de datos sin autenticación

      1.1. Obtención de información del sistema

      1.1.1. Robo de usuario y contraseña de una persona autorizada

      1.1.2. Acceso a información exclusiva de los empleados

      1.2. Daño de servidores

      1.2.1. Intrusión de virus en los servidores y bases de datos

      1.2.2. Caída de un servidor cuando se hace back up

    4.    Diseñar implementación de seguridad

• Actualizaciones de la tecnología manejada por los servidores
• Cambio de las contraseñas manejadas por los usuarios autorizadas en el acceso del sistema y de la información
• Realizar controles de cambios y versiones al menos semanalmente para gestionar los cambios realizados en el sistema
• Realizar copias de seguridad de la información
• Manejar un repositorio para mantener copias de la información en caso de pérdida de la información en los servidores o en el motor de base de datos

    5.    Evaluar los riesgos

Nivel	Descriptor	Descripción detallada
1	Urgente	Perdida de información
2	Critico	Fallas del servidor
3	Normal	Daño en un equipo
4	Moderado	No autenticación de un usuario autorizado

Camilo vargas Gomez, Miguel Angel Vargas Gomez,Andres Pineda

1.  Identificar recursos sensibles.

   

2. Definir políticas se seguridad.

   

• Realizar un backup total y almacenarse siempre en un lugar seguro (off-site). se almacenan en el CD/DVD/Cinta todos los datos.
• Disponibilidad
  Es necesario garantizar que los recursos del sistema se encontrarán disponibles cuando se necesitan, especialmente la información crítica.
• Utilidad
  Los recursos del sistema y la información manejada en el mismo ha de ser útil para alguna función.
• Integridad
  La información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado.
• Autenticidad
  El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.
• Confidencialidad
  La información sólo ha de estar disponible para agentes autorizados, especialmente su propietario.
• Posesión
  Los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios.

3. Identificar las amenazas del sistema (Arbol de ataque).

                         1. Obtener información del servidor.

                         1.1. Acceso a la información por medio de un troyano.       

                         1.2. obtener contraseñas B.D

                         1.1.1. Adivinar contraseñas S.O.

                         1.1.2. Acceder a los datos por asistencia remota (troyano).

                         1.2.1. Engañar al DBA

                         1.2.2. Realizar ingeniería social.

    

4. Diseñar implementación de seguridad.
    

• Tener servidores redundantes.
• Protección contra virus
• Implementación de firewalls
• Control de acceso a los recursos de la red
• Control de acceso físico
• Sistemas de vigilancia 
• Detección y control de invasiones 
• Políticas generales o específicas de seguridad  
• Equipos   
• Configuración de ambientes  
• Entrenamiento  
• Campañas de divulgación 
• Planes de continuidad 
• Clasificación de la información 
• VPN – Virtual Private Network  
• Acceso remoto seguro 
• Monitoreo y gestión de la seguridad  

5. Evaluar los riesgos.

     

CASO DE ESTUDIO LAURA RAMIREZ - SANTIAGO RICAURTE

1.   Identificar recursos sensibles.

2.   Definir políticas se seguridad.

·         La información del cliente al acceder al préstamo o lo servicios del banco.

·         Validar la concurrencia de las aplicaciones del banco para los clientes.

·         Darle seguimiento al desarrollo y garantizar el cumplimiento de seguridad.

·         Validación del software y hardware para las necesidades de la empresa y para brindar un mejor servicio a los clientes.

·         Hacer un seguimiento a la tecnología.

3.   Identificar las amenazas del sistema (Árbol de ataque).

1) Extraer la información de la B.D.

1.1) Acceso a la B.D. directamente

1.1.1) Identificar contraseñas en la B.D.

1.1.2) validar contraseñas en el sistema operativo de la empresa.

1.2) Acceder desde la B.D. a los servicios de la empresa y de sus préstamos.

1.2.1) manipular información en la B.D.

1.2.2) manipular servicios del cliente para volver al sistema fraudulenteo.

4.   Diseñar implementación de seguridad.

5.   Evaluar los riesgos.

Caso de Estudio - Jorge Baquero

JORGE LEONEL BAQUERO - 624496

1. RECURSOS SENSIBLES

-  Centro de Computo: Es sensible ya que al darle privilegios de ingreso a cualquier persona puede sufrir riesgos a nivel de mala manipulación de los equipos que se encuentran en el. Ademas de que cualquier persona tiene acceso y puede provocar daños , apagones u otras causas en los equipos.

-  Personal Humano: Es sensible, ya sea por falta de algún personal importante en caso de presentarse algún inconveniente.

-  Computadores: Son sensibles  a su uso excedido, mala manipulación y efectos de tipo natural.

-  Equipo tecnológico de comunicación: Son sensibles a la mala manipulación, exceso de carga.

-  Discos Duros de Backup: Al encontrarse en una zona aparentemente segura como lo son las cajas fuertes, están son sensibles , por su mala manipulación dentro del área.

- Adjudicación de Usuarios: Al ser un formulario, cualquier persona puede tener acceso, ademas es el mas sensible por el manejo de contraseñas, ya que no existe un seguimiento de dicho formulario.

2.  POLÍTICAS DE SEGURIDAD

-  El manejo de Backup´s debe ser diario ademas de esto realizar mas de una copia de este mismo por motivos de fallos y de seguridad.

- El Centro de computo debe permanecer cerrado, con las condiciones de seguridad reglamentadas, ademas el personal a esta área debe ser limitado.

-  La adjudicación de datos es decir el manejo de perfiles nuevos or medio de formularios debe poseer un seguimiento semanal, ademas este registro debe ser automatizado y solo con la persona a la que se le va generar su acceso, ademas se debe tener copia de esta información.

-  Se debe garantizar la integridad de la información por medio de software especializado donde se manejen métodos de  encriptacion toda la información  para su manipulación.

3. ÁRBOL DE ATAQUE 

1. Ataque a la información

1.1 Perdida de Información

1.1.1 Mala manipulación de la información

1.1.2 Permisos no admitidos

1.2 No integridad en los datos

1.2.1 Daño de la información

1.2.2 No coincidencia en los datos

1.2.3 Falta de información  

4. EVALUAR RIESGOS 

NIVEL	DESCRIPTOR	EJEMPLO
1	Critico	Perdida de información bancaria importante
2	Urgente	Mal manejo de información (usuario revelando su login y contraseña)
3	Moderado	Fallos en el sistema (50 a 100 fallos)
4	Normal	Caída del sistema  1 vez al día