Asignatura
Datos del alumno
Fecha
Apellidos:
Análisis de Riesgos Legales
Nombre:
Actividades Trabajo: Gestión del riesgo en una organización Introducción Este trabajo consiste en la realización de la apreciación y tratamiento del riesgo de una organización
de
forma
automatizada,
utilizando
para
ello
la
plataforma
GESCONSULTOR. Como alumno del Máster dispondrás de un usuario y contraseña que te facilitará el acceso a un proyecto de GESCONSULTOR en una instancia Cloud. Una vez finalices el ejercicio deberás subir los resultados a la plataforma de UNIR. Modelo de la organización: Arquitectura empresarial Cuando accedas al proyecto encontrarás ya disponible un modelo parcial de la arquitectura empresarial de un ayuntamiento local. Para modelar la organización, la plataforma GESCONSULTOR ha sido pionera en la utilización estándares de arquitectura empresarial, lo que nos permitirá su modelado 'formal', funcionalidad que utilizaremos en el desarrollo de esta práctica. Además, contaremos con otra ventaja, que será la posibilidad de diseñar el modelo de forma 100% gráfica.
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Nombre:
Este modelo de arquitectura empresarial puede incluir, conforme a las mejores prácticas internacionales (ver TOGAF1), una descripción de la organización por capas: Capa de negocio: entre otros, una descripción de los servicios de negocio prestados por la compañía o productos comercializados, los procesos de negocio mediante los que se organización presta esos servicios o genera esos productos, así como las partes que contribuyen a la ejecución de esos procesos (roles de negocio, actores de negocio — personas u organizaciones —). Capa de aplicación: los sistemas de información de la compañía, detallando los servicios automatizados que prestan esos sistemas de información (similar a 'funcionalidades' individuales o conjuntos de funcionalidades – 'módulos' disponibles para los usuarios). Capa de tecnología: entre otros, los elementos de la infraestructura de informática/computación y comunicaciones que constituyen esos sistemas de información utilizados por la compañía. La plataforma GESCONSULTOR utilizada permite modelar de forma detallada conceptos de uso habitual como los siguientes:
o Servicios software, que son prestados en una IP y Puerto, como, por ejemplo, un servicio de base de datos MySQL corriendo en la IP 192.168.0.1, puerto 3306. o Clúster de alta disponibilidad de servicios (por ejemplo, de motores de bases de datos – como un clúster MySQL compuesto de tres servicios MySQL que corren sobre tres máquinas físicas o virtuales distintas -). o Máquinas físicas o virtuales, generalizándolas en el concepto de host, que tendrá una dirección IP de red asociada, que puede contener servicios software publicados a través de una IP y puerto TCP/UDP. o Infraestructura de virtualización, como hipervisores (como VMWare vFabric o Microsoft Hyper-V), granjas de virtualización, etc. o Infraestructura hardware, sobre la que correrán los host físicos o la infraestructura de virtualización. o Infraestructura de red, permitiendo distinguir aquellos que unen redes físicas (bridges) de los que unen redes lógicas (routers). o Redes, tanto lógicas (como las redes TCP o, a otro nivel de abstracción, las VLAN) como físicas (Ethernet, WiFi, Punto a Punto, etc.). 1
TOGAF 9.1 – Guía de Bolsillo: http://www.vanharen.net/Samplefiles/9789087537104SMPL.pdf TOGAF 9.1 – Documentación oficial: https://www2.opengroup.org/ogsys/catalog/q091 TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Nombre:
Con carácter transversal, se pueden definir también ubicaciones, que permitirán geo-posicionar especialmente los activos físicos, aunque se permite ubicar geográficamente cualquier tipo de activo en general. También es posible definir grupos que incluirán uno o varios activos y que permitirán llevar en fases posteriores a apreciar los riesgos en general para todo un grupo (como todas las máquinas virtuales), sin necesidad de, por ejemplo, analizar el impacto de un determinado evento sobre cada activo individual en caso de que sea similar. Modelo inicial facilitado Cuando accedas al proyecto encontrarás un modelo de arquitectura empresarial ya parcialmente elaborado de un Ayuntamiento. Su diseño visual será similar al siguiente:
TEMA 1 – Actividades
Asignatura
Datos del alumno
Análisis de Riesgos Legales
Fecha
Apellidos: Nombre:
En el mismo encontrarás los siguientes activos: Servicios de negocio:
Hardware
Prestados a usuarios externos
4 PCs 1 Servidor – Elementos auxiliares
o Tramitación de expedientes Prestados a usuarios internos
Equipamiento de comunicaciones
o Correo electrónico
Red de área local (LAN)
o Almacenamiento remoto
Firewall
o Almacenamiento en red local
Instalaciones
o Conexión a Internet
Oficina
Servicios subcontratados
Sala de Equipos (Data Center).
Datos
Personal
Información de los expedientes
Un responsable de la oficina.
Software
Dos funcionarios.
Aplicación para la tramitación de
Un informático externo a tiempo
expedientes
Como
puedes
parcial.
apreciar
en
el
esquema
anterior,
tan
importante
es
identificar/inventariar/modelar los activos, como identificar/inventariar/modelar las relaciones entre los activos. Estas relaciones entre Activos serán las que permiten determinar: 1. Cómo se propagará la criticidad —o valor— del activo a todos aquellos que requiere para el desarrollo de sus funciones (recorriendo las relaciones «hacia abajo», desde el activo cuya criticidad — o valor — ha sido apreciada, a todas sus dependencias «inferiores», directas o indirectas). 2. Cómo se propagará un incidente de seguridad (sobre la confidencialidad, integridad o disponibilidad) que se ha materializado sobre un activo (recorriendo las relaciones »hacia arriba», desde el activo done se ha materializado el evento hacia sus dependencias «superiores»). Sobre estos activos que han sido identificados podremos, posteriormente, identificar escenarios de riesgo, analizarlos (la probabilidad de ocurrencia de unas consecuencias
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Nombre:
estimadas) y evaluarlos (conforme a los criterios de aceptación del riesgo definidos, para considerar si son aceptables o inaceptables para la organización). Qué debes hacer: desarrollo del trabajo PARTE 1: Completando el modelo de Arquitectura Empresarial El objetivo de la primera parte del trabajo es: o Completar el modelo de arquitectura empresarial con un mínimo de (se valorará positivamente que el modelo incorpore hasta 20 nuevos activos): – Dos nuevos activos en la capa de negocio. – Tres nuevos activos en la capa de aplicación. – Cinco nuevos activos en la capa de tecnología. Entrega: Para entregar la actividad deberás adjuntar un documento en formato PDF (preferiblemente) o Word que contenga capturas y una explicación: – Del razonamiento seguido para añadir los activos que hayas determinado. – La criticidad que has definido explícitamente. – Así como las relaciones (como mínimo las creadas entre los nuevos añadidos y los ya existentes). PARTE 2: Realizando la apreciación y tratamiento del riesgo El objetivo de la segunda parte del trabajo es: o Realizar, utilizando los activos, sus criticidades y las relaciones entre los mismos: a. Identificar al menos diez escenarios de riesgo (se valorará positivamente la identificación de hasta veinte escenarios de riesgo).
TEMA 1 – Actividades
Asignatura Análisis de Riesgos Legales
Datos del alumno
Fecha
Apellidos: Nombre:
b. Analizar los escenarios de riesgo identificados (estimando la probabilidad de que se materialicen las consecuencias apreciadas). c. Documentar los criterios de aceptación del riesgo que se han considerado: i. Nivel máximo de riesgo considerado directamente como aceptable. ii. Nivel mínimo de riesgo considerado directamente como inaceptable. iii. Indicar criterios de evaluación adicionales que se hayan considerado: 1. Cisnes negros (probabilidad muy escasa pero consecuencias muy elevadas). 2. Otros criterios de negocio (por ejemplo, pérdidas estimadas superiores a un importe, pérdida de vidas humanas, protestas de la ciudadanía, etc.). d. Evaluar los escenarios de riesgo conforme a los criterios de aceptación del riesgo que definamos (clasificándolos en aceptables e inaceptables. Se valorará negativamente que haya riesgos en la franja de tolerables — aquellos que se encuentran entre el nivel máximo aceptable y el nivel mínimo inaceptable). e. Tratar TODOS los riesgos considerados como inaceptables: i. Definiendo para los mismos al menos cinco acciones de tratamiento del riesgo (proyectos o tareas). ii. Asociando, en cada acción de tratamiento, los controles de iso 27002:2013 a considerar. Entrega: Para entregar la actividad adjunta el documento en formato PDF (preferiblemente) o Word que contenga el contenido de la parte 1, más el contenido de la parte 2 detallado en el punto anterior.
TEMA 1 – Actividades
