Guia Integradora Conocimiento 2015-1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS

ESPECIALIZACIN EN SEGURIDAD INFORMTICA

CURSO DE ESPECIALIZACIN

233002 MODELOS Y ESTNDARES DE SEGURIDAD INFORMTICA

GUA INTEGRADORA DE ACTIVIDADES ACADMICAS Mg. Gustavo Eduardo Constain Moreno

Director de curso

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA



GUA GENERAL DE ACTIVIDADES

233002-MODELOS Y ESTNDARES DE SEGURIDAD INFORMTICA

PRESENTACIN: Este documento ofrece las especificaciones para la totalidad de actividades a realizar en el aula virtual, por lo tanto se convierte en la nica gua a seguir durante todo el periodo acadmico. Para este fin, la presente gua se ha dividido en momentos de aprendizaje que estn relacionadas con las actividades presentes en los entornos del aula virtual. Siga detalladamente la lectura de esta gua y contrstela con los recursos y espacios diseados en el aula para la correcta identificacin de acciones y productos a elaborar. Recuerde que siempre estar acompaado de un Tutor que lo guiar en todo su proceso de formacin. TEMTICAS REVISADAS: Conceptos bsicos de seguridad informtica, modelos de seguridad informtica, estndares de seguridad informtica, gobierno de tecnologa, certificaciones, hacker tico. ESTRATEGIAS DE APRENDIZAJE: El curso 233002-Modelos y Estndares de Seguridad Informtica, est estructurado bajo dos estrategias de aprendizaje: el estudio de caso y el aprendizaje basado en proyectos. En este sentido se propone una actividad inicial en donde usted encontrar un caso real de anlisis de vulnerabilidades en el manejo de la informacin dentro de una organizacin y la consecuente solucin implementada por un equipo de profesionales en seguridad informtica. En este caso el estudiante debe hacer su propio anlisis y proponer alternativas a la solucin presentada. As mismo en las dos actividades principales del aula (momentos de actividad colaborativa y actividad final) se plantea un modelo de aprendizaje basado en proyecto en donde el Grupo Colaborativo debe disear un escenario y aplicar un estudio de seguridad informtica. Con estas estrategias se pretende profundizar en los conceptos y principios bsicos de la disciplina, vinculando a los participantes del curso en el desarrollo de opciones de solucin de problemas y otras tareas significativas de acuerdo a las temticas estudiadas.



SNTESIS DE LAS ACTIVIDADES: Las actividades se encuentran organizadas en cuatro (4) momentos para ser desarrolladas en los diferentes entornos del aula y asociadas a dos unidades acadmicas de base del curso. Al final de cada momento, los participantes harn entrega de un producto que debe cumplir con los requisitos expresados en esta gua didctica general. Para lograr los objetivos de aprendizaje deseados, es conveniente desarrollar las actividades solicitadas teniendo como base la comprensin de los conceptos tericos recomendados y siguiendo al pie de la letra las instrucciones presentadas. Los cuatro momentos de realizacin del curso son los siguientes:

Momento 1: Reconocimiento del curso.

Momento 2: Trabajo colaborativo. (Estrategia de aprendizaje por estudio de caso)

Momento 3: Actividad prctica. (Estrategia de aprendizaje por proyecto)

Momento 4: Evaluacin Final por Proyecto. (Estrategia de aprendizaje por proyecto)

Durante el desarrollo de cada uno de los momentos del curso, el participante tiene la oportunidad de interactuar en los espacios de los foros para discutir con sus compaeros los avances en cada paso de la estrategia y al tiempo ir definiendo el documento que servir como producto entregable en cada actividad. Deben tener en cuenta los espacios y recursos disponibles para la elaboracin de los productos entregables durante cada actividad (temas en los foros y e-portafolio), los cuales son tenidos en cuenta al momento de la calificacin. Recuerde que si no se evidencia su participacin en dichos espacios, no habr manera de asignar una calificacin. Al finalizar cada momento, el estudiante y su Grupo Colaborativo harn entrega completa del producto solicitado utilizando para ello los espacios definidos en el entorno de evaluacin. Estos mismos recursos sern utilizados por el Tutor del aula para la revisin, realimentacin y calificacin respectiva.



PASOS PARA LA REALIZACIN DE LAS ESTRATEGIAS DE APRENDIZAJE: Las estrategias de aprendizaje estn organizadas en 4 pasos para su normal realizacin y se evidencian en los distintos entornos del aula virtual de la siguiente manera:

PASOS ACTIVIDAD

Paso 1 Semanas

1 y 2

Reconocimiento de:

1. Conceptos bsicos. 2. Compaeros de Grupo. 3. Entorno de aprendizaje del aula.

En este paso el estudiante deber hacer un recorrido por todos los espacios del aula virtual, especialmente en los entornos de Informacin inicial y de Conocimiento con el fin de identificar las temticas que sern abordadas en el curso. As mismo es importante que se reconozca a los compaeros de Grupo Colaborativo con quienes tendr que abordar el desarrollo de dos actividades (Momento 1). Mediante la participacin en estos espacios de interaccin del aula, los estudiantes se familiarizarn con el entorno de aprendizaje y con sus compaeros. Es recomendable que durante este paso se establezcan los roles y mecanismos de comunicacin e interaccin para el desarrollo de los proyectos propuestos.

Paso 2 Semanas

3 a 8 Estudio de caso

Este paso se relaciona directamente con el Momento 2 del curso en donde se realizar el trabajo colaborativo. Para ello es importante documentarse acerca de los temas de modelos y estndares de seguridad informtica, gobierno de tecnologa y tcnicas de hacking tico. Estos temas son presentados en los documentos, videos y enlaces del Entorno de Conocimiento del aula virtual. A travs de esta actividad colaborativa se propone un estudio de caso sobre las vulnerabilidades de seguridad en el manejo de la informacin que puedan ser solucionados mediante la implementacin de modelos y estndares de seguridad informtica. En esta actividad, usted deber aportar de manera individual en el diseo del producto entregable por el grupo colaborativo.



Paso 3 Semanas

9 a 12

Desarrollo de actividad prctica del aula:

Proyecto de anlisis de

vulnerabilidades y propuesta de solucin.

Este paso se relaciona directamente con el Momento 3 del curso en donde se realizar la actividad prctica. Para ello es importante documentarse acerca de los temas de gobierno de tecnologa, certificaciones y tcnicas de hacking tico. Estos temas son presentados en los documentos, videos y enlaces del Entorno de Conocimiento del aula virtual. En la Actividad Prctica (Momento 3), usted y su grupo de trabajo colaborativo deben analizar un caso hipottico que es planteado por el director de curso en donde se evidencian algunas vulnerabilidades en el manejo de la informacin. Cada integrante del Grupo debe analizar el contexto del caso descrito y aportar a la construccin grupal en donde se deber disear la solucin de implementacin de gobierno de tecnologa y la aplicacin de modelos de seguridad informtica que d solucin al caso presentado.

Paso 4 Semanas 13 a 16

Desarrollo de Evaluacin final del curso

Este paso se relaciona directamente con el Momento 4 del curso en donde se realizar la evaluacin final. Para ello es importante tener a la mano toda la documentacin del curso que son presentados en los documentos, videos y enlaces del Entorno de Conocimiento del aula virtual. En esta actividad de Evaluacin final por proyecto (Momento 4), el Grupo Colaborativo deber definir una organizacin real para la construccin de un documento en el cual se realice la evaluacin de la seguridad informtica de dicha organizacin. Para este fin, es recomendable tener un buen conocimiento de la organizacin seleccionada y poder tener acceso a la informacin que sea requerida. Cada integrante del Grupo puede proponer un contexto de estudio indicando las posibilidades reales de obtencin de informacin para los anlisis a que haya lugar. Una vez se tengan los diversos contextos propuestos se deber escoger uno solo con el cual se desarrollar el resto de la actividad. Es decir que se deber seleccionar un caso particular con el cual se pueda hacer el anlisis y la formulacin de una solucin.



Con un nico caso seleccionado, se deber disear la solucin requerida en la gua de dicha actividad especfica.

Recomendaciones importantes: 1. Tenga en cuenta el orden de cada Momento para su desarrollo. 2. Identifique los pasos y actividades que se realizan en cada momento del curso. 3. Siga con detalle las indicaciones de cada momento para que no existan confusiones en

lo que se debe realizar ni en los productos que se deben obtener. 4. Mantenga una comunicacin permanente con sus compaeros de grupo y con su Tutor

para la solucin de inquietudes y clarificacin de las actividades por realizar. 5. Definan muy bien los roles y compromisos de cada integrante del grupo para que no

exista duplicidad de esfuerzos ni de productos al final de cada momento o actividad. 6. Tenga en cuenta que con el modelo AVA en el aula virtual existen dos espacios

diferentes para la elaboracin de las actividades (Entorno prctico y de aprendizaje colaborativo) y otro diferente para la entrega de cada producto obtenido (Entorno de evaluacin y seguimiento).

7. Antes de hacer una consulta en los Foros lea las intervenciones anteriores, es posible que en ellas ya se haya dado respuesta a su inquietud.

8. Con sus participaciones en el Foro recuerde mantener un hilo de conversacin con sus compaeros y/o el Tutor para no crear confusiones en lo que se quiere decir.

9. Para los fines de calificacin, solo sern vlidas las intervenciones que aporten al desarrollo de las actividades.



GUA GENERAL DE ACTIVIDADES ACTIVIDADES PARA CADA UNO DE LOS MOMENTOS

PASO 1. ACTIVIDAD DE RECONOCIMIENTO DEL CURSO

PASO 1 Reconocimiento de conceptos y del entorno de aprendizaje

Entornos Entorno de conocimiento Entorno de aprendizaje colaborativo

Referencias bibliogrficas

Salazar R. (2004). El Material Didctico y el acompaamiento tutorial en el contexto de la formacin a distancia y el sistema de crditos acadmicos. Universidad Nacional Abierta y a Distancia UNAD. Bogot, D.C. Colombia.

Constan G. Ramrez G. (2014) Modelos y estndares de seguridad informtica. Material didctico Universidad Nacional Abierta y a Distancia UNAD.

Enlaces web:

Sistema de Gestin de la Seguridad de la Informacin. Extrado el

1 de junio de 2014 del portal web ISO27000:

http://www.iso27000.es/download/doc_sgsi_all.pdf

FERRER, R. (2013) Sistema de Gestin de la Seguridad de la Informacin

SGSI. Extrado de:

http://www.sisteseg.com/files/Microsoft_PowerPoint_-

_Estrategias_de_seguridad_v52.pdf Gua de seguridad de la informacin. Extrado del portal

web VDigitalRM:

http://www.vdigitalrm.com/archivos/guia_seguridad_pymes.pdf

Conceptos bsicos sobre Seguridad de la Informacin. Instituto Nacional de Tecnologas de la Comunicacin. Extrado del portal web: http://www.youtube.com/watch?v=zV2sfyvfqik



ACTIVIDADES PARA EL PASO 1: Reconocimiento de conceptos y del entorno de aprendizaje. 1. Haga una presentacin en el Foro indicando su nombre completo, CEAD en el que se

encuentra matriculado y su informacin de contacto: Correo electrnico, Skype y nmero de celular (opcional).

2. Realizar una revisin del Entorno de Conocimiento del curso y el material de estudio

propuesto en l. Una vez terminada la revisin, elabore un mapa conceptual en donde se presenten sus conceptos personales de Modelo y de Estndar de seguridad informtica, estableciendo diferencias entre unos y otros.

3. Realizar un escrito a manera de resumen en donde se incluyan las temticas a estudiar

en el curso. Puede basarse en el documento Modelos y Estndares de Seguridad Informtica que encuentra en el entorno de conocimiento del aula virtual. El resumen debe ser de su autora debe tener mximo una pgina.

4. Presentar un documento de mximo tres pginas en donde se encuentre:

a. Una hoja de presentacin del trabajo de acuerdo con las normas IEEE, con los nombres de los participantes del grupo.

b. En la segunda pgina debe colocar el mapa conceptual solicitado. c. En la tercera pgina del documento se debe presentar el resumen del curso con el

objetivo general del mismo, las actividades que se deben realizar y la forma de calificacin.

Indicaciones para la presentacin producto a entregar: Pgina: Tamao Carta Mrgenes: superior, inferior, izquierdo y derecho: 2cm Interlineado: sencillo Texto: Time New Roman 11 puntos Formato de entrega: PDF Contenido del documento:

Presentacin de acuerdo a las normas IEEE Desarrollo de la Actividad La extensin mxima del documento debe ser de 3 pginas.

Nota: Pueden consultar las normas IEEE en los siguientes enlaces:

http://normasieee.com/2014/que-son-las-normas-ieee/ http://es.slideshare.net/amelinunez/normas-ieee-para-referencias



RBRICA DE CALIFICACIN PARA EL PASO 1 - ACTIVIDAD DE RECONOCIMIENTO

tem Evaluado Valoracin Baja Valoracin media Valoracin alta Mximo Puntaje

Participacin individual del estudiante en

la actividad

El estudiante Nunca particip en los espacios

de la actividad (Puntos = 0)

El estudiante participo en los espacios del foro pero

no intercambi informacin de contacto.

(Puntos =3)

El estudiante particip de manera pertinente

con la actividad (Puntos = 7)

7

Estructura del informe

No se tuvo en cuenta las normas bsicas para la

construccin de informes escritos

(Puntos = 0)

Aunque el documento presenta una estructura base, la misma carece de

algunos elementos del cuerpo solicitado

(Puntos = 3)

El documento presenta una excelente estructura

Presenta la pgina de presentacin, el mapa

conceptual y el resumen del curso.

(Puntos =7)

7

Redaccin y ortografa

El documento presenta deficiencias en redaccin

y errores ortogrficos (Puntos = 0)

No hay errores de ortografa pero si carece de elementos solicitados.

(Puntos = 2)

La redaccin es excelente, los

procedimientos son claros y adecuados. (Puntos = 4)

4

Fines del trabajo

El trabajo no da respuesta adecuadas a lo

solicitado en la gua de actividades. (Puntos = 0)

Aunque se presentan algunos puntos, el documento solo

presenta algunos de los puntos solicitados.

(Puntos = 3)

Se presentaron todos los puntos solicitados en la gua de actividades y el nivel de participacin es

el ideal. (Puntos = 7)

7

Total de puntos disponibles 25



PASO 2. ESTUDIO DE CASO

PASO 2 Estudio de caso


Referencias bibliogrfica

s

Salazar R. (2004). El Material Didctico y el acompaamiento tutorial en el contexto de la formacin a distancia y el sistema de crditos acadmicos. Universidad Nacional Abierta y a Distancia UNAD. Bogot, D.C. Colombia. Constan G. Ramrez G. (2014) Modelos y estndares de seguridad informtica. Material didctico Universidad Nacional Abierta y a Distancia UNAD. Videoteca del entorno de conocimiento del aula virtual. Enlaces web: Formatos IEEE para presentar artculos y documentos escritos. Extrado de los portales web: http://www.slideshare.net/dmcuenca4/formato-ieee-12580817 http://clubensayos.com/Temas-Variados/Formato-IEEE-Para- Documentos-Escritos/775500.html Modelo de seguridad de la informacin (2012). Ministerio de comunicaciones, Repblica de Colombia. Extrado del sitio web: http://programa.gobiernoenlinea.gov.co/apc-aa-files/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf Conceptos bsicos sobre Seguridad de la Informacin. Instituto Nacional de Tecnologas de la Comunicacin. Extrado del sitio web: http://www.youtube.com/watch?v=zV2sfyvfqik Estndares de gestin de la Seguridad de la Informacin. Instituto Nacional de Tecnologas de la Comunicacin. Extrado del sitio web: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related Principales estndares para la seguridad de la informacin IT. Escuela Colombiana de Ingeniera Julio Garavito. Extrado del sitio web: http://catalogo.escuelaing.edu.co/cgi-bin/koha/opac-detail.pl?biblionumber=580



Norma, Estndar, Modelo. Extrado del sitio web de TECCELAYA: http://equipoteccelaya.blogspot.es/1234029360/ Normas y Estndares. Extrado del sitio web de WIKITEL: http://es.wikitel.info/wiki/Normas_y_Est%C3%A1ndares Estndares y Normas de seguridad. Tomado del sitio web: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

ACTIVIDADES PARA EL PASO 2: Estudio de caso. El Grupo Colaborativo debe analizar detalladamente el caso de estudio suministrado como anexo en esta actividad, identificar los niveles de riesgo encontrados en el manejo de la informacin en dicha organizacin y mencionar los aspectos bsicos de implementacin de un Sistema de Gestin de Seguridad de la Informacin SGSI, que implementara para este caso. El plan de trabajo que usted y su grupo colaborativo debe realizar debe contener los siguientes aspectos: 1. Anlisis de riesgos para las actividades crticas sugeridas por las Directivas de la organizacin objeto de estudio [ver documento anexo en el Momento 2 Foro de trabajo colaborativo]. Se debe listar por categoras (comunicaciones, seguridad fsica, manejo de personal, etc.) los riesgos encontrados y las reas vulnerables mencionando para cada caso el nivel de importancia y los instrumentos que podran ser utilizados para medir dichos niveles de riesgo (observacin directa, encuesta, monitoreo, etc.). 2. En consenso de grupo, determinar la importancia que tendra para la organizacin objeto de estudio el considerar la aplicacin de estndares de seguridad que garanticen el adecuado y seguro manejo de la informacin. Expliquen y justifiquen el porqu de su respuesta. 3. Cul (o cules) estndares de seguridad de la informacin seran los ms adecuados para el caso estudiado? Justifiquen y sustenten tericamente su respuesta. 4. Cul (o cules) modelos de seguridad de la informacin aplicaran como grupo para el caso estudiado? Justifiquen y sustenten tericamente su respuesta. 5. Presentar un documento en donde se encuentre la propuesta con todo lo solicitado:



5.1. Una hoja de presentacin del trabajo de acuerdo con las normas IEEE, con los nombres del participante o de los participantes del grupo, colocar el nombre de la propuesta. 5.2. Escribir la introduccin del documento, el objetivo general, los objetivos especficos, el alcance, definir los marcos del documento, escribir la solucin a los puntos planteados anteriormente. 5.3. Escribir unas conclusiones de este trabajo. 5.4. Escribir todas las referencias utilizadas en el documento.







RBRICA DE CALIFICACIN PARA EL PASO 2 ESTUDIO DE CASO

tem Evaluado Valoracin Baja Valoracin media Valoracin alta Mx. Puntaje

Participacin individual del estudiante en

el grupo de Trabajo

El estudiante Nunca particip del trabajo de equipo dentro

del grupo asignado. (Puntos = 0)

El estudiante participo del trabajo de equipo dentro del

grupo pero sus aportaciones no son suficientes.

(Puntos =7)

El estudiante particip de manera pertinente con la

actividad (Puntos = 15)

15


El grupo de trabajo no tuvo en cuenta las normas bsicas para

la construccin de informes (Puntos = 0)

Aunque el documento presenta una estructura base, la misma

carece de algunos elementos del cuerpo solicitado, como por ej. La aplicacin de normas IEEE

(Puntos = 7)

El documento presenta una excelente estructura Presenta todos los

elementos solicitados en la gua de actividades.

(Puntos =15)

15


El documento presenta deficiencias en redaccin y

errores ortogrficos Puntos = 0)

No hay errores de ortografa y el documento no presenta una

conclusin. (Puntos = 7)

La redaccin es excelente, los procedimientos son

claros y adecuados. (Puntos = 15)

15

Act. 1. Anlisis de riesgos

para las actividades

crticas

El documento no presenta el anlisis de riesgo del caso

planteado. (Puntos = 0)

El documento presenta el anlisis de riesgo pero no aplican

correctamente el enfoque de seguridad informtica.

(Puntos = 15)

El documento presenta un adecuado anlisis de

riesgos al caso planteado y brindan una solucin

coherente a los aspectos solicitados.

(Puntos = 30)

30

Act. 2. Importancia de estndares en

el caso

No se justifica la necesidad de aplicacin de estndares en el

caso planteado. (Puntos = 0)

Se justifica el caso planteado pero no se argumenta

adecuadamente desde lo tecnolgico.

(Puntos = 15)

Se sustenta con suficiencia la necesidad de aplicacin de

estndares de seguridad en al caso planteado.

(Puntos = 30)

30

Act. 3 Estndares y Modelo de Seguridad

informtica

El Grupo no propone modelos o estndares tiles para la solucin al caso planteado.

(Puntos = 0)

Se propone modelos y estndares para el caso planteado pero no se

sustentan tericamente. (Puntos = 15)

Se propone modelos y estndares para la solucin del caso

planteado y estos son argumentados tericamente. (Puntos = 30)

30

Fines del trabajo

El documento no presenta el anlisis del caso planteado no la

solucin a los aspectos solicitados. (Puntos = 0)

El documento presenta nicamente el anlisis del caso planteado pero no la solucin a

los aspectos solicitados; presenta la solucin pero no el

anlisis (Puntos = 10)

El documento presenta un adecuado anlisis al caso

planteado y solucin coherente a los aspectos

solicitados. (Puntos = 20)

20

Uso de Herramientas

de Apoyo

El grupo no utilizo herramientas

multimediales de apoyo para el documento de propuesta de gobierno

de TI. (Puntos = 0)

El grupo menciona el uso de algunas herramientas pero estas no se evidencian en el informe

presentado. (Puntos = 10)

El grupo utilizo herramientas multimediales de apoyo para el documento de propuesta

de gobierno de TI. (Puntos = 20)

20




PASO 3. ACTIVIDAD PRCTICA

PASO 3 Desarrollo de un proyecto de anlisis de vulnerabilidades de seguridad de la informacin y propuesta de solucin



Salazar R. (2004). El Material Didctico y el acompaamiento tutorial en el contexto de la formacin a distancia y el sistema de crditos acadmicos. Universidad Nacional Abierta y a Distancia UNAD. Bogot, D.C. Colombia. Constan G. Ramrez G. (2014) Modelos y estndares de seguridad informtica. Material didctico Universidad Nacional Abierta y a Distancia UNAD. Videoteca del entorno de conocimiento del aula virtual. Enlaces web: Un acercamiento a las mejores prcticas de seguridad de la informacin internacionalmente reconocidas en el estndar ISO 17799:2005. 2006. Empresa Mayorista de Valor Agregado (MVA). Colombia. Tomado del sitio web: http://seginfo.tripod.com/files/17799a.pdf Seguridad de la informacin. Norma ISO 17799. ITCSA Software. Tomado del sitio web: http://www.ciiasdenic.net/files/doccursos/1196890583_ConferenciaISO17799 Tecnologa de la informacin Tcnicas de seguridad- Cdigo para la prctica de la gestin de la seguridad de la informacin. Estndar internacional ISO/IEC 17799. Tomado del sitio web: https://mmujica.files.wordpress.com/2007/07/iso-17799-2005- castellano.pdf Estndares y normas de seguridad. Tomado del sitio web: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf ISO 27000. Tomado del sitio web: http://www.iso27000.es/download/doc_iso27000_all.pdf



Sistema de Gestin de Seguridad de TI. Tomado del sitio web: http://www.asentti.com/documentos/gseguridad.pdf Estndares de gestin de la Seguridad de la Informacin. Instituto Nacional de Tecnologas de la Comunicacin. Tomado del sitio web: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related Presentacin de ITIL V2 y V3. Tomado del sitio web: http://www.sisteseg.com/files/Microsoft_PowerPoint_-_ITIL_V3_PRESENTACION_.pdf ITIL como apoyo a la seguridad de la informacin. Tomado del sitio web: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/04-ITILSoporteSGSIBasadoISO27001.pdf

Qu es ITIL? Tomado del sitio web: http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf SISTESEG. COBIT 4.1. Tomado del sitio web: http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf Molina, Lucio A. COBIT como promotor de la seguridad de la informacin. Tomado del sitio web: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/02-CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf Integrando COBIT, ITIL e ISO 27002 como parte de un marco de Gobierno de Control de TI. Asociacin Colombiana de Ingenieros de Sistemas ACIS. Tomado del sitio web: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_Informatica/RobertoArbelaezXXVISalon2006.pdf ISECOM. Manual de la metodologa abierta de testeo de seguridad. Tomado del sitio web: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf DREAMLAB Technologies. OSSTMM, seguridad que se puede medir. Tomado del sitio web: https://www.dreamlab.net/files/documents/osstmm-esp-2.0.pdf WEPFER, Simon. Security Tester by methodology: The OSSTMM. Tomado del sitio web:



http://www.isecom.org/press/securityacts01.pdf Criterios comunes para monitorear y evolucionar la seguridad informtica en Colombia. ACIS. Tomado del sitio web: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/IX_JornadaSeguridad/CriterioscomunesparaMonitorearyEvolucionarlaSeguridadInform_ticaenColombia-JACL-Password.pdf The Common Criteria Recognition Arrangement. Tomado del sitio web: http://www.commoncriteriaportal.org/ccra/

ACTIVIDADES PARA EL PASO 3: Desarrollo de la Actividad Prctica - Proyecto de anlisis de vulnerabilidades de seguridad de la informacin y propuesta de solucin. Contexto de anlisis: Usted es el Gerente de Tecnologa de una entidad comercial que vende productos y servicios a travs de su propio portal web comercial (por el estilo de MercadoLibre.com, DeRemate.com, MercadoShops.com, etc.), todos los servicios de tecnologa que ofrece la institucin se enfocan en la prestacin de los servicios comerciales de venta de productos y servicios para clientes que se encuentran dispersos geogrficamente, es por eso que quien paute debe tener la posibilidad de recibir todo el apoyo para sus procesos de oferta, comunicacin con posibles clientes y dems servicios a travs de la web. La Comercializadora Virtual cuenta con su estructura organizacional, tiene diferentes certificaciones de gestin de calidad como ISO 90001 e ISO 1000, adems de otros sistemas de calidad. El Gerente de la Comercializadora ha decidido implementar el gobierno de tecnologa en la organizacin y por lo tanto le ha solicitado a usted que defina un plan de trabajo para alcanzar el gobierno de tecnologa. El plan de trabajo que usted y su grupo de trabajo debe realizar debe contener los siguientes aspectos: 1. Se debe definir un marco contextual de la Comercializadora Virtual, es decir misin, visin, polticas, estrategias, objetivos, el nmero de clientes, tecnologas que utiliza, comunicaciones, sistemas de gestin, plataformas comerciales, plataformas para los servicios de apoyo a los servicios financieros. 2. Luego de haber decidido el contexto de la Comercializadora Virtual en la que presentar la propuesta, usted y su grupo de trabajo deber definir cmo implementar el Gobierno de



Tecnologa, es decir deber definir la estrategia de implementacin, la alineacin de la organizacin con los objetivos de tecnologa, la comunicacin al interior de la organizacin para la implementacin del gobierno de tecnologa, es decir aplicar todos los conceptos vistos en el contenido didctico. 3. Debe definir cul es el marco de trabajo con el cual usted realizar la implementacin del gobierno de tecnologa en la Comercializadora, recuerde que debe revisar los marcos y justificar por qu escogi ese marco de implementacin, tenga en cuenta los factores de xito para la implementacin del Gobierno de TI. 4. Para la implementacin del Gobierno de TI, usted y su grupo de trabajo deben tener certificaciones que garanticen que la propuesta que usted est haciendo le ayudar al proyecto a lograrse, para ello usted debe indicar que certificaciones debe tener el grupo de trabajo y porque, recuerde debe investigar qu otras certificaciones existen. 5. El Gerente tambin le ha solicitado que contrate un profesional externo con altos conocimientos tecnolgicos para que evalu la seguridad informtica de la Comercializadora Virtual, por lo tanto en la propuesta usted deber definir las caractersticas y los conocimientos de este profesional, debe revisar toda la informacin de Hacker tico tanto en el contenido didctico como en los libros indicados en los documentos para profundizar, para realizar una buena descripcin y caracterizacin del profesional que se requiere para la evaluacin del Hacker tico, debe definir el contrato, los objetivos, los resultados y lo que realizara el profesional. 6. Usted debe hacer uso de todas las herramientas multimediales, conceptuales y textuales que requiera para realizar la propuesta, si lo desea puede realizar videos, presentaciones, mapas conceptuales, mapas mentales, entre otros como apoyo para el documento de propuesta. 7. Presentar un documento en donde se encuentre la propuesta con todo lo solicitado:

7.1 Una hoja de presentacin del trabajo de acuerdo con las normas IEEE, con los nombres del participante o de los participantes del grupo, colocar el nombre de la propuesta. 7.2 Escribir la introduccin del documento, el objetivo general, los objetivos especficos, el alcance, definir los marcos del documento, escribir la propuesta de implementacin del Gobierno de TI con todo lo solicitado. 7.3 Escribir toda la informacin para la contratacin del Hacker tico, recuerde los requerimientos. 7.4 Escribir las conclusiones de la propuesta de implementacin del Gobierno de TI. 7.5 Escribir todas las referencias utilizadas en el documento.



RBRICA DE CALIFICACIN PARA EL PASO 3 ACTIVIDAD PRCTICA


Participacin individual del

estudiante en el grupo de Trabajo

El estudiante Nunca particip del trabajo de equipo dentro del

grupo asignado. (Puntos = 0)

El estudiante participo del trabajo de equipo dentro del grupo pero sus aportaciones

no son suficientes. (Puntos =7)



15




Aunque el documento presenta una estructura base,

la misma carece de algunos elementos del cuerpo

solicitado. (Puntos = 7)

El documento presenta una excelente estructura con

todos los elementos solicitados en la gua de

actividades. (Puntos =15)

15



errores ortogrficos (Puntos = 0)





15

Propuesta de Gobierno de TI

El documento no presenta la propuesta para la

implementacin del gobierno de TI, los marcos, la propuesta de implementacin con todos lo


El documento presenta la propuesta con algunos puntos

para la implementacin del gobierno de TI, los marcos, la propuesta de implementacin

con todos lo solicitado. (Puntos = 15)

El documento presenta una excelente propuesta para la

implementacin del gobierno de TI, los marcos, la propuesta de implementacin con todos

lo solicitado. (Puntos = 30)

30

Certificaciones para el Equipo

El documento no presenta las certificaciones que debe tener el

grupo de trabajo para la implementacin del gobierno de

TI con todo lo solicitado. (Puntos = 0)

El documento presenta algunas certificaciones que debe tener el


TI de manera incompleta. (Puntos = 15)

El documento presenta las certificaciones que debe tener

el grupo de trabajo para la implementacin del gobierno de TI con todo lo solicitado.

(Puntos = 30)

30

Hacker tico

El documento no presenta las caractersticas para la

contratacin del Hacker tico como lo solicitaba el rector para cumplir con todo lo solicitado.

(Puntos = 0)

El documento presenta algunas de las caractersticas para la

contratacin del Hacker tico cumple parcialmente con lo


El documento presenta las caractersticas para la

contratacin del Hacker tico como lo solicita el rector para cumplir con todo lo solicitado.

(Puntos = 30)

30

Fines del trabajo

El trabajo no cumple con todo lo solicitado en la gua de

actividades. (Puntos = 0)

El documento presenta nicamente el anlisis del caso planteado pero no la solucin a

los aspectos solicitados; o presenta la solucin pero no el

anlisis. (Puntos = 10)

El documento de propuesta de implementacin del

gobierno de tecnologa, las certificaciones del equipo y

las caractersticas para la contraccin del Hacker tico Cumple completamente con

lo solicitado en la gua de actividades.

(Puntos = 20)

20



Uso de Herramientas de

Apoyo

El grupo no utiliz herramientas multimediales de apoyo para el

documento de propuesta de gobierno de TI.

(Puntos = 0)



El grupo utilizo herramientas multimediales de apoyo para

el documento de propuesta de gobierno de TI.

(Puntos = 20)

20


PASO 4. DESARROLLO DE LA EVALUACIN FINAL DEL CURSO

PASO 4 Desarrollo de la actividad final del curso



Salazar R. (2004). El Material Didctico y el acompaamiento tutorial en el contexto de la formacin a distancia y el sistema de crditos acadmicos. Universidad Nacional Abierta y a Distancia UNAD. Bogot, D.C. Colombia. Constan G. Ramrez G. (2014) Modelos y estndares de seguridad informtica. Material didctico Universidad Nacional Abierta y a Distancia UNAD. Videoteca del entorno de conocimiento del aula virtual. Enlaces web: Un acercamiento a las mejores prcticas de seguridad de la informacin internacionalmente reconocidas en el estndar ISO 17799:2005. 2006. Empresa Mayorista de Valor Agregado (MVA). Colombia. Tomado del sitio web: http://seginfo.tripod.com/files/17799a.pdf Seguridad de la informacin. Norma ISO 17799. ITCSA Software. Tomado del sitio web: www.ciiasdenic.net/files/doccursos/1196890583_ConferenciaISO17799.pdf Tecnologa de la informacin Tcnicas de seguridad- Cdigo para la prctica de la gestin de la seguridad de la informacin. Estndar internacional ISO/IEC 17799. Tomado del sitio web:



https://mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf Estndares y normas de seguridad. Tomado del sitio web: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf ISO 27000. Tomado del sitio web: http://www.iso27000.es/download/doc_iso27000_all.pdf Sistema de Gestin de Seguridad de TI. Tomado del sitio web: http://www.asentti.com/documentos/gseguridad.pdf Estndares de gestin de la Seguridad de la Informacin. Instituto Nacional de Tecnologas de la Comunicacin. Tomado del sitio web: http://www.youtube.com/watch?v=vWAV0bdWvtI&feature=related Presentacin de ITIL V2 y V3. Tomado del sitio web: http://www.sisteseg.com/files/Microsoft_PowerPoint_-_ITIL_V3_PRESENTACION_.pdf ITIL como apoyo a la seguridad de la informacin. Tomado del sitio web: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/04-ITILSoporteSGSIBasadoISO27001.pdf Qu es la actualizacin ITIL v3 2011. Tomado del sitio web: http://www.globalk.com.co/globalk_co/others/imagenes/cert_itil.pdf Qu es ITIL? Tomado del sitio web: http://www.ieee.org.ar/downloads/2006-hrabinsky-itil.pdf IT Service. Fundamentos de COBIT. Tomado del sitio web: http://www.itservice.com.co/pdf/FUNDAMENTOS%20DE%20COBIT%2041.pdf SISTESEG. COBIT 4.1. Tomado del sitio web: http://www.sisteseg.com/files/Microsoft_PowerPoint_-_COBIT_4.1.pdf Molina, Lucio A. COBIT como promotor de la seguridad de la informacin. Tomado del sitio web: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/02-CobiTPromotorSeguridadInformacionHaciaGobiernoTI.pdf



Integrando COBIT, ITIL e ISO 27002 como parte de un marco de Gobierno de Control de TI. Asociacin Colombiana de Ingenieros de Sistemas ACIS. Tomado del sitio web: http://www.acis.org.co/fileadmin/Base_de_Conocimiento/XXVI_Salon_Informatica/RobertoArbelaezXXVISalon2006.pdf ISECOM. Manual de la metodologa abierta de testeo de seguridad. Tomado del sitio web: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf DREAMLAB Technologies. OSSTMM, seguridad que se puede medir. Tomado del sitio web: http://isecom.securenetltd.com/OSSTMM.es.2.1.pdf WEPFER, Simon. Security Tester by methodology: The OSSTMM. Tomado del sitio web: http://www.isecom.org/press/securityacts01.pdf The Common Criteria Recognition Arrangement. Tomado del sitio web: http://www.commoncriteriaportal.org/ccra/

ACTIVIDADES PARA EL PASO 4: Desarrollo de la Actividad Final del curso. Usted y su grupo de trabajo deben escoger una organizacin que conozcan muy bien, debido a que en esta organizacin realizarn el trabajo final del curso, en el cual aplicarn todos los conceptos estudiados. En el trabajo, usted y su grupo deber realizar la aplicacin de seguridad informtica, modelos, estndares, gobierno de tecnologa, entre otros. Se debe construir un documento en el cual se realice la evaluacin de la seguridad informtica de la organizacin que se ha escogido, es por esto que se debe tener un buen conocimiento de la organizacin. 1. El documento plan de evaluacin de seguridad de la organizacin debe contener toda la identificacin conceptual y contextual de la organizacin, es decir la misin, visin, polticas, modelos, estndares, inventarios de sistemas de informacin y tecnologa. 2. Una vez se haya realizado esta informacin se debe ejecutar el plan de evaluacin de la seguridad en donde se indique qu herramientas, tcnicas, software y estrategias, usted y su grupo utilizaran para realizar la evaluacin de la seguridad; en este caso ustedes trabajarn como Hacker tico contratados por la organizacin para realizar este trabajo. Recuerde los elementos, tareas y tcnicas que utilizan este tipo de hacker para hacer las



evaluaciones, deben dejar evidencia de este trabajo realizado, como fotografas, videos, entre otros. Recuerde adems que lo importante es dejar documentado todo el proceso, e indicar cules son los procesos, las posibles soluciones y las conclusiones de este plan de evaluacin. 3. Luego de haber realizado el plan y la ejecucin de evaluacin de seguridad, deber realizar el plan de mejoramiento para la organizacin, en este sentido se debe indicar qu modelos y estndares debe adoptar la organizacin, tambin indicar qu estrategias de seguridad se deben implementar, para minimizar los riesgos de la seguridad de la organizacin. 4. Debe indicar y justificar qu certificaciones deben tener los miembros del equipo de tecnologa para tener una alta seguridad en los sistemas de tecnologa de la organizacin. 5. Usted y su grupo debe realizar un plan de implementacin del Gobierno de TI, en este caso deben definir cmo realizar la implementacin, que se debe modificar y mejorar en la organizacin para implementar el gobierno de TI, recuerde los factores de xito para la implementacin del Gobierno de tecnologa, se debe realizar una evaluacin de los marcos de trabajo para la implementacin de los gobierno de TI, y escoger uno pero debe justificar por qu escoge un marco de trabajo especfico de acuerdo a todo su trabajo. 6. El plan de implementacin debe ser claro y especfico para la organizacin que han escogido, es decir debe ser un documento de tal calidad y presentacin que se pueda presentar en la organizacin escogida como insumo para la toma de decisiones vitales y estratgicas que generen valor a la organizacin a la cual le est realizando el trabajo. 7. Usted debe hacer uso de todas las herramientas multimediales, conceptuales y textuales que requiera para realizar la propuesta, si lo desea puede realizar videos, presentaciones, mapas conceptuales, mapas mentales, entre otros, como apoyo para el documento de propuesta. 8. Presentar un documento en donde se encuentre la propuesta con todo lo solicitado: Una hoja de presentacin del trabajo de acuerdo con las normas IEEE, con los nombres del participante o de los participantes del grupo, colocar el nombre de la propuesta.

8.1. Escribir el plan de evaluacin de seguridad. 8.2. Escribir la ejecucin del plan de seguridad. 8.3. Escribir el plan de mejoramiento organizacional. 8.4. Escribir el plan de implantacin de Gobierno de TI. 8.5. Escribir todas las referencias utilizadas en el documento.



RBRICA DE CALIFICACIN PARA EL PASO 4 ACTIVIDAD FINAL DEL CURSO


Participacin individual del

estudiante en el grupo de Trabajo

El estudiante Nunca particip del trabajo de equipo dentro del

grupo asignado. (Puntos = 0)

El estudiante participo del trabajo de equipo dentro del grupo pero sus aportaciones

no son suficientes. (Puntos =10)



15




Aunque el documento presenta una estructura base,

la misma carece de algunos elementos del cuerpo


El documento presenta una excelente estructura con

todos los elementos solicitados en la gua de

actividades. (Puntos =10)

10



errores ortogrficos (Puntos = 0)





10

Plan de Evaluacin de Seguridad

El documento no presenta la propuesta para plan de seguridad.

(Puntos = 0)

El documento presenta el plan de seguridad con algunos puntos.

(Puntos = 10)

El documento presenta un excelente plan de evaluacin de seguridad con todo lo solicitado.

(Puntos = 15)

15

Plan de Mejoramiento

El documento no presenta la propuesta para plan de seguridad.

(Puntos = 0)

El documento presenta el plan de mejoramiento con algunos

puntos. (Puntos = 10)

El documento presenta un excelente plan de

mejoramiento de seguridad con todo lo solicitado. (Puntos

= 15)

15

Propuesta de Gobierno de TI

El documento no presenta la propuesta para la implementacin del gobierno de TI, los marcos, la

propuesta de implementacin con todos lo solicitado.

(Puntos = 0)

El documento presenta la propuesta con algunos puntos

para la implementacin del gobierno de TI, los marcos, la

propuesta de implementacin con todos lo solicitado.

(Puntos = 10)

El documento presenta una excelente propuesta para la

implementacin del gobierno de TI, los marcos, la propuesta de implementacin con todos

lo solicitado. (Puntos = 15)

15

Certificaciones para el Equipo

El documento no presenta las certificaciones que debe tener el



El documento presenta algunas certificaciones que debe tener el


TI con todo lo solicitado, est incompleto.

(Puntos = 10)

El documento presenta las certificaciones que debe tener

el grupo de trabajo para la implementacin del gobierno de


15



Fines del trabajo

El trabajo no cumple con todo lo solicitado en la gua de

actividades. (Puntos = 0)

Aunque se presentan algunos puntos del trabajo solicitado, se cumpli algunos puntos de los

indicados pero presenta falencias. (Puntos = 10)

El documento cumple con el plan de evaluacin de

seguridad, plan de implantacin, plan de

mejoramiento, propuesta de implementacin del gobierno

de tecnologa, plan de implantacin de gobierno de tecnologa, evaluacin de las

certificaciones del equipo. Cumple completamente con lo

solicitado en la gua de actividades.

(Puntos = 20)

20

Uso de Herramientas de

Apoyo

El grupo no utiliz herramientas multimediales de apoyo para el

documento de propuesta de gobierno de TI.

(Puntos = 0)



El grupo utilizo herramientas multimediales de apoyo para

el documento de propuesta de gobierno de TI.

(Puntos = 10)

10


XITOS EN SU PROCESO DE FORMACIN!

Guia Integradora Conocimiento 2015-1

Documents

Transcript of Guia Integradora Conocimiento 2015-1