12
ELEMENTOS DE SEGURIDAD INFORMÁTICA PARA EL SISTEMA DE MATRÍCULA DE LA UNAM - SEDE ILO PRESENTADO POR: PRESENTADO A: UNIVERSIDAD NACIONAL DE MOQUEGUA FACULTAD DE INGENIERIA

Seguridad Informatica en la UNAM

Embed Size (px)

Citation preview

Page 1: Seguridad Informatica en la UNAM

ELEMENTOS DE SEGURIDAD INFORMÁTICA PARA EL SISTEMA DE MATRÍCULA DE LA UNAM - SEDE ILO

PRESENTADO POR:

PRESENTADO A:

UNIVERSIDAD NACIONAL DE MOQUEGUAFACULTAD DE INGENIERIA

CRIPTOGRAFIA

INTRODUCCION

Page 2: Seguridad Informatica en la UNAM

La seguridad informática es fundamental para darle seguridad a nuestros sistemas de información. En la actualidad, hay gran cantidad de código malicioso y personas malintencionadas que quieran afectar nuestro sistema y es nuestra labor como ingenieros de sistemas mitigar dichos riesgos.

Por ello, se planea el análisis y gestión de riesgos de la Universidad Nacional De Moquegua, específicamente en la división de sistemas, para aplicar los conceptos adquiridos en el desarrollo de la materia.

Page 3: Seguridad Informatica en la UNAM

ELEMENTOS DE SEGURIDAD INFORMÁTICA PARA EL SISTEMA DE MATRÍCULA DE LA UNAM - SEDE ILO

OBJETIVO GENERAL

El objetivo general consiste en la realización de una Auditoría Informática en LaUniversidad Nacional de Moquegua con el fin de relevar las vulnerabilidades existentes en lo relativo a controles de seguridad, como medio para el desarrollo de una Seguridad, donde se definirán los lineamientos para promover la implementación de un modelo de seguridad en toda la organización.

OBJETIVOS ESPECIFICOS

- Analizar los activos de la dependencia.- Identificar los Activos protegibles del Dominio - Identificar el conocimiento de las Amenazas - Estimar Vulnerabilidades- Identificar Impactos del sistema- Identificar Riesgos

ALCANCE

EL análisis y gestión de riesgos para la división de sistemas se limita a la realización de un análisis superficial de los niveles de seguridad, la cual es una dependencia de la Universidad Nacional de Moquegua.

El trabajo es realizado por solicitud en la asignatura Criptografía en la cual se debe aplicar conocimientos de seguridad para la aplicación de una metodología de riesgos a una división de la universidad. El alcance es limitado en la inspección del sistema de seguridad que hay implementado y la creación de un nuevo diseño de seguridad teniendo en cuenta los riesgos encontrados en la planificación.

IDENTIFICACION DE LOS ACTIVOS PROTEGIBLES

Page 4: Seguridad Informatica en la UNAM

Los Activos son los recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección.

- Activos de Entorno: Edificio de la división de sistemas Energía eléctrica Climatización Personal de la división de sistemas

- Sistema de Información Servidores Terminales Redes de computadoras Base de datos

- Información Historial de cada estudiante Materias matriculadas por el estudiante Reporte de pagos de matricula Información de las materias Horarios de clases Matricula automática Docentes vinculados a la universidad Carga académica de los docentes Documentos para el ingreso de la universidad -Aspirantes-

- Funcionalidades del dominio Facilitar a los estudiantes el proceso de matricula Gestionar las Inclusiones y cancelación de materias Permitir asignar profesores a una determinada Asignar las determinadas materias a un salón y horario determinado Almacenar el historial de cada estudiante matriculado en la

universidad Facilitar el proceso de ingreso a la universidad a los estudiantes Gestionar las notas de los estudiantes impuestas por el profesor de

una materia Gestionar el control de acceso al sistema

CONOCIMIENTOS DE AMENAZA

Page 5: Seguridad Informatica en la UNAM

Las amenazas se definen como los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales y/o pérdidas inmateriales en sus activos.

El Responsable del Dominio protegible tiene un papel de la identificación de las amenazas que pueden actuar sobre los activos de su Dominio. Se considera distintos ‘productores’ de las Amenazas (no humanos, humanos involuntarios o humanos voluntarios) para tener en cuenta la diversidad de sus causas, independientemente de sus consecuencias. Cada tipo de productores genera un tipo de causas de los cambios del estado de seguridad en los Activos: accidentes, errores e intervenciones intencionales, éstas realizadas con presencia de la agresor bien física bien por ‘tele acción’ (usando medios de comunicación). LasAmenazas se clasifican así:

Grupo A de Accidentes

A1: Accidente físico de origen industrial: - Desorden público que pueda ocasionar un incendio producto de marchas

de estudiantes o de algún sector que quiera generar un estancamiento de los procesos universitarios.

- Filtración del agua debido a los torrenciales que se puedan presentar, generando un corto circuito y posterior deterioro de los equipos físicos del sistema.

A3: Accidente físico de origen natural:- Movimiento Sísmico en la ciudad de gran impacto debido a la alta

probabilidad que hay de estos fenómenos naturales, destruyendo la estructura física y tecnológica de la División de Sistemas.

A4: Interrupción de servicios o de suministros esenciales:

- Falta de suministro de energía eléctrica a los dispositivos electrónicos, debido al no pago del servicio o a cualquier daño en la red eléctrica de la compañía prestadora del servicio.

Grupo E de Errores

E2: Errores de diseño existentes desde los procesos de desarrollo del software (incluidos los de dimensionamiento, por la posible saturación)

- Existencia de errores de análisis y diseño del sistema, generando inconsistencias en la ejecución de aplicaciones y sistemas.

Grupo P de Amenazas Intencionales Presenciales

Page 6: Seguridad Informatica en la UNAM

P1: Acceso físico no autorizado con inutilización por destrucción o sustracción (de equipos, accesorios o infraestructura).

- Violación de la seguridad de acceso y penetración a las instalaciones físicas de personal no autorizado.

-P3: Acceso lógico no autorizado con alteración o sustracción de la información en tránsito o de configuración; es decir, reducción de la confidencialidad para obtener bienes o servicios aprovechables (programas, datos)

- Filtración de la información relevante debido a una penetración en los sistemas.

P4: Acceso lógico no autorizado con corrupción o destrucción de información en tránsito o de configuración: es decir, reducción de la integridad y/o disponibilidad del sistema sin provecho directo (sabotaje inmaterial, infección vírica.)

- modificación y/o de información relevante debido a código viral o actos malintencionados de agentes externos al sistema.

Estimación de Impactos

La cuantificación de los Impactos es no sólo uno de los procesos más difíciles del Análisis de Riesgos, sino que es el más influyente en el cálculo del propio Riesgo. Como se verá en el Modelo de Eventos, el nivel del Riesgo depende directamente de la Vulnerabilidad y del Impacto, pero se da a éste un peso mayor por todo el mundo en el proceso de decisión que subyace al cálculo del riesgo.Se indica varias formas de valorar estos impactos:

• Valoración económica directa de las Pérdidas Cuantitativas N cuando es posible. (La única que es cuantitativa)

• Estimación por niveles usando una escala monetaria meramente orientativa que representa las cantidades a emplear para paliar los daños producidos por una amenaza materializada en la organización.

IMPLEMENTACION DE SEGURIDAD INFORMATICA

Una Función es una acción genérica que reduce el Riesgo mientras que un Mecanismo de procedimiento o dispositivo, físico o lógico, capaz de reducir el riesgo. Actúa de dos formas posibles, en general alternativas:

• neutralizando o bloqueando la materialización de la Amenaza antes de ser agresión • mejorando el estado de seguridad del Activo ya agredido, por reducción del Impacto.

Page 7: Seguridad Informatica en la UNAM

- Activos de Entorno:

Ejecutar un plan de seguridad física para la infraestructura de la división de sistema

Implantar plantas eléctricas para posibles problemas eléctricos Hacer una revisión constante de los enfriadores de los servidores y

demás aparatos de hardware Capacitar el personal de la división de sistemas en las buenas

prácticas de la seguridad física de los sistemas de información

- Sistema de Información Mantener el servidor en buenas condiciones de uso y con nueva

tecnología que soporte sus funciones Descentralizar el funcionamiento del servidor en varios servidores

para funciones especificas Hacer mantenimientos a la red frecuentemente Encriptar la información que maneja el software para aumentar la

seguridad de los mismos. Hacer backups de las bases de datos y la aplicación. Permitir la gestión de usuarios del sistema con niveles de seguridad

en la plataforma. Encriptar la información o establecer controles de acceso a la

información recibida de otras dependencias para los procesos de matrícula y gestión de profesores.

Establecer niveles de seguridad más altos para los estudiantes al momento de incluir y cancelar materias.

Contratar un canal dedicado de internet que permita la disponibilidad de la red las 24 horas al día

Realizar formatos válidos para las diferentes solicitudes de modificación de los datos de la base de datos

Establecer versiones de la base de datos y la aplicación. Ubicar cámaras de seguridad en el área de los servidores para

conocer que personas tuvieron acceso al servidor. Establecer protocolos de trasferencia con encriptación en la red

externa. Desarrollar un historial de actividades de cada usuario

RIESGOS

Page 8: Seguridad Informatica en la UNAM

Pueden presentarse diferentes tipos de riesgos como los nombrados a continuación:

- Filtración en el sistema por medio de agentes externos con el fin de violar la seguridad del sistema y acceder de manera ilícita a la información protegida, sea para observarla como para modificarla y en casos extremos eliminarla.

- Destrucción de la infraestructura tecnológica de la empresa debido a alteraciones de orden público.

- Acceso mal intencionado y no permitido de personas a las salas de información y consecuentemente obtención de información valiosa y restringida.

- Filtración de código viral en el sistema, interrumpiendo la funcionalidad del sistema y destruyendo los datos almacenados en las bases de datos.

- Daño masivo de equipos electrónicos ocasionados por altas descargas en el sistema eléctrico que alimenta energía para los equipos físicos del sistema.

Page 9: Seguridad Informatica en la UNAM

CONCLUSION

Mediante la realización del trabajo se analizó el sistema de seguridad de la división de sistemas de la Universidad Nacional de Moquegua, en la cual se detectó una serie de vulnerabilidades, las cuales fueron identificadas para diseñar un plan de mitigación en caso de presentarse un evento leve o fuerte que afecte negativamente el sistema o un plan de prevención para llevar esa vulnerabilidad a sus niveles más bajos, con el fin de evitar que estos eventos se produzcan.

En la actualidad se han realizado muchas comparaciones entre los diferentes metodologías aplicables al análisis y gestión del riesgos para elegir la más adecuada a las necesidades de la organización.

Además el plan realizado ha consolidado los conceptos de riesgo, vulnerabilidad, activo y vulnerabilidad. Conceptos importantes para el desarrollo de la profesión de ingeniero de sistemas.


Seguridad Informatica Introduccion a Seguridad Informatica

Seguridad Informatica Introduccion a Seguridad Informatica

Documents
Seguridad informatica

Seguridad informatica

Documents
Auditoría Informatica y Seguridad Informatica

Auditoría Informatica y Seguridad Informatica

Documents
Seguridad informatica

Seguridad informatica

Education
Instituto internacional de seguridad cibernética certificaciones seguridad informatica, maestrias en seguridad informatica

Instituto internacional de seguridad cibernética certificaciones seguridad informatica, maestrias en seguridad informatica

Documents
Examen Por Unidad de informatica UNAM

Examen Por Unidad de informatica UNAM

Documents
Seguridad informatica

Seguridad informatica

Documents
SEGURIDAD ALIMENTARIA - UNAM

SEGURIDAD ALIMENTARIA - UNAM

Documents
Juan miguel-velasco-lopez-urda-seguridad-informatica-seguridad-informatica

Juan miguel-velasco-lopez-urda-seguridad-informatica-seguridad-informatica

Internet