Sei sulla pagina 1di 13

GESTIÓN DE FORMACIÓN PROFESIONAL INTEGRAL

PROCEDIMIENTO DESARROLLO CURRICULAR


GUÍA DE APRENDIZAJE

1. IDENTIFICACIÓN DE LA GUIA DE APRENIZAJE

 Denominación del Programa de Formación: TG en Gestión de Redes de Datos


 Código del Programa de Formación: 228183
 Nombre del Proyecto (si es formación Titulada): IMPLEMENTACIÓN DE UNA RED DE DATOS
CORPORATIVA MULTISERVICIO, ADMINISTRADA Y CONFIGURADA BAJO SISTEMA OPERATIVO LINUX
 Fase del Proyecto (si es formación Titulada): ANALISIS
 Actividad de Proyecto: Determinar la vulnerabilidad de la red.
 Competencia: Administrar hardware y software de seguridad en la red a partir de normas
internacionales.
 Resultados de Aprendizaje a Alcanzar: Definir el plan de seguridad para la red de datos aplicando
estándares y normas internacionales de seguridad vigentes, Implementar el plan de seguridad en la
organización aplicando estándares y normas internacionales de seguridad vigentes
 Duración de la Guía: 40

2. PRESENTACION

Actualmente existen muchos riesgos relacionados con la tecnología, que ponen en peligro nuestra
información y el desarrollo de los negocios, y que lamentablemente aumentan cada día. Hackers,
ciberdelincuencia, robos de identidad, spam, virus, phishing, robos de información y espionaje
industrial, entre otros muchos, pueden acabar con la confianza de nuestros clientes y nuestra imagen
en el mercado. Estos riesgos provienen tanto del exterior como del interior de nuestras empresas. Para
lidiar con esos riesgos, desde las empresas se puede asegurar los datos e información de valor a través
de un Sistema de Gestión de Seguridad de la Información (SGSI).

Si queremos proteger a nuestra empresa de todas las amenazas, necesitamos conocerlas y afrontarlas
de la forma más adecuada. Así que, es conveniente establecer los procedimientos oportunos e
implementar controles de seguridad basados en la evaluación de riesgos y en una medición de su
eficacia.

¿Qué es un SGSI?

Podemos definir el SGSI, Sistema de gestión de la seguridad de la información, basado en la norma UNE-
ISO/IEC 27001, como una herramienta que nos va a permitir conocer, gestionar y minimizar los posibles
riesgos que atenten contra la seguridad de la información en nuestra empresa. Además de ser una
metodología sencilla y barata que cualquier PYME puede utilizar. La implantación y posterior
certificación de estos sistemas supone la implicación de toda la empresa.

GFPI-F-019 V3
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

3. FORMULACION DE LAS ACTIVIDADES DE APRENDIZAJE


3.1. Actividades de Reflexión inicial.

Sistemas de Gestión de la Seguridad de la Información (SGSI)

El Ministerio de Tecnologías de la Información y las Comunicaciones - MinTIC a través de la Dirección de


Estándares y Arquitectura de TI y la Subdirección de Seguridad y Privacidad de TI, dando cumplimiento a sus
funciones; publica El Modelo de Seguridad y Privacidad de la Información (MSPI), el cual se encuentra
alineado con el Marco de Referencia de Arquitectura TI y soporta transversalmente los otros componentes
de la Estrategia GEL: TIC para Servicios, TIC para Gobierno Abierto y TIC para Gestión.

El Modelo de Seguridad y Privacidad para estar acorde con las buenas prácticas de seguridad será
actualizado periódicamente; reuniendo los cambios técnicos de la norma 27001 del 2013, legislación de la
Ley de Protección de Datos Personales, Transparencia y Acceso a la Información Pública, entre otras, las
cuales se deben tener en cuenta para la gestión de la información.1

Actividad individual

a) La norma ISO 27001, ¿a qué hace referencia esta norma? Haga una descripción breve de la misma
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
b) ¿Qué es el Ministerio de Tecnologías de la Información y las Comunicaciones y que funciones tiene
para el gobierno colombiano?
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________

1
Ministerio de Tecnologías de la Información y las Comunicaciones (2016) Modelo de Seguridad. Gobierno de Colombia.
Recuperado de https://www.mintic.gov.co/gestionti/615/w3-propertyvalue-7275.html
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

3.2. Actividades de contextualización e identificación de conocimientos necesarios para el


aprendizaje

Actualmente, la información reside en todas partes, de forma física y digital; en nuestras manos y al
alcance de unos cuantos clics. La información personal es un tema sensible puesto que expone nuestra
integridad, confidencialidad y disponibilidad en cualquier medio y en cualquier momento, y parte de
esta exposición de nuestra información es gracias a que no tenemos unas medidas mínimas de control
de nuestra información como cerrar adecuadamente un correo, cerrar sesiones en portales o compartir
contenido multimedia. Nosotros somos nuestra primera línea de defensa.

En un grupo de proyecto, conteste en un documento en Word como evidencia y socialice las siguientes
preguntas planteadas, para posteriormente exponer lo entendido con los demás grupos e instructor y
poder realizar la respectiva retroalimentación. Utilice el medio que desee sea digital o físico para
exponer

a) ¿Considera que actualmente es importante la seguridad de la información?, ¿Por qué?


________________________________________________________________________________
________________________________________________________________________________
b) ¿Nombre 5 páginas web, donde le soliciten suministrar datos personales importantes como numero
de cedula, dirección de su vivienda, correo electrónico etc?
________________________________________________________________________________
________________________________________________________________________________
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

c) ¿reconoce usted cuando una página es segura o no y cómo?


________________________________________________________________________________
________________________________________________________________________________

3.3. Actividades de apropiación del conocimiento (Conceptualización y Teorización)

Parte del trabajo a desarrollar, esta soportado en documentación recopilada en Blackboard y fuentes
Web, para desarrollar este cuestionario. la seguridad de la información requiere que, tanto usuarios
internos y externos y todo el personal dentro de una organización sepa que es cuando se está
presentando una anormalidad en el trato de la información y de qué manera debe actual o por lo menos
seguir unos pasos para contrarrestar un posible fallo o alteración de la información por manos de
terceros. Por grupos definir estas preguntar y exponer al resto de los compañeros

a) ¿Qué entiende por política de seguridad? De 3 ejemplos.


________________________________________________________________________________
________________________________________________________________________________

b) ¿Cuáles son los pilares de la seguridad de la información? Describa cada uno de ellos
________________________________________________________________________________
________________________________________________________________________________
c) ¿Qué es un activo? De 3 ejemplos. (dentro del contexto de la seguridad de la información)
________________________________________________________________________________
________________________________________________________________________________
d) ¿Qué es un riesgo? De 3 ejemplos. (dentro del contexto de la seguridad de la información)
________________________________________________________________________________
________________________________________________________________________________
e) ¿Qué es una amenaza? De un ejemplo.
________________________________________________________________________________
________________________________________________________________________________
f) ¿Qué es un incidente de seguridad?
________________________________________________________________________________
________________________________________________________________________________
g) ¿Qué es impacto?
________________________________________________________________________________
________________________________________________________________________________
h) ¿Qué es un control? De un ejemplo.
________________________________________________________________________________
________________________________________________________________________________
i) ¿Qué es auditoria y la importancia de realizarlas en una empresa?
________________________________________________________________________________
________________________________________________________________________________
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

Dentro del contexto de un SGSI para las empresas, se hace necesario que los aprendices tengan claro
los enunciados de la norma ISO 27001 y los distintos conceptos sobre SGSI para ser implementados en
una organización. Si bien es cierto que no es un formato general, es un instructivo para determinar los
activos de la información, determinar las amenazas y vulnerabilidades y por consiguiente establecer
medidas de prevención a partir de políticas de seguridad y matrices de riesgo.

Con el siguiente video, que proporciona la empresa INCIBE (https://www.incibe.es/), socializaremos


aspectos generales sobre la importancia y significado de un SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACION (SGSI)

a) Describa brevemente, ¿en qué consiste un Sistema de Gestión de la Seguridad de la Información?


________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
b) ¿Qué elementos se incluyen en SGSI?
________________________________________________________________________________
_______________________________________________________________________________
c) Para usted, ¿Cuáles son las ventajas de implementar un SGSI en las empresas?
________________________________________________________________________________
_______________________________________________________________________________
d) ¿Cuál es la importancia de lograr certificarse en norma 27001:2013?
________________________________________________________________________________
_______________________________________________________________________________

El Instituto Colombiano de Normas Técnicas y Certificación ICONTEC, provee al estado colombiano y toda la
población en los diferentes sectores de la economía del país, normas y certificaciones de los componentes
y referencias técnicas empleadas en el quehacer industrial, comercial y de servicios de Colombia y el mundo.
La norma ISO 27001 define los requisitos y orientaciones con respecto a la seguridad de la información. Por
esta razón y por ser parte de la familia SENA, ud como aprendiz puede accede gratuitamente a un espacio
del ICONTEC, desde http://biblioteca.sena.edu.co/ ingresando por bases de datos y buscar la opción
ICONTEC.

Desde el siguiente enlace https://e-collection-icontec-org.bdigital.sena.edu.co/normavw.aspx?ID=6387 y


https://e-collection-icontec-org.bdigital.sena.edu.co/normavw.aspx?ID=75461 podemos visualizar los
documentos ISO 27001 e ISO 27003 vigentes para Colombia. Recuerden ingresar con usuario y contraseña
su documento de identidad
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

Dan clic aquí para visualizar


el contenido de la norma
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

El diseño de SGSI se basa en la necesidad de que la seguridad de la información tiene requerimientos que
cambian continuamente y que dichos cambios además de ser gestionados deben estar documentados.

Los SGSI se diseñan específicamente para cada organización teniendo en cuenta aspectos como: objetivos
estratégicos, requisitos de seguridad, modelo de negocio, procesos, empleados, tamaño y estructura; los
cuales se abordan de forma organizada mediante la aplicación del ciclo Deming o modelo PHVA – Planear,
Hacer, Verificar y Actuar – (PDCA por las siglas en inglés – Plan, Do, Check and Act –).

El ciclo PHVA es utilizado por las organizaciones para gestionar sistemáticamente la seguridad de la
información mediante el establecimiento, implementación, operación, supervisión, revisión,
mantenimiento y mejora continua de los SGSI.2

2
Sistemas De Gestión De La Seguridad De La Información, Alejandro Pinzón Roberto. SENA FAVA - Formación en
Ambientes Virtuales de Aprendizaje
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

 Plan (planificar). Es una fase del SGSI de evaluación de riesgos de seguridad de la información y la
selección de controles adecuados
 Do (hacer): es una fase que envuelve la implantación y operación de los controles.
 Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y
eficacia) del SGSI.
 Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a
máximo rendimiento.

Para entender cómo se redacta una política de seguridad y alcance de SGSI realice las siguientes actividades:

 Busque y consulte en internet la política de seguridad en una empresa e identifique dentro de ella:
o Alcance, Objetivos, Responsabilidad, monitoreo.
 En este proceso se debe realizar una valorización de los activos, de acuerdo con la importancia que
tienen para la empresa para poder así asignar la respectiva protección. El inventario de activos debe
contener la siguiente información:
o Identificacion del activo: codigo o serial.
o Tipo de activo: software, aplicación de hardware o informacion.
o Descripcion: Exactamente que es el activo ejemplo servidor de correo.
o Propietario: Quien es el responsable del activo.
o Localizacion: En que area especificamente esta el activo ejemplo: area de contabilidad

Teniendo encuenta, que este ciclo es importante usted debe realizar las siguientes actividades en los grupos
de proyecto con el objetivo de solucionar el caso de estudio planteado en este trimestre.
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

 clasifique la informacion (sensible, critica y valisosa).


 Realice una estimacion de prohabilidad de ocurrencia de una amenaza sobre cada activo.Puede usar la
siguiente tabla como referencia.
Probabilidad de ocurrencia de Guía
la amenaza

Baja Una media de una vez cada 5 años

Media Una media de una vez al año

Alta Una media de 3 veces al año

Muy alta Una media de una vez por mes

 Realice una estimacion de vulnerabilidad de cada activo:


o firewall, router, switch, servidores web,correo,web,ftp, control de acceso, vpn, ids,ips etc.

Puede usar la siguiente tabla como referencia:

Nivel de Valor
Vulnerabilidad
Nulo 1
Bajo 2
Medio 3
alto 4

Aplique un sistema de inventario, donde se pueda listar los activos informáticos para dar un valor a la
vulnerabilidad que pueda llegar a tener y dar una ponderación de acuerdo con la tabla anterior. Como
ejemplo el siguiente cuadro:

CODIGO ACTIVO VALOR ACTIVO VULNERABILIDAD NIVEL DE


VULNERABILIDAD

Posterior, hay que generar un informe de evaluacion de riesgos y plan de tratamiento de riesgos. Según el
caso de estudio realice la matriz de riesgo. Puede implementar metodo de Margerit. Para ello se debe tener
presente que la siguiente formula:

𝑝𝑜𝑠𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑑𝑒 𝑟𝑖𝑒𝑠𝑔𝑜 = 𝑣𝑢𝑙𝑛𝑒𝑟𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 × 𝑖𝑚𝑝𝑎𝑐𝑡𝑜 𝑑𝑒𝑙 𝑑𝑎ñ𝑜 𝑑𝑒 𝑙𝑎 𝑎𝑚𝑒𝑛𝑎𝑧𝑎


SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

Realice procedimientos de planificación, manejo y control de los procesos de seguridad de la información y


de medición de la eficacia de los controles. (disponible en las guías del MINTIC)

Los controles permiten mitigar y reducir los riesgos y la norma ISO 27001:2013 se basa en las buenas
practicas de la 27002. Especifique según la tabla los siguientes controles:

Controles Justificacion:
Seguridad
Cifrado
Operaciones
Telecomunicaciones
Controles de recursos humanos
Control de activos
Control de incidentes

Realice la declaracion de aplicabilidad. Definir una declaración de aplicabilidad que incluya:


 Los objetivos de control y controles seleccionados y los motivos para su elección.
 Los objetivos de control y controles que actualmente ya están implantados.
 Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es
un mecanismo que permite, además, detectar posibles omisiones involuntarias.

Realice el procedimiento de toda la documentacion del SGSI. Genere la Politica de seguridad y objetivos de
seguridad. incluya el marco general y los objetivos de seguridad de la información de la organización;

considere todos los requerimientos legales o contractuales relativos a la seguridad de la información para
el estado colombiano y los documentos CONPES que los soporten (ley 1273 de 2009) esté alineada con el
contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI;
establezca los criterios con los que se va a evaluar el riesgo y que esté aprobada por la dirección

 Realice el Alcance del SGSI.


 Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y
tecnologías, incluyendo detalles y justificación de cualquier exclusión.
 Realice lo referente a procedimientos y controles según el caso.
 Nombre las personas que participaran en el proceso de auditoria interna y la importancia de
realizarla para la organización.
 Seleccione cual sera la empresa que realizara el proceso de certificacion en norma 27001:2013 para
su empresa.
 Realice un mapa conceptual de las fases de un SGSI.
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

MATERIALES

El ambiente de aprendizaje debe estar conformado por:

15 equipos de cómputo con herramientas de software para diagnóstico, Aplicaciones de ofimática,


Microsoft Project, Visio, software relacionado con Seguridad informática, Analizadores de Trafico
(Wireshark, Snnifer, Control de Contenido)

4. ACTIVIDADES DE EVALUACIÓN

Evidencias de Aprendizaje Criterios de Evaluación Técnicas e Instrumentos de


Evaluación

Evidencias de Conocimiento: Establece políticas de seguridad


y de calidad de servicio de
Respuestas a preguntas sobre Técnica: formulación de
acuerdo con las necesidades del
seguridad informática. diseño. preguntas

Evidencias de Desempeño Analiza los riesgos de Instrumento: cuestionarios.


información e infraestructura
Desarrollo de manuales de para definir el diseño de la red.
seguridad y folletos sobre
seguridad informática Evaluación escrita

Evidencias de Producto:

Piezas publicitarias, presentación


y folletos informativo de
protección de la información

Manual de seguridad básico

5. GLOSARIO DE TÉRMINOS:

 Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización
funcione correctamente y alcance los objetivos propuestos por su dirección. AGR: Análisis y Gestión de
Riesgos
 Amenaza: son los eventos que pueden desencadenar un incidente en la organización, produciendo
daños materiales o pérdidas inmateriales en sus activos de información, puede ser de dos tipos:
Amenazas internas y Amenazas externas
 Impacto: es la consecuencia negativa sobre un activo de la materialización de una amenaza.
 Incidente: evento que atenta contra la confidencialidad, integridad o disponibilidad de la información
y los recursos tecnológicos.
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

 Pirata informático: es quien adopta por negocio la reproducción, apropiación y distribución con fines
lucrativos y a gran escala de distintos medios y contenidos (soporte lógico, videos, música) de los que
no posee licencia o permiso de su autor, generalmente haciendo uso de un ordenador, siendo del
software la práctica de piratería más conocida.
 Riesgo: posibilidad o probabilidad de que se produzca un impacto sobre algún activo de la información
que pueda incurrir en pérdidas del patrimonio. El riesgo es igual al producto entre la probabilidad y el
impacto:
Riesgo = Probabilidad X Impacto
 Riesgo Intrínseco: cálculo de un probable daño sin tener en cuenta las medidas de seguridad que ha
implantado la organización para proteger los activos.
 Riesgo residual: riesgo remanente que tiene en cuenta las deficiencias, fallas o inadecuaciones, en el
recurso humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos
externos.
 Riesgo operativo: perdidas en las que se incurre por deficiencias, fallas o inadecuaciones, en el recurso
humano, los procesos, la tecnología, la infraestructura o por la ocurrencia de acontecimientos externos.
 Hacker: experto informático que utiliza sus conocimientos técnicos para superar un problema,
normalmente asociado a la seguridad. Habitualmente se lo utiliza en informáticos con conocimientos
en seguridad y con la capacidad de detectar errores o fallos en sistemas informáticos para luego
informar de los fallos a los desarrolladores del software encontrado vulnerable o a todo el público.
 Seguridad Informática: disciplina que se encarga de diseñar las normas, procedimientos, métodos y
técnicas destinados a conseguir un sistema de información seguro y confiable.
 Confidencialidad: propiedad de la información, por la que se garantiza que no está accesible
únicamente a personal autorizado a acceder a dicha información.
 Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No
es igual a integridad referencial en bases de datos.) Grosso modo, la integridad es mantener con
exactitud la información tal cual fue generada, sin ser manipulada ni alterada por personas o procesos
no autorizados.
 Disponibilidad: es la característica, cualidad o condición de la información de encontrarse a disposición
de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo, la
disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento
que así lo requieran
 Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza

6. REFERENTES BILBIOGRAFICOS

CARPENTIER, J.-F. (2016). La seguridad informática en la PYME. Ediciones ENI. Obtenido de


http://www.eni-training.com.bdigital.sena.edu.co/client_net/mediabook.aspx?idR=170748

Gobierno de España. (2012). MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información. Obtenido de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.
html#.XTIfD3u23IU
SERVICIO NACIONAL DE APRENDIZAJE SENA
Procedimiento de Desarrollo Curricular
GUÍA DE APRENDIZAJE

GRANVILLE, K. (05 de febrero de 2015). 9 Recent Cyberattacks Against Big Businesses. Obtenido de The
New York Times: https://www.nytimes.com/interactive/2015/02/05/technology/recent-
cyberattacks.html?_r=1

Ministerio de Tecnologias de la Informacion y Comunicacion. (2 de junio de 2016). Lo que usted debe saber
del Conpes de Seguridad Digita. Obtenido de https://www.mintic.gov.co/portal/604/w3-article-
15410.html

Ministerio de Tecnologias de la Informacion y Comunicacion. (2016). NUEVA POLÍTICA PÚBLICA DE


SEGURIDAD DIGITAL: DESAFIOS Y OPORTUNIDADES EN EL ESCENARIO DE POSCONFLICTO. Obtenido de
https://www.mintic.gov.co/portal/604/articles-15570_recurso_2.pdf

Ministerio de Tecnologías de la Información y las Comunicaciones. (s.f.). Fortalecimiento de la Gestion TI


en el Estado. Obtenido de Sistemas de Gestión de la Seguridad de la Información (SGSI):
https://www.mintic.gov.co/gestionti/615/w3-article-5482.html

Nagles, A. C. (12 de 05 de 2010). Auditoria y Seguridad Informatica. Obtenido de


http://auditoriapiloto2010a.blogspot.com/2010/05/caso-de-estudio-protecting-joes-office.html

Rossi, B. (10 de diciembre de 2015). Top 10 most devastating cyber hacks of 2015. Obtenido de
https://www.information-age.com/top-10-most-devastating-cyber-hacks-2015-123460657/

Stallings, W. (2004). Fundamentos de seguridad en redes. Obtenido de http://www.ebooks7-


24.com.bdigital.sena.edu.co/?il=3241

7. CONTROL DEL DOCUMENTO

Nombre Cargo Dependencia Fecha

Autor (es) Jemny Pérez Instructor Teleinformática Mayo 2018

8. CONTROL DE CAMBIOS (diligenciar únicamente si realiza ajustes a la guía)

Nombre Cargo Dependencia Fecha Razón del Cambio

Autor (es) Carlos Orlando Urrea Instructor Teleinformática 19 de Actualización de


Baquero julio contenido,
de webgrafia y
2019 formato SIGA

Potrebbero piacerti anche