UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas, Tecnologa e Ingeniera Modelos y Estndares de Seguridad Informtica

ACTIVIDAD DE TRABAJO COLABORATIVO I ESTRATEGIA DE APRENDIZAJE: CASO DE ESTUDIO Y ANLISIS Este caso hace parte de la experiencia de una unidad administrativa de cualquier organizacin que utiliza sistemas de informacin propios y de terceros para sus tareas internas y para prestar servicios de atencin a los ciudadanos (administracin electrnica). El ejemplo slo pretende ser ilustrativo, sin que el lector deba derivar mayores consecuencias o conclusin alguna de obligado cumplimiento. Incluso ante los mismos impactos y riesgos, las soluciones pueden ser diferentes, sin poder extrapolarse ciegamente de una a otra circunstancia. En particular se debe destacar el papel de la Direccin de la Organizacin como ltimo punto de decisin respecto a qu poltica adoptar para mantener impactos y riesgos bajo control. Buena parte del texto que sigue presenta la situacin ficticia, tal y como puede llegarle a usted como profesional integrante de un equipo de trabajo colaborativo a travs de la aplicacin de instrumentos como pueden serlo las entrevistas. Es la misin de este Grupo Colaborativo analizar el caso en los trminos formales definidos por la seguridad informtica. EL CASO: La unidad objeto de estudio no es de nueva creacin, sino que lleva aos tramitando expedientes de forma local, antes manualmente, ahora por medio de un sistema informtico propio. A este sistema informtico se le ha aadido recientemente una conexin a un archivo central que funciona como memoria histrica: permite recuperar datos y conservar los expedientes cerrados. La ltima novedad consiste en ofrecer un servicio propio de la administracin electrnica, en el que los usuarios pueden realizar sus tramitaciones va web, usando su Nmero de Identificacin Fiscal -NIF como identificacin, ms una contrasea personal. El mismo sistema de tramitacin es usado localmente por un funcionario que atiende a los ciudadanos que se presentan en las dependencias de la unidad. El responsable del proyecto de administracin electrnica, alarmado por las noticias aparecidas en los medios sobre la inseguridad de Internet, y sabiendo que un fallo en el servicio conllevara un serio dao a la imagen de su unidad, asume el papel de Promotor. En este papel escribe un informe interno, dirigido al director de la unidad, en el que da cuenta de: Los medios informticos con que se est trabajando y los que se van a instalar. Las incidencias ocurridas desde que la unidad existe. Las incertidumbres que le causa el uso de Internet para la prestacin del servicio.

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA UNAD Escuela de Ciencias Bsicas, Tecnologa e Ingeniera Modelos y Estndares de Seguridad Informtica

Con base en dicho informe argumenta la conveniencia de lanzar un proyecto ASEGURA. La Direccin, convencida de la necesidad de tomar medidas antes de que ocurra una desgracia, crea un comit de seguimiento formado por los responsables de los servicios involucrados: atencin a usuarios, asesora jurdica, servicios informticos y seguridad fsica. Se determina que el alcance del proyecto ser el servicio de tramitacin electrnica, presencial y remoto. Tambin se estudiar la seguridad de la informacin que se maneja: expedientes. Respecto del equipamiento, se analizarn equipos y redes de comunicaciones. Se toma la decisin de dejar fuera del estudio elementos que pudieran ser relevantes en un anlisis ms detallado como pudieran ser los datos de identificacin y autenticacin de los usuarios de los sistemas, las reas de trabajo del personal que los maneja, la sala de equipos (centro de proceso de datos) y las personas relacionadas con el proceso. Est previsto lanzar un futuro proyecto ASEGURA ms detallado que profundice en dichos aspectos. Explcitamente se excluir la evaluacin de la seguridad de los servicios subsidiarios que se emplean. El anlisis es local, circunscrito a la unidad que nos ocupa. Dichos servicios remotos se consideran, a efectos de ste anlisis, opacos; es decir, que no entraremos en analizar cmo se prestan. El lanzamiento del proyecto incluye una reunin de la direccin con el comit de seguimiento en la que se exponen los puntos principales del anlisis somero realizado por el Promotor que queda habilitado como director del proyecto ASEGURA en el que participaran dos personas de su equipo junto con un contrato de asesora establecido con una empresa consultora externa. Uno de los miembros del equipo interno tendr un perfil tcnico: ingeniero de sistemas. A la consultora externa se le exige identificar nominalmente a las personas que van a participar y firmar un acuerdo de confidencialidad. El proyecto se anuncia internamente mediante comunicacin general a todo el personal de la unidad y notificacin personal a aquellas personas que se vern directamente afectadas. En estas comunicaciones se identifican las personas responsables del proyecto. Nota: Este caso ha sido tomado y adaptado de la empresa CCN-CERT que define servicios de respuesta ante incidentes de seguridad informtica. Si lo desea, puede complementar los detalles del caso en la direccin: https://www.ccn-cert.cni.es/publico/herramientas/pilar43/exs/ejemplo.pdf