c) bOS
c44,.
CVUNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
L UiUaÁ CaóUa le
ESCUELA DE CIENCIAS DE LA COMPUTACIÓN
TEMA:
Plan de Seguricfac[y ÇP0(íticas Informáticas para
(Bases cíe (Datos en (Pymes
Tesis de Grado previa a La
obtención del título de
Ingeniero en Informática
AUTOR:
Edwin Patricio Márquez Cadena
DIRECTORA:
CERTIFICACIÓN
Ingeniera
Janneth Chicaiza Espinosa
DIRECTORA DE TESIS
CERTIFICA:
Haber dirigido y supervisado el desarrollo del presente trabajo de
investigación y una vez que este cumple con todas las exigencias
establecidas por la Institución, autoriza su presentación para los fines
legales pertinentes.
Loja, junio de 2007
AUTORÍA
Los resultados, análisis, conclusiones y recomendaciones que se presentan en éste trabajo son de total responsabilidad de los autores.
CESIÓN DE DERECHOS
Edwin Patricio Márquez Cadena, declaro conocer y aceptar la disposición M Art. 67 del Estatuto Orgánico de La Universidad Técnica Particular de Loja que en su parte pertinente textualmente dice: "Forman parte del patrimonio de la Universidad la propiedad intelectual de investigaciones, trabajos científicos o técnicos y tesis de grado que se realicen a través o con el apoyo financiero, académico o institucional (operativo de la universidad)
AGRADECIMIENTO
A la Universidad Técnica Particular de Loja, ya que en ella he sabido encontrar la luz de la verdad y el conocimiento.
kÁW 4cWEZC
DEDICATORIA
A mis Padres, con profundo respeto y admiración; a ellos les dedico la culminación de mis estudios superiores con esta trabajo fruto del esfuerzo y responsabilidad que he dedicado en todo este tiempo. A la vez, les agradezco porque ellos han sabido guiarme por el camino de la honestidad, la justi pip y la responsabilidad en tpd,?ks las acciones que me he propuesto.
dwin Patricio Márquez Cadena
CAPÍTULOI -4-i. Investigación Preliminar ... . ... . ... . ... . ... ... ...- -1.1. Introducción ...
1.2.Estudio de los problemas de seguridad ... . ... . ... ... ...
5-1.3.Aspectos del Plan de Seguridad ... . ... ... ... . ... ... ...-
8 -1.4.Seguridad de la información. ... . ... . ... . ... . ... . ... ...-
9 -1.5.Gestión del riesgo ... . ... . ... .. .... ...-lo-1.6.Amenazas a la información... ... - ... . ... .. . ... ...
12-1.7.Defensa en profundidad (defense-in-depth) ... . .... . ... ... . ... ...
14-1.8.Establecimiento de los requerimientos de seguridad Evaluación de riesgos- 16 -
CAPÍTULOII.. ... ... . ... . ... -17-2. Análisis de Riesgos ... . ... ... . ... .... ... . ... ... ... ...- 17
-2.1.Introducción ... ... . ... ... ... . ... . ... . ... 17
2.2.Descripción de la metodología, herramientas y proceso de análisis...- 18
2.3.Identificación de los activos y amenazas... 2.4.Establecimiento de los requerimientos de Seguridad... 2.5.Identificación de riesgos... 2.6.Selección de Riesgos Críticos... 2.7.Identificación de los Controles Existentes en la aplicación... 2.8.Ajustes a las matrices de riesgos y controles... 2.9Análisis de riesgos y controles ... 2.10.Conclusión del análisis dé riesgos en las dos empresas... CAPÍTULOIII ... . .... .... ... .. ... . ... ... ... .. ... ... 3. Elaboración de las Políticas Informáticas...
-83-3.1. Introducción... ... .. ... . ... . ... .. ... 3.2.Objetivos... 3.3.Matrices de identificación de áreas - objetivo - descripción general y su aplicabilidad por tipo de empresa...
- 1 -3.4. Elaboración del documento de políticas informáticas. ... . .... ... ... 89
-3.5. Documentación de la política de seguridad de la información.. ... . ...
..-89-CAPÍTULO IV ... . .... . ... . ... ... -91
-4. Manual de Procedimientos para bases de datos en PymeS .... . .... ... . ... ... .... 91
-4.1. Introducción ... ... . ... ... ... 91
-4.2. Objetivo ... ... ... ... . ... . ... .. ... . ... .... 92
-4.3. Áreas Identificadas.. ... ... ... ... . ... . ... . ...
..93Conclusiones y recomendaciones ... . ... ... . ... . ... ... ... 94
99-Presentación
El tema que se ha desarrollado como Proyecto de Tesis de Grado se titula: "Plan de
Seguridad y Políticas Informáticas para Bases de Datos en PYMES" (Pequeñas y
Medianas Empresas). El objetivo principal de éste Plan y las Políticas informáticas es la
elaboración de un documento que contenga estándares y políticas de seguridad que sean aplicables para la óptima gestión y operación de las bases de datos en este tipo de empresas. Previo a ello es necesario aclarar conceptos referentes al tema:
"Plan de seguridad»- Es una estrategia planificada de acciones y productos que lleven a
un sistema de información y sus centros de proceso de una situación inicial determinada (a mejorar) a una situación mejorada" [1].
"Políticas Informáticas.- Son documentos estratégicos que especifican las reglas que
deben seguirse o requisitos de seguridad sobre los activos. Describen la seguridad en términos generales, sin entrar en detalles" 21.
Esta investigación se la lleva a cabo en dos empresas de la provincia de Pichincha, las mismas que representan a las PYMES (pequeñas y medianas empresas):
1. La Dirección de Informática del Municipio del Distrito Metropolitano de Quito, en ella se realiza la investigación clasificándola en el ámbito de las Medianas Empresas, ya que éste Departamento funciona como una entidad inscrita dentro del Municipio de Quito y tiene como función específica la administración centralizada de la información que producen otras áreas; como por ejemplo; Avalúos y Catastros, Administraciones Zonales, Escuelas Municipales, y otros Departamentos Administrativos del Municipio como Entidad.
2. lón Consultores S.A., empresa cuya actividad es la de Consultoría y Construcción deProyectos Eléctricos. Esta queda clasificada dentro del ámbito de Pequeñas Empresas, la misma que por su tamaño igualmente cuenta con una base de datos pequeña.
La metodología que se utiliza en ésta etapa de estudio es "Pasos Generales para auditar una aplicación en funcionamiento", la cual consta de los siguientes pasos; identificación y clasificación de riesgos, fases que permiten seleccionar los riesgos más críticos, posteriormente se realiza la calificación de riesgos según su impacto y amenazas, en la selección de riesgos críticos se procede a calificar los riesgos por su probabilidad de ocurrencia y por su impacto.
Como resultado y en base a éste análisis de riesgos, se han elaborado políticas y procedimientos para áreas críticas, contribuyendo a la seguridad en el manejo y operación de las bases de datos y que deberán ser puestos en práctica de acuerdo a la realidad y necesidad de cada PYME.
-3-CAPÍTULO 1
Investigación Preliminar
1.1. Introducción
"La mayoría de las actividades de la vida conllevan riesgos, por ejemplo; bebemos agua del grifo, viajamos en automóvil, en avión, realizamos pagos con tarjetas de crédito, etc. Consideremos que podríamos sufrir accidentes en las carreteras, en las mismas nos fiamos del vehículo que viene al frente, podríamos sufrir accidentes aéreos, podríamos enfermar, etc., frente a ello y por más precauciones que tomemos como ponernos el cinturón de seguridad, el no beber cuando se conduce, circular en las carreteras por las mañanas y otras medidas que podrían tomarse no evitarán el accidente, en cambio, si reduciría el daño si se produce. Por lo que se ve, la seguridad gira en torno a la gestión de riesgos.
De manera similar, en el ámbito informático se puede decir que no existen sistemas 100% seguros, es decir que la seguridad no es una disciplina de todo o nada. Los sistemas informáticos y en este caso de estudio las bases de datos están expuestas a amenazas de todo tipo, como primer paso se debe identificarlas para luego evaluarlas y decidir medidas de seguridad que se adoptarán en el Plan Informático para mitigar el riesgo que suponen. Tratar de eliminar el riesgo por completo es imposible, pero se lo puede reducir a niveles aceptables que permitan a las organizaciones convivir con él, por ello uno de los objetivos que se necesita alcanzar en la informática es que si se puede controlar el riesgo, se puede confiar en ella y sacarle el máximo provecho en las organizaciones". [3]
"Hay que considerar dentro de este tipo de empresas al segmento conocido como (SOHO) = Small Office / Home Off ice, entre los que tenemos:
Usuarios que disponen de un solo computador personal (Pc) conectado a Internet mediante un módem telefónico o línea ADSL.
L.Usuarios con una pequeña red doméstica con 2 o 3 PC's con salida a Internet. PYMES con una pequeña red LAN de hasta una docena de equipos interconectados mediante un concentrador (hub), o un conmutador (switch), con acceso a Internet compartido.
Para el buen desempeño en la gestión de las PYMES, la seguridad a implementar debe ser resultado de las operaciones realizadas por personas y soportadas por la tecnología, además tendrá que tomar en cuenta importantes aspectos como; el uso de antivirus, cortafuegos y el cifrado de datos, si en las organizaciones cualquiera de estos tres elementos clave falla, la seguridad se tambalea y cae.
"La seguridad de la información es una disciplina que se ocupa de gestionar el riesgo dentro de los sistemas informáticos".[41.
Mediante la implantación del Plan de Seguridad y Políticas Informáticas para Bases de Datos en PYMES, conjuntamente con la aplicación de principios y medidas de seguridad que sean capaces de contrarrestar las amenazas a las que se encuentran expuestos los activos de la información como son; información, hardware y software que lo soportan, es lo que precisamente se desea proteger.
1.
-4-1.2. Estudio de los problemas de seguridad
El uso y utilización de las computadoras en la gestión de las organizaciones modernas está enfocado a la gestión y solución de sus problemas mediante la utilización de sistemas automatizados instalados en las computadoras de las organizaciones.
"La aplicación y desarrollo de la informática requiere invertir grandes recursos y materiales que aumentan considerablemente el costo de gestión de la empresa o entidad; por otra parte las computadoras constituyen el trabajo del hombre en actividades o tareas de suma importancia. Esto requiere una seguridad extrema en los sistemas automatizados, lo que solo se logra mediante supervisión muy estrecha del desarrollo del diseño de las aplicaciones, de su mantenimiento, de su procesamiento automatizado y del sistema de control interno implementado en cada una de ellas, lo que garantiza la eficacia y eficiencia del tratamiento automatizado de la información".[31 Para enfocar el tema de la Seguridad en las PYMES, se empieza determinando la situación real de éstas organizaciones en nuestro país, la cual según los estudios realizados y experiencia laboral acumulada se convierte en una amenaza para las Pequeñas Empresas, debido principalmente a su poca inversión e interés en temas tecnológicos y de seguridad (operaciones, procesos y tecnología); por tanto, hay que resaltar la gran utilidad, importancia e impacto que los problemas de seguridad pueden ocasionar sobre sus bases de datos, pues la mayoría de estas empresas al no gestionar adecuadamente SUS riesgos pueden perder toda su información.
En el caso de las Pequeñas Empresas se ha podido también evidenciar que no cuentan con bases de datos específicamente desarrolladas para el tipo de necesidad y actividad que realizan, además llevan los registros de sus transacciones en aplicaciones distintas a bases de datos y en el mejor de los casos pequeñas bases de datos mal diseñadas y administradas.
Mientras que al hablar de medianas organizaciones, las que cuentan con DB y Si diseñados y desarrollados, han oído hablar del miedo generalizado que hay sobre lo que podría ocurrir con los datos contenidos en sus sistemas de información y sus bases de datos si no se adoptan las medidas preventivas adecuadas. Y, más aún, cuando se pregunta en las organizaciones si han tenido precauciones, o si han tomado algún tipo de prevención las respuestas son desoladoras.
A nivel general en este tipo de organizaciones, una de las principales causas del descuido e inseguridad en sus DB y sus SI, es el limitado recurso económico y como consecuencia de ello en sus Bases de Datos y sus Sistemas de Información están desprotegidos e inseguros ya que no se ha implementado ningún tipo de control tanto a nivel de hardware, software, claves de acceso, etc.; entonces éste tipo de organizaciones no cuentan con Planes de Seguridad y Políticas Informáticas elaborados; lo mismo que les permitiría normar, salvaguardar e implementar una metodología de seguridad en sus Bases de Datos y Sistemas de Información.
recursos necesarios para prevención operación y mantenimiento de sus sistemas informáticos lo que hace evidente la diferencia que hace que las organizaciones grandes estén protegidas en contra de posibles amenazas y riesgos tanto internos como externos en sus bases de datos y sistemas de información.
Los sistemas tradicionales de procesamiento de transacciones son también vulnerables frente a desastres ambientales como el fuego, las inundaciones y los terremotos. Hay una necesidad creciente de los sistemas de bases de datos y procesamiento de transacciones que ofrezcan una disponibilidad elevada y que puedan funcionar pese a estos tipos de desastres.
A pesar de que un reducido grupo de PYMES realizan grandes esfuerzos para establecer directrices de seguridad y concretarlas en documentos orientados a acciones de las mismas, muy pocas obtienen el éxito.
El siguiente objetivo, es el de persuadir a sus directivos sobre la necesidad y los beneficios de implantar un Plan de Seguridad y Políticas Informáticas para este tipo de organizaciones.
Existe también una diferencia marcada en el tipo de bases de datos usadas por las grandes empresas, las mismas que por su tamaño utilizan sistemas de bases de datos distribuidas (cliente-servidor), versus el tamaño y necesidades de las PYMES que son del tipo centralizado (generalmente monousuario).
En las Pymes existen dos maneras de usar las computadoras y estas son: como monousuario o estaciones de trabajo, o como multiusuariOS.
Algunos tipos de problemas que se han podido evidenciar en las DB y Si de las PYMES son los siguientes:
Accesos no autorizados a las bases 'de datos
La información de las DB está expuesta a su destrucción o alteración malintencionada y la introducción accidental de inconsistencias, por no contar con los controles internos necesarios
Mala administración de accesos a todo tipo de redes Vulnerabilidad a ataques de virus informáticos
Robos (tipo hormiga); el mismo que consiste en la substracción periódica de partes o componentes de software, hardware o datos pertenecientes a la organización
No cuentan con Planes de Recuperación
Cuando obtienen copias y respaldos de las DB se almacenan en el mismo edificio Mantienen en un mismo ambiente laboral el servidor con la DB y es compartido con el resto del personal administrativo
Posibles violaciones a la seguridad de la red y a los controles de acceso de la DB de la organización
No se usan en las DB ni en los Si de la organización (passwords, llaves, etc.)
Muy pocas organizaciones tienen el personal asignado responsable de realizar respaldos y backups de las DB y SI.
No existen procedimientos de entrada de datos, actualización, consulta e impresión.
Ik Que al no contar con un Plan de Seguridad y Políticas Informáticas, tampoco
cuentan con su respectivo Plan de Contingencias, etc.
Otros problemas adicionales en este tipo de organizaciones es la escasa o ninguna capacitación a los usuarios de bases de datos y la falta de credibilidad en el beneficio que el Plan de Seguridad y Políticas Informáticas puedan redituarles luego de su implantación.
Es de mucha importancia el referirse también a las violaciones (malintencionadas -con premeditación- o accidentales) de seguridad en las DB's de las PYMES, las mismas que a menudo indican el mal uso de éstas.
La pérdida accidental de la consistencia de los datos puede ser resultado de: Caídas durante el procesamiento de transacciones
Errores lógicos que violan el supuesto de que las transacciones conservan las ligaduras de consistencia de la base de datos
Anomalías por el acceso concurrente a la Base de Datos
Anomalías causadas por la distribución de datos entre varias computadoras Es más sencilla la protección contra la pérdida accidental de la consistencia de los datos que la protección contra el acceso malintencionado, el cual puede causar:
La lectura no autorizada de los datos (robo de información) Modificación no autorizada de los datos
La destrucción no autorizada de los datos
"No es posible la protección absoluta de las DB's y SI de las organizaciones contra el uso mal intencionado, pero se pueden incrementar suficientemente las sanciones para quien realice el uso mal intencionado, el implementar medidas no para disuadir la mayor parte, sino la totalidad de los intentos por tener accesos no autorizados a la base de datos. La seguridad de las DB's, suele hacer referencia a la protección contra los accesos malintencionados, mientras que la integridad hace referencia a evitar la pérdida accidental de consistencia. En la práctica la línea divisoria entre seguridad e integridad no está siempre clara". [4]
Proceso de actualización Integridad de la información
K.Salida de información Documentación
Cambios a la aplicación
Seguridad y acceso de la información Seguridad y acceso a la aplicación
Back up y recuperación Usuario
Cabe indicar que el objetivo de las Políticas de Seguridad es velar por el cumplimiento de las disposiciones Y regulaciones legales, así como también de las políticas, procedimientos y estándares internos en estas organizaciones para el buen uso de DB's y Si.
1.3. Aspectos del Plan de Seguridad
La información contenida en las bases de datos y sistemas de información constituyen los recursos más valiosos de las organizaciones y aunque al ser intangibles, se necesita que éstas estén constantemente revisadas y controladas con la misma atención que se presta a los demás activos de la organización; por ese mismo hecho uno de los aspectos principales de todo sistema es que cuenten con un Plan de Seguridad, el mismo es un documento estratégico que contiene; normas, procedimientos, políticas que tienen la finalidad de preservar y proteger los activos tangibles e intangibles, la información de las bases de datos de las organizaciones ante posibles amenazas naturales y/o humanas gestionando el riesgo, proponiendo e implantando las contramedidas adecuadas.
Su objetivo es, lograr un nivel de utilización más seguro y eficiente de la información. Por lo tanto es de vital importancia diseñar e implementar un Plan de Seguridad y Políticas Informáticas para PYMES que coadyuve en la gestión informática de las organizaciones de pequeño y mediano tamaño.
"Para obtener un adecuado nivel de seguridad, es de gran importancia tener presente que exista una serie de elementos que interrelacionados conlleven al logro del nivel de seguridad planteado ya que cada uno de ellos particularmente y en conjunto juegan un papel vital dentro del Plan de Seguridad, donde la falta o debilidad de alguno de ellos implica un factor de riesgo en el uso eficiente y seguro de la información. Toda organización que emplea sistemas informáticos para el control de su gestión implementa un plan de seguridad informática y un plan de contingencias que garantiza la adecuada función de estos tanto desde el punto de vista físico como lógico.
Estos programas permiten asegurar la existencia de una seguridad apropiada, así como un costo efectivo para cada sistema de aplicación que se encuentre en explotación. Este programa incluye los controles a implementar, la adquisición e instalación de tecnología de apoyo a las medidas de seguridad, la administración de la seguridad informática, la evaluación de las vulnerabilidades y debilidades de los sistemas y las soluciones a los problemas de seguridad". [5].
-8-Mediante la futura implantación del Plan de Seguridad y Políticas Informáticas se prevé el logro de los siguientes objetivos:
Preservar y conservar el buen funcionamiento de las bases de datos y los sistemas de información de las organizaciones.
Definir políticas y estrategias para un mejor aprovechamiento de los equipos de cómputo.
Mantener y proporcionar herramientas informáticas necesarias para la toma de decisiones de las autoridades en PYMES.
Capacitar o programar la capacitación continua al personal de las organizaciones para el buen uso y la optimización de los recursos mediante la realización de manuales, instructivos, seminarios, cursos y demás por parte del personal encargado de esta labor.
Establecer normas de estandarización de códigos, nomenclaturas y procedimientos involucrados en el área de informática.
Evaluar periódicamente el uso óptimo de los equipos de cómputo e implementar las medidas correctivas necesarias, establecer controles y seguridades relacionados con los sistemas computarizados.
De esta manera, queda planteada la forma de cómo lograr un alto nivel de seguridad en la gestión informática de las PYMES mediante la implementación del Plan de Seguridad y Políticas Informáticas en sus bases de datos y sistemas de información.
1.4. seguridad de la información
La seguridad en las bases de datos de la PYMES involucra aspectos esenciales para su óptimo funcionamiento tales como son; las bases de datos en sí, redes y comunicaciones, y sistemas de información.
Paralelamente al crecimiento del uso de la informática, de las bases de datos, de las redes de comunicación, se multiplica el número de incidentes de seguridad, cuanto mayor es el volumen de información procesado y transferido informática y telepáticamente mayor es el riesgo derivado de su pérdida, alteración o revelación. La seguridad de la información de las bases de datos en las PYMES tiene por objetivo proteger sus datos frente a las distintas amenazas a las que están expuestos.
Las Pymes en nuestro medio no cuentan con un Plan que las guíe hacia el logro de la protección de sus activos tanto tangibles como intangibles, es por ello que se deben implementar medidas de seguridad eficaces que integradas en un sistema amplio de gestión permitan al menos conseguir un buen nivel de seguridad.
capaces de contrarrestar las amenazas a las que se encuentran expuestas y así resguardar su información, el hardware, el software que la soportan.
Existen factores que se deben tener en cuenta al considerar medidas de seguridad como: su coste de adquisición, mantenimiento, operación facilidad de uso, su aceptación entre los usuarios, percepción de los clientes y su efectividad, etc.
1.5. Gestión del riesgo
El objetivo principal de este documento pretende proteger de las amenazas que afectan al entorno de DB's de las PYMES, mediante la definición de controles y procesos que deberán ser aplicados por todos los usuarios de las pequeñas y medianas empresas, pero especialmente por los responsables de las DB's y bajo el compromiso y apoyo del
nivel gerencia¡ de la organización. Se considera, que no se puede eliminar los riesgos por completo, pero se los puede reducir a niveles aceptables, lo sorprendente es que la reducción del riesgo se puede lograr con una modesta inversión y con poco esfuerzo. Comúnmente suele pensarse que las amenazas a la seguridad se deben a ataques maliciosos y que provienen desde el exterior, pero la gran parte de problemas de seguridad más bien tienen que ver con fallos de hardware o software, robo, fraude, extorsión, demandas legales, mala administración, entre otros.
Otra de las principales fuentes de amenazas la constituyen los usuarios internos, ya que son los que más conocen el sistema, a veces tienen acceso ilimitado al mismo, saben cuales activos son los más valiosos, en definitiva son los que más daño pueden causar con la mayor impunidad. Ni la aplicación de medidas de seguridad, ni la adquisición de HW y SW por sí solas garantizan un buen nivel de seguridad, sino que también se debe asignar tareas, funciones, la gestión formal de procesos, formación y concienciación del personal contribuyen a lograr un buen nivel de seguridad.
La seguridad de la información trata de proteger activos, tangibles; una base de datos, el disco duro, así como intangibles; la reputación, la privacidad, el nombre de marca, antes de instaurar medidas de seguridad se debe realizar un análisis previo, que:
• Identifique los activos de la organización a proteger: ¿Cuáles son los más valiosos? ¿su valor? ¿cuánto cuesta su reposición si se pierden o se degradan? ¿es posible reponerlos?
• Identifique las amenazas a que están expuestos los activos ¿cuáles son las amenazas naturales y humanas?, ¿en que circunstancias pueden producirse?, ¿Qué agentes pueden realizar estas amenazas?
. Identifique los riesgos que suponen estas amenazas para los activos: ¿probabilidad de que se materialice una amenaza?, ¿el coste del tangible o intangible para la organización si la amenaza se materializa en un ataque?
Identifique y evalúe el costo de contramedidas a implantar para reducir o mitigar el riesgo: ¿de que manera puede mitigarse el riesgo?,,Cuánto cuesta implantar una contramedida? ¿Cuál es su eficacia?.
En una etapa posterior al análisis de riesgos, deberá crearse en la organización una lista de expectativas de seguridad específicas para cada activo a proteger, es decir "cada medida de seguridad debe aplicarse en función de un contexto determinado y solo podrá satisfacer unas determinadas expectativas". [2]
-lo-En base al resultado del análisis de riesgos, se implantarán medidas de seguridad para combatir aquellas amenazas cuyo impacto resulta crítico o que pueden materializarse con mayor frecuencia, es decir se enfocará la atención en proteger los activos de mayor valor.
alto VA
A L
o' VALOR ALTO VALOR ALTO
R EXPOSICIÓN BAJA EXPOSICIÓN ALTA
o D E
L bajo VALOR BAJO VALOR ALTO
EXPOSICIÓN BAJA EXPOSICIÓN ALTA
1 Baja Alta
EXPOSICIÓN
Figura. 1.1. Matriz de riesgos.- Cuanto mayor es el valor del activo y mayor es su grado de exposición a amenazas, mayor es su riesgo y más prioritaria la exigencia de
protegerlo. [2]
Existen tres posibilidades para combatir amenazas:
1. Intentar mitigar o reducir el riesgo mediante la implantación de contramedidas o salvaguardas.
2. Transferir el riesgo a otra organización: contratación de un seguro
3. Asumir o aceptar el riesgo; debido a su baja probabilidad de ocurrencia o debido a que su coste es inferior a la medida implantada.
Mediante la realización de un correcto análisis, planificación y definición de los objetivos de seguridad se puede lograr la disminución de los riesgos, a la vez que coadyuva a la consecución de la misión de las organizaciones.
Planteándose expectativas realistas para lograr un nivel de seguridad aceptable, se deben localizar los puntos más vulnerables o débiles y fortalecerlos; mientras sigan existiendo eslabones débiles, la seguridad global del sistema será también débil.
Existen tres principios fundamentales de la gestión de la seguridad: confidencialidad,
integridad y disponibilidad, denominados La Triada CID (Confidentiality, lntegrity,
Availability o CÍA en ínglés)".[2]
Todo sistema de información y/o base de datos debe garantizar los tres principios del CID:
• Con fidencialidad.- La información contenida en las bases de datos de la
Conf idencialidad
Integridad Disponibilidad
Figura. 1.2 Los principios fundamentales de la seguridad; confidencialidad, integridad y disponibilidad [2]
1.6. Amenazas a la información
A la par que existen delitos dentro del mundo físico, también en el mundo digital existen, se puede substraer dinero de cuentas de internet, robar documentos importantes, bases de datos de clientes a través de la red o se puede tirar a bajo un servidor de comercio electrónico, todos estos ligados a la información que se aloja en un sistema o que se transmite por una red de comunicaciones.
Existen cuatro categorías generales de ataques a las que están propensas las bases de datos y la información en general:
1. Creación de información.- Cuando se inyecta información nueva o nuevos registros que antes no existían en la (s) base(s) de datos, se está atentando contra la seguridad e integridad de la base de datos.
2. Modificación de la información.- Alteración de la información o de los registros en las bases de datos mientras ésta viaja por redes de comunicaciones, esto representa un ataque contra la integridad de la información.
3. Intercepción de la información.- Por lo general las bases de datos de las organizaciones contienen información sensible, la misma que debería ser solamente accedida por un grupo autorizado de personas, si alguien ajeno a este grupo accede a estos datos, esto constituye un ataque contra la confidencia¡ ¡dad de la información.
4. Interrupción de la información.- Los datos albergados en las bases de datos o los datos que viajan por las redes de comunicaciones pueden ser atacados en su disponibilidad, como por ejemplo la destrucción de un elemento de hardware o corte de una línea de comunicación, etc.
12-- da E
[ Prevención ]
4Posibilita
rDetección ]
21°
C)--,,
P50
__.,0 o
(111
0 —
elFigura 13.
a) Flujo normal, b) Interrupción, c) Intercepción,
d) Modificación, e) Creación. VI
Por lo tanto la seguridad informática en este caso para las bases de datos se ocupa de ser la garante de que la información esté disponible para aquel que la necesite, durante todo el tiempo que sea necesario.
"Gestión de seguridad en el espacio. - Los productos dedicados a la seguridad informática deben cumplir las siguientes funciones [2]:
1 Prevenir.- Acrecentar el nivel de seguridad impidiendo que los ataques tengan éxito, ejemplo; el cortafuegos.
• Detectar.- Cuidar que todo esté en orden y de alertar cuando se encuentre una anomalía, normalmente debida a un intruso. Por ejemplo; un IDS (sistema de detección de intrusos o IDS).
1.7. Defensa en profundidad (defense-in-depth)
Mediante la defensa en profundidad, podemos aplicar diferentes contramedidas en cada capa de la estructura de la información de la organización, desde los routers y
cortafuegos perimetrales hasta los puestos de trabajo del personal. Se trata de que si las
contramedidas implantadas en una capa fallan, el de la siguiente capa funcionará. Es
decir que si más barreras sucesivas se superpongan, el riesgo de la intrusión se irá reduciendo a la par que aumenta la posibilidad de detección y reacción.
Éste modelo conceptual se ilustra de la siguiente manera:
Políticas y procedimientos
Seguridad Física
Defensa de datos
Defensa de aplicadón
Defensas de host
Defensas de red
Defensas perim etreles
Figura 1.5 Modelo de la seguridad de la defensa en profundidad [2]
Políticas y procedimientos de seguridad.- Esta capa posiblemente sea la capa más descuidada y desatendida de todas, siendo precisamente la más importante, ya que constituye la base de todas las demás. Tomando en cuenta ¡a Norma UNE-ISO/IEC 17799; La Dirección debería aprobar y comunicar a todos los empleados un documento de políticas de seguridad de la información. Debería establecer el compromiso de la Dirección y el enfoque de la organización para gestionar la seguridad de la información.
El documento de Política de seguridad debería contener como mínimo la siguiente información:
a) "Una definición de la seguridad de la información y sus objetivos globales, el alcance de la seguridad y su importancia como mecanismo que permite compartir la información.
b) El establecimiento del objetivo de de la Dirección como soporte de los objetivos y principios de la seguridad de la información
-14-c) Una breve explicación de las políticas, principios, normas y requisitos de conformidad mas importantes para la organización por ejemplo:
1) Conformidad de los requisitos legislativos y contractuales 2) Requisitos de formación en seguridad
3) Prevención y detección de virus y otro software malicioso 4) Gestión de continuidad del negocio
5) Consecuencia de las violaciones de la política de seguridad
d) Una definición de responsabilidades generales y específicas en materia de gestiónde la seguridad de la información, incluida la comunicación de incidencia de seguridad
e) Las referencias a documentación que pueda sustentar la política; por ejemplo,políticas y procedimientos más detallados para sistemas de información específicos o reglas de seguridad que los usuarios deberían cumplir. Esta política debería distribuirse por toda la organización, llegando hasta los destinatarios, en una forma que sea apropiada, entendible y accesible."j2:1
2. seguridad física y del entorno.- El atacante tiene acceso físico a los equipos y a la
infraestructura de la red (hardware), por lo que el mayor riesgo planteado es que podría dañar o robar los dispositivos conjuntamente con la información que contienen. Se deben adoptar medidas de seguridad física y del entorno, además de control del personal que accede a los distintos recursos.
3. Defensa perimetral. - El atacante tiene acceso a los servicios ofrecidos o accesibles
desde el exterior. El perímetro se lo protege instalando VPN (redes privadas virtuales), cortafuegos, routers bien configurados, redes inalámbricas debidamente protegidas y módems telefónicos controlados, así como filtro antivirus. A pesar de ello no se debe creer que un perímetro seguro produce en una red segura".
4. Defensa de la red.- El atacante tiene acceso a la red interna de la organización, por
lo que puede acceder a cualquier puerto de cualquier equipo, monitorear el tráfico que circula por la red de forma pasiva (lectura) o activa (modificación posible). Se debe proteger la red mediante el uso de detectores de intrusiones, sistemas de prevención de intrusiones, utilización de lPSec y/o SSL para el cifrado durante el transporte de datos, protección de redes inalámbricas, etc.
5. Defensa de equipos.- Se la logra tanto para servidores como para clientes, mediante
cortafuegos de aplicación dedicados a filtrar el tráfico específico en distintas aplicaciones; en bases de datos, Web (HTTP), correo (SMTP), etc.
7. Defensa de datos.- Si todas las barreras anteriores han sido traspasadas por un
atacante y posee acceso a la aplicación, la autenticación, la autorización y el cifrado, constituyen las tecnologías más empleadas para proteger los datos.
1.8. Establecimiento de los requerimientos de seguridad
Evaluación de riesgos
Para realizar la evaluación de riesgos se propone el uso de dos medidas:
Medida Cuantitativa; Clasifica los riesgos en función de su coste económico.
2. Medida Cualitativa; Ordena las amenazas en función del su nivel de riesgo y en
función del escenario de ataque.
Se descarta el uso de la Medida Cuantitativa ya que se vuelve muy compleja la evaluación del costo de los otros activos como por ejemplo el de la información, no resulta fácil evaluar, el costo de esta por su dinámica y su crecimiento diario, resultaría no objetivo y poco real.
Además de ello los gerentes o el personal encargado no siempre están dispuestos a proporcionar los datos requeridos, o por que también no tienen información disponible en éste ámbito.
Por ello se realiza la gestión de riesgos utilizando la Medida Cualitativa.
"La evaluación de los riesgos es una consideración sistemática de los siguientes puntos:
a) Impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta elalto grado de las consecuencias por una pérdida de confidencialidad, integridad o disponibilidad de la información y otros recursos.
b) vulnerabilidades predominantes y los controles actualmente implementados" . [2]Probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y
Es necesario mencionar que las amenazas se las puede englobar en dos categorías:
1. Amenazas Naturales; entre ellas podemos citar: terremotos, inundación, etc.
2. Amenazas humanas; empleados descontentos, hackers, malware, fraudes
electrónicos, etc.
Como una subdivisión de las amenazas humanas tenemos:
a) Amenazas externas; en ella están expuestos servidores, puestos de trabajo e
implícitamente sus datos y éstas pueden ser perpetradas por hackers y el maiware.
b) Amenazas internas; son perpetradas por parte de empleados y personal interno
que pueden causar daños muchos más severos en los sistemas informáticos, ya sea en forma deliberada o sin intención.
-16-CAPÍTULO II
2.
Análisis de Riesgos
2.1. Introducción
Para realizar el presente estudio se ha tomado como base dos empresas nacionales; la primera una consultora de ingeniería eléctrica lón Consultores, la misma que se la ubica en el grupo de Pequeñas Empresas; misma que tiene como su principal activo la información contenida en una pequeña base de datos, en ella se almacena su principal información que consta de: datos personales y de índole financiero de sus clientes y como forma de salida tienen un módulo de facturación que incluye información de clientes y valores de los trabajos ejecutados.
Por diversas causas, entre ellas; el desconocimiento de aspectos de seguridad informática, la falta de recursos económicos, la operación inadecuada de la base de datos, ha conllevado a que la información sea manejada de una manera precaria, insegura e inadecuada llegando al punto de descuidarla de manera absoluta.
En el ámbito de las Medianas Empresas, tenemos la Dirección de Informática del Municipio del Distrito Metropolitano de Quito; en este departamento se ha podido observar que la información por ser de gran volumen, se la maneja de una manera adecuada; por el mismo hecho de que poseen infraestructura técnica, capacidad económica y personal capacitado para realizar gestión informática; la que consta de datos personales y financieros de los habitantes de Quito, que resultan ser importantes para la gestión de pago de impuestos, catastros, avalúos de propiedades, cartografía, permisos de construcción, autorizaciones de líneas de fábrica, etc. A pesar de ello se ha podido constatar que no se cuenta con documentos que formalicen sus procedimientos y/o políticas de seguridad, igualmente no se ha realizado auditoría informática en varios años, descuidando el ámbito de la seguridad informática.
Es por ello, que en este capítulo se realiza el debido análisis de riesgos detallados en los puntos subsiguientes.
-17-2.2. Descripción de la metodología, herramientas y
proceso de análisis
Metodología utilizada: "Pasos generales para auditar una aplicación en funcionamiento", Autor: Econ. Rodrigo Benavides, Guía Didáctica de Auditoría Informática, 1 O rno ciclo U.T.P.L., Ciclo Abril Agosto del 2005.
Esta metodología se eligió con la finalidad de lograr los siguientes objetivos:
a) Identificar los riesgos a los que están expuestas las dos empresas estudiadas. b) Seleccionar los riesgos críticos que en mayor grado se pueden presentar en los dos
tipos de empresas.
c) Realizar un adecuado análisis de riesgos; calificándolos según su criticidad, eidentificando los controles que permitan mitigarlos o reducirlos.
d) Plantear y desarrollar las políticas informáticas para bases de datos en Pymes, asímismo complementar las políticas con procedimientos para áreas críticas o importantes en las bases de datos.
La metodología mencionada consta de los siguientes pasos:
Reunión con los directivos del Departamento de informática.- Esta reunión tiene los
propósitos de:
Explicar al auditado los objetivos y el alcance del auditaje en términos generales.
: Tratar de identificar con el auditado los aspectos más importantes de la aplicación.
Listar el personal clave con el que se puede contar, determinar la disponibilidad del mismo, de ser posible se debe fijar las fechas para entrevistas.
: Identificar reportes e información requerida por parte del auditor
Lograr el compromiso del auditado para aumentar la probabilidad del éxito del auditaje
Consecución de la información detallada de la información.- El auditor debe hacer
el levantamiento detallado de la información de la aplicación para:
Conocer las características de la aplicación
Conocer las funciones de entrada, proceso y salida
M.- Lectura y análisis de documentación relacionada : Entrevistas con el personal relacionado
K.Observación directa de los procedimientos : Conocimiento de los programas
K.Elaboración de la carpeta <archivo permanente>
Identificación de riesgos críticos.- En esta etapa se elabora una lista de los
probables riesgos que se presentan en las diferentes etapas de la aplicación. Para facilitar el proceso se sugiere segmentar la aplicación en áreas y constatar que se cumplen los objetivos en cada una de ellas.
Metodología para la identificación de riesgos.- mediante una <tormenta de
ideas>, se trata de identificar todos los riesgos para cada una de las áreas en
que se dividió la aplicación. Una vez identificados los riesgos con el personal de cada área, se puede hacer un ordenamiento de los mismos agrupando causas y todos los efectos del mismo riesgo, indicando únicamente el riesgo, mediante ello se reduce la lista de riesgos que puede ser extensa. El papel resultante de esta etapa es la lista de riesgos por cada área de aplicación.
Selección de riesgos críticos.- Una vez identificados los riesgos, se deben
seleccionar aquellos verdaderamente importantes tanto por su probabilidad de ocurrencia como por sus efectos negativos. Para el proceso de selección se sugiere utilizar el método de comparación por parejas de riesgos para ir eliminando los menos importantes. Esto permite la selección de riesgos críticos, aumentando la productividad y la efectividad. Su resultado es la lista de los riesgos más importantes de la aplicación para cada una de sus áreas.
Identificación de controles existentes en la aplicación.- Se esta fase se deben
buscar e identificar los riesgos seleccionados en el punto anterior, ésta búsqueda se la debe realizar por área.
Nota: se deben consignar los controles que tiene la aplicación. No los que debería tener.
Las técnicas más utilizadas para identificar controles son:
Para controles manuales; rbalización de cuestionarios, observación física de los procedimientos, análisis de flujogramas.
Para controles en los programas; datos de prueba, análisis de entrada y salida del proceso real.
El papel de trabajo que se obtiene de esta etapa es una matriz para cada una de las áreas en que se dividió la aplicación; contiene columnas de de los riesgos seleccionados y como filas los controles identificados.
Análisis de riesgos y controles. - En esta etapa el auditor realiza un análisis de la
efectividad de los controles para los riesgos, se determinan el impacto que tienen los controles. Aquí se puede observar las áreas dónde hay deficiencias de control, o en otras palabras, áreas donde los riesgos reales son altos.
Se establece la siguiente escala de calificación:
-19-Control de impacto bajo (t) Control de impacto medio (t)
Control de impacto alto (3)
Si el control es preventivo apuntará a una de sus causas, se examina si esta causa es la que más probabilidad tiene de generar el riesgo o si tiene una probabilidad media o baja.
Si la causa a la que apunta el control tiene una alta probabilidad el control al eliminar esta causa está disminuyendo significativamente la oportunidad de ocurrencia del riesgo debe calificarse como 3.
Si el control elimina una de las causas de probabilidad media tendrá una calificación de 2.
Si el control elimina una de las causas de baja probabilidad, tendrá calificación 1. Igual metodología se usa si el control es correctivo y apuntará hacia el objetivo M riesgo, si el efecto hacia el cual apunta es el más negativo del riesgo, o sea el más grave, se calificará como 3. Si apunta a un efecto medio se calificará como 2, y si apunta a un efecto menor se calificará comol.
Al final de esta labor se obtiene una matriz con la calificación de todos los riesgos.
Nota: Hay que observar que algunas celdas pueden estar en blanco, lo que
quiere decir que el control no tiene ningún impacto para el riesgo. Al final el auditor debe proceder a analizar la matriz así:
Se analiza cada columna de la matriz, para determinar el grado de protección total existente para cada riesgo.
Se concluye sobre riesgos contra los cuales no hay protección suficiente, por falta de controles o por la poca efectividad de los existentes.
Se analiza cada fila de la matriz para determinar el grado de importancia del control, por su impacto significativo o no, sobre uno o varios riesgos. Se concluye sobre controles a los que el auditor debe dar mayor énfasis en las pruebas por ser realmen'te significativos.
El papel de trabajo resultante es la matriz analizada en el punto anterior con la calificación de la efectividad de los controles y la identificación tanto de los riesgos reales como de los controles más importantes.
calificados realmente como importantes en la matriz, por su impacto significativo sobre uno o varios riesgos.
Nota: Se debe aclarar que estas pruebas no se requieren si el auditor ha
conseguido plena vigencia del funcionamiento del control en etapas previas de su auditaje.
Ajustes a ¡as matrices de riesgos y controles.- Con base a los resultados de las
pruebas de cumplimiento realizadas a los controles más importantes, el auditor debe proceder a:
Dejar la misma calificación del impacto en la matriz, si la prueba de cumplimiento evidencia que el control existe y está funcionando bien. Bajar o disminuir la calificación del impacto, si el control existe pero no se ejecuta adecuadamente.
Eliminar la calificación del impacto si el control existe pero no se ejecuta adecuadamente.
Al final se obtiene una nueva matriz de riesgos y controles que muestra la situación real del área de la aplicación analizada.
Reunión con el auditado. - En ella el auditor presenta sus hallazgos y
recomendaciones, además en esta fase el auditado tiene la oportunidad de refutar, comentar o estar de acuerdo con ellos. El auditado y el auditor al final deben estar de acuerdo en los hechos y aún cuando el auditado objete fuertemente una recomendación, el auditor no necesita cambiarla. Pero deben realizar una investigación exhaustiva conjunta para llegar a la realidad y obtener así el acuerdo. Aunque difieran en la interpretación y análisis de los hechos debe existir un acuerdo entre hechos reales.
Elaboración del informe de auditaje de la aplicación. - Éste debe organizarse para
presentar adecuadamente los hallazgos y recomendaciones del auditaje, en un formato que tenga sentido para el lector del informe. Va dirigido hacia la persona.
Como herramientas de consecución de información se utiliza:
Lectura y análisis de la documentación relacionada Observación directa de los procedimientos
Entrevistas y aplicación de cuestionarios al personal involucrado (Ver Anexo 1).
-En resumen la metodología sugiere un proceso secuencia¡ compuesto de las siguientes etapas:
Consecución de la
_LI -
Selección delos
Reunión conn Identificación de
detallada riesgos. riesgos críticos -->1
de la DB. de la empresa.
---y
---Identificación Análisis Evidenciación 1 Ajustes a las Reunión
5.- 6.- .- a.- 9..
1 aplicación controles la aplicación controles auditado
de controles de riesgos de controles 1 matrices de con el
1 existentes en la y importantes de 1 riesgos y
Figura 1.5. Pasos de la metodología para auditar una aplicación en funcionamiento
NOTA: En la etapa 5 es importante consignar los controles que tiene la aplicación, no los que debería tener.
Las siguientes secciones se desarrollan considerando cada uno de los pasos descritos de la metodología y los lineamientos generales.
2.3. Identificación de los activos y amenazas
En esta sección se identifican los activos tangibles e intangibles con mayor nivel de exposición a los distintos tipos de riesgos y amenazas, los mismos que afectan a las bases de datos y sistemas de información en las PYMES.
Activos identificados en lón Consultores
1. La información contenida en la base de datos (Access 97) de la organización
(información de los clientes: montos de los contratos, pagos, nombres, cédula, dirección, teléfonos, descripción de equipos utilizados en las obras eléctricas, etc.)
2. (2) dos computadores pentium IV clones 1.8 Ghz
3. (1) un computador pentium IV clon 2.5 Ghz
4. (3) tres cortapicos genéricos 120 V
5. (1) scanner Ben Q SUW 4300 SU
6. (1) impresora matricial Epson LX-300
Activos identificados en la Dirección de Informática del Municipio del Distrito Metropolitano de Quito
1. La información contenida en las distintas bases de datos 2. Terminal server
3. Servidor de dominio PDC
4. Servidor de correo } Contiene base de datos 5. Servidor antivirus
6. Servidor web (lIS) 7. Servidor web (apache) 8. Servidor FTP
9. Servidor Proxy
lo. Servidor primario de desarrollo 11. Servidor de producción 01
12. Servidor de producción 02 Servidores de bases de datos: Oracle, Sql 13. Servidor de producción 03 J
14. Servidor de producción 04
-*
Server, D132Nota: Los servidores que constan entre llaves son donde están almacenadas bases de
datos de uso de la organización.
El tipo de información que se maneja en esta organización por su naturaleza es de índole "personal y privado" y debe ser conservada con un alto nivel de confidencialidad, ya que maneja datos personales de todos los ciudadanos del Distrito Metropolitano de Quito, esto es: nombres, apellidos, número de cédula de ciudadanía, dirección, teléfono(s), impuesto(s)/valor(es) cancelados o por pagar, información predial, líneas de fábrica, avalúos y catastros, etc., información que por sus características están protegidas
por
las leyes de protección de datos personales y demás emitidas por el Congreso Nacional en lo referente a este tipo de información.Equipos de Conexión y Comunicación:
1. Switch 4900 (2) 2. Switch 4900 3com (1) 3. Switch Tricom 4226 (1) 4. Router Cisco 805 (3) 5. Router Cisco 1700 (1)
-23-6. Router Cisco (1) 7. Router cisco 1600 (1)
8. Hub3com(l) 9. Packeteer
io. Firewall
u. Cableado de red
Para identificar las amenazas más comunes a las que están expuestas las bases de datos y los sistemas informáticos en la organización, se han utilizado técnicas como: entrevistas y cuestionarios aplicados al administrador de base de datos en el caso de la Dirección de Informática del MDMQ y demás personal operativo y al personal de la empresa lón Consultores, así como la observación física de los procedimientos en las dos empresas. A continuación se enlistan las amenazas más frecuentes que se han identificado.
1. Accesos no autorizados a la base de datos
2. Ataques por malware (software malicioso; virus, troyanos, gusanos etc.)
3. Intrusiones externas en los sistemas (hackers) en el equipo con acceso a Internet. 4. Fuego en instalaciones o fuego próximo
5. Pérdida de suministro eléctrico por un largo período 6. Fallos de software y hardware
7. Pérdida definitiva del personal por muerte o baja
8. Enfermedad de personal clave o de buena cantidad de personas 9. Degradación o pérdida de redes de comunicaciones
lo. Denegación de servicio; Inundación SYN, inundación Ping,
11. Manipulación malintencionada de la base de datos 12. Ingeniería social
13. Tracert o pathping para delinear la topología de red 14. Telnet para capturar banners
Considerando los activos de cada organización así como las amenazas a las que se encuentran expuestos, a continuación se listan los activos a proteger en las PYMES en orden de importancia:
1. La información contenida las bases de datos de la Dirección de Informática de
MDMQ y de la empresa lón Consultores.
2. Las copias de seguridad y backups.
Luego de realizar una análisis comparativo entre las amenazas que afectan a los dos tipos de empresas, se concluye que; las Medianas Empresas (Dirección de Informática del Municipio del Distrito Metropolitano de Quito), por su mediano tamaño tanto a nivel organizacional como de su infraestructura tecnológica están expuestas a un mayor número de amenazas, pero son bien solventadas ya que poseen personal técnico y los recursos económicos necesarios.
En el caso de las Pequeñas Empresas (lón Consultores), por su reducido tamaño, mínima capacidad tecnológica y económica, están expuestas a un número similar de amenazas que la otra empresa, pero al no tener implementadas otras áreas como por ejemplo el área de redes, desarrollo, etc., reduce de alguna manera la exposición a cierto tipo de amenazas.
A continuación se enlistan las amenazas que se comparten en las dos empresas mencionadas y las amenazas que aparecen solo en una de ellas.
Amenazas comunes a las dos empresas:
• Falta de cultura informática por parte del personal de la organización
• Acceso no autorizados a las bases de datos
• Ataques por maiware (software malicioso: virus, troyanos, gusanos, etc.)
• Intrusiones externas en los en los sistemas (hackers)
• Fuego en las instalaciones o fuego próximo
• Pérdida de suministro eléctrico por un largo período
• Fallos de hardware o software
• Perdida definitiva del personal por muerte o baja
• Enfermedad de personal clave o de buena cantidad de personas
• Degradación o pérdida de redes de comunicaciones
• Amenazas distintas en las dos empresas:
• Huelga del personal o rebelión interna
• Denegación de servicio; inundación SYN, inundación PING
• Manipulación malintencionada de la base de datos
-25-: Tracert o pathping para delinear topología de red
Telnet para capturar bannerS
: Uso y escaneO de puertos para detectar servicios a la escucha Peticiones broadcaSt para enumerar equipos en una red
L. Uso de herramientas para combinar el spoofing
Explotación de vulnerabilidades de servidores, como desbordamiento de buffer.
2.4. Establecimiento de los requerimientos de seguridad
La empresa lón Consultores Cía. Ltda., catalogada para este estudio dentro de las Pequeñas Empresas tiene como principal actividad la Consultoría y Construcciones Eléctricas; esta conformada por 5 profesionales de ingeniería eléctrica, los mismos que para realizar las funciones descritas abajo se dividen los trabajos de acuerdo a sus capacidades y conocimientos.Partiendo de una situación inicial, se ha identificado como su principal objetivo de seguridad el implementar controles, políticas y procedimientos, que permitan a la empresa manejar su gestión productiva de una manera adecuada y segura, logrando así llegar a una mejor situación, considerando que prácticamente se ha identificado un nivel incipiente de seguridad.
En el caso de la Dirección de Informática de Municipio del Distrito Metropolitano de Quito, catalogada en el ámbito de las Medianas Empresas, funciona como un departamento del Municipio; el mismo que esta encargado de administrar la información contendida en las bases de datos, y TIC's. Este departamento esta conformado por un grupo de 8 profesionales en ingeniería informática y sistemas, además cuenta con el apoyo 15 empleados que durante años han manejado la gestión informática del Municipio de Quito.
El principal objetivo de seguridad es que partiendo de una situación determinada en seguridad informática se evolucione a una situación ideal según sus requerimientos. Cabe mencionar que la información que esta a cargo de este departamento, es manejada de una manera adecuada, sin que por ello deje de estar propensa a riesgos y amenazas.
Con el objetivo de garantizar el CID de la información contenida en las bases de datos, se realiza la identificación y análisis de riesgos, identificación de controles en funcionamiento (actuales) en la organización. Este análisis se realiza en 10 áreas identificadas en la gestión de la(s) base(s) de datos de las dos organizaciones organización:
6. Redes y Comunicaciones
7. Seguridad y acceso a la información 8. Back-up y recuperación
9. Usuarios
io.
Desarrollo y cambios a los programas2.5 Identificación de riesgos
Teniendo como premisa que; una base de datos está conformada por: hardware, software, los datos a manejar y el personal encargado del manejo del sistema; para lograr identificar los riesgos, se dividió en 10 áreas de estudio para el caso de los dos tipos de empresa, estas áreas funcionan interrelaCiofladamente. Por cada área, se identifican riesgos (los mismos que pueden o no repetirse en dos o más áreas), utilizando herramientas como: Observación directa, entrevistas formales e informales, aplicación de cuestionarios (Ver Anexo 1). Cabe mencionar además que estas listas identifican los riesgos a los que cualquier empresa podría estar expuesta independientemente del área analizada ya que por ejemplo; los efectos por infección de virus u otro tipo de software malicioso afectarían a las áreas tales como redes y comunicaciones, usuarios, seguridad y acceso a la información, etc. Es por ello que en
las áreas analizadas se puede encontrar los mismos riesgos.
-27-Objetivo general. en las diferentes áreas que se han tomado en cuenta en el funcionamiento de la base deElaborar una lista de los probables riesgos que se podrían presentar datos.
Previamente para la identificación de riesgos se ha hecho uso de herramientas como; entrevistas con el administrador de base de datos, con el personal encargado de la operación de la base de datos, aplicación de cuestionarios, la observación directa de los procesos y el uso de los papeles de trabajo obtenidos durante la investigación.
SIMBOLOGÍA:
X = Ocurrencia positiva de riesgo NA = No aplica el riesgo en la empresa
Átea t- PeptódatO
Objetivo.- Verificar que se han establecido controles adecuados (manuales y automatizados), para prevenir, detectar y corregir errores, irregularidades y omisiones que pueden ocurrir durante las actividades de preparación de datos. Es importante verificar que los datos de entrada están completos y son preparados adecuada y oportunamente de acuerdo con las pautas del sistema.
1N Çosttrøs nosatiç MMO
1. Errónea preparación; no existen establecidas políticas, procedimientos administrativos para la preparación de datos.
2. Pérdida de integridad; documentación incorrecta, campos faltantes NA
o incompletos
3. Pérdida de confidencialidad; no se practica de la política de X
escritorios limpios
4. Pérdida de confidencial ¡dad; la documentación fuente se encuentra x x
al alcance de personal externo a la organización
S. Existencia de información duplicada por el uso de formularios X NA
impresos con numeración repetida
6. Redundancia en los registros de la DB, por el uso del número de X NA
formulado como clave principal
7. Pérdida de integridad; no confiabilidad de la información contenida
en los documentos al no tener establecidos procedimientos para X X
corrección de errores y reingresos de datos.
8. Pérdida de confidencialidad; la documentación fuente se encuentra X NA
al alcance de personal no autorizado
9. Pérdida de confidencialidad; el archivo de la -documentación es X X
realizado por cualquier usuario/ oficinista
Objetivo.- Asegurar que se han establecido controles adecuados (manuales y automatizados) para prevenir, durante las actividades de entrada detectar y corregir errores, irregularidades u omisiones que pueden ocurrir de datos.
Hay que verificar si los datos que entran al sistema de acuerdo al diseño de los mismos y a las
especificaciones de control de los SGBD.
RJesgo$
1 Pérdida de disponibilidad; por interrupción del NA
suministro eléctrico por un corto o largo período
2. Pérdida de disponibilidad; por fallos de hardware x
y/o software
3. Falla de integridad; no se verifica la exactitud '' NA
totalidad de la información ingresada
4. Pérdida de integridad; ingreso de campos faltantes NA
o incompletos en los registros de la D B
5. Fallo a nivel general; no existen establecidos
políticas, procedimientos administrativos para la X X
entrada de datos
6. Pérdida de confidencialidad ingreso de datos por X X
parte de varios usuarios
7. Pérdida de confidencialidad usuarios no
autorizados realizan la actividad de ingreso de X X
datos
8. Falla de integridad; existencia de Información
inconsistente, no se valida y supervisa el ingreso X NA
de datos
9. Falla de disponibilidad; no existen documentos X NA
físicos antiguos ingresados a la DB
io. Pérdida de integridad; información no confiable, no
existen verificación y exactitud de los datos X NA
ingresados.
Conclusión: Como resultado de esta matriz, se observa que todos los riesgos citados
pueden ocurrir más en las Pequeñas Empresas, estos podrían ocurrir por la falta de organización administrativa interna. Las Medianas Empresas, también están propensas a estos riesgos, pero, se puede observar que existen algunos que no aplican por que si se han ejecutado controles que minimicen esos riesgos.
-29-Conclusión: De los riesgos citados, todos pueden ocurrir en las Pequeñas Empresas,
Obletivo.- Asurar que se han establecido controles adecuados (manuales y automáticos) para prevenir detectar y corregir errores, irregularidades u omisiones que pueden ocurrir durante las actividades de salida de la información. Hay que evaluar si verdaderamente se necesita la salida, si se valida, si el usuario autorizado la recibe oportunamente.
1
Dire .: .
::. •. .:. :. .hformaca.M DM0
1 Pérdida de disponibilidad; fallos de hardware ' NA
software
2. Pérdida de disponibilidad; acción de virus X NA
nf ormaticos
3. Pérdida de integridad; manipulación
malintencionada de los registros de la base de X NA
datos
4. Pérdida de integridad; no se ejecutan pruebas de NA
control de datos antes de su salida
5. Pérdida de conf idencialidad; intrusiones de X X
hackers, spare a nivel de red eerna
6. Pérdida de integridad; campos incompletos o X X
faltantes en los registros de la DB
7. Pérdida de integridad; la información no se valida X NA
antes de su salida
Conclusión: Se puede observar que todos los riesgos citados pueden ocurrir más en las
pequeñas empresas por causa de no tener controles en funcionamiento que los minimicen. Pero en las Medianas Empresas, hay riesgos que no aplican por que si se ejecutan controles que evitan se presenten esos riesgos.
-ios 1
Objetivo.- Asegurar la disponibilidad de una adecuada documentación (sistema, programa, operaciones y usuario), para ayudar al personal de sistemas en las actividades de rediseño, modificación o análisis de programas, además para facilitar las revisiones de auditores.
______ umaM13M
1 Inexistencia de manuales; de operación, de
procedimientos ni manual de usuario de la DB
2. Pérdida de confidencialidad destrucción
inadecuada de documentos fuente desechado por X NA
ejemplo: papel carbón, formularios, facturas, etc.
3. Mala operación de la base de datos; falta de
capacitación a los usuarios del área de X NA
documentación
4. Pérdida de confidencialidad la documentación
existente esta al alcance de personal ajeno a la X NA
organización
5. La documentación generada en medios X NA
magnéticos no se almacena en un sitio seguro
6. La documentación generada contiene
inconsistencias en los registros; campos faltantes o X X
incompletos
Conclusión: Todos los riesgos enumerados en esta matriz tienen mayor probabilidad de
Objetivo.- Asegurar que se har, establecido controles en la transmisión y recepción de los datos de un punto de la red a otro. Asegurar que existen controles y seguridades de acceso en las terminales de computador.
Es importante determinar la existencia y funcionamiento de los controles necesarios para proteger la
privacidad e integridad de la información.
1. Pérdida de información por ataques de software x NA
malicioso (virus, troyanos etc.)
2. Intrusiones perpetradas por hackers, sniffers, etc. x NA
3. Acción de spyware en la red x NA
4. Pérdida de disponibilidad; fallos de hardware y/o x NA
software
5. Pérdida de confidencialidad; existen puntos de red x x
activos sin uso
6. Pérdida de disponibilidad; por quiebra del x X
proveedor de servicios de red
7. Pérdida de servicio por ataques físicos, sabotaje al x x
cableado expuesto de red
8. Pérdida de información por degradación x x
(congestión en el tráfico) o pérdida de la red
9. Pérdida de disponibilidad; por sabotaje a los x x
equipos e instalaciones.
lo. Pérdida de los activos de red por fuego en las x x
instalaciones o fuego próximo
Conclusión: En este caso tanto las Medianas y las Pequeñas empresas están expuestas a los mismos riesgos, los positivos son de mayor probabilidad de ocurrencia ya que pueden ser ocasionados por terceros. En los marcados con NA, se tienen es por que existen controles en funcionamiento.
-33-Objetivo.- Asegurar que existen controles y seguridades adecuadas para el acceso, búsqueda de la información contenida en los SGBD. Reducir o eliminar los riesgos potenciales de fraude mediante
manipulación de los registros de una base de datos.
Es importante determinar el acceso de usuario y del personal de sistemas a los archivos de información se basa estrictamente en sus áreas de responsabilidad y está controlado mediante el uso de una matriz de relaciones password ¡ persona / información / terminal / transacción.
1. Pérdida del CID por no existir elaborados los x x
Planes de Seguridad y Políticas Informáticas
2. Ataque de software malicioso (virus, troyanos, etcj x x
3. Pérdida de confidencialidad privilegios y accesos x NA
asignados a usuarios no activos
4. Pérdida de disponibilidad; no se dispone de un Iog x NA
histórico de transacciones
5. Pérdida del CID; no se realiza auditoría de x x
sistemas en la organización
6. Pérdida de confidencialidad por no legitimar y x NA
autorizar el acceso de terceros
7. Ataque de hackers, sníffers a la base de datos X X
8. Manipulación malintencionada de los registros de x x
la base de datos
9. Pérdida de información por fallos de hardware y/o x NA
software
10. Las claves de acceso de usuario no se cambian x x
periódicamente
11. Pérdida del CID por la no práctica de la política de x x
escritorios limpios
12. Pérdida de confidencialidad por el no uso de x x
protectores de pantalla con clave
Conclusión: En las Pequeñas Empresas se produce la mayor ocurrencia positiva de
Ba1wr yreCupOraIOP
1
Objetivo.- Asegurar que existen los soportes adecuados de los archivos, información, programas y
documentación del SGBD.
Determinar si hay un Plan de Contingencia documentado Y probado que permita la continuidad de las operaciones de la aplicación, en caso de desastres menores y mayores.
Rtesgos 1 I6NnSUIIS
i. Pérdida del CID por no existir elaborados los
planes recuperación de información ni planes de X X
contingencias
2. Pérdida de información por ataque de software NA
malicioso (virus, troyanos, etc.)
3. Pérdida de integridad; por no verificación de la NA
información respaldada
4. Pérdida de confidencialidad por pérdida o robo de NA
cintas de respaldo y back-up del centro de cómputo
5. Pérdida de la información respaldada por fuego en X NA
instalaciones o fuego próximo
6. Pérdida de información por no almacenar los
respaldos en un sitio lejano al CC como X NA
recomiendan los procedimientos de seguridad
7. Pérdida del CID por fallos de hardware y software X X
8. Pérdida de confidencialidad; privilegios y accesos X NA
asignados a usuarios no actives
Conclusión: Todos los riesgos listados se pueden presentar en las Pequeñas Empresas
al no tener controles en uso, en el caso de las Medianas Empresas se observa que existen NA por que si tienen controles en uso.
Conclusión: En este caso se puede observar existe una marcada diferencia entre los dos
tipos de empresas ya que en la Mediana, por su tamaño si cuentan con el área de Desarrollo y Cambios a los programas, mientras que en la pequeña por su tamaño y capacidad económica no cuentan con esta área.
![Figura 1.5 Modelo de la seguridad de la defensa en profundidad [2]](https://thumb-us.123doks.com/thumbv2/123dok_es/2362269.13275/23.867.245.632.331.723/figura-modelo-seguridad-defensa-profundidad.webp)
