Evaluación automática del riesgo en PYMES

EVALUACIÓN AUTOMÁTICA DEL RIESGO EN PYMES

Ricardo Pérez Díez

UNIVERSIDAD DE LOS ANDES

FACULTAD DE INGENERIA

DEPRTAMENTO DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN

EVALUACIÓN AUTOMÁTICA DEL RIESGO EN PYMES

Ricardo Pérez Díez

Asesor

Sandra Julieta Rueda Rodríguez, Ph. D.

TABLA DE CONTENIDO

ÍNDICE DE TABLAS ... 5

ÍNDICE DE FIGURAS ... 6

RESUMEN ... 7

ABSTRACT ……….. 7

1 INTRODUCCIÓN ... 8

2 CONTEXTO ... 11

2.1 Contexto ... 11

2.2 NIST SP800-53 ... 11

2.3 Elementos Relevantes... 12

3 PROPUESTA ... 14

3.1 Uso de Metodologías para Diseño de los Controles ... 14

3.2 Descripción de alto nivel ... 14

3.2.1 Requerimientos ... 14

3.3 Arquitectura de la solución ... 16

3.3.1 Modelo ... 16

3.3.2 Vista ... 24

4 IMPLEMENTACIÓN ... 27

4.1 Herramientas ... 27

4.2 Flexibilidad ... 27

4.3 Modificabilidad ... 27

4.4 Archivo de Configuración ... 27

4.5 Automatización de Tareas ... 28

4.5.1 Consideraciones ... 28

4.5.2 Relevancia de un activo ... 28

4.5.3 Impacto de un riesgo ... 29

4.5.4 Posibilidad de un riesgo ... 29

5 EVALUACIÓN ... 30

5.1 Ventajas y limitaciones ... 30

5.2 Trabajo Relacionado ... 30

5.2.1 EAR ... 30

6 CONCLUSIONES ... 32

6.1 Conclusiones ... 32

6.2 Trabajo futuro ... 32

ÍNDICE DE TABLAS

TABLA 1.PATRONES EN QUE (VERIZON,2015) CLASIFICA LOS INCIDENTES ... 9 TABLA 2.FAMILIAS DE CONTROLES (NISTSP800-53) ... 12 TABLA 3.IDENTIFICACIÓN DE REQUERIMIENTOS FUNCIONALES. ... 16

ÍNDICE DE FIGURAS

FIGURA 1.DISTRIBUCIÓN DE ATAQUES SPEAR-PHISHING SEGÚN EL TAMAÑO DE LA ORGANIZACIÓN. ... 8

FIGURA 2.ETAPAS DE LA METODOLOGÍA. ... 12

FIGURA 3.REPRESENTACIÓN DE LAS CARACTERÍSTICAS ... 17

FIGURA 4.REPRESENTACIÓN DEL MÓDULO DE ACTIVOS ... 18

FIGURA 5.REPRESENTACIÓN DEL MÓDULO DE NEGOCIO ... 20

FIGURA 6.REPRESENTACIÓN DEL MÓDULO DE RIESGOS ... 21

FIGURA 7.REPRESENTACIÓN DEL MÓDULO DE CONTROLES ... 22

FIGURA 8.REPRESENTACIÓN DE LA HERENCIA ... 23

FIGURA 9.INTERFAZ PRINCIPAL.MÓDULO DE CARACTERÍSTICAS. ... 24

FIGURA 10.VENTANA PARA AGREGAR ELEMENTOS. ... 25

FIGURA 11.VENTANA PARA ASOCIAR ELEMENTOS. ... 26

RESUMEN

Actualmente las pequeñas y medianas empresas, conociendo que existen problemas de seguridad, no implementan medidas de seguridad. Por un lado su presupuesto es limitado y los costos de implementación de metodologías y herramientas de seguridad demandarían un porcentaje considerable de dicho presupuesto, y por otro lado no perciben las ventajas de dicha inversión. Independientemente de esta situación, los problemas de seguridad han incrementado consistentemente cada año, lo que hace a estas pequeñas empresas cada vez más vulnerables.

Para responder a la necesidad de las empresas pequeñas y medianas en el contexto Colombiano, un proyecto iniciado anteriormente planteó la construcción de una metodología sencilla, que conduzca a una empresa a seleccionar controles de seguridad con una relación costo/beneficio conveniente. Este documento presenta una extensión de dicho proyecto. La extensión corresponde a la construcción de una herramienta, de distribución libre, que soporte la metodología. Adicionalmente, se propone la automatización de algunas tareas para facilitar y agilizar su uso.

Como resultado se obtuvo una herramienta completamente gratuita y que requiere la instalación únicamente de software libre. Esta herramienta es capaz de calcular semiautomáticamente la relevancia de un activo y el riesgo al que está expuesto, a partir de la información de negocio de una organización; el ingreso de los datos de negocio es manual, pero a partir de esta información y de las fórmulas creadas como parte del trabajo, se logra calcular el riesgo de forma automática.

ABSTRACT

Currently small and medium organizations which know that there are security problems, do not implement security measures. On the one hand their budget is limited and the cost of implementing methodologies and security tools demand a considerable percentage of the budget. On the other hand, they do not perceive the advantages of such investment. Regardless of this situation, security issues have consistently increased every year, making these small companies increasingly vulnerable.

To meet the need of small and medium organizations in the Colombian context, a project started earlier proposed the construction of a simple methodology, leading companies to select security controls with a good cost / benefit ratio. This paper presents an extension of the mentioned project. The extension is the construction of a free tool to support the methodology. In addition, automation of some tasks is proposed to facilitate and accelerate its use.

As a result there is a completely free tool which only requires the installation of free software. This tool is capable of semi-automatically calculate the relevance of an asset and the risks it is exposed. The calculation is based on the information supply by the organization. Although the data entry is manual, from this information and formulas created as part of the work, calculate risk is automatic.

1

INTRODUCCIÓN

Hoy día la mayoría de organizaciones son conscientes de los problemas de seguridad de la información a los que están expuestas. Para mitigar o resolver los problemas, las compañías manejan metodologías e implementan controles de seguridad. Sin embargo, mientras la mayoría de compañías grandes evolucionan en esta dirección, la mayoría de compañías medianas y pequeñas en el ambiente Colombiano no perciben las ventajas y no adelantan procesos similares.

Esta percepción por parte de los gerentes y administradores de empresas medianas y pequeñas no corresponde a la realidad. Por ejemplo, de acuerdo con Symantec (Symantec, 2015), el objetivo del ataque Spear-Phishing en 2011 fue dirigido en un 18% a empresas pequeñas, esta cifra subió a 30% en 2013 y a 34% en 2014. Estos porcentajes indican que las empresas pequeñas también son objetivos interesantes para los atacantes, al fin y al cabo, estas empresas almacenan información propia, así como información de sus clientes. La Figura 1 muestra la evolución de los ataques Spear-phishing detectados por Symantec, clasificados de acuerdo con el tamaño de la empresa.

Figura 1. Distribución de ataques Spear-Phishing según el tamaño de la organización.

Adicionalmente, según (Verizon, 2015), aproximadamente el 25% de pérdidas de información se da en empresas pequeñas.

Se calcula que una violación de seguridad en una empresa pequeña cuesta 254$ por registro, mientras que en una empresa grande este costo disminuye a 9 centavos. Esto hace que una violación que comprometa 100 registros puede costar 25450$ (Verizon, 2015).

Verizon cataloga los ataques en 9 patrones y propone controles básicos para mitigar el riesgo asociado. La Tabla 1 muestra los patrones y los controles.

Id Patrón Descripción Control

1 Intrusiones POS (Point Of Sale)

Se atacan los equipos que ejecutan las aplicación para robar los datos de pago

Cumplimiento de (PCI DSS) Payment Card Industry Data Security Standard

2 Crimeware Uso del malware para entrar en el sistema

Mantener actualizados los antivirus y navegadores de internet

3 Ciberespionaje Un atacante infiltra en una organización para robar propiedad intelectual

Mantener actualizados los antivirus

4 Uso indebido de privilegios y origen interno

Los empleados hacen un uso indebido de sus privilegios

Conocer los privilegios de cada empleado y realizar auditorías detalladas

5 Ataques contra aplicaciones web

Uso de credenciales robadas o vulnerabilidades en las aplicaciones web

Analizar registros de aplicaciones web y bases de datos para buscar actividades maliciosas. Usar autenticación de dos pasos

6 Errores varios Errores relacionados con la información, llegando a manos equivocadas

Instalar software que prevenga la pérdida y publicación de información. Capacitaciones sobre la seguridad de la información

7 Robo y pérdidas físicas

Dispositivos físicos se ven comprometidos

Cifrar la información de los dispositivos

8 Skimmers de tarjetas de pago

Instalación de skimmer para clonar tarjetas de crédito/debito

Inspeccionar los terminales

9 Ataques de

denegación de servicio

Ataques masivos a un sistema para impedir su correcto funcionamiento

Bloquear el acceso a direcciones IP conocidas de botnets.

Tabla 1. Patrones en que (Verizon, 2015) clasifica los incidentes

De estos nueve patrones, las empresas pequeñas y medianas son susceptibles a los patrones 2, 3, 4, 5, 6, y 9. Incluso a los patrones 1 y 8, si manejan dispositivos electrónicos para recibir los pagos de sus clientes y no están atentos a las modificaciones malintencionadas que puedan sufrir dichos dispositivos.

Los controles propuestos en la Tabla 1 sirven como guía a empresas medianas y pequeñas para implementar elementos que mitiguen los riesgos de seguridad para sus empresas. Sin

embargo, es importante adelantar un análisis de riesgos que permita a este tipo de empresas concentrar el uso de sus recursos en los aspectos más importantes de su negocio.

Como las metodologías disponibles son costosas y muy diversas, se propone una metodología de análisis de riesgos y seguridad de la información apropiada para las MiPymes Colombianas (con un factor costo/beneficio apropiado a este contexto). La metodología ya fue definida y este trabajo plantea su continuación, con el diseño y programación de una herramienta que soporte dicha metodología, automatizando algunos elementos.

2

CONTEXTO

2.1 CONTEXTO

La metodología propuesta permite organizar y evaluar la seguridad en Pymes realizando un análisis de la situación actual de la organización para disminuir los incidentes de seguridad. Para esto, toma controles específicos que presentan una relación costo/beneficio acorde con las Pymes. Aunque se pretende prevenir los incidentes, es imposible protegerse completamente contra todos los incidentes de seguridad. La metodología se basa en el framework de análisis y controles propuestos por el Instituto Nacional de Estándares y Tecnologías de los Estados Unidos (NIST – National Institute of Standards and Technology).

2.2 NISTSP800-53

El instituto NIST maneja publicaciones especiales para difundir guías, recomendaciones y material de referencia sobre computadores, elementos cibernéticos, y seguridad de la información. La serie SP800 corresponde a temas relacionados con la seguridad de computadores, y la guía SP 800-53 presenta los Controles para Seguridad y Privacidad en Sistemas de Información y Organizaciones Federales (Security and Privacy Controls for Federal Information Systems and Organizations). Todas las guías de la NIST, incluyendo la guía mencionada se encuentran en el sitio web del instituto: http://csrc.nist.gov/publications/PubsSPs.html

La guía propone un conjunto exhaustivo de controles, clasificados en 18 familias. La Tabla 2 presenta las familias.

Identificador Familia

AC Control de Acceso (Access Control)

AT Entrenamiento y Concientización (Awareness and Training)

AU Auditoría y Responsabilidad (Audit and Accountability)

CA Valoración y Autorización (Security Assessment and Authorization)

CM Manejo de Configuraciones (Configuration Management)

CP Plan de Contingencia (Contingency Plan)

IA Identificación y Autenticación (Identification and Authentication)

IR Respuesta a Incidentes (Incident Response)

MA Mantenimiento (Maintenance)

MP Protección de Medios (Media Protection)

PE Protección Física y Ambiental (Physical and Environmental Protection)

PL Planeación (Planning)

PS Personnel Security (Seguridad del Personal)

RA Valoración del Riesgo (Risk Assessment)

SC Protección de Sistemas y Comunicaciones (System and Communications Protection)

SI Integridad de Sistemas e Información (System and Information Integrity)

PM Manejo de Programas (Program Management)

Tabla 2. Familias de Controles (NIST SP 800-53)

Sin embargo, considerar todos los controles presentados en la guía es una tarea de cierta complejidad y duración. Así que en un trabajo previo (Buitrago Caipa, Jiménez Becerra, & Rueda, 2014) se propuso seleccionar aquellos controles que representaran la relación costo/beneficio más ventajosa para las empresas Colombianas Medianas y Pequeñas.

2.3 ELEMENTOS RELEVANTES

La metodología para análisis de seguridad de la información en Pymes(Buitrago Caipa, Jiménez Becerra, & Rueda, 2014) adelantó un estudio crítico de la metodología y controles propuestos en la guía NIST SP 800-53, y seleccionó un subconjunto de elementos que presentan el mayor costo/beneficio para construir una metodología para MiPymes.

La metodología propuesta tiene cuatro etapas, tal como se ilustra en la Figura 2.

Figura 2. Etapas de la Metodología.

1. En la primera se pretende entender la situación actual de la organización identificando los procesos de negocio, actividades e infraestructura. En esta etapa se pretende realizar un organigrama de la organización determinando los objetivos de cada rol. Adicionalmente, se asigna una relevancia para el negocio a los procesos.

2. En la segunda se establecen los riesgos así como su impacto y posibilidad de ocurrencia. Al inicio de esta etapa se identifica los objetivos del análisis, el alcance, restricciones, fuentes

3. En la tercera etapa se evalúan los riesgos para decidir cómo manejarlos donde se presentan varias posibilidades tales como aceptar, transferir o mitigar. En este último caso se presentan varios controles acordes con la relación costo/beneficio adecuados para MiPymes.

4. En la cuarta etapa se plantean planes de recuperación en caso que un atacante logre concretar un riesgo.

El objetivo del proyecto presentado en este documento es diseñar e implementar una herramienta de software libre que soporte la metodología para MiPymes, en particular, se quiere evaluar la automatización de algunas tareas.

3

PROPUESTA

La automatización es un punto clave en la herramienta ya que es capaz de analizar toda la información más eficientemente que una persona. Esto además previene posibles errores humanos. Adicionalmente, la automatización hace que no sean necesarios conocimientos avanzados para el cálculo de impactos y probabilidades en los riesgos.

3.1 USO DE METODOLOGÍAS PARA DISEÑO DE LOS CONTROLES

La metodología permite tomar la información necesaria para tener una visión de la situación actual en cuestiones de seguridad de la organización. Con esta información es posible definir algunos controles acordes con la organización para ser integrados específicamente en esta.

Los controles no deben ser implementados de forma genérica sino de tal forma que se acople mejor a las necesidades de la organización.

3.2 DESCRIPCIÓN DE ALTO NIVEL

A continuación se presenta la lista de requerimientos funcionales que debe resolver una herramienta orientada a automatizar algunas de las tareas planteadas.

3.2.1 Requerimientos

A continuación se describen los requerimientos funcionales definidos para este proyecto:

Nombre Organigrama de la compañía - Cargos R1

Descripción Ingresar un cargo en la compañía con la posibilidad de especificar su objetivo y dependencias.

Entradas Nombre, objetivos y cargo del que depende Salidas Ver cada cargo, sus objetivos y dependencias

Nombre Organigrama de la compañía - Personas R2

Descripción Asignar una o más personas a un cargo

Entradas Cargo y nombre de la persona

Salidas

Nombre Procesos de negocio de la compañía R3

Nombre Infraestructura tecnológica de la compañía R4

Descripción 1. _2. Ingresar activos (equipos de cómputo, información) _{Ingresar las aplicaciones}

Entradas

1. Características (en equipos: hardware, firmware y software). Preguntas según tipo de activo.

2. Nombre

Salidas Ver toda la infraestructura tecnológica

Nombre Infraestructura tecnológica de la compañía - Asociaciones R5

Descripción 1._2. Ingresar conexiones entre equipos _{Ingresar asociaciones entre procesos de negocio y aplicaciones}

Entradas 1._2. Equipo 1 – equipo 2 _{Proceso - Aplicación}

Salidas Ver las dependencias de las aplicaciones

Nombre Riesgos de la compañía – Fuentes de amenazas R6

Descripción Ingresar una fuente amenaza Entradas Nombre, descripción, posibilidad

Salidas Ver las fuentes de amenazas

Nombre Riesgos de la compañía - Amenazas R7

Descripción Ingresar una amenaza

Entradas Nombre, fuente, descripción

Salidas Ver las amenazas

Nombre Riesgos de la compañía R8

Descripción Ingresar un riesgo

Entradas Activo, vulnerabilidad, amenaza, posibilidad (pre calculada)

Salidas Ver los riesgos

Nombre Riesgos de la compañía - Acciones R9

Descripción Asociar una acción a un riesgo

Entradas Riesgo – acción (aceptar, evitar, mitigar, transferir)

Nombre Riesgos de la compañía - Controles R10

Descripción Asociar un control a un riesgo

Entradas Riesgo – tipo de control

Nuevo riesgo asociado

Salidas Ver los riesgos

Nombre Agregar familia de controles R11

Descripción Ingresar una nueva familia de controles

Entradas Nombre, descripción

Salidas Familias de controles

Nombre Agregar controles R12

Descripción Ingresar un control a una familia de controles Entradas Familia, nombre, descripción

Salidas Familias de controles

Tabla 3. Identificación de Requerimientos Funcionales.

3.3 ARQUITECTURA DE LA SOLUCIÓN

Para el desarrollo de la herramienta se escogió el patrón Modelo – Vista – Controlador como se especifica a continuación.

3.3.1 Modelo

Esta sección describe el modelo conceptual, en lenguaje UML, de la herramienta.

Dado el alto número de entidades se decidió dividirlas conceptualmente en pequeños módulos más simples. Los módulos identificados se presentan a continuación.

3.3.1.1 Características

Una característica representa una cualidad de los activos. Sin embargo, existen otros elementos como las actividades y los riesgos que tienen características especiales tales como relevancia en el caso de las actividades y posibilidad e impacto en el caso de los riesgos. Un ejemplo de característica en un activo de infraestructura es el sistema operativo.

tomó la decisión de usar enteros entre 1 y 5 para modelar este aspecto. El número 5 significa el valor máximo mientras que el número 1 es el menor.

Figura 3. Representación de las características

La Figura 3¡Error! No se encuentra el origen de la referencia. muestra cómo se representan las características que pueden tener relacionados varios elementos, tales como los activos y las actividades.

3.3.1.2 Activos

Un activo representa un elemento esencial para llevar a cabo los procedimientos de negocio. Los tipos de activos considerados son: usuario, infraestructura, aplicación e información.

Cada tipo de activo tiene definidas un conjunto de características posibles. Por ejemplo, un activo de tipo “Infraestructura” puede tener asociada una característica “Sistema Operativo”, y esta característica a su vez tiene varias posibles respuestas. Si se manejara un activo “Servidor Central”, este tendría asociada una de las respuestas posibles para la característica sistema operativo, como “Linux”.

La Figura 4 muestra cómo se representan los activos. Cada tipo de activo tiene asociada una serie de características posibles que deben tener sus activos. Estos activos tienen la información de esta característica en su respuesta asociada.

Figura 4. Representación del módulo de activos

3.3.1.3 Procesos de negocio

En la Figura 5 se muestra como se representan la parte de negocio. La unidad más grande es el proceso de negocio que se compone de varias actividades. Estas actividades tienen un cargo responsable, que a su vez, tienen activos asociados, en este caso estos activos son únicamente de tipo “Usuario” para representar que personas tienen este cargo. Adicionalmente la actividad tiene activos asociados que la soportan y una respuesta a la característica específica “Relevancia”.

tiene vulnerabilidades y amenazas supone un riesgo para la organización, en la medida en que el activo sea relevante.

La Figura 6 muestra cómo se representan los riesgos. Cada activo tiene asociado sus vulnerabilidades y amenazas. Los riesgos tienen un activo asociado, el cual se usará para calcular el impacto y posibilidad según sus vulnerabilidades, amenazas y actividades asociadas. Las fuentes de amenaza tienen asignado un peso para representar la probabilidad que una amenaza de esa fuente ocurra.

Adicionalmente, cada riesgo tiene un control mediante el cual se maneja como se verá a continuación.

3.3.1.5 Controles

Cuando un riesgo es peligroso en términos de impacto y posibilidad es posible que la organización decida establecer un control para evitar que el riesgo se materialice. Estos controles están organizadas en familias de controles.

La Figura 7 muestra cómo se representan los controles. Cada familia de controles tiene asociadas varios controles que a su vez están asociados con su respectiva familia. Adicionalmente, un riesgo puede tener asociado el control con el cual la organización decidió manejarlo.

3.3.1.6 Herencia

Para manejar el comportamiento común de todos los elementos se decidió crear una clase abstracta que unificara los métodos básicos de todos los elementos.

En la Figura 8 se puede ver que todas las clases tienen el mismo comportamiento en cuanto todas tienen un nombre, una descripción y un id en la base de datos. Este comportamiento se unificó bajo la clase Element. Por otro lado, la interfaz IContainer modela las relaciones estableciendo los elementos que una clase debe retornar. Esta interfaz define un número de asociaciones diferentes que tiene el elemento (getNumberAsociaciones) y que deben ser retornadas (getElements).

Como ejemplo se tomará la clase activo que tiene 4 asociaciones, por lo que el método

getElements, usando como parámetro enteros del 0 al 3, retornará las características, actividades,

3.3.2 Vista

En esta sección se presentan las diferentes ventanas que utiliza la herramienta.

3.3.2.1 Interfaz principal

La interfaz permite ver en forma de árbol los elementos de cada módulo junto a sus atributos. En el menú superior es posible agregar y asociar los diferentes elementos. Adicionalmente, en cada pestaña de módulo también es posible agregar y asociar los elementos mostrados. Por ejemplo, la Figura 9 presenta la información del módulo de características donde se presenta el nombre de las características y su descripción. En el caso de las respuestas se muestra el nombre y la característica asociada. Adicionalmente se muestra el valor que cada característica y respuesta tiene.

3.3.2.2 Ventana agregar

Esta ventana está compuesta por la información básica de un elemento, tales como nombre y descripción y campos específicos que se agregan dinámicamente, como el valor de la característica y sus respuestas. Esta ventana es la misma para agregar cualquier elemento, sin embargo, se adapta dinámicamente según el elemento a agregar mostrando paneles de respuestas, características o actividades.

En la Figura 10 se presenta como se agrega la característica “Sistema operativo” con valor 3. Se muestran 3 respuestas y sus respectivos valores que serán asociadas a la característica, sin embargo, es posible agregar más con el botón “+” del centro.

Figura 10. Ventana para agregar elementos.

3.3.2.3 Ventana Asociar

Esta ventana permite seleccionar el elemento a asociar y el tipo de elemento con el que se desea asociar. En el panel superior se muestran los elementos para asociar y en el panel inferior con los que ya está asociado.

En la Figura 11 se muestra como se asocia el activo “Ricardo” con amenazas. Las amenazas con las que el activo no se encuentra actualmente asociado se muestran en el panel superior mientras la amenaza con la que ya está asociado se encuentra en el panel inferior.

4

IMPLEMENTACIÓN

4.1 HERRAMIENTAS

Para la implementación de la herramienta se seleccionó el lenguaje de programación Java por su licencia gratuita. Para el desarrollo en Java se utilizó Eclipse como entorno de desarrollo.

Para la persistencia de los datos, se escogió PostgreSQL [http://www.postgresql.org/] en su versión 9.4.4 debido a su licencia Open Source y sus drivers nativos para Java.

4.2 FLEXIBILIDAD

Para mejorar la flexibilidad de la herramienta se diseñó de tal manera que fuera posible agregar características fácilmente a los activos sin necesidad de modificar la aplicación como se ve en la sección 3.3.1.2.

Figura 12. Modelo relacional módulos Activos y Características

La Figura 12. Modelo relacional módulos Activos y CaracterísticasFigura 12 muestra cómo están relacionados los tipos de activos, activos, características y respuestas en la base de datos. Existen dos tablas puente para modelar las relaciones entre tipos de activos y características y entre activos y sus correspondientes respuestas.

4.3 MODIFICABILIDAD

Para agregar elementos, se utilizó una única ventana dinámica que cambia dependiendo lo que se quiere agregar de tal forma que no sea necesario una ventana diferente por cada elemento como se puede ver en la sección 3.3.2.2. Esto ya que, en caso de querer modificar una ventana, conllevaría a modificar más de 10 clases para no perder la similitud entre todas.

Se definió un panel maestro para mostrar la información de los módulos y se creó un panel que hereda del maestro para implementar las particularidades de cada módulo como se ve en la sección 3.3.2.1.

4.4 ARCHIVO DE CONFIGURACIÓN

Existe un archivo de configuración que es necesario que exista en una carpeta llamada configs. En este archivo se requieren las siguientes propiedades:

DB.DRIVER: Paquete donde se encuentra el driver de la base de datos. Ej. org.postgresql.Driver

DB.USER: Usuario con privilegios para crear bases de datos. Ej. postgres

DB.PASS: Contraseña del usuario

DB.IP: IP donde se encuentra la base de datos. Ej. 192.168.1.100 ó localhost

DB.PORT: Puerto en que la base de datos escucha. Ej. 5432

DB.NAME: Nombre de la base de datos. Ej. Securer

DEBUG: (Opcional). Exportar los errores a archivos de texto. Ej. TRUE, FALSE

Es muy importante almacenar el archivo de configuración de tal manera que solo pueda ser leído por el usuario ya que en este se muestra en texto plano la contraseña a la base de datos.

4.5 AUTOMATIZACIÓN DE TAREAS

Antes de analizar las tareas que esta representación permite automatizar hay ciertos aspectos que considerar.

4.5.1 Consideraciones

Peso de las fuentes de amenazas en el análisis de riesgo: se distribuyó un valor de 10 entre las tres posibles fuentes, para representar qué tan probable es que ocurran. Asignando los siguientes valores: una fuente deliberada 7/10, accidental 2/10, y natural 1/10. Se eligieron estos valores debido a que no todas las fuentes de amenazas se presentan con la misma frecuencia y probabilidad. Por esto, la fuente deliberada es la más factible mientras que la accidental y natural son menos probables. Es importante tener en cuenta que es posible adicionar más fuentes de amenazas por lo que no es obligatorio que la suma de los pesos sea 10. Debido a esto, en la Fórmula 2 se hace referencia a un “Peso Máximo” y no a 10.

Para las siguientes fórmulas se tendrán en cuenta los siguientes conjuntos: A: Actividades relacionadas con un activo

F: Fuentes de amenaza

T: Amenazas relacionadas con un activo V: Vulnerabilidades

4.5.2 Relevancia de un activo

Para llevar a cabo el cálculo de la relevancia que tiene un activo se usa la ¡Error! No se encuentra el origen de la referencia..

𝑅𝑒𝑙𝑒𝑣𝑎𝑛𝑐𝑖𝑎 𝑑𝑒𝑙 𝑎𝑐𝑡𝑖𝑣𝑜 = 𝑅𝑒𝑑𝑜𝑛𝑑𝑒𝑎𝑟 (

∑

𝑎

La relevancia de cada una de las actividades es un número entre 1 y 5. El resultado será un entero entre 1 y 5, con 5 representando la relevancia más alta posible.

4.5.3 Impacto de un riesgo

Para automatizar el cálculo del impacto sobre las actividades de una organización, si un riesgo se materializa, se decidió bajar el cálculo a nivel de activos y así poder usar la relevancia de los mismos.

4.5.4 Posibilidad de un riesgo

Para calcular la posibilidad de que un riesgo se materialice es necesario dimensionar la probabilidad de explotación de una amenaza. La ¡Error! No se encuentra el origen de la referencia. presenta los elementos considerados para automatizar el cálculo.

𝑃𝑟𝑜𝑏𝑎𝑏𝑖𝑙𝑖𝑑𝑎𝑑 𝑑𝑒 𝑒𝑥𝑝𝑙𝑜𝑡𝑎𝑐𝑖ó𝑛 𝑙𝑎𝑠 𝑎𝑚𝑒𝑛𝑎𝑧𝑎𝑠

= 𝑅𝑒𝑑𝑜𝑛𝑑𝑒𝑎𝑟 (

∑

𝒇

|𝒕| ∗ 𝑷𝒆𝒔𝒐 𝑴á𝒙𝒊𝒎𝒐

)

Fórmula 2. Probabilidad de explotación de las amenazas asociadas con un activo.

Por cada amenaza asociadas con un activo, sumatoria de los pesos de las fuentes de la amenaza dividido la sumatoria de los pesos de todas las fuentes y se redondea. El dividendo corresponde al peso máximo que puede tener una amenaza.

El resultado (P) será un entero entre 1 y 5.

Adicional a este cálculo, se toma el número de vulnerabilidades que tiene el activo y se hace un promedio geométrico. Se usa el promedio geométrico para que el resultado no sea tan sensible a los casos extremos.

𝑃𝑜𝑠𝑖𝑏𝑖𝑙𝑖𝑑𝑎𝑑 = √𝑃 ∗ |𝑉|

5

EVALUACIÓN

Presentación general de los aspectos que serán evaluados

5.1 VENTAJAS Y LIMITACIONES

Es una herramienta completamente gratuita que al estar desarrollado en Java, es posible ejecutar en cualquier sistema operativo con JVM (Java Virtual Machine). La herramienta solo requiere la instalación de la base de datos para funcionar. Una vez instalada esta, es capaz de ejecutarse en cualquier equipo conectándose a esa base de datos.

Actualmente la herramienta permite fácilmente adicionar elementos mediante una única ventana que se adapta según el elemento a agregar. Una vez agregados es posible crear relaciones entre estos para mejorar los cálculos. Una vez relacionados es posible ver la información relacionada rápidamente con la vista jerárquica en forma de árbol que presenta la interfaz principal.

Los cálculos que la herramienta realiza son una gran ventaja ya que reduce el tiempo necesario de análisis del riesgo, además que al estar automatizado se evitan errores y previene omitir algún elemento por descuido.

La información se guarda en una base de datos, lo que permite que no sea necesario un archivo con la información de la aplicación. Únicamente es necesario tener el archivo de configuración para conectarse a la base de datos.

Una de sus limitaciones es la búsqueda de información en caso de tener mucha información ingresada ya que no existe un buscador ni es posible ordenar los elementos de forma diferente a la predeterminada.

Las características de los activos no se utilizan para el cálculo, sin embargo, se espera que en siguientes iteraciones se use esta información.

5.2 TRABAJO RELACIONADO

Esta sección presenta dos herramientas desarrolladas con objetivos similares a los planteados para la propuesta presentada en este documento, revisando diferencias, ventajas y desventajas.

5.2.1 EAR

Esta herramienta cuenta con 4 versiones (Pilar, 2015). 1. μPILAR

Es la versión más básica y permite realizar análisis de riesgos en confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad. Esta versión tiene un costo de 250€. 2. PILAR Basic

Esta versión está especialmente diseñada para Pymes. Adicional a la anterior, propone “salvaguardas” para tratar los riesgos. Esta versión tiene un costo de 500€.

3. PILAR

Esta versión propone tratar los riesgos adicionalmente con normas de seguridad y procedimientos de seguridad. Además cuenta con análisis BIA (Business Impact Analysis) por el cual se analizan las interrupciones en los procesos de negocio y su costo. El costo de esta versión es de 1500€ y 500€ adicionales por el soporte de base de datos.

4. RMAT (Risk Management Additional Tools)

Esta versión está destinada para consultores y grandes organizaciones y permite personalizar perfiles de protección y amenazas y otras protecciones sobre determinados tipos de activos. El costo de esta versión es de 3000€.

Esta herramienta se soporta principalmente en archivos para almacenar la información. El costo de estas herramientas es un inconveniente, por lo que estaría fuera del alcance de muchas PYMES Colombianas

5.2.2 GlobalSuite

Esta herramienta es una suite para gestionar la seguridad de una organización ayudando a obtener y mantener varias certificaciones tales como la ISO 27001 (Sistema de Gestión de Seguridad de la Información) y 31000 (Gestión del Riesgo) entre otras (GlobalSUITE, 2015).

Se presenta como una suite por módulos para adaptarse a las necesidades de la organización, entre las funciones de estos módulos se encuentran gestión del riesgo, seguridad de la información y el análisis BIA (Business Impact Analysis). Adicionalmente se ofrece la posibilidad de adquirirse como SaaS (Software as a Service) para reducir costos. El costo de esta herramienta no es fijo ya que depende de las necesidades de la organización.

La principal ventaja de esta herramienta es la facilidad para obtener certificaciones internacionales como ISO 22301, ISO 27001, ISO 31000 e ISO 20000 y su alta integración con la organización.

Como en el caso anterior, es una herramienta que tiene costo, y como consecuencia estará fuera del alcance de muchas PYMES Colombianas.

6

CONCLUSIONES

6.1 CONCLUSIONES

Las Pymes actualmente no tienen como una prioridad la seguridad, haciéndolas un blanco muy fácil para un atacante. Junto a esto está el hecho que los ataques han incrementado en los últimos años en número y en sofisticación haciéndolas cada vez más vulnerables.

Por esto, se diseñan diferentes metodologías para que las organizaciones se protejan y tomen algunas precauciones. Sin embargo, seguir estas metodologías no es barato, por lo que se propone una herramienta que sigue una metodología fácil de seguir a un costo que una Pyme se puede permitir.

Para facilitar el trabajo del administrador que usa la herramienta es importante la automatización de tantas tareas como sea posible. Actualmente se automatiza el cálculo del riesgo que es el más complejo debido a todas las relaciones que un activo puede tener, como sus características, actividades, vulnerabilidades y amenazas.

6.2 TRABAJO FUTURO

Para siguientes iteración sería útil:

1. Clasificación de las vulnerabilidades según el tipo de activo.

Esto ayudaría a filtrar las vulnerabilidades a la hora de asociar un activo ya que no todos los tipos de activos son susceptibles a todas las vulnerabilidades.

2. Análisis BIA (Business Impact Analysis).

Con la información actual sobre la relevancia de las actividades, establecer el RTO (Recovery Time Objective) de cada proceso de negocio y el RPO (Recovery Point Objective). Adicionalmente, recopilar información para calcular el impacto financiero que habría si se materializa un riesgo.

3. Asociar una característica a una vulnerabilidad.

Generalmente las características de un activo las hacen más o menos vulnerables. Asociar esa característica a esa vulnerabilidad facilitaría el trabajo del administrador. Adicionalmente es posible automatizar algún cálculo con la ayuda de las características. 4. Proteger la contraseña del archivo de configuración

Como se especificó en la sección 4.4, la contraseña para acceder a la base de datos se encuentra en texto plano por lo que sería importante proteger esta información.

REFERENCIAS

Buitrago Caipa, C. A., Jiménez Becerra, L. M., & Rueda, S. J. (2014). Metodología para Análisis de

Seguridad de la Información en PYMES. Bogotá.

GlobalSUITE. (26 de 12 de 2015). GlobalSUITE | Software Integral de Sistemas de Gestión |

Software ISO. Obtenido de

http://www.globalsuite.es/es/productos-globalsuite/productos-globalsuite.html

Pilar. (15 de 12 de 2015). EAR - Herramientas para el Análisis de Riesgos. Obtenido de http://www.pilar-tools.com/es/index.html

Symantec. (2015). Internet Security Threat Report. Mountain View. Obtenido de https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-20-2015-social_v2.pdf

Verizon. (2015). 2015 Data Breach Investigations Report. Basking Ridge. Obtenido de http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigation-report-2015_en_xg.pdf