Acc t i v i d a d e s A Caso práctico: Gestión del riesgo en una organización. Parte I Introducción Esta actividad está organizada en dos partes puntuables. En el Tema desarrollaremos las tareas !ue debes llevar a cabo para la Parte I del caso" # en el Tema $" la parte correspondiente correspondiente a la Parte II del caso. Este traba%o consiste en la realización de la apreciación # tratamiento del riesgo de una organización de &orma automatizada" utilizando para ello la plata&orma 'AN(A' G.).C. Como alumno del *áster dispondrás de un usuario # contrase+a !ue te &acilitará el acceso a un pro#ecto de 'AN(A' G.).C en una instancia Cloud. ,na vez &inalices el e%ercicio deberás subir los resultados a la plata&orma de ,NI). Modelo de la organización: Arquitectura empresarial Cuando Cuando acceda accedass al pro#e pro#ecto cto encon encontra trará ráss #a dispon disponibl iblee un model modelo o parcia parciall de la ar!uitectura empresarial empresarial de un a#untamiento local. Para modelar la organización" la plata&orma 'AN(A' G.).C -a sido pionera en la utilización estándares de ar!uitectura empresarial" lo !ue nos permitirá su modelado &ormal" &uncionalidad !ue utilizaremos en el desarrollo de esta práctica. Además" contaremos con otra venta%a" !ue será la posibilidad de dise+ar el modelo de &orma //0 grá&ica.
TEMA ! Acti"idades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Nombre:
Este modelo de ar!uitectura empresarial puede incluir" con&orme a las me%ores prácticas internacionales 1ver T2GA3 14" una descripción de la organización por capas: #apa de negocio: entre otros" una descripción de los servicios de negocio prestados por la compa+5a o productos comercializados" los procesos de negocio mediante los !ue se organización presta esos servicios o genera esos productos" as5 como las partes !ue contribu#en a la e%ecución de esos procesos 1roles de negocio" actores de negocio 6 personas u organizaciones 64. #apa de aplicación: los sistemas de in&ormación de la compa+5a" detallando los servicios automatizados !ue prestan esos sistemas de in&ormación 1similar a &uncionalidades individuales o con%untos de &uncionalidades 7 módulos disponibles para los usuarios4. #apa de tecnolog$a: entre otros" los elementos de la in&raestructura de in&ormática8computación # comunicaciones !ue constitu#en esos sistemas de in&ormación utilizados por la compa+5a. 9a plata&orma GE'C2N',9T2) utilizada permite modelar de &orma detallada conceptos de uso -abitual como los siguientes:
o
'ervicios software" !ue son prestados en una IP # Puerto" como" por e%emplo" un servicio de base de datos *#'9 corriendo en la IP ;$.<=./." puerto >>/<.
o
Cl?ster de alta disponibilidad de servicios 1por e%emplo" de motores de bases de datos 7 como un cl?ster *#'9 compuesto de tres servicios *#'9 !ue corren sobre tres má!uinas &5sicas o virtuales distintas @4.
o
*á!uinas &5sicas o virtuales" generalizándolas en el concepto de host " !ue tendrá una dirección IP de red asociada" !ue puede contener servicios software publicados a travs de una IP # puerto TCP8,(P.
o
In&raestructura de virtualización" como -ipervisores 1como B*are v3abric o *icroso&t D#per@B4" gran%as de virtualización" etc.
o
In&raestructura hardware" sobre la !ue correrán los host &5sicos o la in&raestructura de virtualización.
o
In&raestructura de red" permitiendo distinguir a!uellos !ue unen redes &5sicas 1bridges4 de los !ue unen redes lógicas 1routers4.
o
)edes" tanto lógicas 1como las redes TCP o" a otro nivel de abstracción" las B9AN4 como &5sicas 1Et-ernet" i3i" Punto a Punto" etc.4.
Con carácter transversal" se pueden de&inir tambin u%icaciones" !ue permitirán geo@posicionar especialmente los activos &5sicos" aun!ue se permite ubicar geográ&icamente cual!uier tipo de activo en general. Tambin es posible de&inir grupos !ue incluirán uno o varios acti"os # !ue permitirán llevar en &ases posteriores a apreciar los riesgos en general para todo un grupo 1como todas las má!uinas virtuales4" sin necesidad de" por e%emplo" analizar el impacto de un determinado evento sobre cada activo individual en caso de !ue sea similar. Modelo inicial &acilitado Cuando accedas al pro#ecto encontrarás un modelo de ar!uitectura empresarial #a parcialmente elaborado de un A#untamiento. 'u dise+o visual será similar al siguiente:
TEMA ! Acti"idades
Asignatura
Datos del alumno
Análisis de Riesgos Legales
Fecha
Apellidos: Nombre:
En el mismo encontrarás los siguientes activos: Hardware
'er"icios de negocio:
Prestados a usuarios eJternos o
Correo electrónico
'ervidor 7 Elementos auJiliares
)ed de área local 19AN4 3ireFall
Almacenamiento remoto
o
Almacenamiento en red local
Instalaciones
ConeJión a Internet
'ervicios subcontratados
In&ormación de los eJpedientes
Software Aplicación para la tramitación de
puedes
2&icina
'ala de E!uipos 1(ata Center4.
,n responsable de la o&icina.
(os &uncionarios.
,n in&ormático eJterno a tiempo parcial.
eJpedientes
Como
(ersonal
Datos
o
o
PCs
Equipamiento de comunicaciones
Prestados a usuarios internos o
Tramitación de eJpedientes
apreciar
en
el
es!uema
anterior"
tan
importante
es
identi&icar8inventariar8modelar los activos" como identi&icar8inventariar8modelar las relaciones entre los activos. Estas relaciones entre Activos serán las !ue permiten determinar: . Cómo se propagará la criticidad 6o valor6 del activo a todos a!uellos !ue re!uiere para el desarrollo de sus &unciones 1recorriendo las relaciones K-acia aba%oL" desde el activo cu#a criticidad 6 o valor 6 -a sido apreciada" a todas sus dependencias Kin&erioresL" directas o indirectas4. $. Cómo se propagará un incidente de seguridad 1sobre la con&idencialidad" integridad o disponibilidad4 !ue se -a materializado sobre un activo 1recorriendo las relaciones K-acia arribaL" desde el activo done se -a materializado el evento -acia sus dependencias KsuperioresL4. 'obre estos activos !ue -an sido identi&icados podremos" posteriormente" identi&icar escenarios de riesgo" analizarlos 1la probabilidad de ocurrencia de unas consecuencias
TEMA ! Acti"idades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Nombre:
estimadas4 # evaluarlos 1con&orme a los criterios de aceptación del riesgo de&inidos" para considerar si son aceptables o inaceptables para la organización4. )u* de%es hacer: desarrollo del tra%a+o (ARTE : #ompletando el modelo de Arquitectura Empresarial El ob%etivo de la primera parte del traba%o es:
o
Completar el modelo de ar!uitectura empresarial con un m5nimo de 1se valorará positivamente !ue el modelo incorpore -asta $/ nuevos activos4:
o
(os nuevos activos en la capa de negocio.
o
Tres nuevos activos en la capa de aplicación.
o
Cinco nuevos activos en la capa de tecnolog5a.
Entrega: Para entregar la actividad deberás ad%untar un documento en &ormato P(3 1pre&eriblemente4 o ord !ue contenga capturas # una eJplicación:
o
(el razonamiento seguido para a+adir los activos !ue -a#as determinado.
o
9a criticidad !ue -as de&inido eJpl5citamente.
o
As5 como las relaciones 1como m5nimo las creadas entre los nuevos a+adidos # los #a eJistentes4.
Entrega: Para entregar la actividad deberás ad%untar un documento en &ormato P(3 1pre&eriblemente4 o ord !ue contenga capturas # una eJplicación:
o
o
(el razonamiento seguido para a+adir los activos !ue -a#as determinado. Tres matrices de valoración" para Con&idencialidad" Integridad # (isponibilidad"
TEMA ! Acti"idades
particularizando
criterios
de
valoración
para
cada
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Nombre:
combinación de nivel de impacto # criterio de impacto !ue consideres tiene sentido. o
9a criticidad !ue -as de&inido eJpl5citamente en los activos !ue -as valorado con una eJplicación de las relaciones 1como m5nimo las creadas entre los nuevos a+adidos # los #a eJistentes4.
Entrega la actividad ad%untando el documento en &ormato P(3 1pre&eriblemente4 o ord !ue contenga el contenido de la parte . Como en la parte " las eJplicaciones deben ser claras # concisas" apo#ándose en capturas de pantalla -ec-as por ti KmanualmenteL para conteJtualizar la eJplicación no debiendo superar la práctica las $/ páginas de contenido en esta parte" inclu#endo capturas como re&erencia 1si las superas ligeramente no es problema" pero intenta no -acerlo para controlar la eJtensión4. Por ello" la memoria completa inclu#endo la parte # parte $ no deber5a superar las / páginas de eJtensión.
