Vista previa del material en texto
INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE CÓMPUTO 3er Entregable del proyecto Maestra: Guzmán Flores Jessie Paulina. Materia: IT Governance. Fecha de entrega: Domingo 15/01/2023 Grupo: 3CM13. Equipo: · Briseño Lira Andrés (Compilador) · López Reyna Bryan Ricardo (Evaluador) · Ortiz Rincón Christian Fernando (Revisor) · Pérez Vidales Yesua David (Alertas) · Reyes Rebollo Angel de Jesus (Compilador) · Valenzuela Góngora Eric Alejandro (Entregas) Índice 1. Descripción del proyecto 1 a) Antecedentes 1 b) Problema de contexto 1 c) Propuesta de solución 1 2. Planeación y preparación 1 a) Plan de trabajo 1 b) Equipos de trabajo 4 3. Gobernabilidad de TI 4 a) Misión 4 b) Visión 5 c) Objetivos 5 d) Estructura Organizacional 5 e) Gestión de la información de la propuesta de solución 6 f) Sistemas administrados en la empresa (Tipos de sistemas) 7 g) Clasificación y gestión de la información 7 h) Manuales de organización, funciones y procedimientos del manejo de la información 9 i) Identificación de los procesos de los sistemas de la empresa 18 j) Identificación y evaluación de los activos necesarios para el desarrollo del proyecto 18 k) Identificación los requerimientos para la implementación del Framework ISO 38500 19 4. Plan de seguridad formativo 20 a) Modelo sistema de gestión de seguridad de la información (SGSI). 20 b) Descripción del sistema de gestión de seguridad de la información 21 c) Alcance del SGSI 21 d) Políticas de la seguridad de la información 22 e) Organización de la seguridad de la información 23 f) Seguridad de recurso humano 25 g) Gestión de activos físicos, humanos, información y digitales. 26 5. Identificación de riesgos 26 5.1 Activos de información 26 5.2 Análisis de riesgos: Matriz de riesgos 28 3ra Entrega: 37 1.- Plan para la implementación de proyectos 37 2.- Plan de apoyo y administración logística 37 3.- Descripción general del problema a abordar o proyectos a realizar 38 4.- Los principales subsistemas de problema o proyecto 39 5.- Requisitos de los proyectos 39 6.- Procedimientos 39 7.- Estimación de tiempo, costo y materiales para cada subsistema y todo el proyecto. 40 8.- Establecer los principales hitos del proyecto 41 9.- Equipo (especialistas), gastos generales y costos administrativos 42 10.- Desarrollar planes de contingencia (incluido tiempo de holgura) 43 Portafolio 45 1.- Inventario de componentes del portafolio 45 2.- Definición del componente 46 3.- Lista de componentes propuestos 47 4.- Tabla de categorías de plan estratégico 49 5.- Plan de gestión de portafolio. 50 6.- Lista de componentes categorizados 51 7.- Tabla de criterios claves para la evaluación de componentes 53 8.- Evaluación de componentes 53 9.- Lista de componentes evaluados 58 10.- Lista de componentes seleccionados 58 11.- Priorización general de componentes. 59 12.- Lista general de componentes priorizados 59 13.- Cuestionario de evaluación de riesgos de componentes 59 14.- Balance del portafolio por Riesgo/ beneficio 76 15.- Balance del portafolio por categoría estratégica y unidad de negocio. 77 16.- Recomendaciones del balance de portafolio 78 17.- Lista de componentes aprobados y no aprobados. 79 18.- Registro de riesgos-Lista de riesgos identificados, riesgos agrupados por categoría, ranking de riesgos y plan de respuesta. 79 19.- Categorías del plan estratégico 89 Referencias 90 Anexos 91 Registro de Riesgos 91 1 1. Descripción del proyecto a) Antecedentes Existen varios antecedentes que se podría decir que sirven para la administración de actividades escolares, pero son meramente académicas o administrativas como podría ser el caso del PIDAE el cual fracaso o el SAES que es el que se utiliza actualmente. Sin embargo, no existe ninguna aplicación o página web que te ayude a conseguir información acerca de las actividades extracurriculares de ninguna escuela dentro del Politécnico. b) Problema de contexto En el Instituto Politécnico nacional no sé conoce ninguna aplicación que ayude a los alumnos y a al resto de personal interesado en conseguir información de las actividades extracurriculares que hay dentro de cada unidad académica, a esto se le agrega la dificultad de cada unidad académica para dar a conocer a su comunidad cuales son las actividades extracurriculares que existen dentro de la unidad. Por ello, en muchas ocasiones los alumnos no conocen la existencia de los clubs dedicados a las actividades extracurriculares o les resulta complicado obtener información de ellos. c) Propuesta de solución La solución que propone nuestro equipo es una plataforma más específicamente una página web que pueda ayudar no solo para informar a los alumnos sino para la misma administración de dichos clubes académicos y extracurriculares, dónde se va a tener un administrador el cual va a ser el encargado de filtrar o dar la aprobación a la información que se va a subir dentro de la página donde solamente los coordinadores podrán subir información acerca de su club como evidencias, horarios, calendarios u otra información que les sea útil para conseguir que más alumnos se interesen en unirse a dicha actividad. Pero esto no solo sirve para qué se pueda tener información de los clubes, sino que ayuda a los mismos clubes a tener las evidencias necesarias para justificar el presupuesto que se le pueda asignar a dicho club lo cual podría conllevar a un aumento de presupuesto en caso de que las actividades se lleven de manera correcta y que se haya conseguido alguna premiación que aumente la reputación del instituto académica, cultural y socialmente. 2. Planeación y preparación a) Plan de trabajo Objetivo General: Con la realización del proyecto buscamos definir de manera clara y especifica el funcionamiento de la plataforma web de apoyo para clubes académicos y extracurriculares de la Escuela Superior de Cómputo. Estrategias y Actividades: Para poder alcanzar nuestros objetivos debemos de realizar una investigación orientada a los potenciales usuarios de la plataforma, en nuestro caso sería para los coordinadores de los clubes, los integrantes de estos y el resto de la comunidad escolar que pueda llegar a formar parte de los clubes. De igual manera debemos identificar cuáles son las necesidades generales y particulares que se tienen en los distintos clubes, buscando de esta manera un diseño flexible que permita ser adaptable para cualquier club que este dentro de la escuela. Tener un buen tratamiento de la información es necesarios, ya que la plataforma que proponemos como solución al problema maneja información sensible que puede perjudicar a los usuarios si se da un mal uso de esta. Recursos: Los recursos humanos con los que se cuenta para realizar el proyecto son: · Integrantes del equipo (6 integrantes). · Guía en el proceso de desarrollo (profesora) El tiempo para la realización del proyecto: · A partir de la definición del plan de trabajo se cuentan con 12 semanas para concluir con el proyecto. La infraestructura del equipo está constituida por: · 6 equipos de cómputo (cada integrante cuenta con uno propio) Riesgos asociados: · Una investigación incompleta que no muestre el panorama completo al cual se quiere dar solución. · Tratamiento inadecuado de la información utilizada por la plataforma. · Algún integrante del equipo no pueda llevar a cabo sus actividades correspondientes. · Fuentes de información poco fiables. Gráfica de Gantt Planeación: 1. Definición del problema. 2. Investigación necesaria. 3. Propuesta de solución. Análisis: 1. Definición de requerimientos. 2. Gestión de riesgos. Diseño: 1. Diseño de clases. 2. Diseño de interfaces. 3. Diseño de flujo de datos. Verificación: 1. Se cumpla con los estándares establecidos. 2. Se maneje la información de la manera planeada. 3. Se dé solución al problema. Mantenimiento: 1. Este en constante monitoreo el proyecto debido a los cambios lógicos u organizacionales que se puedan llegar a dar. b) Equipos de trabajo La división de los roles detrabajo para la realización del proyecto queda de la siguiente manera: · Gerente de Proyecto: Valenzuela Góngora Eric Alejandro Responsable de revisión y autenticidad de los aportes del equipo, verificando que se ajusten a lo solicitado en cada actividad. Consolida el documento y hace entrega de este en el espacio de evaluación. · Gerente de Tiempo y Riesgo: Valenzuela Góngora Eric Alejandro Responsable del desarrollo de las matrices tiempo y riesgo, haciendo entrega de estas al director del proyecto con tiempo, para la consolidación y entrega final del trabajo. · Gerente de Adquisiciones y Alcance: Reyes Rebollo Ángel de Jesús Responsable del desarrollo de las matrices adquisiciones y alcance, haciendo entrega de estas al director del proyecto con tiempo, para la consolidación y entrega final del trabajo. · Gerente de Costos y Comunicaciones: Ortiz Rincón Christian Fernando Responsable del desarrollo de las matrices costos y comunicaciones, haciendo entrega de estas al director del proyecto con tiempo, para la consolidación y entrega final del trabajo. · Gerente de Calidad y Evaluación Financiera: Pérez Vidales Yesua David Responsable del desarrollo de las matrices calidad y evaluación financiera, haciendo entrega de estas al director del proyecto con tiempo, para la consolidación y entrega final del trabajo. · Gerente de Recursos Humanos: López Reyna Bryan Ricardo Responsable de la planificación y gestión de los recursos humanos, hace entrega de esta al director del proyecto con tiempo, para la consolidación y entrega final del trabajo. · Gerente de Sostenibilidad: Briseño Lira Andrés Responsable de la planificación de la gestión ambiental dentro del proyecto, hace entrega de esta al director del proyecto con tiempo, para la consolidación y entrega final del trabajo. 3. Gobernabilidad de TI a) Misión La razón por la cual se ideó este proyecto es para ayudar a administrar y darse a conocer a los clubes que existen dentro de la institución. b) Visión Lo que se desea lograr con este proyecto es darle una mejor administración a cada club con el manejo de sus evidencias, dar a conocer de una manera sencilla sus horarios, tener registro de los logros que pueda llegar a tener cada club, justificando así el apoyo para los clubes por parte de la unidad académica. De igual manera se busca dar una mayor difusión acerca de todos los clubes que existan dentro de la unidad académica. Actualmente se toma de referencia el proceso que llevan los clubes dentro de la Escuela Superior de Computo, pero nuestro objetivo a futuro es poderlo implementar de manera eficiente este proyecto a cada unidad académica que pertenezca al Instituto Politécnico Nacional. c) Objetivos · Conseguir información de cada club. · Separar los clubes por categorías. · Crear un interfaz agradable para el usuario. · Dar una información clara y concisa de quién son los clubes para que sirven y cómo se clasifican. · Crear una base de datos para cada club donde solo pueda modificar o agregar información el administrador, coordinador o coordinadora que se encargue de ese club ese semestre. · La base de datos vendría acompañada de una pantalla específica para cada club. d) Estructura Organizacional e) Gestión de la información de la propuesta de solución Para identificar el tipo de información que maneja el sistema en sus distintas funcionalidades y casos de uso, primero identificamos los “actores” que van a interactuar con dicho sistema, los cuales son los siguientes: 1. Administrador clubes: Puede crear entidades como clubes, crea usuarios tipo coordinador, puede solicitar reportes, incluso eliminar clubes, coordinadores, alumnos presidentes e integrantes, en caso de que sea necesario. 2. Coordinador: Este tipo de usuario se encarga de registrar integrantes a cada club, también se encarga de registrar las participaciones, evaluaciones y asistencias de los integrantes en clases, conferencias, eventos, etc. Además, este tipo de usuario gestiona una de las herramientas más relevantes del sistema que es el calendario, donde podrá agregar clases y eventos, respecto al temario que el mismo defina. 3. Alumno presidente: Este usuario es de gran ayuda para el coordinador, por lo tanto, tiene algunas de sus funcionalidades como tipo de usuario, por ejemplo, también puede registrar asistencias y evaluaciones, aunque no podrá crear eventos en el calendario. 4. Integrantes de cada club: Este tipo de usuario puede visualizar el calendario de su respectivo club; además de que entrega actividades y es evaluado. 5. Público en general: Este tipo de usuario podrá visualizar información pública en el sistema, como procedimientos para registrarse y fechas para ello, este tipo de usuario también puede registrarse, al momento de registrarse pasa a ser un tipo de usuario “Integrante de un club”; además puede visualizar los calendarios de todos los clubes. Imagen: Como se relaciona el club con sus integrantes y su administrador Información Delicada Cuando un usuario “Público en general” comienza el proceso de registro, proporciona la siguiente información: · Nombre completo · Plan de estudios al que está inscrito · Número de boleta · Contraseña. Para el almacenamiento del número de boleta, como la contraseña, se utilizan funciones hash para que en el servidor no se tenga esta información delicada en claro; por ejemplo, se podría utilizar el algoritmo SHA-256 que anteriormente ya ha registrado colisiones en fuerza bruta, pero se puede reducir el riesgo solo permitiendo 3 intentos, en caso de que después de los 3 intentos no ingrese correctamente la contraseña o el número de boleta, la cuenta ya no permitirá más intentos y tiene que arreglarlo enviando un correo al soporte técnico del sistema, este proceso puede ser engorroso, pero tiene un porcentaje bastante alto de autenticación y confidencialidad de información delicada. ISO 27000 Las series 27000 están orientadas al establecimiento de buenas prácticas en relación con la implantación, mantenimiento y gestión del Sistema de Gestión de Seguridad de la Información (SGSI). · ISO 27001: Especifica los requerimientos necesarios para implantar y gestionar un SGSI. Esta norma es certificable. · ISO 27002: Define un conjunto de buenas prácticas para la implantación del SGSI, a través de 114 controles, estructurados en 14 dominios y 35 objetivos de controles. · ISO 27008: Define cómo se deben evaluar los controles del SGSI con el fin de revisar la adecuación técnica de los mismos, de forma que sean eficaces para la mitigación de riesgos. f) Sistemas administrados en la empresa (Tipos de sistemas) 1. Sistemas de información general Son soluciones administrativas mediante el uso de la tecnología de la información que colaboran como sistemas de apoyo con el proceso de toma de decisiones en los niveles de la organización más altos. Utilizados como referencia para ayudar a tomar decisiones empleando datos del pasado y el presente. 2. Sistemas de apoyo a ejecutivos Es un software que permite a los usuarios transformar los datos en informes de acceso rápido y de nivel ejecutivo. Un ESS mejora la toma de decisiones para los ejecutivos. g) Clasificación y gestión de la información De acuerdo con ISO 27001 para poder hacer la clasificación de la información, primero se deberá hacer un inventario de activos y posteriormente clasificar la información. La siguiente tabla muestra la clasificación de la información que es manejada en el sistema. INVENTARIO DE INFORMACIÓN VALORIZACIÓN Nombre del activo Descripción del activo Sistema involucrado Tipo de activo Clasificación Tipo de ubicación Nivel de confidencialidad Confidencialidad Integridad Disponibilidad Valor Nivel de tasación Datos de integrantes de club. Información general de los alumnos integrantes de un club. Base de datos. Información Confidencial Física-Lógica Confidencial del empleado. 4 5 5 4.6 Muy alto Datos de administrador de club. Información de los encargados de un club, así como su contacto. Base de datos. Información PúblicaLógica No clasificado. 1 3 2 2 Bajo Datos de acceso al sistema. Información para acceder al sistema: correo/usuario y contraseña. Base de datos. Información Privada Lógica Confidencial del cliente. 5 5 5 5 Muy alto Información de eventos públicos. Información para eventos de libre acceso. Sistema Información Pública Física-Lógica No clasificado. 1 3 2 2 Bajo Información de eventos internos del club. Información de eventos solo para los miembros de un club. Sistema Información Reservada Lógica Confidencial del empleado. 2 2 3 2.3 Medio Información del club. Información pública de cada club. Sistema Información Pública Física-Lógica No clasificado. 1 2 1 1.3 Muy bajo Registro de asistencia a eventos. Registro de asistencia a eventos de cada alumno. Base de datos Información Reservada Física-Lógica Confidencial de la compañía. 3 4 4 3.6 Alto Registro de horas de actividades. Registro de horas asistidas a las actividades en los eventos/club. Base de datos Información Reservada Lógica Confidencial de la compañía. 3 4 4 3.6 Alto Calendario de actividades públicas. Calendario de eventos de libre acceso. Sistema Google Calendar. Información Pública Lógica No clasificado. 1 3 3 2.3 Medio Calendario de actividades de club. Calendario de eventos para integrantes de un club. Sistema Google Calendar. Información Reservada Lógica Confidencial del cliente. 1 3 2 2 Bajo Inventario de activos. Inventario de los activos de la organización. One Drive Información Confidencial Física-Lógica Confidencial de la compañía 4 5 3 4 Alto Información de recursos humanos. Información relacionada a los datos de los miembros de la compañía. One Drive Información Confidencial Física-Lógica Confidencial de la compañía 4 5 4 4.1 Muy alto Manuales de organización, funciones y procedimientos. Manuales relacionados a la organización, funciones y procedimientos dentro de la compañía. Archivos Información Reservada Física-Lógica Confidencial de la compañía 3 5 4 4 Alto h) Manuales de organización, funciones y procedimientos del manejo de la información MANUAL DE ORGANIZACIÓN DEL MANEJO DE LA INFORMACIÓN Introducción Dentro del sistema se hace uso de información de diferentes tipos, es por ello que es necesario conocer cómo será tratada esta información para mantener la integridad, disponibilidad y confidencialidad. Para lograr lo anterior se debe conocer toda la información que se estará manejando y clasificarla correctamente, cada tipo de información se debe tratar de forma distinta y tener más o menos seguridad en el acceso a esta información. Este documento cumple con las especificaciones de acceso y manejo de la Información, de tal manera que sea fácil la orientación de las funciones y responsabilidades del cargo al que han sido asignado. Objetivo Proporcionar la información necesaria a las áreas del proyecto, con el fin de dar a conocer la forma de organización, los objetivos, funciones y niveles de responsabilidad de la unidad administrativa con respecto al manejo de la información. Marco Jurídico ISO 27001 Misión Estipular el correcto tratamiento de la información dentro del proyecto. Visión Contar con el manejo adecuado de la información usada en el proyecto. Estructura Orgánica 1.0 Gerencia del proyecto. 1.1 Gerente de recursos humanos. 1.2 Gerente de tiempo y riesgos. 1.3 Gerente de sostenibilidad. 1.4 Gerente de alcance y adquisiciones. 1.5 Gerente de costos y comunicaciones. 1.6 Gerente de calidad y evaluación financiera. Organigrama Estructura Funcional UNIDAD ORGÁNICA: GERENCIA DEL PROYECTO Objetivo: Administrar y dar seguimiento del correcto manejo de la información en las demás áreas del proyecto. Funciones: · Dar seguimiento de la información en las áreas del proyecto. · Aprobar cambios drásticos en la estructura de la información. · Supervisar y delegar el borrado seguro de la información. UNIDAD ORGÁNICA: GERENTE DE RECURSOS HUMANOS Objetivo: Administrar y actualizar la información correspondiente al recurso humano del proyecto. Funciones: · Mantener actualizada la información del recurso humano en el sistema. · Verificar la veracidad de la información del recurso humano. UNIDAD ORGÁNICA: GERENTE DE TIEMPO Y RIESGOS Objetivo: Analizar la información utilizada dentro del proyecto. Funciones: · Analizar la información que será utilizada en el sistema. · Generar planes de contingencia en caso de pérdida/filtración de la información. · Clasificar la información manejada en el sistema. UNIDAD ORGÁNICA: GERENTE DE ALCANCE Y ADQUISICIONES Objetivo: Administrar la información de los activos del proyecto. Funciones: · Generar inventario de activos del proyecto. · Analizar la información disponible para tomar decisiones del proyecto, · Aprobar nuevas adquisiciones para el proyecto. UNIDAD ORGÁNICA: GERENTE DE COSTOS Y COMUNICACIONES Objetivo: Administrar la información de las relaciones del proyecto. Funciones: · Detallar los costos producidos del proyecto. · Gestionar la información de actividades con clientes/proveedores. UNIDAD ORGÁNICA: GERENTE DE CALIDAD Y EVALUACIÓN FINANCIERA Objetivo: Administrar la información financiera del proyecto. Funciones: · Generar reportes financieros del proyecto. · Detallar pruebas de calidad del sistema. · Crear/actualizar manuales del proyecto. · Analizar las entradas/salidas de dinero del proyecto. Manual de funciones del manejo de la información Manual de funciones del manejo de la información Objetivo del proyecto Definir de manera clara y especifica el funcionamiento de la plataforma web de apoyo para clubes académicos y deportivos de la Escuela Superior de Cómputo. Organigrama Descripción de funciones por área del proyecto. Nombre del cargo: Gerencia del proyecto. Cargo superior inmediato: Propósito del cargo: Administrar y dar seguimiento del correcto manejo de la información en las demás áreas del proyecto. Funciones Tareas Dar seguimiento de la información en las áreas del proyecto. · Revisar las actividades de cada área a su cargo. · Revisar el manejo de la información. · Delegar la verificación de la seguridad de la información. Aprobar cambios drásticos en la estructura de la información. · Revisar las solicitudes de cambios. · Analizar riesgos encontrados. Supervisar y delegar el borrado seguro de la información. · Delegar el borrado seguro de la información. · Asegurar el borrado seguro de información. Nombre del cargo: Gerente de recursos humanos. Cargo superior inmediato: Gerencia del proyecto. Propósito del cargo: Objetivo: Administrar y actualizar la información correspondiente al recurso humano del proyecto. Funciones Tareas Mantener actualizada la información del recurso humano. · Obtener información del recurso humano. · Actualizar la información del recurso humano. · Asegurar la información privada del recurso humano. Verificar la veracidad de la información del recurso humano. · Obtener información del recurso humano. · Verificar la información del recurso humano. Nombre del cargo: Gerente de tiempo y riesgos. Cargo superior inmediato: Gerencia del proyecto. Propósito del cargo: Analizar la información utilizada dentro del proyecto. Funciones Tareas Analizar la información que será utilizada en el sistema. · Obtener los datos de la información que maneja cada área del proyecto. · Analizar la información obtenida para darle un correcto manejo. Generar planes de contingencia en caso de pérdida/filtración de la información. · Analizar los posibles riesgos en la perdida de información. · Generar planes de contingencia en caso de pérdida/filtración de datos. · Documentar los planes de contingencia obtenidos. Clasificar la información manejada en el sistema · Obtener la información manejada en el sistema. · Clasificar la información obtenida. · Documentar el correcto tratamiento de la información. Nombre delcargo: Gerente de alcance y adquisiciones. Cargo superior inmediato: Gerencia del proyecto. Propósito del cargo: Administrar la información de los activos del proyecto. Funciones Tareas Generar inventario de activos del proyecto. · Obtener la información de los activos del proyecto. · Generar inventario de activos del proyecto. · Mantener actualizado el inventario de activos. Analizar la información disponible para tomar decisiones del proyecto. · Analizar los recursos con los que cuenta el proyecto. · Verificar viabilidad y consecuencias de la toma de una decisión. · Tomar decisiones para bien del proyecto. Aprobar nuevas adquisiciones para el proyecto. · Analizar recursos con los que cuenta el proyecto. · Verificar la viabilidad de las adquisiciones. · Aceptar/denegar nuevas adquisiciones. Nombre del cargo: Gerente de costos y comunicaciones. Cargo superior inmediato: Gerencia del proyecto. Propósito del cargo: Administrar la información de las relaciones del proyecto. Funciones Tareas Detallar los costos producidos por el proyecto. · Generar registro de costos producidos por el proyecto. · Generar reporte mensual con los costos producidos por el proyecto. Gestionar la información de actividades con clientes/proveedores. · Administrar las relaciones con los clientes y proveedores. · Mantener registro de la información del cliente/proveedores y las actividades llevadas a cabo. Nombre del cargo: Gerente de calidad y evaluación financiera. Cargo superior inmediato: Gerencia del proyecto. Propósito del cargo: Administrar la información financiera del proyecto. Funciones Tareas Generar reportes financieros del proyecto. · Mantener registro de actividades financieras del proyecto. · Generar reportes mensuales financieros. Detallar pruebas de calidad del sistema. · Generar pruebas de calidad. · Detallar procedimiento de realización de pruebas. · Generar reporte con los resultados de las pruebas de calidad. Crear/actualizar manuales del proyecto. · Generar manuales de organización, funciones y procedimientos del proyecto. Analizar las entradas/salidas de dinero del proyecto. · Administrar recursos financieros del proyecto. · Analizar la situación financiera del proyecto. · Detallar análisis de entradas/salidas de dinero. Manual de procedimientos del manejo de la información. Objetivo del manual Contar con un instrumento de apoyo que permita al personal de cada área del proyecto hacer un correcto manejo de la información tratada en el proyecto. Procedimientos PROCEDIMIENTO PR-01 Manejo de la información pública Fecha: 30/10/2022 Versión: 1.0 Propósito del procedimiento: Hacer un correcto manejo de la información pública. Alcance: N/A Definiciones: Paso Actividad Documento de trabajo 1 2 3 Guardar la información pública en la base de datos. Obtener la información pública en cualquier momento que se necesite. Mostrar la información pública en las vistas del sistema sin necesitar acceso o con restricción de acceso según sea el caso. PROCEDIMIENTO PR-01 Manejo de la información privada Fecha: 30/10/2022 Versión: 1.0 Propósito del procedimiento: Manejar correctamente la información privada que haga uso el sistema. Alcance: N/A Definiciones: Paso Actividad Documento de trabajo 1 2 3 4 Guardar la información privada en la base de datos con acceso restringido. En caso de contraseñas, guardar en la base de datos cifradas con el algoritmo de SHA-512 bits. Guardar una copia de seguridad en un lugar seguro. Al acceso a plataforma se deberá entrar con contraseña que se verificará en el servidor. PROCEDIMIENTO PR-01 Manejo de la información confidencial Fecha: 30/10/2022 Versión: 1.0 Propósito del procedimiento: Mantener la información confidencial segura. Alcance: N/A Definiciones: Paso Actividad Documento de trabajo 1 2 3 4 5 6 7 8 9 Obtener consentimiento del guardado de información confidencial. Guardar la información privada en la base de datos con acceso restringido. Mostrar únicamente la información confidencial de un usuario una vez haya accedido a la plataforma con su usuario y contraseña. Guardar una copia de seguridad en un lugar seguro. Para el acceso a la plataforma y obtener acceso a la información privada del usuario se colocará límite de 3 intentos para acceso. Para la modificación de la información confidencial se requiere ingresar nuevamente la contraseña en plataforma. En caso de documentos confidenciales de la compañía, la información se tendrá guardado en un lugar solo con acceso a personas autorizadas. Los documentos confidenciales no podrán ser sacados del lugar donde son guardados. Verificar la integridad de la información una vez terminado de hacer uso de la información confidencial. PROCEDIMIENTO PR-01 Manejo de la información reservada Fecha: 30/10/2022 Versión: 1.0 Propósito del procedimiento: Detallar el correcto acceso a la información reservada. Alcance: N/A Definiciones: Paso Actividad Documento de trabajo 1 2 3 4 En caso de la plataforma, la información reservada solo será visible para aquellos usuarios que pertenezcan al club correspondiente a la información y hayan iniciado sesión. Solo los usuarios con el rol de encargados de club o administradores podrán generar información reservada respecto a eventos de su club administrado. En caso de información de la compañía, solo las personas autorizadas se le dará acceso a la información. Se debe guardar una copia de seguridad en un lugar seguro. PROCEDIMIENTO PR-01 Borrado seguro de la información Fecha: 30/10/2022 Versión: 1.0 Propósito del procedimiento: Asegurar el borrado seguro de la información. Alcance: Gerencia del proyecto. Definiciones: Paso Actividad Documento de trabajo 1 2 3 4 5 6 Verificar que información deberá ser eliminada y sus dependencias. Obtener aprobación de la gerencia del proyecto. En caso de información en forma física de documentos, se triturarán completamente en tiras menores a 2mm. En caso de medios de almacenamiento electrónicos se hará mediante la pulverización de estos dispositivos. En caso de información en forma digital en donde no se volverá a utilizar el dispositivo se realizará mediante desmagnetización. En caso de información digital donde se volverá a utilizar el dispositivo se realizará la sobreescritura con el método estándar de la OTAN. i) Identificación de los procesos de los sistemas de la empresa Proceso Cargo Administración del sistema Administrador de todo el sitio Registro de un club Administrador de todo el sitio Registro de actividades Administrador de cada club Registro de eventos Administrador de todo el sitio, administrador de cada club Administración de integrantes de un club Administrador de cada club j) Identificación y evaluación de los activos necesarios para el desarrollo del proyecto Para el registro de los activos disponibles se realiza un inventario de activos, establecido por la norma ISO 27001. INVENTARIO DE ACTIVOS VALORIZACIÓN Nombre del activo Descripción del activo Sistema involucrado Tipo de activo Tipo de ubicación Nivel de confidencialidad Propietario del activo Confidencialidad Integridad Disponibilidad Valor Nivel de tasación Plan de trabajo Información de las actividades a realizar y tiempos de desarrollo One Drive Información Física - Lógica Confidencial de la compañía Gerente de tiempos y riesgos 4 5 5 4.6 Muy alto Manual de organización del manejo de la información Documento donde se establece como se maneja la información One Drive Información Lógica Confidencial de la compañía Gerente de calidad y evaluación financiera 5 5 5 5 Muy alto Manual de procedimientos del manejo de la información Documento que regula como se debe manejar la información One Drive Información Lógica Confidencial de la compañía Gerente de calidad yevaluación financiera 4 5 5 4.6 Muy alto Contratos de proveedores de servicios Documento que regula la prestación de servicios por parte de un tercero One Drive Información Lógica Confidencial de la compañía Gerente de calidad y evaluación financiera 5 5 4 4.6 Muy alto Repositorio de código de plataforma Código almacenado en repositorio. GitHub. Software Lógica Confidencial de la compañía. Responsable de TI 5 5 5 5 Muy alto Equipos de computo Equipos para realizar las actividades N/A Físico Física Confidencial de la compañía Gerencia del proyecto 3 4 3 3.3 Alto Equipo de desarrollo Personal encargado de programar la plataforma N/A Personas Física Confidencial de los empleados Gerente de recursos humanos 3 4 4 3.6 Alto Servidor web Servidor donde se aloja la plataforma N/A Físico Física Confidencial de la compañía Gerente de alcance y adquisiciones 4 5 5 4.6 Muy alto Servidor de respaldo Servidor en caso de falla del servidor principal N/A Físico Física Confidencial de la compañía Gerente de alcance y adquisiciones 4 5 5 4.6 Muy alto Inventario de activos Documento que lista los recursos disponibles One Drive Información Física - Lógica Confidencial de la compañía Gerente de alcance y adquisiciones 4 5 3 4 Alto Plan de respuesta a incidentes Documento con instrucciones en caso de un incidente N/A Información Lógica Confidencial de la compañía Gerente de tiempos y riesgos 3 5 5 4.3 Muy alto Plan de gestión de riesgos Documento que establece los riesgos posibles N/A Información Física - Lógica Confidencial de la compañía Gerente de tiempos y riesgos 3 4 3 3.3 Alto k) Identificación los requerimientos para la implementación del Framework ISO 38500 Esta norma tiene como objetivo proporcionar un marco de seis principios para que los directores de la empresa puedan tomar decisiones basadas en los resultados que obtengan al dirigir, monitorizar y evaluar el uso de las TI en su organización. 6 principios: · Responsabilidad: Establecer responsabilidades claramente entendidas para el área de TI. · Adquisición: La adquisición de las TI sea por análisis y validaciones previas. · Conducta humana: Asegurar que el uso de las TI respeta los factores humanos. · Conformidad: Asegurar que la informática cumpla con las reglas formales previamente establecidas. · Rendimiento: Asegurarse que las TI tienen un rendimiento satisfactorio para cubrir las necesidades del negocio. · Estrategia: Planear las TI para apoyar de mejor forma a la empresa. 3 actividades: Se realizan antes de cumplir con estos 6 principios. · Evaluar el uso de las TI. · Preparar e implementar planes y políticas del uso de TI. · Monitorear la conformidad con las políticas y desempeño en relación con los planes. 4. Plan de seguridad formativo a) Modelo sistema de gestión de seguridad de la información (SGSI). Un Sistema de gestión de seguridad de la información (SGSI) es, básicamente, un conjunto de políticas de administración de la información. Para entender más a profundidad en qué consiste un SGSI debemos partir de la definición dada por el estándar internacional ISO/IEC 27000: “Un SGSI consiste en el conjunto de políticas, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales.” Hay algunos términos de aquí que es relevante definir y aclarar, entre ellos, ¿cómo se define un activo de información? Un Activo de información en el contexto del estándar ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”. La protección de estos activos está destinada a preservar la confidencialidad, la integridad y la disponibilidad de la información. Además, puede abarcar otras propiedades como la autenticidad, la responsabilidad y la fiabilidad. A continuación, hablaremos de qué significan cada uno de estos términos en relación con la información: · Confidencialidad: La información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Es necesario acceder a la información mediante autorización y control. · Integridad: Debe mantenerse la exactitud y completitud de la información y sus métodos de proceso. Su objetivo es prevenir modificaciones no autorizadas de la información. · Disponibilidad: Garantizar el acceso y la utilización de la información y los sistemas de tratamiento de esta, por parte de los individuos, entidades o procesos autorizados cuando lo requieran. Su objetivo es prevenir interrupciones no autorizadas de los recursos informáticos. b) Descripción del sistema de gestión de seguridad de la información Para lograr esta protección de los activos se debe establecer, implantar, mantener y mejorar un SGSI, el cual puede desarrollarse según el conocido enfoque de mejora continua, denominado Ciclo de Deming. Este enfoque está constituido por cuatro pasos: · Planificar: Es una fase de diseño del SGSI en la que se evalúan los riesgos de seguridad de la información y se seleccionan los controles adecuados. · Hacer: Es una fase que envuelve la implantación y operación de los controles. · Verificar: Es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI. · Actuar: En esta fase se realizan cambios periódicamente para mantener el SGSI al máximo rendimiento. c) Alcance del SGSI El alcance del SGSI aclara cuáles son sus límites en función del contexto, la importancia y la ubicación de los activos críticos de información de la organización (por ejemplo: unidades, ubicaciones o departamentos) y los riesgos propios o externos asociados (por ejemplo: leyes y reglamentos, obligaciones contractuales, estrategias y políticas impuestas por organismos centrales). Se deben tener en cuenta los problemas internos y externos (análisis del contexto de la organización) y los requisitos y expectativas procedentes de las partes interesadas, que se relacionan con las actividades esenciales, es decir, aquellas que permiten cumplir con la misión y los objetivos generales de la organización. También se deben definir los procesos a incluir en el alcance y sus relaciones, esto debe hacerse teniendo en cuenta no solo los procesos de seguridad de la información sino todos los procesos que se aplican a su negocio y que impactan o pueden ser impactados por la seguridad de la información. IMPORTANCIA Y UBICACIÓN DE ACTIVOS CRITICOS Activo Importancia Ubicación Datos de integrantes del club Alta, ya que se trata de información sensible, como nombre y número de boleta. Base de datos Datos de acceso al sistema Alta, ya que en caso de que se vulnere esta información toda la demás información queda expuesta. Base de datos, cifrada. Información de eventos públicos Baja, esta información puede ser accedida por cualquier persona. Base de datos. PROCESOS · Creación de un club: El usuario tipo “Administrador de clubes” tiene 2 instancias, una para el encargado de la Subdirección Académica de la ESCOM, el M. EN C. IVÁN GIOVANNY MOSSO GARCÍA y otra para M. EN D.A. Y D.C.E. CRISTIAN SALAS RAMÍREZ encargado del departamento de Servicios Estudiantiles, estas dos instancias para este tipo de usuario son los únicos que podrán crear entidades “Club”, después de realizar el proceso de “Registro de un club” y entregar la documentación pertinente; este proceso esta especificado en la página de la ESCOM, apartado “ESCOMUNIDAD” después “ESTUDIANTES” y por último “Clubs (Registro)”. · Autenticación de usuarios: Según lo especificado por el profesor Giovanny Mosso, los clubes no tienen acceso, relación o comunicación con sistemas o bases de datos de la ESCOM, incluso hasta el momento no autentican las boletas, sencillamente las anotan en su base de datos; lo que se sugiere es utilizar funciones hash para cierta información delicada como Nombre, Número de boleta y contraseñas, con esta medida, el sistema no tendría esta informacióndelicada en claro, y solo se utilizaría para autenticación de usuarios. · Creación de usuarios tipo “Coordinador”: El usuario “Administrador de clubes” tiene la función de crear este tipo de usuarios, recordando que cada club, solo puede tener un coordinador. · Creación de usuarios tipo “Alumno presidente”: El usuario “Administrador de clubes” y el usuario “Coordinador” tiene la función de crear este tipo de usuarios, recordando que cada club, solo puede tener un Alumno presidente. · Creación de usuario tipo “Integrante de un club”: Cada club tiene procesos distintos para que un alumno de la ESCOM o persona externa se integre a un club, en la aplicación existe un apartado donde se mostraran dichos procesos, existe la forma de agilizar los trámites subiendo los documentos requeridos, como ocurre con el sistema “SELECT”, sin embargo existen clubes, donde además de la documentación se tienen que realizar exámenes o evaluaciones para el ingreso, las cuales no se realizan en el sistema. d) Políticas de la seguridad de la información La política de Seguridad como requisito de la norma ISO 27001 debe considerar en líneas generales los objetivos de la seguridad de la información de la empresa u organización. Así que la primera pregunta a hacernos es ¿Qué queremos conseguir con la Seguridad de la información? En este documento que es responsabilidad de la dirección, tiene como misión además de establecer los objetivos obtener una visión sintetizada de la funcionalidad y estado del sistema de gestión de la seguridad de la información. En otras palabras, la política de la seguridad de la información debe ser fácil de entender y explicar de forma resumida para qué sirve la aplicación de esta política de seguridad en la empresa, su utilidad y los responsables. Nombre Contraseñas seguras. Objetivo No crear contraseñas triviales que puedan ser vulneradas. Propietario Registro de cuenta tipo “Integrante de cada club”. Descripción Las contraseñas llevan por lo menos 8 caracteres alfanuméricos, mínimo una mayúscula, una minúscula, un número y un carácter especial. Nombre Cifrado de contraseñas Objetivo No almacenar información delicada. Propietario Registro de cuenta tipo “Integrante de cada club”. Descripción Las contraseñas se almacenan cifradas en el servidor para la autenticación y se cifran para no almacenarlas en claro. Nombre Almacenamiento de los datos cifrados Objetivo Disponibilidad de los datos Propietario Requisito funcional: Autenticación Descripción Debido a los límites que se tienen establecidos por la subdirección académica, el sistema no puede interactuar ni solicitar información de un sistema externo de la ESCOM, como la DAE, por lo tanto, la información se cifra de la base de datos de la ESCOM. Nombre Copia de seguridad Objetivo Disponibilidad de los datos Propietario Base de datos Descripción Periódicamente (cada mes) se hacen copias de seguridad de información como listas de asistencias, eventos de los calendarios y relación de las evaluaciones. Nombre Intercambio de información con otros sistemas Objetivo Intercambiar información de manera confiable con otros sistemas. Propietario Intercambio de la información Descripción Aunque el sistema en su primera implementación tiene limitaciones en la comunicación con otros sistemas, hay que considerar esta funcionalidad, por lo tanto, se deben de implementar controles de verificación. e) Organización de la seguridad de la información Establecer un marco de gestión para iniciar y controlar la implementación y la operación de la seguridad de la información dentro de la organización. Para lograr que se cumpla con responsabilidades y así disminuir el riesgo de un uso inadecuado de los activos pertenecientes a la organización es necesario determinar políticas de seguridad en recursos humanos, por ello a continuación se muestra una tabla con los roles y responsabilidades para el recurso humano. Roles Responsabilidades Responsable de TI Es el encargado de diseñar, elaborar, implementar, coordinar y dirigir la política de seguridad. Gerencia General Se encarga de validar que los controles definidos en la política de seguridad se cumplan, promueven la difusión y sensibilización de los puntos tratados en la misma además de revisar y validar futuros cambios que se realicen a la política de seguridad. Gerencia de Calidad Es el encargado de estar en constante comunicación con el resto de las gerencias, buscando posibles mejores y siendo el primer filtro en cuanto a las nuevas propuestas que serán presentadas a la Gerencia General. Responsable de R.R.H.H Notificar a todo el personal vinculado con la organización de los compromisos para el cumplimiento de la política de seguridad de la información y de los estándares, procesos y procedimientos relacionados con ello. De igual manera en caso de que surjan cambios en la política es el encargado de informar al personal los cambios que fueron realizados. Gerencia de Desarrollo Se encarga de evaluar e implementar lo establecido por la Gerencia General. Gerencia de Operación Se encarga de verificar que se cumpla con la política de seguridad establecida, notificando si existe alguna violación a la política al Gerente de Calidad. Gerencia Administrativa y Financiera El responsable administrativo junto con la Gerencia de Calidad supervisa que se cumpla con la política de seguridad. El responsable financiero evalúa cual es el costo de la implementación de la política de seguridad. Personal/Usuarios Cumplir con las disposiciones y requerimientos establecidos en la política, haciendo un uso correcto de la información, equipos y servicios. FUNCIONES Y RESPONSABILIDADES · Todos los tipos de usuario: Aunque parezca obvio, ningún usuario debe de compartir sus credenciales y contraseñas pues es la más importante forma de autenticación de los usuarios, un error de este tipo vulnerara la información personal del usuario, así como la información que genera el mismo. · Integrantes: Los integrantes de cada club no pueden instanciar otros integrantes, ni mucho menos alumnos presidentes ni coordinadores, por otro lado, tampoco pueden verificar asistencias, realizar evaluaciones ni crear eventos en el calendario, tampoco pueden solicitarle reportes al sistema; básicamente los integrantes de cada club solo pueden ser verificados, subir actividades de evaluación y pueden ser evaluados. · Alumno presidente: El alumno presidente puede registrar asistencias y registrar evaluaciones, esto último con la autorización del coordinador de ese club; sin embargo, el alumno presidente no puede crear eventos en el calendario, ni instanciar ningún tipo de usuario (es decir, no puede crear ningún tipo de usuario), este tipo de usuario tampoco puede solicitar reportes al sistema. · Coordinador: El coordinador puede registrar asistencias y registrar evaluaciones, puede solicitar reportes de información respecto a su club, también puede instanciar a usuarios tipo “Integrantes” de cada club, aunque no lo puede hacer con los demás tipos de usuarios; de igual forma el coordinador puede crear eventos en el calendario del club y puede hacer publicaciones en el apartado de su club destinado al público en general, este apartado sirve para que las personas que no pertenecen a algún club conozca los procesos para poder integrarse a los clubes. · Administrador de clubes: El “Administrador” puede crear clubes, y si es necesario eliminarlos, cuando no cumplen con su registro en algún periodo; el administrador puede instanciar usuarios tipo “Coordinador” y “Alumno presidente” para cade club, en el entendido que cada club solo puede tener un coordinador y un alumno presidente. El administrador puede solicitar reportes de información de cada club al sistema, e incluso, reportes más generales. El Administrador no puede crear ni eliminar “integrantes“ de cada club, esa es una responsabilidad exclusiva de los coordinadores, el administrador tampoco puede crear eventos en elcalendario de los clubes, pero si puede hacer publicaciones en el apartado de público en general. f) Seguridad de recurso humano La ISO 27001 hace posible que una organización incluya los criterios de seguridad de la información en la gestión de los Recursos Humanos. Para ello se debe tener en cuenta: 1. Selección y contratación 2. Formación de empleados 3. Salida de la empresa Selección y contratación: Deben de realizarse acciones preventivas para evitar riesgos derivados de un mal uso de la información cuando se integrará un nuevo integrante a la empresa o alguno de los integrantes de la empresa tendrá nuevos accesos a sistemas de información sensibles para la organización. A la hora de firmar el contrato existirán una serie de términos y condiciones que definirán las responsabilidades en seguridad de la información a la que tendrán acceso, y que el candidato deberá aceptar, en dichos términos debe haber información referente a: · Responsabilidades y derechos relativos a leyes de propiedad intelectual o protección de datos · Compromiso de confidencialidad y no revelación de información · Responsabilidades ligadas a la clasificación de la información y tratamiento de recursos · Medidas que se tomarán en caso de incumplimiento de políticas y requisitos de seguridad · Responsabilidades sobre la información recibida de otras compañías y la que se maneja fuera de la empresa Formación de empleados: Todos los integrantes de la organización deben recibir una formación y educación con el fin de conocer cuáles son los procedimientos de seguridad y el correcto uso de los recursos de la información. Salida de la empresa: Cuando un empleado o un tercero finaliza su relación con la empresa, es necesario asegurar la gestión de su salida hasta la completa retirada de los privilegios y permisos de accesos, el material que utilice y que tenga en posesión. Deberá haber un responsable que se encargue de supervisar estas medidas de finalización de puestos de trabajo. Si participara en grupos de trabajo, éstos deberán estar informados de la marcha para no compartir información sensible con el individuo en cuestión. Si no existe salida de la empresa, sino que se produce un cambio de puesto de trabajo, los accesos que no sean necesarios para el nuevo puesto deberán ser retirados, así como cambiar cualquier contraseña de cuentas a las que tuviera acceso. g) Gestión de activos físicos, humanos, información y digitales. El objetivo de este punto de la norma ISO 27001 es la preservación de los activos de información como soporte del negocio basado en dos objetivos: · Responsabilidad de los activos: Identificar los activos y definir las responsabilidades de protección adecuadas. El objetivo de este punto es la identificación de los activos de información y las responsabilidades sobre los mismos, con el objetivo de evaluar las medidas de protección adecuadas para cada activo en base a una evaluación de riesgos · Clasificación de la información: Asegurar que la información recibe el nivel de protección adecuado de acuerdo con su importancia en la organización. Respecto a estos objetivos que son los pilares de la gestión de los activos, estos los especificamos a detalle más adelante pues esto nos sirve para la identificación de riesgos. 5. Identificación de riesgos 5.1 Activos de información Para realizar el análisis de riesgos utilizaremos la metodología MAGERIT, ya que esta metodología implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para tomar decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información. Etiquetado de activos. Nombre del activo Código Datos de integrantes de club. INF_01 Datos de administrador de club. INF_02 Datos de acceso al sistema. INF_03 Información de eventos públicos. INF_04 Información de eventos internos del club. INF_05 Información del club. INF_06 Registro de asistencia a eventos. INF_07 Registro de horas de actividades. INF_08 Calendario de actividades públicas. INF_09 Calendario de actividades de club. INF_10 Inventario de activos. INF_11 Información de recursos humanos. INF_12 Manuales de organización, funciones y procedimientos. INF_13 Para realizar la evaluación de los riesgos se toman en cuenta como criterios de evaluación la probabilidad de que ocurra la amenaza y el impacto que tiene en caso de ocurrir. Probabilidad cualitativa La valoración de la probabilidad de que ocurra se realizará de la siguiente forma: Descripción Valor Siempre Muy alta Casi siempre Alta A menudo Media Algunas veces Baja Casi nunca Muy baja Impacto cualitativo La valoración de impacto se realizará de la siguiente forma: Descripción Valor Impacto extremadamente grave Muy alto Impacto muy grave Alto Impacto grave Medio Impacto importante Bajo Impacto menor Muy bajo 5.2 Análisis de riesgos: Matriz de riesgos Tipos de riesgo: Deliberadas: Son los ataques que ya fueron planificados con el único fin de causar daños hacia los demás. Como, por ejemplo: hurtos, fraudes, sabotajes, etc. Se le asigna el símbolo O. Accidentales: Estas son cuando no existe ninguna intención de hacer algún daño, pero al final origina un perjuicio hacia algún activo. Como, por ejemplo: averías en el hardware, software o desastres naturales, etc. Se le asigna el símbolo X. Prioridades A: Solucionar Inmediatamente B: Se puede solucionar tranquilamente en un plazo medianamente corto C: Puede esperar Descripción del riesgo Tipo de riesgo Probabilidad Impacto Prioridad Daño del Hardware del servidor Cualquier tipo de daño físico que afecta al rendimiento del servidor O Casi nunca Medio A Denegación del servicio Cualquier error lógico que niegue el acceso a la información a pesar de cumplir los requisitos correctamente O Casi nunca Bajo A Proceso de tareas lento Cuando se solicita una acción a la página y esta tarde demasiado en cumplir con su función O Algunas veces Bajo B Daños eléctricos en los dispositivos por variación de voltaje Cuando se quema alguna parte del servidor que pueda dañar la calidad y el funcionamiento del servidor O Algunas veces Bajo A Cambio de configuración lógica del dispositivo, denegando el servicio que presta Tienes en ajustes al servidor los cuales sí implementaron de manera errónea denegando el acceso a información que antes funcionaba correctamente X Algunas veces Bajo A No hay energía para el funcionamiento de los dispositivos y continuar con el proceso de trabajo Descarga o no hay energía eléctrica para el funcionamiento del servidor lo que desencadenaría que no funcione la página O Algunas veces Bajo B Deterioro del hardware del servidor A causa del tiempo y del uso de los componentes del servidor se han ido dañando O Algunas veces Medio C Hackeo del servidor El servidor es hackeado para conseguir información de la página web X Casi nunca Bajo A Pérdida de Información Cuando se eliminan campos de la base de datos que contienen información que no debía ser eliminada O Algunas veces Medio C Destrucción de la información Se destruye información de la base de datos X Algunas veces Medio C Pérdida de la integridad de la información La información no es completamente verídica X Casi nunca Medio A Alteración de la información Cambios no autorizados en información de la base de datos acerca de los usuarios X Casi nunca Bajo B Fuga de Información Información sale de la base de datos a manos de otras personas que no están implicadas o no deberían tener esa información X Casi nunca Bajo C Venta de información Información sensible llega a personas interesadas por medios inadecuados X Casi nunca Bajo B Suspensión de actividades En caso de que se suspendan actividades el servidor puede ser apagado O A menudo Alto B Demandas Si la información que se maneja no sé usa correctamente pueden estar en el derecho de levantar una demanda X Casi nunca Bajo BDivulgación ilegal de información La información es divulgada sin el consentimiento de los usuarios X Algunas veces Bajo A Suplantación Usuarios hace pasar por otro X A menudo Medio A Acceso no autorizado Se consigue el acceso información que no debería X A menudo Medio B Difusión del software fraudulentamente Copias exactas del proyecto X Casi nunca Bajo B Poca comprensión del software Desentendimiento de una o toda la función de la página O A menudo Medio B Perdida de confiabilidad en el software La plataforma no es eficiente o no cumple con las actividades designadas O Casi nunca Muy bajo A Virus Un virus ataca al servidor y puede esparcirse a otras computadoras o elimina información de la base de datos X Casi Nunca Medio A Creación de clubes falsos Se de alta un club con evidencias falsas X Algunas veces Medio B Impacto Muy bajo Bajo Medio Alto Muy alto Probabilidad Siempre Casi siempre A menudo Algunas veces Casi nunca Para evaluar los riesgos se determina la gravedad de los riesgos de acuerdo con la siguiente clasificación: Totalmente inaceptable Se deben tomar medidas inmediatas para reducir estos riesgos y mitigarlos. Inaceptable Las medidas para reducir y mitigar el riesgo deben ser implementadas lo antes posible. Aceptable en el corto plazo Los planes para reducir los riesgos y mitigación deben incluirse en planes y presupuestos futuros. Aceptable Se deben implementar las medidas para reducir el riesgo junto con otras medidas de seguridad y mitigación. Identificación de amenazas por activo En este punto se detallan las principales amenazas sobre cada uno de los activos. Tipo de activo Amenaza Físico Daño por agua Destrucción del equipo o de los medios Polvo, corrosión, congelamiento Daño por fuego Falla del equipo Radiación electromagnética Hurto del equipo Manipulación del equipo Accidente importante Software Acceso no autorizado al sistema Ataques contra el sistema Corrupción de datos Error en el uso Mal funcionamiento del software Hurto de información Ingreso de datos falsos Uso de software falso Abuso de privilegios Información Corrupción de los datos Destrucción del equipo o de los medios Espionaje remoto Hurto de medios o documentos Hurto de equipo Divulgación Recuperación de los medios reciclados o desechados Código mal intencionado Procesamiento ilegal de los datos Acceso no autorizado al sistema Suplantación de identidad Saturación del sistema de información Personas Suplantación de identidad Incumplimiento en la disponibilidad del personal Hurto de equipo Error en el uso Servicios Perdida de suministro de energía Identificación de vulnerabilidades por activo En este punto se detallan las principales vulnerabilidades sobre cada uno de los activos. Tipo de activo Amenaza Vulnerabilidad Valor de la vulnerabilidad Físico Daño por agua Ubicación en un área susceptible a inundación. Medio Líquidos cerca del equipo. Medio Destrucción del equipo o de los medios Falta de esquemas de reemplazo periódico. Medio Polvo, corrosión, congelamiento Susceptibilidad a la humedad, el polvo y la suciedad. Bajo Daño por fuego Ubicación en un área susceptible. Medio Falla del equipo Incorrecta instalación de medios. Medio Mantenimiento insuficiente. Bajo Radiación electromagnética Red energética inestable. Alto Hurto del equipo Falta de protección física en los equipos. Alto Manipulación del equipo Falta de control de accesibilidad al dispositivo. Medio Accidente importante Falta de mantenimiento. Bajo Golpes. Bajo Sobrecargas. Alto Software Acceso no autorizado al sistema Falta de mecanismos de autenticación e identificación. Muy Alto Ataques contra el sistema Falta de mecanismos de seguridad. Alto Corrupción de datos Falta manual de usuario. Muy Bajo Error en el uso Configuración incorrecta de parámetros. Bajo Falta de documentación. Muy Bajo Interfaz de usuario complicada. Muy Bajo Mal funcionamiento del software Software nuevo o inmaduro. Medio Falta de control eficaz de cambios. Bajo Especificaciones incompletas. Bajo Hurto de información Almacenamiento sin protección. Alto Copias no controladas. Bajo Ingreso de datos falsos Falta de formato para los tipos de datos. Bajo Falta de autenticación de los datos. Alto Uso de software falso Reducción de costos. Medio Desconocimiento de licencias. Medio Abuso de privilegios Incorrecta asignación de derechos de acceso. Alto Ausencia de pistas de auditoría. Alto Información Corrupción de los datos Desconocimiento del sistema. Medio Destrucción del equipo o de los medios Susceptibilidad a la humedad, el polvo y la suciedad. Bajo Falta de esquemas de reemplazo periódico. Muy Bajo Espionaje remoto Uso de contraseñas en claro. Muy Alto Sistema inseguro. Alto Hurto de medios o documentos Almacenamiento sin protección. Muy Alto Copia no controlada. Bajo Hurto de equipo Ausencia de protección física de acceso. Medio Divulgación Falta de políticas internas. Alto Recuperación de los medios reciclados o desechados Incorrecto borrado de medios desechados. Alto Código mal intencionado Instalación de software (virus) Alto Procesamiento ilegal de los datos Falta de conocimientos legales. Alto Falta de capacitación. Medio Acceso no autorizado al sistema Almacenamiento sin protección. Muy Alto Suplantación de identidad Sesiones de usuario accesibles. Alto Saturación del sistema de información Falta de mantenimiento. Medio Personas Suplantación de identidad Sesiones de usuario accesibles. Medio Incumplimiento en la disponibilidad del personal Ausencia de personal. Bajo Hurto de equipo Trabajo no supervisado del personal. Bajo Error en el uso Falta de capacitación. Bajo Servicios Perdida de suministro de energía Red energética inestable. Alto Plantilla de gestión de riesgos Estado del riesgo Descripción del riesgo Estrategia de solución Daño del Hardware del servidor Cualquier tipo de daño físico que afecta al rendimiento del servidor Dependiendo de la magnitud del daño del hardware se contemplara el cambiarlo o repararlo Denegación del servicio Cualquier error lógico que niegue el acceso a la información a pesar de cumplir los requisitos correctamente Se corregirán los cambios o errores que contenga el manejo de información al cual se está denegando el acceso Proceso de tareas lento Cuando se solicita una acción a la página y esta tarde demasiado en cumplir con su función Se analizará la manera de optimizar dicho proceso Daños eléctricos en los dispositivos por variación de voltaje Cuando se quema alguna parte del servidor que pueda dañar la calidad y el funcionamiento del servidor Mediante el uso de un multímetro se verificará cuál es la parte eléctrica dañada y se cambiará por una nueva Cambio de configuración lógica del dispositivo, denegando el servicio que presta Tienes en ajustes al servidor los cuales sí implementaron de manera errónea denegando el acceso a información que antes funcionaba correctamente Se ajustará correctamente los ajustes lógicos garantizando así su correcto funcionamiento No hay energía para el funcionamiento de los dispositivos y continuar con el proceso de trabajo Descarga o no hay energía eléctrica para el funcionamiento del servidor lo que desencadenaría que no funcione la página Se contempla tener una fuente de respaldo para prevenir que el servidor se encuentre inactivo Deterioro del hardware del servidor A causa del tiempo y del uso de los componentes del servidor se han ido dañando. Despuésdel tiempo de vida útil del servidor se contemplará la mejor opción para cambiarlo Hackeo del servidor El servidor es hackeado para conseguir información de la página web Se rastrearía el equipo infectado o hackeado y se dará una pronta solución Pérdida de Información Cuando se eliminan campos de la base de datos que contienen información que no debía ser eliminada Se tiene planeado tener un respaldo de la información importante de el servidor para en caso de cualquier accidente estar prevenidos Destrucción de la información Se destruye información de la base de datos En caso de que una persona quisiera eliminar información del servidor necesitaría la autorización de la persona a cargo de la página así como se obtendría un respaldo de dicha información Pérdida de la integridad de la información La información no es completamente verídica El hecho de tener varios subprocesos hace que la información sea bastante complicado de que no sea verídica y en caso de no serlo se eliminaría completamente el registro del servidor Alteración de la información cambios no autorizados en información de la base de datos acerca de los usuarios El hecho de que una sola persona sea la que autorice los movimientos de la información en el servidor garantiza que se encuentre de manera rápida o se pueda cambiar de manera rápida la información alterada Fuga de Información Información sale de la base de datos a manos de otras personas que no están implicadas o no deberían tener esa información Se tendría que hablar con un abogado para ver si es viable levantar una denuncia por el manejo de esta información Venta de información Información sensible llega a personas interesadas por medios inadecuados Se tendría que hablar con un abogado para ver si es viable levantar una denuncia por la venta de esta información Suspensión de actividades En caso de que se suspendan actividades el servidor puede ser apagado Si la unidad escolar decide tener un día libre o el suspender las actividades la decisión de apagar el servidor es meramente responsabilidad de la unidad académica, pero se tendría una fuente de energía alterna en caso de ser necesario Demandas Si la información que se maneja no sé usa correctamente pueden estar en el derecho de levantar una demanda Se darían evidencias de que la información solicitada por el instituto la página fue utilizada de manera correcta dándole a las bases necesarias al abogado para evitar o tener una respuesta favorable a la demanda Divulgación ilegal de información La información es divulgada sin el consentimiento de los usuarios La página web no maneja información sumamente delicada sin embargo se cuenta con varios procesos que hace que la información sea manejada con cuidado Suplantación Usuarios hace pasar por otro Si una persona se hace con la contraseña y usuario de un usuario y el usuario se da cuenta en tiempo correcto se le recomienda levantar la denuncia de manera inmediata para dar de baja al usuario y modificar los campos de la contraseña OO dar de baja definitiva al usuario, pero dándole un respaldo en un nuevo usuario. Acceso no autorizado Se consigue el acceso información que no debería Si una persona consigue tener acceso no autorizado información se buscará inmediatamente la fuente de dónde es esta vulnerando los sistemas de seguridad y se buscará una solución inmediata Difusión del software fraudulentamente Copias exactas del proyecto Se hablaría meramente con el abogado Poca comprensión del software Desentendimiento de una o toda la función de la página Se elaborará un manual o con los pasos a seguir para el uso correcto de la página web así como de las altas y bajas del servidor Perdida de confiabilidad en el software La plataforma no es eficiente o no cumple con las actividades designadas Se buscarán medidas de calidad para el proyecto y se implementarán Virus Un virus ataca al servidor y puede esparcirse a otras computadoras o elimina información de la base de datos En caso de que algún computador o un servidor que esté directamente relacionado con el proyecto se tendrán consideraciones dependiendo del virus así como en caso de que sea bastante delicado se le dará atención inmediata por parte de nuestros técnicos en caso de que el servidor se vea afectado por un virus a la hora de entrega en caso de que se infecte tiempo después se cobrará un extra por los servicios técnicos Creación de clubes falsos Se de alta un club con evidencias falsas Al momento que se identifique que el club es falso se dará de baja del servidor y se eliminará 3ra Entrega: Realizar un informe ejecutivo que incluya: descripción y naturaleza de los problemas técnicos que pueden presentarse para implementar COBiT. Solución del problema: 1.- Plan para la implementación de proyectos Actualmente no hay una herramienta que desarrolle las funciones que nuestro proyecto desarrollará por lo que el plan para la implementación de nuestro proyecto requiere los siguientes pasos: Plan para la implementación del proyecto Objetivo: Implementar una herramienta que facilita la administración de clubes escolares Observación: Se engloban los pasos generales a seguir para la correcta implementación y para asegurar un correcto funcionamiento de la herramienta Paso 1: Instalar el software en los servidores seleccionados, así como en el servidor espejo que servirá como copia de seguridad Paso 2 Designar a un administrador que será el responsable para autorizar o negar las altas y bajas de los clubs Paso 3: Dar de alta a los clubs existentes, así como al responsable o responsables de cada club Paso 4: A los responsables de cada club se les mostraran las funciones en las que la herramienta les será de apoyo y se hará una demostración como capacitación para que puedan hacer un correcto uso Paso 5: Cada responsable de club dará de alta a los integrantes actuales del club al que representa y configurará las opciones y funciones que considere pertinentes para aprovechar adecuadamente la herramienta Paso 6: Cada responsable de club mostrara a los integrantes del mismo las funciones que se utilizaran y promoverá su uso 2.- Plan de apoyo y administración logística Debido a que el proyecto busca ser utilizado como una herramienta dentro de la unidad académica a una actividad que se encuentra en marcha, se busca que su implementación sea lo más práctica posible para no interferir con las actividades que actualmente se realizan dentro de los clubes. Por ello se realizó el siguiente Plan de apoyo y administración logística en el cual se muestra cómo se tiene planeada la implementación del sistema dentro de los clubes de ESCOM. Plan de apoyo y administración logística Objetivo: Ofrecer a los futuros usuarios del sistema una demostración práctica de como se utiliza el sistema. Observación: Debido a que existen diferentes tipos de usuarios, cada uno de estos grupos recibirá esta demostración por separado. Esto con el fin de mantener con cierta confidencialidad cuales son los permisos que tiene cada grupo de usuarios, además de que varias de las funcionalidades del sistema están orientadas a cada grupo de usuarios, por ello no tiene sentido que cualquier usuario conozca por completo todas las funcionalidades del sistema. Plan de acción: A continuación, se muestran los pasos que se tienen pensados para poder realizar la implementación del sistema dentro de la unidad académica. Paso 1: Se seleccionarán de manera aleatoria a dos clubes de actividades académicas y dos clubes de actividades culturales y deportivas. Estos clubes serán los primeros en interactuar con el sistema, siendo los clubes prueba para ver la interacción de los usuarios con el sistema. Paso 2: A los integrantes de los clubes seleccionados se les impartirá una demostración de como utilizar el sistema, estos integrantes abarcan a los tipos de usuarios Coordinador, Alumno presidente, Integrante. Paso 3: Se dará un periodo de 2 semanas para que los clubes interactúencon el sistema, después de este periodo el equipo recibirá una retroalimentación por parte de los clubes para analizar como fue su experiencia con el sistema. Paso 4: El equipo analizará la retroalimentación recibida y definirá si es posible la implementación del sistema al resto de clubes o es necesario realizar cambios al sistema. Paso 5: Una vez se implemente el sistema a todos los clubes de la unidad académica se estará abierto a recibir comentarios u observaciones por parte de los clubes. 3.- Descripción general del problema a abordar o proyectos a realizar Nuestro proyecto es un sistema que ayuda a varios grupos de personas con actividades académicas, deportivas, culturales e intelectuales a organizar y administrar recursos específicos de los mismos grupos, llamados clubes, estos recursos es la información de los integrantes, los temarios de los clubes, las actividades que surgen de los temarios y la información producida por cada club como pueden ser listas de asistencia, de actividades y evaluaciones. También el sistema informa a distintos tipos de usuario, distintos tipos de información, como procesos de inscripción o reportes específicos de los clubes. Toda esta información solo es para poner en un contexto concreto al lector, así que ahora podemos responder a la pregunta ¿Cuál es la descripción de los proyectos a realizar? Los proyectos deben ser funcionalidades concretas para los clubes en general, debe de generarle valor a uno o a todos los tipos de usuario, como agilizar procesos o generar reportes de información más focalizados que ayuden a tomar mejores decisiones. Además de funcionalidades concretas y palpables que le den valor al usuario, también pueden existir proyectos que ayuden al rendimiento del sistema o a la seguridad de la información que se ingresa al mismo, así como la que genera. 4.- Los principales subsistemas de problema o proyecto Se tiene en consideración hacer la programación en HTML para la parte gráfica de la página web en PHP para la base de datos, los subsistemas de los que nos estaríamos apoyando para implementar estos lenguajes de programación son Visual Studio Code ya que es un editor de código fuente bastante útil y que puede soportar bastantes lenguajes de programación y XAMPP debido a que no es complicado utilizar permite crear bases de datos sencillamente, así como vincularlas con PHP. 5.- Requisitos de los proyectos Los requisitos son las características y aspectos esperados que debe cumplir el producto o servicio que generará el proyecto. El proyecto de administración de clubes académicos consta de un sistema que sirva como herramienta para las instituciones académicas en la gestión de sus clubes académicos y actividades culturales y deportivas, a continuación, se muestran los requisitos del proyecto: · El sistema permita organizar y administrar información, temarios y actividades de los clubes registrados. · El sistema informe a los usuarios distintos avisos generados por los administradores de clubes o los organizadores. · El proyecto deberá ser una página web accesible desde dispositivos móviles y computadoras. · Únicamente los administradores de clubs podrán dar la aprobación a la información que se va a subir dentro de la página. · Los coordinadores solo podrán añadir información a las secciones de los clubes de los cuales sean coordinadores. · El sistema deberá tener un control de acceso de acuerdo con el tipo de información al que se requiera acceder. · El sistema deberá asegurar la autenticación y confidencialidad de información delicada. 6.- Procedimientos Los procedimientos identificados en el sistema son los siguientes: Creación de un club. Este procedimiento solo podrá ser realizado por el usuario tipo “Administrador de clubes” este usuario solo cuenta con dos instancias una para el encarga de la Subdirección Académica de la ESCOM, en M. EN C. IVÁN GIOVANNY MOSSO GARCÍA y la segunda para M. EN D.A. Y D.C.E CRISTIAN SALAS RAMÍREZ encargado del departamento de Servicios Estudiantiles, esto debido a que son los encargados del registro de los clubes académicos por parte de la Subdirección Académica y la Subdirección de Servicios Educativos e Integración Social es la encargada de los clubes culturales y deportivos. El usuario tipo “Administrador de clubes” puede crear entidades tipo “Club”. Autenticación de usuarios. Los clubes operan independientemente respecto con sistemas o bases de datos de la ESCOM, por lo que la información utilizada para la autenticación será almacenada en una base de datos, en la cual se usaran funciones hash para información delicada como Nombre, Número de boleta y Contraseñas, con esto se evita tener la información en texto claro. Creación de usuarios tipo “Coordinador”. Usuario creado por el “Administrador de clubes”, cada entidad “Club” solo puede tener un coordinador. Creación de usuario tipo “Alumno presidente”. Usuario creado por el “Administrador de clubes”, cada entidad “Club” solo puede tener un Alumno presidente. Creación de usuario tipo “Integrante de un club”. Los procesos para integración pueden diferir entre los clubes, estos procesos se mostraran en un apartado para conocimiento de usuarios externos, se pude agilizar tramites subiendo los documentos requeridos al sistema, sin embargo, aquellos clubes que requieran evaluaciones para ingresar, no podrán realizarlos en el sistema. 7.- Estimación de tiempo, costo y materiales para cada subsistema y todo el proyecto. Se estiman los siguientes datos para el desarrollo de la herramienta · Análisis de requerimientos (1 a 3 meses) · Diseño del sistema (1 a 2 meses) · Implementación (4 a 5 meses) · Verificación (1 a 2 meses) · Considerando un Buffer de 1 mes Equipo necesario para el desarrollo Para los desarrolladores se ha considerado el siguiente equipo de cómputo: · Asus VivoBook S15 S533EA-BN114 · Procesador Intel Core i7-1165G7 (12MB Cache, 2.8GHz) · Memoria RAM 16GB DDR4-SDRAM · Disco duro 512GB SSD · Display 39.6 cm (15.6") Full HD 1920 x 1080 IPS · Controlador gráfico Intel Iris Xe Graphics · Conectividad Intel Wi-Fi 6 with Gig+ performance (802.11ax) · Bluetooth 5.0 · Cámara de portátil Sí · Micrófono Sí · Batería 50Wh 3-cells lithium-polymer battery · Conexiones · 1 x USB 3.2 Gen 1 · 1 x USB 3.2 Gen 1 de tipo C · 2 x USB 2.0 · 1 x HDMI 1.4 · 1 x combo de auriculares/micrófono · Lector de tarjetas SD La cual tiene un costo aproximado de $17,300 Servidor Dell PowerEdge T40 · 16GB de Ram, · 1TB de almacenamiento El cual tiene un costo de $15,000 Almacenamiento en la nube · Google Cloud Storage Su costo es dependiendo el almacenamiento contratado, siendo este de $0.075 por GB Software necesario para el desarrollo Licencias · Microsoft office con un costo mensual de $106 por equipo Software empleado · Selenium Es una herramienta portátil de código abierto y proporciona pruebas funcionales de varios módulos de aplicaciones web en plataformas y navegadores. Admite la ejecución de texto en paralelo y lenguajes como Java, Ruby, C #, Python, etc. · Xampp Para la creación de bases de datos · Visual studio code Como editor de código fuente 8.- Establecer los principales hitos del proyecto A continuación, se muestran los principales hitos a obtener en el desarrollo del proyecto: · Inicio del proyecto · Obtención del proceso dentro de los clubes · Obtención del proceso de los clubes a nivel administrativo (con las autoridades indicadas de la unidad académica) · Obtención de la matriz de riesgos · Implementación del proyecto · Fin del proyecto 9.- Equipo (especialistas), gastos generales y costos administrativos Especialistas · Analista de negocios: El equipo que actualmente está documentando este proyecto, fue el encargado de moldear las ideas que generaba el usuario de negocio, nos referimos específicamente a integrantes, alumnos presidente, coordinadores y directores de los clubes, con lo cual identificamos entradas, procesos e impedimentos en la productividad del sistema actual, el cual, por cierto, no es un sistema computacional o digital,