Mod4 trabajo final
Upcoming SlideShare
Loading in...5
×
 

Mod4 trabajo final

on

  • 821 views

Mod4 trabajo final

Mod4 trabajo final

Statistics

Views

Total Views
821
Views on SlideShare
821
Embed Views
0

Actions

Likes
1
Downloads
19
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Mod4 trabajo final Mod4 trabajo final Document Transcript

  • UNIVERSIDAD MAYOR DE SAN SIMÓN ESCUELA UNIVERSITARIA DE POSGRADO FACULTAD DE CIENCIAS Y TECNOLOGÍAMAESTRÍA EN SISTEMAS DE INFORMACIÓN Y GESTIÓN DE TECNOLOGÍAS - Primera Versión- TRABAJO FINAL DE MÓDULO “Diagnostico basado en el Análisis de Riesgos Cuantitativo” Modulo IV: “Análisis de Datos y Gerencia de Tecnologías de Comunicación e Información” Docente: Rensi Arteaga Copari Integrantes: • Evelin Claudia Alá Herrera • Grover Pelaez Godoy • Claudia Vanesa Villarroel • José Luis Calero Campana Fecha: Sábado, 13/10/2012
  • Índice General1. INTRODUCCIÓN...................................................................................................................... 52. ANTECEDENTES ...................................................................................................................... 5 2.1 Descripción de la empresa .............................................................................................. 5 2.2 Descripción Tecnológica ................................................................................................. 63. DELIMITACIÓN ....................................................................................................................... 84. MARCO TEÓRICO.................................................................................................................... 9 4.1 Análisis y Valoración de los Riesgos................................................................................. 9 4.2 Realización del análisis de riesgos ..................................................................................11 4.2.1 Preparación del análisis de riesgos .........................................................................11 4.2.2 Identificar amenazas ..............................................................................................13 4.2.3 Identificación de vulnerabilidades ..........................................................................14 4.2.4 Ejecución del análisis..............................................................................................14 4.2.5 Metodologías .........................................................................................................145. DESARROLLO DEL PROYECTO.................................................................................................18 5.1 Identificación y descripción de activos ...........................................................................18 5.2 Valoración de activos .....................................................................................................19 5.3 Identificación y descripción de amenazas ......................................................................20 5.3.1 Amenazas naturales ...........................................................................................20 5.3.2 Amenazas humanas ...........................................................................................20 5.3.3 Amenazas software.............................................................................................21 5.3.4 Amenazas hardware ...........................................................................................21 5.4 Identificación y descripción de vulnerabilidades ............................................................21 5.5 Identificación y descripción de activos de controles .......................................................23 5.6 Matriz de análisis de riesgos ..........................................................................................26
  • 5.7 Selección de controles ...................................................................................................31 5.8 Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y) 32 5.9 Plan de Implementación General ...................................................................................34 5.9.1 Objetivos ...............................................................................................................34 5.9.2 Presupuesto implementación de controles ............................................................34 5.10 Conclusiones y recomendaciones ..................................................................................386. CONCLUSIONES Y RECOMENDACIONES ACADÉMICAS ...........................................................387. BIBLIOGRAFÍA........................................................................................................................408. ANEXOS.................................................................................................................................41 8.1 Definición de Políticas....................................................................................................41 8.1.1 Compromiso de Confidencialidad ...........................................................................41 8.1.2 Formación y Capacitación en Materia de Seguridad de la Información ...................41 8.1.3 Perímetro de Seguridad Física ................................................................................41 8.1.4 Controles de Acceso ...............................................................................................42 8.1.5 Protección de Oficinas, Recintos e Instalaciones .....................................................42 8.1.6 Desarrollo de Tareas en Áreas Protegidas ..............................................................43 8.1.7 Ubicación y Protección del Equipamiento y Copias de Seguridad ............................43 8.1.8 Suministros de Energía...........................................................................................43 8.1.9 Seguridad del Cableado..........................................................................................44 8.1.10 Mantenimiento de Equipos ....................................................................................44 8.1.11 Planificación y Aprobación de Sistemas ..................................................................45 8.1.12 Protección Contra Software Malicioso....................................................................45 8.1.13 Resguardo de la Información..................................................................................46 8.1.14 Controles de Redes ................................................................................................46
  • Índice de FigurasFigura 2.1 Administración de Procesos 7Figura 2.2 Instalaciones del Centro del Cómputo 8Figura 4.1 Elementos de Análisis de Riesgos 9Figura 4.2 Activos para Análisis de Riesgos 11
  • DIAGNOSTICO BASADO EN EL ANÁLISIS DE RIESGOS CUANTITATIVO DE LA EMPRESA “DISTRIBUIDORA BOLIVIANA DE BEBIDAS S.R.L”1. INTRODUCCIÓN La información es uno de los principales recursos que poseen las instituciones. Los entes que se encargan de las tomas de decisiones han comenzado a comprender que la información no es sólo un subproducto de la conducción empresarial, sino que a la vez alimenta a los negocios y puede ser uno de los tantos factores críticos para la determinación del éxito o fracaso de éstos. En el presente documento nos permitirá apreciar el análisis de riesgos del área tecnológica de la empresa “Distribuidora Boliviana de Bebidas” D.B.B. que ayuden a la empresa a mejorar el manejo de sus activos, diagnosticando a la empresa para poder realizar una apreciación tanto critica para que la empresa pueda preparar, emplear, instrumentos y poderlos aplicar en el presente y que se desarrolle en un futuro. Con el estudio realizado aplicaremos todos los conocimientos adquiridos en el módulo “Análisis de Datos y Gerencia de Tecnologías de Comunicación e Información”. El presente trabajo pretende: Aplicar los conceptos de seguridad de información para así poder tomar las mejores decisiones y de esta manera la empresa pueda cumplir sus metas, esto mediante la elaboración de un plan de acción para dar cumplimiento a los controles elegidos.2. ANTECEDENTES2.1 Descripción de la empresa La empresa Distribuidora Boliviana de bebidas (DBB S.R.L.) fue fundada como sociedad de responsabilidad limitada por la iniciativa de los socios José Luis Bullain y Arturo Ivanovick, ambos decidieron formar esta empresa debido a su larga experiencia profesional en el rubro de las gaseosas, desempeñando cargos importantes en empresas multinacionales y nacionales de este sector. En febrero 2011 DBB bajo la dirección de su gerente logra adquirir los derechos de marca de SALVIETTI M.R. para la distribución de la bebida tradicional boliviana en el mercado del departamento de La Paz.
  • En el año de 1920 por primera vez, se logra introducir en el mercado boliviano un producto que se denominó “Champan Cola” el cual tenía un envase de vidrio fabricado en Inglaterra, constituyéndose como el último adelanto en la línea de las gaseosas. Este inicio que a su vez determinaba un avance en la tecnología nacional en base al aprovechamiento en los conocimientos que tenía Don Dante Salvietti, sin duda constituyó un hecho trascendental, ya que desde esa época hasta la fecha se logra imponer un sabor que no cambia, ingresando ahora a la tercera generación que mantiene la tradición. Posteriormente rodeándose de recursos humanos experimentados y sistemas informáticos de distribución. DBB S.R.L. inicia sus operaciones en las ciudades de La Paz y El Alto, movilizando un capital de más cien mil dólares y generando más de 30 empleos directos que van en aumento a medida crece la empresa y el mercado. En Abril del 2011 DBB S.R.L. apuesta por la diversificación, adquiriendo los derechos de distribución en el sector Oeste de la ciudad de La Paz de los excelentes productos de La Compañía Cervecera Boliviana S.A. (Cerveza Autentica), empresa innovadora que fue haciéndole frente al monopolio que existía hasta hace unos años en nuestro país. La empresa en la actualidad se encuentra ubicada en la zona de Achachicala, Av. Chacaltaya, Nº 2011, debido a que es un punto estratégico para la distribución de sus productos. Cuenta con instalaciones adecuadas para el almacenaje de sus productos. Actualmente la empresa tiene a su disposición un total de 52 personas, entre distribuidores, preventistas y personal administrativo. Cuenta además con una flota de 8 camiones para la distribución en La Paz y 5 camiones para la distribución en El Alto.2.2 Descripción Tecnológica La empresa con el fin poseer ventajas competitivas y resaltar en el mercado ha implementado tecnología en sus procesos. A continuación se detallan los mismos.
  • Administración de Procesos Los procesos se manejan de manera eficiente precautelando siempre evitar el desperdicio de tiempo tanto en la carga de los camiones como en el mismo ruteo de los recorridos de los mismos, una característica que le permite al cliente recibir sus pedidos a tiempo y acorde a sus requerimientos. En la Figura 2.1 se puede observar un resumen del proceso de distribución. Entrega de Prevent Ruteo Facturación Almacén Rutas y Facturas a Cliente Carga de Entrega de Almacén Camiones Rutas y Facturas Figura 2.1 Administración de ProcesosSistemas de Información Para la distribución de sus productos cuenta un sistema dedicado a la distribución que opera de manera paralela con otro Sistema de Ruteo (Roadshow) dinámico a los puntos de venta. El área de Finanzas y Contabilidad de la empresa, cuenta con herramientas informáticas para el manejo y gestión de información acerca de sus clientes, presupuestos, Facturas, Proveedores, Gastos y otros. Este Sistema de Información (FIS) además de proveer las funcionalidades básicas para el área, brindan acceso compartido de la información desde varios equipos y localizaciones, copias de seguridad automáticas en el servidor, envió de facturas por mail, videos de ayuda y otros. En la Distribuidora Central se encuentra las instalaciones del centro de cómputo como puede observarse en la Figura 2.2. El centro de cómputo básicamente cuenta con un servidor de Base de Datos (1,86 GHz 1 procesador (1) unidades de disco SATA de 3,5" y 80 GB de conexión en caliente DDR2 SDRAM; Intercalado opcional (activado cuando se instalan DIMM
  • en parejas) 1 GB (1 x 1 GB) de memoria de serie 8 GB, una instalación de red pequeña entre los servidores y terminales. Tanto de ruteo el Sistema (Roadshow) como el de facturación (FIS) le despliegan a la empresa una serie de datos que le permite al gerente hacer una mejor toma de decisiones. Gerencia y Departamento de Sistemas y Facturación Centro de Cómputo Área de Almacenamiento de los productos Figura 2.2 Instalaciones del Centro del Cómputo3. DELIMITACIÓN El presente documento contempla un diagnostico basado en un análisis de Riesgos cuantitativo del Centro de Cómputo con el que cuenta la empresa:  Se elaborará una matriz de Riesgos cuantitativa
  •  Se describirá las métricas para medir el desempeño y cumplimiento de los controles.  Se elaborará un cronograma de implementación.  Se propondrá algunas políticas4. MARCO TEÓRICO4.1 Análisis y Valoración de los Riesgos En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del contexto de un análisis de riesgos, es la estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. En la figura 4.1 se puede ver los elementos que son objeto para el análisis de riesgos. Figura 4.1 Elementos de Análisis de Riesgos
  • Antes de saber qué es un análisis de riesgos y lo que conlleva es importante conocerqué son otro tipo de conceptos muy relacionados con los Análisis de Riesgos y laseguridad de la información. Estos son los más importantes: Amenaza: Es la causa potencial de un daño a un activo. Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una amenaza. Impacto: consecuencias de que la amenaza ocurra. Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara desprotegido. Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo. Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.El análisis de riesgos se define como la utilización sistemática de la informacióndisponible, para identificar peligros y estimar los riesgos.A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursosde la organización para que se puedan cubrir las expectativas, llegando al nivel deseguridad requerido con los medios disponibles.Es relativamente sencillo calcular con cuantos recursos se cuenta (económicos,humanos, técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son lasnecesidades de seguridad.Es aquí donde se muestra imprescindible la realización de un análisis de riesgos.Hacerlo permite averiguar cuáles son los peligros a los que se enfrenta laorganización y la importancia de cada uno de ellos. Con esta información ya seráposible tomar decisiones bien fundamentadas acerca de qué medidas deseguridad deben implantarse.Por tanto, un aspecto de gran importancia a la hora de realizar laimplantación de un SGSI es tener en cuenta que la inversión en seguridad tieneque ser proporcional al riesgo.La información es generada y tratada por el personal tanto interno como externo,mediante los equipos de tratamiento de la información existentes en laorganización y está situada en las instalaciones, por lo hay que considerar todoslos riesgos relacionados con estos aspectos.
  • 4.2 Realización del análisis de riesgos4.2.1 Preparación del análisis de riesgos Para realizar un análisis de riesgos se parte del inventario de activos. Si es razonablemente reducido, puede decidirse hacer el análisis sobre todos los activos que contiene. Si el inventario es extenso, es recomendable escoger un grupo relevante y manejable de activos, bien los que tengan más valor, los que se consideren estratégicos o todos aquellos que se considere que se pueden analizar con los recursos disponibles. Se puede tomar cualquier criterio que se estime oportuno para poder abordar el análisis de riesgos en la confianza de que los resultados van a ser útiles. Figura 4.2 Activos para Análisis de Riesgos Hay que tener en cuenta que la realización de un análisis de riesgos es un proceso laborioso. Para cada activo se van a valorar todas las amenazas que pueden afectarle, la vulnerabilidad cada una de las amenaza y el impacto que causaría la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del riesgo para ese activo. Independientemente de la metodología que se utilice, el análisis de riesgos debe ser objetivo y conseguir resultados repetibles en la medida de lo posible, por lo que deberían participar en él todas las áreas de la organización que estén dentro del alcance del SGSI. De esta manera quedarán plasmados varios puntos de vista y la subjetividad, que es inevitable, quedará reducida. Además contar
  • con la colaboración de varias personas ayuda a promover el desarrollo del SGSI como una herramienta útil para toda la organización y no sólo para la dirección o el área que se encarga del proyecto. Se puede abordar el análisis de riesgos con varios enfoques dependiendo del grado de profundidad con el que se quiera o pueda realizar el análisis:a. Enfoque de Mínimos: Se escoge un conjunto mínimo de activos y se hace un análisis conjunto, de manera que se emplean una cantidad mínima de recursos, consumiendo poco tiempo y por lo tanto tiene el coste es menor. Este enfoque tienen el inconveniente de que si se escoge un nivel básico de seguridad muy alto, puede requerir recursos excesivos al implantarlo para todos los activos y por el contrario, si es muy bajo, los activos con más riesgos pueden no quedar adecuadamente protegidos. Debido a la falta de detalle en el análisis, puede ser difícil actualizar los controles o añadir otros según vayan cambiando los activos y sistemas.b. Enfoque Informal: Con este enfoque, no se necesita formación especial para realizarlo ni necesita de tantos recursos de tiempo y personal como el análisis detallado. Las desventajas de este informe son que al no estar basado en métodos estructurados, puede suceder que se pasen por altos áreas de riesgos o amenazas importantes y al depender de las personas que lo realizan, el análisis puede resultar con cierto grado de subjetividad. Si no se argumenta bien la selección de controles, puede ser difícil justificar después el gasto en su implantación.c. Enfoque Detallado: Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos a los que se enfrenta la organización. Se puede decidir un nivel de seguridad apropiado para cada activo y de esa manera escoger los controles con precisión. Es el enfoque que más recursos necesita en tiempo, personal y dinero para llevarlo a cabo de una manera efectiva.d. Enfoque Combinado: Con un enfoque de alto nivel al principio, permite determinar cuáles son los activos en los que habrá que invertir más antes de utilizar muchos recursos en el análisis. Por ello ahorra recursos al tratar antes y de manera más exhaustiva los riesgos más importantes mientras que al resto de los riesgos sólo se
  • les aplica un nivel básico de seguridad, con lo que consigue un nivel de seguridad razonable en la organización con recursos ajustados. Es el enfoque más eficaz en cuanto a costes y a adaptabilidad a empresas con recursos limitados. Hay que tener en cuenta que si el análisis de alto nivel es erróneo puede que queden algunos activos críticos a los que no se realice un análisis detallado.4.2.2 Identificar amenazas Como ya se ha visto anteriormente, podríamos denominar amenaza a un evento o incidente provocado por una entidad natural, humana o artificial que, aprovechando una o varias vulnerabilidades de un activo, pone en peligro la confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro modo, una amenaza explota la vulnerabilidad del activo. Atendiendo a su origen, existen dos tipos de amenazas: Externas, que son las causadas por alguien (hackers, proveedores, clientes, etc.) o algo que no pertenece a la organización. Ejemplos de amenazas de este tipo son los virus y las tormentas. Internas, estas amenazas son causadas por alguien que pertenece a la organización, por ejemplo errores de usuario o errores de configuración. Las amenazas también pueden dividirse en dos grupos según la intencionalidad del ataque en deliberadas y accidentales: Deliberadas: Cuando existe una intención de provocar un daño, por ejemplo un ataque de denegación de servicio o la ingeniería social. Accidentales: Cuando no existe tal intención de perjudicar, por ejemplo averías o las derivadas de desastres naturales: terremotos, inundaciones, fuego, etc. Para valorar las amenazas en su justa medida hay que tener en cuenta cual sería el impacto en caso de que ocurrieran y a cuál o cuáles son los parámetros de seguridad que afectaría, si a la confidencialidad, la integridad o la disponibilidad.
  • 4.2.3 Identificación de vulnerabilidades Una vulnerabilidad es toda aquella circunstancia o característica de un activo que permite la materialización de ataques que comprometen la confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo será vulnerable a los virus si no tiene un programa antivirus instalado. Hay que identificar las debilidades en el entorno de la Organización y valorar cómo de vulnerable es el activo en una escala razonable (alto-medio-bajo, de 1 a 5, etc.). Hay que tener en cuenta que la presencia de una vulnerabilidad por sí misma no causa daño. Para que se produzca este daño debe existir una amenaza que pueda explotarla. Algunos ejemplos de vulnerabilidades son: 1. La ausencia de copias de seguridad, que compromete la disponibilidad de los activos. 2. Tener usuarios sin formación adecuada, que compromete la confidencialidad, la integridad y la disponibilidad de los activos, ya que pueden filtrar información o cometer errores sin ser conscientes del fallo. 3. Ausencia de control de cambios, que compromete la integridad y la disponibilidad de los activos.4.2.4 Ejecución del análisis Con el equipo de trabajo asignado para ello y la metodología escogida, se llevará a cabo el análisis de riesgos. Los participantes tendrán que valorar las amenazas y las vulnerabilidades que afectan a los activos escogidos para el análisis y el impacto que ocasionaría que alguna de las amenazas realmente ocurriera, sobre la base de su conocimiento y experiencia dentro de la organización.4.2.5 Metodologías Existen numerosas metodologías disponibles para la realización de análisis de riesgos, ya que es una labor que requiere de bastante dedicación y con una
  • metodología estructurada se facilita la tarea, sobre todo si existe una herramienta que simplifique todo el proceso. La organización debe escoger aquella que se ajuste a sus necesidades, y si considera varias opciones, inclinarse por la más sencilla. Hay que tener en cuenta que el análisis de riesgos debe revisarse periódicamente, por lo que si se hace con una metodología complicada, esta labor necesitará de una dedicación excesiva. A continuación se detallarán algunas de las metodologías más reconocidas: Análisis holandés A&K. Es método de análisis de riesgos, del que hay publicado un manual, que ha sido desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el gobierno y a menudo en empresas holandesas. CRAMM Es un método de análisis de riesgos desarrollado por el gobierno británico y cuenta con una herramienta, ya que es un método difícil de usar sin ella. Está basado en las mejores prácticas de la administración pública británica, por lo que es más adecuado para organizaciones grandes, tanto públicas como privadas. EBIOS Es un juego de guías mas una herramienta de código libre gratuita, enfocada a gestores del riesgo de TI. Desarrollada en un principio por el gobierno francés, ha tenido una gran difusión y se usa tanto en el sector público como en el privado no sólo de Francia sino en otros países. La metodología EBIOS consta de un ciclo de cinco fases: Fase 1. Análisis del contexto, estudiando cuales son las dependencias de los procesos del negocio respecto a los sistemas de información. Fases 2 y 3, Análisis de las necesidades de seguridad y de las amenazas, determinando los puntos de conflicto. Fases 4 y 5, Resolución del conflicto, estableciendo los objetivos de seguridad necesarios y suficientes, con pruebas de su cumplimiento y dejando claros cuales son los riesgos residuales. IT-GRUNDSCHUTZ (Manual de protección básica de TI) Desarrollado en Alemania por la Oficina Federal de la Seguridad de la Información (BSI en sus siglas alemanas). Este manual proporciona un método para establecer un SGSI en cualquier organización, con recomendaciones técnicas para su implantación. El proceso de seguridad de TI propuesto por esta metodología sigue los siguientes pasos:
  • Iniciar el proceso. Definir los objetivos de seguridad y el contexto de la organización. Establecer la organización para la seguridad de TI. Proporcionar recursos. Crear el concepto de la seguridad de TI. Análisis de la estructura de TI. Evaluación de los requisitos de protección. Modelado. Comprobación de la seguridad de TI. Planificación e implantación. Mantenimiento, seguimiento y mejora del proceso.La metodología incluye listas de amenazas y controles de seguridad que se puedenajustar a las necesidades de cada organización.MAGERITDesarrollado por el Ministerio de Administraciones Públicas español, es unametodología de análisis de riesgos que describe los pasos para realizar un análisisdel estado de riesgo y para gestionar su mitigación, detalla las tareas para llevarlo acabo de manera que el proceso esté bajo control en todo momento y contemplaaspectos prácticos para la realización de de un análisis y una gestión realmenteefectivos. Cuenta con detallados catálogos de amenazas, vulnerabilidades ysalvaguardas. Cuenta con una herramienta, denominada PILAR para el análisis y lagestión de los riesgos de los sistemas de información que tiene dos versiones, unacompleta para grandes organizaciones y otra simplificada para las pequeñas.Manual de Seguridad de TI Austriaco.Consta de dos partes, en la primera se describe el proceso de la gestión de laseguridad de TI, incluyendo el análisis de riesgos y la segunda es un compendio de230 medidas de seguridad. Es conforme con la Norma ISO/IEC IS 13335 y en partecon la ISO 27002.MARION – MEHARI.El primigenio MARION (Método de Análisis de Riesgos por Niveles), basado en unametodología de auditoría, permitía estimar el nivel de riesgos de TI de unaorganización. Sustituido por MEHARI, este método de análisis de riesgo cuenta con
  • un modelo de evaluación de riesgos y módulos de componentes y procesos. ConMEHARI se detectan vulnerabilidades mediante auditorías y se analizansituaciones de riesgo.Métodos ISF para la evaluación y gestión de riesgos.El Information Security Forum. (ISF) es una importante asociación internacional.Su Estándar de Buenas Prácticas es un conjunto de principios y objetivos para laseguridad de la información con buenas prácticas asociadas a los mismos. ElEstándar cubre la gestión de la seguridad a nivel corporativo, las aplicacionescríticas del negocio, las instalaciones de los sistemas de información, las redes y eldesarrollo de sistemas.Norma ISO/IEC IS 27005.La Norma habla de la gestión de los riesgos de la seguridad de la información demanera genérica, utilizando para ello el modelo PDCA, y en sus anexos se puedenencontrar enfoques para la realización de análisis de riesgos, así como un catálogode amenazas, vulnerabilidades y técnicas para valorarlos.OCTAVE(Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVE®),desarrollado en EEUU por el SEI, en un una metodología para recoger y analizarinformación de manera que se pueda diseñar una estrategia de protección y planesde mitigación de riesgo basados en los riesgos operacionales de seguridad de laorganización. Hay dos versiones, una para grandes organizaciones y otra parapequeñas, de menos de 100 empleados.SP800-30 NIST Risk Management Guide for Information Technology Systems.Desarrollado por el NIST estadounidense, es una guía detallada de lasconsideraciones que deben hacerse para llevar a cabo una evaluación y una gestiónde riesgos orientada a la seguridad de los sistemas de información.
  • 5. DESARROLLO DEL PROYECTO5.1 Identificación y descripción de activos Para facilitar el manejo y mantenimiento del inventario los activos de información se los clasificarán en las diferentes categorías:  Know how Se tiene el know how de la fórmula de Salvietti (derechos de exclusividad), además de contar con la amplia experiencia del gerente general. El patente que protege el Know How de la composición química del producto genera una elevada protección de la imitación de la competencia y una importante ventaja distintiva.  Datos Información de Clientes Rutas Facturas  Aplicaciones: Sistema de ruteo Roadshow Sistema de facturación FIS Sistema de contabilidad  Personal Entre esta categoría tenemos los siguientes: Clientes Personal de preventas Distribuidores Operarios de sistema del sistema de ruteo Operarios de sistema del sistema facturación Operarios de sistema del sistema contabilidad.
  •  Servicios Gestión de preventa, venta y post-venta (marketing) Ruteo Facturación Entrega de rutas y facturas Informe contable Gestión estratégica (Directorio) Gestión administrativa (Administración) Auditoría contable (Contabilidad) Análisis financiero (Finanzas) Determinación de las Políticas y Estrategias de Marketing (marketing) Planeación de productos y servicios (marketing) Distribución (almacén)  Tecnologías Servidor PC’s Teléfonos Impresoras Routers Cableado  Instalaciones Centro de cómputo5.2 Valoración de activos Para la valoración de los activos de información identificados usaremos una escala de cuantitativa con los rangos de 0 a 100. Activo Categoría Disponibilidad Integridad Confidencialidad Sistema de Aplicaciones 80 80 90 Ruteo Roadshow Sistema de Aplicaciones 80 80 70
  • facturación FIS Sistema de Aplicaciones 80 80 80 Contabilidad Servidor Tecnologías 90 PC’s Tecnologías 80 Cableado de Tecnologías 70 Red de Datos5.3 Identificación y descripción de amenazas5.3.1 Amenazas naturales ● Incendios intempestivos, pueden ser producidos por cortes de energía eléctrica por uso inapropiado de los equipos computacionales, cabe aclarar que en el centro de distribución no se hace uso de maquinaria industrial por lo que el cableado eléctrico es doméstico. ● Desastres naturales (Terremotos), La Paz tiene como amenaza latente a los terremotos por ser una zona inestable, los últimos sismos se detectaron en agosto y septiembre del presente año.5.3.2 Amenazas humanas ● Personal no autorizado con acceso al sistema, amenaza de personas que conocen la estructura del sistema la empresa. Actualmente los ex empleados de la empresa están trabajando con los competidores como EMBOL, donde sus motivaciones van desde revanchas personales hasta ofertas y remuneraciones de organizaciones rivales. ● Pérdida de la información de los sistemas a causa de: ○ Falta de políticas de copias de respaldo y otros. ○ Robo de la información por medio de unidades de almacenamiento secundario (pendrives, CD, cintas, etc.). ● Robo físico de los componentes de hardware del sistema e incluso también se considera como robo el uso de los equipos para actividades diferentes a los que se les asigna en la organización, ya que la empresa no cuenta actualmente con seguridad física en la entrada.
  • ● Negligencia en el uso de los equipos, todos los componentes deben ser usados dentro de los parámetros establecidos por los fabricantes, esto incluye tiempos de uso, periodos y procedimientos adecuados de mantenimiento, así como un apropiado almacenamiento. No seguir estas prácticas provoca un desgaste mayor que trae como consecuencia descomposturas prematuras y reducción del tiempo de vida útil de los recursos.5.3.3 Amenazas software ● Errores de Programación y Diseño, es sistema de ruteo se encuentra actualmente sin ninguna actualización, por tanto está sujeto a cualquier error no corregido. ● Mala Manipulación del Sistema, el sistema no es lo suficiente usable para su operación, requiere de un operador capacitado para su uso. ● Sistema sin operar, en la empresa solo se cuenta con un usuario del sistema para su funcionamiento. ● Inconsistencia de Información, los sistemas Contable y el de Facturación FIS no se encuentran integrados, la información que se transmite del sistema contable al FIS es manual. Por tanto es fácil de cometer errores al ingresar información. ● Ataques de usuario malicioso (Escaneo de puertos, Sniffing, ing. social).5.3.4 Amenazas hardware ● Deterioro de Hardware, la empresa no se ha realizado ninguna actualización de sus equipos tanto servidores y terminales.5.4 Identificación y descripción de vulnerabilidades ● Falta de políticas de acceso al sistema, no se cuenta con políticas de acceso a los sistemas de información, tanto del Ruteo, Contabilidad y de Facturación. ● Falta de control de acceso físico al área de sistemas, no se cuenta con políticas de acceso a las instalaciones del área de sistemas, nadie registra la entrada al área de sistemas y a las instalaciones donde se encuentran los servidores, por otro lado no existe personal de seguridad. ● Falta de políticas de seguridad de la información, no se tiene implementado políticas que protejan la seguridad de la información, en el sentido de que los puertos USB de los equipos se encuentran y cualquiera puede hacer uso de los mismos. Por otro lado no existe restricciones de uso de correos no corporativos, como Hotmail, yahoo, gmail, etc.
  • ● Falta de políticas de copias de respaldo La empresa actualmente no cuenta con políticas de copias de respaldo a diario, si bien se realiza una copia semanal, se considera que no es suficiente, ya que son útiles para recuperarse de una catástrofe informática, o recuperar una pequeña cantidad de archivos que pueden haberse eliminado accidentalmente o corrompido.● Falta de actualizaciones, desde el momento en que se adquirió el sistema, no se ha efectuado las actualizaciones correspondientes al mismo, esto es importante sobre todo para evitar posibles errores del sistema que ya fueron resueltos.● El sistema es complejo en su manipulación, específicamente el sistema de ruteo, es un sistema que requiere para su operación un usuario especializado en el manejo y administración del mismo, situación que hace necesaria la capacitación de un especialista para el uso del mismo.● Solo existe un encargado que conoce el Sistema, esta situación puede perjudicar en la operatividad de la empresa, puesto que en caso de ausencia del operador del sistema, no se podrá generar información acerca de las rutas y clientes para la distribución de los productos.● Falta de integración del Sistema de Contabilidad y Facturación, El sistema contable debe estar alimentado con información de las facturas (que genera el sistema de Facturación) de los clientes, para su procesamiento, es de esta manera que el contador debe ingresar dicha información manualmente provocando posibles problemas de inconsistencia de datos.● Envío de contraseñas con encriptación débil, no existe políticas para la creación de contraseñas tanto para los accesos a los equipos como para los sistemas.● Puertos no utilizados abiertos No se realiza la protección de puertos abiertos q no son utilizados, los cuales podrían ser usados por troyanos altamente peligrosos.● Falta de un sistema de ingreso de personal La empresa no cuenta con un sistema que registre el ingreso y salida del personal, solo se tiene un registro manual. Lo que no garantiza la veracidad de la información a la hora de realizar un control de las personas que ingresaron a las instalaciones de la empresa.● No existe cableado estructurado en la instalación de la red de energía eléctrica.
  • La instalación de red de energía eléctrica no es la adecuada, no cuenta con normas de seguridad. Lo que podría causar daños en los equipos. ● Políticas de seguridad deficientes e inexistentes para el cuidado y conservación de hardware. Contar con un suministro de energía ininterrumpible (UPS) para asegurar el apagado regulado y sistemático. No todos los equipos cuentan con estabilizadores lo que provocaría daños en el hardware. No se efectúa periódicamente un mantenimiento preventivo de los equipos. ● La empresa no cuenta con una construcción antisísmica ● Políticas de seguridad en caso de desastres naturales inexistente No se tiene creadas las políticas de seguridad en caso de desastres naturales. ● Instalaciones Inadecuadas, para protección del cableado Las instalaciones y la distribución de los muebles y enseres no se encuentran adecuadas como para la implementación de un cableado de red y de energía. ● No existe cableado estructurado en la red de datos. No se cuenta con cableado estructurado en su totalidad. Solo el servidor de base de datos y la maquina cliente de donde se operan los sistemas (Ruteo, Contabilidad, Facturación) se encuentran en red. Esta situación incurre en un problema para compartir la información con las aéreas que requieren estar al tanto de los mismos. Así como el área de las gerencias.5.5 Identificación y descripción de activos de controles  Establecimiento de una política de control de accesos  Uso de criptografía para proteger los datos  Restringir el ingreso de personas no autorizadas  Definir una política de copias de seguridad Con la finalidad de mantener operativos los procesos de la empresa DISTRIBUIDORA BOLIVIANA DE BEBIDAS S.R.L, es necesario fijar una política de respaldo de Información que permita ante cualquier eventualidad recuperar de manera rápida y actualizada la información perdida. Para esto es necesario definir dos niveles de criticidad de la información que se especifican a continuación:
  • o Nivel Crítico: Información institucional almacenada en el servidor de base de dato. o Nivel Medio: Información relativa a respaldos del servidor de aplicaciones.Los métodos de copia de seguridad son los diarios e incrementales. Restringir el uso de dispositivos de almacenamientoDada la importancia de la información que maneja la institución y la necesidad deresguardar los datos, así como emitir información a otras entidades, surge lanecesidad de establecer la normativa para regular el uso de cualquier tipo deunidades de respaldo sean estas internas o externas, entre las que podemosmencionar los quemadores de discos compactos, DVD, pendrives, entre otros. Limitar el uso de correos no corporativos y acceso a servidores FTP Adquisición de actualizaciones Creación de una guía de usuario Implementar integración automática entre ambos sistemas (Contabilidad y Facturación) Análisis del tráfico de la redEl análisis y diagnóstico de redes permite encontrar deficiencias en la red de datosy sus causas, u oportunidades de mejora, y formular acciones correctivas y demejoramiento. El análisis de red debe hacerse continuamente. Normas de restricción y privilegios de usuarios Instalación de un sistema de registro con huella dactilarUn sistema de control biométrico con lector de huellas dactilares permite elregistro de las entradas y salidas del personal, de esta manera se verifica que sololos empleados tengan acceso a las instalaciones de la empresa. Instalación de cámaras de seguridadDebido a la necesidad de resguardar tanto los activos tangibles e intangibles, sepuede optar con la instalación de cámaras de seguridad que puedan grabar todo eldesenvolvimiento de los trabajadores de la empresa y pueda así pueda haber unaprueba de los culpables en caso de actos no correctos.
  •  Instalación de equipos de protección de cortes de energía eléctricaLos equipos de protección de energía eléctrica previenen los cortes de energía yminimizan los peligros que pueda ocasionar. Mediante la mejora de la capacidadde los equipos de protección se mejora la disponibilidad y confiabilidad de lossistemas, además se mantiene por un tiempo la energía eléctrica en caso de cortes,y se previene de los daños de las instalaciones de transmisión eléctrica debido a lasobrecarga. Aplicar políticas de seguridad y procedimientos en caso desastres naturales Instalaciones de alarmas y control de incendio Mejora del cableado de Red de Datos Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de los equipos Implementar un cableado estructurado de red de ratos según normativa Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de la redEl personal administrativo tiene acceso a los servicios de la red: servidor deaplicaciones, servidor de bases de dato, impresoras, archivos compartidos en otrasestaciones de trabajo entre otros. Dicha cuenta es otorgada para facilitar laslabores de los funcionarios mediante el uso de tecnología informática. Por loanterior, los usuarios deben hacer uso de la red y de los servicios relacionados conesta, estrictamente en cumplimiento de las labores institucionales, tomando enconsideración la privacidad de otros usuarios y la no saturación de la red por usoindebido del ancho de banda, entre otros argumentos. Solicitar soporte para el correcto uso del Sistema Capacitar a una segunda persona como respaldo Uso de cortafuegosCon un firewall o cortafuegos, podemos bloquear accesos no autorizados,permitiendo al mismo tiempo comunicaciones autorizadas, abrir o cerrar puertossegún sea lo necesario. Podemos implementarlos en hardware o software, o unacombinación de ambos. En el caso de la empresa por cuestiones de costo podemosinstalar un software firewall.
  • 5.6 Matriz de análisis de riesgos Costo Valor del Activos Valor Amenazas FE SLE Vulnerabilidades ARO ALE Controles ALE DC Ahorro control Control 1. Establecimiento de una 1. Personal no 200 1050 1050 4. Falta de politicas de politica de control de accesos Autorizado con 50% 5000 25% 1250 acceso al sistema 2. Uso de criptografia para acceso al Sistema 500 -500 750 proteger los datos 1. Falta de control de 3. Restringir el ingreso de acceso fisico al area de 25% 250 300 -50 -50 personas no autorizadas sistemas 2. Robo de la 5. Restringir el uso de 10% 1000 300 50 50 Información dispositivos de almacenamiento 2. Falta de politicas de 35% 350 6. Limitar el uso de correos no seguridad de la información corporativos y acceso a 200 -200 150 servidores FTPSistema de Ruteo 10000 3. Pérdida de 3. Falta de politicas de 4. Definir una política de copias 10% 1000 50% 500 200 300 300Roadshow Información copias de respaldo de seguridad 5. Errores de 7. Adquisición de Programacion y 20% 2000 6. Falta de actualizaciones 50% 1000 2000 -1000 -1000 actualizaciones Diseño 21. Solicitar soporte para el 1000 250 250 6. Mala Manipulacion 15. El sistema es complejo correcto uso del Sistema 50% 5000 25% 1250 del Sistema en su manipulacion 8. Creación de una guia de 500 -500 -500 usuario 8. Creación de una guia de 16. Solo existe un 500 4500 4500 7. Sistema no usuario 100% 10000 encargado que conoce el 50% 5000 disponible 22. Capacitar a una segunda Sistema 1000 -1000 -1000 persona como respaldo 1. Establecimiento de una 1. Personal no 200 425 425Sistema de 4. Falta de politicas de politica de control de accesos 5000 Autorizado con 50% 2500 25% 625Contabilidad acceso al sistema 2. Uso de criptografia para acceso al Sistema 500 -500 -500 proteger los datos
  • 1. Falta de control de 3. Restringir el ingreso de acceso fisico al area de 25% 125 300 -175 -175 personas no autorizadas sistemas 2. Robo de la 5. Restringir el uso de 10% 500 300 -175 -175 Información dispositivos de almacenamiento 2. Falta de politicas de 25% 125 6. Limitar el uso de correos no seguridad de la información corporativos y acceso a 200 -200 -200 servidores FTP 3. Pérdida de 3. Falta de politicas de 4. Definir una política de copias 10% 500 25% 125 200 -75 -75 Información copias de respaldo de seguridad 9. Implementar integracion 5. Falta de integración del 4. Inconsistencia de automática entre ambos 30% 1500 Sistema de Contabilidad y 100% 1500 3000 -1500 -1500 Información sistemas (Contabilidad y Facturación Facturación) 1. Personal no 4. Falta de politicas de 1. Establecimiento de una Autorizado con 50% 4000 100% 4000 200 3800 3800 acceso al sistema politica de control de accesos acceso al Sistema 1. Falta de control de 3. Restringir el ingreso de acceso fisico al area de 100% 800 300 500 500 personas no autorizadas sistemas 2. Robo de la 5. Restringir el uso de 10% 800 300 500 500Sistema de Información dispositivos de almacenamiento 2. Falta de politicas deFacturacion 8000 100% 800 6. Limitar el uso de correos no seguridad de la información FIS corporativos y acceso a 200 -200 -200 servidores FTP 3. Pérdida de 3. Falta de politicas de 4. Definir una política de copias 10% 800 50% 400 200 200 200 Información copias de respaldo de seguridad 9. Implementar integracion 5. Falta de integración del 4. Inconsistencia de automática entre ambos 30% 2400 Sistema de Contabilidad y 50% 1200 3000 -1800 -1800 Información sistemas (Contabilidad y Facturación Facturación) 3. Falta de politicas de 4. Definir una política de copias 800 800 copias de respaldo 50% 1000 de seguridad 200 3. Pérdida de Información 1. Falta de control de 3. Restringir el ingreso de Servidor acceso fisico al area de 1700 1700 personas no autorizadas Base de 20000 10% 2000 sistemas 100% 2000 300 Datos 1. Establecimiento de una 1. Personal no 9800 9800 4. Falta de politicas de politica de control de accesos 200 Autorizado con 50% 10000 100% 10000 acceso al sistema 2. Uso de criptografia para acceso al Sistema -500 -500 proteger los datos 500
  • 2. Uso de criptografia para 9500 9500 proteger los datos 500 17. Envío de contraseñas 7. Adquisición de 50% 10000 -5000 -5000 con encriptación debil actualizaciones 5000 10. Análisis del tráfico de la red -300 -300 300 8. Ataques de 2. Uso de criptografia para 4500 4500 usuario malicioso ( 2. Falta de politicas de proteger los datos 500 100% 20000 25% 5000escaneo de puertos, seguridad de la información 11. Normas de restricción y sniffing, ing. social) -300 -300 privilegios de usuarios 300 18. Puertos no utilizados 25% 5000 23. Uso de cortafuegos 4500 4500 abiertos 500 19. Acceso a instalaciones 10. Análisis del tráfico de la red 4700 4700 300 de software no 25% 5000 monitoreadas 11. Normas de restricción y -300 -300 privilegios de usuarios 300 1. Falta de control de 3. Restringir el ingreso de acceso fisico al area de 25% 5000 4700 4700 personas no autorizadas sistemas 3009. Robo de Hardware 100% 20000 12. Instalación de un sistema 18000 18000 7. Falta de un sistema de de registro con huella dactilar 2000 100% 20000 ingreso de personal 13. Instalación de cámaras de -5000 -5000 seguridad 5000 8. No existe cableado 14. Instalación de equipos de estructurado en la 50% 2000 protección de cortes de energía -5000 -5000 instalación de la red de eléctrica energía eléctrica. 7000 10. Deterioro de 11. Políticas de seguridad 18. Aplicar politicas de 20% 4000 deficientes e inexistentes seguridad y procedimientos Hardware 100% 4000 3300 3300 para el cuidado y para el cuidado y conservación conservacion de hardware de los equipos 700 7. Adquisición de 6. Falta de actualizaciones 50% 2000 -3000 -3000 actualizaciones 5000 8. No existe cableado 14. Instalacion de equipos de estructurado en la 11. Incendios 50% 10000 100% 10000 protección de cortes de enegía 3000 3000 instalación de la red de eléctrica energía eléctrica. 7000
  • 9. No existe equipamiento 16. Instalaciones de alarmas y adecuado para proteccion 50% 5000 1000 1000 control de incendio de equipos 4000 10. La empresa no cuenta 15. Aplicar politicas de con una construcción 100% 20000 seguridad y procedimientos en 19500 19500 12. Terremotos, antisísmica caso desastres naturales 500 cismos o 100% 20000 12. Políticas de seguridad 15. Aplicar politicas de deslizamientos en caso de desastres 100% 20000 seguridad y procedimientos en 19500 19500 naturales inexistente caso desastres naturales 500 9. No existe equipamiento 16. Instalaciones de alarmas y adecuado para proteccion 100% 5000 -1000 -1000 control de incendio de equipos 6000 8. No existe cableado 14. Instalacion de equipos de estructurado en la 11. Incendios 100% 5000 100% 5000 protección de cortes de enegía 4000 4000 instalación de la red de eléctrica energía eléctrica. 1000 12. Políticas de seguridad 15. Aplicar politicas de en caso de desastres 100% 10000 seguridad y procedimientos en 9500 9500 naturales inexistente caso desastres naturales 500 9. No existe equipamiento 16. Instalaciones adecuadas adecuado para proteccion 100% 2500 con alarma y control de -3500 -3500 de equipos incendio 6000 12. Terremotos, 10. La empresa no cuenta 15. Aplicar politicas de cismos o 100% 5000 con una construcción 100% 5000 seguridad y procedimientos en 4500 4500 deslizamientos antisísmica caso desastres naturales 500 12. Políticas de seguridad 15. Aplicar politicas dePCs 5000 en caso de desastres 100% 5000 seguridad y procedimientos en 4500 4500 naturales inexistente caso desastres naturales 500 8. No existe cableado 14. Instalacion de equipos de estructurado en la 100% 2500 protección de cortes de enegía 1500 1500 instalación de la red de eléctrica 10. Deterioro de energía eléctrica. 1000 50% 2500 Hardware 11. Políticas de seguridad 18. Aplicar politicas de deficientes e inexistentes seguridad y procedimientos 200% 5000 4900 4900 para el cuidado y para el cuidado y conservación conservacion de hardware de los equipos 100 1. Falta de control de 3. Restringir el ingreso de acceso fisico al area de 100% 50000 49700 49700 personas no autorizadas sistemas 300 9. Robo de Hardware 50% 50000 12. Instalación de un sistema 48000 48000 7. Falta de un sistema de de registro con huella dactilar 2000 100% 50000 ingreso de personal 13. Instalación de cámaras de -5000 -5000 seguridad 5000
  • 13. Instalaciones 16. Instalaciones de alarmas y Inadecuadas, para 50% 1500 4000 -2500 -2500 control de incendio proteccion del cableado 8. No existe cableado 14. Instalacion de equipos de estructurado en la 11. Incendios 100% 3000 100% 3000 protección de cortes de enegía 1000 2000 2000 instalación de la red de eléctrica energía eléctrica. 12. Políticas de seguridad 15. Aplicar politicas de en caso de desastres 50% 1500 seguridad y procedimientos en 500 1000 1000 naturales inexistente caso desastres naturales 13. Instalaciones 15. Aplicar politicas de Inadecuadas, para 50% 1500 seguridad y procedimientos en 500 1000 1000 proteccion del cableado caso desastres naturales 10. La empresa no cuenta 15. Aplicar politicas de con una construcción 50% 1500 seguridad y procedimientos en 500 1000 1000 Cableado 12. Terremotos, antisísmica caso desastres naturales de Red de 3000 cismos o 100% 3000 14. No existe cableado 19. Implementar un cableado Datos deslizamientos estructurado en la red de 50% 1500 estructurado de red de ratos s 4000 -2500 -2500 datos. según normativa 12. Políticas de seguridad 15. Aplicar politicas de en caso de desastres 50% 1500 seguridad y procedimientos en 500 1000 1000 naturales inexistente caso desastres naturales 13. Instalaciones 17. Mejora del cableado de Red Inadecuadas, para 50% 300 2500 -2200 -2200 de Datos proteccion del cableado 14. No existe cableado 19. Implementar un cableado 10. Deterioro de estructurado en la red de 100% 600 estructurado de red de ratos s 4000 -3400 -3400 20% 600 Hardware datos. según normativa 11. Políticas de seguridad 20. Aplicar politicas de deficientes e inexistentes seguridad y procedimientos 50% 300 200 100 400 para el cuidado y para el cuidado y conservación conservacion de hardware de la redALE DC= FE*VALOR DEL ACTIVO* Probabilidad de que ocurra la amenaza a pesar del controlVALOR DEL CONTROL= ALE-ALEDC-COSTO CONTROL
  • 5.7 Selección de controles  Análisis y descripción de Amenazas  Análisis y descripción de Vulnerabilidades  Selección de Controles  Implementación de Controles  Establecimiento de una política de control de accesos.  Uso de criptografía para proteger los datos.  Restringir el ingreso de personas no autorizadas  Restringir el uso de dispositivos de almacenamiento  Limitar el uso de correos no corporativos y acceso a servidores FTP  Definir una política de copias de seguridad  Adquisición de actualizaciones  Solicitar soporte para el correcto uso del Sistema  Creación de una guía de usuario.  Capacitar a una segunda persona como respaldo.  Establecimiento de una política de control de accesos  Restringir el uso de dispositivos de almacenamiento  Implementar integración automática entre ambos sistemas (Contabilidad y facturación).  Restringir el ingreso de personas no autorizadas.  Adquisición de actualizaciones  Análisis del tráfico de la red  Normas de restricción y privilegios de usuarios  Uso de cortafuegos  Instalación de un sistema de registro con huella dactilar.  Instalación de cámaras de seguridad.  Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de los equipos.  Instalación de equipos de protección de cortes de energía eléctrica.  Instalaciones de alarmas y control de incendio.
  •  Aplicar políticas de seguridad y procedimientos en caso desastres naturales.  Instalación de un sistema de registro con huella dactilar.  Instalación de cámaras de seguridad.  Mejora del cableado de Red de Datos.  Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de la red.5.8 Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y)Las métricas que se han descrito son las siguientes: Políticas de Formación y Capacitación en Materia de Seguridad deRef. Política la Información Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en elConcepto organismo, recibirán una adecuada capacitación , preparación y actualización periódica en materia de la política, normas y procedimientos de la empresaDimensión El personal tiene conocimiento de las políticas de seguridadMétrica Personal capacitadoFrecuencia Cada 90 díasFuente Test de capacitaciónIndicadores % de personal que aprobaron el testjustificación Falta de políticas de acceso y restricción al sistemaRef. Política Controles de AccesoConcepto Restricción y control accesos a los sistemas. Accesos desde puntos de red cableados e inalámbricosDimensión autorizados y no autorizadosMétrica Cantidad de accesos de red autorizados y no autorizadosFrecuencia Cada 30 díasFuente Archivos logs del servidor, router y del sistema.
  • Indicadores % de accesos autorizadosjustificación Falta de políticas de acceso y restricción al sistemaRef. Política Seguridad Física Se utilizarán perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, deConcepto suministro de energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información.Dimensión Fallas de equipos y de la capa física de la red del sistema.Métrica Cantidad de mal funcionamiento de equipos.Frecuencia Cada 90 díasFuente Registro de servicio de técnico.Indicadores % de fallas de los equipos.justificación Falta de seguridad de funcionamiento optimo de los equiposRef. Política Confidencialidad Buscar que la información confidencial de la empresa no estaConcepto comprometida ni expuestaDimensión Información confidencial de la empresaMétrica Cantidad de información confidencialFrecuencia MensualFuente Auditoria InternaIndicadores % de información filtradajustificación Prevención de fuga de información.Ref. Política Respaldo de Información La información respaldada en dispositivos externos tiene que serConcepto verificada.Dimensión Respaldos realizados de la informaciónMétrica Cantidad de copias de seguridad realizadas.Frecuencia MensualFuente Backups de la Base de datosIndicadores % de información respaldadajustificación Prevención de perdida de información.
  • Ref. Política Actualización de Tecnologías Se medirá la actualización progresiva de los sistemas deConcepto información y equipos utilizados.Dimensión Software y hardware actualizadoMétrica Cantidad de equipos por actualizarFrecuencia AnualFuente Análisis de versiones y estado.Indicadores % de software y hardware actualizadojustificación Mantener los sistemas actualizados5.9 Plan de Implementación GeneralEl plan te implementación general ser la guía para la implementación de los controlesseleccionados para corregir en su totalidad o parcialmente las vulnerabilidades y de estaforma no representen un riesgo a la empresa cundo se presente una amenaza externa ointerna.5.9.1 Objetivos  Análisis y descripción de amenazas  Análisis y descripción de vulnerabilidades  Selección de controles  Implementación de controles5.9.2 Presupuesto implementación de controlesEl presupuesto provisional total que tendrá la implementación de los controlesseleccionados asciende a un costo de $us. 66100,00.
  • Id Controles Mes1 Mes2 Mes3 Mes4 Mes5 Mes6 Mes7 Mes8 Mes9 Mes12 Mes11 Mes121 Análisis y descripción de Amenazas Análisis y descripción de2 Vulnerabilidades3 Selección de Controles4 Implementación de Controles Establecimiento de una política de5 control de accesos Uso de criptografía para proteger los6 datos Restringir el ingreso de personas no7 autorizadas Restringir el uso de dispositivos de8 almacenamiento Limitar el uso de correos no9 corporativos y acceso a servidores FTP Definir una política de copias de10 seguridad11 Adquisición de actualizaciones Solicitar soporte para el correcto uso12 del Sistema13 Creación de una guía de usuario Capacitar a una segunda persona14 como respaldo Establecimiento de una política de15 control de accesos
  • Restringir el uso de dispositivos de16 almacenamiento Implementar integración automática17 entre ambos sistemas (Contabilidad y Facturación) Restringir el ingreso de personas no18 autorizadas19 Adquisición de actualizaciones20 Análisis del tráfico de la red Normas de restricción y privilegios de21 usuarios22 Uso de cortafuegos Instalación de un sistema de registro23 con huella dactilar24 Instalación de cámaras de seguridad Aplicar políticas de seguridad y25 procedimientos para el cuidado y conservación de los equipos Instalación de equipos de protección26 de cortes de energía eléctrica Instalaciones de alarmas y control de27 incendio Aplicar políticas de seguridad y28 procedimientos en caso desastres naturales Instalación de un sistema de registro29 con huella dactilar30 Instalación de cámaras de seguridad
  • 31 Mejora del cableado de Red de Datos Aplicar políticas de seguridad y32 procedimientos para el cuidado y conservación de la red
  • 5.10 Conclusiones y recomendacionesConclusiones: El análisis de riesgo realizado nos permitió detectar con éxito las vulnerabilidades existentes en los procesos de la empresa y seleccionar los controles adecuados. La mayoría de las vulnerabilidades se deben a la actitud de los empleados, los cuales necesitan institucionalizarse y comprometerse con los objetivos de la empresa.Las políticas de seguridad planteadas necesitan ser ejecutadas para dar seguridad alcentro de cómputo y a la información que es un activo vital para la empresa.Estas políticas se pueden observar en la sección de Anexos.Recomendaciones: Se necesita lograr el compromiso de los trabajadores de la empresa. La actitud en el compromiso laboral es importante, ya que es la medida en que una persona se identifica con la empresa y su entorno, queriendo participar en las actividades de la misma, persiguiendo los mismos objetivos y cuidando de los activos.6. CONCLUSIONES Y RECOMENDACIONES ACADÉMICASConclusiones: Se logró comprender que el manejo adecuado de la información constituye una clave de éxito frente a la competencia. Se aplicó los conceptos de seguridad de información para poder encontrar las vulnerabilidades tecnológicas y aplicar los controles necesarios. En base a las vulnerabilidades identificadas y los controles, se logró desarrollado como propuesta de implementación políticas de seguridad, con el fin de mantener la disponibilidad, integridad y confidencialidad de la información y del equipamiento que conforma el centro de cómputo.
  • Recomendaciones: Para poder tener una visión más amplia de la empresa en la cual se realiza el análisis de riesgos, podría hacerse un análisis FODA y también tener en cuenta la visión y misión.
  • 7. BIBLIOGRAFÍAING. JOSE MANUEL POVEDA2012-10 http://jmpovedar.wordpress.com/auditoria-informatica/2012-10 http://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdfPOLITICAS DE SEGURIDAD2012-10 http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf2012-10 http://es.wikipedia.org/wiki/Esc%C3%A1ner_de_puertos
  • 8. ANEXOS8.1 Definición de Políticas8.1.1 Compromiso de Confidencialidad o Como parte de sus términos y condiciones iniciales de empleo, los empleados, cualquiera sea su cargo, firmarán un Compromiso de Confidencialidad o no divulgación, en lo que respecta al tratamiento de la información del Organismo. o Asimismo, mediante el Compromiso de Confidencialidad el empleado declarará conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. o Los términos y condiciones de empleo establecerán la responsabilidad del empleado en materia de seguridad de la información. Por ejemplo en relación con las leyes de Propiedad Intelectual o la legislación de protección de datos, se encontrarán aclarados e incluidos en los términos y condiciones de empleo.8.1.2 Formación y Capacitación en Materia de Seguridad de la Información o Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en el organismo, recibirán una adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de la empresa. Esto comprende los requerimientos de seguridad y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su estación de trabajo.8.1.3 Perímetro de Seguridad Física o La empresa utilizará perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información.
  • Se considerarán e implementarán los siguientes lineamientos y controles, segúncorresponda: a. Definir y documentar claramente el perímetro de seguridad. b. Ubicar las instalaciones de procesamiento de información dentro del perímetro de un edificio o área de construcción físicamente sólida (por ejemplo no deben existir aberturas en el perímetro o áreas donde pueda producirse fácilmente una irrupción). c. Extender las barreras físicas necesarias desde el piso (real) hasta el techo (real), a fin de impedir el ingreso no autorizado y la contaminación ambiental, por ejemplo por incendio, humedad e inundación. d. El Responsable de Seguridad Informática llevará un registro actualizado de los sitios protegidos, indicando: 1) Identificación de las instalaciones y áreas. 2) Principales elementos a proteger. 3) Medidas de protección física.8.1.4 Controles de AccesoEstos controles de acceso físico tendrán, por lo menos, las siguientes características: o Supervisar o inspeccionar a los visitantes a áreas protegidas y registrar la fecha y horario de su ingreso y egreso. o Controlar y limitar el acceso a la información clasificada y a las instalaciones de procesamiento de información, exclusivamente a las personas autorizadas. Se utilizarán los siguientes controles de autenticación para autorizar y validar todos los accesos: Por ejemplo: personal de guardia con listado de personas habilitadas o por tarjeta magnética o inteligente y número de identificación personal (PIN), etc.). o Implementar el uso de una identificación visible para todo el personal8.1.5 Protección de Oficinas, Recintos e InstalacionesDefinir el centro de cómputo como área protegida de la empresa. Se establecen lassiguientes medidas de protección: o Ubicar las instalaciones críticas en lugares a los cuales no pueda acceder personal no autorizado. o Establecer que los edificios o sitios donde se realicen actividades de procesamiento de información serán discretos y ofrecerán un señalamiento mínimo de su propósito, sin signos obvios, exteriores o interiores.
  • o Ubicar las funciones y el equipamiento de soporte, por ejemplo: impresoras, fotocopiadoras, máquinas de fax, adecuadamente dentro del área protegida para evitar solicitudes de acceso, el cual podría comprometer la información. o Separar las instalaciones de procesamiento de información administradas por la empresa de aquellas administradas por terceros. o Restringir el acceso público a las guías telefónicas y listados de teléfonos internos que identifican las ubicaciones de las instalaciones de procesamiento de información sensible. o Almacenar los equipos redundantes y la información de resguardo (back up) en un sitio seguro y distante del lugar de procesamiento, para evitar daños ocasionados ante eventuales contingencias.8.1.6 Desarrollo de Tareas en Áreas Protegidas o Dar a conocer al personal la existencia del área protegida, o de las actividades que allí se llevan a cabo, sólo si es necesario para el desarrollo de sus funciones. o Impedir el ingreso de equipos de computación móvil, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información, a menos que hayan sido formalmente autorizadas por el Responsable de dicho área o el Responsable del Área Informática y el Responsable de Seguridad Informática. o Prohibir comer, beber y fumar dentro de las instalaciones de procesamiento de la información.8.1.7 Ubicación y Protección del Equipamiento y Copias de Seguridad o Ubicar el equipamiento en un sitio donde se minimice el acceso innecesario y provea un control de acceso adecuado. o Ubicar las instalaciones de procesamiento y almacenamiento de información que manejan datos clasificados, en un sitio que permita la supervisión durante su uso.8.1.8 Suministros de EnergíaEl equipamiento estará protegido con respecto a las posibles fallas en el suministro deenergía u otras anomalías eléctricas. Para asegurar la continuidad del suministro deenergía, se contemplarán las siguientes medidas de control:
  • o Disponer de múltiples enchufes o líneas de suministro para evitar un único punto de falla en el suministro de energía. o Contar con un suministro de energía ininterrumpible (UPS) para asegurar el apagado regulado y sistemático o la ejecución continua del equipamiento que sustenta las operaciones críticas del Organismo.8.1.9 Seguridad del CableadoEl cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyoa los servicios de información estará protegido contra intercepción o daño, mediante lassiguientes acciones: o Cumplir con los requisitos técnicos vigentes o Utilizar pisoducto o cableado embutido en la pared, siempre que sea posible, cuando corresponda a las instalaciones de procesamiento de información. o Separar los cables de energía de los cables de comunicaciones para evitar interferencias. o Proteger el tendido del cableado troncal (backbone) mediante la utilización de ductos blindados.8.1.10 Mantenimiento de Equipos o Se realizará el mantenimiento del equipamiento para asegurar su disponibilidad e integridad permanentes: o Someter el equipamiento a tareas de mantenimiento preventivo, de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor y con la autorización formal del Responsables del Área Informática. o Establecer que sólo el personal de mantenimiento autorizado puede brindar mantenimiento y llevar a cabo reparaciones en el equipamiento. o Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo y correctivo realizado.
  • 8.1.11 Planificación y Aprobación de SistemasEl Responsable del Área Informática y el Responsable de Seguridad Informática sugeriráncriterios de aprobación para nuevos sistemas de información, actualizaciones y nuevasversiones, solicitando la realización de las pruebas necesarias antes de su aprobacióndefinitiva. Se deben considerar los siguientes puntos: o Verificar el impacto en el desempeño y los requerimientos de capacidad de las computadoras. o Garantizar la recuperación ante errores. o Asegurar que la instalación del nuevo sistema no afectará negativamente los sistemas existentes, especialmente en los períodos pico de procesamiento. o Disponer la realización de entrenamiento en la operación y/o uso de nuevos sistemas.8.1.12 Protección Contra Software MaliciosoEl Responsable de Seguridad Informática definirá controles de detección y prevenciónpara la protección contra software malicioso.El Responsable de Seguridad Informática desarrollará procedimientos adecuados deconcientización de usuarios en materia de seguridad, controles de acceso al sistema yadministración de cambios. Estos controles deberán considerar las siguientes acciones: o Prohibir el uso de software no autorizado por el Organismo. o Redactar procedimientos para evitar los riesgos relacionados con la obtención de archivos y software desde o a través de redes externas, o por cualquier otro medio, señalando las medidas de protección a tomar. o Instalar y actualizar periódicamente software de detección y reparación de virus, examinado computadoras y medios informáticos, como medida precautoria y rutinaria. o Mantener los sistemas al día con las últimas actualizaciones de seguridad disponibles o Revisar periódicamente el contenido de software y datos de los equipos de procesamiento que sustentan procesos críticos del Organismo, investigando formalmente la presencia de archivos no aprobados o modificaciones no autorizadas.
  • o Redactar procedimientos para verificar toda la información relativa a software malicioso, garantizando que los boletines de alerta sean exactos e informativos. o Concientizar al personal acerca del problema de los falsos virus (hoax) y de cómo proceder frente a los mismos.8.1.13 Resguardo de la InformaciónSe definirán procedimientos para el resguardo de la información, que deberán considerarlos siguientes puntos: o Definir un esquema de rótulo de las copias de resguardo, que permita contar con toda la información necesaria para identificar cada una de ellas y administrarlas debidamente. o Almacenar en una ubicación remota copias recientes de información de resguardo junto con registros exactos y completos de las mismas y los procedimientos documentados de restauración, a una distancia suficiente como para evitar daños provenientes de un desastre en el sitio principal. o Verificar y probar periódicamente los procedimientos de restauración garantizando su eficacia y cumplimiento dentro del tiempo asignado a la recuperación en los procedimientos operativos.8.1.14 Controles de Redes o Establecer los procedimientos para la administración del equipamiento remoto, incluyendo los equipos en las áreas usuarias, la que será llevada a cabo por el responsable establecido en el punto “Asignación de Responsabilidades en Materia de Seguridad de la Información”. o Establecer controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados. Implementar controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas. o Garantizar mediante actividades de supervisión, que los controles se aplican uniformemente en toda la infraestructura de procesamiento de información.El Responsable del Área Informática implementará dichos controles.