3. CAPÍTULO III GESTIÓN DE RIESGOS
3.1. METODOLOGÍA
Como metodología para la gestión de riesgos en el plan de implementación del SGSI se acuerda trabajar con MAGERIT, la cual implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información8. MAGERIT presenta los siguientes objetivos:
Directos:
1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos
2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC)
3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control
Indirectos:
4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
3.2. INVENTARIO DE ACTIVOS
Para empezar con la gestión de riesgos se requiere un inventario de activos. Los activos son componentes o funcionalidades de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos9. A continuación, se presenta un fragmento de los activos
8
PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
9
43
identificados en Interfaces y Soluciones, el listado completo de activos se encuentra en el Anexo B - “Informe de Hallazgos” (disponible en el CD, ver pg. 92).
Tabla 9 Listado de activos (Fragmento)
ID Tipo Activo Descripción
ACT_0001 Comunicaciones Internet
Navegador: Chrome
Acceso a plataformas: Azure, Amazon, Arvixe Acceso inalámbrico a través de la tarjeta de red de los equipos
Servicio contratado con Claro: 5 Megas ACT_0002 Comunicaciones Intranet
cableado categoría 5E
Router suministrado por Claro, sin
configuraciones adicionales a las por defecto ACT_0003 Comunicaciones Telefonía
Panasonic KX-UT123
ACT_0004 Datos Backups
Se realizan backups manuales de:
- BD GTIntegration (base de datos sistema de integración)
- BDI (base de datos intermedia) - Satélites (código fuente)
- Generic Transfer Integration (sistema de integración)
- Ejecutables y archivos de configuración
ACT_0005 Datos
Código fuente aplicaciones de planta y administrativas
Código en Visual Basic .NET de: - Script estructura GTIntegration - Script datos GTIntegration
- Ejecutables y archivos config de los satélites/aplicativos
ACT_0006 Datos Bases de datos
corporativas
Bases con información de: - Usuarios generictransfer.com - Documentos configurados - Información contable - Clientes - Cotizaciones - Proyectos entregados - Proyectos en proceso - Consultorías y Capacitaciones - Conectores
- Modelo entidad relación Siesa - Programas
- Formatos documentos (manuales, accesos) - Versiones GTI (sistema de integración) y satélites.
44
ACT_0007 Hardware Router
Inalámbrico
Gateway MG6002N(Proporcionado por Claro) WAN 1x10/100 Mbps wan Ethernet
USB para 2G/3G/4G USB Modem connectivity LAN 4x10/100/1000 Mbps Ethernet Port ACT_0008 Hardware Servidor de
Correos Gmail empresarial
ACT_0009 Hardware Servidor para
pruebas de BD opera con Windows Server 2012 R2
ACT_0011 Hardware Portátiles
Funcionan como estaciones de trabajo para el área de tecnologías de la información.Los equipos son de las siguiente marcas:- Notebook HP 14-ac186la - Intel Core i3-5005U 8 Gigas RAM- Notebook HP 14-v007la - AMD A10- 5745M APU - 8 Gigas RAM- Notebook HP x64- based PC - AMD A10-7300 - 12 Gigas RAM
ACT_0012 Hardware Unidades de CD , DVD y Memorias extraíbles ACT_0013 Hardware Discos duros de servidores y estaciones de trabajo
ACT_0014 Hardware Discos externos
Con información correspondiente a:
- Ejecutables y archivos de configuración de los satélites(programa que consume el Web Service de siesa), aplicaciones, servicios web, GTI
ACT_0015 Hardware UPS
8 tomas.
Con autonomía de 5 a 20 min Da soporte a 5 equipos. ACT_0016 Instalaciones Sedes de
operación
Cuenta con dos sedes: - Bogotá
- Medellín
ACT_0017 Instalaciones Sala eléctrica Cuarto de suministro eléctrico del edificio ACT_0018 Instalaciones Sistema de aire
acondicionado
Perteneciente al edificio donde funcionan las oficinas de la organización
ACT_0019 Instalaciones oficinas Ubicadas en el 2 piso del edificio
ACT_0020 Recursos Humanos Dirección Se cuenta con: - Director comercial - Director de proyectos - Administración ACT_0025 Software Bases de datos: SQL server 2014 Management Studio
45
3.3. VALORACIÓN DE ACTIVOS
Siguiendo la metodología se define una tabla de valoración de activos que depende de tres dimensiones de gran importancia para la seguridad de la información, las cuales son: confidencialidad, integridad y disponibilidad.
3.3.1. Confidencialidad
La confidencialidad se refiere a que la información debe llegar únicamente a las personas autorizadas. Esta es definida según las características de la información gestionada y procesada por el activo. Para la presente valoración se toma en cuenta los siguientes criterios de clasificación.
Tabla 10 Criterios de valoración de Confidencialidad
Escala de
Valoración Valor Confidencialidad
3
AltoEl activo gestiona y/o procesa Información Reservada, su uso inadecuado puede generar consecuencias graves para la organización.
Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.
2
MedioEl activo gestiona y/o procesa Información Clasificada, su uso
inadecuado puede
generar medianas
consecuencias a la organización, como por ejemplo, reclamaciones de las áreas que soporta.
Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del propietario.
1
BajoEl activo gestiona y/o procesa Información Pública, no genera consecuencias negativas para la organización.
Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad.
0
Clasificada NoActivos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados.
Deben ser tratados como activos de INFORMACIÓN RESERVADA hasta el momento en que se defina una valoración entre la escala del 1-3 definida.
46
3.3.2. Integridad
La integridad es una característica o propiedad de la información que garantiza que ésta no ha sido alterada (modificada o destruida) de manera no autorizada. Los criterios de valoración de integridad para los activos de I&S se describen a continuación:
Tabla 11 Criterios de valoración de Integridad
Escala de
Valoración Valoración Integridad
3
AltoEl activo gestiona Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas de la entidad. Es información que apoya la toma de decisiones estratégicas de la organización.
Los errores deben ser solucionados de inmediato.
2
MedioEl activo gestiona Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderada a funcionarios de la entidad. La información gestionada por el activo permite una brecha de errores que pueden ser solucionados a corto plazo.
1
BajoEl activo gestiona Información cuya pérdida de exactitud y completitud conlleva un impacto no significativo para la entidad o entes externos.
Los errores pueden ser solucionados en un mediano plazo
0
NoClasificada
El activo de información debe ser incluido en el inventario y aún no ha sido clasificado. Debe ser tratado como activo de Integridad nivel 3 hasta el momento en que se defina una valoración entre la escala del 1-3 definida.
47
3.3.3. Disponibilidad
La disponibilidad asegura que los usuarios autorizados tienen acceso a la información y activos asociados cuando lo requieren, es decir, con esta propiedad se previene la denegación de acceso a datos y servicios de información autorizados. En la tabla se presentan los criterios de valoración de disponibilidad para los activos de I&S.
Tabla 12 Criterios de valoración de Disponibilidad
Escala de
Valoración Valoración Disponibilidad
3
AltoEl activo apoya los procesos críticos de la entidad y se requiere de una recuperación inmediata en caso de falla. Puesto que, la no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas a entes externos.
2
MedioEl activo apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo no mayor a 3 días. Puede generar repercusiones económicas, legales o de imagen moderadas.
1
BajoEl activo apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo superior a 3 días. La no disponibilidad de la información puede afectar la operación normal de la entidad o entes externos, pero no conlleva a implicaciones legales, económicas o de imagen.
0
No ClasificadaActivos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados. Deben ser tratados como activos de Disponibilidad de nivel 3 hasta el momento en que se defina una valoración entre la escala del 1-3 definida.
48
3.4. ANÁLISIS DE AMENAZAS
Las amenazas suelen ser causas potenciales de incidentes que ocasionan daños al sistema de información o a la organización. Tras el análisis de los activos en I&S se detectan las amenazas listadas en la tabla.
Tabla 13 Resumen de Amenazas
Fuente: Elaboración Propia
C = Comunicaciones; D = Datos; H = Hardware; S = Software;
I = Instalaciones; R = RRHH; S = Software Nro Activos Afectados por Tipo ID
Riesgo Riesgo Vector Amenaza
C D H I R S Total
R_001 Abuso de privilegios de acceso
Abuso de información privilegiada
y actos no autorizados 4 4
R_002 Acceso no autorizado Abuso de información privilegiada
y actos no autorizados 3 4 7
R_003 Alteración de la información
Ataque interno y/o Ataque
externo 1 2 2 2 7
R_004 Caída del sistema por sobrecarga
Fallos en el sistema y en el medio
ambiente 2 2 4 R_005 Condiciones inadecuadas de temperatura o humedad Condiciones peligrosas 1 1 R_006 Corrupción de la información
Ataque interno y/o Ataque
externo 3 1 4
R_007 Corte del suministro
eléctrico Fallos de dependencia 1 1 2
R_008 Afectación de los soportes de almacenamiento de la información Errores y Omisiones 3 3
R_009 Denegación de servicio Sistemas Automatizados y
49
C = Comunicaciones; D = Datos; H = Hardware; S = Software;
I = Instalaciones; R = RRHH; S = Software Nro Activos Afectados por Tipo ID
Riesgo Riesgo Vector Amenaza
C D H I R S Total
R_010 Desastres naturales Acciones de la naturaleza 3 3
R_011 Difusión de software dañino Sistemas Automatizados y Código Malicioso 2 1 3 6 R_012 Errores de configuración
Fallos en el sistema y en el medio
ambiente 11 11
R_013 Errores de los usuarios Errores y Omisiones 2 2
R_014 Errores de mantenimiento / actualización de equipos (hardware) Errores y Omisiones 9 9 R_015 Errores de mantenimiento / actualización de programas (software) Errores y Omisiones 14 14 R_016 Errores del
administrador Errores y Omisiones 6 6
R_017 Extorsión Ataque interno y/o Ataque
externo 2 2
R_018 Fuego Condiciones peligrosas 3 3
R_019 Fuga de información Abuso de información privilegiada
y actos no autorizados 2 3 3 4 12
R_020 Indisponibilidad del
personal Fallos de dependencia 4 4
R_021 Ingeniería social Ataque interno y/o Ataque
externo 2 2 4 8
R_022 Interceptación de información (escucha)
Ataque interno y/o Ataque
externo 2 2
R_023 Introducción de falsa información
Ataque interno y/o Ataque
50