En la Fase 3 es donde se desarrolla la estrategia y los planes de seguridad, es la fase de análisis de riesgos, la información obtenida en la Fase 1 y Fase 2 se utiliza para evaluar el riesgo de comprometer los datos de la organización y el riesgo asociado con la actividad empresarial de la compañía. La estrategia de seguridad y las formas de minimizar el riesgo de pérdida de datos que se están desarrollando, con la información exacta sobre el modelo de negocio de la organización, que es capaz de determinar los tipos de ataque y lo que podría ocurrir en el futuro, en la fase 3, el equipo de análisis crea una estrategia de protección y genera planes de mitigación basado en el análisis de información recolectada.
Producto de Salida de la Fase 3
Salida Descripción
Riesgos a los activos críticos
Un riesgo a un activo crítico indica como una amenaza a este puede resultar en un impacto generando consecuencias negativas en la institución.
Medidas del riesgo
Las medidas del riesgo son medicionales cualitativas del efecto final sobre la misión y objetivos organizacionales (valor del impacto) y la posibilidad de ocurrencia (probabilidad).
Estrategia de protección
Una estrategia de protección organizacional define su dirección con respecto a los esfuerzos de mejoramiento en seguridad de la información.
Planes de mitigación del
riesgo
Los planes de mitigación del riesgo son planes organizacionales definidos por la entidad para reducir el riesgo en sus activos críticos.
69 FASE N° 1: EVALUACIÓN INSTITUCIONAL
METODOLOGÍA DE IDENTIFICACIÓN DE ACTIVOS Y PRIORIDADES ACTIVAS.
En este proceso de selección de activos consta en principio de consolidar un grupo de trabajo para el desarrollo de la metodología que a su vez se encarga de enlistar todos los activos que se consideren de acuerdo a su criticidad tomar en cuenta. Para realizar esto se debió realizar una lluvia de ideas que busca consolidar un inventario total de activos de tecnología que facilita el proceso de identificación de activos críticos, posteriormente se realizó una valoración de todas las posibilidades para realizar un proceso de ponderación de criticidad del activo en la institución.
Teniendo en cuenta lo anterior se consideraría como activo crítico un conjunto de los activos más importantes para la institución, ya que depende directamente la disponibilidad de los servicios a largo, corto y mediano plazo. Posterior a la definición de los activos objetos de estudio se procede al análisis de los escenarios para cada uno de los activos críticos en donde se define si cumple o no con las cualidades según lo descrito por la metodología.
Luego de realizar un estudio de los activos de tecnología de la información y las comunicaciones con el equipo de análisis de la entidad, a continuación se identifica los siguientes activos que son de vital importancia para la institución:
• Servicio de internet: Este servicio permite el acceso de los funcionarios
que lo requieran para hacer diferentes consultas, compartir información de una manera eficaz y sencilla tanto de manera interna como externa desde y hacia cualquier parte del mundo.
• Infraestructura de red y comunicaciones: Es el conjunto de todos los
dispositivos activos y pasivos que componen la red y son de vital importancia para el correcto desarrollo de las actividades en la institución, ya que brindan el acceso a Internet, conexión LAN y WAN por medio de un canal dedicado, permitiendo el acceso a los servicios ofrecidos por la
70
institución, el ingreso de los funcionarios a las aplicaciones en red, acceso a la bases de datos, y comunicación con otras redes.
• Servidores: Corresponde al equipamiento que posee la institución que
centraliza almacena y procesa toda la información que opera la institución.
SEGURIDAD DE LA INFORMACIÓN ACTUALMENTE EN LA EMPRESA. Para implementar los controles que nos brinda la norma ISO27001 del SGSI, Se realizó un análisis previo para determinar el grado de seguridad, confidencialidad, integridad y disponibilidad de la información, y determinar como la vienen salvaguardando.
Se pudo constatar que no existe control alguno para salvaguardar la información, las computadoras que se utiliza para acceder a la información que se encuentra en el computador con XP que hace la función de servidor no cuentan con seguridades como una contraseña y usuarios invitados, La máquina con XP tampoco cuenta con alguna seguridad para que accedan a ella con privilegios, al momento de que un usuario se conecta a la red tiene acceso a toda la información de la empresa es así que se encuentra en Riesgo de que sea manipulada o eliminada.
Contraseñas
Las maquinas no cuentan con identificación ni autentificación (usuario y contraseña) para acceder al computador ni para acceder a la información, el personal de la empresa no cuenta con privilegios para acceder a la información, de manera que cualquier usuario no autorizado conectado en la red puede modificar, eliminar la información.
71 Red interna
La Empresa Pública Provincial de Servicio Social Santo Domingo Solidario dispone de un Red LAN conectados a través de un Switch y un Router que están conectados al internet que nos proveen, dispone de 22 equipos que serán descritos a continuación. Inventario de Equipos Departamento N° de Equipos Dirección IP Gerente 1 DHCP Asistente de Gerencia 1 DHCP Compras Publicas 2 DHCP Financiero 3 DHCP Secretaria General 1 DHCP Departamento Técnico 1 DHCP Otros 6 DHCP Servidor 1 DHCP Impresora b/n 4 DHCP Impresora Color 2 DHCP Total 22
Tabla 7 Inventario de Equipos
La Empresa Pública Provincial de Servicio Social Santo Domingo Solidario no cuenta con todas la maquinas cableadas, 6 máquinas se conectan inalámbricamente al Router lo cual produce demasiadas molestias al personal de la empresa, ya que tienen conflictos de direcciones IP, y se desconectan de la Red a cada momento.
En el departamento técnico se encuentra ubicado el Computador XP que tiene todos los datos de la empresa, pero no cuenta con una configuración apropiada para acceder al mismo, dejando así vulnerable toda la información en la RED.
No existen controles ni políticas de seguridad donde se administren las maquinas conectadas a la red o las direcciones IP de cada máquina, donde se pueda gestionar, minimizar y evaluar los riesgos que presenta en cuanto a la confidencialidad, integridad y disponibilidad de la información.
72 Acceso a la WEB
Por el momento no existe una administración en cuanto al acceso a la WEB, todos los usuarios que se conectan a la RED tienen acceso a internet libremente sin restricciones lo que produce que el personal se distraiga en redes sociales o páginas no debidas en horas de trabajo lo que produce pérdidas económicas para la empresa ya que ellos tienen que estar a la casa de cualquier proceso de compras públicas de la SERCOP.
Antivirus
Las computadoras de la Empresa Pública Provincial de Servicio Social Santo Domingo Solidario cuentan con licencias gratuitas de antivirus como el Avast y el Eset Smart Security, las mismas que se actualizan a través de internet.
No se realizan escaneos periódicos en busca de virus en el computador que cumple la función como servidor ni en las computadoras que se utiliza para acceder a la información no existe un política donde se designe a un responsable que se encargue de realizar estos cheques por lo que se tiene problemas frecuentes con virus.
Control de aplicaciones en PC’s
Actualmente cualquier usuario puede instalar aplicaciones, programas o software, ya que no existe un control ni procedimientos a seguir o alguna documentación respecto a que políticas seguir para instalar alguna aplicación o actualización de la configuración de las PC’S. Solo existen instalaciones básicas de Windows y llenas de aplicaciones innecesarias tampoco hay una respectiva actualización de programas instalados, como el office, el lector de pdf, ni los servi packs de Windows o aplicaciones.
No existe un documento o políticas escritas de actualización de programas, tampoco se documenta ningún cambio realizado, por lo tanto el usuario instala
73
cualquier programa que desee, llegando a instalar aplicaciones maliciosas que causan que el computador no funcione correctamente.
Control de acceso a los equipos
Hasta el momento no se sabe si ha existido robo de información, ya que no existe una política que administre el control de acceso a los equipos, no se realiza un control periódico sobre los dispositivos de hardware instalados en los equipos ni en la máquina que hace la función de servidor de manera que podrían sacar o poner alguna.
Una vez que se instaló el equipo no se realiza un chequeo periódico o rutinario, solo se revisa cuando se encuentran muy lentas por virus o cuando el usuario reporta algún problema o falla. La máquina que hace la función de servidor y la Red inalámbrica no se la apaga en horarios no laborales, dejando que cualquier persona que hackee la red tenga acceso a toda la información no existiendo una confidencialidad de la misma.
Dispositivo de soporte
En la Empresa Pública Provincial de Servicio Social Santo Domingo Solidario dispone de los siguientes dispositivos para el soporte de los equipos informáticos:
✓ Cada computador tiene su propio UPS, que durante un apagón o una falla de corriente le da aproximadamente 5 minutos de energía para poder resguardar la información y poder apagar el computador correctamente para que no sufra daño alguno
✓ La Empresa Pública Provincial de Servicio Social Santo Domingo Solidario cuenta con una conexión a tierra que ayuda que las computadoras no sufran alguna descarga eléctrica
74
Responsables de la seguridad de la información Y equipos
No existen usuarios responsables que se encarguen de administrar y dar seguridad a la información, para que esta mantenga su confidencialidad, integridad y disponibilidad en su ciclo de vida, existe un responsable general del departamento técnico, que solo revisa las maquinas cuando el personal le hace conocer que existe algún problema.
El personal se comunica de forma verbal con el encargado general, no existe un registro de cada requerimiento que se desea, ya que no se cuenta con un mantenimiento preventivo periódicamente.
Backup
Cuando se realiza un cambio en la configuración de la máquina que contiene la información, no se guardan copias de la configuración anterior, ni se documenta los cambios que se procedieron a hacer, ya que no existe un responsable.
La empresa no cuenta con un RAID para tolerar algún fallo en el Disco que contiene la información y esta pueda seguir disponible cuando el personal desee el acceso a ella.
INSTALACION DEL SERVIDOR.
Con las metodologías empleadas se determinó que CentOS 5.5 es el más estable, y que tiene el firewall más poderoso si no decir el número en cuanto a software, y también el que soporta la instalación de todos los servicios que se van a implementar para la seguridad de la información en un mismo Computador, y así poder implementar el SGSI basado en la norma ISO 27001 sobre este servidor y los servicios de RED para el apoyo de la seguridad de la información.
75 Instalación de CentOS
Ilustración 4 CentOS Instalado
Una vez que tenemos nuestro servidor CentOS instalado procedemos a instalar y configurar los servicios que se va a utilizar los cuales son: Samba, DHCP, Proxy y el Firewall.
Instalación y configuración del servicio samba
Primeramente crearemos usuarios y una contraseña luego los agregaremos a samba.
76
Mediante un terminal con la herramienta yum se procederá a la instalación.
Ilustración 6 Instalación de Samba
Una vez instalado samba procederemos a editar el archivo smb.conf con el editor vim, se procederá a configurar usuarios con privilegios para acceder a la información.
Ilustración 7 Accedemos al archivo de samba smb.conf
Configuramos el nombre del grupo de trabajo y el nombre del Servidor que se va a visualizar en la Red, y las carpetas con privilegios a usuarios.
77
Ilustración 9 Creación de carpetas y privilegios a usuarios
Instalación del servicio DHCP
78
Una vez instalado nuestro servicio configuraremos el archivo dhcpd.conf donde le diremos que parametros va a llevar la Red com direcciones IP, mascara de Red, y DNS si es necesario etc.
Tambien se dejara libre 10 IP dinamicas para las portatiles, celulares o tablets de los proveedores o clientes que deseen acceder a la WEB en su visita a la Empresa Pública Provincial de Servicio Social Santo Domingo Solidario.
Ilustración 11 configuracion del servicio DHCP
Las maquinas que acceden a la infromación sera controladas mediantes IP fijas que las administrasa el servidor evitandos los conflictos de direcciones IP ya que las IP iran amarradas con cada MAC de cada maquina.
79 Instalacion y configuracion del proxy
El proxy lo configuraremos mediante el servicio squid.
Ilustración 13 Instalación del servicio Squid
Una vez instalado nuestro servicio squid configuraremos el archivo squid.conf en el cual negaremos ciertas extensiones de la WEB, permitiendo aprovechar mejor el uso del ancho de banda que se dispone, se lo realizara mediante una lista de control de acceso que coincidan con las extensiones que se desea negar el acceso.
80
Ilustración 14 Configuracion recomendada squid
Por el momento se crearan dos listados de control de acceso ACL, dentro de la carpeta de nuestro squid, en el uno se pondrá extensiones de contenidos para adultos y en el otro extensiones de páginas, redes sociales, el cual nos ayudara a administrar el acceso a la WEB.
Ilustración 15 primer ACL prohibido
81
Una vez creado los ACL se hará el llamado desde el archivo de configuración squid.conf, y este comprobara cada pedido de la red local a la WEB.
Ilustración 17 Llamamos nuestras ACL
Configuración de firewall o cortafuegos.
CentOS nos permite crear nuestras propias reglas, nuestro propio firewall utilizando las IPTABLES, La configuración del firewall por software permitirá el reenvió de paquetes que llegan al servidor a la red local dando acceso al internet, se administrara las páginas mediante el puerto seguro tcp/443.
Ilustración 18 Configuración IPTABLES
82
Ilustración 20 Administración del puerto tcp/443
INSTALACION CABLEADO ESTRUCTURADO.
Para mejorar la conexión de la Red interna se procederá a cambiar la estructura de la Red y se hará un cableado estructurado para que todas las maquinas se conecten vía cable al servidor que se configuro y no tengan problemas de conexión.
83
Ilustración 22 Puntos de red
84
DESCRIPCION Switch 24 puertos
PATCH PANEL 24 Puertos Organizadores de Cables Racks Pequeño
Jack Y Conectores Rj45 Cat 6 Cable UTP Next Cat 6
Access Point Canaletas Cajetines de red
Tabla 8 Detalle de implementos de red
PRESUPUESTO
En este caso para la implementación del Proyecto, se ha considerado los siguientes materiales y equipos informáticos con la finalidad de tener un presupuesto asignado para la compra de dichos equipos a la Empresa Pública Santo Domingo Solidario. En la cual se destaca lo siguiente. (Ver Anexo H)
COSTOS DE IMPLEMENTACION
CANTIDAD DESCRIPCION VALOR
1 Switch 48 puertos Gigabit Admin. 649.99 1 Organizador cable full plastic single 1ru 75.00 1 Patch Panel 48 puertos cat 6 89.00 1 Rack Gabinete cerrado de pared 155.00
30 Conector RJ 45 cat 6 135.00
1 Access Point RJ 45 cat 6 120.00
30 Canaletas 2’5 pl 105.00
10 Cajetín de red 30.00
1 Servidor Intel Xeon 6 Core 8 GB 4 TB 2189.90 1 Rollo Cable UTP Cat 6 Log. Exteriores 185.00 (no incluye IVA) Total 3733,89
TOTAL INCLUIDO IVA 4181,96
85 IMPACTO ADMINISTRATIVO
Con la implementación del Sistema de gestión de la seguridad de la información sobre el servidor se pudo reducir los riesgos, vulnerabilidades, amenazas o inconvenientes que presentaba la empresa en cuanto a la información al memento de acceder a ella, ya se cuenta con usuario y contraseñas para ingresar a las estaciones de trabajo y de igual manera para ingresar al servidor que se encuentra en la red, se ha logrado evitar que terceras personas que tienen q conectarse a la red puedan ver la información de la empresa ya que si quieren ingresar al servidor les pedirá autentificación, se ha logrado capacitar al personal en cuanto materia de seguridad de la información para que concienticen del riesgo que existe.
Mediante los servicios de red y un nuevo cableado estructurado se logró que todas las máquinas que funcionan en la empresa se conecten vía cable logrando siempre tener disponible la información, gracias al servicio de Red DHCP se logró configurar cada máquina con su dirección IP en el servidor para que no existan conflictos de IP que era uno de los problemas que existía y se perdida la disponibilidad de la información cuando más se la necesitaba.
CONCLUSIONES PARCIALES DEL CAPÍTULO
• A través de la instalación del servidor y sus servicios de red se pudo ayudar a la implementación del Plan Informático ya que la Empresa Pública Santo Domingo Solidario no presentaba ningún control en cuanto a la seguridad de su información, gracias a la metodóloga de riesgos se pudo analizar y evaluar estos riesgos para luego poder implementar los controles necesario que ayudaron a tratarlos y se logró tener una información segura y confiable.
• A través de la evaluación de los riesgos que presentaban los activos de información se pudo determinar el valor del riesgo con la cual estaban
86
expuestos, brindando una seguridad para el almacenamiento de la información.
• La Metodología OCTAVE es una técnica de planificación y consultoría estratégica en seguridad basada en el análisis de riesgo, En contra de la típica consultoría mentalizada en tecnología, que tiene como objetivo los riesgos tecnológicos, y su objetivo es el riesgo organizacional.
87 CONCLUSIONES GENERALES
El sistema de gestión de seguridad de la información que se ha implementado en la Empresa Pública Santo Domingo Solidario de Santo Domingo de los Tsáchilas, fue de mucha importancia para ayudar a la protección de la información luego de a ver configurado el servidor CentOS y sus servicios de red ya que ayudara a la continuidad del negocio sin tener inconvenientes en la disponibilidad de la información.
Con el presente análisis se pudo determinar la falta de control que existía en cuanto a la seguridad de la información en la Empresa Pública Santo Domingo Solidario, lo cual a primera instancia se pudo determinar que la información se encontraba muy vulnerable no existía una confidencialidad que la mantenga integra.
Con la presente investigación se pudo determinar que el Sistema de Antivirus de la Información puede reducir riesgos, vulnerabilidades y amenazas de la información en empresas pequeñas, medianas o grandes, con el fin de minimizar gestionar y controlar estos riesgos a los cuales la información está expuesta logrando obtener una confidencialidad, integridad y disponibilidad de la información cuando se la necesite.
La metodología OCTAVE se basa en una evaluación efectiva de riesgos en la seguridad de la información, en la cual se considera tanto los temas organizacionales como los técnicos, además se examina cómo la gente emplea la infraestructura en forma diaria. Y su evaluación es de vital importancia para cualquier iniciativa de mejora en seguridad.
88 RECOMENDACIONES GENERALES
Se recomienda una revisión periódica de los controles implementado para verificar y actualizar las políticas creadas para cada vez más llegar a una seguridad máxima de la información.
Se recomienda que la información de la Empresa Pública Santo Domingo Solidario debe ser protegida según su criticidad, ya que existe mucha información confidencial que necesita ser integra y estar disponible cuando se la necesite.
También se recomienda gestionar la posibilidad de sincronizar el respaldo automático de la información del servidor sobre un servidor en la nube ya que