Implementación de un Modelo de Seguridad Informática en un Sistema de Monitoreo para los Canales de Comunicaciones y Datacenter en la Empresa Atento SA
81
0
0
Texto completo
(2) XIOMARA MAYERLI MACIAS MENDEZ Código: 20131273028. JOSE LUIS DUEÑAS JUEZ Código: 20122273004. MONOGRAFÍA PARA OPTAR AL TITULO DE INGENIERIA EN TELECOMUNICACIONES. DIRECTOR DE PROYECTO: Ing. JOSÉ DAVID CELY. UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELECOMUNICACIONES BOGOTÁ D.C. – 2015.
(3) PAGINA DE APROBACIÓN. Observaciones ___________________________________________ ___________________________________________ ___________________________________________ ___________________________________________. __________________________________ Ing. José David Cely Callejas Director Del Proyecto. __________________________________ Ing. Giovani Mancilla Gaona Jurado. Fecha de Presentación: Octubre de 2015.
(4) DEDICATORIA. En primera instancia a Dios, por acompañar nuestro camino e iluminarlo en los momentos de lucidez y dificultad. A nuestros padres y hermanos por ser motivadores constantes y enseñarnos con su ejemplo el valor del esfuerzo. A nuestros amigos por permanecer a nuestro lado y ayudarnos a fortalecer la confianza. A nuestros docentes, tutores y asesores, por su orientación y contribución para lograr llegar a la meta que nos hemos propuesto. A la empresa Atento S.A. por su apoyo incondicional, profesional y personal en la realización de este proyecto..
(5) CONTENIDO. 1.. INTRODUCCIÓN .................................................................................................................. 1. 2.. DESCRIPCION DEL PROYECTO ....................................................................................... 2 2.1.. 2.1.1.. General ...................................................................................................................... 2. 2.1.2.. Específicos ................................................................................................................ 2. 2.2.. 3.. Objetivos .......................................................................................................................... 2. Alcance y limitaciones ..................................................................................................... 2. 2.2.1.. Alcance ..................................................................................................................... 2. 2.2.2.. Limitantes ................................................................................................................. 3. GENERALIDADES ............................................................................................................... 4 3.1.. MARCO CONCEPTUAL ................................................................................................ 4. 3.1.1. 3.2.. MARCO TEORÍCO ......................................................................................................... 6. 3.2.1.. Seguridad informática ............................................................................................... 6. 3.2.2.. Plan Do Check Act.................................................................................................... 6. 3.2.3.. Principios de la seguridad de la información ............................................................ 7. 3.2.4.. MAGERIT (MAGUERIT, 2012)............................................................................ 10. 3.2.5.. Política de seguridad (Nozaki & Tipton, 2011) ...................................................... 11. 3.3.. ANTECENDENTES ...................................................................................................... 15. 3.4.. MARCO LEGAL ........................................................................................................... 18. 3.4.1.. Reglamentación a nivel internacional ..................................................................... 18. 3.4.2.. Reglamentación a nivel Nacional ........................................................................... 19. 3.5. 4.. Definiciones .............................................................................................................. 4. METODOLOGÍA .......................................................................................................... 20. DISEÑO METODOLOGICO DEL PROYECTO ................................................................ 22.
(6) 4.1.. Análisis de riesgos:......................................................................................................... 22. 4.1.1. 4.1.2.. Análisis de Activos ..................................................................................................... 25. 4.1.3.. Identificación de Amenazas........................................................................................ 26. 4.1.4.. Análisis de Amenazas:................................................................................................ 26. 4.1.5.. Impacto Potencial ....................................................................................................... 27. 4.1.6.. Riesgo Residual .......................................................................................................... 27. 4.2.. 5.. Selección de parámetros ......................................................................................... 22. Gestión de riesgos .......................................................................................................... 29. 4.2.1.. Análisis de los controles ISO/IEC 27002:2013 ...................................................... 30. 4.2.2.. Evaluación de estado actual .................................................................................... 40. 4.2.3.. Declaración de aplicabilidad ................................................................................... 42. PLAN DE ACCIÓN ............................................................................................................. 44 5.1.. Cierre brechas ................................................................................................................. 44. 5.2.. Plan de trabajo certificación ........................................................................................... 45. 5.3.. Política de seguridad para los sistemas de información de Atento SA .......................... 47. 5.3.1.. Objetivo................................................................................................................... 47. 5.3.2.. Requerimientos organizacionales: .......................................................................... 48. 5.3.3.. Comunicación: ........................................................................................................ 48. 5.4.. Diseño de la infraestructura lógica de interconectividad ............................................... 49. 5.4.1.. Seguridad Lógica: ................................................................................................... 49. 5.4.2.. Topología de Red Segura: ....................................................................................... 49. 5.4.3.. Zonificación ............................................................................................................ 50. 5.4.4.. Red de Acceso......................................................................................................... 50. 5.4.5.. Red Desmilitarizada ................................................................................................ 50. 5.4.6.. Red Militarizada...................................................................................................... 51.
(7) 6.. 5.4.7.. Red Interna .............................................................................................................. 51. 5.4.8.. Pautas para la interconectividad de Zonas .............................................................. 52. 5.4.9.. Flujo de Datos ......................................................................................................... 53. 5.4.10.. Barreras de Seguridad: ........................................................................................ 54. 5.4.11.. Alta Disponibilidad en Firewall: ......................................................................... 55. 5.4.12.. VLAN´s: .............................................................................................................. 55. ETAPA DE PREPRODUCCION ......................................................................................... 56 6.1.. Solicitud de Equipos: ..................................................................................................... 57. 6.2.. Proceso de Configuración: ............................................................................................. 57. 7.. RESULTADOS..................................................................................................................... 64 7.1.. Etapa análisis de riesgos ................................................................................................. 64. 7.2.. Gestión de riesgos .......................................................................................................... 65. 7.3.. Gestión de riesgos .......................................................................................................... 67. 8.. CONCLUSIONES ................................................................................................................ 68. 9.. BIBLIOGRAFÍA .................................................................................................................. 69. 10.. REFERENCIAS ................................................................................................................. 70.
(8) LISTA DE FIGURAS. Figura 1. Sistema de gestión de la seguridad de la información ..................................................... 7 Figura 2.Principios básicos de la seguridad de la información ....................................................... 8 Figura 3. ISO 31000 - Marco de trabajo para la gestión de riesgos .............................................. 10 Figura 4. Etapas en el desarrollo de una política .......................................................................... 13 Figura 5. I Solution modeling ....................................................................................................... 17 Figura 6. Identificación y valoración de Activos .......................................................................... 25 Figura 7. Identificación de Amenazas .......................................................................................... 26 Figura 8. Análisis de Amenazas .................................................................................................... 27 Figura 9. Riesgo Residual ............................................................................................................ 29 Figura 10. Dominios de control .................................................................................................... 30 Figura 11: Nivel de cumplimiento ISO27001 ............................................................................... 43 Figura 12. Diseño esquema de conexiones ................................................................................... 53 Figura 13. Esquema Multihomed .................................................................................................. 54 Figura 14. Configuración del usuario local ................................................................................... 58 Figura 15. Encriptación del directorio de usuario ......................................................................... 58 Figura 16. Configuración IP LAN ................................................................................................ 59 Figura 17. Configuración IP LAN 2 ............................................................................................. 59 Figura 18. Configuración usuario administrador de la herramienta de monitoreo. ...................... 60 Figura 19. Interfaz Web Nagios .................................................................................................... 61 Figura 20. Configuración de roles para usuarios nuevos .............................................................. 61 Figura 21. Cambio de contraseña por los mismos usuarios .......................................................... 62 Figura 22 Política Firewall de conexión a la DMZ ....................................................................... 62 Figura 23 Política Firewall de conexión hacia la MZ ................................................................... 63 Figura 24: Dimensiones afectadas por amenazas ......................................................................... 64 Figura 25: Frecuencia Vs impacto ................................................................................................ 65 Figura 26: Nivel de cumplimiento ISO27001 ............................................................................... 66 Figura 27 Reporte vulnerabilidades .............................................................................................. 67.
(9) LISTA DE TABLAS. Tabla 1 Valor Cuantitativo de Activos ......................................................................................... 22 Tabla 2: Probabilidad de ocurrencia de un evento ........................................................................ 23 Tabla 3: Relación de impacto........................................................................................................ 23 Tabla 4: Dimensiones de Seguridad.............................................................................................. 24 Tabla 5: Tipos de Activos ............................................................................................................. 24 Tabla 6: Tipos de Amenazas ......................................................................................................... 25 Tabla 7: Análisis de brechas ......................................................................................................... 41 Tabla 8 Cronograma de ejecución ................................................................................................ 46 Tabla 9 Modelo de conexión entre zonas...................................................................................... 52.
(10) RESUMEN. En este este proyecto se realizó la creación de una política de seguridad con el fin de establecer medidas para la protección de la información en la empresa Atento SA. A lo largo del desarrollo del proyecto se realizaron análisis de activos informáticos vs la seguridad de los mismos. En primera instancia se realizó el análisis de riesgos, donde se identificaron los activos y el valor de los mismos, la identificación de amenazas, la evaluación de impacto y la clasificación de riesgos que pudiesen causar dichas amenazas. Enseguida se realizó el tratamiento de los riesgos, donde se identificaron los controles de seguridad existentes en la empresa tomando como referencia la norma ISO/IEC 27001:2013, ya que es objetivo de Atento SA certificarse en esta norma, se identificó la situación actual y las brechas de seguridad. Con el proceso de investigación dentro de la empresa se lograron obtener todos los datos necesarios para dar paso al diseño de la política de seguridad y establecer el modelo de implementación que fue remitido al comité de seguridad de Atento SA para su respectiva revisión y aprobación. Como siguiente paso se realizó el diseño de conexión entre redes tanto externas como internas de la compañía y por último se realizó la implementación de una herramienta de seguridad aplicando las medidas de seguridad correspondientes..
(11) 1. INTRODUCCIÓN En la actualidad el uso de los sistemas de información tiene una gran demanda dado el incremento de servicios tecnológicos en las diferentes ramas de la industria y con ello también el aumento de problemas de seguridad, afectando activos esenciales como la información. Es necesario que las empresas se concienticen de la importancia de proteger la integridad de los datos que manejan, puesto que el dejar de lado el tema podría incurrir en deterioro de la información degradando los servicios y generando pérdidas económicas.. Teniendo en cuenta lo anterior es necesario contar con estrategias y medidas de seguridad de la información, con el fin de garantizar el funcionamiento adecuado de todos los sistemas y dado el caso de alguna amenaza y/o ataque que impliquen la pérdida de información, se apliquen los procedimientos correctivos necesarios.. El propósito de asegurar la información consiste en hacer que los riesgos sean conocidos, asumidos, gestionados y minimizados por la empresa. Realizando la documentación de tal forma que sea estructurada, eficiente y ajustable a cambios, estas características deben primar en el entorno de cualquier entidad moderna, que incorpore a su gestión las tecnologías de la información y que este respaldada sobre una infraestructura tecnológica con amplio grado de integración de redes, comunicaciones y sistemas de información.. El desarrollo de este proyecto permitirá que los administradores de la infraestructura tecnológica tomen conciencia de la necesidad de una política de seguridad correctamente estructurada, que permita la prevención de fallas y en caso dado atención optima de las mismas. Adicionalmente se debe resaltar la importancia de la divulgación de la política de seguridad a todo el personal vinculado con la empresa, ya que de ello depende su cumplimiento y la disminución de las penalizaciones impuestas en las auditorías realizadas por los diferentes clientes a los que Atento presta sus servicios.. 1.
(12) 2. DESCRIPCION DEL PROYECTO 2.1.. Objetivos. 2.1.1. General Implementar un modelo de seguridad informática en un sistema de monitoreo para los canales de comunicaciones y Datacenter en la empresa Atento SA. 2.1.2. Específicos Identificar las posibles problemáticas de seguridad informática que pueden surgir en el desarrollo de los procesos realizados en el Datacenter de la empresa. Diseñar la infraestructura lógica de interconectividad Diseñar políticas de seguridad y modelo de implementación de las mismas.. 2.2.. Alcance y limitaciones. 2.2.1. Alcance. Este proyecto comprende el diseño de una política de seguridad orientada al cumplimiento de los controles de la norma ISO/IEC 27001:2013 dirigida a procesos, activos y riesgos que pertenecen al área de TI en la empresa Atento SA. Este proyecto contempla la etapa de diseño de la política de seguridad, por lo tanto depende de la empresa llevar a cabo su implementación. Como prototipo, se realizó la implementación de una. herramienta de monitoreo para los. equipos del Datacenter aplicando los ítems establecidos en la política de seguridad creada. De igual forma abarca el diseño de infraestructura lógica de interconectividad enfocado al uso de esta herramienta con la opción de ser aplicado para el uso de otros servicios relacionados con el área Tecnológica. Los valores monetarios de los activos establecidos en el análisis no son los valores comerciales, se establece el valor que considera la empresa, de acuerdo los procesos o servicios que maneja.. 2.
(13) 2.2.2. Limitantes. Este proyecto no contempla la implementación de la política de seguridad, se entrega la respectiva documentación a las directivas con el fin de que sea aprobada y ejecutada por el área que considere.. Los activos relacionados en los análisis no representan la totalidad de los activos de la empresa, pero si los que se consideran importantes en el área de TI.. Los controles de la norma ISO/IEC 27002:2013 serán planteados solo si hay riesgos que justifiquen un control en particular, de lo contrario sería tomado como una pérdida de tiempo y dinero.. 3.
(14) 3. GENERALIDADES 3.1.. MARCO CONCEPTUAL. A continuación se darán algunas definiciones importantes, útiles para una mejor comprensión de este proyecto. 3.1.1. Definiciones. -. Activos de información: Los activos son los recursos que tienen valor o utilidad para la organización, sus operaciones comerciales y su continuidad, necesarios para que la organización funcione y alcance los objetivos que propone su dirección.. -. Amenaza: Es todo aquello, ya sea físico o lógico que puede causar un incidente no deseado, generando daños materiales o inmateriales a la organización y a sus activos, como la perdida de información, o de su privacidad, o bien un fallo en los equipos físicos.. -. Análisis de riesgos: Uso sistemático de la información para identificar fuentes y estimar el riesgo.. -. Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados. (Característica por la que la información no está disponible o revelada a individuos, entidades o procesos no autorizados).. -. Controles de seguridad: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. También utilizado como sinónimo de salvaguarda o contramedida.. -. Declaración de aplicabilidad: Documento que enumera los controles aplicados por el SGSI de la organización además de la justificación tanto de su selección como de la exclusión de controles incluidos en el anexo A de la norma.. -. Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. (Característica de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada).. 4.
(15) -. Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la valoración de riesgos y el tratamiento de riesgos.. -. Impacto: El coste para la empresa de un incidente que puede o no ser medido en términos estrictamente financieros ej., pérdida de reputación, implicaciones legales, etc.. -. Información: Conjunto organizado de datos procesados que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. La información ya sea impresa, almacenada digitalmente o hablada, es considerada un activo dentro de las compañías y debe protegerse.. -. Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. (Característica de salvaguardar la exactitud y completitud de los activos).. -. No conformidad: Situación aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un riesgo menor.. -. No repudio: Es un servicio de seguridad que permite probar la participación de las partes en una comunicación.. -. PDCA: (Plan-Do-Check-Act) Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI).. -. Política de seguridad: Documento que establece el compromiso de la Dirección y el enfoque de la organización en la gestión de la seguridad de la información.. -. Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. (Combinación de la probabilidad de un evento y sus consecuencias).. -. Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.. -. Seguridad de la información: es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.. 5.
(16) -. SGSI: Sistema de Gestión de la Seguridad de la Información. Parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información.. -. Vulnerabilidad: Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. (Debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza).. 3.2.. MARCO TEORÍCO. 3.2.1. Seguridad informática. Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet. Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía.. Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente ecuación. Riesgo = (amenaza * vulnerabilidad) / contramedida 3.2.2. Plan Do Check Act. El ciclo de Deming (de Edwards Deming), también conocido como círculo PDCA (del inglés plan-do-check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua, es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. Es muy utilizado por los sistemas de gestión de la calidad (SGC) y los sistemas de gestión de la seguridad de la información (SGSI).. 6.
(17) Los resultados de la implementación de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad de la empresa u organización. (“Sistema de gestión de la seguridad de la información,” 2015). Figura 1. Sistema de gestión de la seguridad de la información Fuente: Plan de gestión de riegos. (2013, Diciembre 26). En ISOTOOLS Excellence. Obtenido de https://www.isotools.org/2013/12/26/el-plan-de-gestion-de-riesgos-segun-la-norma-iso-27001/. 3.2.3. Principios de la seguridad de la información. La seguridad de la información es la protección de los activos de información, contra una gran variedad de amenazas que existen en el mundo, con el fin de asegurar la continuidad del negocio,. 7.
(18) minimizar el riesgo y maximizar el retorno de inversiones y oportunidades de una empresa. Figura 2.. Figura 2.Principios básicos de la seguridad de la información Fuente: EAN página institución educativa. [En línea] Consultado Agosto 2015. Disponible en mercadodedinero.com.co.. Se habla regularmente de la Seguridad de la Información y se hace, en muchos casos, dando por hecho que cada persona es plenamente consciente de lo que implica el término. Indudablemente, es fácil deducir lo que se habla, pero también es fácil entender que, en un mundo tan técnico y complejo, en ocasiones la clave se encuentra en saber definir y entender con exactitud el propio término sobre el que se trabaja. (Mifsud, 2012). -. Confidencialidad: En general el término 'confidencial' hace referencia a "Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas.". En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos. El. 8.
(19) objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información. En general, cualquier empresa pública o privada y de cualquier ámbito de actuación requiere que cierta información no sea accedida por diferentes motivos.. Por otra parte, determinadas empresas a menudo desarrollan diseños que deben proteger de sus competidores. La sostenibilidad de la empresa así como su posicionamiento en el mercado puede depender de forma directa de la implementación de estos diseños, y se deben proteger mediante mecanismos de control de acceso que aseguren la confidencialidad de la información.. -. Integridad: En general, el término 'integridad' hace referencia a una cualidad de 'íntegro' e indica "Que no carece de ninguna de sus partes.". En términos de seguridad de la información, la integridad hace referencia a la fidelidad de la información o recursos, se expresa en lo referente a prevenir el cambio impropio o desautorizado. El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la información.. -. Disponibilidad: En general, el término 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que está lista para usarse o utilizarse.". En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados. El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informáticos.. La seguridad consiste en mantener el equilibrio adecuado entre estos tres factores, dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a otro. (Mifsud, 2012). 9.
(20) 3.2.4. MAGERIT (MAGUERIT, 2012). MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.. MAGERIT es para todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT permite saber cuánto valor está en juego y ayuda a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.. Figura 3. ISO 31000 - Marco de trabajo para la gestión de riesgos Fuente: ISO 31000 y los 11 principios de la Gestión de Riesgos. (n.d.). Consultado Agosto 1, 2015, de http://www.pmnconsultores.com/ISO31000. 10.
(21) MAGERIT persigue los siguientes objetivos:. -. Directos: o Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos. o Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) o Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control.. -. Indirectos: o Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.. 3.2.5. Política de seguridad (Nozaki & Tipton, 2011). Es importante aclarar el término política o estándar o mejor practica o guía o procedimiento, estos son términos usados en la seguridad informática a diario, pero algunas veces son utilizados correctamente otras veces no. A continuación se enuncian la definición de los términos anteriormente mencionados en implementación de políticas.. -. Política: La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma. Las políticas de seguridad definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la organización.. -. Estándar: Los estándares de seguridad son una herramienta que apoya la gestión de la seguridad informática, ya que los ambientes cada vez más complejos requieren de modelos que administren las tecnologías de manera integral, sin embargo, existen distintos modelos aplicables en la administración de la seguridad.. 11.
(22) -. Mejor practica: Es una regla de seguridad específica a una plataforma que es aceptada a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de la organización.. -. Guía: Una guía es una declaración general utilizada para recomendar o sugerir un enfoque para implementar políticas, estándares y buenas prácticas. Las guías son, esencialmente recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no hacerlo.. -. Procedimiento: Los procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataforma, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema específico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueño del sistema. Los procedimientos seguirán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible y a su vez se ajustaran a los requerimientos, procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican.. Etapas en el desarrollo de una política:. Hay 11 etapas que deben realizarse en la vida de una política. Estas etapas son agrupadas en cuatro fases:. 12.
(23) -. Fase de desarrollo: Durante esta fase la política es creada, revisada y aprobada.. -. Fase de implementación: En esta fase la política es comunicada y acatada (o no cumplida por alguna excepción).. -. Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (Actualizarla).. -. Fase de eliminación: La política se retira cuando no se requiere más.. Figura 4. Etapas en el desarrollo de una política Fuente: Nozaki, M. K., & Tipton, H. F. (2011). Information Security Management Handbook, Sixth Edition. CRC Press.. Este proyecto plantea la creación de una política de seguridad y un modelo de implementación de la misma, por tal motivo a continuación se describe en detalle la guía para la etapa de creación comunicación, cumplimiento y excepciones:. -. Creación: Planificación, investigación, documentación y coordinación de la política.. El primer paso en la fase de desarrollo de una política es la planificación, la investigación y la redacción de la política o, tomado todo junto, la creación. La creación de una política implica identificar por qué se necesita la política (Por ejemplo requerimientos legales, regulaciones. 13.
(24) técnicas, contractuales u operacionales); determinar el alcance y la aplicabilidad de la política, los. roles y las responsabilidades inherentes a la aplicación de la política y garantizar la. factibilidad de su implementación. De esta etapa se tendrá como resultado la documentación de la política de acuerdo con los procedimientos y estándares de la universidad, al igual que la coordinación con entidades internas y externas que la política afectará, para obtener información y su aceptación. En general la creación de una política es la función más fácil de entender en el ciclo de vida de desarrollo de una política.. -. Comunicación: Difundir la política:. Una vez la política ha sido aprobada formalmente, se pasa a la fase de implementación. La comunicación de la política es la primera etapa que se realiza en esta fase. La política debe ser inicialmente difundida a los miembros de la comunidad empresarial o a quienes sean afectados directamente por la política (contratistas, proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el método inicial de distribución de la política). Debe planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la visibilidad de la política. -. Cumplimiento: Implementar la política. La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la política. Implica trabajar con otras personas de la compañía, jefes, dependencias (de división o sección) para interpretar cual es la mejor manera de implementar la política en diversas situaciones y oficinas; asegurando que la política es entendida por aquellos que requieren implementarla, monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir el impacto inmediato de la política en las actividades operativas. Dentro de estas actividades esta la elaboración de informes a la administración del estado de la implementación de la política. -. Excepciones: Gestionar las situaciones donde la implementación no es posible. Debido a los problemas de coordinación, falta de personal y otros requerimientos operacionales, no todas las políticas pueden ser cumplidas de la manera que se pensó al comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones a la política para permitir a ciertas oficinas o personas el no cumplimiento de la política. Debe establecerse un proceso para garantizar que las solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para la aprobación, documentadas y vigiladas a través del periodo de tiempo establecido para la. 14.
(25) excepción. El proceso también debe permitir excepciones permanentes a la política, al igual que la no aplicación de la misma por circunstancias de corta duración. (Nozaki & Tipton, 2011). 3.3.. ANTECENDENTES. En el área de la seguridad informática se han venido desarrollando en los últimos años diferentes tipos de aplicaciones e investigaciones con el fin de reducir los riesgos a los que se enfrentan las empresas y dar soporte a las operaciones del negocio. A continuación se describen algunos de los avances que han logrado en Colombia en diferentes entidades y/o universidades.. En la Universidad Nacional Mayor de San Marcos, facultad de Ciencias Matemáticas, en el 2003, se desarrolló el proyecto PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA. El cual consiste en definir un plan de seguridad para una entidad financiera, empieza por definir la estructura organizacional (roles y funciones), después pasa a definir las políticas, para finalmente concluir con un plan de implementación o adecuación a las políticas anteriormente definidas. (Córdoba, 2003). En la Universidad Tecnológica de Pereira, facultad de ingenierías, programa de ingeniería de sistemas y computación, en el 2013 se desarrolló el proyecto DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EL GRUPO EMPRESARIAL LA OFRENDA. El cual diseño un Sistema de gestión de seguridad de la información SGSI, como parte de un sistema de gestión global basado directamente en los riesgos para el negocio y los activos del mismo contemplado en la norma ISO 27001:2005, el objetivo primordial fue ayudar a las empresas a gestionar de una forma eficaz la seguridad de la información evitando las inversiones mal dirigidas, contrarrestando las amenazas presentes en el entorno y dentro de la misma, implementación de controles proporcionado y de un coste menos elevado. (Aguirre & Aristizabal, 2013) A nivel internacional también se han desarrollado diferentes proyectos e investigaciones en referencia al área de la seguridad informática que han contribuido al mejoramiento de la seguridad en las empresas.. 15.
(26) En la pontificia universidad católica de Perú, facultad de ciencias e ingeniería, en el año 2005, se realizó el ANÁLISIS Y DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN BASADO EN LA NORMA ISO/IEC 27001:2005 PARA UNA EMPRESA DE PRODUCCIÓN Y COMERCIALIZACIÓN DE PRODUCTOS DE CONSUMO MASIVO. Este proyecto se diseñó para el caso de una empresa del rubro de producción y distribución de alimentos de consumo masivo, este tipo de empresas también tienen la necesidad de proteger la información. Por ejemplo, en unos de sus principales procesos que es el de producción, está implicada información de gran importancia para la empresa, como “recetas” de productos, programación de manufactura, sistemas que se usan, tipos de pruebas de calidad de producto, etc., la cual debe estar resguardada correctamente para evitar que dicha información se pierda o caiga en manos indebidas y así garantizar que se logren los objetivos del negocio. Esta tesis tomó en cuenta los aspectos más importantes de la norma ISO/IEC 27001:2005. (Espinoza, 2013). En España se realizó un master interuniversitario en seguridad de las tecnologías de la información y las comunicaciones entre las universidades: Universitat Oberta de Catalunya, Universidat Autonoma de Barcelona, Universitat Rovira I Virgili y Universitat De Iiles Balears, llamado PLAN DE IMPLEMENTACIÓN DE LA NORMA ISO/IEC 27001:2005 en Junio de 2013. Este documento presenta de manera práctica la construcción de un plan de implementación de la norma ISO/IEC 27001:2005, lo cual es considerado un aspecto clave para cualquier organización que desee alinear los objetivos del negocio y sus directrices de seguridad en relación a la normativa internacional. Plantea las bases para la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI) desarrollando las fases de documentación normativa, contextualización de la compañía y definición de la situación actual, análisis de riesgos, evaluación de nivel de cumplimiento de la norma, propuesta de proyectos que permitan alcanzar el nivel adecuado de seguridad y el esquema documental. (Aurela & Segovia, 2013). En la revista internacional de la ingeniería y la tecnología (IJET), en el año 2012, se publicó un artículo llamado INFORMATION SECURITY CHALLENGE AND BREACHES: NOVELTY APPROACH ON MEASURING ISO 27001 READINESS LEVEL, este traducido al español es: Retos y brechas de la seguridad de la información: Enfocado a el nivel de preparación para la. 16.
(27) norma ISO 27000. Este artículo está orientado al cumplimiento de las normas de seguridad de la información, da recomendaciones para asegurar toda la información, pues la seguridad de la información no es sólo una simple cuestión de tener los nombres de usuario y contraseñas. En realidad la seguridad de la información se convierte en una parte muy importante de los activos intangibles de la organización. El nivel de confianza de las partes interesadas es el indicador de desempeño exitoso de la organización. En este trabajo se discutieron los retos y las brechas en seguridad de la información, con referencia a varias encuestas en el campo de la seguridad de la información, lo que los llevó a entregar un modelo (llamado modelo solución integrada, modelo i-solución) para la comprensión de las normas de gestión de seguridad de la información (SGSI) término y concepto. En este artículo también se describe la implementación una aplicación para evaluar el nivel de preparación de una organización hacia la norma de seguridad de la información, ISO 27001. (Susanto, Nabil & Chee, 2012). Figura 5. I Solution modeling Fuente: Susanto Heru, Nabil Mohammad y Chee Yong. (Enero 2012). Information security challenge and breaches: novelty approach on measuring ISO 27001 readiness level. Revista internacional de la ingeniería y la tecnología (IJET). 17.
(28) 3.4.. MARCO LEGAL. 3.4.1. Reglamentación a nivel internacional. -. A continuación se da una breve descripción sobre ISO/IEC 27000, estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La reglamentación ISO 27000 contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los sistemas de Gestión de la Seguridad de la Información (SGSI). Estos documentos se encuentran en continuo desarrollo y algunos aún en fase de preparación, compuesta así: o ISO/IEC 27000: Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman. o ISO/IEC 27001: “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Esta norma agrupa los requerimientos de implantación de un SGSI, esta norma es certificable por entidades externas a la organización. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799). La ISO 2700:2013 Es la versión más actualizada de esta norma, en este proyecto trabajaremos con esta con el objeto de responder en todo momento a las necesidades y exigencias actuales. o ISO/IEC 27002: Este documento es una guía de buenas prácticas para la gestión de seguridad la cual describe los objetivos de control y controles recomendables, se encuentra organizado en 11 dominios, 39 objetivos de control y 133 controles. o ISO/IEC 27003: Corresponde a una guía de implementación de un SGSI e Información acerca del uso del ciclo Deming (PDCA). Su propósito principal es. 18.
(29) orientar hacia una implementación efectiva del modelo de seguridad que se encuentre acorde con ISO/IEC 27001.. ATENTO SA. actualmente no se encuentra certificada en ningún estándar de seguridad. publicado por la Organización Internacional para la Estandarización (ISO), con este proyecto se identificaron los riesgos a los que están sometidos los activos y/o elementos de trabajo en el área de tecnología y entregar un modelo de cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información enfocados en el modelo normativo ISO/IEC27001:2013 (Anexo A) e ISO/IEC 27002:2013.. 3.4.2. Reglamentación a nivel Nacional. A continuación se describen algunos reglamentos vigentes a nivel nacional que influyen directa o indirectamente en la seguridad informática de las empresas en Colombia. -. Ley 527 de 18 de agosto de 1999, sobre Mensajes de Datos, Comercio electrónico y Firma Digital: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. Firma digital: Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación. El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora los siguientes atributos:. 1. Es única a la persona que la usa. 2. Es susceptible de ser verificada. 3. Está bajo el control exclusivo de la persona que la usa.. 19.
(30) 4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada. 5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional.. -. Ley 1273 de 5 de enero de 2009 La ley 1273 del 5 de enero de 2009, fue creada para sancionar todos aquellos delitos que van en contra del buen uso de la información y aquellos que irrumpen con la propiedad privada, la idea de esta ley fue proteger a todas aquellas personas que cuentan con algún tipo de información financiera y personal. De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos se encuentran: 1.. Acceso abusivo a un sistema informático. 2.. Obstaculización ilegítima de sistema informático o red de telecomunicación. 3.. Interceptación de datos informáticos. 4.. Daño Informático. 5.. Uso de software malicioso. 6.. Violación de datos personales. 7.. Suplantación de sitios web para capturar datos personales.. En este sentido, los estándares, las políticas organizacionales, los planes de seguridad y estrategias de seguridad que adopten las organizaciones deberán estar acordes a la legislación existente en el país donde pretendan aplicarse para asegurar todos los activos informáticos, sistemas de información y los datos. (Alcaldía Mayor de Bogotá D.C., 2008). 3.5.. Metodología. Después de realizar la investigación de los métodos posibles para abordar el desarrollo de este proyecto, se identificó que la metodología del Ciclo de Deaming es muy usada en el desarrollo de proyectos universitarios y empresariales, ya que abarca 4 importantes fases para llevar a cabo el cumplimiento de los objetivos de forma sistemática y progresiva, logrando un que el desarrollo del proyecto sea organizado y conciso.. 20.
(31) Primera etapa, “planificación”. La documentación de esta etapa, se realizó de cierta manera en el inicio de este documento, al plantar la introducción y objetivos para lograr la resolución de la problemática. Segunda etapa, “hacer”. El desarrollo de esta etapa consistió en la elaboración de análisis y la toma de medidas o acciones de acuerdo a los resultados obtenidos.. Tercera etapa, verificar. Como parte de esta etapa se realizó el proceso de preproducción, donde se evidencia la implementación de la política y se toman resultados.. Cuarta etapa, actuar. En el ámbito de este proyecto el actuar consistió básicamente en la entrega de la política de seguridad al comité de seguridad de Atento SA y se complementaría en el caso de que sea aprobada e implementada.. La necesidad de utilizar un método de análisis y tratado de riesgos que permitiera a la investigación ser objetiva hacia el entorno IT, llevo a que en este proyecto se utilizara la metodología de MAGERIT, la cual indica una serie de pautas para realizar los respectivos análisis de riesgos. Esta metodología permitió realizar el desarrollo de este proyecto en las siguientes fases:. -. Planificación del análisis y gestión de riesgos, establece las consideraciones necesarias para arrancar el proyecto de análisis y gestión de riesgos. Coincide de cierta manera con la etapa 1 de la metodología de Deaming.. -. Análisis de riesgos, permite identificar y valorar las entidades que intervienen en el riesgo.. -. Gestión de riesgos, permite identificar las funciones o servicios de salvaguarda reductores del riesgo detectado.. -. Selección de protección, permite seleccionar los mecanismos de protección que hay que implementar. (MAGUERIT, 2012). 21.
(32) 4. DISEÑO METODOLOGICO DEL PROYECTO. 4.1.. Análisis de riesgos:. 4.1.1. Selección de parámetros. La selección de parámetros se estableció tomando en cuenta lo descrito por la metodología de MAGERIT. -. Valoración de Activos. En la Tabla 1 se muestra el nivel de valor que pueden tomar los activos en la compañía, el cual inicia desde un valor muy bajo hasta un valor muy alto. Este valor fue tomado en relación con el costo de cada valor que fue entregado por la empresa:. Tabla 1 Valor Cuantitativo de Activos. Valor Cuantitativo de Activos MIN Valor. MAX Valor. Cualitativo. Cuantitativo. >160´000.000. -. DESCRIPCION. Valor Cualitativo. MUY ALTO. MA. 80´000.000. <150´000.000. ALTO. A. 40´000.000. <80´000.000. MEDIO. MA. 20´000.000. <40´000.000. BAJO. B. <20´000.000. Muy Bajo. MB. Probabilidad de ocurrencia: En la Tabla 2 se muestra la frecuencia con la que una amenaza se puede materializar sobre un activo:. 22.
(33) Tabla 2: Probabilidad de ocurrencia de un evento. Frecuencia (Anualmente) # Años. Descripción. 1. Extremadamente. 1 1 1. # Días. Valor. Frecuente. EF. 1. 1. Muy Frecuente. MF. 15. 0,06666667. Frecuente. F. 60. 0,01666667. Poco Frecuente. PF. 183. 0,00546448. MPF. 365. 0,00273973. Muy poco. 1. -. Abreviatura. Frecuente. Relación de impacto: En la Tabla 3 se muestra la relación de impacto desde un valor cualitativo hasta un valor cuantitativo:. Tabla 3: Relación de impacto. RELACION DE IMPACTO Valor Cualitativo. Valor Abreviatura. Cuantitativo. Critico. C. (80% - 100%]. Alto. A. (60% - 80%]. Medio. M. (30% - 60%]. Bajo. B. [5% - 30%]. -. Dimensiones de Seguridad: En la siguiente tabla. -. Tabla 4. se muestran 3 dimensiones generales de seguridad de la información (C, I, D) y 2. dimensiones que agrega el modelo de MAGERIT (A, T):. 23.
(34) Tabla 4: Dimensiones de Seguridad. Dimensiones Cód.. -. Dimensión. Dimensión. A. Autenticidad. C. Confidencialidad. I. Integridad. D. Disponibilidad. T. Trazabilidad. Tipos de Activos: En la Tabla 5 se muestran los tipos de activos utilizados en el análisis de riesgos, planteados por el modelo escogido:. Tabla 5: Tipos de Activos. TIPOS DE ACTIVOS. -. Cód. Activo. Tipo de Activo. I. Instalaciones. H. Hardware. A. Aplicaciones. D. Datos. R. Redes. S. Servicios. P. Personal. Tipos de Amenazas: En la Tabla 6 se muestran los 4 principales grupos de amenazas que pueden afectar los activos de una empresa:. 24.
(35) Tabla 6: Tipos de Amenazas. TIPOS DE AMENAZAS Cód. Amenaza. Tipo Amenaza. DN. Desastres naturales. IN. De origen industrial. EF. Errores y fallos no intencionados. AI. Ataques intencionados. 4.1.2. Análisis de Activos En esta etapa se identificaron los activos más relevantes para el desarrollo de actividades en el área de TI. Para cada activo identificado se creó y asigno un código con el fin de referenciarlo en otros análisis. Se asignaron valores cualitativos (dinerarios), los cuales fueron suministrados por los administradores de cada segmento que compone el área de TI; estos valores fueron aproximados y corresponden al valor representativo que tienen para la empresa respecto a su funcionamiento y servicio que prestan. Tenido en cuenta el valor indicado se asignó un valor cualitativo (ver Tabla 2) con el fin de obtener un rango específico. En la Figura 6 se muestra una parte del total de activos identificados y sus respectivos valores, para consultar la información completa ver Anexo 1. Etapa de análisis de riesgos. Tipo de Activo Cod. Activo Instalaciones. Hardware. I01 H01 H02 H03 H04 H05 H06 H07 H08 H09 H10 H11 H12 H13 H14 H15 H16 H17 H18. Activo Edificacion Controlador de dominio principal Controlador de dominio secundario Servidor de Base de Datos Servidor de correo Granja de Servidores Vmware SAP Servers Switch core Switch MPLS Tranceiver fibra principal Switch Firewal Switch Vlans Servidor Firewall Administración Vmware Servidor Web Servidor Archivos FTP, VPN, Terminal Server Servidor Monitoreo Equipos Servidor Antivirus. Valor Cuantitativo (Pesos) 430.000.000 70.000.000 42.000.000 63.000.000 63.000.000 105.000.000 42.000.000 91.000.000 35.000.000 42.000.000 84.000.000 84.000.000 84.000.000 42.000.000 21.000.000 35.000.000 21.000.000 14.000.000 35.000.000. Valor Cualitativo MA M M M M A M A B M M M M M B B B MB B. Figura 6. Identificación y valoración de Activos. 25.
(36) 4.1.3. Identificación de Amenazas En esta etapa se clasificaron las amenazas en 4 grupos principales (ver Tabla 7) de acuerdo al enfoque metodológico de MAGERIT, este método cuenta con un libro adicional (Catalogo de Elementos) donde describe los diferentes tipos de amenazas que pueden ser aplicados de acuerdo al tipo de activo que se esté analizando. Al igual que en la etapa anterior, a las amenazas se les asigno un código identificador y se definieron cuales amenazas son las que afectan a las 5 dimensiones de seguridad (ver Tabla 5) y cuales afectan los 7 tipos de activos (ver Tabla 6).. En la Figura 8 se pueden observar 2 de los grupos de amenazas y las amenazas que conforman cada grupo. Para consultar la información completa ver Anexo 1. Etapa de análisis de riesgos. Grupo Desastres naturales. De Origen Industrial. Cod. Amenaza DN01 DN02 DN03 IN01 IN02 IN03 IN04 IN05 IN06 IN07 IN08 IN09 IN10 IN11. Dimension Afectada A C I D T Fuego x Daños por agua x Otros desastres Naturales x Fuego x Daños por agua x Contaminacion Mecanica x Contaminación electromagnética x Avería de origen físico o lógico x Corte del suministro eléctrico x Condiciones inadecuadas de temperatura o humedad x Fallo de servicios de comunicaciones x Interrupción de otros servicios y suministros esenciales x Degradación de los soportes de almacenamiento de la información x Emanaciones electromagnéticas x Amenaza. Activos Afectados por Grupo I H A D R S P x x x x x x x x x x x x x x x x x x x x x. Figura 7. Identificación de Amenazas. 4.1.4. Análisis de Amenazas: En esta etapa se relacionaron los activos con las amenazas, a cada activo se asociaron las amenazas que podrían generar de alguna manera un riesgo, también se estableció la frecuencia con que cada amenaza puede materializarse en un determinado activo (ver Tabla 3) y se determinó el impacto que puede causar sobre las diferentes dimensiones de seguridad.. 26.
(37) En la Figura 10 se puede observar una pequeña parte de análisis, se muestra el código de activo H01, el cual corresponde al grupo de tipo Hardware, para este activo se asociaron 23 amenazas, la frecuencia y el impacto sobre cada dimensión. Para consultar la información completa ver Anexo 1. Etapa de análisis de riesgos.. Cod. Activo. H01. Activo. Cod. Amenaza. Controlador de dominio principal. DN01 DN02 DN03 IN01 IN02 IN03 IN04 IN05 IN06 IN07 IN11 EF02 EF15 EF16 EF17 AI06 AI07 AI11 AI15 AI23 AI24 AI19 AI20. AMENAZA Fuego Daños por agua Otros desastres Naturales Fuego Daños por agua Contaminacion Mecanica Contaminación electromagnética Avería de origen físico o lógico Corte del suministro eléctrico Condiciones inadecuadas de temperatura o humedad Emanaciones electromagnéticas Errores del administrador Errores de mantenimiento / actualización de equipos (hardware) Caída del sistema por agotamiento de recursos Pérdida de equipos Abuso de privilegios de acceso Uso no previsto Acceso no autorizado Modificación deliberada de la información Manipulación de los equipos Denegación de servicio Robo Ataque destructivo. Frecuencia Frecuencia Valor Valor Cualitativo Cuantitativo MPF MPF MPF MPF MPF MPF MPF MPF MPF MPF MPF MPF F PF PF PF MPF MPF MPF PF MPF PF MPF. 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,016666 0,0054644 0,0054644 0,0054644 0,002739 0,002739 0,002739 0,0054644 0,002739 0,0054644 0,002739. Impacto sobre cada A. C. I. D. 90% 80% 80% 90% 80% 70% 50% 60% 60% 60% 50% 60% 60% 60% 60%. 80% 80% 80% 80% 60% 70% 60% 60% 60% 80% 60% 70% 60% 60% 70% 80% 80% 80%. T. IMPACTO POTENCIAL (Pesos) 1059993 942216 942216 1059993 942216 824439 588885 706662 706662 706662 588885 706662 4299828 1879753,6 1879753,6 1879753,6 706662 942216 824439 1409815,2 824439 1879753,6 942216. Figura 8. Análisis de Amenazas. 4.1.5. Impacto Potencial En esta etapa se realizó el cálculo del impacto potencial, el cual se realizó teniendo en cuenta el valor cuantitativo de los activos, la probabilidad de ocurrencia (Frecuencia) y el impacto con mayor porcentaje de las 5 dimensiones de seguridad, se realizó el producto entre estos valores, obteniendo como resultado un valor numérico que indica el costo que puede generar la materialización de las amenazas anteriormente analizadas para la empresa. En la figura 8 se puede evidenciar un ejemplo del análisis.. 4.1.6. Riesgo Residual. 27.
(38) En esta etapa se realiza la identificación de los tipos de protección que se pueden aplicar de acuerdo al método MAGERIT, frente a cada amenaza identificada, se buscó un método de protección que permita contrarrestar el impacto potencial. Teniendo definidos los métodos de protección se estima el porcentaje de efectividad que puede tener frente a cada evento. La tabla completa se pude consultar en el Anexo 1 Etapa de análisis de riesgos. Para el cálculo del riesgo residual, como no cambiaron los activos, solo cambio la magnitud de degradación, la cual está dada por la proporción que resta entre la efectividad ideal (100%) y la efectividad estimada para cada tipo de protección, se realizó el análisis con estos nuevos valores. En la Figura 9 se muestra una pequeña parte del análisis realizado mostrando como resultado final el riego residual para los activos del área de TI en la empresa Atento SA. Para consultar el análisis completo ver Anexo 1 Etapa análisis de riesgos .. 28.
(39) Cod. Amenaza. DN01 DN02 DN03. IN01 IN02 IN03 IN04 IN05 IN06. IN07 IN11 EF02. EF15. EF16 EF17 AI06 AI07 AI11. AMENAZA. Fuego Daños por agua Otros desastres Naturales. Fuego Daños por agua Contaminacion Mecanica Contaminación electromagnética Avería de origen físico o lógico Corte del suministro eléctrico Condiciones inadecuadas de temperatura o humedad Emanaciones electromagnéticas Errores del administrador Errores de mantenimiento / actualización de equipos (hardware) Caída del sistema por agotamiento de recursos Pérdida de equipos Abuso de privilegios de acceso Uso no previsto. AI23. Acceso no autorizado Modificación deliberada de la información Manipulación de los equipos. AI24. Denegación de servicio. AI19 AI20. Robo Ataque destructivo. AI15. IMPACTO PROTEGER PROTECCION SUGERIDA REDUCCION RIESGO RESIDUAL POTENCIAL ? PARA MITIGAR EL RIESGO DEL RIESGO (Pesos) (Pesos) Sistema de supresión y protección contra 1059993 SI incendios 70% 317997,9 942216 SI Detectores de humedad 60% 376886,4 942216 SI. 1059993 SI 942216 SI. pólizas de seguro Sistema de supresión y protección contra incendios Detectores de humedad. 40%. 565329,6. 70% 60%. 317997,9 376886,4. 824439 NO. No es requerida. 0%. 824439. 588885 NO. No es requerida. 0%. 588885. 706662 NO. No es requerida. 0%. 706662. 706662 NO. No es requerida. 0%. 706662. 706662 NO. No es requerida. 0%. 706662. 588885 NO. No es requerida. 0%. 588885. 706662 NO. No es requerida Procedimientos y contratos de mantenimiento preventivo. 0%. 706662. 70%. 1289948,4. 70%. 563926,08. 70%. 563926,08. 70% 0%. 563926,08 706662. 70%. 282664,8. 0%. 824439. 70%. 422944,56. 0%. 824439. 60% 40%. 751901,44 565329,6. 4299828 SI. 1879753,6 SI 1879753,6 SI 1879753,6 SI 706662 NO 942216 SI. 824439 NO 1409815,2 SI 824439 NO 1879753,6 SI 942216 SI. Sistema de monitoreo y alertas tempranas Control de acceso fisico y pólizas de seguro Sistema de monitoreo y alertas tempranas No es requerida Video vigilancia y tarjetas de proximidad. No es requerida Sistema de monitoreo de integridad (HIDS) No es requerida Controles de acceso fisico y pólizas de seguro pólizas de seguro. Figura 9. Riesgo Residual. 4.2.. Gestión de riesgos. 29.
(40) Dado que ya se identificaron los riesgos residuales a los que está expuesta la empresa Atento S.A. Se deben plantear los controles que ayuden alcanzar el nivel de seguridad óptimo para la organización, basados en el estándar ISO27002:2013.. Los controles fueron seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividad surge la primera decisión acerca de los controles que se deben abordar. 4.2.1. Análisis de los controles ISO/IEC 27002:2013 ISO27001:2013 El estándar especifica en su “Anexo A” el listado completo de cada uno de ellos, agrupándolos en catorce rubros. Para cada uno de ellos define el objetivo y lo describe brevemente. Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente forma: A continuación se enuncian los 14 dominios de seguridad, sus principales objetivos y las acciones más importantes a tomar en la organización:. Figura 10. Dominios de control. 30.
(41) -. A.5 Política de seguridad de la información. Este grupo está constituido por dos controles: . Política para la seguridad de la información. . Revisión de la política de seguridad. Un plan de seguridad metódico, define el “Cómo”, es decir, un nivel detallado, para dar inicio al conjunto de acciones que se deberán cumplir.. -. A.6 Organización de la seguridad de la información. Este segundo grupo de controles abarca cinco de ellos y se subdivide en: . Organización. Interna:. Compromiso. de. la. Dirección,. coordinaciones,. responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de interés en temas de seguridad, revisiones independientes. . Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a clientes y socios de negocio.. Lo más importante a destacar de este grupo es:. - Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.). - Derechos y obligaciones de cualquiera de los involucrados.. En este grupo de controles, lo ideal es diseñar e implementar una base de datos, que permita de forma amigable, el alta, baja y/o modificación de cualquiera de estos campos.. -. A.7 Seguridad de los recursos humanos.. Este grupo cubre nueve controles y se encuentra subdividido en:. 31.
(42) Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y condiciones de empleo. Durante el empleo: Administración de responsabilidades, preparación, educación y entrenamiento en seguridad de la información, medidas disciplinarias. Finalización o cambio de empleo: Finalización de responsabilidades, devolución de recursos, revocación de derechos.. Se debe partir por la redacción de la documentación necesaria para la contratación de personal y la revocación de sus contratos (por solicitud, cambio o despido). En la misma deberá quedar bien claro las acciones a seguir para los diferentes perfiles de la organización, con base en la responsabilidad de manejo de información que tenga cada puesto.. -. A.8 Gestión de activos. Este grupo cubre diez controles y se encuentra subdividido en: . Responsabilidad en los recursos: Identificar activos de la organización y definir responsabilidades de protección adecuadas.. . Clasificación de la información: Asegurar que la información reciba un apropiado nivel de seguridad, de acuerdo a la importancia para la empresa.. . Manejo de los medios de comunicación: Previene divulgación, borrado o destrucción de información almacenada en medios sin autorización.. Este grupo define las protecciones adecuadas para cada activo de la organización según su importancia al igual que el manejo de los medios de comunicación.. -. A.9 Control de accesos. El control de acceso es una de las actividades más importantes de la arquitectura de seguridad de un sistema. A medida que va llegando a áreas de mayor criticidad, las medidas de control de acceso deben incrementarse.. 32.
(43) Este grupo cubre catorce controles y se encuentra subdividido en: . Requerimientos del negocio para control de acceso: Debe existir una Política de Control de accesos documentada, periódicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo.. . Gestión de acceso de usuarios: Tiene como objetivo asegurar el correcto acceso y prevenir el no autorizado y a través de cuatro controles, exige llevar un procedimiento de registro y revocación de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizando periódicas revisiones a intervalos regulares, empleando para todo ello procedimientos formalizados dentro de la organización.. . Responsabilidades de usuarios: Todo usuario dentro de la organización debe tener documentadas sus obligaciones dentro de la seguridad de la información de la empresa. Independientemente de su jerarquía, siempre tendrá alguna responsabilidad a partir del momento que tenga acceso a la información. Ciertamente existirán diferentes grados de responsabilidad, y proporcionalmente a ello, las obligaciones derivadas de estas funciones. Lo que no puede suceder es que algún usuario las desconozca.. . Control de acceso sistemas y aplicaciones: El acceso no autorizado a nivel sistema operativo presupone una intrusión. La gran ventaja que posee un administrador, es que las actividades sobre un sistema operativo son mínimas, poco frecuentes sus cambios, por lo tanto se puede identificar rápidamente cuando la actividad es sospechosa, y en definitiva es lo que se propone en este grupo: Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones.. 33.
Figure
+7
Documento similar