NIST SP 800-30
Alessandra Martin Del Campo PaduaEnsayo26 de Abril de 2018
422 Palabras (2 Páginas)173 Visitas
NIST SP 800-30
Paso 1: Caracterización del Sistema
Análisis de Riesgo: Salón de Clase
Boundaries: El salón de clases en sí, A3-401
Hardware: Computadoras, proyectores, bocinas, laptop, celulares
Software: programas y aplicaciones diversas, tales como, microsoft, navegadores web.
Sistema Operativo: Windows, Ubuntu.
System interfaces (e.g., internal and external connectivity): ruteadores, switches, wireless
Persons who support and use the IT system: Las personas que le dan soporte estan especializadas en ello, en su mayoría profesores y técnicos. Las personas que usan el sistema IT son, en su mayoría, estudiantes de entre 18-23 años.
System mission: Brindar el servicio a los alumnos, es decir, sirve como espacio educativo para aquellos que necesiten usar estos aparatos.
System and data criticality: El espacio es importante para aquellas personas que no cuentan con computadora o con programas y aplicaciones que ahí sí, generando gran valor.
System and data sensitivity: Todo aquello que es de importancia para los usuarios, información valiosa dentro de las computadoras.
Paso 2: Identificación de Amenazas
Ambientales- Naturales |
|
Humanas (Accidentales) |
|
Humanas (Intencionales) |
|
Paso 3: Identificación de Vulnerabilidades
Inundaciones | No tener sistema de drenaje adecuado y que dañe los equipos. |
Incendios | No tener salidas de emergencia en las instalaciones. |
Falta de personas capacitadas | Hay descontrol en los procedimientos de contingencia ante cualquier incidente, la seguridad de los equipos no es fiable. |
Robo información | No hay controles sobre quien entra o usa los equipos. |
Hackeo | No hay registro sobre los accesos realizados por el usuario. |
GALAXY Apps (aka Samsung Apps, Samsung Updates, or com.sec.android.app.samsungapps) before 14120405.03.012 allows man-in-the-middle attackers to obtain sensitive information and execute arbitrary code.
Paso 4: Análisis de Controles
- Cada computadora cuenta con un passwrod, por lo que aunque el lugar sea abierto al público, sólo lo podrán usar si se notifica al encargado previamente.
- El sistema operativo tiene una cuenta especial (administrador) a la cual los alumnos no tienen acceso evitando que instalen o hagan cosas referentes a la administración. Es decir se prohíbe el uso de programas sin licencia o autorización.
- El personal encargado de la sala de computación se encarga de depurar los equipos cada cierto tiempo con el fin de que los equipos no se llenen con información obsoleta o innecesaria.
Paso 5: (Posibilidad de las amenazas)
Inundaciones | Bajo |
Cortes de energía | Medio |
Hackeo | Bajo |
Robo (equipo/información) | Medio |
Falla de internet | Medio |
Paso 6: Análisis de Impacto
Loss of Integrity: Pérdida de datos
Loss of Availability: Debido a la variación de electricidad y la posible quema de equipos ya no hay acceso al equipo.
Loss of Confidentiality: –
Inundaciones | Medio |
Cortes de energía | Bajo |
Hackeo | Medio |
Robo (equipo/información) | Medio |
Falla de internet | Baja |
Paso 7: Determinación del Riesgo
...