950 likes | 1.18k Views
EXAMEN ORAL DE SUFICIENCIA PROFESIONAL PARA OPTAR EL TITULO PROFESIONAL DE INGENIERO DE SISTEMAS E INFORMATICA. Bach. Roger Lazo Mallqui. CONTENIDO. TEMA 1 : Modulo: Dirección de Proyectos de TI Gestión de riesgos – Reserva de Contingencia y de Gestión
E N D
EXAMEN ORAL DE SUFICIENCIA PROFESIONAL PARA OPTAR EL TITULO PROFESIONAL DE INGENIERO DE SISTEMAS E INFORMATICA Bach. Roger Lazo Mallqui
CONTENIDO • TEMA 1 : Modulo: Dirección de Proyectos de TI Gestión de riesgos – Reserva de Contingencia y de Gestión • TEMA 2 : Modulo: Gestión de Riesgos de TI Gestión de Riesgos de TI – desde la perspectiva de la Seguridad de Información • TEMA 3 : Modulo: Redes inalámbricas ¿Cómo afecta las estructuras de los ambientes y como se realiza un mapa de cobertura para redes indoor? • TEMA 4 : Modulo: Seguridad de la información ISO 27003 • TEMA 5 : Modulo: Seguridad de la información Proxys en seguridad de la información
TEMA1: GESTION DE PROYECTOS GESTION DE RIESGOS / RESERVAS DE CONTINGENCIA Y DE GESTION Fuente: Guia del PMBOK – 4ta Edición Figura 1: Fases del proyecto
Fuente: Guia del PMBOK – 4ta Edición Figura 2: Grupo del Proceso de Planificación
La Gestión del Costo del Proyecto • Describe los procesos involucrados en planificar, estimar, presupuestar y controlar los costos de modo que se complete el proyecto dentro del presupuesto aprobado. • Estimar los Costos: Es el proceso que consiste en desarrollar una aproximación de los recursos financieros necesarios para completar las actividades del proyecto • Determinar el Presupuesto: Es el proceso que consiste en sumar los costos estimados de actividades individuales o paquetes de trabajo para establecer una línea base de costo autorizada. Fuente: Guia del PMBOK – 4ta Edición Figura 3: Gestión de Costos
Análisis de Reserva en la Estimación de Costos • Las estimaciones de costos pueden incluir reservas para contingencias (llamadas a veces asignaciones para contingencias) para tener en cuenta la incertidumbre del costo. • La reserva para contingencias puede ser un porcentaje del costo estimado, una cantidad fija, o puede calcularse utilizando métodos de análisis cuantitativos. • Análisis de Reserva en el Determinación del Presupuesto • El análisis de reserva del presupuesto puede establecer tanto las reservas para contingencias como las reservas de gestión del proyecto
Las reservas para contingencias son asignaciones para cambios no planificados, pero potencialmente necesarios, que pueden resultar de riesgos identificados en el registro de riesgos. • Las reservas de gestión son presupuestos reservados para cambios no planificados al alcance y al costo del proyecto.
La Gestión de los Riesgos del Proyecto • Describe los procesos involucrados en la identificación, análisis y control de los riesgos para el proyecto. • Monitorear y Controlar los Riesgos: Es el proceso por el cual se implementan planes de respuesta a los riesgos, se rastrean los riesgos identificados, se monitorean los riesgos residuales, se identifican nuevos riesgos y se evalúa la efectividad del proceso contra los riesgos a través del proyectos Fuente: Guia del PMBOK – 4ta Edición Figura 3: Gestión de Costos
Análisis de Reserva en el Monitoreo y Control de Riesgos • A lo largo de la ejecución del proyecto, pueden presentarse algunos riesgos, con impactos positivos o negativos sobre las reservas para contingencias del presupuesto o del cronograma. • El análisis de reserva compara la cantidad de reservas para contingencias restantes con la cantidad de riesgo restante en un momento dado del proyecto, con objeto de determinar si la reserva restante es suficiente
Costo del Presupuesto • La Reserva de Contingencia es para las incógnitas conocidas (knownunknowns), los elementos que se identifican en la gestión de riesgos. Estas reservas cubren riesgos residuales del proyecto. La reserva de contingencia se calcula y es una parte del coste de referencia. • La Reserva de Gerenciamiento o Gestión es para las incógnitas desconocidas (unknownunknowns), los elementos que no se puede identificar en la en la gestión de riesgos. Las reservas de gestión se estima (por ejemplo, el 5% del costo del proyecto) y forma parte del presupuesto del proyecto, no de la línea base. Figura 4: Costo del Presupuesto
CASO PRACTICO- PRESUPUESTO DE PROYECTO - • En el siguiente ejemplo se realizara el presupuesto de un proyecto de TI de la empresa WankaSoft para el proceso de Compras en la cual se abordara la estimación de la Reserva de Contingencia y Reserva de Gestión desde el punto de vista de un Análisis de Riesgo, las tareas a realizar son: • Identificación de Riesgos • Valor Inicial esperado del riesgo • Costos de Contención / Prevención de Riesgos • Valor Final esperado del Riesgo • Reserva de Contingencia del Riesgo • Reserva de Gestión
Identificación de Riesgos • En primer lugar se identifican los riesgos positivos y negativos del proyecto. En el desarrollo del del proyecto se identificaron dos riesgos (uno para una amenaza y otro para una oportunidad del proceso de compras), conforme se muestra en la Tabla 1. • Tabla 1: Registro de Riesgos
Valor Inicial Esperado de Riesgo • Cuando se realiza la estimación de la probabilidad y el impacto de cada riesgo, se genera lo que es la medida de la exposición al riesgo, llamado el valor esperado o valor monetario esperado. (EMV - El valor monetario esperado). Valor Esperado de Riesgo = Probabilidad x Impacto • El siguiente es el análisis de la probabilidad e impacto inicial de riesgo (Tabla 2). Tabla 2: Valor esperado Inicial de Riesgo
Costos de Contención / Prevención de Riesgos • Las amenazas o riesgos que pueden causar un impacto negativo en el proyecto deben ser evitados o reducidos a través de acciones de contención o prevención de riesgos. • Los riesgos positivos u oportunidades necesitan que su probabilidad e impacto sean mayores. A continuación se analiza la contención / prevención de riesgo (Tabla 3). Tabla 3: Costo de Contención/Prevención Tabla 4: Costo de Proyecto
Valor Final Esperado del Riesgo • La formación que se ofrece al analista no elimina el riesgo 1, pero reduce su probabilidad de 50% a 20%, pero el impacto se mantiene sin cambios. Al multiplicar la probabilidad por el impacto se obtiene el valor esperado de S/. 6,000.00 (ver Tabla 5) • En el segundo riesgo, la contratación de un especialista aumentó la probabilidad de exposición positiva se produce de 1% a 10%, también sin alterar su impacto. Así se obtiene un valor esperado de (S/. 2,000.00) • El valor esperado de los Riesgos del Proyecto se reduce a S/. 4,000.00 Tabla 5: Valor Esperado Final de Riesgo
Reserva de Contingencia del Riesgo • Según la Guía del PMBOK "Las reservas para contingencias son asignaciones para cambios no planificados, pero potencialmente necesarios, que pueden resultar de riesgos identificados en el registro de riesgos.” • Así, para cada riesgo identificado, definimos la reacción a ser tomada si el riesgo se produce y estimar su costo. Si el riesgo se cierra sin ocurrir, su reserva de contingencia se libera Tabla 6: Reserva de Contingencia
La reserva de contingencia se debe agregar al costo del proyecto para generar el valor base del proyecto (ver Tabla 7). Tabla 7: Valor Base del Proyecto
Reserva de Gestión • Las Reservas de Gestión no son parte de la línea de base del costo, pero puede ser incluido en el presupuesto total del proyecto. En este ejemplo se utilizará una reserva del 5% del costo del proyecto. • La Reserva de Gestión debe ser sumada a la línea base de costos del proyecto para que junto al valor esperado de riesgos den lugar al presupuesto total del proyecto. Tabla 8: Presupuesto Total
CONTENIDO • TEMA 1 : Modulo: Dirección de Proyectos de TI Gestión de riesgos – Reserva de Contingencia y de Gestión • TEMA 2 : Modulo: Gestión de Riesgos de TI Gestión de Riesgos de TI – desde la perspectiva de la Seguridad de Información • TEMA 3 : Modulo: Redes inalámbricas ¿Cómo afecta las estructuras de los ambientes y como se realiza un mapa de cobertura para redes indoor? • TEMA 4 : Modulo: Seguridad de la información ISO 27003 • TEMA 5 : Modulo: Seguridad de la información Proxys en seguridad de la información
TEMA2: GESTIÓN DE RIESGOS DE TI DESDE LA PERSPECTIVA DE LA SEGURIDAD DE LA INFORMACION • La Seguridad de la Información es la “Preservación de la confidencialidad, integridad y disponibilidad de la información, así como, otras propiedades como la autenticidades, no rechazo, contabilidad y confiabilidad también pueden ser consideradas”.[NTP-ISO/IEC 17799:2007 ]
La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada.
CONFIDENCIALIDAD ASPECTOS A EVALUAR A NIVEL DE INFORMACIÓN ELECTRÓNICA • Garantizar que la información sea accesible únicamente para quienes tengan acceso autorizado [NTP-ISO/IEC 27001:2008] • Se refiere al hecho de que solo tienen acceso a la información de la red o que circulan por ella las personas autorizadas.
INTEGRIDAD • Salvaguardar la exactitud e integridad de la información y activos asociados [NTP-ISO/IEC 27001:2008] • La información no debe cambiar mientras se esta transmitiendo o almacenando. Nadie puede modificar el contenido de la información a los archivos y aun menos eliminarlos
DISPONIBILIDAD • Garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario [NTP-ISO/IEC 27001:2008] • Se refiere al hecho de que los usuarios que necesitan la información siempre tienen acceso a ella.
AUTENTICACION • El acto de verificar la identidad de un usuario y su elegibilidad para acceder a la información computarizada. La autenticación está diseñada para proteger contra conexiones de acceso fraudulentas. [COBIT Control ObjectivesforInformation and RelatedTechnology - 4.1] • Se utiliza para asegurar de que las partes involucradas son quienes dicen ser.
CONTROL DE ACCESSO • El proceso que limita y controla el acceso a los recursos de un sistema computacional; un control lógico o físico diseñado para brindar protección contra la entrada o el uso no autorizados. [COBIT Control ObjectivesforInformation and RelatedTechnology - 4.1] • El control del acceso verifica si el usuario tiene derecho a acceder al servicio y la información, lo que significa que solo las personas autenticadas pueden obtener acceso
IRREFUTABILIDAD (NO REPUDIO) • Requiere que ni el emisor ni el receptor del mensaje puedan negar la transmisión y que forma parte de algún tipo de acción.
ANÁLISIS DE RIESGOS DESDE LA PERSPECTIVA DE LA SEGURIDAD DE LA INFORMACION • Definir el alcance y límites de la SGSI • Definir una política de la SGSI • Definir un enfoque sistemático para la evaluación del riesgo en la organización • Identificar Riesgos • Identificar los activos dentro del alcance de la SGSI y los propietarios de estos activos. • Identificar amenazas a esos activos • Identificar las vulnerabilidades que podrían explotarse mediante estas amenazas. • Identificar los impactos de pérdidas de confidencialidad, integridad y disponibilidad sobre los activos • Analizar y Evaluar los riesgos • Evaluar los daños comerciales que podrían resultar de una falla de seguridad, considerando las consecuencias potenciales de una perdida de confidencialidad, integridad o disponibilidad de los activos. • Evaluar las posibilidades de falla de seguridad, teniendo en cuenta las amenazas, vulnerabilidades e impactos asociados con estos activos y los controles implementados actualmente • Estimar los niveles de los riesgos. • Determinar si el riesgo es aceptable o requiere tratamiento usando el criterio establecido. • Identificar y evaluar opciones para el tratamiento de riesgo.
CASO PRACTICO- TRANSFERENCIA DE FONDOS - • CASO: La Superintendencia Nacional de Aduanas y Administración Tributaria (SUNAT) desea realizar el envió del proceso de transferencia de fondos de lo recaudado todos los días hábiles a las cuentas que los entes beneficiarios tienen en el Banco de la Nación a través de un archivo plano, cuando el proceso se realice el Banco de la Nación enviara una respuesta de éxito a través de otro archivo plano conteniendo el resultado de la Transferencia. Se desea analizar los aspectos de la seguridad de la información para el presente caso. Diagrama de Contexto
Estructura del Archivo • El Operador de SUNAT enviara el archivo que contendrá información del movimiento a realizarse en una de las cuentas de los entes beneficiarios todos los días hábiles. • Cada campo tendrá una longitud fija, los campos serán: Ejemplo: 800000012012100626400002152950000000369882030018845355 Donde: Número de Operación: 80000001 Fecha: 06/10/2012 Ente: 264 Número de cuenta: 0000215325 Monto: 369,882.03 Checksum: 0018845355
Lógica de checksum Function CampoControlIntegridad(piImporte As Double, psNroOper As String, psCuenta As String) As String Dim iDivEntera As Currency Dim iControl As Currency Dim sCadControl As String * 10 Dim sChecksum As String * 10 CampoControlIntegridad = "0000000000" iDivEntera = piImporte / 100 iControl = iDivEntera + psNroOper + psCuenta sChecksum = iControl USING “##########” CampoControlIntegridad = sChecksum EndFunction Envío de los archivos • Los archivos planos serán enviados al Banco de la Nación mediante protocolo FTP al Servidor 255.50.3.24 entre las 05:00 PM y 05:59 PM.
Recepción de respuesta del Banco de la Nacion • Por cada archivo remitida por SUNAT, el Banco de la Nacion deberá generar un archivo de respuesta, el cual deberá copiar el operador de SUNAT desde el servidor del Banco de la Nación. Este archivo plano permitirá validar la recepción de los archivos enviados y la ejecución de la transferencia. • El archivo de respuesta tendrá la siguiente nomenclatura: Cabecera: AAAAMMDD_<nroOperacion>CAB.out Detalle: AAAAMMDD_<nroOperacion>DET.out
Contenido del archivo de respuesta • Errores de Integridad • I01 FECHA NO CORRESPONDE • I02 CUENTA ERRADA • I03 IMPORTE NO NUMERICO • I04 CHECKSUM ERRADO • I05 NO COINCIDE EL TOTAL DE CARGOS Y ABONOS • Errores de validación • V01 CUENTA SIN SALDO SUFICIENTE • Código de resultado exitoso: • R00 PROCESO OK • Procesamiento de la respuesta • Si el número de registros de error de integración y de error de validación es igual a cero, significa que la transferencia se realizó con éxito por lo cual se realizará lo siguiente: • Se guardará como fecha de envío la fecha en que fueron enviados los archivos al Banco de la Nación. Se actualizará el estado de la Nro de Operación. • Si el número de registros de error de integración o validación es mayor a cero: • Se enviará un correo a los responsables del Negocio informando el error. A este correo se le adjuntará el archivo enviado por el Banco de la Nación
CONTENIDO • TEMA 1 : Modulo: Dirección de Proyectos de TI Gestión de riesgos – Reserva de Contingencia y de Gestión • TEMA 2 : Modulo: Gestión de Riesgos de TI Gestión de Riesgos de TI – desde la perspectiva de la Seguridad de Información • TEMA 3 : Modulo: Redes inalámbricas ¿Cómo afecta las estructuras de los ambientes y como se realiza un mapa de cobertura para redes indoor? • TEMA 4 : Modulo: Seguridad de la información ISO 27003 • TEMA 5 : Modulo: Seguridad de la información Proxys en seguridad de la información
TEMA3: REDES INALÁMBRICAS COMO AFECTA LAS ESTRUCTURAS DE LOS AMBIENTES Y COMO SE REALIZA UN MAPA DE COBERTURA PARA REDES INDOOR Velocidad (v) = Frecuencia (f) * Longitud de Onda (λ) • Es indispensable entender físicamente cómo las ondas electromagnéticas se propagan e interactúan con el medio ambiente. • Las ondas electromagnéticas Figura 1: La relación entre frecuencia, longitud de onda y amplitud y periodo
PROPAGACIÓN DE LAS ONDAS ELECTROMAGNÉTICAS EN IEEE802.11B • Una onda electromagnética se propaga en línea recta solamente en el vacío, en cualquier otro medio puede cambiar su trayectoria debido a la presencia de obstáculos o de diferencias en la composición del medio que atraviesa. • a. Perdida en el Espacio Libre: • Cuando una onda se propaga en el espacio, se esparce sobre una superficie cada vez mayor a medida que se aleja del transmisor. • FSL (dB) = 20log10 (d) + 20log10 (f) + 32,40 • Donde: d= distancia en Km y f= frecuencia en MHz.
b. Mecanismos de Propagación • b.1. Absorción • Cuando las ondas electromagnéticas atraviesan algún material, generalmente se debilitan o atenúan. La cantidad de potencia perdida va a depender de su frecuencia y por supuesto, del material. La potencia decrece de manera exponencial y la energía absorbida generalmente se transforma en calor Cuadro 1: Absorción de materiales
b.2. Reflexión: • La reflexión de las ondas electromagnéticas ocurre cuando una onda incidente choca con una barrera existente (un objeto) y parte de la potencia incidente no penetra el mismo. Las ondas que no penetran el objeto se reflejan Figura 2: Reflexión de ondas de radio. El ángulo de incidencia es siempre igual al ángulo de reflexión. Una antena parabólica utiliza este efecto para concentrar las ondas de radio que caen sobre su superficie en una dirección común.
b.3. Difracción: • La difracción ocurre cuando la trayectoria de radio entre el transmisor y el receptor está obstruida por una superficie que tiene irregularidades agudas (bordes). En la difracción se genera una pérdida de potencia de transmisión, donde la potencia de la onda difractada es significativamente menor que el frente de onda que la provoca. Figura 3: Un frente de onda difractado se forma cuando la señal transmitida incidente es obstruida por ángulos cortantes en la trayectoria
b.4. Dispersión: • La dispersión ocurre cuando en el camino la señal se encuentra con objetos cuyas dimensiones son pequeñas en relación a la longitud de onda. El resultado es que el frente de onda se rompe o dispersa en múltiples direcciones. Figura 4: Dispersión de una señal transmitida.
b.5. Refracción: • La refracción es el cambio de dirección de una onda electromagnética conforme pasa oblicuamente de un medio a otro, con diferentes velocidades de propagación. Por lo tanto, la refracción ocurre siempre que una onda electromagnética pasa de un medio a otro de diferente densidad. Figura 5: La refracción de las ondas electromagnéticas.
b.6. Multitrayectoria (multipath) • Las señales lleguen al receptor a través de diferentes caminos, y por consiguiente en tiempos diferentes, este fenómeno juega un papel muy importante en las redes inalámbricas por los retardos e interferencia que provocan en las comunicaciones inalámbricas. Figura 6: El fenómeno de la interferencia multitrayectoria
MAPA DE COBERTURA • Para realizar el diseño es necesario disponer de un MAPA o croquis, en lo posible a escala, o sino a mano alzada, donde se indiquen dimensiones tales como: • Largo y Ancho de la Oficina o Piso del Edificio. • Las oficinas dentro del Piso. • Material y dimensiones aproximadas, de la paredes de la oficina o piso del edificio, tales como: Concreto Solido, Muro Seco (Drywall), Separaciones de Vidrio, Ladrillo, Metal, Madera,etc. • Es necesario contrastar lo teórico con lo real y verificar donde se debe optimizar el diseño. • Realizar la simulación a través de un Software Figura 8: Ingreso a la Plataforma de Simulación
Podemos observar el resultado en la Figuras 9 de la simulación con los datos entregados, donde se muestra la cobertura teórica obtenida y será contrastado con el Mapa de Cobertura Real. • Para esta operación, es necesario ir tomando puntos de muestras, dentro de la oficina, piso del edificio o edificio, los que tendrán valores de: potencia, throughput, ping, http, y que serán ingresados en forma automática, dada la referencia de dimensiones y ubicación en el MAPA. Figura 9: Resultado de Plataforma de Simulación.
CASO PRÁCTICO • Se desea conocer el mapa de cobertura inalámbrica de una oficina de una sola planta de la empresa SHALOMARIN que consta de 3 oficinas privadas, una sala de espera, un área de secretaria y un SS.HH. Las dimensiones aproximadas de la oficina es de 15m. de largo por 14m. de ancho. Las paredes externas de la oficina son de block hueco de cemento rematados con un traba perimetral de concreto armando con varilla de ½” de diámetro, este material tiene un grado de atenuación muy fuerte, por lo que la señal de AP no logra atravesar dichas paredes. En lo que respecta a las paredes internas, están construidas de bloque de ceniza, material que presenta una baja oposición a la señal de radio y permite que el AP cubra toda la oficina.