Formulación sistema de gestión de la seguridad de la información Sgsi en empresas dedicadas a la consultoría y el levantamiento de información
77
0
0
Texto completo
(2) II. Contenido. Resumen. VII. Abstract. VIII. Introducción. IX. FASE PLANEACIÓN. 1. 1.1 Titulo del Trabajo. 1. 1.2 Planteamiento del Proyecto. 1. 1.2.1 Descripción. 1. 1.3 Alcances y Delimitaciones. 3. 1.3.1 Alcances. 3. 1.3.2 Delimitaciones. 3. 1.4. Objetivos. 6. 1.4.1. Objetivo General. 6. 1.4.2. Objetivos Específicos. 6. 1.5. Justificación. 7. 1.6. Solución Tecnológica. 7. 1.7 Marco De Referencia. 8. 1.7.1 Marco Teórico. 8. 1.7.2. Marco Conceptual. 11. 1.8 Estado del Arte. 14. 1.9 Factibilidad (técnica, operativa, económica y legal). 16. 1.9.1 Factibilidad Técnica. 16. 1.9.2 Factibilidad Operativa. 17. 1.9.3 Factibilidad Económica. 17. 1.9.4 Factibilidad Legal. 18. 1.10 Cronograma de Actividades. 19. 1.11 Metodología. 19. 1.12 Impacto. 22. 1.13 Resultados Esperados. 23. 2. Fase I Definir el alcance 2.1. Contextualización y Diagnóstico de los Riesgos.. 24 24.
(3) III 2.1.2 Entorno De Desarrollo. 24. 2.1.3 Empresa de Consultoría y Tercerización de Servicios. 24. 2.1.3.1 Sistemas Especializados de Información S.A. 25. 3. Fase II Identificar Activos. 27. 3.1 Activos. 27. 3.1.2 Clasificación Activos. 27. 3.1.3 Etiquetado de Activos. 29. 3.1.3 Criterios de Valoración de Activos. 29. 4. Fase III identificación de Amenazas. 30. 4.2 Amenazas origen industrial. 33. 4.3 Amenazas origen errores y fallas no intencionados. 34. 4.4 Amenazas origen ataques intencionados. 36. 5 Fase IV identificación Salvaguardas. 37. 6. Fase V evaluar el riesgo. 37. 6.1 Determinación del Impacto Potencial. 37. 6.2 Determinación del Riesgo Potencial. 40. 7. Metodología Gestión de Los Riesgos Magerit. 41. 7.1 Evaluación: Interpretación de los valores de impacto y riesgos residuales. 41. 7.2 Aceptación del riesgo. 41. 7.3 Tratamiento. 41. 7.3.1 Impacto Residual. 44. 7.3.2 Riesgo Residual. 44. 7.4 Estudio cuantitativo de coste beneficio. 44. 7.5 Estudio cualitativo de coste/ beneficio. 45. 7.6 Estudio mixto de coste/beneficio. 46. 7.7 Opciones de tratamiento de riesgo: eliminación. 46. 7.8 Opciones de tratamiento de riesgo: mitigación. 47. 7.9 Opciones de tratamiento de riesgo: compartición. 48. 7.10 Opciones de tratamiento de riesgo: financiación. 48. 7.12 Roles y funciones. 49. 7.13 Contexto. 53. 7.14 Criterios. 53. 7.15 Evaluación de los riesgos. 54. 7.16 Decisión de tratamiento. 54.
(4) IV 7.17 Comunicación y consulta. 55. 7.18 Seguimiento y revisión. 55. 7.19 Documentación del proceso. 56. 7.20 Indicadores de Control de los procesos de gestión de riesgos.. 56. 8. Check List De Evaluación. 58. 8.1 Plan de Seguridad. 58. 8.2 Check List de Evaluación (Estado De Madurez). 58. 8.3 Margo Legal. 61. 8.4 Marco de Evaluación y Certificación. 63. Conclusiones. 64. Bibliografía. 66. Infografía. 67.
(5) V Lista de Tablas. Tabla 1 Delimitación técnica del proyecto.. 9. Tabla 2 Recursos de Hardware. 15. Tabla 3 Recursos de Software. 15. Tabla 4 Factibilidad Económica Recursos Humanos. 16. Tabla 5 Factibilidad Económica Recursos Técnicos. 16. Tabla 6 Factibilidad Económica Otros Recursos. 17. Tabla 7 Factibilidad Económica Costo Total. 17. Tabla 8 Factibilidad Legal. 17. Tabla 9 Dimensión de valoración de activos. 24. Tabla 10 Criterios de valoración de activos. 24. Tabla 11 Criterio de valoración de activos II. 25. Tabla 12 Codificación según tipo de amenaza. 25. Tabla 13 Catalogo Amenazas. 26. Tabla 14 Degradación de valor. 31. Tabla 15 Probabilidad de ocurrencia. 31. Tabla 16 Nivel de madurez. 47.
(6) VI Ilustraciones. Ilustración 1 organigrama SEI S.A.. 21. Ilustración 2 Método análisis de los riesgos. 22. Ilustración 3 El riesgo en función del impacto y la probabilidad. 32. Ilustración 4 Riesgo Potencial. 35.
(7) VII Resumen. El presente trabajo tiene como finalidad modelar un sistema de gestión de la seguridad de la información (SGSI) para empresas dedicadas al sector de la consultoría y el levantamiento de información, que pueda ser adaptado y aplicado en dichas organizaciones, ya que éstas están demarcadas fuertemente dentro de los ámbitos de las tecnologías de la información (TI). De allí nace la preocupación de los autores frente a la sensibilidad de la información tratada que a veces no parece ser prioridad para este tipo de compañías dados los costos de implementación que esto puede acarrear, por ello en este trabajo se pretende plasmar todo un modelo accesible que permita una fácil implementación una vez se haga conciencia organizacional en este asunto y así reducir el riesgo al que están expuestas..
(8) VIII Abstract. The purpose of this paper is to model an information security management system (ISMS) for companies dedicated to the consulting and information gathering sector, which can be adapted and applied in these organizations, since these are strongly demarcated within the fields of information technology (IT). Hence the concern of the authors with regard to the sensitivity of the information treated that sometimes does not seem to be a priority for this type of company given the implementation costs that this may entail, for this reason, the aim of this work is to capture an accessible model that allows easy implementation once organizational awareness is made in this matter and thus reduce the risk to which they are exposed..
(9) IX Introducción. Los sistemas de información son el activo más valorado y por tanto sensible de las grandes organizaciones y su seguridad es un factor imprescindible en todos los ámbitos desde la alta gerencia hasta la operación y los servicios, con la salida de una nueva tecnología va inherente un riesgo, con un cambio en la infraestructura también, y en cada activo que se pueda catalogar bien sea hardware, software, como es el caso de las aplicaciones web que al tener una alta exposición a la red, pueden catalogarse con mayor probabilidad de materialización de los riesgos y por ende requieren mayor atención al momento de aplicar los controles correspondientes. Por esto es necesario contar con un plan de seguridad que permita prevenir y tratar cualquier tipo de amenaza que pueda ocasionar pérdidas económicas, de continuidad del negocio, reputación en general, poniendo como premisa que esto es un trabajo que requiere principalmente de la concientización de parte de la alta gerencia, para el éxito del mismo..
(10) 1. FASE PLANEACIÓN. 1.1 Titulo del Trabajo FORMULACIÓN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI EN EMPRESAS DEDICADAS A LA CONSULTORÍA Y EL LEVANTAMIENTO DE INFORMACIÓN.. 1.2 Planteamiento del Proyecto. 1.2.1 Descripción Basados en el modelo de empresa SEI S.A. (Sistemas especializados de información S.A.) dedicada a servicios de consultoría y levantamiento de información del sector T.I., se ha encontrado que pese al crecimiento y auge de las tecnología de la información inherentemente junto a las amenazas que nacen con ellas en el ámbito de seguridad, aun la mayoría de las empresas del sector, no cuenta con un modelo formal e incluso unas políticas establecidas respecto a la seguridad de la información, dada la experiencia laboral de los autores de este proyecto en las compañías SEI S.A. y ITS soluciones S.A. empresas de tercerización de servicios y consultoría se llegó a esta conclusión, teniendo en cuenta que el manejo de la información es altamente sensible y de propiedad de un tercero se prevé debe aumentar la preocupación por el tratamiento de los datos e información, además de la importancia de aplicar los estándares nacionales e internacionales que rigen actualmente en materia como un elemento que aumenta la competitividad, es fundamental recordar que la pérdida de valores como la confianza, credibilidad, reputación están en juego ante los.
(11) 2 posibles riesgos negativos que pueden incidir bajo unas prácticas nula u obsoletas en el manejo de la información. Por lo cual se desea proponer un modelo de gestión de seguridad de la información basado en ISO 27001, que facilite la futura implementación de este, de modo que se garanticen todos los principios de seguridad como los son, disponibilidad, integridad y seguridad de la información, pues actualmente se emplean algunas medidas no normalizadas para la seguridad de la información que pueden ocasionar problemas de perdida, tergiversación y robo de información. Actualmente existen modelos de trabajo mundialmente aprobados ISO 27000, Metodologías como Magerit, NIST, Cobit entre otras sin embargo este es un marco de trabajo que contiene unas pautas genéricas y no hacen la precisión del CORE que requiere cada negocio, de este modo el trabajo no es completo sin las medidas y detalles correspondientes al SGSI deseado a la medida del negocio en cuestión. 1.2.2. Formulación. ¿Cómo ayudar a empresas del sector consultorías en el área de T.I, en la aplicación de medidas preventivas y reactivas en sus procesos, procedimientos y sistemas de tecnología? Este proyecto desea plasmar de forma eficiente y entendible a todo público con conocimientos básicos en T.I. la forma como se puede implementar un SGSI apoyados en Magerit como guía fundamental y mediante el seguimiento de la metodología Deming en el logro de esta, enfocado en el CORE de negocio asociado a empresas del sector de consultoría y tercerización de servicios de T.I y el levantamiento de información..
(12) 3 1.3 Alcances y Delimitaciones. 1.3.1 Alcances Este proyecto tiene como objetivo ser una herramienta de apoyo en la implementación, capacitación de personal para el establecimiento, mantenimiento, y mejoras del SGSI basado en MAGERIT. El director de proyectos y/o líder técnico tendrán a su disposición una herramienta de fácil uso para la comprensión y el logro del SGSI.. 1.3.2 Delimitaciones El tiempo del logro de las actividades para el logro de este proyecto está limitado por el cronograma Este proyecto no incluye la fase de implementación, dado que se limita al planteamiento, análisis y formulación del sistema de gestión de seguridad de la información. El uso de la metodología MAGERIT basada en ISO 27001, como estándar en el marco del desarrollo del trabajo. ISO 27035 como el estándar en materia de gestión de incidencias en seguridad de la información. Con relación al contenido de este trabajo y el uso de la metodología Magerit V3 La cual se encuentra estructurada en 3 Libros así: — Libro I – Método.
(13) 4 — Libro II – Catálogo de elementos — Guía de Técnicas – Recopilación de técnicas de diferente tipo que pueden ser de utilidad para la aplicación del método. El presente trabajo se enfocará en los dos últimos ítems como parte de un trabajo de formulación. Delimitación Temática De acuerdo con Magerit nos reducimos a dos grandes tareas principalmente, como realizar el: -. Análisis del riesgo y la gestión del riesgo.. Delimitación Geográfica Para una formulación optima se debe contar con una empresa de referencia mediante la cual se puedan contextualizar los riegos y en general realizar todo el análisis concerniente en materia de seguridad de la información, aquí como modelo hemos tomado SEI S.A., (Sistemas Especializados de Información S.A.) dedicada a servicios de consultoría y tercerización de servicios de tecnologías para el levantamiento de información, es de importancia aclarar que esta no se intervendrá, sin embargo será tomada como objeto de estudio y análisis para rescatar toda la información relevante al planteamiento del SGSI orientado a este modelo de negocio..
(14) 5 Delimitación Técnica NOMBRE Sistema operativo Plataforma tecnológica. CARACTERISTICAS 1. Windows 7 2. Windows 10 Google Drive Herramientas Ofimáticas Word, Excel, Power Point. Software. UML DIA, ARGO UML. Áreas/ estándares guías de seguridad de la información.. Navegadores Web. 1. MAGERIT. 2 3 4. ISO 27001 ISO 27035 Metodología PHVA. 1. Google Chrome. 2. Mozilla Firefox. 3. Opera. Tabla 1 Delimitación técnica del proyecto.. Delimitación Temporal El tiempo estimado para la elaboración del proyecto es de seis (6) meses comenzando en MAYO de 2018 y terminando en OCTUBRE de 2018..
(15) 6 1.4. Objetivos. 1.4.1. Objetivo General Plantear la formulación mínima requerida para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) documentado que sirva de referencia para empresas del sector consultorías de T.I, tomando las prácticas relevantes y aplicables a la empresa del sector, como herramienta de apoyo en la toma y procesamiento de datos mediante el uso de las metodologías PHVA Y MAGERIT basados en ISO 27001.. 1.4.2. Objetivos Específicos ● Realizar formulación para el diagnóstico y contextualización de los riesgos basado en la empresa modelo de referencia. ● Formular método de análisis de los riesgos de acuerdo con Magerit V 3.0 basado en la empresa modelo de referencia. ● Expresar la realización de proceso de gestión de los riesgos de acuerdo con Magerit V 3.0 basado en la empresa modelo de referencia. ● Establecer plan de seguridad basado en la empresa modelo de referencia. ● Generar un check list de auditoría que permita establecer el estado de madurez para el caso la empresa modelo/referencia. ● Generar un documento final que integre el SGSI propuesto basado en la empresa modelo de referencia..
(16) 7 1.5. Justificación Las organizaciones dependen parcialmente de sus sistemas informáticos, esto hace necesario prestar mayor atención a la disponibilidad, confidencialidad e integridad de estos, garantizando la continua prestación de sus servicios, y que se cuente con la seguridad de la información y sus sistemas protegidos. Por consiguiente, se hace necesario contar con estrategias y medidas de seguridad de la información, para garantizar el funcionamiento integro de todos los sistemas de información, para aplicar los correctivos necesarios en caso de un eventual ataque o desastre, que impliquen la pérdida de la información y los sistemas informáticos. Es importante para las empresas contar con políticas claramente definidas para el manejo de la información y de los datos, así como de sus sistemas de información y el respaldo necesario de éstos. Con este proyecto, queremos aportar un punto de partida a las empresas del sector de servicios TI; y conociendo en las compañías donde trabajamos y en empresas de todos los sectores que manejan sistematización, el tema primordial la seguridad de la información.. 1.6. Solución Tecnológica El análisis, planteamiento y gestión de la manipulación de la información por todas las personas de una organización es importante para el crecimiento y la confianza en los datos enviados bien sea a nivel local o remoto, por lo que este proyecto tendrá como resultado un documento con las pautas de implementación del Sistema de Gestión de la Seguridad de la Información (SGSI) en la entidad de referencia para la cual se especificarán las políticas de seguridad, los controles y el análisis de riesgos encontrados..
(17) 8 Todo esto a partir de un estudio previo, análisis y documentación del estado actual de la organización y de los trámites de los procesos internos. Este proyecto de monografía servirá como documento de referencia y guía para la ejecución de SGSI en entidades relacionadas a prestación de servicios de Tecnologías de la Información (IT). El entregable final interesará a estudiantes, empresarios del sector consultoría y en general a toda la comunidad universitaria, como un insumo que orienta el correcto y práctico desarrollo e implementación de un SGSI.. 1.7 Marco De Referencia. 1.7.1 Marco Teórico SGSI: Se define “sistema de gestión” como lo que la Organización hace para gestionar sus procesos o actividades, de forma que los productos que fabrica o los servicios que presta satisfagan los objetivos que la propia organización de ha marcado, típicamente . Satisfacer la calidad demandada por los clientes. . Cumplir con las obligaciones legales, regulatorias y contractuales. Dentro del sistema de gestión de una Organización, se entiende por “Sistema de Gestión de la Seguridad de la Información” (SGSI) la parte relacionada con la seguridad de la información. Es habitual entender que los sistemas de gestión deben ajustarse al llamado ciclo de Denning (PDCA), habitual en sistemas de gestión de la calidad. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España)..
(18) 9 FUNDAMENTOS1: Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D:. Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.. Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.. En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.. ISO 31000: señala una familia de normas sobre gestión del riesgo, normas codificadas por la International Organization for Standardization. El propósito de la norma ISO 31000:2009 es. 1. SGSI. http://www.iso27000.es/sgsi.html.
(19) 10 proporcionar principios y directrices para la gestión de riesgos y el proceso implementado en el nivel estratégico y operativo2. OWASTP3: (acrónimo de Open Web Application Security Project, en inglés ‘Proyecto abierto de seguridad de aplicaciones web’) es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera. OWASP es un nuevo tipo de entidad en el mercado de seguridad informática. Estar libre de presiones corporativas facilita que OWASP proporcione información imparcial, práctica y redituable sobre seguridad de aplicaciones informáticas. OWASP no está afiliado a ninguna compañía tecnológica, si bien apoya el uso informado de tecnologías de seguridad. OWASP recomienda enfocar la seguridad de aplicaciones informáticas considerando todas sus dimensiones: personas, procesos y tecnologías. MAGERIT: Por sus siglas Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Magerit implementa el proceso de gestión de riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del. 2 3. ISO 31000: https://es.wikipedia.org/wiki/ISO_31000 OWASTP: https://es.wikipedia.org/wiki/Open_Web_Application_Security_Project.
(20) 11 uso de tecnologías de la información. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España) PHVA: La norma ISO 27001 incluye el ciclo de Deming, consiste en Planificar-Hacer-VerificarActuar (PHVA) y puede ser aplicado a todos los procesos. La metodología PHVA se puede describir de la siguiente forma: . Planificar: se establecen los objetivos y los procesos necesarios para conseguir resultados según las necesidades de los clientes y la política de seguridad de la organización.. . Hacer: se implantan los procesos.. . Verificar: se revisan y se evalúan tanto lo servicios como los procesos comprándolos con las políticas, los objetivos y los requisitos de información sobre los resultados.. . Actuar: comienzan a emprender acciones para mejorar el rendimiento del Sistema de Gestión Ambiental de forma continua. (ISOTools Excellence, (2015). Blog especializado en Sistemas de Gestión de Seguridad de la Información. Lugar de publicación: PMG-SSI. (URL: http://www.pmg-ssi.com/2015/06/iso-27001-ciclo-de-deming/). 1.7.2 Marco Conceptual ACTIVO: Recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. [Magerit: 2006]. RIESGO: Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Efecto de la incertidumbre sobre la consecución de los objetivos. [UNEISO Guía 73:2010]..
(21) 12 AMENAZA: Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008]. ANÁLISIS DE IMPACTO: Estudio de las consecuencias que tendría una parada de X tiempo sobre la Organización. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España). ANÁLISIS DE RIESGOS: Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España). ATAQUE: Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o violar alguna política de seguridad de alguna otra manera. [ISO/IEC 18043:2006]. DISPONIBILIDAD: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. [UNE 71504:2008]. IMPACTO: Consecuencia que sobre un activo tiene la materialización de una amenaza. (Ministerio de Hacienda y Administraciones Públicas 2012), Magerit V3.0, Madrid, España) INTEGRIDAD: Propiedad o característica consistente en que el activo no ha sido alterado de manera no autorizada. [UNE 71504:2008]. MODELO DE VALOR: Caracterización del valor que representan los activos para la Organización, así como de las dependencias entre los diferentes activos. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España). MAPA DE RIESGOS: Relación de las amenazas a que están expuestos los activos. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España)..
(22) 13 DECLARACIÓN DE APLICABILIDAD: Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información. Bajo estudio o si, por el contrario, carecen de sentido. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España). EVALUACIÓN DE SALVAGUARDAS: Evaluación de la eficacia de las salvaguardas existentes en relación con el riesgo que afrontan. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España). ESTADO DE RIESGO: Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España). INFORME DE INSUFICIENCIAS: Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España). CUMPLIMIENTO DE NORMA: Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España). PLAN DE SEGURIDAD: Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España)..
(23) 14 TRAZABILIDAD: Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. [UNE 71504:2008]. VULNERABILIDAD: Defecto o debilidad en el diseño, implementación u operación de un sistema que habilita o facilita la materialización de una amenaza. (Ministerio de Hacienda y Administraciones Públicas (2012), Magerit V3.0, Madrid, España).. 1.8 Estado del Arte En la Universidad Distrital Francisco José de Caldas existen trabajos similares pero no específicos sobre un SGSI para el nicho de negocio planteado en este caso empresas de consultoría y levantamiento de información de T.I; Los trabajos que se hallan en el mercado con mayor aproximación son algunos trabajos de grado de la sede de Ingeniería denominados Aplicación móvil para la realización de pre-auditorías internas en una organización según la norma ISO 27001 y Desarrollo de un modelo para la obtención, medición y evaluación de indicadores del grado de cultura y concienciación en seguridad de la información del personal del Grupo Endesa Colombia, en sus compañías Codensa y Emgesa S.A. ESP, entre las más recientes del año 2014 y 2012 correspondientemente, estos dentro de los últimos trabajos referentes a SGSI sin embargo como su título lo define ,se puede observar para el primer caso Aplicación móvil para la realización de pre-auditorías internas en una organización según la norma ISO 27001, de una aplicación es decir un modelo sistematizado el cuál puede ser complementario a este proyecto pero no es una solución completa para la problemática que se plantea, y en el segundo caso Desarrollo de un modelo para la obtención, medición y evaluación de indicadores del grado de cultura y concienciación en seguridad de la información del personal del Grupo Endesa Colombia, en sus compañías Codensa y Emgesa S.A. ESP, se entiende que su.
(24) 15 CORE de negocio comprende empresas del sector servicios de energía. En esta investigación se encontró la tesis denominada diseño, desarrollo, documentación e implementación del sistema de gestión de seguridad de la información SGSI por Gustavo Adolfo Beltrán Sabogal, proyecto curricular de ingeniería electrónica de la Facultad de Ingeniería año 2009. Allí el autor plantea la importancia de SGSI en las organizaciones en general para garantizar los principios de seguridad de acuerdo con ISO 27001, ISO 9000, también resalta la importancia del conocimiento y aplicación por parte de todos los miembros de la organización como garante de la buenas prácticas del manejo de la información, reconoce como punto de apoyo a la empresa Redcom LTDA empresa de interventoría parte de su vida laboral. En este trabajo se reconoce que ningún sistema es totalmente seguro, pero se debe propender por las buenas prácticas con el fin de minimizar los riesgos y su posible impacto. La exposición latente y creciente a amenazas internas y externas es la razón de ser de los SGSI. Es por esto que este trabajo por su grado de afinidad servirá como un marco de referencia en el desarrollo del presente trabajo. Ya en materia propia del actual desarrollo es importante destacar la caracterización única de este CORE de negocio mediante su definición, es así como se puede definir las empresas de consultoría como aquellas que ofrecen el servicio de aconsejar a otras empresas cómo usar las tecnologías de la información para conseguir sus objetivos empresariales. Como ‘’plus’’ esta que estas empresas brindan la estimación, implementación, instalación, gestión y administración los medios informáticos en forma de subcontratación. En algunos casos como la empresa de referencia para este proyecto SEI S.A. adicionalmente se trabaja directamente con la información mediante el levantamiento de información, tratamiento de datos, transformación de datos. Crece la necesidad e importancia de proteger la información con ayuda de un modelo específico y.
(25) 16 detallado cuando se habla de una empresa que resguarda y manipula la información sensible de otra.. 1.9 Factibilidad (técnica, operativa, económica y legal) 1.9.1 Factibilidad Técnica Recursos De Hardware El desarrollo del presente proyecto se hace con recursos de los ejecutores de la monografía NOMBRE. CARACTERISTICA. Marca. ASUS. Modelo. ASUS. Procesadores. Core i5 Séptima generación. Memoria. RAM de 4 GB. Discos Duros. 1 TB. Tarjetas de Red. Gigabyte Ethernet Broadconm NetXtreme. Teclado. Genius, USB, Latinoamericano. Mouse. Genius, USB, óptico Tabla 2 Recursos de Hardware. Recursos De Software NOMBRE. CARACTERISTICA. S.O. WINDOWS 10. OFFICE. Microsoft Office 2007. Note++. v7.5.7 Tabla 3 Recursos de Software.
(26) 17 1.9.2 Factibilidad Operativa La seguridad es un tema operativo que va a ser analizado en este proyecto y dependiendo del grado de complejidad de cada área, se presentarán políticas de seguridad que apoyen conforme a los datos manejados por los correspondientes roles.. 1.9.3 Factibilidad Económica En términos financieros la factibilidad es alta, puesto que los recursos requeridos son mínimos, dos equipos de trabajo, asesorías de los tutores del proyecto, acceso a Internet y papelería para realizar el modelado del proyecto. En las tablas que se presentaran a continuación se describe la factibilidad económica, identificando los costos de papelería, hardware, software y recursos humanos necesarios para la realización del proyecto de investigación que se propone. Se dividió en tres aspectos, recursos humanos, recursos técnicos y otros recursos, la distinción de los recursos humanos se presenta en la Tabla 1 Factibilidad de Recursos Humanos.. Tipo Tutor 1. Descripción Valor-Hora Cantidad Asesorías para la realización del $ 60.000 64 horas proyecto, referente a la metodología. Analistas Dos analistas con conocimientos $ 30.000 256 horas en redes y tecnologías de la información. Total Recursos Humanos Tabla 4 Factibilidad Económica Recursos Humanos. Total $2.560.000. $7.680.000. $ 7.936.000.
(27) 18 Recurso. Valor Cantidad Unitario Computadores Equipos de escritorio para el $ 1.700.000 2 (Portátiles) desarrollo y las pruebas del sistema. Total Recursos Técnicos Tabla 5 Factibilidad Económica Recursos Técnicos. Recurso. Descripción. Descripción. Servicio internet Servicio luz. Valor Unitario claro $45.000. Cantidad. Servicio proveedor 4 mes 5MB Servicio proveedor condesa $30.000 4 mes Estrato 2 Transporte Pasajes de transporte público $ 2.200 128 Total Otros Técnicos Tabla 6 Factibilidad Económica Otros Recursos. Recurso Total, Recursos Humanos Total Recursos Técnicos Total Otros recursos Costos imprevistos (10%) TOTAL COSTO. Total $ 3.400.000. $ 3.400.000. Total 175.000 120.000 $ 281.600 $ 468.600. Valor $ 7.936.000 $ 3.400.000 $ 468.600 $ 1.227.320 $ 13.500.520. Tabla 7 Factibilidad Económica Costo Total 1.9.4 Factibilidad Legal En esta tabla se contemplan todos los precios de licenciamientos y demás recursos que ayudarán a establecer legalmente el proyecto. Software Licencia Sistema Windows Licencia de Office Licencia de software de programación (libre) TOTAL COSTO Tabla 8 Factibilidad Legal. Valor $195.000 $179.999 $0 $455.000.
(28) 19 1.10 Cronograma de Actividades En este apartado se expresa mediante gráfica elaborada en la herramienta Gantter de google las actividades propuestas en el desarrollo de este proyecto., en orden cronológico. Ver Anexo Cronograma (anexo A).. 1.11 Metodología Para el desarrollo del proyecto se utilizará el ciclo Deming, esta es una metodología que permite implementar un sistema de mejora continua que ayudará en el análisis de riesgo en el desarrollo del proyecto y además permitirá hacer una mejor arquitectura en la formación del Sistema de Gestión de Seguridad de la Información. En el presente proyecto se usará el ciclo Deming en una forma global de la siguiente manera: • Planificar: En esta fase se realiza todo el proceso de análisis, planteamiento, investigación y organización de la situación en que actualmente se encuentra la empresa referencia respecto a los mecanismos de seguridad implementados y se establece el alcance, los objetivos, los puntos de control y medición. Se desarrollará mediante los siguientes puntos: ▪. Definir alcance del proyecto para la formulación del SGSI. ▪. Definir alcance para formulación de análisis de riesgos. ▪. Definir alcance para formulación de políticas.
(29) 20 ▪. Definir formulación valoración de activos. ▪. Definir formulación valoración de riesgos e impacto. ▪. Definir formulación valoración amenazas y vulnerabilidades. ▪. Definir formulación criterios de valoración de control. • Hacer: Para esta etapa se identifican los sistemas informáticos y de hardware que actualmente utiliza la empresa para el cumplimiento de su misión u objeto social y se identifican los riesgos, se analizan y se seleccionan los controles a implementar y también se formula y se implementa un plan de riesgo a desarrollar así: ▪. Aplicación del método de análisis de los riesgos de acuerdo con Magerit V3.0. ▪. Aplicación del proceso de gestión de riesgo de acuerdo con Magerit V3.0. • Verificar: Se efectuará el control de todos los procedimientos implementados en las fases anteriores así: ▪. Revisión detallada del documento. ▪. Retroalimentación documento. ▪. Detección de mejoras para el SGSI. • Actuar: Desarrollar los planes de acción y mejoras a los hallazgos identificados a la documentación del SGSI. Implementar las acciones correctivas. Magerit V3.0: esta metodología basada en ISO 27001, cubre las fases AGR (análisis y gestión de riesgo) se puede definir como el cuerpo central de este proyecto,.
(30) 21 pues es la metodología adoptada para la evaluación y gestión de riesgos por este motivo se puede localizar en la etapa Hacer del marco de trabajo PHVA, Magerit se desarrollará de la siguiente manera: 1. Contextualización y diagnóstico de los riesgos. 2. Método de análisis de los riesgos ▪. Paso 1: Activos. ▪. Paso 2: Amenazas. ▪. Paso 3: Determinación del impacto potencial. ▪. Paso 4: Determinación del riesgo potencial. ▪. Paso 5: Salvaguardas. ▪. Paso 6: Impacto residual. ▪. Paso 7: Riesgo residual. ▪. Paso 8: Lista de control. 3. Proceso de gestión de riesgo ▪. Evaluación: Interpretación de los valores de impacto y riesgos residuales. ▪. Aceptación del riesgo. ▪. Tratamiento. ▪. Estudio cuantitativo de coste beneficio. ▪. Estudio cualitativo de coste/ beneficio. ▪. Estudio mixto de coste/beneficio. ▪. Opciones de tratamiento de riesgo: eliminación.
(31) 22 ▪. Opciones de tratamiento de riesgo: mitigación. ▪. Opciones de tratamiento de riesgo: compartición. ▪. Opciones de tratamiento de riesgo: financiación. ▪. Formalización de actividades. ▪. Roles y funciones. ▪. Contexto. ▪. Criterios. ▪. Evaluación de los riesgos. ▪. Decisión de tratamiento. ▪. Comunicación y consulta. ▪. Seguimiento y revisión. ▪. Documentación del proceso. ▪. Indicadores de control de los procesos de gestión de riesgos. 4. Información de Certificación y Acreditación SGSI 5. Documento Formal de la propuesta de SGSI para la empresa SEI S.A.. 1.12 Impacto El presente documento intenta, por una parte, concientizar a las organizaciones que basan su negocio en la T.I. y especialmente a las firmas consultoras en la importancia de tener unas buenas prácticas en lo referente a la seguridad de la información y segundo generar la formulación que de las pautas organizadas mediante las cuales se puedan implementar y adaptar.
(32) 23 a las empresas de este sector y así estas puedan implementar su propio Sistema de Gestión de la Seguridad de la Información (SGSI).. 1.13 Resultados Esperados Formulación de un Sistema de Gestión de la Seguridad de la Información (SGSI) orientado a empresas de consultoría que pueda ser adaptado e implementado por estas organizaciones para garantizar sus objetivos misionales. Impacto esperado del proyecto. El presente documento intenta, por una parte, que las organizaciones que basan su negocio en las T.I. y especialmente a las firmas consultoras se concienticen de la importancia de tener unas buenas prácticas en lo referente a la seguridad de la información y segundo, que basados en esta formulación firmas consultoras adapten e implementen su propio Sistema de Gestión de la Seguridad de la Información (SGSI), de este modo aumente el número de firmas certificadas en este sector..
(33) 24 2. Fase I Definir el alcance. 2.1. Contextualización y Diagnóstico de los Riesgos.. 2.1.2 Entorno De Desarrollo Cada sector en específico trae consigo sus propias necesidades de acuerdo a la norma ISO 31000 se tiene las correspondientes pautas para entender cómo tratar este importante factor que es determinante en el desarrollo para lograr el análisis y tratamiento de los riesgos; de acuerdo con esta norma la estrategia depende del nicho de negocio ya que este contexto y delimitación nos da un entendimiento y condicionamiento a los factores internos y externos propios de la organización con la que estamos trabajando. El contexto de la estrategia de gestión de riesgos debe definirse de acuerdo con el contexto de las actividades y objetivos de la organización, tal como se establece en el contexto de la organización. También se debe considerar que una estrategia de gestión de riesgos no es independiente de otras actividades de la organización; debe ser una parte integral de cada área del negocio para una gestión de riesgos efectiva4.. 2.1.3 Empresa de Consultoría y Tercerización de Servicios La consultoría es un servicio profesional prestado por empresas, o por profesionales en forma individual conocidas como consultoras o consultores respectivamente con experiencia o conocimiento específico en un área, asesorando personas, asesorando a otras empresas, a grupos de empresas, a países o a organizaciones en general5.. 4 5. http://quality.eqms.co.uk/blog/iso-31000-establishing-the-context https://es.wikipedia.org/wiki/Consultor%C3%ADa.
(34) 25 La subcontratación, externalización de la mercadotecnia o tercerización (del neologismo inglés: outsourcing) es el proceso económico empresarial en el que una sociedad mercantil transfiere los recursos y las responsabilidades referentes al cumplimiento de ciertas tareas a una sociedad externa, empresa de gestión o subcontratista, que precisamente se dedica a la prestación de diferentes servicios especializados.6 Teniendo en cuenta las definiciones anteriores y de acuerdo con el alcance de este proyecto tomaremos como modelo referencia a la empresa Sistemas Especializados de Información S.A.. 2.1.3.1 Sistemas Especializados de Información S.A SEI S.A. es una firma de consultoría que presta servicios de diseño técnico de censos y encuestas, así como su ejecución mediante la recolección, captura, procesamiento y análisis de datos; incluyendo el diseño e implementación de muestras.. 6. https://es.wikipedia.org/wiki/Subcontrataci%C3%B3n.
(35) 26 Organigrama. Ilustración 1 organigrama SEI S.A. 3. Método De Análisis De Los Riesgos El método consiste en el análisis en pro de una aproximación sistemática para determinar el riesgo siguiendo el flujo: Activos Expuesto a: Amenazas. Causan:. Degradación. Impacto. Tiene: Probabilidad Riesgo. Ilustración 2 Método análisis de los riesgos.
(36) 27 3. Fase II Identificar Activos. 3.1 Activos SEI S.A. cuenta con activos tangibles e intangibles que permiten su operación en el logro del cumplimiento misional, estos se clasifican así:. 3.1.2 Clasificación Activos Activos Tangibles ▪ ▪ ▪ ▪ ▪ ▪. Infraestructura [COM] Canalización de red Datos Canalización de red Eléctrica Instalación de red de Datos Instalación de red de Eléctrica Planta de la Organización. ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪. Personas [P] Analista Clientes Desarrolladores Funcionales Personal Administrativo Proveedores QA Usuarios Externos Usuarios Internos. ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪. Hardware / Equipo Informático [HW] Cámaras de Seguridad CD/DVD Computadores de Escritorio Discos Portables Dispositivos Móviles Equipos Multifuncional Impresoras Lector Huella Dactilar Memoria USB Modems.
(37) 28 ▪ ▪ ▪ ▪. Portátiles Routers Servidores Teléfonos. Activos Intangibles ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪. Datos/Información [D] Archivos de Datos Base de Datos Contratos Documentación del Sistema Documentos Internos Entregables (CD/DVD) Formatos Hojas de Vida Información Disco Portables Información en Carpetas compartidas en Red Información Memorias USB Manuales de Usuario Material Físico (Impreso). ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪. Software/Aplicaciones Informáticas [SW] Antivirus Desarrollo - IDE Desarrollos a medida y/o propios de la Organización Licencias Motor Base de Datos Navegadores Office Servidores Aplicaciones/Contenedores Sistemas Operativos. ▪ ▪ ▪ ▪ ▪ ▪ ▪. Servicios [AUX] Almacenamiento de Información Capacitaciones Fluido Eléctrico Internet Red Inalámbrica Telefonía.
(38) 29 3.1.3 Etiquetado de Activos Es importante identificar los activos mediante un sistema lógico y ordenado de etiquetas ejemplo: ACTIVO. ETIQUETA. Hardware. HW-000000. Información. IF-000000. Infraestructura. IFR-000000. Personas. RH-000000. Servicios. SRV-000000. Software Equipamiento auxiliar. SW-000000 AUX-000000. 3.1.3 Criterios de Valoración de Activos CONCEPTO ID Confidencialidad de la [C] información Disponibilidad [D] Integridad de los datos [I] Autenticidad [A] Trazabilidad [T] Tabla 9 Dimensión de valoración de activos Fuente: https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-imetodo/file.html Nivel de Valor 10 9 6a8 3a5 1a2 0. Valor Criterio Extremo Daños extremadamente graves Muy Alto Daño muy grave Alto Daño grave Medio Daño importante Bajo Daño menor Despreciable Irrelevante a efectos prácticos Tabla 10 Criterios de valoración de activos Fuente: https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-imetodo/file.html.
(39) 30. NIVEL DE VALOR CRITERIO 8 – 10 Restringido 4–7 Uso Interno 0–3 Pública Tabla 11 Criterio de valoración de activos II Fuente: https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-imetodo/file.html. Restringido: Es la información que no se permite divulgar entre las diferentes áreas de la organización, afectando la intimidad del personal o trabajo de cada área o simplemente es información vital para el debido funcionamiento de la organización. Ej.: información de la base de datos, contraseñas de servidores, hojas de vida etc. Uso Interno: Es la información que circula al interior de una empresa u organización. Busca llevar un mensaje para mantener la coordinación entre las distintas áreas, permite la introducción, difusión y aceptación de pautas para el desarrollo organizacional. Los trabajadores necesitan estar informados para sentirse una parte activa de la organización. Esta información es útil para tomar decisiones. Pública: Es la información a la cual toda persona interna y externa de la organización tiene acceso por cualquier medio de comunicación, sin previa autorización, sin censura o impedimento. Eje: página web de la organización.. 4. Fase III identificación de Amenazas Una vez identificados los activos es necesario relacionarlos con aquellos riesgos que se pueden materializar y generar una degradación, pérdida total o parcial de cada uno de ellos..
(40) 31 Amenaza causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008]. De acuerdo con Magerit y en general las metodologías de riesgos y amenazas se pueden clasificar en cinco grandes grupos así: . De origen natural. . Del entorno (de origen industrial). . Defectos de las aplicaciones. . Causadas por las personas de forma accidental. . Causadas por las personas de forma deliberada. Tipo de amenaza ID Desastre Natural [N] Origen Industrial [I] Errores y Fallos no [E] intencionados Ataques intencionados [A] Tabla 12 Codificación según tipo de amenaza Fuente: https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-imetodo/file.html Magerit nos otorga el siguiente cuadro guía para el desarrollo del catálogo de amenazas. [código] descripción sucinta de lo que puede pasar Tipos de Activos. Dimensiones. Descripción. Tabla 13 Catálogo Amenazas Fuente: https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html.
(41) 32 4.1 Amenazas origen desastre natural [N.1] AGUA Tipos de Activos. Dimensiones. ▪. [HW] equipos informáticos 1.[D] (hardware) ▪ [Media] soportes de información ▪ [AUX] equipamiento auxiliar [L] instalaciones Descripción Eventualidad ocasionada por fuga de agua o desastre natural, maremotos, tsunami etc. Ver: EBIOS: 02 - PERJUICIOS OCASIONADOS POR EL AGUA. [N.2] FUEGO Tipos de Activos. Dimensiones. ▪. [HW] equipos informáticos 1.[D] (hardware) ▪ [Media] soportes de información ▪ [AUX] equipamiento auxiliar ▪ [L] instalaciones Descripción Eventualidad de que el fuego ocasione daño sobre los activos del sistema Ver: EBIOS: 01- INCENDIO. [N.*] DESASTRE NATURAL Tipos de Activos ▪. Dimensiones. [HW] equipos informáticos 1.[D] (hardware) ▪ [Media] soportes de información ▪ [AUX] equipamiento auxiliar ▪ [L] instalaciones Descripción.
(42) 33 Otros incidentes que se producen sin intervención humana: rayo, tormenta eléctrica, terremoto, ciclones, avalancha, corrimiento de tierras, ... Se excluyen desastres específicos tales como incendios (ver [N.1]) e inundaciones (ver [N.2]). Se excluye al personal por cuanto se ha previsto una amenaza específica [E.31] para cubrir la indisponibilidad involuntaria del personal sin entrar en sus causas. Ver: EBIOS: 03 – CONTAMINACIÓN 04 - SINIESTRO MAYOR 06 - FENÓMENO CLIMÁTICO 07 - FENÓMENO SÍSMICO 08 - FENÓMENO DE ORIGEN VOLCÁNICO 09 - FENÓMENO METEOROLÓGICO 10 - INUNDACIÓN. 4.2 Amenazas origen industrial [I.1] FUEGO Tipos de Activos. Dimensiones. ▪. 1.[D]. [HW] equipos informáticos (hardware) ▪ [Media] soportes de información ▪ [AUX] equipamiento auxiliar ▪ [L] instalaciones Descripción. Eventualidad de que el fuego ocasione daño sobre los activos del sistema Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 01- INCENDIO. [I.2] INUNDACIÓN Tipos de Activos ▪ ▪. [HW] equipos informáticos (hardware) [Media] soportes de información. Dimensiones 1.[D].
(43) 34 ▪ [AUX] equipamiento auxiliar ▪ [L] instalaciones Descripción Escapes, fugas, inundaciones: posibilidad de que el agua acabe con los recursos del sistema. Ver: EBIOS: 02 - PERJUICIOS OCASIONADOS POR EL AGUA. [I.*] DESASTRES INDUSTRIALES Tipos de Activos ▪. [HW] equipos informáticos (hardware) ▪ [Media] soportes de información ▪ [AUX] equipamiento auxiliar [L] instalaciones Descripción. Dimensiones 1.[D]. Otros desastres debidos a la actividad humana: explosiones, derrumbes, contaminación química, sobrecarga eléctrica, fluctuaciones eléctricas, accidentes de tráfico, Se excluyen amenazas específicas como incendio (ver [I.1]) e inundación (ver [I.2]). Se excluye al personal por cuanto se ha previsto una amenaza específica, [E.31], para cubrir la indisponibilidad involuntaria del personal sin entrar en sus causas. Origen: Entorno (accidental) Humano (accidental o deliberado) Ver: EBIOS: 04 - SINIESTRO MAYOR. 4.3 Amenazas origen errores y fallas no intencionados. [E.1] ERRORES DE USUARIO Tipos de Activos ▪ ▪ ▪ ▪ ▪. Dimensiones. [D] datos / información 1. [I] integridad [keys] claves criptográficas 2. [C] confidencialidad [S] servicios 3. [D] disponibilidad [SW] aplicaciones (software) [Media] soportes de información.
(44) 35 Descripción Equivocaciones de las personas cuando usan los servicios, datos, etc. Ver: EBIOS: 38 - ERROR DE USO [E.2] ERRORES DE ADMINISTRADOR Tipos de Activos. Dimensiones. ▪ ▪ ▪ ▪ ▪. [D] datos / información 1. [I] integridad [keys] claves criptográficas 2. [C] confidencialidad [S] servicios 3. [D] disponibilidad [SW] aplicaciones (software) [HW] equipos informáticos (hardware) ▪ [COM] redes de comunicaciones ▪ [Media] soportes de información Descripción equivocaciones de personas con responsabilidades de instalación y operación Ver: EBIOS: 38 - ERROR DE USO. [E.3] ERROR DE CONFIGURACIÓN Tipos de Activos ▪. [[D.conf] datos de configuración. Dimensiones 1. [I] integridad. Descripción Introducción de datos de configuración erróneos. Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: Privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc. Ver: EBIOS: no disponible.
(45) 36 4.4 Amenazas origen ataques intencionados [A.1] MANIPULACIÓN DE REGISTROS DE LOG Tipos de Activos ▪. Dimensiones. [D.log] registros de actividad 1. [I] integridad (Trazabilidad). Descripción Edición de los datos originales registrados por los sistemas informáticos Ver: EBIOS: no disponible [A.2] MANIPULACIÓN DE LA CONFIGURACIÓN Tipos de Activos ▪. Dimensiones. [D.log] registros de actividad 1. [I] integridad 2. [C] confidencialidad 3. [A] disponibilidad. Descripción prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: Privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc. Ver: EBIOS: no disponible [A.3] SUPLANTACIÓN DE LA IDENTIDAD DE USUARIO Tipos de Activos Dimensiones ▪ [D] datos / información ▪ [keys] claves criptográficas ▪ [S] servicios 1. [I] integridad ▪ [SW] aplicaciones (software) 2. [C] confidencialidad ▪ [COM] redes de 3. [A] disponibilidad comunicaciones.
(46) 37. Descripción prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: Privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc. Ver: EBIOS: no disponible 5 Fase IV identificación Salvaguardas Una vez identificados nuestros activos y las latentes amenazas que exponen estos a diversos riesgos se debe establecer los mecanismos de defensa, aquí se listan los ítem más generales por ID Y tipo de protección Ver Anexo Salvaguardas (Anexo B). 6. Fase V evaluar el riesgo. 6.1 Determinación del Impacto Potencial Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos7: Nota: riesgo e impacto potencial son valoraciones que se introducen como teóricas. Degradación: cuán perjudicado resultaría el [valor del] activo. 7. MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro I – Método pagina.
(47) 38 Probabilidad: cuán probable o improbable es que se materialice la amenaza VALORACIÓN PROBABILID OCURRENCIA CUALITATIVA AD MA muy alta casi seguro fácil A Alta muy alto medio M Media posible difícil B Baja poco probable muy difícil MB muy baja muy raro extremadamente difícil Tabla 14 Degradación de valor Fuente: https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-imetodo/file.html ID. ID VALOR FRECUENCIA PERIODO CUANTITATI VO M 100 muy frecuente a diario A A 10 Frecuente mensual M 1 Normal una vez al año B 0,1 poco frecuente cada varios años M 0,01 muy poco frecuente siglos B Tabla 15 Probabilidad de ocurrencia Fuente: https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-imetodo/file.html.
(48) 39. 8. Ilustración 3 El riesgo en función del impacto y la probabilidad Fuente: https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-imetodo/file.html El anexo refleja la valoración dada por el analista mediante el análisis del perjuicio que puede ocasionar dicho activo y la probabilidad de que el evento de riesgo se materialice.. MATRIZ RIESGO INHERENTE. I M P A C T O. 10. 10. 20. 30. 40. 50. 60. 70. 80. 90. 100. 9. 9. 18. 27. 36. 45. 54. 63. 72. 81. 90. 8. 8. 16. 24. 32. 40. 48. 56. 64. 72. 80. 7. 7. 14. 21. 28. 35. 42. 49. 56. 63. 70. 6. 6. 12. 18. 24. 30. 36. 42. 48. 54. 60. 5. 5. 10. 15. 20. 25. 30. 35. 40. 45. 50. 4. 4. 8. 12. 16. 20. 24. 28. 32. 36. 40. 3. 3. 6. 9. 12. 15. 18. 21. 24. 27. 30. 2. 2. 4. 6. 8. 10. 12. 14. 16. 18. 20. 1. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 0. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. PROBABILIDAD. Ilustración 4 El riesgo en función del impacto y la probabilidad. 8. Fuente (Ministerio de Hacienda y Administraciones públicas https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-imetodo/file.html).
(49) 40 Para el cálculo del riesgo potencial se considera la siguiente formula: 𝑅𝑖𝑒𝑠𝑔𝑜 𝑖𝑛ℎ𝑒𝑟𝑒𝑛𝑡𝑒 = 𝑝𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 ∗ 𝑖𝑚𝑝𝑎𝑐𝑡𝑜. Ver Anexo Impacto Potencial (Anexo C). 6.2 Determinación del Riesgo Potencial Esta es una valoración teórica que se indica asumiendo que no existe ninguna salvaguarda activo, este índice (riesgo potencial) crece con el impacto y la probabilidad, indicando el daño probable sobre un sistema. Ver Anexo Riesgo Potencial (Anexo D). SW-000009. ZONA 4. SW-000008 SW-000005. SW-000004. ZONA 3. SW-000003 SW-000002 ZONA 2. SW-000001 HW-000005 HW-000004. ZONA 1. HW-000003 HW-000002 0. 2. 4. 6. Ilustración 4 Riesgo Potencial. 8. 10.
(50) 41 7. Metodología Gestión de Los Riesgos Magerit. 7.1 Evaluación: Interpretación de los valores de impacto y riesgos residuales EI impacto y riesgo residual, es una medida del estado presente, entre la inseguridad potencial sin las salvaguardas alguna y las medidas adecuadas que reducen impacto y riesgo a valores aceptables. Cuando estos dos valores son iguales, es signo de que las salvaguardas implementados no son eficaces, y no porque no se haga nada sino por se dejaron de elementos fundamentales sin atender. El valor residual por sí solo no es más que un número si no está acompañado de la relación de lo que se debería hacer y no se ha implementado respecto a las vulnerabilidades del sistema. Los responsables de la toma de decisiones deben estar pendiente de estas tareas faltantes y mantener un informe de insuficiencias y vulnerabilidades.. 7.2 Aceptación del riesgo Es responsabilidad de la alta dirección de la organización determinar si el nivel de impacto y riesgo es aceptable después de las salvaguardas. Debe aceptar la responsabilidad de las insuficiencias ya que esta decisión no es técnica. Puede ser una decisión política o gerencial o puede venir determinada por ley o compromisos contractuales con proveedores o clientes. Los niveles de aceptación se pueden dar por activos o departamentos. No hay un nivel riesgo óptimo si no se tomara el que conozco y acepte formalmente la dirección.. 7.3 Tratamiento Existen dos opciones que la Dirección puede tener en cuenta en el momento de tomar la decisión de aplicar algún tratamiento al sistema de seguridad desplegado, con el fin de proteger.
(51) 42 el sistema de información: reducir el riesgo residual (aceptar un menor riesgo) y ampliar el riesgo residual (aceptar un mayor riesgo). En el momento de tomar una u otra de las opciones que existen para este tipo de tratamiento, se debe enmarcar los riesgos soportados dentro del sistema de información en un contexto más amplio que cubra una amplia visión de consideraciones tales como: Cumplimiento de obligaciones, bien sea legales o de relación pública o sectorial, compromisos internos, misión de la organización, etc. Posibles beneficios que provienen de una actividad que en sí es próximo a generar riesgos. Condicionantes técnicos, económicos, políticos y culturales. Equilibrio con otro tipo de riesgos tales como comerciales, financieros, medioambientales, laborales, regulatorios, etc. En condiciones de riesgo residual extremo, casi que la única opción es reducir el riesgo. En cuanto a las condiciones de riesgo residual aceptable, se puede elegir entre aceptar el nivel actual y/o ampliar el riesgo asumido; en cualquiera de los casos se debe mantener una vigilancia constante de las circunstancias, con el fin de que el riesgo formal se nivele con la experiencia real, y así poder reaccionar ante cualquier desvío importante. En el riesgo residual medio, se puede observar característica como las pérdidas y ganancias que se pueden ver afectadas por el escenario presente, inclusive llegar a analizar el estado del sector en el que se opera, para ser comparado con la “norma”. Existen cuatro zonas de riesgos:.
(52) 43 ● Zona 1: aquí se encuentran los riesgos muy probables y de alto impacto la meta es sacarlos de esta zona ● Zona 2: se ubican los riesgos de probabilidad relativa y con un impacto medio, se deben tomar acciones. ● Zona 3: están los riesgos poco probables y de impacto bajo. Comúnmente se deja con esta o se les permite subir un poco si esto nos genera ganancias en otra área. ● Zona 4: riesgos improbables, pero de gran impacto: son un desafío para la toma de decisiones ya que su bajo índice de ocurrencia no justifica que se tomen medidas preventivas, pero su elevado impacto exige que se tenga previsto la reacción en su ocurrencia y la recuperación. Se debe considerar la incertidumbre del análisis, ya que se puede sospechar las consecuencias, pero se tiene un amplio rango de opiniones sobre la magnitud (incertidumbre en el impacto). Otras veces la incertidumbre se centra en la probabilidad de ocurrencia. Comúnmente estos escenarios de incertidumbre afectan en las zonas 3 y 4, puesto que cuando la probabilidad es más alta se adquiere experiencia propia o ajena rápidamente y se sale de la incertidumbre. En todo caso la incertidumbre debe ser considerada como mala y se debe hacer algo como: buscar maneras de mejor la predicción del impacto, ya sea indagando en foros, centros de respuesta o con expertos en la materia. Otra forma es con el cambio de algún aspecto, componente o arquitectura del sistema. Por último, tener preparados sistemas de alarma temprana o procedimientos flexibles de contención y recuperación..
(53) 44 7.3.1 Impacto Residual Este se determina una vez aplicado las salvaguardas determinado para cada uno de los riegos.. 7.3.2 Riesgo Residual Este se determina una vez aplicado las salvaguardas determinado para cada uno de los riegos. Ver Anexo Riesgo residual (Anexo E) Para el cálculo tener se tiene en cuenta la formula a continuación: 𝑅𝑖𝑒𝑠𝑔𝑜 𝑅𝑒𝑠𝑖𝑑𝑢𝑎𝑙 = 𝑅𝑖𝑒𝑠𝑔𝑜𝑖𝑛ℎ𝑒𝑟𝑒𝑛𝑡𝑒 𝑥 (1 − %𝑒𝑓𝑒𝑐𝑡𝑖𝑣𝑖𝑑𝑎𝑑𝑡𝑟𝑎𝑡𝑎𝑚𝑖𝑒𝑛𝑡𝑜) 7.4 Estudio cuantitativo de coste beneficio Por razones lógicas no se puede invertir más en una salvaguarda que el valor de lo que se desea asegurar. Pero llevar estas razones lógicas a la práctica no es evidente, ni por el cálculo del riesgo ni por el cálculo del costo de las salvaguardas. Cuando se debe proteger de un riesgo significativo aparecen varios escenarios hipotéticos: E0: donde no se sabe nada. E1: donde se aplica cierto tipo de salvaguardas. E2: donde se aplica otro conjunto de salvaguardas..
(54) 45 De allí se pueden desprender N cantidad de con combinaciones en las salvaguardas y por eso el análisis económico debe decidir que opción tomar, siendo probable desde E0 que es donde no se toma ninguna acción si estuviera justificada económicamente. En todos los escenarios se debe estimar el coste a lo largo del tiempo, y así agregar costes totales, estos se contabilizan como valores negativos las pérdidas de dinero y como valores positivos las entradas de dinero. En los costes negativos recurrentes están: el riesgo residual y el coste anual del mantenimiento de las salvaguardas. El coste negativo que se da una sola vez: esta dado el valor de la implementación de la salvaguarda como tal. Costes positivos recurrentes: mejoras en la capacidad de la organización para producir nuevos productos y/o servicios, mejores condiciones con los proveedores, entrar con asociación con otras organizaciones, etc. Para el escenario E0 es simple, ya que todos los años se afronta un gasto marcado por el riesgo acumulado año tras año. En el resto de los escenarios hay cosas que suman y restan, y por ello se pueden dar diferentes situaciones.. 7.5 Estudio cualitativo de coste/ beneficio Al aparecer beneficios intangibles en la relación costos beneficios impiden el cálculo de un punto numérico de equilibrio, algunos aspectos intangibles que se suelen tener en cuenta son:.
(55) 46 ● Beneficios en la reputación o en la imagen. ● Beneficios en la competencia en comparación con otras organizaciones del mismo sector productivo. ● Cumplimiento en normas obligatorias o voluntarias. ● Mejoras en la capacidad de la operación. ● Mejoras en la productividad.. Teniendo en cuenta los anteriores aspectos, lleva a contemplar diversos escenarios para determinar el balance neto. Como ejemplo, podemos tomar que él no tomar algunas medidas puede llevar a generar una mala imagen, pero si la solución preventiva causa también mala imagen o supone una disminución notable de oportunidades o de productividad, hay que buscar el punto de equilibrio, eligiendo la combinación de medidas que sea asumibles.. 7.6 Estudio mixto de coste/beneficio En un análisis de riesgos únicamente cualitativo, la decisión la da el balance de costos beneficios intangibles, aunque siempre hay que hacer el cálculo del costo de la solución y asegurar que el gasto es asumible, de no ser así, la supuesta solución no es una opción, o sea, siempre se debe pasar el filtro económico y luego elegir la mejor de las posibles soluciones factibles.. 7.7 Opciones de tratamiento de riesgo: eliminación Eliminar la fuente del riesgo es una opción válida frente a riesgos que no sean aceptables..
(56) 47 En un sistema podemos eliminar varias cosas siempre y cuando no afecte a la esencia de la organización. Es extremadamente raro que se puede prescindir de la información o servicios ya que constituyen la misión de la organización y si se cambian estos cambiarían la misión de la organización. Lo más factible es prescindir de otros componentes que no sean esenciales, cuya finalidad es simplemente implementar la misión, pero no son parte de la misma. Esta opción se puede de estas formas. Eliminar algunos activos, empleando otros en su lugar. Ejemplo de ello es cambiar de equipos o de sistema operativo. Reordenar la arquitectura del sistema, de modo que cambie el valor acumulado en ciertos activos que se ven enfrentado a grandes amenazas. La eliminación de las fuentes de riesgo debe ir acompañadas de un nuevo análisis de riesgos sobre lo modificado.. 7.8 Opciones de tratamiento de riesgo: mitigación En la mitigación de riesgo se tiene dos opciones: ● Reducción en la degradación causada por una amenaza (también llamada ‘acotar el impacto’) ● Reducción en la probabilidad de la materialización de la amenaza. Paro los dos casos lo que se debe hacer es ampliar o mejorar las salvaguardas y subir la madurez de las mismas..
(57) 48 Algunas salvaguardas de tipo técnico, se traducen en implementación de más equipamiento que a su vez se convierte en un activo del sistema. Estos nuevos activos también tendrán valor dentro del sistema y estarán sujetos a amenazas que pueden perjudicar a los activos esenciales. Por ende se debe hacer un nuevo análisis de riesgos, ampliado con el nuevo despliegue de medios y lógicamente cerciorándose que el riesgo del sistema ampliado sea menor que el del sistema original. Las salvaguardas implementadas deben disminuir el riesgo de la organización.. 7.9 Opciones de tratamiento de riesgo: compartición Existen dos formar de compartir o transferir el riesgo: ● Riesgo cualitativo: se comparte con la externalización de partes del sistema, dividiendo responsabilidades: unas técnicas en quien opera el componente técnico y otras legales según se establezca en la prestación del servicio. ● Riesgo cuantitativo: en este se comparte por medio de la contratación de seguros, de forma que se reduzca el impacto de posibles amenazas y el asegurador asuma las consecuencias. Al compartir riesgos cambia el conjunto de componentes del sistema o su valoración, haciendo necesario un nuevo análisis del sistema final.. 7.10 Opciones de tratamiento de riesgo: financiación En el momento en el que la organización acepte un riesgo, hará bien en reservar fondos para el canso en el cual el riesgo se materialice y se deba responder a sus consecuencias. Esto de.
(58) 49 denomina ‘fondos de contingencia’. Estos rubros pueden hacer parte de los contratos de aseguramiento. Generalmente esta opción no altera el sistema y por ende no se debe hacer un nuevo análisis de riesgo. 7.11 Formalización de actividades. Ilustración 4. Proceso de gestión de riesgo (Ministerio de Hacienda y Administraciones Públicas https://www.ccncert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html) 7.12 Roles y funciones Para el proceso de gestión de riesgo intervienen varios actores quienes desempeñan las siguientes funciones y responsabilidades:.
(59) 50 ● Órganos de gobierno: conformado por órganos colegiados o unipersonales que toman decisión sobre la misión y los objetivos de la organización. Generalmente en esta categoría se encuentra los altos cargos de los organismos, si existe un comité de seguridad, suele estar en este nivel. Los órganos de este nivel tienen la autoridad última para aceptar los riesgos con los que opera la organización. Son los ‘propietarios del riesgo’. ● Dirección ejecutiva: conformado por órganos colegiados o unipersonales que toman decisiones sobre el cómo se concretan los objetivos de negocio impuestos por los órganos de gobierno. Típicamente se encuentra los responsables de las unidades de negocio, los responsables de la calidad de los servicios prestados por la organización. ● Dirección operacional: conformado por órganos colegiados o unipersonales que toman decisiones prácticas para materializar las indicaciones de los órganos ejecutivos. Generalmente en esta categoría se ubican los responsables de operaciones, de producción y afines. A continuación de identifican algunos roles que están involucrados en el proceso de gestión de riesgos. ● Responsables de la información: generalmente el nivel de gobierno tiene la responsabilidad sobre qué seguridad requiere cierta información manejada en la organización. Este nivel suele concretar la responsabilidad sobre datos de carácter personal y se clasifica la información..
(60) 51 Este rol también puede ser desempeñado por un comité de seguridad de la información. ● Responsable del servicio: generalmente desempeñada por el nivel de gobierno aunque a veces baja a nivel ejecutivo y tiene la responsabilidad de determinar los niveles de servicio de la organización. ● Responsable de la seguridad: el nivel ejecutivo típicamente es el garante dadas de los responsables de la información y los servicios, y el responsable del sistema. También ejerce funciones de supervisor de la operación del sistema y reporta al comité de seguridad de información. En el proceso de gestión de riesgos, es la persona que lleva la valoración de los activos esenciales, que aprueba la aplicabilidad de salvaguardas, los procedimientos operativos, los riesgos residuales y los planes de seguridad. ● Responsables del sistema: a nivel operacional, toma decisiones operativas como la arquitectura del sistema, adquisición e instalación y operación diaria. En el proceso de gestión de riesgos, es la persona encargada de proponer la arquitectura de seguridad, los procedimientos operativos, planes de seguridad y de la implantación y correcta operación de las salvaguardas. Matriz RACI. Se utiliza esta matriz en la asignación de responsabilidades RACI viene de las iniciales en inglés de los tipos de responsabilidad, se utiliza en la gestión de proyectos.
(61) 52 para relacionar las diferentes actividades con los recursos necesarios y de esta manera garantizar que cada tarea este asignada a un individuo o órgano de la organización. La siguiente matriz es orientativa y cada organismo deberá adaptarla a su organización.. Tabla 16. Matriz RACI – Tareas relacionadas con la gestión de riesgos (Ministerio de Hacienda y Administraciones Públicas https://www.ccncert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html).
Figure
+7
Outline
Documento similar