Modelo de un Sistema de Gestión de la Seguridad de la Información Aplicada a una Empresa de Software
118
0
0
Texto completo
(2) MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN APLICADA A UNA EMPRESA DE SOFTWARE. ANGELA INDIRA RODRIGUEZ RUIZ JUAN CARLOS CRUZ FAJARDO. UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELEMÁTICA BOGOTÁ 2016.
(3) MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN APLICADA A UNA EMPRESA DE SOFTWARE. ANGELA INDIRA RODRIGUEZ RUIZ JUAN CARLOS CRUZ FAJARDO. Proyecto presentado como requisito para optar al título de Ingeniería en Telemática. TUTOR: MIGUEL ÁNGEL LEGUIZAMON PÁEZ Ingeniero en Sistemas. UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELEMÁTICA BOGOTÁ 2016.
(4) Nota de aceptación. Tutor. Jurado. Bogotá D.C.___Abril de2016.
(5) AGRADECIMIENTOS. Expresamos nuestros agradecimientos primero que todo al creador del cielo y la tierra, el ser que nos da la oportunidad de vivir cada día para cumplir nuestros sueños. A esos seres que nos dieron la vida y que dan la vida por ayudarnos a cumplir nuestras metas, que se convierten en las metas de ellos mismos y que cada día nos dan fuerza para salir adelante y seguir luchando por nuestros ideales, a nuestros profesores por sus enseñanzas y orientación en cada etapa de nuestra carrera. A nuestros compañeros y amigos que cada día nos apoyaron, nos motivaron y nos guiaron mostrándonos sus experiencias para así obtener mejores resultados y hacer posible este proyecto. Además un agradecimiento especial al Ingeniero Miguel Ángel Leguizamón Páez quien con su experiencia, conocimiento y orientación nos ayudó a alcanzar los objetivos propuestos..
(6) Dedico este trabajo principalmente a Dios por darme la oportunidad de vivir cada día para realizar mis sueños y haber permitido llegar al final de mi carrera, a mi mamá Blanca por su amor y ayuda incondicional en cada etapa de mi vida, a mi mamá Marcela por darme la vida y tenerme en sus oraciones siempre, a mi padre que desde el cielo me acompaña y me brinda todo su amor, a mis hermanos (Sandra, Yudy, Néstor y Anyi) y sobrino (Alejandro) por su apoyo incondicional y por siempre creer en mí, a mi familia porque los amo infinitamente. Angela. Dedico con orgullo este proyecto a mi familia que con su esfuerzo y apoyo incondicional hizo posible mi formación personal y académica, antes y durante el desarrollo de esta carrera. Juan.
(7) Tabla de contenido RESUMEN ................................................................................................................................. 13 ABSTRACT ............................................................................................................................... 14 INTRODUCCIÓN ...................................................................................................................... 15 1.. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN .................................... 18. 1.1. Titulo ............................................................................................................................... 18. 1.2. Planteamiento del Problema ....................................................................................... 18. 1.3 OBJETIVOS ........................................................................................................................ 18 1.3.1 Objetivo General ............................................................................................................. 18 1.3.2 Objetivo Específicos....................................................................................................... 18 1.4 SOLUCIÓN TECNOLÓGICA ........................................................................................... 19 1.5 MARCO DE REFERENCIA .............................................................................................. 19 1.5.1 Marco Teórico ................................................................................................................. 19 1.5.2 Marco Metodológico ....................................................................................................... 23 1.6 CRONOGRAMA ................................................................................................................. 25 1.7 FACTIBILIDAD ECONÓMICA ......................................................................................... 26 CAPITULO II ............................................................................................................................. 28 2.. SITUACIÓN DE LA RED ACTUAL ................................................................................ 29. 2.1 CASO ESTUDIO ................................................................................................................ 29 2.2 INFORMACIÓN TÉCNICA ............................................................................................... 30 2.2.1 Plataforma Tecnológica ................................................................................................. 30 2.2.2 Caracterización de la infraestructura actual ............................................................... 30 CAPITULO III ............................................................................................................................ 31 3.. ETAPA DE PLANIFICACIÓN ......................................................................................... 32. 3.1. Matriz DOFA .................................................................................................................. 32. 3.2. Declaración de Aplicabilidad ....................................................................................... 33. 3.3. Alcance del SGSI dentro del Caso Estudio .............................................................. 33. 3.4. Metodología a Usar ...................................................................................................... 34. 3.4.1 MAGERIT......................................................................................................................... 34 3.4.2 Norma ISO/IEC 27005 ................................................................................................... 36 3.4.3 Norma ISO/IEC 27002 ................................................................................................... 37. 7.
(8) 3.5. Tipos de Activos ........................................................................................................... 38. 3.6. Codificación o etiquetación de los Activos ............................................................... 38. 3.7. Criterios de Valoración de Activos ............................................................................ 39. 3.8. Tipos de Impacto y Riesgo (Amenazas) ................................................................... 40. 3.9. Criterios de Valoración de Probabilidad del Riesgo ................................................ 41. 3.10. Criterios de Valoración de Impacto............................................................................ 41. 3.11. Criterios de Valoración del Riesgo ............................................................................ 41. 3.12. Criterios de Calificación del Control........................................................................... 42. 3.13. Criterios de Valoración de Vulnerabilidades ............................................................ 42. 3.14. Criterios de Valoración Capacidad de Reacción ..................................................... 42. 3.15. Factibilidad de Implementación .................................................................................. 43. CAPITULO IV ............................................................................................................................ 44 4.. ANÁLISIS DE RIESGOS ................................................................................................. 45. 4.1. Caracterización de Activos.......................................................................................... 46. 4.1.1. Identificación de Activos .......................................................................................... 46. 4.1.2. Etiquetado de Activos .............................................................................................. 48. 4.1.3 Valoración de Activos ................................................................................................... 49 4.2. Caracterización de Amenazas.................................................................................... 50. 4.2.1. Identificación de Amenazas por tipo de Activo .................................................... 50. 4.2.2. Valoración de Vulnerabilidad por Amenazas de tipo de Activo ......................... 50. 4.2.3. Identificación de Amenazas .................................................................................... 50. 4.2.4. Identificación de Vulnerabilidades ......................................................................... 50. 4.2.5. Relación entre Impacto, Probabilidad y Riesgo ................................................... 51. CAPITULO V ............................................................................................................................. 53 5. POLITICAS Y CONTROLES DE SEGURIDAD .............................................................. 54 5.1 Procedimientos y Controles ............................................................................................. 54 5.2 Políticas de Seguridad ...................................................................................................... 54 CAPITULO VI ............................................................................................................................ 55 6. MANUAL DE POLÍTICAS Y CONTROLES ..................................................................... 56 6.1 Manual de Políticas y Controles ...................................................................................... 56 CAPITULO VII ........................................................................................................................... 57 7. CONCLUSIONES ................................................................................................................ 58 CAPITULO VIII .......................................................................................................................... 59. 8.
(9) 8.1 ANEXOS ............................................................................................................................. 60 8.1.1 Valoración de Activos .................................................................................................... 60 8.1.2 Identificación de Amenazas por tipo de Activo .......................................................... 63 8.1.3 Identificación de Vulnerabilidades por Amenaza de Tipo de Activo ....................... 74 8.1.4 Identificación de Amenazas .......................................................................................... 77 8.1.5 Identificación de Vulnerabilidades .............................................................................. 81 8.1.6 Factibilidad de Implementación .................................................................................... 88 8.1.6.1 Factibilidad Técnica .................................................................................................... 88 8.1.6.2 Factibilidad Operativa ................................................................................................. 88 8.1.6.3 Factibilidad Económica .............................................................................................. 88 8.1.6.4 Factibilidad Financiera................................................................................................ 88 8.1.6.5 Factibilidad Legal ........................................................................................................ 89 8.1.6.6 Factibilidad de Gestión ............................................................................................... 89 8.1.6.7 Factibilidad Institucional ............................................................................................. 89 8.1.6.8 Factibilidad Medio Ambiental .................................................................................... 89. 9.
(10) LISTA DE TABLAS Pág. TABLA 1. FACTIBILIDAD ECONÓMICA RECURSOS HUMANOS ................................................ 26 TABLA 2. FACTIBILIDAD ECONÓMICA RECURSOS TÉCNICOS ................................................ 26 TABLA 3. FACTIBILIDAD ECONÓMICA COSTO TOTAL ................................................................ 27 TABLA 4. CARACTERIZACIÓN INFRAESTRUCTURA ACTUAL ................................................... 30 TABLA 5. MATRIZ DOFA ....................................................................................................................... 32 TABLA 6. ETIQUETACIÓN TIPO DE ACTIVO ................................................................................... 38 TABLA 7. DIMENSIONES DE VALORACIÓN .................................................................................... 39 TABLA 8. CRITERIOS DE VALORACIÓN DE ACTIVOS ................................................................. 39 TABLA 8. CRITERIOS DE VALORACIÓN DE ACTIVOS II .............................................................. 39 TABLA 9. MODELO DESCRIPCIÓN AMENAZA................................................................................ 40 TABLA 10. CRITERIOS DE VALORACIÓN PROBABILIDAD DE RIESGO................................... 41 TABLA 11. CRITERIOS DE VALORACIÓN DE IMPACTO .............................................................. 41 TABLA 12. CRITERIOS DE VALORACIÓN DEL RIESGO ............................................................... 41 TABLA 13. CRITERIOS DE CALIFICACIÓN DEL CONTROL ......................................................... 42 TABLA 14. ETIQUETADO DE ACTIVOS............................................................................................. 48 TABLA 15. VALORACIÓN DE ACTIVOS ............................................................................................ 60 TABLA 16. IDENTIFICACIÓN DE AMENAZAS POR TIPO DE ACTIVO ....................................... 63 TABLA 17. AMENAZA – AMZ001 (ACCESO NO AUTORIZADO AL SISTEMA) .......................... 65 TABLA 18. AMENAZA – AMZ002 (ACCIDENTE IMPORTANTE) ................................................... 65 TABLA 19. AMENAZA – AMZ003 (ATAQUES CONTRA EL SISTEMA) ........................................ 65 TABLA 20. AMENAZA – AMZ004 (CÓDIGO MAL INTENCIONADO) ............................................ 65 TABLA 21. AMENAZA – AMZ005 (COPIA FRAUDULENTA DEL SOFTWARE) .......................... 66 TABLA 22. AMENAZA – AMZ006 (CORRUPCIÓN DE LOS DATOS)............................................ 66 TABLA 23. AMENAZA – AMZ007 (DAÑO POR AGUA) .................................................................... 66 TABLA 24. AMENAZA – AMZ008 (DAÑO POR FUEGO) ................................................................. 67 TABLA 25. AMENAZA – AMZ009 (DESTRUCCIÓN DEL EQUIPO O DE LOS MEDIOS) .......... 67 TABLA 26. AMENAZA – AMZ0010 (ERROR EN EL USO) .............................................................. 67 TABLA 27. AMENAZA – AMZ011 (ERROR EN EL SISTEMA) ........................................................ 67 TABLA 28. AMENAZA – AMZ0012 (FALLA DEL EQUIPO) ............................................................. 68 TABLA 29. AMENAZA – AMZ013 (HURTO DE INFORMACIÓN) ................................................... 68 TABLA 30. AMENAZA – AMZ014 (HURTO DE EQUIPO) ................................................................ 68 TABLA 31. AMENAZA – AMZ015 (IMPULSOS ELECTROMAGNÉTICOS) .................................. 68 TABLA 32. AMENAZA – AMZ016 (INCUMPLIMIENTO EN LA DISPONIBILIDAD DEL PERSONAL) .................................................................................................................................... 69 TABLA 32. AMENAZA – AMZ017 (INCUMPLIMIENTO EN EL MANTENIMIENTO DEL SISTEMA DE INFORMACIÓN) .................................................................................................... 69 TABLA 33. AMENAZA – AMZ018 (INGRESO DE DATOS FALSOS O CORRUPTOS) .............. 69 TABLA 34. AMENAZA – AMZ019 (ACCESOS FORZADOS AL SISTEMA) .................................. 69 TABLA 35. AMENAZA – AMZ020 (MAL FUNCIONAMIENTO DEL EQUIPO) .............................. 70 TABLA 36. AMENAZA – AMZ021 (MAL FUNCIONAMIENTO DEL SOFTWARE) ....................... 70 TABLA 37. AMENAZA – AMZ022 (MANIPULACIÓN CON HARDWARE) ..................................... 70 TABLA 38. AMENAZA – AMZ023 (MANIPULACIÓN CON SOFTWARE) ..................................... 70 TABLA 39. AMENAZA – AMZ024 (MANIPULACIÓN DEL SISTEMA) ............................................ 71 TABLA 40. AMENAZA – AMZ025 (PERDIDA DE SUMINISTRO DE ENERGÍA) ......................... 71. 10.
(11) TABLA 41. AMENAZA – AMZ026 (PERDIDA DE SUMINISTRO DE ENERGÍA) ......................... 71 TABLA 42. AMENAZA – AMZ027 (PERDIDA DE SUMINISTRO DE ENERGÍA) ......................... 71 TABLA 43. AMENAZA – AMZ028 (RECUPERACIÓN DE MEDIOS RECICLADOS O DESECHADOS) .............................................................................................................................. 72 TABLA 44. AMENAZA – AMZ029 (SATURACIÓN DEL SISTEMA DE INFORMACIÓN) ............ 72 TABLA 45. AMENAZA – AMZ030 (SUPLANTACIÓN DE IDENTIDAD) ......................................... 72 TABLA 46. AMENAZA – AMZ031 (USO DE SOFTWARE FALSO O COPIADO) ......................... 72 TABLA 47. AMENAZA – AMZ032 (USO NO AUTORIZADO DEL EQUIPO) ................................. 73 TABLA 48. IDENTIFICACIÓN DE VULNERABILIDADES POR AMENAZA DE TIPO DE ACTIVO ............................................................................................................................................ 74 TABLA 49. IDENTIFICACIÓN DE AMENAZAS .................................................................................. 77 TABLA 50. IDENTIFICACIÓN DE VULNERABILIDADES ................................................................ 81. 11.
(12) LISTA DE FIGURAS Pág. FIGURA 1. CRONOGRAMA .................................................................................................................. 25 FIGURA 2. RIESGOS INHERENTES .................................................................................................. 51 FIGURA 3. RIESGOS RESIDUALES ................................................................................................... 51. 12.
(13) RESUMEN. El presente trabajo se trata de la implementación del Sistema de Seguridad de Gestión de la Información (SGSI), basado en la norma ISO27001. Mediante la documentación, se pretende demostrar cómo cada una de los activos tangibles e intangibles que posee el caso estudio, está expuesto a errores y amenazas, tanto internas como externas, y cómo la implementación del SGSI ayudará a disminuir de manera significativa los riesgos a los que están expuestos. Para la implementación de la norma, se ha identificado la actividad principal de la Empresa, siendo ésta la del desarrollo de software a la medida. Por ello, se ha determinado que el dominio a seguir es el 12: Adquisición, mantenimiento y desarrollo de software a la medida. Después del detallado de los activos que intervienen en el caso estudio, se ha recopilado la valoración asignada a los mismos, se las ha tabulado, y con dichos resultados, se ha establecido el respectivo análisis de riesgos. Luego de ello, se establece, según las mejores prácticas, los controles a seguir, cuyo objetivo es minimizar de manera significativa los riesgos, para que la información permanezca confidencial, integra y accesible a las personas designadas por parte de la empresa.. 13.
(14) ABSTRACT This work is the implementation of the system of security management of information (ISMS), based on the standard ISO27001. By documenting, is intended to demonstrate how each of the tangible and intangible assets that owns the case study, is exposed to errors and threats, both internal and external, and how implementation of the ISMS will help to reduce significantly the risks to which they are exposed. For the implementation of the standard, the main activity of the company, which is the development of custom software has been identified. Therefore, found that the domain to follow is the 12: acquisition, maintenance, and development of custom software. After the detailed of the assets involved in the case study, has compiled the rating assigned to them, has tabbed them is, and with these results, has been established the respective analysis of risk. After this is set, according to best practices, controls to follow, whose objective is to minimize significant risks, so that the information remains confidential, integrated and accessible to persons designated by the company.. 14.
(15) INTRODUCCIÓN. La seguridad es un factor imprescindible en todos los ámbitos profesionales y en la informática, es especialmente importante porque es en los ordenadores en donde está almacenada gran parte de la información confidencial de una empresa o de cualquier otro particular. Muchas empresas son amenazadas constantemente en sus activos lo que puede representar miles o millones en pérdidas. Las vulnerabilidades en los sistemas de información pueden representar problemas graves, por ello es muy importante comprender los conceptos necesarios para combatir los posibles ataques a la información, teniendo en cuenta que en la actualidad la información es un activo de gran valor para las empresas. Por esto y otros motivos, es necesario contar con un plan de seguridad que permita prevenir y tratar cualquier tipo de amenaza que pueda poner en riesgo la continuidad de un negocio. El presente documento contiene una propuesta de un modelo de un Sistema de Gestión de la Seguridad de la Información (SGSI), que permita la identificación de los riesgos en la seguridad de la información en una empresa dedicada al desarrollo de software, teniendo como base de análisis de riesgo, la metodología Magerit y las normas ISO/IEC 27005 e ISO/IEC 27002, todo esto basado en la criterios de la norma ISO/IEC 27001. Ahora bien, el documento cuenta con ocho (8) capítulos que se encuentran estructurados de la siguiente manera: Capítulo I: en esta sección se puede ver todo lo referente a la Fase de Definición, Planeación y Organización del proyecto, es decir se puede encontrar toda la propuesta de proyecto a realizar, dando a conocer el planteamiento del proyecto, los objetivos, la solución tecnológica, el cronograma de desarrollo y la factibilidad económica. Capítulo II: en esta parte, se puede observar un análisis sobre el caso estudio a basar el proyecto, es decir se encuentra una descripción de empresa dedicada al desarrollo de software, identificado como está actualmente a nivel de seguridad de la información. Capítulo III: en este capítulo se da a conocer la planificación de cómo se realizará o realizo el trabajo, es decir cómo está desarrollado el proyecto y todo aquello que se tuvo en cuenta como el etiquetado de los. 15.
(16) activos, los criterios de la valoración para cada uno de los activos, las dimensiones (confidencialidad, Integridad y Disponibilidad) de valoración para la calificación de los activos, los tipos de riesgos (amenazas) y su valoración, los criterios de valoración de impacto, la valoración del riesgo, , la calificación del control que se debe aplicar o es aplicado para cada riesgo y por último la valoración de la vulnerabilidad que tiene cada activo. Capítulo IV: en esta unidad, se encuentra todo el análisis de riesgo que se desarrollo en base al análisis del caso estudio, realizando la respectiva identificación de los activos y su valoración, de igual manera la identificación de las amenazas y vulnerabilidades de cada uno de los activos identificados, desarrollando en base a lo anterior las matrices de Riesgo Inherentes y Riesgo Residual. Capítulo V: de acuerdo al análisis de riesgo y el análisis del caso estudio, se desarrollo una Políticas y Controles de Seguridad a tener en cuenta para la minimizar los riesgos presentados, este se verá reflejado en el presente módulo. Capítulo VI: en base al capítulo anterior se generó una guía sobre las políticas y controles desarrollados. Capítulo VII: en este capítulo se encuentra las conclusiones deducidas al realizar el presente trabajo. Capítulo VIII: en esta sección se encontrará todos los anexos del documento.. 16.
(17) CAPITULOI FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN. 17.
(18) 1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN 1.1 Titulo Modelo de un sistema de gestión de la seguridad de la información aplicada a una empresa de software 1.2 Planteamiento del Problema Las organizaciones día a día generan datos, información, conocimiento y material de diferente índole de suma importancia, lo cual representa toda la información que requieren para su funcionalidad, dicha información es guardada en distintos dispositivos de almacenamiento físico y/o electrónico algunos de libre acceso para el personal de la organización. Actualmente algunas empresas no cuentan con una serie establecida de controles o medidas para la protección de la información, tales como la documentación de los procesos de manejo de la misma, en esta situación podría generar problemas a la organización como el libre acceso del personal a la información vital para el funcionamiento de la organización (contratos, nominas, facturas, cuentas de cobro, hojas de vida, información empresarial, entre otros.);además permitir el acceso a los servidores físicos de la organización y al cableado de la red en cualquier momento y por último el uso inadecuado del desecho de documentos físicos como información relevante para la empresa (tomándolos como material de reciclaje para distintos fines). Dada la situación actual de riesgo de la organización se puede ver afectada la confidencialidad, disponibilidad e integridad de la información. 1.3 OBJETIVOS 1.3.1 Objetivo General Analizar y proponer un modelo de SGSI que facilite la identificación de los riesgos en la seguridad de la información en las empresas dedicadas al desarrollo de software. 1.3.2 Objetivo Específicos Analizar la condición actual de seguridad de la información para el caso estudio definido. Realizar análisis de riesgos usando metodologías que permitan identificar los peligros de la información para este tipo de empresas basados en los conceptos de Magerit. Definir políticas y controles de seguridad para la empresa de desarrollo de software basados en la normatividad ISO/IEC 27001.. 18.
(19) Generar un guía basado en las políticas y controles desarrollados en el caso estudio. 1.4 SOLUCIÓN TECNOLÓGICA Como solución tecnológica para el presente caso estudio, se desarrollará una serie de eventos que tendrán como inicio, la identificación de los activos tales como datos e información que se maneja, el equipamiento informático entre hardware (dispositivos de almacenamiento de información) y software, redes de comunicaciones, equipamiento auxiliar, servicios de terceros y el personal entre otros; dado lo anterior se clasificaran los activos de acuerdo a los criterios de valoración tomados de la metodología Magerit y se determinara las posibles amenazas de cada activo teniendo en cuenta la información brindada en el anexo C de la ISO/IEC 27005:2008, de igual manera las vulnerabilidades que el anexo D de la misma norma presenta clasificada por cada tipo de activo y así manifestar o dar a conocer el riesgo al cual cada activo está atado. Ya realizada la parte de análisis de riesgo nombrada anteriormente, se determinara una serie de políticas teniendo en cuenta la norma ISO/IEC 27001:2013 y los controles en base a la norma ISO/IEC 27002:2005, para cada uno de las amenazas identificadas por cada activo y así minimizar los riesgos. . 1.5 MARCO DE REFERENCIA 1.5.1 Marco Teórico La seguridad de la información en las empresas es una prioridad grande a la cual hay que prestarle suficiente atención, ya que de ello depende la integridad, disponibilidad y sobretodo la confidencialidad de la misma. El presente proyecto tomara como referencia proyectos destacados de la Escuela Superior Politécnica del Litoral ESPOL de Ecuador, que abordan temas similares al que se contemplara en este documento. A continuación se presentara una breve reseña de los SGSI de apoyo: Como primer proyecto de apoyo se tiene el proyecto: “Implementación del sistema de gestión de la seguridad de la información aplicada al proceso de desarrollo de software a la medida para la empresa Corlasosa”, este trabajo trata sobre la implementación del SGSI en la empresa Corlasosa una organización encargada de desarrollos de software, se basa en la norma ISO 27001, donde exponen las amenazas internas y externas a las que se expone la corporación y de la misma manera establecen las mejores prácticas para la seguridad de la información. Ahora bien, el segundo proyecto que se toma como apoyo es el documento: “Implementación de un Sistema de Gestión de Seguridad de la Información. 19.
(20) usando la norma ISO 27000 sobre un sitio de comercio electrónico para una nueva institución bancaria aplicando los dominios de control ISO 27002:2055 y utilizando la metodología Magerit”, este documento contiene la información técnica de la revisión de las seguridades de un sitio web transaccional con el fin de encontrar las vulnerabilidades y amenazas para poder minimizarlas, aplicando los controles de la norma 27000 en los diferentes dominios. ANTECEDENTES SGSI1: SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. FUNDAMENTOS: Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su Confidencialidad, Integridad y Disponibilidad: Confidencialidad:. la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.. Integridad:. mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.. . Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.. En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI. 1. SGSI. http://www.iso27000.es/sgsi.html. 2015. 20.
(21) ISO/IEC 270012: ISO/IEC 27001 es un reconocido marco internacional de las mejores prácticas para un sistema de gestión de seguridad de la información. Le ayuda a identificar los riesgos para su información importante y pone en su lugar los controles apropiados para ayudarle a reducir el riesgo. ISO/IEC 27001:20053 Este estándar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización. En función del tamaño y necesidades se implementa un SGSI con medidas de seguridad más o menos estrictas, que en cualquier caso pueden variar a lo largo del tiempo. ISO/IEC 27002:2005 Describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, mencionados en el anexo A de la ISO 27001, 39 objetivos de control y 133 controles. Los dominios a tratar son los siguientes: Políticas de Seguridad: Busca establecer reglas para proporcionar la dirección gerencial y el soporte para la seguridad de la información. Es la base del SGSI. Organización de la seguridad de la información: Busca administrar la seguridad dentro de la compañía, así como mantener la seguridad de la infraestructura de procesamiento de la información y de los activos que son accedidos por terceros. Gestión de activos: Busca proteger los activos de información, controlando el acceso solo a las personas que tienen permiso de acceder a los mismos. Trata que cuenten con un nivel adecuado de seguridad. Seguridad de los recursos humanos: Orientado a reducir el error humano, ya que en temas de seguridad, el usuario es considerado como el eslabón más vulnerable y por el cual se dan los principales casos relacionados con seguridad de la información. Busca capacitar al personal para que puedan seguir la política de seguridad definida, y reducir al mínimo el daño por incidentes y mal funcionamiento de la seguridad. 2. http://www.bsigroup.com/es-MX/seguridad-dela-informacion-ISOIEC-27001/. 2015 INTERNATIONAL ORGANIZATION FOR STANDARIZATION ISO/IEC 27000. www.iso27000.es 2015 3. 21.
(22) Seguridad física y ambiental: Trata principalmente de prevenir el acceso no autorizado a las instalaciones para prevenir daños o pérdidas de activos o hurto de información. Gestión de comunicaciones y operaciones: Esta sección busca asegurar la operación correcta de los equipos, así como la seguridad cuando la información se transfiere a través de las redes, previniendo la pérdida, modificación o el uso erróneo de la información. Control de accesos: El objetivo de esta sección es básicamente controlar el acceso a la información, así como el acceso no autorizado a los sistemas de información y computadoras. De igual forma, detecta actividades no autorizadas. Sistemas de información, adquisición, desarrollo y mantenimiento: Básicamente busca garantizar la seguridad de los sistemas operativos, garantizar que los proyectos de TI y el soporte se den de manera segura y mantener la seguridad de las aplicaciones y la información que se maneja en ellas. Gestión de incidentes de seguridad de la información: Tiene que ver con todo lo relativo a incidentes de seguridad. Busca que se disponga de una metodología de administración de incidentes, que es básicamente definir de forma clara pasos, acciones, responsabilidades, funciones y medidas correctas. Gestión de continuidad del negocio: Lo que considera este control es que la seguridad de la información se encuentre incluida en la administración de la continuidad de negocio. Busca a su vez, contrarrestar interrupciones de las actividades y proteger los procesos críticos como consecuencias de fallas o desastres. Cumplimiento: Busca que las empresa cumpla estrictamente con las bases legales del país, evitando cualquier incumplimiento de alguna ley civil o penal, alguna obligación reguladora o requerimiento de seguridad. A su vez, asegura la conformidad de los sistemas con políticas de seguridad y estándares de la organización. CICLO DEMING4 El nombre del Ciclo PDCA (o Ciclo PHVA) viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”. También es conocido como Ciclo de mejora continua o Círculo de Deming, por ser Edwards Deming su autor. Esta metodología describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemática para lograr la mejora continua, entendiendo 4. Ciclo Deming. http://www.pdcahome.com/5202/ciclo-pdca/. 2015. 22.
(23) como tal al mejoramiento continuado de la calidad (disminución de fallos, aumento de la eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos potenciales…). El círculo de Deming lo componen 4 etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las actividades son reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de esta metodología está enfocada principalmente para para ser usada en empresas y organizaciones. Las cuatro etapas que componen el ciclo son las siguientes: 1. Planificar (Plan): Se buscan las actividades susceptibles de mejora y se establecen los objetivos a alcanzar. Para buscar posibles mejoras se pueden realizar grupos de trabajo, escuchar las opiniones de los trabajadores, buscar nuevas tecnologías mejores a las que se están usando ahora, etc. (ver Herramientas de Planificación). 2. Hacer (Do): Se realizan los cambios para implantar la mejora propuesta. Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala. 3. Controlar o Verificar (Check): Una vez implantada la mejora, se deja un periodo de prueba para verificar su correcto funcionamiento. Si la mejora no cumple las expectativas iniciales habrá que modificarla para ajustarla a los objetivos esperados. (ver Herramientas de Control). 4. Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora. Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para estudiar nuevas mejoras a implantar. 1.5.2 Marco Metodológico En el desarrollo del proyecto se utilizara el ciclo Deming, ya que es una metodología que permite implantar un sistema de mejora continua, esto ayudara en el análisis de riesgo en el desarrollo del proyecto y ademáspermitirá hacer una mejor arquitectura en la formación del Sistema de Gestión de Seguridad de la Información. En el presente proyecto se usará el ciclo Deming en una forma global de la siguiente manera: Planificar: en esta etapa se plantearan el alcance del SGSI junto con la política, además se identificara los posibles riesgos e impactos para así mismo realizar el análisis y la evaluación del riesgo de acuerdo al impacto. 23.
(24) de cada riesgo y las consecuencias generadas por el mismo, de igual manera definir la forma de tratar cada riesgo identificado. Hacer: en esta etapa se propone el plan del tratamiento de cada uno de los riesgos que se han identificado, como es la selección y aplicación de los controles para la respectiva mitigación de cada uno de los riesgos., todo esto alcanzando los objetivos de control que se identificaron anteriormente. Verificar: en esta etapa se hará la revisión del documento SGSI y se hará simuladores o pruebas, para hacer las respectivas correcciones y detectar algunas mejoras del sistema. Actuar: en esta etapa se harán las medidas correctivas como nuevos controles, la modificación de controles existentes o la eliminación llegado el caso de ser obsoleto, además de rectificar el alcance del SGSI y su respectivo diseño.. 24.
(25) 1.6 CRONOGRAMA Figura 1. Cronograma. Fuente: Autores. 25.
(26) 1.7 FACTIBILIDAD ECONÓMICA La factibilidad económica del proyecto es alta, ya que lo que necesitamos en términos financieros son mínimo dos equipos de trabajo, asesorías de los tutores del proyecto, acceso a Internet y papelería para realizar el modelado del proyecto. En las tablas que se presentaran a continuación se describe la factibilidad económica, identificando los costos de papelería, hardware, software y recursos humanos necesarios para la realización del proyecto de investigación que se propone. Se dividió en tres aspectos, recursos humanos, recursos técnicos y otros recursos, la distinción de los recursos humanos se presenta en la Tabla 1 Factibilidad de Recursos Humanos. Tabla 1 Factibilidad Económica Recursos Humanos Tabla 1. Factibilidad Económica Recursos Humanos Tipo Descripción ValorCantida Total Hora d Tutor Asesorías para la realización $ 38.000 200 $ 7.600.000 del proyecto, referente a la metodología. Analistas Dos analistas que realicen el $ 28.000 8 horas $ 7.168.000 SGSI. semanal es Total Recursos Humanos $ 14.768.000 Fuente: Autores Aquí se presenta las asesorías que se tendrán y los gastos de los analistas. A continuación en la Tabla 2 se presentarán los gastos de los recursos que se ostentan en el desarrollo del proyecto. Tabla 2 Factibilidad Económica Recursos Técnicos Tabla 2. Factibilidad Económica Recursos Técnicos Recurso Descripción Valor Cantida Unitario d Computador Equipos de escritorio $ 1.700.000 2 es para la realización del documento SGSI. Total Recursos Técnicos Fuente: Autores. Total $ 3.400.000. $ 3.400.000. 26.
(27) Adicionalmente se muestran los gastos adicionales en la Tabla 3 que serán solventados por desarrolladores del proyecto. Tabla 3 Factibilidad Económica Costo Total Tabla 3. Factibilidad Económica Costo Total Recurso Valor Total Recursos Humanos $14.768.000 Total Recursos Técnicos $ 3.400.000 Total Otros recursos $ 150.000 Costos imprevistos (20%) $ 4.579.500 TOTAL COSTO $22.897.500 Fuente: Autores. 27.
(28) CAPITULO II ANÁLISIS CASO ESTUDIO. 28.
(29) 2. SITUACIÓN DE LA RED ACTUAL 2.1 CASO ESTUDIO La empresa ABC, es una empresa Colombiana, radicada en la Ciudad de Bogotá en la dirección Calle 39 Bis B # 29 - 43, creada hace 16 años, dedicada a proveer soluciones informáticas y de comunicaciones utilizando tecnología de punta, tanto para las empresas privadas como para las entidades públicas, contando con clientes de ambos sectores a nivel nacional, la organización cuenta con diferentes áreas definidas según el tipo de proyecto entre los cuales se encuentra gestión documental, gestión de nómina y desarrollo de aplicaciones de misión crítica, dicha compañía está organizada en una planta de dos pisos, teniendo un grupo de desarrolladores de software y un par de oficinas administrativas. Actualmente la empresa no cuenta con un plan de seguridad que garantice que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada y estructurada, la seguridad que se maneja allí es baja puesto que sus usuarios internos pueden acceder a información privada e incluso de otras áreas, de la misma manera ciertos usuarios externos tienen libre acceso a la información. La casa de software cuenta con una oficina de servidores que está a la vista del personal y de todo individuo externo que ingrese a la compañía es decir, todo los equipos que prestan el servicio de almacenamiento virtual de la información, servidores web, almacenamiento de base de datos tanto interno y externo, configuración de la red tanto física como lógica, entre otros se encuentran al alcance de cualquier persona; por otro lado, el “cuarto de red” no cuenta con armarios (Rack) para la organización de los cables de datos generando desorden, sumando a esto el no contar con UPS para la infraestructura, la localización de dichos equipos no tiene un adecuado sistema de ventilación, sobrecalentando los servidores y a su vez no tienen un rango de temperatura óptimo para los equipos, también se detecta en algunas partes humedad y además no se tiene en cuenta la supresión de incendios. Aunque la empresa cuenta con una topología de red organizada lógicamente, la distribución física de los cables de datos que van del cuarto de red a cada uno de los puntos de la organización, van por una canaleta junto con la red eléctrica de la compañía encargada de suministrar energía a cada uno de los equipos, sumado a esto en algunos casos la conexión del equipo al punto lógico no está a una distancia de medida establecida, de esta manera es común ver tendido de cableado al descubierto en varios sitios, lo cual genera desorden y posibles fallos de conexión en la red, la navegación en la web no cuenta con algún tipo de firewall ni proxy para que controle el ingreso a ciertas páginas lo cual puede ser una puerta abierta a distintas amenazas. Ahora bien, cada uno de los equipos asignados a cada usuario, puede ser manipulado por el mismo como un equipo personal sin tener ningún tipo de. 29.
(30) restricciones en acciones de gran importancia como; el formateo del equipo, instalación y desinstalación de programas, acceso a repositorios de información ajenos a la compañía, extracción de información de la red interna sin ningún control, libre manejo de dispositivos de almacenamientos externos, acceso a los servidores de aplicación, repositorios y servicios de dba, entre otros. Por otro lado, la compañía cuenta con un sistema de reciclaje (papelería) no apto para la misma organización, estos documentos están al alcance de cualquier empleado, es normal ver entre estos documentos información privada como contratos, licitaciones, hojas de vida, etc. generando de esta manera una posible fuga de información relevante de la compañía. Para finalizar, la organización ABC, cuenta con un sistema de ingreso para los empleados a través de un lector de huella digital, adicional a esto un sistema de cámaras de vigilancia. 2.2 INFORMACIÓN TÉCNICA A continuación se verá información técnica con la que cuenta la empresa ABC. 2.2.1 Plataforma Tecnológica Servidores de Base de Datos Oracle 10g y 11g Sistemas Operativos: Windows 7, Windows 8, Ubuntu Java Server Faces 2.2 2.2.2 Caracterización de la infraestructura actual La compañía cuenta con una red de 7 servidores que permiten el almacenamiento y procesamiento de la información, su distribución es de la siguiente manera: Tabla 4. Caracterización Infraestructura Actual Servidores Base de Datos Aplicaciones Almacenamiento TOTAL. Cantidad 3 2 2 7. Fuente: Autores La infraestructura de cableado estructurado categoría 5 y cuenta con el siguiente canal de internet: Proveedor Telmex, 12 Megas de bajada y 6 Megas de subida.. 30.
(31) CAPITULO III ETAPA DE PLANIFICACIÓN. 31.
(32) 3. ETAPA DE PLANIFICACIÓN 3.1 Matriz DOFA Al utilizar esta herramienta se va lograr evidenciar las Debilidades, Amenazas, Fortalezas y Oportunidades que comprende el análisis y diseño de un Sistema de Gestión de la Seguridad de la Información, aplicada al core del negocio del caso estudio nombrado que es el desarrollo de software. Tabla 5. Matriz DOFA DEBILIDADES Desconocimiento de la metodología Poca implicación por parte de la dirección Resultados medio/largo plazo El desarrollo del SGSI sea muy detallado Sistema muy detallado, retrase los procesos Falta de políticas de seguridad bien definidas. OPORTUNIDADES Certificación ISO 27001 Aumentar la confianza de la organización por parte de los clientes. Definir políticas de Seguridad de Información, estableciendo controles y normas para el manejo de seguridad. Definir procedimientos para establecer el ciclo de vida de la. FORTALEZAS Optimización de la seguridad//entorno informático Reducción de costes Reduce el tiempo de interrupción del servicio y mejora el grado de satisfacción de los clientes Reducción de riesgos, pérdidas, derroches Reducción de riesgos que afecten la seguridad, disponibilidad y confidencialidad de la información.. ESTRATEGIAS DO ESTRATEGIAS FO Asesoramiento Aprovechar la mejora profesional para de la seguridad de la cumplir los requisitos información para para la certificación aumentar la confianza ISO 27001 en la organización por Fomentar la medio de una seguridad en los campaña publicitaria procedimientos de la Fortalecer los organización por procesos del negocio medio de dinámicas para aumentar la Capacitar a los calidad del producto empleados en cuanto ayudados de una a la metodología gestión fuerte de PQR Magerit. 32.
(33) información. AMENAZAS ESTRATEGIAS DA ESTRATEGIAS FA Disponer de personal Resaltar la importancia Realizar no calificado. de la creación y capacitaciones a todo Dificultad a la hora de puesta en marcha del el personal para poner en práctica SGSI. mejorar la calidad del esos conocimientos. Poner en marcha una producto. Falta de Recursos campaña corporativa Económicos. que concientice al Falta de compromiso personal en cuanto a en la implementación la importancia de la del SGSI. implementación del Oposición interna al sistema. aplicar los controles o mecanismos de seguridad apropiados. Fuente: Autores 3.2 Declaración de Aplicabilidad La presente declaración de aplicabilidad tomara lugar siempre y cuando la organización cuente con las áreas establecidas a continuación, para un buen desempeño en los controles y su implementación. Áreas a tener en cuenta: . Seguridad Tecnología Sistemas Desarrollo Infraestructura Pruebas Directiva DBA Redes. Ver anexo - “Declaración de Aplicabilidad” encontrada en la carpeta de Anexos del CD. 3.3 Alcance del SGSI dentro del Caso Estudio Para la implementación de la norma, se ha identificado la actividad principal de la empresa, siendo esta la del desarrollo de software. Por ello, se ha. 33.
(34) determinado que el dominio a seguir de la norma ISO/IEC 27001:2013 es el 14: Adquisición, desarrollo y mantenimiento de sistemas. 3.4 Metodología a Usar La metodología a utilizar predeterminar el enfoque del análisis y los criterios de gestión de riesgos en el SGSI es Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) y la norma ISO/IEC 27005:2008. 3.4.1 MAGERIT La metodología Magerit, es un método formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberías adoptarse para controlar estos riesgos. Esta metodología interesa a todos aquellos que trabajan con información mecanizada y los sistemas informáticos que la tratan. Si dicha información o los servicios que se prestan gracias a ella son valiosos, esta metodología les permitirá saber cuánto de este valor está en juego y les ayudará a protegerlo. Objetivos de MAGERIT Directos Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de minimizarlos a tiempo. Ofrecer un método sistemático para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Indirectos Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso Terminología de Magerit Modelo de valor: Caracterización del valor que representan los activos para a Organización así como de las dependencias entre los diferentes activos. Mapa de riesgos: Relación de las amenazas a que están expuestos los activos.. 34.
(35) Evaluación de salvaguardas: Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Estado de riesgo: Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas. Informe de insuficiencias: Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Plan de seguridad: Conjunto de programas de seguridad que permiten materializar las decisiones de gestión de riesgos. Seguridad (de la Información): Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. El objetivo a proteger es la misión de la Organización, teniendo en cuenta las diferentes dimensiones de la seguridad: Disponibilidad: o disposición de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones. Integridad: o mantenimiento de las características de completitud y corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización. Confidencialidad: o que la información llegue solamente a las personas autorizadas. Contra la confidencialidad o secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados. La confidencialidad es una propiedad de difícil recuperación, pudiendo minar la confianza de los demás en la organización que no es diligente en el mantenimiento del secreto, y pudiendo suponer el incumplimiento de leyes y compromisos contractuales relativos a la custodia de losdatos. Autenticidad (de quién hace uso de los datos o servicios): o que no haya duda de quién se hace responsable de una información o. 35.
(36) prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaños que buscan realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrónico o la administración electrónica, permitiendo confiar sin papeles ni presencia física. Trazabilidad: Cualidad que permite que todas las acciones realizadas sobre un sistema de tecnología de la información sean asociadas de modo inequívoco a un individuo o entidad. Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida estas características están en peligro, es decir, analizar el sistema: Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Sabiendo lo que podría pasar, hay que tomar decisiones: Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Nótese que una opción legítima es aceptar el riesgo. Es frecuente oír que la seguridad absoluta no existe; en efecto, siempre hay que aceptar un riesgo que, eso sí, debe ser conocido y sometido al umbral de calidad que se requiere del servicio. 3.4.2 Norma ISO/IEC 27005 Gestión de riesgos de la Seguridad de la Información SO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información. 36.
(37) de su organización. No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO / IEC TR 13335-4:2000. Las secciones de contenido son: . Prefacio. Introducción. Referencias normativas. Términos y definiciones. Estructura. Fondo. Descripción del proceso de ISRM. Establecimiento Contexto. Información sobre la evaluación de riesgos de seguridad (ISRA). Tratamiento de Riesgos Seguridad de la Información. Admisión de Riesgos Seguridad de la información. Comunicación de riesgos de seguridad de información. Información de seguridad Seguimiento de Riesgos y Revisión. Anexo A: Definición del alcance del proceso. Anexo B: Valoración de activos y evaluación de impacto. Anexo C: Ejemplos de amenazas típicas. Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad. Enfoques ISRA: Anexo E.. 3.4.3 Norma ISO/IEC 27002 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. El Estándar Internacional ISO/IEC 27002 va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.. 37.
(38) El Estándar Internacional ISO/IEC 27002 contiene un número de categorías de seguridad principales, entre las cuales se tienen once cláusulas: . Política de seguridad. Aspectos organizativos de la seguridad de la información. Gestión de activos. Seguridad ligada a los recursos humanos. Seguridad física y ambiental. Gestión de comunicaciones y operaciones. Control de acceso. Adquisición, desarrollo y mantenimiento de los sistemas de información. Gestión de incidentes en la seguridad de la información. Gestión de la continuidad del negocio. Cumplimiento.. 3.5 Tipos de Activos De acuerdo a la metodología Magerit los activos se clasifican de la siguiente manera: . Activo de Información Software o aplicaciones Hardware Servicios Infraestructura Personas. 3.6 Codificación o etiquetación de los Activos De acuerdo a cada tipo de activo, se etiquetara la lista de activos identificados en el caso estudio de la siguiente manera: Tabla 6. Etiquetación Tipo de Activo Información Inf - ## Software Sw - ## Hardware Hw - ## Servicios Serv - ## Infraestructura Infra - ## Personas Per - ## Fuente: Autores. 38.
(39) 3.7 Criterios de Valoración de Activos Para la valoración de los activos se tendrá en cuenta las siguientes dimensiones: Tabla 7. Dimensiones de Valoración D Disponibilidad I Integridad de los datos C Confidencialidad de la información Fuente: Autores De acuerdo a la metodología Magerit, las dimensiones se valoraran de la siguiente manera conforme al criterio de evaluación presentada por la metodología. Tabla 8. Criterios de Valoración de Activos Nivel de Valor Valor Criterio 10 Extremo Daño extremadamente grave 9 Muy Alto Daño muy grave 6-8 Alto Daño grave 3-5 Medio Daño importante 1-2 Bajo Daño menor 0 Despreciable Irrelevante a efectos prácticos Fuente: Autores Los criterios de valoración dados por Magerit se tendrán en cuenta solo para dos de las dimensiones anteriormente nombradas, es el caso de Disponibilidad (D) e Integridad (I). Para la dimensión de Confidencialidad (C) se manejara los siguientes criterios de valoración de acuerdo al tipo de información Tabla 8. Criterios de Valoración de Activos II Nivel de Valor Criterio 8-10 Restringido 4-7 Uso Interno 0-3 Pública Fuente: Autores Restringido: Es la información que no se permite divulgar entre las diferentes áreas de la organización, afectando la intimidad del personal o trabajo de cada área o simplemente es información vital para el debido funcionamiento de la organización. Ej.: información de la base de datos, contraseñas de servidores, hojas de vida etc.. 39.
(40) Uso Interno: Es la información que circula al interior de una empresa u organización. Busca llevar un mensaje para mantener la coordinación entre las distintas áreas, permite la introducción, difusión y aceptación de pautas para el desarrollo organizacional. Los trabajadores necesitan estar informados para sentirse una parte activa de la organización. Esta información es útil para tomar decisiones. Pública: Es la información a la cual toda persona interna y externa de la organización tiene acceso por cualquier medio de comunicación, sin previa autorización, sin censura o impedimento. Eje: página web de la organización. 3.8 Tipos de Impacto y Riesgo (Amenazas) De acuerdo a la metodología Magerit las amenazas se clasifican en cuatro grupos como los siguientes: . Desastres Naturales De Origen Industrial Errores y fallos no Intencionados Ataques Intencionados. Para cada amenaza se presenta en un cuadro como el siguiente de acuerdo a la metodología Magerit. Tabla 9. Modelo Descripción Amenaza (Código) Descripción sucinta de lo que puede pasar Tipos de Activos: Dimensiones: Que se puede ver afectados por este tipo De seguridad que se pueden ver de amenaza afectadas por este tipo de amenaza, ordenada de más a menos relevante. Descripción: Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas. Valor del Impacto/Amenaza: valor del impacto de acuerdo al criterio. Fuente: Autores. 40.
(41) 3.9 Criterios de Valoración de Probabilidad del Riesgo La probabilidad de que el riesgo se repita o sea frecuente se valorará de la siguiente manera: Tabla 10. Criterios de Valoración Probabilidad de Riesgo Nivel de Valor Valor 5 Siempre 4 Casi Siempre 3 A Menudo 2 Algunas Veces 1 Casi Nunca Fuente: Autores 3.10 Criterios de Valoración de Impacto La valoración de impacto del riesgo en el activo de la información, se realizará de la siguiente manera: Tabla 11. Criterios de Valoración de Impacto Nivel de Valor Valor Criterio 5 Muy Alto Amenaza y/o impacto extremadamente grave 4 Alto Amenaza y/o impacto muy grave 3 Medio Amenaza y/o impacto grave 2 Bajo Amenaza y/o impacto importante 1 Muy Bajo Amenaza y/o impacto menor Fuente: Autores 3.11 Criterios de Valoración del Riesgo Para la valoración del riesgo, se tiene en cuenta la valoración de probabilidad y la valoración de impacto dada a cada activo, esta valoración se comporta de la siguiente manera: Tabla 12. Criterios de Valoración del Riesgo Nivel de Valor. Valor. 17 – 25 Muy Alto 10 – 16 Alto 5–9 Medio 2–4 Bajo 1 Muy Bajo Fuente: Autores. 41.
(42) 3.12 Criterios de Calificación del Control La calificación del control, se realizará de la siguiente manera: Tabla 13. Criterios de Calificación del Control Valoración del Control Nivel de Valor Valor 10 Control Adecuado 9 Control Importante 6-8 Control Parcialmente Adecuado 3-5 Control Menor 1-2 Control Inadecuado Fuente: Autores 3.13 Criterios de Valoración de Vulnerabilidades El objetivo es analizar e identificar las vulnerabilidades que se tiene el caso estudio presentado los cuales son aprovechas frente a cualquier amenaza para realizar cualquier daño. La valoración de la vulnerabilidad se realiza teniendo en cuenta los siguientes niveles de valoración Alta: La vulnerabilidad es grave debido al aprovechamiento de una amenaza para realizar daño. Media: La vulnerabilidad es importante pero tiene poca probabilidad de ser aprovechada por una amenaza Baja: La vulnerabilidad no es aprovechada, ya que no existe amenaza alguna para materializarse en ella. 3.14 Criterios de Valoración Capacidad de Reacción Cuando se habla sobre capacidad de reacción frente a una amenaza, es la capacidad que tiene la organización de responder en el menor tiempo posible a una amenaza presentada en cualquiera de los activos de la empresa, los cuales se clasifican en: I. II. III. IV.. Indefenso En Peligro Preparado Vulnerable. 42.
(43) En el presente proyecto, para la valoración de la capacidad se manejo de la siguiente manera Si el 0,0-0,25 3.15 Factibilidad de Implementación En la factibilidad de Implementación, se encuentra un estudio sobre la parte técnica, operativa, económica, legal de la organización en dos estados, es decir el antes y después de aplicada el Sistema de Gestión de Seguridad de la Empresa. Ver Anexo – “Factibilidad de Implementación”. 43.
(44) CAPITULO IV ANÁLISIS DE RIESGO. 44.
(45) 4. ANÁLISIS DE RIESGOS. Para el análisis de riesgo, en primera instancia se realizo una identificación de activos de acuerdo al caso estudio expuesto clasificándolos de acuerdo al tipo de activo. Ya encontrados los respectivos activos se realizo la valoración de cada uno teniendo en cuenta las dimensiones y la valoración que brinda la metodología Magerit, sin embargo no se tuvo en cuenta todas las dimensiones presentadas, es decir que para la calificación se tuvo en cuenta las dimensiones de Confidencialidad, Integridad y Disponibilidad de las cuales dos de ellas (Integridad y Disponibilidad) se valoran como lo presenta la metodología, y la Confidencialidad se valora teniendo en cuenta los siguientes niveles: Restringido (9-10), Uso Interno (4-7) y Público (0-3); ahora bien para realizar el análisis de riesgo de cada uno de esos activos identificados y valorados posteriormente, se tomo en cuenta aquellos activos que su valoración era mayor igual a 18, es decir los de valoración "Alto", "Muy Alto" y "Extremo". Ya seleccionados los activos, en base a la norma ISO/IEC 27005: 2008 se realizo una identificación de amenazas para cada uno de los activos seleccionados teniendo en cuenta el anexo C de la norma, el cual presenta una lista de amenazas para cada tipo de activo; además de esto la norma 27005 tiene un anexo D el cual muestra una lista de vulnerabilidades para cada tipo de activo y amenaza, donde se seleccionaron las vulnerabilidades posibles que son aprovechadas por las amenazas y que pueden mitigar un riesgo. Ahora bien, con la identificación de los activos, amenazas y vulnerabilidades, se pasa a realizar la identificación del Riesgo de acuerdo a la amenaza (posibles daños que pueden ocurrir si se presenta esa amenaza) y el valor del riesgo Inherente y del riesgo Residual que tiene cada activo teniendo en cuenta en primera instancia que el activo no tiene algún control (Riesgo Inherente), y como segunda valoración se tiene en cuenta el control existente para ese activo (Riesgo Residual); Tanto para el riesgo Residual como el Riesgo Inherente se debe tener en cuenta la Probabilidad de Ocurrencia ( la cual de ser validada entro 0 a 1, pero en este proyecto se realizo de 1 a 5), es decir que tan probable o que repetidas veces puede ocurrir el riesgo identificado, además de esto se da un valor de impacto ( que tan grande o pequeño es el daño realizado) para ese riesgo, de igual forma para el Riesgo Residual se debe valorar el control asignado para mitigar el riesgo( en este proyecto la respectiva valoración es Control Inadecuado, Control Menor, Parcialmente Adecuado, Control Adecuado y Control Importante), adicionalmente la. 45.
(46) capacidad de reacción (capacidad de responder en el menor tiempo posible sobre el daño ocasionado) frente a ese impacto. Las operaciones para valorar el riesgo Inherente como el riesgo Residual, se realizaron de la siguiente manera: Riesgo Inherente = Valor de la probabilidad * Valor de Impacto Riesgo Residual = (Valor de la probabilidad * Valor del Impacto) - Calificación del Control 4.1 Caracterización de Activos 4.1.1 Identificación de Activos La empresa cuenta con diferentes activos que son importantes para el desarrollo de su trabajo como: 4.1.1.1 Datos/Información Los Datos e información que se deben tener en cuenta son: . Base de Datos Archivos de Datos Manuales de Usuario Documentación del Sistema Contratos Formatos Hojas de Vida Documentos Internos Entregables (CD/DVD) Material Físico (Impreso) Información en Carpetas compartidas en Red Información Disco Portables Información Memorias USB. 4.1.1.2 Software/Aplicaciones Informáticas El software o aplicaciones que se tienen en cuenta son: . Desarrollos a medida y/o propios de la Organización Sistemas Operativos Antivirus Servidores Aplicaciones/Contenedores Navegadores Office Motor Base de Datos. 46.
(47) Licencias Desarrollo - IDE 4.1.1.3. Equipamiento Informático (Hardware). En el equipamiento de hardware se encuentra los siguientes: . Servidores Computadores de Escritorio Portátiles Dispositivos Móviles Impresoras Equipos Multifuncional Routers Teléfonos Modems Memoria USB CD/DVD Discos Portables Cámaras de Seguridad Lector Huella Dactilar. 4.1.1.4 Servicios Los servicios a tener en cuenta son: . Capacitaciones Telefonía Internet Red Inalámbrica Almacenamiento de Información Fluido Eléctrico. 4.1.1.5 Infraestructura La infraestructura con que la organización cuenta son: . Planta de la Organización Canalización de red Eléctrica Canalización de red Datos Instalación de red de Datos Instalación de red de Eléctrica. 4.1.1.6 Personas El personal de la organización que se tiene en cuenta en la organización son: Usuarios Internos. 47.
Figure
+7
Outline
Documento similar