Beruflich Dokumente
Kultur Dokumente
Presentacin
La segunda prctica de este curso, pretende evaluar el grado de
conocimiento del concepto de anlisis de Riesgos.
Para cualquier duda y/o aclaracin sobre el enunciado, tenis que dirigiros al
consultor responsable de vuestra aula.
Las respuestas sin justificacin, que sean una copia de una fuente de
informacin y/o que no contengan las referencias utilizadas, no recibirn
ninguna puntuacin.
La fecha tope para la entrega ser el da03/11/2017 y recordis que todas las
entregas tienen que realizarse a travs del aula.
1
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci
Competencias
Las competencias del Mster que se trabajarn en esta PEC son las
siguientes:
- Capacidad de anlisis y sntesis de la Seguridad de un sistema
- Capacidad de auto aprendizaje consultando informacin
- Conocimiento de herramientas y tendencias tecnolgicas del mercado
en relacin a la Informtica.
- Capacidad para identificar y analizar los procesos crticos de una
organizacin, as como el impacto que producira la interrupcin de
estos procesos.
Objetivos
El principal objetivo de esta prueba es la elaboracin de un anlisis de riesgos
sencillo, dado un caso de uso, complementado con algunas cuestiones
tericas
2
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci
EJERCICIO A:
A.2.- Suponiendo que se identifica un riesgo, y este est por encima del nivel
aceptable (tambin conocido como umbral), identifica qu opciones podras elegir
para tratarlo, y describe detalladamente cada opcin.
EJERCICIO B:
Responde con Verdadero o Falso a los siguientes puntos, justificando tus respuestas.
Las respuestas que no estn justificadas no sern evaluadas.
B.1.- Uno de los motivos por los que una organizacin debe realizar un anlisis de
riesgos, es que permite realizar y elaborar planes de continuidad del negocio.
B.2.- Una amenaza hace referencia a las debilidades que puede tener un activo
B.3.- Si una organizacin identifica un riesgo que est por encima del umbral, y no lo
puede reducir, porque no posee medios econmicos suficientes, debe eliminarlo,
eliminando el activo que posea dicho riesgo.
B.4.- Todos los activos tienen un propietario del riesgo, pero no tienen por qu tener
un propietario propio del activo.
3
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci
B.8.- Los requisitos de seguridad generan controles, los controles protegen contra
amenazas, las amenazas incrementan los riesgos, y los riesgos pueden tratarse a
travs de una metodologa de gestin de riesgos, pero esta tiene que estar basada en
activos.
B.9.- Una vulnerabilidad hace referencia a las situaciones que le pueden ocurrir a un
activo
B.10.- El riesgo residual es aquel que una vez implementada una medida de
seguridad sobre un activo, el riesgo se consigue reducir, aunque no tiene por qu
estar por debajo del nivel aceptable.
EJERCICIO C:
C.1.- En la Wiki, en el apartado Creacin del SGSI, podis encontrar un ejemplo real
de una metodologa de gestin de riesgos. Tomando como referencia esta
metodologa, cread una plantilla en formato Excel para desarrollar un inventario de
activos. Una vez creada la plantilla, completadla con activos. Piensa en las diferentes
categoras que pueden existir, y en base a estas categoras, identifica todos los
activos que se te ocurran (mnimo 25). Para la identificacin de los activos, vamos a
considerar el siguiente caso de estudio:
Por otra parte, la organizacin posee un firewall, un switch, un punto de acceso Wifi,
y una unidad de cinta para las copias de seguridad (5 cintas LTO en total).
4
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci
Enlace de acceso:
http://cv.uoc.edu/webapps/xwiki/wiki/matm1709/view/Main/Creacin+del+SGSI
EJERCICIO D:
D.1.- En esta ocasin hablaremos sobre la gestin de riesgos, que se puede dividir
principalmente en 3 etapas:
2.- Tratamiento de riesgos: Para cada uno de los riesgos identificados, y que superen
un nivel aceptable, es necesario realizar un tratamiento. Para este tratamiento,
principalmente tenemos 4 opciones: reducir los riesgos, evitarlos, transferirlos y
aceptarlos.
Hasta aqu todo bien, pero, Qu es realmente un activo? Un activo puede ser una
consola de aire acondicionado? En la ISO 27001 es obligatorio el uso de activos?
Podramos evaluar riesgos sin basarnos en activos?Escribid vuestras respuestas
en el foro de la asignatura.Despus de escribir vuestra respuesta en el foro,
haced una captura de pantalla de vuestra respuesta (o vuestras respuestas,
en caso de que participis ms veces), e incluirla dentro del documento de
vuestra solucin.
5
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci
EJERCICIO E:
E.1.- El estndar ISO 27001 establece una serie de documentos que son obligatorios,
y que el estndar, referencia como informacin documentada. Elabora una lista de
estos documentos que son obligatorios, y haz una breve descripcin de cada uno.
EJERCICIO F:
6
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci
Recursos
Los recursos que podris utilizar como referencia para resolver esta prueba
son los siguientes:
Bsico: Mdulo 2 de los apuntes
Complementarios: Wiki de la asignatura
Criterios de evaluacin
A continuacin, se detallan los criterios de evaluacin de esta prueba:
Ejercicio A 20%
Ejercicio B 15%
Ejercicio C 20%
Ejercicio D 10%
Ejercicio E 15%
Ejercicio F 20%
Por lo tanto, al presentar una prctica que haga uso de recursos ajenos, se
presentar junto con ella un documento en el cual se detallen todos ellos,
especificando el nombre de cada recurso, su autor, el lugar donde se obtuvo y su
estatus legal: si la obra est protegida por copyright o se acoge a alguna otra licencia
de uso (CreativeCommons, licencia GNU, GPL ...). El estudiante tendr que
asegurarse que la licencia que sea no impide especficamente su uso en el marco de
la prctica. En caso de no encontrar la informacin correspondiente tendr que
7
M1.809 Sistemas de Gestin de la Seguridad PEC2 2017-2018
Programa de Estudis deYnformticaMultimdia y T elecomunicaci
Tendrn que, adems, adjuntar los archivos originales cuando las obras utilizadas
sean digitales, y su cdigo fuente si corresponde.