Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Información del IESTP Pedro A Del Águila Hidalgo Oficial para introducirlo a PILAR ACTIVOS · Activos esenciales · Información de los alumnos, de los pagos de la matrícula. · Servicios internos · Sistema de caja para cobranza · Sistema contable CONCAR · Soporte técnico · Aplicaciones · Sistema educativo · Antivirus · Plataforma web · Equipo informático · Equipo informático (hardware): Computadora como base local, impresoras · Comunicaciones: Comunicación internet mediante cableado y tipo de red LAN · Entorno · Equipamiento: · Computadoras de escritorio · Cableado estructurado · Cámaras de seguridad Servicios subcontratados: · Suministro: Cuenta con suministro de agua y electricidad , servicio de internet · Instalaciones físicas · Cableado estructurado · Aulas · Laboratorios · Oficinas · Personal · Administradores · Usuarios Amenazas · De origen natural · Inundaciones · Lluvias · Temblor · Del entorno · Incendio · Falla eléctrica · Poco control sobre quiénes manipulan los equipos · Poco control sobre a qué sitios ingresan o si le dan un uso más allá de los establecido · Nula supervisión sobre con qué otros dispositivos electrónicos se conectan los equipos · Falta de capacitación sobre seguridad al personal encargado. · Defecto de las aplicaciones · Fallas técnicas · Vulnerabilidades técnicas · Corrupción en las licencias de software · Causadas por personas de forma accidental · Falta de datos en el sistema de información · Falta de datos al ingresar la información al sistema · Filtración de datos de forma externa · Causadas por las personas de manera deliberada · Robos de los equipos informáticos · Daños a los equipos informáticos · Filtración o robo de datos por el personal interno · Modificación o alteración de la información guardada en el sistema · Eliminación de la información · Falta de monitorio de la red Salvaguardas · Antivirus en las computadoras · Actualización de los equipos ESTRUCTURACIÓN DEL PROGAMA PILAR Se dividen en 3: A. Proyect B. Análisis de riesgo C. Informes A. Definición del proyecto Colocamos los datos del proyecto Tratamiento de riesgos Definimos el tratamiento de riesgo, donde podemos apreciar las salvaguardas, y algunos otros estándares. B. Análisis de riesgo Se dividen en: 1. Activos: Donde tenemos en cuenta la clasificación, clases de activos, valoración de dominios, valoración de los activos. 2. Amenazas: Tenemos en cuenta factores agravantes, identificación, valoración 3. Tratamiento de riesgos: Donde lo que nos importa de momento son las salvaguardas. 4. Impacto de riesgo: donde nos ofrece los valores acumulados y valores repercutidos. 1. Activos Hacemos la identificación de los activos basándonos en la información del informe que tenemos, cada activo los definimos de acuerdo a la clasificación que se le asigno. Por ejemplo, si queremos ver el activo esencial, como es la información de los alumnos los hicimos indicando como tratamiento de datos personales y así a cada una de los activos Después de hacer todo eso lo que ahora es que cada activo se nos clasifica en una clase: 1.1. Valoración de los dominios Damos valores a los dominios de qué tan grave es el riesgo que estos pueden tener, en este caso nuestro dominio es la información de los alumnos. Esta valoración se dividide en: · Disponibilidad (D) · Integridad de los datos (I) · Confidencialidad de los datos (C) · Autenticidad de los usuarios y de la información (A) · Trazabilidad del servicio y de los datos (T) · Datos personales (DP) Esa valoración lo hacemos según el valor (valga la redundancia) que Pilar nos proporciona 1.2. Valoración de los activos Los mismo para la valoración de los activos 2. Análisis de las amenazas La herramienta Pilar nos proporciona las amenazas que nuestros activos pueden tener. Solo abrimos unos cuantos, para poder ver sus amenazas, a la izquierdas son las posibles amenazas 3. Tratamiento de riesgo En este caso lo que haremos es la evaluación de las salvaguardas Las rojas son las que más se deben tomar en cuentas, porque es la que más atención requiere para la protección Aquí vemos el control de seguridad de la información 4. Impacto y riesgo El impacto y el riesgo de los activos puede medir por valores acumulados y valores repercutidos la herramienta PILAR 4.1. Valores acumulados IMPACTO RIESGO 4.2. Valores repercutidos En esta caso para el impacto es necesario guiarnos de esta tabla PROBABILIDAD ALTA Riesgo medio Riesgo Alto Riesgo Muy Alto MEDIA Riesgo Bajo Riesgo medio Riesgo Alto BAJA Riesgo muy bajo Riesgo Bajo Riesgo medio BAJO MEDIA ALTO Impacto IMPACTO RIESGO C. INFORMES Los informes que nos muestra la herramienta pilar de todo el análisis son: Gráfica del valor/ dominio de seguridad Gráfica valor/activos Gráfica del salvaguardas Gráfica de los riesgos acumulados
Compartir