PILAR_INFO_ENTIDAD

Vista previa del material en texto

Información del IESTP Pedro A Del Águila Hidalgo Oficial para introducirlo a PILAR
ACTIVOS
· Activos esenciales
· Información de los alumnos, de los pagos de la matrícula. 
· Servicios internos 
· Sistema de caja para cobranza
· Sistema contable CONCAR 
· Soporte técnico
· Aplicaciones
· Sistema educativo
· Antivirus
· Plataforma web
· Equipo informático
· Equipo informático (hardware): Computadora como base local, impresoras
· Comunicaciones: Comunicación internet mediante cableado y tipo de red LAN
· Entorno
· Equipamiento: 
· Computadoras de escritorio
· Cableado estructurado
· Cámaras de seguridad
 Servicios subcontratados: 
· Suministro: Cuenta con suministro de agua y electricidad , servicio de internet
· Instalaciones físicas
· Cableado estructurado
· Aulas
· Laboratorios 
· Oficinas 
· Personal 
· Administradores
· Usuarios
Amenazas
· De origen natural 
· Inundaciones
· Lluvias
· Temblor 
· Del entorno
· Incendio
· Falla eléctrica
· Poco control sobre quiénes manipulan los equipos
· Poco control sobre a qué sitios ingresan o si le dan un uso más allá de los establecido
· Nula supervisión sobre con qué otros dispositivos electrónicos se conectan los equipos
· Falta de capacitación sobre seguridad al personal encargado. 
· Defecto de las aplicaciones
· Fallas técnicas
· Vulnerabilidades técnicas
· Corrupción en las licencias de software
· Causadas por personas de forma accidental
· Falta de datos en el sistema de información
· Falta de datos al ingresar la información al sistema 
· Filtración de datos de forma externa
· Causadas por las personas de manera deliberada
· Robos de los equipos informáticos
· Daños a los equipos informáticos
· Filtración o robo de datos por el personal interno
· Modificación o alteración de la información guardada en el sistema
· Eliminación de la información
· Falta de monitorio de la red
Salvaguardas
· Antivirus en las computadoras
· Actualización de los equipos
ESTRUCTURACIÓN DEL PROGAMA PILAR
Se dividen en 3:
A. Proyect
B. Análisis de riesgo
C. Informes
A. Definición del proyecto
Colocamos los datos del proyecto
 Tratamiento de riesgos
Definimos el tratamiento de riesgo, donde podemos apreciar las salvaguardas, y algunos otros estándares. 
B. Análisis de riesgo
Se dividen en:
1. Activos: Donde tenemos en cuenta la clasificación, clases de activos, valoración de dominios, valoración de los activos. 
2. Amenazas: Tenemos en cuenta factores agravantes, identificación, valoración
3. Tratamiento de riesgos: Donde lo que nos importa de momento son las salvaguardas. 
4. Impacto de riesgo: donde nos ofrece los valores acumulados y valores repercutidos.
1. Activos
Hacemos la identificación de los activos basándonos en la información del informe que tenemos, cada activo los definimos de acuerdo a la clasificación que se le asigno. 
	
Por ejemplo, si queremos ver el activo esencial, como es la información de los alumnos los hicimos indicando como tratamiento de datos personales y así a cada una de los activos
Después de hacer todo eso lo que ahora es que cada activo se nos clasifica en una clase: 
1.1. Valoración de los dominios 
Damos valores a los dominios de qué tan grave es el riesgo que estos pueden tener, en este caso nuestro dominio es la información de los alumnos. 
Esta valoración se dividide en: 
· Disponibilidad (D)
· Integridad de los datos (I)
· Confidencialidad de los datos (C)
· Autenticidad de los usuarios y de la información (A)
· Trazabilidad del servicio y de los datos (T)
· Datos personales (DP)
 
 Esa valoración lo hacemos según el valor (valga la redundancia) que Pilar nos proporciona
1.2. Valoración de los activos 
Los mismo para la valoración de los activos
2. Análisis de las amenazas 
La herramienta Pilar nos proporciona las amenazas que nuestros activos pueden tener. 
Solo abrimos unos cuantos, para poder ver sus amenazas, a la izquierdas son las posibles amenazas
3. Tratamiento de riesgo 
En este caso lo que haremos es la evaluación de las salvaguardas
 Las rojas son las que más se deben tomar en cuentas, porque es la que más atención requiere para la protección
Aquí vemos el control de seguridad de la información
4. Impacto y riesgo 
El impacto y el riesgo de los activos puede medir por valores acumulados y valores repercutidos la herramienta PILAR
4.1. Valores acumulados
IMPACTO RIESGO
4.2. Valores repercutidos
En esta caso para el impacto es necesario guiarnos de esta tabla
	
	
PROBABILIDAD
	ALTA
	Riesgo medio 
	Riesgo 
Alto
	Riesgo 
Muy Alto
	
	
	MEDIA
	Riesgo 
Bajo
	Riesgo medio 
	Riesgo
Alto
	
	
	BAJA
	Riesgo muy bajo
	Riesgo 
Bajo
	Riesgo medio 
	BAJO
	MEDIA
	ALTO
	Impacto
IMPACTO RIESGO
C. INFORMES
Los informes que nos muestra la herramienta pilar de todo el análisis son:
Gráfica del valor/ dominio de seguridad
Gráfica valor/activos
Gráfica del salvaguardas
Gráfica de los riesgos acumulados