Aporte3_fase 2. Desarrollar El Analisis de Riesgos.

PROGRAMA:

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA CURSO:

MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA TRABAJO

FASE 2. DESARROLLAR EL ANÁLISIS DE RIESGOS PRESENTADO POR

RUTH YADIRA MOSQUERA PARRA CÓDIGO 35604928

CURSO 233002A_360

PRESENTADO A

ING. SALOMÓN GONZÁLEZ

INTRODUCCIÓN

La seguridad informática, en el trascurso de los años, se ha convertido de mayor prioridad para las organizaciones mediante el manejo de las TIC; ayudando a una mejor prestación de servicios a las empresas y ciudadanos, implementando políticas, procedimientos y métodos con el cual se salvaguarda los principios de la seguridad, CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD.

Para ello es importante implementar los modelos y estándares de la información, ya que con estos se podrá encontrar los Lineamientos, Políticas, Normas, Procesos, que ayudara a manejar, controlar e implementar, las estrategias para un correcto funcionamiento, pero todo esto se logra con el apoyo constante de la alta gerencia, lo que ayuda a incentivar a los involucrados a buen manejo y aplicación de los sistema para contrarrestar la vulnerabilidad a la información.

Hoy en día las empresas a través de modelos, estándares y normas pueden establecer y definir un patrón en sus organizaciones con la finalidad de crear procesos, procedimientos y estrategias para un manejo adecuado de la información y su tratamiento; es así como se puede establecer una adecuada protección de todos los activos que componen la tecnologías de la información y comunicaciones y por ende cumplir con la misionalidad y objetivos de la organización.

Por todo lo anterior y teniendo más clara la perspectiva general de la materia, así como el estudio y revisión del, modulo y actividades; se da la posibilidad de presentar en este trabajo colaborativo, mediante el análisis de riesgos para las actividades sugeridas para una Pymes y determinar a través de unos aportes grupales la importancia definiendo cada punto planteado.

Este trabajo es realizado teniendo en cuenta la metodología de MAGERIT, debido a que hay varios acercamientos al problema de analizar los riesgos soportados por los sistemas TIC, Como pueden ser guías informales, aproximaciones metódicas y herramientas de soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los sistemas.

Es por ello que en MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista, por lo que en la Planificación del Análisis del Riesgos se establecen las consideraciones necesarias para arrancar este tema en la empresa.

OBJETIVOS

1. identificar una PYME (pequeña o mediana empresa)

2. Realizar el análisis de riesgos basado en La metodología MAGERIT de la empresa escogida.

3. Reconocer de los diferentes métodos para el Análisis de Riesgos en relación a la empresa.

4. Realizar el levantamiento de los activos de información que posee la empresa.

5. Realizar el plan de tratamiento de los riesgos con base en la norma ISO 27001: 2013

SITUACIÓN PLANTEADA

1. El grupo colaborativo identificará una PYME (pequeña o mediana empresa) y determinará para la empresa en cuestión los siguientes aspectos:

2. Levantamiento de Información: Realizar el levantamiento de los activos de información que posee la empresa.

3. Análisis de riesgos: Realizar el análisis de riesgos con base en la metodología MAGERIT.

4. Plan de Tratamiento de Riesgos. Se debe realizar el plan de tratamiento de riesgos con base en la norma ISO 27001: 2013.

DESARROLLO DEL PLANTEAMIENTO

1.- La empresa que tomaremos como ejemplo para el desarrollo de la actividad se llama Hablemos de Salud SAS. Es una empresa que se encuentra en la ciudad de Bogotá. Es una empresa que trabaja prestando servicios de salud inicialmente de oftalmología, y tiene aproximadamente 30 empleados. Esta empresa Cuenta con activos informáticos como datos, e información de los pacientes, cuenta con una infraestructura acorde con el desarrollo de las actividades tales como equipos médicos, estructura de red, planta telefónica entre otras.

2.- LEVANTAMIENTO DE LOS ACTIVOS DE INFORMACIÓN QUE POSEE LA EMPRESA.

TIPO

ACTIVOS

Servicios

La empresa Hablemos de salud presta servicios de oftalmología, exámenes diagnósticos y servicio de parqueadero Datos/

Información

Reglamento interno de trabajo, procesos, formatos, Código Fuente: páginas web de la empresa

Código Ejecutable: historias clínicas, agenda

Aplicaciones (Software)

Programas, aplicativos, desarrollos: Historia Clínica, Agenda, Páginas Web, firewall, sistemas operativos (Windows), programa de control de acceso, Windows server 8

Equipos informáticos Computadores, servidor, planta telefónica, _{cámaras de seguridad, equipos médicos} Hardware Impresoras, teléfonos, datafonos, cito fonos Redes de Comunicaciones

Red Local Internet

Red telefónica Red inalámbrica Soportes de Información Memorias USB

Discos duros Instalaciones Edificio HDS

Personal Administrador del sistema y Desarrolladores de páginas web

Análisis de Riesgos Empresa Hablemos de Salud SAS.

Según la metodología Magerit el primer paso en el análisis de riesgos contempla el inventario de activos.

Recepción Edificio HDS

N° Descripción Finalidad Categoría Criticidad

2 computadores Dell Recepción de _Pacientes Hw, Sw, SI Alto

1 Cámara fotográfica Tomar foto de Pacientes que ingresen al edificio Hw Alto 1 Lector de Huella Toma huella de pacientes que ingresen al edificio Hw Alto 1 Pantalla Proyectar presentaciones acerca de la Salud Hw Alto

1 Teléfono _{interna y externa}Comunicación Hw Alto

1 Citófono Comunicación _ascensor Hw Alto

Servicio de ACG

N° Descripción Finalidad Categoría Criticidad

2 computadores Uso de _Enfermera Hw, Sw, SI Alto 1 teléfono comunicación _{Externa e interna} Hw Medio

1 Tonómetro Toma Presión

intraocular de ojo Hw, Sw, SI Alto

1 Campo Visual Realzar examen

Servicio de Parqueadero

N° Descripción Finalidad Categoría Criticidad

1 computador uso del

acomodador Hw, Sw, SI Alto 1 datafono Transacciones es _{en línea} Hw, Sw, Si Alto

1 impresora Imprimir recibos Hw Alto

Servicio Alta Visión Recepción

N° Descripción Finalidad Categoría Criticidad

3 Computadores Dell Servicio al cliente Hw, Sw, SI Alto

1 impresora Impresiones de _recibos Hw medio

3 teléfonos Comunicación _{externa o interna} Hw medio 1 datafono Transacciones es _{en línea} Hw, Sw, Si Alto

Preconsulta

N° Descripción Finalidad Categoría Criticidad

7 computadores LG Realización de exámenes oftalmológicos Hw, Sw, SI Alto 2 diademas Comunicación externa Hw medio

2 cámaras de Segmento_Anterior Realiza examen_{para pacientes} Hw, Sw, SI Alto

1 Topógrafo Realizar Examen_{de Cornea} Hw Alto

1 Campimetro Realizar Examen_{de campo Visual} Hw Alto 1 Optec 6500 _{de agudeza visual}Realizar Examen Hw Alto

1 Optec 5000

Evalúa el grado del contraste que

puede ver un paciente

Hw Alto

contacto Intraocular

1 Cámara Retinal Realizar Examen_{de fondo de ojo} Hw Alto

Educación

N° Descripción Finalidad Categoría Criticidad

2 computadores HP

Servicios de Educación para

pacientes Hw, Sw, SI Alto 2 mini computadores HP Presentación devideos de

educación

Hw, Sw, SI Medio

2 Teléfonos Comunicación_{con Pacientes} Hw Medio

1 impresora Samsung Impresiones deFormulas medicas

Hw Alto

Oftalmología

N° Descripción Finalidad Categoría Criticidad

4 computadores HP _{Oftalmología}Servicios de HW,SW, SI Alto 1 lámpara de Hendidura

Uso del Doctor para revisar el ojo del paciente

HW,SW, SI Alto

1 Tonómetro

Uso del Doctor para revisar el ojo del paciente

Hw Alto

1 oftalmoscopio indirecto

Evalúa el

segmento anterior

del ojo Hw Medio

1 pantalla visión Uso para paciente HW,SW, SI Medio

Servicio de Procedimientos

menores

N° Descripción Finalidad Categoría Criticidad

1 computador LG Uso del doctor revisión de historia clínica

1 Lámpara de hendidura Realiza procedimientos menores Hw Alto 1 Yag laser Realiza procedimientos menores Hw Alto 1 SLT laser Realiza procedimientos menores Hw Alto Administración

N° Descripción Finalidad Categoría Criticidad

7 computadores Uso de _{administrativos} Hw, Sw, Si Alto

3 impresoras impresión varias Hw Medio

5 teléfonos comunicación _{externa e interna} Hw Medio

Gerencia General

N° Descripción Finalidad Categoría Criticidad

2 Computadores uso del gerente Hw, Sw, Si Alto

1 impresora impresiones

Varias Hw, Sw, Si Medio

1 teléfono Comunicación _{Externa e interna} Hw Medio

1 televisor reuniones Hw Medio

Tinking Room

N° Descripción Finalidad Categoría Criticidad

4 computadores uso de

administrativos Hw, Sw, Si Alto

2 impresoras Impresiones_varias Hw Alto

1 televisor Capacitaciones Hw Medio

1 teléfono comunicación

Edificio

N° Descripción Finalidad Categoría Criticidad

60 cámaras de seguridad Vigilar el edificio_{y sus alrededores} Hw, Sw, SI Alto 6 alarmas de seguridad

Seguridad de

Edificio Hw, Sw, SI Alto

Cuarto de Servidores

N° Descripción Finalidad Categoría Criticidad

1 servidor Proyectar toda la información a la empresa Hw, Sw, SI Alto 1 Amplificador Proyectar la música en todo el Edificio Hw Medio

Red local Comunicación de

carpetas locales Hw, SW, SI Alto Internet Comunicación

Externa Hw, SW, SI Alto

Red Telefónica Comunicación _externa Hw, SW, SI Alto

Soporte de información

N° Descripción Finalidad Categoría Criticidad

Memorias Guardar la información Hw Medio USB Guardar la información Hw Medio Discos duros Guardar la información Hw Alto Personal

N° Descripción Finalidad Categoría Criticidad

1 Persona Administrador _{del Sistema} Persona Alto

Información

N° Descripción Finalidad Categoría Criticidad

Base de datos Almacenar información Pacientes Sw Alto Leyes o reglamentos El reglamento interno del trabajo de la institución Sw Alto

Código Fuente Páginas Web Sw Alto

Código Ejecutable Historia Clínica, _Agenda Sw Alto

Servicio Exámenes Diagnósticos

N° Descripción Finalidad Categoría Criticidad

7 computadores uso de Enfermera para realizar exámenes médicos HW,SW, SI Alto

6 impresoras ExámenesImprimir Médicos

Hw Medio

1 Teléfono Comunicación _{con pacientes} Hw Medio

1 datafono Transacciones es _{en línea} Hw, Sw, Si Alto

1 Campo visual

Realiza el examen de

Campo visual Hw, Sw, Si Alto 1 Pentacam Realiza el examen de

paquimetría

Hw, Sw, Si Alto

1 OCT Realiza el _{examen de OCT} Hw, Sw, Si Alto

1 Tracey Realiza el _{examen de} Hw, Sw, Si Alto

1 tonómetro Realiza la toma

de presión de ojo Hw, Sw, Si Alto

1 BFA

Realiza la toma de presión

1 Citófono Comunicación desde recepción hasta el consultorio Hw Alto

3. ANÁLISIS DE RIESGOS: REALIZAR EL ANÁLISIS DE RIESGOS CON BASE EN LA METODOLOGÍA MAGERIT.

El análisis de riesgos se llevó a cabo en la empresa Hablemos de Salud SAS, para esto se utilizó la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT) en su versión 3.0, que dispone de cinco fases y de la cual se creyó pertinente el uso de cuatro de ellas, las cuales son: establecer los activos para la organización, determinar a qué amenazas están expuestos los activos, apreciar el impacto y el riesgo.

En la primera fase se establecieron los activos relevantes de la empresa Hablemos de Salud SAS, logrando un inventario actualizado del hardware y el software, los procesos de la empresa por área, las dependencia que tienen los activos, el análisis y el levantamiento de la información.

En la segunda fase identificaremos las posibles amenazas que se pueden presentar en los activos, como acontecimientos que pueden ocurrir causando daños y perjuicio para los activos de la empresa.

IDENTIFICACIÓN DE AMENAZAS SOBRE CADA ACTIVO

Representan los diferentes riesgos a que están expuestos los activos de información de la empresa Hablemos de Salud SAS y el factor de dicho riesgo.

TIPO DE RIESGO

FACTOR

Robo de información Alto Accesos no autorizados Alto Alteración de información Alto

Fallas en los equipos Medio

Virus Informáticos Medio

Equivocaciones Medio

Fraude Bajo

Fuego Muy Bajo

Terremotos Muy Bajo

Inundaciones Muy bajo

Vandalismo Muy bajo

Tabla No.1 Factor de riesgo

NIVELES DE RIESGOS

Para encontrar los niveles de riesgo en la empresa hablemos de Salud SAS, debemos identificar el factor de probabilidad de materialización de las amenazas.

PROBABILIDAD DE OCURRENCIA

Medio 2

Alto 3

Tabla No.2. Probabilidad de ocurrencia de una amenaza

IMPORTANCIA DEL RIESGO.

Mide la importancia de riesgo para la empresa hablemos de Salud SAS, en caso de llegarse a materializar.

IMPORTANCIA DEL RIESGO

Bajo 1

Normal 2

Alto 3

Crítico 4

Tabla No. 3. Factor de importancia del riesgo

NIVEL DE RIESGO = IMPORTANCIA DEL RIESGO * PROBABILIDAD DE RIESGO Criticidad del riesgo

Se mide de acuerdo al factor de nivel de riesgo, sea este bajo, medio, alto o crítico, entre unos rangos establecidos.

RANGO INFERIOR

NIVEL DEL RIESGO

RANGO SUPERIOR

3>= Medio <=6

6>= Alto <=9

9>= Crítico <=12

Tabla No. 4. Criticidad del riesgo.

RIESGO ACTIVO AFECTADO PROBABILI

DAD IMPORTANCIA DEL RIESGO NIVEL DEL RIESGO Hurto Aplicaciones (Software) 2 4 7 Equipos informáticos 1 6 10 Hardware 1 2 5 Redes de Comunicaciones 1 2 8 Soportes de Información 2 4 5 Acceso no autorizado Datos/ Información 2 3 9 Aplicaciones (Software) 2 3 12 Equipos informáticos 2 3 11 Hardware 2 2 5 Redes de Comunicaciones 2 3 8 Soportes de Información 2 3 4 Instalaciones 2 3 5 Alteración de información Datos/ Información 2 4 9 Aplicaciones (Software) 2 4 10 Equipos informáticos 2 4 12 Redes de Comunicaciones 2 4 8 Soportes de Información 2 4 5 Fallas en los equipos Aplicaciones (Software) 3 3 9 Equipos informáticos 3 2 11

Hardware 3 2 5 Redes de Comunicaciones 3 2 3 Soportes de Información 3 1 3 Terremotos Servicios 1 4 5 Datos/ Información 1 2 4 Aplicaciones (Software) 1 4 Equipos informáticos 1 4 4 Hardware 1 2 3 Redes de Comunicaciones 1 2 4 Soportes de Información 1 2 2 Instalaciones 1 2 4 Personal 1 3 5 Inundaciones Servicios 1 4 4 Datos/ Información 1 2 4 Aplicaciones (Software) 1 3 3 Equipos informáticos 1 4 4 Hardware 1 4 4 Redes de Comunicaciones 1 4 4 Soportes de Información 1 2 3 Instalaciones 1 3 4 Personal 1 3 4 Datos/ Información 1 4 4 Aplicaciones (Software) 1 2 2 Equipos informáticos 1 3 3 Hardware 1 3 3 Redes de Comunicaciones 1 3 3 Soportes de 1 3 3

Vandalismo Información Datos/ Información

1 3 3

Instalaciones 1 3 3

Tabla No. 5. Nivel de riesgo

ANÁLISIS Y EVALUACIÓN DE LOS RIESGOS

Los riesgos se clasifican por su nivel de importancia y por la severidad de su impacto: • Estimación del riesgo de pérdida del recurso (Ri)

• Estimación de la importancia del recurso (Ii)

Para la cuantificación del riesgo de perder un recurso de la Hablemos de Salud SAS, es posible conceder un valor numérico de 0 a 10, tanto a la importancia del recurso (10 es el recurso de mayor importancia) como al riesgo de perderlo (10 es el riesgo más alto).

Para el análisis de riego de pérdida del recurso, utilizaremos las siguientes tablas:

RECURSO ESTIMACIÓN DEL RIESGO DEPERDIDA DEL RECURSO (Ri)

Datos/ Información 8 Aplicaciones (Software) 9 Equipos informáticos 9 Hardware ₂ Redes de Comunicaciones 5 Soportes de Información 2

RECURSO

ESTIMACIÓN DEL RIESGO DE ACCESO NO AUTORIZADO AL RECURSO Datos/ Información 9 Aplicaciones (Software) 8 Equipos informáticos ₉ Hardware 6 Redes de Comunicaciones 7

Tabla No.7 Estimación del riesgo de alteración de los datos.

RECURSO

ESTIMACIÓN DE LA IMPORTANCIA DEL RECURSO

(li) Datos/ Información 9 Aplicaciones (Software) 8 Equipos informáticos 8 Hardware 3 Redes de Comunicaciones 6 Soportes de Información 3 Instalaciones 7 Personal 8

Tabla No.8 Estimación de la importancia del recurso.

NIVELES DE RIESGO DE PÉRDIDA DEL RECURSO

El riesgo de un recurso será el producto de su importancia por el riesgo de perderlo. Para el caso de la empresa Hablemos de Salud SAS, estudiaremos primero el riesgo de pérdida del recurso y usaremos la siguiente fórmula:

RECURSO (WRi) Ri * Ii RIESGO DE PERDIDA DEL RECURSO Datos/ Información 8*9 72 Aplicaciones (Software) 9*8 72 Equipos informáticos 9*8 72 Hardware 2*3 6 Redes de Comunicaciones 5*6 30 Soportes de Información 2*3 6 Instalaciones 8*9 72 Personal _{7*8 56}

Tabla No. 9 Riesgo de pérdida del recurso

RIESGO DE ACCESO NO AUTORIZADO AL RECURSO

Para el análisis del riesgo de acceso no autorizado al recurso aplicaremos la misma fórmula del riesgo de pérdida.

WRi =Ri * Ii RECURSO(WRi) Ri*Ii RIESGO DE ACCESO NO AUTORIZADO Datos/ Información 9*9 81 Aplicaciones (Software) _{8*8 64} Equipos informáticos 9*8 72 Hardware _{6*3 18} Redes de Comunicaciones 6*7 42 Tabla No. 10 Riesgo de acceso no autorizado.

RIEGO DE ALTERACIÓN DE LA INFORMACIÓN

El riego de alteración de la información lo obtenemos con la misma fórmula de los casos anteriores.

RECURSO(WRi) Ri*Ii RIESGO DE ALTERACIÓN DE LA INFORMACIÓN Datos/ Información 8*9 72 Aplicaciones (Software) 9*8 72 Equipos informáticos 9*8 72 Tabla No. 11 Riesgo de alteración de la información

RIEGO GENERAL DE LOS RECURSOS DEL SISTEMA

Utilizando la siguiente fórmula es posible calcular el riesgo usual de los recursos del sistema de la Hablemos de Salud SAS.

En este tema solo analizaremos tres tipos de riesgos: riesgo por pérdida del recurso, riego por acceso no autorizado al recurso y riesgo por alteración de la información.

WR= (WR1 *I 1 +WR2 *I 2 +…WRn +I n ) I1 +I2 +… In

CONCLUSIONES

MAGERIT se basa en analizar el impacto que puede tener para la empresa Hablemos de Salud SAS, la violación de la seguridad, buscando identificar las amenazas que pueden llegar a afectar la entidad y las vulnerabilidades que pueden ser manejadas por estas amenazas, consiguiendo así tener una identificación clara de las medidas preventivas y correctivas más apropiadas.

Para lograr un trabajo más eficiente en la etapa de Planificación, se necesitará la colaboración y participación de todo el personal implicado con los sistemas de información.

Sin importar la metodología o la herramienta informática que se utilice para la realización del análisis de riesgos, el resultado debería ser una lista de los riesgos correspondientes a los posibles impactos en caso de que se materialicen las amenazas a las que están expuestos los activos.

En donde el análisis de los riesgos es un paso importante para implementar la seguridad de la información.

Esta se realiza para descubrir los riesgos a los cuales están sometidos los activos en la empresa, y saber cuál es la probabilidad de que una amenaza se concrete. La correlación que existe entre la amenaza y el valor del riesgo, es la estado principal a tomar en cuenta en el momento de prevalecer acciones de seguridad

para la corrección de los activos que se desean proteger y deben ser siempre tenidos en cuenta al realiza un análisis de riesgos.

BIBLIOGRAFÍA

Gómez, F. L., & Andrés, Á. A. (2012). Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes. España: AENOR - Asociación Española de Normalización y Certificación. Recuperado de

http://bibliotecavirtual.unad.edu.co:2077/lib/unadsp/reader.action? ppg=1&docID=10637105&tm=1456691803193

Nueva versión de Margerit, [Online]. Disponible:

https://www.ccn- cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anueva-version-

magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es

Calder, A. (2005). Nine Steps to Success : An ISO 27001 Implementation Overview.

Ely, U.K.: IT Governance Publishing. Recuperado

dehttp://bibliotecavirtual.unad.edu.co:2048/login?

user=proveedor&pass=danue0a0&url=http://bibliotecavirtual.unad.edu.co:2051/login.

aspx?direct=true&db=nlebk&AN=391104&lang=es&site=ehost-live&ebv=EB&ppid=pp_Cover

MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, [Online], Disponible: https://www.ccn-cert.cni.es/publico/herramientas/pilar5/magerit/Libro_III_tecnicas.pdf

Sistema de Gestión de la Seguridad de la Información, [Online]. Disponible: http://www.iso27000.es/download/doc_sgsi_all.pdf

Análisis de riesgo informático, [Online]. Disponible: http://es.wikipedia.org/wiki/An %C3%A1lisis_de_riesgo_inform%C3%A1tico

Technical Guide to Information Security Testing and Assessment, [Online]. Disponible: http://csrc.nist.gov/publications/nistpubs/800-115/SP800-115.pdf

Seguridad Informática, [Online].

Disponible: