M1.

809 Sistemas de Gestin de la Seguridad PEC2 2017-2018

Programa de Estudis deYnformticaMultimdia y T elecomunicaci

SEGUNDA PRUEBA DE EVALUACIN CONTINUA

Presentacin
La segunda prctica de este curso, pretende evaluar el grado de
conocimiento del concepto de anlisis de Riesgos.

Para cualquier duda y/o aclaracin sobre el enunciado, tenis que dirigiros al
consultor responsable de vuestra aula.

Formato y fecha de entrega

En relacin al formato de entrega tenis que tener en cuenta las siguientes
consideraciones:

Tendr que ser en .PDF.

El nombre del archivo tiene que ser ApellidosNombre_SGSI_PEC2
En el pie de cada pgina tenis que incluir vuestro nombre completo
(Nombre y apellidos), as como el nmero de pgina y el total de
pginas que contiene el documento.

Es importante que razonis las respuestas de todos los ejercicios, indicando

todos los pasos que habis realizado para obtener la solucin.

Las respuestas sin justificacin, que sean una copia de una fuente de
informacin y/o que no contengan las referencias utilizadas, no recibirn
ninguna puntuacin.

La fecha tope para la entrega ser el da03/11/2017 y recordis que todas las
entregas tienen que realizarse a travs del aula.

1
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci

Competencias
Las competencias del Mster que se trabajarn en esta PEC son las
siguientes:
- Capacidad de anlisis y sntesis de la Seguridad de un sistema
- Capacidad de auto aprendizaje consultando informacin
- Conocimiento de herramientas y tendencias tecnolgicas del mercado
en relacin a la Informtica.
- Capacidad para identificar y analizar los procesos crticos de una
organizacin, as como el impacto que producira la interrupcin de
estos procesos.

Objetivos
El principal objetivo de esta prueba es la elaboracin de un anlisis de riesgos
sencillo, dado un caso de uso, complementado con algunas cuestiones
tericas

Descripcinde los ejercicios a realizar.

La prueba se compone de 6 tipos de ejercicios que debis de contestar. A
continuacin,se detallan las instrucciones para la realizacin de todos los
ejercicios, as como el enunciado de los mismos.

2
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci

EJERCICIO A:

A.1.- Enumera los elementos ms importantes de un anlisis de riesgos, y describe

detalladamente cada elemento.

A.2.- Suponiendo que se identifica un riesgo, y este est por encima del nivel
aceptable (tambin conocido como umbral), identifica qu opciones podras elegir
para tratarlo, y describe detalladamente cada opcin.

A.3.- Haz un listado de las metodologas de gestin de riesgos de seguridad de la

informacin que se pueden utilizar para implementar un SGSI basado en la ISO
27001. Destaca las caractersticas principales de cada metodologa, describe
brevemente los pasos que hay que seguir en cada metodologa, y desarrolla un
ejemplo para cada una.

EJERCICIO B:

Responde con Verdadero o Falso a los siguientes puntos, justificando tus respuestas.
Las respuestas que no estn justificadas no sern evaluadas.

B.1.- Uno de los motivos por los que una organizacin debe realizar un anlisis de
riesgos, es que permite realizar y elaborar planes de continuidad del negocio.

B.2.- Una amenaza hace referencia a las debilidades que puede tener un activo

B.3.- Si una organizacin identifica un riesgo que est por encima del umbral, y no lo
puede reducir, porque no posee medios econmicos suficientes, debe eliminarlo,
eliminando el activo que posea dicho riesgo.

B.4.- Todos los activos tienen un propietario del riesgo, pero no tienen por qu tener
un propietario propio del activo.

B.5.- Los controles de seguridad se implementan en base a los riesgos identificados

en el anlisis, por tanto, no es necesario implementar por defecto los 114 controles
de seguridad que posee el Anexo A de la ISO 27001.

B.6.- A la hora de implementar las medidas de seguridad, es necesario considerar 3

costes: coste de proteccin, coste de exposicin y coste de reposicin.

3
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci

B.7.- Se lleva a cabo un anlisis de riesgos intrnseco cuando se tiene en

consideracin las medidas de seguridad que ya existen implementadas en la
organizacin.

B.8.- Los requisitos de seguridad generan controles, los controles protegen contra
amenazas, las amenazas incrementan los riesgos, y los riesgos pueden tratarse a
travs de una metodologa de gestin de riesgos, pero esta tiene que estar basada en
activos.

B.9.- Una vulnerabilidad hace referencia a las situaciones que le pueden ocurrir a un
activo

B.10.- El riesgo residual es aquel que una vez implementada una medida de
seguridad sobre un activo, el riesgo se consigue reducir, aunque no tiene por qu
estar por debajo del nivel aceptable.

EJERCICIO C:

C.1.- En la Wiki, en el apartado Creacin del SGSI, podis encontrar un ejemplo real
de una metodologa de gestin de riesgos. Tomando como referencia esta
metodologa, cread una plantilla en formato Excel para desarrollar un inventario de
activos. Una vez creada la plantilla, completadla con activos. Piensa en las diferentes
categoras que pueden existir, y en base a estas categoras, identifica todos los
activos que se te ocurran (mnimo 25). Para la identificacin de los activos, vamos a
considerar el siguiente caso de estudio:

Empresa del sector aeronutico, que posee un CPD principal en la oficina de la

organizacin, y otro CPD secundario externalizado. El CPD primario cuenta con 10
servidores fsicos, 8 de los cuales tienen un Windows Server 2008, y los otros 2 se
utilizan para mquinas virtuales (VMware). De los 8 servidores, 1 tiene una base de
datos MySQL con la informacin de clientes, otro tiene otro MySQL con informacin
de proveedores, y otro tiene tambin MySQL con informacin relevante de la
configuracin de los diferentes elementos que fabrica la compaa.

Por otra parte, la organizacin posee un firewall, un switch, un punto de acceso Wifi,
y una unidad de cinta para las copias de seguridad (5 cintas LTO en total).

Para la compaa trabajan actualmente 10 empleados (sin contar con la direccin de

la organizacin, que la componen 3 personas ms), 5 de ellos son tcnicos y
pertenecen al rea de TI, otros 2 pertenecen a RRHH, otro a finanzas, otro a
relaciones con proveedores, y otro pertenece al rea de calidad. Cada empleado

4
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci

tiene un porttil y un dispositivo mvil (smartphone). Los empleados tienen instalado

en sus equipos el software habitual que tiene por defecto Windows 10. Adems, la
organizacin posee 2 medios de almacenamiento externo para compartir
informacin con entidades externas.

Se subcontrata el hospedaje de la pgina web de la organizacin, y el correo

electrnico. Tambin se subcontrata servicio de seguridad fsica, as como servicio de
limpieza.

Enlace de acceso:
http://cv.uoc.edu/webapps/xwiki/wiki/matm1709/view/Main/Creacin+del+SGSI

EJERCICIO D:

D.1.- En esta ocasin hablaremos sobre la gestin de riesgos, que se puede dividir
principalmente en 3 etapas:

1.- Anlisis de riesgos: Se identifican riesgos y se evalan

2.- Tratamiento de riesgos: Para cada uno de los riesgos identificados, y que superen
un nivel aceptable, es necesario realizar un tratamiento. Para este tratamiento,
principalmente tenemos 4 opciones: reducir los riesgos, evitarlos, transferirlos y
aceptarlos.

3.- Plan de tratamiento de riesgos: Se elabora un plan para llevar a cabo el

tratamiento de los riesgos identificados (que superan el nivel aceptable). Este plan,
puede ser visto como un plan de proyecto, enfocado -obviamente- en el tratamiento
de riesgos, por lo que, al igual que cualquier plan de proyecto, deber definir las
acciones a llevar a cabo para el tratamiento, los plazos, los recursos, etc.

Hasta aqu todo bien, pero, Qu es realmente un activo? Un activo puede ser una
consola de aire acondicionado? En la ISO 27001 es obligatorio el uso de activos?
Podramos evaluar riesgos sin basarnos en activos?Escribid vuestras respuestas
en el foro de la asignatura.Despus de escribir vuestra respuesta en el foro,
haced una captura de pantalla de vuestra respuesta (o vuestras respuestas,
en caso de que participis ms veces), e incluirla dentro del documento de
vuestra solucin.

5
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci

EJERCICIO E:

E.1.- El estndar ISO 27001 establece una serie de documentos que son obligatorios,
y que el estndar, referencia como informacin documentada. Elabora una lista de
estos documentos que son obligatorios, y haz una breve descripcin de cada uno.

EJERCICIO F:

F.1.- Crea un listado/catlogo de amenazas/vulnerabilidades, y asigna las que

consideres oportunas a cada uno de los activos identificados en la actividad C.1

6
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci

Recursos
Los recursos que podris utilizar como referencia para resolver esta prueba
son los siguientes:
Bsico: Mdulo 2 de los apuntes
Complementarios: Wiki de la asignatura

Criterios de evaluacin
A continuacin, se detallan los criterios de evaluacin de esta prueba:

Ejercicio A 20%

Ejercicio B 15%

Ejercicio C 20%

Ejercicio D 10%

Ejercicio E 15%

Ejercicio F 20%

Nota: Propiedad intelectual

A menudo es inevitable, al producir una obra multimedia, hacer uso de recursos

creados por terceras personas. Es por lo tanto comprensible hacerlo en el marco de
una prctica de nuestros estudios, siempre que esto se documente claramente y no
suponga plagio en la prctica.

Por lo tanto, al presentar una prctica que haga uso de recursos ajenos, se
presentar junto con ella un documento en el cual se detallen todos ellos,
especificando el nombre de cada recurso, su autor, el lugar donde se obtuvo y su
estatus legal: si la obra est protegida por copyright o se acoge a alguna otra licencia
de uso (CreativeCommons, licencia GNU, GPL ...). El estudiante tendr que
asegurarse que la licencia que sea no impide especficamente su uso en el marco de
la prctica. En caso de no encontrar la informacin correspondiente tendr que

7
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci

asumir que la obra est protegida por copyright.

Tendrn que, adems, adjuntar los archivos originales cuando las obras utilizadas
sean digitales, y su cdigo fuente si corresponde.