ANÁLISIS DE RIESGOS INFORMATICOS EN UNA UNIVERSIDAD
Enviado por alnc2591 • 8 de Agosto de 2018 • Ensayo • 803 Palabras (4 Páginas) • 157 Visitas
Nombre: Ángel Luis Navarrete Campos | Matrícula: al02693237 |
Nombre del curso: Controles de entrada | Nombre del profesor: MONICA IVETTE MARTINEZ RODRIGUEZ |
Módulo: Control de aplicaciones | Actividad: Tarea 9 |
Fecha: abril 2014 | |
Bibliografía: (watchguar) watchguar. (s.f.). Obtenido de http://www.watchguard.com/docs/whitepaper/wg_top10-summary_wp_es.pdf |
ANÁLISIS DE RIESGOS INFORMATICOS EN UNA UNIVERSIDAD.
La Universidad Tecnológica de Occidente ha considerado imprescindible la activación de un equipo de administración y protección de la información generada en la institución ante los riesgos informáticos que pueden hacer vulnerable la valides de los programas de estudio y amenace la acreditación y créditos de la misma, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia de los riegos.
Teniendo en cuenta que la explotación de un riesgo causaría daños o pérdidas financieras o administrativas de dicha institución, se tiene la necesidad de poder estimar la magnitud del impacto del riesgo a que se encuentra expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos, deben ser implementados en conjunto formando una arquitectura de seguridad con la finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad de los recursos objetos de riesgo.
EQUIPO DE ADMINISTRACIÓN DE RIEGOS.
1.- Jefe de sistemas. Operador autorizado por la institución.
2.- Jefe del departamento de Control escolar.
3.- Director General de la Institución.
4.- Subdirector Académico.
5.- Subdirector Administrativo y Coordinadores de las Licenciaturas.
ACTIVOS Objeto o recurso de valor empleado en la institución | AMENAZAS Evento que puede causar un incidente de seguridad en la institución produciendo pérdidas o daños potenciales en sus activos. | DESCRIPCIÓN de las acciones ante el riego ( transferirlo, rechazarlo, reducirlo, evitarlo) |
Información contenida e información adquirida. El activo más importante para la institución educativa. Sus valores a resguardar: confidencialidad, integridad y disponibilidad del sistema. | Las PyMEs inexpertas o con poco presupuesto a menudo instalan routers, switches y otros equipos de networking sin involucrar a nadie que entienda las ramificaciones de seguridad de cada dispositivo. En este escenario, un “chico de redes” amateur estará feliz viendo simplemente que el tráfico de datos va exitosamente de un lado a otro. No se le ocurre que debería cambiar las credenciales de usuario y la contraseña por defecto puestas por el fabricante en cada equipo. DAÑO MUY ALTO | Técnicas que la aseguren. La aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo permiten su ingreso a las personas autorizadas para ello. Respaldo: BACKUPS copias de seguridad incremental y completa. |
Infraestructura computacional: equipamiento, personal responsable y aula de medios adecuada. | Navegación imprudente por parte de los empleados. Los sitios de redes sociales como MySpace y Facebook ya han tomado la posta como basureros virtuales de spam, Troyanos y spyware. Los empleados que navegan por sitios no relacionados con el negocio terminan invitando a entrar a la red corporativa a clientes de bots, troyanos, spyware, keyloggers, spambots y la gama entera del malware. Soluciones de filtrado web mantienen bases de datos (diariamente actualizadas) de URLs bloqueados según puntajes de categorías. Más categorías significan más matices. Estas herramientas lo ayudarán a hacer cumplir su Política de Uso Aceptable con tecnología. DAÑO ALTO. | Asegurar que existan sistemas y atención de emergencia ante las amenazas informáticas mediante intervención adecuada y especializada del personal responsable del equipamiento y su entorno. Respaldo: SOFTWARE asegura la reinstalación en caso de desastre. |
Los usuarios: alumnos, maestros, padres de familia. | LOS INTRUSOS, causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc. DAÑO MEDIO. | Organizar a cada uno de los usuarios por jerarquía informática con claves distintas y permisos establecidos en todos y cada uno de los sistemas o aplicaciones empleadas. |
Las plataformas digitales. Administrador de las mismas. | Servidores Web comprometidos. El ataque de botnets más común hoy se produce contra sitios web y el flanco más débil en muchos de ellos es un código de aplicación mal escrito. Los atacantes comprometen centenas de cientos de servidores de un solo golpe con ataques automáticos de inyección SQL. Los sitios legítimos luego producen la difusión del malware y, sin darse cuenta, esparcen el imperio del amo del bot. DAÑO MEDIO. | Asegurar que los operadores puedan trabajar e interactuar con ellas sin modificar o alterar los archivos que no correspondan a los de la institución y proveedores validados por la misma. Respaldo: Consideraciones de una RED el correo las páginas web y la entrada de ficheros desde discos o de ordenadores ajenos como portátiles. |
Matriculas o códigos de acceso para alumnos, maestros y administradores de las mismas. | Las personas que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.). DAÑO MUY ALTO. | Restringir el acceso a personas no autorizadas por la institución para acceder a los archivos y a los programas, mediante códigos y claves de acceso cifrados con un nivel muy alto de seguridad. |
...