Upload
josecalero
View
755
Download
10
Embed Size (px)
DESCRIPTION
Mod4 trabajo final
Citation preview
UNIVERSIDAD MAYOR DE SAN SIMÓN ESCUELA UNIVERSITARIA DE POSGRADO
FACULTAD DE CIENCIAS Y TECNOLOGÍA
MAESTRÍA EN SISTEMAS DE INFORMACIÓN Y GESTIÓN DE
TECNOLOGÍAS
- Primera Versión-
TRABAJO FINAL DE MÓDULO
“Diagnostico basado en el Análisis de Riesgos Cuantitativo”
Modulo IV: “Análisis de Datos y Gerencia de Tecnologías de
Comunicación e Información”
Docente: Rensi Arteaga Copari
Integrantes:
• Evelin Claudia Alá Herrera
• Grover Pelaez Godoy
• Claudia Vanesa Villarroel
• José Luis Calero Campana
Fecha: Sábado, 13/10/2012
Índice General
1. INTRODUCCIÓN ...................................................................................................................... 5
2. ANTECEDENTES ...................................................................................................................... 5
2.1 Descripción de la empresa .............................................................................................. 5
2.2 Descripción Tecnológica ................................................................................................. 6
3. DELIMITACIÓN ....................................................................................................................... 8
4. MARCO TEÓRICO.................................................................................................................... 9
4.1 Análisis y Valoración de los Riesgos ................................................................................. 9
4.2 Realización del análisis de riesgos ..................................................................................11
4.2.1 Preparación del análisis de riesgos .........................................................................11
4.2.2 Identificar amenazas ..............................................................................................13
4.2.3 Identificación de vulnerabilidades ..........................................................................14
4.2.4 Ejecución del análisis..............................................................................................14
4.2.5 Metodologías .........................................................................................................14
5. DESARROLLO DEL PROYECTO.................................................................................................18
5.1 Identificación y descripción de activos ...........................................................................18
5.2 Valoración de activos .....................................................................................................19
5.3 Identificación y descripción de amenazas ......................................................................20
5.3.1 Amenazas naturales ...........................................................................................20
5.3.2 Amenazas humanas ...........................................................................................20
5.3.3 Amenazas software .............................................................................................21
5.3.4 Amenazas hardware ...........................................................................................21
5.4 Identificación y descripción de vulnerabilidades ............................................................21
5.5 Identificación y descripción de activos de controles .......................................................23
5.6 Matriz de análisis de riesgos ..........................................................................................26
5.7 Selección de controles ...................................................................................................31
5.8 Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y)
32
5.9 Plan de Implementación General ...................................................................................34
5.9.1 Objetivos ...............................................................................................................34
5.9.2 Presupuesto implementación de controles ............................................................34
5.10 Conclusiones y recomendaciones ..................................................................................38
6. CONCLUSIONES Y RECOMENDACIONES ACADÉMICAS ...........................................................38
7. BIBLIOGRAFÍA........................................................................................................................40
8. ANEXOS.................................................................................................................................41
8.1 Definición de Políticas ....................................................................................................41
8.1.1 Compromiso de Confidencialidad ...........................................................................41
8.1.2 Formación y Capacitación en Materia de Seguridad de la Información ...................41
8.1.3 Perímetro de Seguridad Física ................................................................................41
8.1.4 Controles de Acceso ...............................................................................................42
8.1.5 Protección de Oficinas, Recintos e Instalaciones .....................................................42
8.1.6 Desarrollo de Tareas en Áreas Protegidas ..............................................................43
8.1.7 Ubicación y Protección del Equipamiento y Copias de Seguridad ............................43
8.1.8 Suministros de Energía ...........................................................................................43
8.1.9 Seguridad del Cableado ..........................................................................................44
8.1.10 Mantenimiento de Equipos ....................................................................................44
8.1.11 Planificación y Aprobación de Sistemas ..................................................................45
8.1.12 Protección Contra Software Malicioso....................................................................45
8.1.13 Resguardo de la Información ..................................................................................46
8.1.14 Controles de Redes ................................................................................................46
Índice de Figuras
Figura 2.1 Administración de Procesos 7
Figura 2.2 Instalaciones del Centro del Cómputo 8
Figura 4.1 Elementos de Análisis de Riesgos 9
Figura 4.2 Activos para Análisis de Riesgos 11
DIAGNOSTICO BASADO EN EL ANÁLISIS DE RIESGOS CUANTITATIVO DE LA EMPRESA “DISTRIBUIDORA BOLIVIANA DE BEBIDAS S.R.L”
1. INTRODUCCIÓN
La información es uno de los principales recursos que poseen las instituciones. Los
entes que se encargan de las tomas de decisiones han comenzado a comprender que la
información no es sólo un subproducto de la conducción empresarial, sino que a la vez
alimenta a los negocios y puede ser uno de los tantos factores críticos para la
determinación del éxito o fracaso de éstos.
En el presente documento nos permitirá apreciar el análisis de riesgos del área
tecnológica de la empresa “Distribuidora Boliviana de Bebidas” D.B.B. que ayuden a la
empresa a mejorar el manejo de sus activos, diagnosticando a la empresa para poder
realizar una apreciación tanto critica para que la empresa pueda preparar, emplear,
instrumentos y poderlos aplicar en el presente y que se desarrolle en un futuro.
Con el estudio realizado aplicaremos todos los conocimientos adquiridos en el
módulo “Análisis de Datos y Gerencia de Tecnologías de Comunicación e Información”.
El presente trabajo pretende: Aplicar los conceptos de seguridad de información para
así poder tomar las mejores decisiones y de esta manera la empresa pueda cumplir
sus metas, esto mediante la elaboración de un plan de acción para dar cumplimiento a
los controles elegidos.
2. ANTECEDENTES
2.1 Descripción de la empresa
La empresa Distribuidora Boliviana de bebidas (DBB S.R.L.) fue fundada como
sociedad de responsabilidad limitada por la iniciativa de los socios José Luis Bullain
y Arturo Ivanovick, ambos decidieron formar esta empresa debido a su larga
experiencia profesional en el rubro de las gaseosas, desempeñando cargos
importantes en empresas multinacionales y nacionales de este sector. En febrero
2011 DBB bajo la dirección de su gerente logra adquirir los derechos de marca de
SALVIETTI M.R. para la distribución de la bebida tradicional boliviana en el
mercado del departamento de La Paz.
En el año de 1920 por primera vez, se logra introducir en el mercado boliviano un
producto que se denominó “Champan Cola” el cual tenía un envase de vidrio
fabricado en Inglaterra, constituyéndose como el último adelanto en la línea de las
gaseosas.
Este inicio que a su vez determinaba un avance en la tecnología nacional en base al
aprovechamiento en los conocimientos que tenía Don Dante Salvietti, sin duda
constituyó un hecho trascendental, ya que desde esa época hasta la fecha se logra
imponer un sabor que no cambia, ingresando ahora a la tercera generación que
mantiene la tradición.
Posteriormente rodeándose de recursos humanos experimentados y sistemas
informáticos de distribución. DBB S.R.L. inicia sus operaciones en las ciudades de
La Paz y El Alto, movilizando un capital de más cien mil dólares y generando más
de 30 empleos directos que van en aumento a medida crece la empresa y el
mercado. En Abril del 2011 DBB S.R.L. apuesta por la diversificación, adquiriendo
los derechos de distribución en el sector Oeste de la ciudad de La Paz de los
excelentes productos de La Compañía Cervecera Boliviana S.A. (Cerveza Autentica),
empresa innovadora que fue haciéndole frente al monopolio que existía hasta hace
unos años en nuestro país.
La empresa en la actualidad se encuentra ubicada en la zona de Achachicala, Av.
Chacaltaya, Nº 2011, debido a que es un punto estratégico para la distribución de
sus productos. Cuenta con instalaciones adecuadas para el almacenaje de sus
productos.
Actualmente la empresa tiene a su disposición un total de 52 personas, entre
distribuidores, preventistas y personal administrativo. Cuenta además con una
flota de 8 camiones para la distribución en La Paz y 5 camiones para la distribución
en El Alto.
2.2 Descripción Tecnológica
La empresa con el fin poseer ventajas competitivas y resaltar en el mercado ha
implementado tecnología en sus procesos. A continuación se detallan los mismos.
Administración de Procesos
Los procesos se manejan de manera eficiente precautelando siempre evitar el
desperdicio de tiempo tanto en la carga de los camiones como en el mismo ruteo
de los recorridos de los mismos, una característica que le permite al cliente recibir
sus pedidos a tiempo y acorde a sus requerimientos. En la Figura 2.1 se puede
observar un resumen del proceso de distribución.
Figura 2.1 Administración de Procesos
Sistemas de Información
Para la distribución de sus productos cuenta un sistema dedicado a la
distribución que opera de manera paralela con otro Sistema de Ruteo
(Roadshow) dinámico a los puntos de venta.
El área de Finanzas y Contabilidad de la empresa, cuenta con herramientas
informáticas para el manejo y gestión de información acerca de sus clientes,
presupuestos, Facturas, Proveedores, Gastos y otros. Este Sistema de
Información (FIS) además de proveer las funcionalidades básicas para el área,
brindan acceso compartido de la información desde varios equipos y
localizaciones, copias de seguridad automáticas en el servidor, envió de
facturas por mail, videos de ayuda y otros. En la Distribuidora Central se
encuentra las instalaciones del centro de cómputo como puede observarse en
la Figura 2.2.
El centro de cómputo básicamente cuenta con un servidor de Base de Datos (1,86
GHz 1 procesador (1) unidades de disco SATA de 3,5" y 80 GB de conexión en
caliente DDR2 SDRAM; Intercalado opcional (activado cuando se instalan DIMM
Prevent
a
Ruteo Facturación Entrega de
Rutas y Facturas
Carga de
Camiones
Entrega de
Rutas y Facturas
Almacén
Almacén
Cliente
en parejas) 1 GB (1 x 1 GB) de memoria de serie 8 GB, una instalación de red
pequeña entre los servidores y terminales.
Tanto de ruteo el Sistema (Roadshow) como el de facturación (FIS) le
despliegan a la empresa una serie de datos que le permite al gerente hacer una
mejor toma de decisiones.
Área de Almacenamiento de los
productos
Gerencia y Departamento de
Sistemas y Facturación
Centro de
Cómputo
Figura 2.2 Instalaciones del Centro del Cómputo
3. DELIMITACIÓN
El presente documento contempla un diagnostico basado en un análisis de Riesgos
cuantitativo del Centro de Cómputo con el que cuenta la empresa:
Se elaborará una matriz de Riesgos cuantitativa
Se describirá las métricas para medir el desempeño y cumplimiento de los
controles.
Se elaborará un cronograma de implementación.
Se propondrá algunas políticas
4. MARCO TEÓRICO
4.1 Análisis y Valoración de los Riesgos
En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del
contexto de un análisis de riesgos, es la estimación del grado de exposición a que
una amenaza se materialice sobre uno o más activos causando daños o perjuicios a
la organización. El riesgo indica lo que le podría pasar a los activos si no se
protegieran adecuadamente. En la figura 4.1 se puede ver los elementos que son
objeto para el análisis de riesgos.
Figura 4.1 Elementos de Análisis de Riesgos
Antes de saber qué es un análisis de riesgos y lo que conlleva es importante conocer
qué son otro tipo de conceptos muy relacionados con los Análisis de Riesgos y la
seguridad de la información. Estos son los más importantes:
Amenaza: Es la causa potencial de un daño a un activo.
Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una
amenaza.
Impacto: consecuencias de que la amenaza ocurra.
Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara
desprotegido.
Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.
Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.
El análisis de riesgos se define como la utilización sistemática de la información
disponible, para identificar peligros y estimar los riesgos.
A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos
de la organización para que se puedan cubrir las expectativas, llegando al nivel de
seguridad requerido con los medios disponibles.
Es relativamente sencillo calcular con cuantos recursos se cuenta (económicos,
humanos, técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las
necesidades de seguridad.
Es aquí donde se muestra imprescindible la realización de un análisis de riesgos.
Hacerlo permite averiguar cuáles son los peligros a los que se enfrenta la
organización y la importancia de cada uno de ellos. Con esta información ya será
posible tomar decisiones bien fundamentadas acerca de qué medidas de
seguridad deben implantarse.
Por tanto, un aspecto de gran importancia a la hora de realizar la
implantación de un SGSI es tener en cuenta que la inversión en seguridad tiene
que ser proporcional al riesgo.
La información es generada y tratada por el personal tanto interno como externo,
mediante los equipos de tratamiento de la información existentes en la
organización y está situada en las instalaciones, por lo hay que considerar todos
los riesgos relacionados con estos aspectos.
4.2 Realización del análisis de riesgos
4.2.1 Preparación del análisis de riesgos
Para realizar un análisis de riesgos se parte del inventario de activos. Si es
razonablemente reducido, puede decidirse hacer el análisis sobre todos los
activos que contiene. Si el inventario es extenso, es recomendable escoger un
grupo relevante y manejable de activos, bien los que tengan más valor, los que se
consideren estratégicos o todos aquellos que se considere que se pueden
analizar con los recursos disponibles. Se puede tomar cualquier criterio que
se estime oportuno para poder abordar el análisis de riesgos en la confianza de
que los resultados van a ser útiles.
Figura 4.2 Activos para Análisis de Riesgos
Hay que tener en cuenta que la realización de un análisis de riesgos es un
proceso laborioso. Para cada activo se van a valorar todas las amenazas que
pueden afectarle, la vulnerabilidad cada una de las amenaza y el impacto que
causaría la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del
riesgo para ese activo.
Independientemente de la metodología que se utilice, el análisis de riesgos
debe ser objetivo y conseguir resultados repetibles en la medida de lo posible,
por lo que deberían participar en él todas las áreas de la organización que estén
dentro del alcance del SGSI. De esta manera quedarán plasmados varios puntos de
vista y la subjetividad, que es inevitable, quedará reducida. Además contar
con la colaboración de varias personas ayuda a promover el desarrollo del SGSI
como una herramienta útil para toda la organización y no sólo para la dirección o
el área que se encarga del proyecto. Se puede abordar el análisis de riesgos
con varios enfoques dependiendo del grado de profundidad con el que se quiera o
pueda realizar el análisis:
a. Enfoque de Mínimos:
Se escoge un conjunto mínimo de activos y se hace un análisis conjunto, de
manera que se emplean una cantidad mínima de recursos, consumiendo poco
tiempo y por lo tanto tiene el coste es menor. Este enfoque tienen el
inconveniente de que si se escoge un nivel básico de seguridad muy alto, puede
requerir recursos excesivos al implantarlo para todos los activos y por el
contrario, si es muy bajo, los activos con más riesgos pueden no quedar
adecuadamente protegidos. Debido a la falta de detalle en el análisis, puede ser
difícil actualizar los controles o añadir otros según vayan cambiando los activos y
sistemas.
b. Enfoque Informal:
Con este enfoque, no se necesita formación especial para realizarlo ni
necesita de tantos recursos de tiempo y personal como el análisis detallado.
Las desventajas de este informe son que al no estar basado en métodos
estructurados, puede suceder que se pasen por altos áreas de riesgos o amenazas
importantes y al depender de las personas que lo realizan, el análisis puede
resultar con cierto grado de subjetividad. Si no se argumenta bien la selección
de controles, puede ser difícil justificar después el gasto en su implantación.
c. Enfoque Detallado:
Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos
a los que se enfrenta la organización. Se puede decidir un nivel de seguridad
apropiado para cada activo y de esa manera escoger los controles con precisión.
Es el enfoque que más recursos necesita en tiempo, personal y dinero para
llevarlo a cabo de una manera efectiva.
d. Enfoque Combinado:
Con un enfoque de alto nivel al principio, permite determinar cuáles son los
activos en los que habrá que invertir más antes de utilizar muchos recursos en
el análisis. Por ello ahorra recursos al tratar antes y de manera más
exhaustiva los riesgos más importantes mientras que al resto de los riesgos sólo se
les aplica un nivel básico de seguridad, con lo que consigue un nivel de
seguridad razonable en la organización con recursos ajustados. Es el enfoque
más eficaz en cuanto a costes y a adaptabilidad a empresas con recursos limitados.
Hay que tener en cuenta que si el análisis de alto nivel es erróneo puede
que queden algunos activos críticos a los que no se realice un análisis detallado.
4.2.2 Identificar amenazas
Como ya se ha visto anteriormente, podríamos denominar amenaza a un evento o
incidente provocado por una entidad natural, humana o artificial que,
aprovechando una o varias vulnerabilidades de un activo, pone en peligro la
confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro
modo, una amenaza explota la vulnerabilidad del activo.
Atendiendo a su origen, existen dos tipos de amenazas:
Externas, que son las causadas por alguien (hackers, proveedores,
clientes, etc.) o algo que no pertenece a la organización. Ejemplos de
amenazas de este tipo son los virus y las tormentas.
Internas, estas amenazas son causadas por alguien que pertenece a la
organización, por ejemplo errores de usuario o errores de configuración.
Las amenazas también pueden dividirse en dos grupos según la intencionalidad
del ataque en deliberadas y accidentales:
Deliberadas: Cuando existe una intención de provocar un daño, por
ejemplo un ataque de denegación de servicio o la ingeniería social.
Accidentales: Cuando no existe tal intención de perjudicar, por ejemplo
averías o las derivadas de desastres naturales: terremotos, inundaciones,
fuego, etc.
Para valorar las amenazas en su justa medida hay que tener en cuenta cual sería el
impacto en caso de que ocurrieran y a cuál o cuáles son los parámetros de
seguridad que afectaría, si a la confidencialidad, la integridad o la
disponibilidad.
4.2.3 Identificación de vulnerabilidades
Una vulnerabilidad es toda aquella circunstancia o característica de un activo
que permite la materialización de ataques que comprometen la
confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo
será vulnerable a los virus si no tiene un programa antivirus instalado.
Hay que identificar las debilidades en el entorno de la Organización y valorar
cómo de vulnerable es el activo en una escala razonable (alto-medio-bajo, de 1 a
5, etc.).
Hay que tener en cuenta que la presencia de una vulnerabilidad por sí misma no
causa daño. Para que se produzca este daño debe existir una amenaza que pueda
explotarla.
Algunos ejemplos de vulnerabilidades son:
1. La ausencia de copias de seguridad, que compromete la disponibilidad de
los activos.
2. Tener usuarios sin formación adecuada, que compromete la
confidencialidad, la integridad y la disponibilidad de los activos, ya que
pueden filtrar información o cometer errores sin ser conscientes del
fallo.
3. Ausencia de control de cambios, que compromete la integridad y la
disponibilidad de los activos.
4.2.4 Ejecución del análisis
Con el equipo de trabajo asignado para ello y la metodología escogida, se
llevará a cabo el análisis de riesgos. Los participantes tendrán que valorar las
amenazas y las vulnerabilidades que afectan a los activos escogidos para el
análisis y el impacto que ocasionaría que alguna de las amenazas realmente
ocurriera, sobre la base de su conocimiento y experiencia dentro de la
organización.
4.2.5 Metodologías
Existen numerosas metodologías disponibles para la realización de análisis de
riesgos, ya que es una labor que requiere de bastante dedicación y con una
metodología estructurada se facilita la tarea, sobre todo si existe una herramienta
que simplifique todo el proceso.
La organización debe escoger aquella que se ajuste a sus necesidades, y si
considera varias opciones, inclinarse por la más sencilla. Hay que tener en
cuenta que el análisis de riesgos debe revisarse periódicamente, por lo que si
se hace con una metodología complicada, esta labor necesitará de una
dedicación excesiva.
A continuación se detallarán algunas de las metodologías más reconocidas:
Análisis holandés A&K.
Es método de análisis de riesgos, del que hay publicado un manual, que ha
sido desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el
gobierno y a menudo en empresas holandesas.
CRAMM
Es un método de análisis de riesgos desarrollado por el gobierno británico y cuenta
con una herramienta, ya que es un método difícil de usar sin ella. Está basado en las
mejores prácticas de la administración pública británica, por lo que es más
adecuado para organizaciones grandes, tanto públicas como privadas.
EBIOS
Es un juego de guías mas una herramienta de código libre gratuita, enfocada a
gestores del riesgo de TI. Desarrollada en un principio por el gobierno francés, ha
tenido una gran difusión y se usa tanto en el sector público como en el privado no
sólo de Francia sino en otros países. La metodología EBIOS consta de un ciclo de
cinco fases:
Fase 1. Análisis del contexto, estudiando cuales son las dependencias de los
procesos del negocio respecto a los sistemas de información.
Fases 2 y 3, Análisis de las necesidades de seguridad y de las amenazas, determinando los puntos de conflicto.
Fases 4 y 5, Resolución del conflicto, estableciendo los objetivos de seguridad necesarios y suficientes, con pruebas de su cumplimiento y dejando claros cuales son los riesgos residuales.
IT-GRUNDSCHUTZ (Manual de protección básica de TI)
Desarrollado en Alemania por la Oficina Federal de la Seguridad de la Información
(BSI en sus siglas alemanas). Este manual proporciona un método para establecer
un SGSI en cualquier organización, con recomendaciones técnicas para su
implantación. El proceso de seguridad de TI propuesto por esta metodología sigue
los siguientes pasos:
Iniciar el proceso.
Definir los objetivos de seguridad y el contexto de la organización.
Establecer la organización para la seguridad de TI.
Proporcionar recursos.
Crear el concepto de la seguridad de TI.
Análisis de la estructura de TI.
Evaluación de los requisitos de protección.
Modelado.
Comprobación de la seguridad de TI.
Planificación e implantación.
Mantenimiento, seguimiento y mejora del proceso.
La metodología incluye listas de amenazas y controles de seguridad que se pueden
ajustar a las necesidades de cada organización.
MAGERIT Desarrollado por el Ministerio de Administraciones Públicas español, es una
metodología de análisis de riesgos que describe los pasos para realizar un análisis
del estado de riesgo y para gestionar su mitigación, detalla las tareas para llevarlo a
cabo de manera que el proceso esté bajo control en todo momento y contempla
aspectos prácticos para la realización de de un análisis y una gestión realmente
efectivos. Cuenta con detallados catálogos de amenazas, vulnerabilidades y
salvaguardas. Cuenta con una herramienta, denominada PILAR para el análisis y la
gestión de los riesgos de los sistemas de información que tiene dos versiones, una
completa para grandes organizaciones y otra simplificada para las pequeñas.
Manual de Seguridad de TI Austriaco.
Consta de dos partes, en la primera se describe el proceso de la gestión de la
seguridad de TI, incluyendo el análisis de riesgos y la segunda es un compendio de
230 medidas de seguridad. Es conforme con la Norma ISO/IEC IS 13335 y en parte
con la ISO 27002.
MARION – MEHARI.
El primigenio MARION (Método de Análisis de Riesgos por Niveles), basado en una
metodología de auditoría, permitía estimar el nivel de riesgos de TI de una
organización. Sustituido por MEHARI, este método de análisis de riesgo cuenta con
un modelo de evaluación de riesgos y módulos de componentes y procesos. Con
MEHARI se detectan vulnerabilidades mediante auditorías y se analizan
situaciones de riesgo.
Métodos ISF para la evaluación y gestión de riesgos.
El Information Security Forum. (ISF) es una importante asociación internacional.
Su Estándar de Buenas Prácticas es un conjunto de principios y objetivos para la
seguridad de la información con buenas prácticas asociadas a los mismos. El
Estándar cubre la gestión de la seguridad a nivel corporativo, las aplicaciones
críticas del negocio, las instalaciones de los sistemas de información, las redes y el
desarrollo de sistemas.
Norma ISO/IEC IS 27005.
La Norma habla de la gestión de los riesgos de la seguridad de la información de
manera genérica, utilizando para ello el modelo PDCA, y en sus anexos se pueden
encontrar enfoques para la realización de análisis de riesgos, así como un catálogo
de amenazas, vulnerabilidades y técnicas para valorarlos.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVE®),
desarrollado en EEUU por el SEI, en un una metodología para recoger y analizar
información de manera que se pueda diseñar una estrategia de protección y planes
de mitigación de riesgo basados en los riesgos operacionales de seguridad de la
organización. Hay dos versiones, una para grandes organizaciones y otra para
pequeñas, de menos de 100 empleados.
SP800-30 NIST Risk Management Guide for Information Technology Systems.
Desarrollado por el NIST estadounidense, es una guía detallada de las
consideraciones que deben hacerse para llevar a cabo una evaluación y una gestión
de riesgos orientada a la seguridad de los sistemas de información.
5. DESARROLLO DEL PROYECTO
5.1 Identificación y descripción de activos
Para facilitar el manejo y mantenimiento del inventario los activos de información
se los clasificarán en las diferentes categorías:
Know how
Se tiene el know how de la fórmula de Salvietti (derechos de exclusividad),
además de contar con la amplia experiencia del gerente general.
El patente que protege el Know How de la composición química del producto
genera una elevada protección de la imitación de la competencia y una
importante ventaja distintiva.
Datos
Información de Clientes
Rutas
Facturas
Aplicaciones:
Sistema de ruteo Roadshow
Sistema de facturación FIS
Sistema de contabilidad
Personal
Entre esta categoría tenemos los siguientes:
Clientes
Personal de preventas
Distribuidores
Operarios de sistema del sistema de ruteo
Operarios de sistema del sistema facturación
Operarios de sistema del sistema contabilidad.
Servicios
Gestión de preventa, venta y post-venta (marketing)
Ruteo
Facturación
Entrega de rutas y facturas
Informe contable
Gestión estratégica (Directorio)
Gestión administrativa (Administración)
Auditoría contable (Contabilidad)
Análisis financiero (Finanzas)
Determinación de las Políticas y Estrategias de Marketing (marketing)
Planeación de productos y servicios (marketing)
Distribución (almacén)
Tecnologías
Servidor
PC’s
Teléfonos
Impresoras
Routers
Cableado
Instalaciones
Centro de cómputo
5.2 Valoración de activos
Para la valoración de los activos de información identificados usaremos una escala
de cuantitativa con los rangos de 0 a 100.
Activo Categoría Disponibilidad Integridad Confidencialidad
Sistema de Ruteo
Roadshow
Aplicaciones 80 80 90
Sistema de Aplicaciones 80 80 70
facturación FIS
Sistema de Contabilidad
Aplicaciones 80 80 80
Servidor Tecnologías 90 PC’s Tecnologías 80
Cableado de Red de Datos
Tecnologías 70
5.3 Identificación y descripción de amenazas
5.3.1 Amenazas naturales
● Incendios intempestivos, pueden ser producidos por cortes de energía
eléctrica por uso inapropiado de los equipos computacionales, cabe aclarar que
en el centro de distribución no se hace uso de maquinaria industrial por lo que
el cableado eléctrico es doméstico.
● Desastres naturales (Terremotos), La Paz tiene como amenaza latente a los
terremotos por ser una zona inestable, los últimos sismos se detectaron en
agosto y septiembre del presente año.
5.3.2 Amenazas humanas
● Personal no autorizado con acceso al sistema, amenaza de personas que
conocen la estructura del sistema la empresa. Actualmente los ex empleados
de la empresa están trabajando con los competidores como EMBOL, donde sus
motivaciones van desde revanchas personales hasta ofertas y remuneraciones
de organizaciones rivales.
● Pérdida de la información de los sistemas a causa de:
○ Falta de políticas de copias de respaldo y otros.
○ Robo de la información por medio de unidades de almacenamiento
secundario (pendrives, CD, cintas, etc.).
● Robo físico de los componentes de hardware del sistema e incluso también se
considera como robo el uso de los equipos para actividades diferentes a los
que se les asigna en la organización, ya que la empresa no cuenta actualmente
con seguridad física en la entrada.
● Negligencia en el uso de los equipos, todos los componentes deben ser usados
dentro de los parámetros establecidos por los fabricantes, esto incluye tiempos
de uso, periodos y procedimientos adecuados de mantenimiento, así como un
apropiado almacenamiento. No seguir estas prácticas provoca un desgaste
mayor que trae como consecuencia descomposturas prematuras y reducción
del tiempo de vida útil de los recursos.
5.3.3 Amenazas software
● Errores de Programación y Diseño, es sistema de ruteo se encuentra
actualmente sin ninguna actualización, por tanto está sujeto a cualquier error
no corregido.
● Mala Manipulación del Sistema, el sistema no es lo suficiente usable para su
operación, requiere de un operador capacitado para su uso.
● Sistema sin operar, en la empresa solo se cuenta con un usuario del sistema
para su funcionamiento.
● Inconsistencia de Información, los sistemas Contable y el de Facturación FIS no
se encuentran integrados, la información que se transmite del sistema contable
al FIS es manual. Por tanto es fácil de cometer errores al ingresar información.
● Ataques de usuario malicioso (Escaneo de puertos, Sniffing, ing. social).
5.3.4 Amenazas hardware
● Deterioro de Hardware, la empresa no se ha realizado ninguna actualización de
sus equipos tanto servidores y terminales.
5.4 Identificación y descripción de vulnerabilidades
● Falta de políticas de acceso al sistema, no se cuenta con políticas de acceso a
los sistemas de información, tanto del Ruteo, Contabilidad y de Facturación.
● Falta de control de acceso físico al área de sistemas, no se cuenta con
políticas de acceso a las instalaciones del área de sistemas, nadie registra la
entrada al área de sistemas y a las instalaciones donde se encuentran los
servidores, por otro lado no existe personal de seguridad.
● Falta de políticas de seguridad de la información, no se tiene implementado
políticas que protejan la seguridad de la información, en el sentido de que los
puertos USB de los equipos se encuentran y cualquiera puede hacer uso de los
mismos. Por otro lado no existe restricciones de uso de correos no
corporativos, como Hotmail, yahoo, gmail, etc.
● Falta de políticas de copias de respaldo
La empresa actualmente no cuenta con políticas de copias de respaldo a diario,
si bien se realiza una copia semanal, se considera que no es suficiente, ya que
son útiles para recuperarse de una catástrofe informática, o recuperar una
pequeña cantidad de archivos que pueden haberse eliminado accidentalmente
o corrompido.
● Falta de actualizaciones, desde el momento en que se adquirió el sistema, no
se ha efectuado las actualizaciones correspondientes al mismo, esto es
importante sobre todo para evitar posibles errores del sistema que ya fueron
resueltos.
● El sistema es complejo en su manipulación, específicamente el sistema de
ruteo, es un sistema que requiere para su operación un usuario especializado
en el manejo y administración del mismo, situación que hace necesaria la
capacitación de un especialista para el uso del mismo.
● Solo existe un encargado que conoce el Sistema, esta situación puede
perjudicar en la operatividad de la empresa, puesto que en caso de ausencia
del operador del sistema, no se podrá generar información acerca de las rutas y
clientes para la distribución de los productos.
● Falta de integración del Sistema de Contabilidad y Facturación, El sistema
contable debe estar alimentado con información de las facturas (que genera el
sistema de Facturación) de los clientes, para su procesamiento, es de esta
manera que el contador debe ingresar dicha información manualmente
provocando posibles problemas de inconsistencia de datos.
● Envío de contraseñas con encriptación débil, no existe políticas para la
creación de contraseñas tanto para los accesos a los equipos como para los
sistemas.
● Puertos no utilizados abiertos
No se realiza la protección de puertos abiertos q no son utilizados, los cuales
podrían ser usados por troyanos altamente peligrosos.
● Falta de un sistema de ingreso de personal
La empresa no cuenta con un sistema que registre el ingreso y salida del
personal, solo se tiene un registro manual. Lo que no garantiza la veracidad de
la información a la hora de realizar un control de las personas que ingresaron a
las instalaciones de la empresa.
● No existe cableado estructurado en la instalación de la red de energía
eléctrica.
La instalación de red de energía eléctrica no es la adecuada, no cuenta con
normas de seguridad. Lo que podría causar daños en los equipos.
● Políticas de seguridad deficientes e inexistentes para el cuidado y
conservación de hardware.
Contar con un suministro de energía ininterrumpible (UPS) para asegurar el
apagado regulado y sistemático.
No todos los equipos cuentan con estabilizadores lo que provocaría daños en el
hardware.
No se efectúa periódicamente un mantenimiento preventivo de los equipos.
● La empresa no cuenta con una construcción antisísmica
● Políticas de seguridad en caso de desastres naturales inexistente
No se tiene creadas las políticas de seguridad en caso de desastres naturales.
● Instalaciones Inadecuadas, para protección del cableado
Las instalaciones y la distribución de los muebles y enseres no se encuentran
adecuadas como para la implementación de un cableado de red y de energía.
● No existe cableado estructurado en la red de datos.
No se cuenta con cableado estructurado en su totalidad. Solo el servidor de
base de datos y la maquina cliente de donde se operan los sistemas (Ruteo,
Contabilidad, Facturación) se encuentran en red. Esta situación incurre en un
problema para compartir la información con las aéreas que requieren estar al
tanto de los mismos. Así como el área de las gerencias.
5.5 Identificación y descripción de activos de controles
Establecimiento de una política de control de accesos
Uso de criptografía para proteger los datos
Restringir el ingreso de personas no autorizadas
Definir una política de copias de seguridad
Con la finalidad de mantener operativos los procesos de la empresa
DISTRIBUIDORA BOLIVIANA DE BEBIDAS S.R.L, es necesario fijar una política de
respaldo de Información que permita ante cualquier eventualidad recuperar de
manera rápida y actualizada la información perdida. Para esto es necesario definir
dos niveles de criticidad de la información que se especifican a continuación:
o Nivel Crítico: Información institucional almacenada en el servidor de base de dato.
o Nivel Medio: Información relativa a respaldos del servidor de aplicaciones.
Los métodos de copia de seguridad son los diarios e incrementales.
Restringir el uso de dispositivos de almacenamiento
Dada la importancia de la información que maneja la institución y la necesidad de resguardar los datos, así como emitir información a otras entidades, surge la necesidad de establecer la normativa para regular el uso de cualquier tipo de unidades de respaldo sean estas internas o externas, entre las que podemos mencionar los quemadores de discos compactos, DVD, pendrives, entre otros.
Limitar el uso de correos no corporativos y acceso a servidores FTP
Adquisición de actualizaciones
Creación de una guía de usuario
Implementar integración automática entre ambos sistemas (Contabilidad y Facturación)
Análisis del tráfico de la red
El análisis y diagnóstico de redes permite encontrar deficiencias en la red de datos y sus causas, u oportunidades de mejora, y formular acciones correctivas y de mejoramiento. El análisis de red debe hacerse continuamente.
Normas de restricción y privilegios de usuarios
Instalación de un sistema de registro con huella dactilar
Un sistema de control biométrico con lector de huellas dactilares permite el registro de las entradas y salidas del personal, de esta manera se verifica que solo los empleados tengan acceso a las instalaciones de la empresa.
Instalación de cámaras de seguridad
Debido a la necesidad de resguardar tanto los activos tangibles e intangibles, se puede optar con la instalación de cámaras de seguridad que puedan grabar todo el desenvolvimiento de los trabajadores de la empresa y pueda así pueda haber una prueba de los culpables en caso de actos no correctos.
Instalación de equipos de protección de cortes de energía eléctrica
Los equipos de protección de energía eléctrica previenen los cortes de energía y minimizan los peligros que pueda ocasionar. Mediante la mejora de la capacidad de los equipos de protección se mejora la disponibilidad y confiabilidad de los sistemas, además se mantiene por un tiempo la energía eléctrica en caso de cortes, y se previene de los daños de las instalaciones de transmisión eléctrica debido a la sobrecarga.
Aplicar políticas de seguridad y procedimientos en caso desastres naturales
Instalaciones de alarmas y control de incendio
Mejora del cableado de Red de Datos
Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de los equipos
Implementar un cableado estructurado de red de ratos según normativa
Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de la red
El personal administrativo tiene acceso a los servicios de la red: servidor de aplicaciones, servidor de bases de dato, impresoras, archivos compartidos en otras estaciones de trabajo entre otros. Dicha cuenta es otorgada para facilitar las labores de los funcionarios mediante el uso de tecnología informática. Por lo anterior, los usuarios deben hacer uso de la red y de los servicios relacionados con esta, estrictamente en cumplimiento de las labores institucionales, tomando en consideración la privacidad de otros usuarios y la no saturación de la red por uso indebido del ancho de banda, entre otros argumentos.
Solicitar soporte para el correcto uso del Sistema
Capacitar a una segunda persona como respaldo
Uso de cortafuegos
Con un firewall o cortafuegos, podemos bloquear accesos no autorizados, permitiendo al mismo tiempo comunicaciones autorizadas, abrir o cerrar puertos según sea lo necesario. Podemos implementarlos en hardware o software, o una combinación de ambos. En el caso de la empresa por cuestiones de costo podemos instalar un software firewall.
5.6 Matriz de análisis de riesgos
Activos Valor Amenazas FE SLE Vulnerabilidades ARO ALE Controles Costo control
ALE DC Valor del Control
Ahorro
Sistema de Ruteo
Roadshow 10000
1. Personal no Autorizado con
acceso al Sistema
50% 5000 4. Falta de politicas de
acceso al sistema 25% 1250
1. Establecimiento de una politica de control de accesos
200 1050 1050
2. Uso de criptografia para
proteger los datos 500 -500 750
2. Robo de la Información
10% 1000
1. Falta de control de acceso fisico al area de
sistemas
25% 250 3. Restringir el ingreso de
personas no autorizadas 300 -50 -50
2. Falta de politicas de
seguridad de la información 35% 350
5. Restringir el uso de dispositivos de almacenamiento
300 50 50
6. Limitar el uso de correos no
corporativos y acceso a servidores FTP
200 -200 150
3. Pérdida de
Información 10% 1000
3. Falta de politicas de
copias de respaldo 50% 500
4. Definir una política de copias
de seguridad 200 300 300
5. Errores de Programacion y
Diseño 20% 2000 6. Falta de actualizaciones 50% 1000
7. Adquisición de actualizaciones
2000 -1000 -1000
6. Mala Manipulacion del Sistema
50% 5000 15. El sistema es complejo
en su manipulacion 25% 1250
21. Solicitar soporte para el correcto uso del Sistema
1000 250 250
8. Creación de una guia de usuario
500 -500 -500
7. Sistema no disponible
100% 10000
16. Solo existe un
encargado que conoce el Sistema
50% 5000
8. Creación de una guia de
usuario 500 4500 4500
22. Capacitar a una segunda persona como respaldo
1000 -1000 -1000
Sistema de
Contabilidad 5000
1. Personal no Autorizado con
acceso al Sistema
50% 2500 4. Falta de politicas de
acceso al sistema 25% 625
1. Establecimiento de una politica de control de accesos
200 425 425
2. Uso de criptografia para
proteger los datos 500 -500 -500
2. Robo de la
Información 10% 500
1. Falta de control de
acceso fisico al area de sistemas
25% 125 3. Restringir el ingreso de personas no autorizadas
300 -175 -175
2. Falta de politicas de seguridad de la información
25% 125
5. Restringir el uso de
dispositivos de almacenamiento 300 -175 -175
6. Limitar el uso de correos no corporativos y acceso a
servidores FTP 200 -200 -200
3. Pérdida de Información
10% 500 3. Falta de politicas de
copias de respaldo 25% 125
4. Definir una política de copias de seguridad
200 -75 -75
4. Inconsistencia de Información
30% 1500
5. Falta de integración del
Sistema de Contabilidad y Facturación
100% 1500
9. Implementar integracion
automática entre ambos sistemas (Contabilidad y
Facturación)
3000 -1500 -1500
Sistema de Facturacion
FIS 8000
1. Personal no Autorizado con
acceso al Sistema 50% 4000
4. Falta de politicas de acceso al sistema
100% 4000 1. Establecimiento de una
politica de control de accesos 200 3800 3800
2. Robo de la Información
10% 800
1. Falta de control de acceso fisico al area de
sistemas 100% 800
3. Restringir el ingreso de personas no autorizadas
300 500 500
2. Falta de politicas de seguridad de la información
100% 800
5. Restringir el uso de dispositivos de almacenamiento
300 500 500
6. Limitar el uso de correos no corporativos y acceso a
servidores FTP
200 -200 -200
3. Pérdida de Información
10% 800 3. Falta de politicas de
copias de respaldo 50% 400
4. Definir una política de copias de seguridad
200 200 200
4. Inconsistencia de Información
30% 2400 5. Falta de integración del Sistema de Contabilidad y
Facturación 50% 1200
9. Implementar integracion
automática entre ambos sistemas (Contabilidad y
Facturación)
3000 -1800 -1800
Servidor
Base de Datos
20000
3. Pérdida de
Información
10% 2000
3. Falta de politicas de copias de respaldo 50% 1000
4. Definir una política de copias
de seguridad 200 800 800
1. Falta de control de
acceso fisico al area de sistemas 100% 2000
3. Restringir el ingreso de
personas no autorizadas 300
1700 1700
1. Personal no Autorizado con
acceso al Sistema
50% 10000 4. Falta de politicas de
acceso al sistema 100% 10000
1. Establecimiento de una politica de control de accesos 200
9800 9800
2. Uso de criptografia para
proteger los datos 500 -500 -500
8. Ataques de usuario malicioso (
escaneo de puertos, sniffing, ing. social)
100% 20000
17. Envío de contraseñas con encriptación debil
50% 10000
2. Uso de criptografia para
proteger los datos 500 9500 9500
7. Adquisición de actualizaciones 5000
-5000 -5000
10. Análisis del tráfico de la red 300
-300 -300
2. Falta de politicas de
seguridad de la información 25% 5000
2. Uso de criptografia para
proteger los datos 500 4500 4500
11. Normas de restricción y privilegios de usuarios 300
-300 -300
18. Puertos no utilizados abiertos
25% 5000 23. Uso de cortafuegos 500
4500 4500
19. Acceso a instalaciones
de software no monitoreadas
25% 5000
10. Análisis del tráfico de la red 300
4700 4700
11. Normas de restricción y privilegios de usuarios 300
-300 -300
9. Robo de Hardware 100% 20000
1. Falta de control de acceso fisico al area de
sistemas
25% 5000 3. Restringir el ingreso de
personas no autorizadas 300
4700 4700
7. Falta de un sistema de ingreso de personal
100% 20000
12. Instalación de un sistema de registro con huella dactilar 2000
18000 18000
13. Instalación de cámaras de
seguridad 5000 -5000 -5000
10. Deterioro de Hardware
20% 4000
8. No existe cableado estructurado en la
instalación de la red de
energía eléctrica.
50% 2000 14. Instalación de equipos de
protección de cortes de energía
eléctrica 7000
-5000 -5000
11. Políticas de seguridad
deficientes e inexistentes para el cuidado y
conservacion de hardware
100% 4000
18. Aplicar politicas de
seguridad y procedimientos para el cuidado y conservación
de los equipos 700
3300 3300
6. Falta de actualizaciones 50% 2000 7. Adquisición de
actualizaciones 5000 -3000 -3000
11. Incendios 50% 10000
8. No existe cableado estructurado en la
instalación de la red de energía eléctrica.
100% 10000 14. Instalacion de equipos de
protección de cortes de enegía
eléctrica 7000
3000 3000
9. No existe equipamiento
adecuado para proteccion de equipos
50% 5000 16. Instalaciones de alarmas y control de incendio
4000 1000 1000
12. Terremotos, cismos o
deslizamientos
100% 20000
10. La empresa no cuenta
con una construcción antisísmica
100% 20000
15. Aplicar politicas de
seguridad y procedimientos en caso desastres naturales 500
19500 19500
12. Políticas de seguridad en caso de desastres naturales inexistente
100% 20000 15. Aplicar politicas de
seguridad y procedimientos en caso desastres naturales 500
19500 19500
PC's 5000
11. Incendios 100% 5000
9. No existe equipamiento adecuado para proteccion de equipos
100% 5000 16. Instalaciones de alarmas y control de incendio
6000 -1000 -1000
8. No existe cableado estructurado en la instalación de la red de
energía eléctrica.
100% 5000 14. Instalacion de equipos de protección de cortes de enegía eléctrica
1000
4000 4000
12. Políticas de seguridad en caso de desastres
naturales inexistente
100% 10000 15. Aplicar politicas de seguridad y procedimientos en
caso desastres naturales 500
9500 9500
12. Terremotos,
cismos o deslizamientos
100% 5000
9. No existe equipamiento adecuado para proteccion
de equipos
100% 2500 16. Instalaciones adecuadas con alarma y control de
incendio 6000
-3500 -3500
10. La empresa no cuenta
con una construcción antisísmica
100% 5000
15. Aplicar politicas de
seguridad y procedimientos en caso desastres naturales 500
4500 4500
12. Políticas de seguridad
en caso de desastres naturales inexistente
100% 5000
15. Aplicar politicas de
seguridad y procedimientos en caso desastres naturales 500
4500 4500
10. Deterioro de
Hardware 50% 2500
8. No existe cableado
estructurado en la instalación de la red de energía eléctrica.
100% 2500 14. Instalacion de equipos de protección de cortes de enegía eléctrica
1000
1500 1500
11. Políticas de seguridad deficientes e inexistentes para el cuidado y
conservacion de hardware
200% 5000
18. Aplicar politicas de seguridad y procedimientos
para el cuidado y conservación
de los equipos 100
4900 4900
9. Robo de Hardware 50% 50000
1. Falta de control de
acceso fisico al area de sistemas
100% 50000 3. Restringir el ingreso de
personas no autorizadas 300
49700 49700
7. Falta de un sistema de
ingreso de personal 100% 50000
12. Instalación de un sistema de registro con huella dactilar 2000
48000 48000
13. Instalación de cámaras de
seguridad 5000 -5000 -5000
Cableado de Red de
Datos
3000
11. Incendios 100% 3000
13. Instalaciones
Inadecuadas, para proteccion del cableado
50% 1500 16. Instalaciones de alarmas y control de incendio
4000 -2500 -2500
8. No existe cableado
estructurado en la instalación de la red de energía eléctrica.
100% 3000 14. Instalacion de equipos de protección de cortes de enegía eléctrica
1000 2000 2000
12. Políticas de seguridad en caso de desastres
naturales inexistente
50% 1500 15. Aplicar politicas de seguridad y procedimientos en
caso desastres naturales
500 1000 1000
12. Terremotos, cismos o
deslizamientos 100% 3000
13. Instalaciones Inadecuadas, para
proteccion del cableado
50% 1500 15. Aplicar politicas de seguridad y procedimientos en
caso desastres naturales
500 1000 1000
10. La empresa no cuenta con una construcción
antisísmica
50% 1500 15. Aplicar politicas de seguridad y procedimientos en
caso desastres naturales
500 1000 1000
14. No existe cableado estructurado en la red de
datos.
50% 1500 19. Implementar un cableado estructurado de red de ratos s
según normativa
4000 -2500 -2500
12. Políticas de seguridad en caso de desastres
naturales inexistente
50% 1500 15. Aplicar politicas de seguridad y procedimientos en
caso desastres naturales
500 1000 1000
10. Deterioro de Hardware
20% 600
13. Instalaciones
Inadecuadas, para proteccion del cableado
50% 300 17. Mejora del cableado de Red
de Datos 2500 -2200 -2200
14. No existe cableado
estructurado en la red de datos.
100% 600
19. Implementar un cableado
estructurado de red de ratos s según normativa
4000 -3400 -3400
11. Políticas de seguridad deficientes e inexistentes para el cuidado y
conservacion de hardware
50% 300
20. Aplicar politicas de seguridad y procedimientos
para el cuidado y conservación
de la red
200 100 400
ALE DC= FE*VALOR DEL ACTIVO* Probabilidad de que ocurra la amenaza a pesar del control VALOR DEL CONTROL= ALE-ALEDC-COSTO CONTROL
5.7 Selección de controles
Análisis y descripción de Amenazas
Análisis y descripción de Vulnerabilidades
Selección de Controles
Implementación de Controles
Establecimiento de una política de control de accesos.
Uso de criptografía para proteger los datos.
Restringir el ingreso de personas no autorizadas
Restringir el uso de dispositivos de almacenamiento
Limitar el uso de correos no corporativos y acceso a servidores FTP
Definir una política de copias de seguridad
Adquisición de actualizaciones
Solicitar soporte para el correcto uso del Sistema
Creación de una guía de usuario.
Capacitar a una segunda persona como respaldo.
Establecimiento de una política de control de accesos
Restringir el uso de dispositivos de almacenamiento
Implementar integración automática entre ambos sistemas (Contabilidad y
facturación).
Restringir el ingreso de personas no autorizadas.
Adquisición de actualizaciones
Análisis del tráfico de la red
Normas de restricción y privilegios de usuarios
Uso de cortafuegos
Instalación de un sistema de registro con huella dactilar.
Instalación de cámaras de seguridad.
Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de los
equipos.
Instalación de equipos de protección de cortes de energía eléctrica.
Instalaciones de alarmas y control de incendio.
Aplicar políticas de seguridad y procedimientos en caso desastres naturales.
Instalación de un sistema de registro con huella dactilar.
Instalación de cámaras de seguridad.
Mejora del cableado de Red de Datos.
Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de la
red.
5.8 Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y)
Las métricas que se han descrito son las siguientes:
Ref. Política Políticas de Formación y Capacitación en Materia de Seguridad de
la Información
Concepto
Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en el organismo, recibirán una adecuada capacitación , preparación y actualización periódica en materia de la política, normas y procedimientos de la empresa
Dimensión El personal tiene conocimiento de las políticas de seguridad
Métrica Personal capacitado
Frecuencia Cada 90 días
Fuente Test de capacitación
Indicadores % de personal que aprobaron el test
justificación Falta de políticas de acceso y restricción al sistema
Ref. Política Controles de Acceso
Concepto Restricción y control accesos a los sistemas.
Dimensión Accesos desde puntos de red cableados e inalámbricos autorizados y no autorizados
Métrica Cantidad de accesos de red autorizados y no autorizados
Frecuencia Cada 30 días
Fuente Archivos logs del servidor, router y del sistema.
Indicadores % de accesos autorizados
justificación Falta de políticas de acceso y restricción al sistema
Ref. Política Seguridad Física
Concepto
Se utilizarán perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información.
Dimensión Fallas de equipos y de la capa física de la red del sistema.
Métrica Cantidad de mal funcionamiento de equipos.
Frecuencia Cada 90 días
Fuente Registro de servicio de técnico.
Indicadores % de fallas de los equipos.
justificación Falta de seguridad de funcionamiento optimo de los equipos
Ref. Política Confidencialidad
Concepto Buscar que la información confidencial de la empresa no esta
comprometida ni expuesta
Dimensión Información confidencial de la empresa
Métrica Cantidad de información confidencial
Frecuencia Mensual
Fuente Auditoria Interna
Indicadores % de información filtrada
justificación Prevención de fuga de información.
Ref. Política Respaldo de Información
Concepto La información respaldada en dispositivos externos tiene que ser verificada.
Dimensión Respaldos realizados de la información
Métrica Cantidad de copias de seguridad realizadas.
Frecuencia Mensual
Fuente Backups de la Base de datos
Indicadores % de información respaldada
justificación Prevención de perdida de información.
Ref. Política Actualización de Tecnologías
Concepto Se medirá la actualización progresiva de los sistemas de información y equipos utilizados.
Dimensión Software y hardware actualizado
Métrica Cantidad de equipos por actualizar
Frecuencia Anual
Fuente Análisis de versiones y estado.
Indicadores % de software y hardware actualizado
justificación Mantener los sistemas actualizados
5.9 Plan de Implementación General
El plan te implementación general ser la guía para la implementación de los controles
seleccionados para corregir en su totalidad o parcialmente las vulnerabilidades y de esta
forma no representen un riesgo a la empresa cundo se presente una amenaza externa o
interna.
5.9.1 Objetivos
Análisis y descripción de amenazas
Análisis y descripción de vulnerabilidades
Selección de controles
Implementación de controles
5.9.2 Presupuesto implementación de controles
El presupuesto provisional total que tendrá la implementación de los controles
seleccionados asciende a un costo de $us. 66100,00.
Id Controles Mes1 Mes2 Mes3 Mes4 Mes5 Mes6 Mes7 Mes8 Mes9 Mes12 Mes11 Mes12
1 Análisis y descripción de Amenazas
2 Análisis y descripción de
Vulnerabilidades
3 Selección de Controles
4 Implementación de Controles
5 Establecimiento de una política de
control de accesos
6 Uso de criptografía para proteger los
datos
7 Restringir el ingreso de personas no
autorizadas
8 Restringir el uso de dispositivos de
almacenamiento
9 Limitar el uso de correos no
corporativos y acceso a servidores FTP
10 Definir una política de copias de
seguridad
11 Adquisición de actualizaciones
12 Solicitar soporte para el correcto uso
del Sistema
13 Creación de una guía de usuario
14 Capacitar a una segunda persona
como respaldo
15 Establecimiento de una política de
control de accesos
16 Restringir el uso de dispositivos de
almacenamiento
17 Implementar integración automática entre ambos sistemas (Contabilidad y
Facturación)
18 Restringir el ingreso de personas no
autorizadas
19 Adquisición de actualizaciones
20 Análisis del tráfico de la red
21 Normas de restricción y privilegios de
usuarios
22 Uso de cortafuegos
23 Instalación de un sistema de registro
con huella dactilar
24 Instalación de cámaras de seguridad
25 Aplicar políticas de seguridad y
procedimientos para el cuidado y conservación de los equipos
26 Instalación de equipos de protección
de cortes de energía eléctrica
27 Instalaciones de alarmas y control de
incendio
28 Aplicar políticas de seguridad y
procedimientos en caso desastres naturales
29 Instalación de un sistema de registro
con huella dactilar
30 Instalación de cámaras de seguridad
31 Mejora del cableado de Red de Datos
32 Aplicar políticas de seguridad y
procedimientos para el cuidado y conservación de la red
5.10 Conclusiones y recomendaciones
Conclusiones:
El análisis de riesgo realizado nos permitió detectar con éxito las vulnerabilidades
existentes en los procesos de la empresa y seleccionar los controles adecuados.
La mayoría de las vulnerabilidades se deben a la actitud de los empleados, los
cuales necesitan institucionalizarse y comprometerse con los objetivos de la
empresa.
Las políticas de seguridad planteadas necesitan ser ejecutadas para dar seguridad al
centro de cómputo y a la información que es un activo vital para la empresa.
Estas políticas se pueden observar en la sección de Anexos.
Recomendaciones:
Se necesita lograr el compromiso de los trabajadores de la empresa. La actitud en
el compromiso laboral es importante, ya que es la medida en que una persona se
identifica con la empresa y su entorno, queriendo participar en las actividades de
la misma, persiguiendo los mismos objetivos y cuidando de los activos.
6. CONCLUSIONES Y RECOMENDACIONES ACADÉMICAS
Conclusiones:
Se logró comprender que el manejo adecuado de la información constituye una
clave de éxito frente a la competencia.
Se aplicó los conceptos de seguridad de información para poder encontrar las
vulnerabilidades tecnológicas y aplicar los controles necesarios.
En base a las vulnerabilidades identificadas y los controles, se logró desarrollado
como propuesta de implementación políticas de seguridad, con el fin de mantener
la disponibilidad, integridad y confidencialidad de la información y del
equipamiento que conforma el centro de cómputo.
Recomendaciones:
Para poder tener una visión más amplia de la empresa en la cual se realiza el
análisis de riesgos, podría hacerse un análisis FODA y también tener en cuenta la
visión y misión.
7. BIBLIOGRAFÍA
ING. JOSE MANUEL POVEDA
2012-10 http://jmpovedar.wordpress.com/auditoria-informatica/
2012-10 http://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf
POLITICAS DE SEGURIDAD
2012-10 http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
2012-10 http://es.wikipedia.org/wiki/Esc%C3%A1ner_de_puertos
8. ANEXOS
8.1 Definición de Políticas
8.1.1 Compromiso de Confidencialidad
o Como parte de sus términos y condiciones iniciales de empleo, los empleados, cualquiera sea su cargo, firmarán un Compromiso de Confidencialidad o no divulgación, en lo que respecta al tratamiento de la información del Organismo.
o Asimismo, mediante el Compromiso de Confidencialidad el empleado declarará
conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo.
o Los términos y condiciones de empleo establecerán la responsabilidad del empleado en materia de seguridad de la información. Por ejemplo en relación con las leyes de Propiedad Intelectual o la legislación de protección de datos, se encontrarán aclarados e incluidos en los términos y condiciones de empleo.
8.1.2 Formación y Capacitación en Materia de Seguridad de la
Información
o Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en el organismo, recibirán una adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de la empresa. Esto comprende los requerimientos de seguridad y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su estación de trabajo.
8.1.3 Perímetro de Seguridad Física
o La empresa utilizará perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información.
Se considerarán e implementarán los siguientes lineamientos y controles, según corresponda:
a. Definir y documentar claramente el perímetro de seguridad. b. Ubicar las instalaciones de procesamiento de información dentro del
perímetro de un edificio o área de construcción físicamente sólida (por ejemplo no deben existir aberturas en el perímetro o áreas donde pueda producirse fácilmente una irrupción).
c. Extender las barreras físicas necesarias desde el piso (real) hasta el techo (real), a fin de impedir el ingreso no autorizado y la contaminación ambiental, por ejemplo por incendio, humedad e inundación.
d. El Responsable de Seguridad Informática llevará un registro actualizado de los sitios protegidos, indicando:
1) Identificación de las instalaciones y áreas. 2) Principales elementos a proteger. 3) Medidas de protección física.
8.1.4 Controles de Acceso
Estos controles de acceso físico tendrán, por lo menos, las siguientes características:
o Supervisar o inspeccionar a los visitantes a áreas protegidas y registrar la fecha y horario de su ingreso y egreso.
o Controlar y limitar el acceso a la información clasificada y a las instalaciones de
procesamiento de información, exclusivamente a las personas autorizadas. Se utilizarán los siguientes controles de autenticación para autorizar y validar todos los accesos: Por ejemplo: personal de guardia con listado de personas habilitadas o por tarjeta magnética o inteligente y número de identificación personal (PIN), etc.).
o Implementar el uso de una identificación visible para todo el personal
8.1.5 Protección de Oficinas, Recintos e Instalaciones
Definir el centro de cómputo como área protegida de la empresa. Se establecen las
siguientes medidas de protección:
o Ubicar las instalaciones críticas en lugares a los cuales no pueda acceder personal no autorizado.
o Establecer que los edificios o sitios donde se realicen actividades de procesamiento de información serán discretos y ofrecerán un señalamiento mínimo de su propósito, sin signos obvios, exteriores o interiores.
o Ubicar las funciones y el equipamiento de soporte, por ejemplo: impresoras, fotocopiadoras, máquinas de fax, adecuadamente dentro del área protegida para evitar solicitudes de acceso, el cual podría comprometer la información.
o Separar las instalaciones de procesamiento de información administradas por la empresa de aquellas administradas por terceros.
o Restringir el acceso público a las guías telefónicas y listados de teléfonos internos que identifican las ubicaciones de las instalaciones de procesamiento de información sensible.
o Almacenar los equipos redundantes y la información de resguardo (back up) en un sitio seguro y distante del lugar de procesamiento, para evitar daños ocasionados ante eventuales contingencias.
8.1.6 Desarrollo de Tareas en Áreas Protegidas
o Dar a conocer al personal la existencia del área protegida, o de las actividades que
allí se llevan a cabo, sólo si es necesario para el desarrollo de sus funciones.
o Impedir el ingreso de equipos de computación móvil, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información, a menos que hayan sido formalmente autorizadas por el Responsable de dicho área o el Responsable del Área Informática y el Responsable de Seguridad Informática.
o Prohibir comer, beber y fumar dentro de las instalaciones de procesamiento de la
información.
8.1.7 Ubicación y Protección del Equipamiento y Copias de Seguridad
o Ubicar el equipamiento en un sitio donde se minimice el acceso innecesario y
provea un control de acceso adecuado.
o Ubicar las instalaciones de procesamiento y almacenamiento de información que manejan datos clasificados, en un sitio que permita la supervisión durante su uso.
8.1.8 Suministros de Energía
El equipamiento estará protegido con respecto a las posibles fallas en el suministro de energía u otras anomalías eléctricas. Para asegurar la continuidad del suministro de energía, se contemplarán las siguientes medidas de control:
o Disponer de múltiples enchufes o líneas de suministro para evitar un único punto de falla en el suministro de energía.
o Contar con un suministro de energía ininterrumpible (UPS) para asegurar el apagado regulado y sistemático o la ejecución continua del equipamiento que sustenta las operaciones críticas del Organismo.
8.1.9 Seguridad del Cableado
El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información estará protegido contra intercepción o daño, mediante las siguientes acciones:
o Cumplir con los requisitos técnicos vigentes
o Utilizar pisoducto o cableado embutido en la pared, siempre que sea posible, cuando corresponda a las instalaciones de procesamiento de información.
o Separar los cables de energía de los cables de comunicaciones para evitar interferencias.
o Proteger el tendido del cableado troncal (backbone) mediante la utilización de ductos blindados.
8.1.10 Mantenimiento de Equipos
o Se realizará el mantenimiento del equipamiento para asegurar su disponibilidad e integridad permanentes:
o Someter el equipamiento a tareas de mantenimiento preventivo, de acuerdo con
los intervalos de servicio y especificaciones recomendados por el proveedor y con la autorización formal del Responsables del Área Informática.
o Establecer que sólo el personal de mantenimiento autorizado puede brindar
mantenimiento y llevar a cabo reparaciones en el equipamiento.
o Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo y correctivo realizado.
8.1.11 Planificación y Aprobación de Sistemas
El Responsable del Área Informática y el Responsable de Seguridad Informática sugerirán criterios de aprobación para nuevos sistemas de información, actualizaciones y nuevas versiones, solicitando la realización de las pruebas necesarias antes de su aprobación definitiva. Se deben considerar los siguientes puntos:
o Verificar el impacto en el desempeño y los requerimientos de capacidad de las computadoras.
o Garantizar la recuperación ante errores.
o Asegurar que la instalación del nuevo sistema no afectará negativamente los
sistemas existentes, especialmente en los períodos pico de procesamiento.
o Disponer la realización de entrenamiento en la operación y/o uso de nuevos sistemas.
8.1.12 Protección Contra Software Malicioso
El Responsable de Seguridad Informática definirá controles de detección y prevención para la protección contra software malicioso.
El Responsable de Seguridad Informática desarrollará procedimientos adecuados de concientización de usuarios en materia de seguridad, controles de acceso al sistema y administración de cambios. Estos controles deberán considerar las siguientes acciones:
o Prohibir el uso de software no autorizado por el Organismo. o Redactar procedimientos para evitar los riesgos relacionados con la obtención de
archivos y software desde o a través de redes externas, o por cualquier otro medio, señalando las medidas de protección a tomar.
o Instalar y actualizar periódicamente software de detección y reparación de virus, examinado computadoras y medios informáticos, como medida precautoria y rutinaria.
o Mantener los sistemas al día con las últimas actualizaciones de seguridad disponibles
o Revisar periódicamente el contenido de software y datos de los equipos de procesamiento que sustentan procesos críticos del Organismo, investigando formalmente la presencia de archivos no aprobados o modificaciones no autorizadas.
o Redactar procedimientos para verificar toda la información relativa a software
malicioso, garantizando que los boletines de alerta sean exactos e informativos.
o Concientizar al personal acerca del problema de los falsos virus (hoax) y de cómo proceder frente a los mismos.
8.1.13 Resguardo de la Información
Se definirán procedimientos para el resguardo de la información, que deberán considerar los siguientes puntos:
o Definir un esquema de rótulo de las copias de resguardo, que permita contar con toda la información necesaria para identificar cada una de ellas y administrarlas debidamente.
o Almacenar en una ubicación remota copias recientes de información de resguardo
junto con registros exactos y completos de las mismas y los procedimientos documentados de restauración, a una distancia suficiente como para evitar daños provenientes de un desastre en el sitio principal.
o Verificar y probar periódicamente los procedimientos de restauración
garantizando su eficacia y cumplimiento dentro del tiempo asignado a la recuperación en los procedimientos operativos.
8.1.14 Controles de Redes
o Establecer los procedimientos para la administración del equipamiento remoto, incluyendo los equipos en las áreas usuarias, la que será llevada a cabo por el responsable establecido en el punto “Asignación de Responsabilidades en Materia de Seguridad de la Información”.
o Establecer controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados. Implementar controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas.
o Garantizar mediante actividades de supervisión, que los controles se aplican uniformemente en toda la infraestructura de procesamiento de información.
El Responsable del Área Informática implementará dichos controles.