Auditoria De Sistemas Tesis_jrtf_capitulo4
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Auditoria De Sistemas Tesis_jrtf_capitulo4 as PDF for free.
More details
- Words: 16,451
- Pages: 82
CAPÍTULO 4 ANÁLISIS DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA DIGESTYC
4.1 DESCRIPCIÓN GENERAL
La seguridad informática es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Sin embargo, tal como se ha mencionado antes, cualquier organización de negocios o no, está expuesta a fallos en la seguridad de su información, y existe siempre una amenaza latente de que un evento o acción afecte a la organización en su capacidad de alcanzar sus objetivos o realizar sus estrategias. Esto es lo que identificamos como riesgo.
El
Consejo
Superior
de
Administración
Electrónica
de
España,
en
la
documentación de la metodología MAGERIT10 especifica una definición mas formal de riesgo: “Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos [de información] causando daños o perjuicios a la organización”.
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida estas características están en peligro.
10
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT). Tomo I : Método. Ministerio de Administraciones Públicas, Madrid 2006.
63
Esto se logra mediante un análisis de riesgos, el cual es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización. Realizar un análisis de riesgos es laborioso y costoso. Levantar un mapa de activos y valorarlos requiere la colaboración de muchos perfiles dentro de la organización, desde los niveles de gerencia hasta los técnicos. Y no solo hay que involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio entre todos pues, si importante es cuantificar los riesgos, más importante aún es relativizarlos. Y esto es así porque típicamente en un análisis de riesgos aparecen multitud de datos. La única forma de afrontar la complejidad es centrarse en lo más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o incluso despreciable. Por eso, si los datos no están bien ordenados en términos relativos, su interpretación es imposible.
El análisis de riesgos es una tarea mayor que requiere esfuerzo y coordinación. Por tanto debe ser planificada y justificada. En particular, en este estudio, las tareas relacionadas con el análisis de riesgos han sido probablemente las que más tiempo nos han requerido.
Finalmente, se debe tener bien claro que un análisis de riesgos es recomendable en cualquier organización que dependa de los sistemas de información y comunicaciones para el cumplimiento de su misión. En particular en cualquier entorno donde se practique la tramitación electrónica de bienes y servicios, sea en contexto público o privado. El análisis de riesgos permite tomar decisiones de inversión en tecnología, desde la adquisición de equipos de producción hasta el despliegue de un centro alternativo para asegurar la continuidad de la actividad, pasando por las decisiones de adquisición de salvaguardas técnicas y de selección y capacitación del personal.
4.2 ELEMENTOS Y TAREAS QUE CONFORMAN EL ANÁLISIS Existen dos elementos sobre los cuales esta fundamentado el análisis de riesgos:
64
Activos, que son los elementos del sistema de información (o estrechamente relacionados con este) que aportan valor a la organización.
Amenazas, que son situaciones que les pueden pasar a los activos causando un perjuicio a la organización.
Con estos elementos se puede estimar:
Los impactos: lo que podría pasar
Los riesgos: lo que probablemente pase
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: 1. Determinar los activos relevantes para la organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. 2. Determinar a qué amenazas están expuestos aquellos activos. 3. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. 4. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.
La siguiente figura ilustra en forma gráfica este proceso:
Fig. 4.1: Elementos del análisis de riesgos
65
4.3 IDENTIFICACIÓN DE ACTIVOS Se denominan activos a los recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.
El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes La organización internacional ISACA11 (Asociación para el control y auditoría de sistemas de información, por sus siglas en inglés)
en su metodología COBIT
(Objetivos de Control para las Tecnologías de Información) se refiere a los activos de información como recursos de tecnologías de información. En este estudio se ha usado el modelo de identificación de activos que COBIT propone, aunque vale la pena mencionar que las tipificaciones de activos de otros modelos de estándares o recomendaciones internacionales no varían mucho. En general, las categorías de los activos, tampoco deberían ser muy rígidas, pues deben permitir que una organización adopte las categorías que sean más adecuadas para su infraestructura de sistemas en particular.
Los recursos de TI identificados en COBIT se pueden definir como sigue:
La información son los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, en cualquier forma en que son utilizados por el negocio.
Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
La infraestructura: es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes,
11
ISACA es una organización ampliamente reconocida en los campos de seguridad informática y de la gestión de los recursos de información. Con más de 65.000 miembros en todo el mundo, esta organización se caracteriza por su diversidad. Los miembros viven y trabajan en más de 140 países y cubren una variedad de puestos profesionales relacionados con Tecnologías de información.
66
multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
Soportes de información: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información, dicho de otra forma son los medios de almacenamiento de datos.
Las personas: son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
La tipificación de los activos es tanto una información documental de interés como un criterio de identificación de amenazas potenciales y salvaguardas apropiadas a la naturaleza del activo.
La relación que sigue clasifica los activos dentro de una jerarquía, determinando para cada uno un código que refleja su posición jerárquica, un nombre y una breve descripción de las características que recoge cada categoría. Nótese que la pertenencia de un activo a un tipo no es excluyente de su pertenencia a otro tipo; es decir, un activo puede ser simultáneamente de varios tipos.
[D] Datos / Información Elementos de información que, de forma singular o agrupados, representan el conocimiento que se tiene de algo. Los datos son el corazón que permite a una organización prestar sus servicios. Son en cierto sentido un activo abstracto que será almacenado en equipos o soportes de información (normalmente agrupado en forma de bases de datos) o será transferido de un lugar a otro por los medios de transmisión de datos. Es habitual que en un análisis de riesgos e impactos, el usuario se limite a valorar los datos, siendo los demás activos sirvientes que deben cuidar y proteger los datos que se les encomiendan.
67
[SW] Aplicaciones (software) Con múltiples denominaciones (programas, aplicativos, desarrollos, etc.) este categoría se refiere a tareas que han sido automatizadas para su desempeño por un equipo informático. Las aplicaciones gestionan, analizan y transforman los datos permitiendo la explotación de la información para la prestación de los servicios. No preocupa en este apartado el denominado “código fuente” o programas que serán datos de interés comercial, a valorar y proteger como tales. Dicho código aparecería como datos.
[HW] Equipos informáticos (hardware) Se refiere a la infraestructura tecnológica, bienes materiales, físicos, destinados a soportar directa o indirectamente los servicios que presta la organización, siendo pues depositarios temporales o permanentes de los datos, soporte de ejecución de las aplicaciones informáticas o responsables del procesado o la transmisión de datos. Se incluye aquí también al equipamiento auxiliar informático, como es el caso de sistemas de generación de alimentación ininterrumpida (UPS), sistemas de cableado eléctrico y de redes de datos, etc.
[SI] Soportes de información En esta categoría
se consideran dispositivos físicos que permiten almacenar
información de forma permanente o, al menos, durante largos períodos de tiempo. [P] Personal En este epígrafe aparecen las personas relacionadas con los sistemas de información, como por ejemplo: usuarios externos, usuarios internos, operadores, administradores
de
sistemas,
administradores
de
comunicaciones,
administradores de bases de datos, desarrolladores, proveedores, etc.
68
4.3.1 Descripción del proceso de identificación de activos
Realización de entrevistas e inspecciones físicas.
Para proceder a iniciar el inventario de activos de información fue necesario realizar varias visitas a la institución, durante el período del 13 al 27 de abril de XXXX. Se coordinaron las visitas con la jefatura de la división de sistemas; quien designo personal del área de informática, para proporcionar el soporte necesario. La primera locación de la institución donde se realizó la identificación de activos fue la División de sistemas. Para recolectar los datos se entrevistaron los encargados de las diferentes divisiones dentro de la división de informática. Estas personas son los responsables de los activos que fueron inventariados dentro de la división de sistemas.
Como es de esperarse, se determinó que es en la división de sistemas donde se encuentra la mayor parte del equipo y herramientas de software de más alta criticidad, particularmente los servidores, bases de datos y las aplicaciones alojadas en estos equipos. Aquí que es donde se acumula la información que proviene de las personas de campo para ser utilizada en distintas formas para efectos de estadísticos y la distribución de estas a las distintas instituciones que de uno u otra forma analizan los informes finales.
Posteriormente se visitó el área de la dirección y sub dirección; y luego la división administrativa, para ello se contó con la asesoría del jefe de esta sección. Aquí se encuentran las áreas de Finanzas, Recursos Humanos, Colecturía, Pagaduría, Publicaciones e Impresiones, Servicios Generales de Mantenimiento, y Almacén.
Se entrevistó inicialmente al jefe de la división de precios, esta es una de las áreas que de acuerdo a nuestro análisis es de suma importancia en la parte operativa, ya que es aquí en donde se procesan
las estadísticas sobre un listado de
productos predeterminados, si han tenido alzas o bajas en precios.
69
Para continuar, se realizó en la división de estadísticas sociales el inventario correspondiente, y las entrevistas al responsable de esta área, que también de acuerdo a nuestro estudio ha sido considerada como otra de las divisiones con mayor importancia en cuanto a los procesos de información que tiene bajo su responsabilidad.
Por último se realizaron las entrevistas correspondientes en la división de censos y encuestas económicas con parte del personal y con el jefe de esta división. Esta división también es de
mucha importancia por los datos que mes a mes se
procesan. Cabe mencionar que esta sección no tiene ninguna relación al proyecto que actualmente se están realizando con las encuestas de población y vivienda.
El resultado de todas estas entrevistas y jornadas de inspección ha sido sintetizado en las tablas de inventarios de activos que se presentan en el siguiente apartado.
70
4.3.2 Tablas de inventario de activos
División o Departamento: División de Sistemas - Informática
DESCRIPCION Servidor DELL
Servidor DELL
Servidor DELL
Servidor DELL
Servidor DELL Servidor DELL Servidor DELL Servidor DELL
FINALIDAD Controlador de Dominio, (Windows 2003 Server, Active Directory). Proxy Server, Seguridad Internet (Windows 2003 Sever, ISA Server) Web Server (Windows 2003 Server, IIS) SQL Server (Windows 2003 Server, MS SQL Server 2005) Correo (Windows 2003 Server, MS Exchange ) File Server (Windows 2003 Server) Back Up Server (Windows 2003 Server) Concentrador de VPN’s ISA Server
CATEGORIA
CRITICIDAD
SW, HW, SI
alto
SW, HW, SI
medio
SW, HW, SI
alto
SW, HW, SI
alto
SW, HW, SI
alto
SW, HW, SI
alto
SW, HW, SI
alto
SW, HW, SI
medio
FW Cisco Pix
Firewall
HW
alto
Modem ASCOM V. 35/ Router 1600 Cisco Switch Cisco/ Linksys SW 2024
Conexión a Internet (pertenece al proveedor)
HW
medio
LAN de servidores
HW
alto
HW
alto
HW
alto
SW DELL Transceivers (5) Convertidores IO/ETL Bracket Patch Panel (24) UPS PowerWare (2) 9125 2.2 KVA UPS Smart Central (3) 1 KVA
LAN Estaciones de trabajo de Informática Interconexión Red de Fibra (Red de Campus) LAN de informática
HW
Protección Servidores
HW
Protección Comunicación
HW
alto Alto
71
PC soporte (1) PC Soporte Técnico (2) Computadoras Computadora Computadoras Cisco Linksys Switch 24 Puertos Laptop y Cañon Aplicaciones (.NET) internas alojadas en SQL SERVER Base de Datos, SQL Producción Aplicación Precios (FOX) alojada en FILE SERVER Base de Datos Precios(FOX) Alojada en FILE SERVER. Base de Datos ISSA (FILE SERVER) Base de Datos CSPRO (FILE SERVER) Aplicación Activo Fijo y base de Datos (SQL SERVER) Base de Datos, SQL Test/Desarrollo
Jefatura Soporte (Monitoreo) Soporte Técnico 6 Programadores 1 secretaria 2- jefaturas
SW, HW
alto
SW, HW D D D
medio alto medio alto
LAN Soporte Técnico
HW
medio
Uso de Presentaciones y Varios
HW
bajo
Div. Censos y Enc. Econ
SW
alto
SQL Server
D
alto
Div. Precios
SW
alto
Div. Precios
D
alto
Div. Estadist. Sociales
D
alto
Div. Estadist. Sociales
D
alto
Div. Administrativa
SW
alto
SQL Server
D
alto
72
División o Departamento: División de Sistemas – Captura de Datos DESCRIPCION 7 Computadoras 1 Computadora 1 Computadora 1 Computadora 5 Computadoras 1 Computadora Hub 16 puertos INTEL 8 UPS, CDP 0.5 KVA Impresor Láser en Red, Lexmark Imp. Térmicas TSC 2 Scanner Spectrum Alta Velocidad
FINALIDAD Digitación Depuración Muestra Jefatura Digitalización Terminal Patrones Diseño LAN Protección Equipo de Cómputo
CATEGORIA SW, HW, SI SW, HW, SI SW, HW, SI SW, HW, SI SW, HW, SI SW, HW, SI SW, HW, SI
CRITICIDAD bajo bajo bajo bajo bajo bajo bajo
HW
bajo
Impresiones Varias
HW
bajo
HW
bajo
HW
bajo
FINALIDAD
CATEGORIA
CRITICIDAD
Finanzas
SW, HW, SI
medio
Colecturía
SW, HW, SI
bajo
Pagaduría
SW, HW, SI
bajo
Publicaciones e Impresiones
SW, HW, SI
bajo
Servicios Generales Mantenimiento, Transporte, Ordenanza
SW, HW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
medio
SW, HW, SI
medio
Impresor viñetas para encuestas (externo) 2 Digitalización y Captura de Datos
División o Departamento: Dirección Administrativa DESCRIPCION 1 Impresor, 2 computadoras UPS 4 Impresores, 3 computadoras UPS 1 Impresor, 2 computadoras UPS 2 Impresores, 2 computadoras UPS 2 Impresores, 2 computadoras UPS
1 Impresor, 2 Almacén( papelería y útiles) computadoras UPS 1 impresor de Area, 3 Contabilidad computadoras UPS 3 Impresores de Area, 2 Jefatura de la División computadoras UPS Administrativa
73
División o Departamento: Dirección y Sub-dirección DESCRIPCION
FINALIDAD
CATEGORIA
CRITICIDAD
1 Impresor, 1-PC- 1 UPS
Uso de subdirector
SW, HW, SI
alto
1 Impresor, 1PC- 1 UPS
Tareas secretariales
SW, HW, SI
alto
1 Laptop
Uso del director
SW, HW, SI
alto
División o Departamento: División de Precios.
DESCRIPCION 1 Impresor p/todos matricial p/ boletas ( exclusivo), 3 computadoras + UPS 1 Computadora + UPS 3 Computadoras +UPS 2 Computadoras
FINALIDAD Procesamiento de Información Procesos de Controles Control de Calidad Captura de Datos Reciben Datos de Encuestas en la Calle Para Secretaria y Jefatura
CATEGORIA CRITICIDAD SW, HW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
medio
División o Departamento: División de Estadísticas Sociales.
DESCRIPCION 1 Switch 12 Puertos Cisco SW2024, 1 Regulador de Voltaje 7 Computadoras, 6 Reguladores de voltaje 5 Computadoras 5 Computadoras, 3 Reguladores 1 Fotocopiadora Xerox, 1 Impresor Canon
FINALIDAD
CATEGORIA
CRITICIDAD
Red y equipamiento auxiliar.
HW
medio
Digitadores
HW, SW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
bajo
HW
bajo
1 Cultural, 3 Áreas Vitales, 1 Programador Análisis y digitalización de Ingresos y Gastos Encuestas de Hogares Metodología
74
8 computadoras, 5 reguladores de voltaje 6 fijas, 2 impresores 6 computadoras
Encuestas de Hogares Metodología Área de Campo 4 Metodología, 2 administrativos, 2
Área de Campo para Levantamiento, y 5 Pc, 4 UPS, 1 recopilación de Impresor Lasser hp 1320 encuestas Socioeconómicas
SW, HW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
Bajo
División o Departamento: Dirección Censos y Encuestas Económicas.
DESCRIPCION 1 Computadora 1 Switch 8 puertos SRW 2024,
5 computadoras, 2 UPS
FINALIDAD Área de Campo 1, Critica y Codificación, Control de Calidad Área de Campo 1 Critica y Codificación, Control de Calidad Área de Campo 1 Encuestas Humanas, Sistemas de Cuentas Nacionales
1 Switch 24 puertos Nortel networks
9 Pc´s, 2 impresores y 7 reguladores
1 Switch 14 Puertos, Super Stack 3Com 1 Switch 24 puertos DELL 5324 Power Conect, 1 UPS
LOCALIZACION CRITICIDAD HW, SW, SI
Bajo
HW
Medio
HW, SW, SI
HW Área de Campo 2 Unidad de Encuestas (Critica y Reportes de supervisores) Área de Campo 2
Metodología
HW, SW, SI
HW
HW
Bajo
Medio
Bajo
Medio
Medio
75
Elaboración de Boletas, Manuales Instructivos, 1 Impresor, 7 UPS, y 10 Generación de computadoras Información, Generación de Gráficas Metodología 1 Laptop encuestas Económicas exclusivamente
HW, SW, SI
Bajo
HW, SW, SI
Medio
1 Impresor OKI B6300
Uso general
3 Computadoras, 3 UPS
Metodología 2 Análisis, Muestreo
HW, SW, SI
Bajo
1 Switch 24 puertos Nortel Networks cat 5 e, 1 Switch centre Com 724
Metodología Proyectos. (Soporta Solvencias, colectaría y encuestas económicas)
HW
Medio
7 cpu, 5 UPS
Solvencias, para matrículas de comercio
HW, SW, SI
Bajo
HW
Bajo
4.4 IDENTIFICACIÓN DE AMENAZAS El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a los activos en cuestión y causar un daño. Hay accidentes naturales (terremotos, inundaciones, etc.) y desastres industriales (contaminación, fallos eléctricos) ante los cuales el sistema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay amenazas causadas por las personas, bien errores, bien ataques intencionados.
Junto con las amenazas trataremos también las vulnerabilidades de los sistemas. Existe una relación muy estrecha entre amenazas y vulnerabilidades como factores propiciadores de los riesgos. Como ya se explico previamente, en el capítulo 1 de este trabajo, amenaza se refiere a un peligro latente o un factor de riesgo externo
de un sistema o de un sujeto expuesto, en cambio, la
vulnerabilidad se entiende, en general, como un factor de riesgo interno que
76
determina la factibilidad de que el sujeto o sistema expuesto sea afectado por el fenómeno que caracteriza la amenaza
En este estudio se ha realizado un proceso de revisión de amenazas típicas de sistemas de información, basándonos en el catálogo de amenazas propuesto por MAGERIT12 y partir de ellas se han examinado las vulnerabilidades que puedan existir a nivel de la organización, y que generan un aumento en la probabilidad de que la amenaza se materialice en los activos expuestos. 4.4.1 Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el activo
Frecuencia: cada cuánto se materializa la amenaza
La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no son
intencionales,
probablemente
baste
conocer la
fracción
físicamente
perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma selectiva.
12
MAGERIT v 2.0: Metodología de Administración y Gestión de riesgos en Tecnologías de Información. “Tomo II : Catalogo de Elementos”. Ministerio de Administraciones Públicas, Madrid, 2006.
77
La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materialización; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un daño considerable. La frecuencia se modela como una tasa anual de ocurrencia, siendo valores típicos:
Muy frecuente
a diario
Frecuente
mensualmente
Normal
una vez al año
Poco frecuente
cada varios años
78
4.4.2 Tablas de amenazas y vulnerabilidades
Se presenta a continuación un catálogo de amenazas posibles sobre los activos de un sistema de información. Para cada amenaza se presenta un cuadro como el siguiente:
[código] Título descriptivo de la amenaza Tipos de activos:
Dimensiones13 :
que se pueden ver afectados 1. de seguridad que se pueden ver por este tipo de amenaza
afectadas por este tipo de amenaza, ordenadas de más a menos relevante
Descripción: Complementaria o más detallada de la amenaza. Lo que le puede ocurrir a los activos del tipo indicado con las consecuencias indicadas
Por otro lado, las amenazas han sido agrupadas según la naturaleza de sus causas, siendo estas las siguientes:
Desastres Naturales.
De origen Industriales.
Errores no Intencionados.
Ataques Deliberados.
13
No debe olvidarse que este estudio esta enfocado a la identificación de riesgos que atentan contra la disponibilidad, por lo tanto nos limitaremos a mencionar todas las dimensiones de la seguridad que pueden verse comprometidas ante una amenaza en particular, pero al momento de priorizar los riesgos, nos centraremos únicamente en un enfoque que priorice los impactos sobre la dimensiones de la disponibilidad. Ciertas amenazas que no comprometen el estado de disponibilidad de los activos de información tampoco han sido tomadas en cuenta en este estudio.
79
4.4.2.1 Amenazas relacionadas con desastres naturales [N] Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. A-N.1 : FUEGO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción Incendios: posibilidad de que el fuego acabe con recursos del sistema
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sensores de humo o alarma contra incendios
No existen suficientes extintores de incendios, o no están distribuidos en los sitios claves de manejo de información.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios críticos de manejo de información.
Hay paredes de concreto pero también hay paredes de material inflamables tales como madera o plywood.
80
A-N.2 : DAÑOS POR AGUA Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Descripción Inundaciones: posibilidad de que el agua acabe con recursos del sistema.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Las locaciones donde se ubican activos de información son susceptible a filtraciones de agua, incluyendo aquellas donde están activos críticos.
Podrían generarse problemas debido a las instalaciones de fontanería que no son las mas adecuadas. Los baños están junto al cuarto de servidores.
No existe un sistema de drenaje de emergencia.
Atenuantes de las Vulnerabilidades:
Se han tomado algunas contramedidas para evitar que el agua llegue hasta los centros de cómputo, como por ejemplo ubicar equipos críticos en plataformas para elevar la altura a la que están situados los servidores.
81
A-N.3 : DESASTRES NATURALES Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción Otros incidentes que se producen sin intervención humana: rayo, tormenta eléctrica, terremoto, ciclones, avalancha, deslaves o derrumbes, etc. Se excluyen desastres específicos tales como incendios e inundaciones.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Aunque
se
ha
instalado
recientemente
un
pararrayos
con
su
correspondiente aterrizado, este no se cumple la normativa de punto único de conexión del sistema de tierras, lo que constituye una tierra aislada. Según el Código de Electricidad (NEC)14 esto no ofrece la protección adecuada y constituye un riesgo para equipos electrónicos sensibles.
No existen planes de emergencia a nivel del personal sobre que hacer en casos de desastre, como por ejemplo un terremoto.
No se cuenta con un sitio alterno de operación o al menos un sitio diferente (separado geográficamente) donde se almacenen copias de respaldo (backups) de la información y las aplicaciones de misión critica de la organización.
Atenuantes de las Vulnerabilidades:
14
2005 NEC :Nacional Electrical Code Handbook.
82
El edificio no es anti-sísmico, pero su estructura ha probado ser resistente a Sismos.
No existen reportes de daños estructurales provocados por sismos anteriores.
No se evidencian paredes agrietadas de las cuales se sospeche que puedan representar peligros.
No existen condiciones que lo hagan susceptibles a deslaves, avalanchas, erupciones volcánicas.
4.4.2.2 Amenazas de origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o deliberada. A-I.1 : FUEGO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción Incendio: posibilidad de que el fuego acabe con los recursos del sistema.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sensores de humo o alarma contra incendios
83
No existen suficientes extintores de incendios, o no están distribuidos en los sitios claves de manejo de información.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios críticos de manejo de información.
Hay paredes de concreto pero también hay paredes de material inflamables tales como madera o plywood.
Las instalaciones eléctricas no tienen un mantenimiento adecuado. No hay una certificación que avale si estas son 100% seguras. Sin embargo, tampoco se han registrado mayores incidentes relacionados con cortos circuitos en instalaciones eléctricas.
Las ducterías eléctricas y de datos usan poliductos, el cual es un material altamente inflamable.
No existen extintores adecuados de polvo químico especiales para fuego eléctrico y equipos electrónicos en el centro de cómputo.
No se tiene certeza sobre si se les proporciona el adecuado mantenimiento a los extintores que existen.
A-I.2 : DAÑOS POR AGUA Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Descripción Inundaciones: posibilidad de que el agua acabe con recursos del sistema.
84
Vulnerabilidades detectadas relacionadas a esta amenaza:
Podrían generarse problemas debido a las instalaciones de fontanería que no son las más adecuadas. Los baños están junto al cuarto de servidores.
No existe un sistema de drenaje de emergencia.
A-I.3: DESASTRES INDUSTRIALES Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción Otros desastres debidos a la actividad humana: explosiones, derrumbes, contaminación química, sobrecarga eléctrica, fluctuaciones eléctricas, ... accidentes de tráfico, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay materiales que puedan producir explosiones.
Si hay problemas de suministro eléctrico. Problemas de calidad de energía.
Se dan problemas de fluctuaciones de energía. Picos de voltaje. Problemas de picos transitorios que afectan los equipos informáticos. Existen antecedentes de daños a equipos por esta causa.
La mayoría de
UPS que se tienen no ofrecen la adecuada protección
contra problemas de calidad de energía.
Existe un UPS de gran capacidad que aun no ha sido conectado.
Uso de regletas corrientes sin protección.
85
Las acometidas de datos o eléctricas son susceptibles a daños por accidentes de tráfico en los postes de los tendidos eléctricos. También son susceptibles a robo de cables.
Atenuantes de las Vulnerabilidades:
Si se cuentan con algunos UPS que tienen este tipo de protección pero son únicamente para los servidores críticos. También se cuenta con un regulador de voltaje que protege un circuito donde se conectan equipos de misión crítica.
A-I.4: CONTAMINACIÓN MECÁNICA O DE AMBIENTE. Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Descripción Vibraciones, polvo, suciedad
Vulnerabilidades detectadas relacionadas a esta amenaza:
Problemas de excesivo polvo sobre los equipos. En ocasiones el viento levanta las losas del cielo falso y debido a eso cae bastante polvo.
Esta situación ocurre en los sitios del centro de cómputo y en casi todas las demás oficinas donde hay equipos informáticos.
86
A-I.5: INTERFERENCIA ELECTROMAGNETICA Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Soporte de Información
2. Trazabilidad de los servicios
(medios electrónicos)
3. Trazabilidad de los datos
Descripción Interferencias de radio, campos magnéticos, luz ultravioleta
Vulnerabilidades detectadas relacionadas a esta amenaza:
Las redes inalámbricas tienen cierto nivel de protección de acceso y encripción de datos usando protocolo WEP, aunque se conoce que este puede
ser
fácilmente
descifrado,
lo
cual
podrá
comprometer
la
disponibilidad.
Fuera de ello, se considera que no existen mayores incidentes al respecto que demuestren vulnerabilidades en este punto.
Existen servicios de redes inalámbricas en la institución pero funcionan adecuadamente y no interfieren en la operación normal.
A-I.6: AVERÍAS DE ORIGEN FÍSICO O LÓGICO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Software (Aplicaciones)
2. Trazabilidad de los servicios
Datos e Información
3. Trazabilidad de los datos
Soporte de Información
Descripción Fallos en los equipos y/o fallos en los programas. Puede ser debida a un defecto de origen u ocurrida durante el funcionamiento del sistema. En sistemas de propósito específico, a veces es difícil saber si el origen del
87
fallo es físico o lógico; pero para las consecuencias que se derivan, esta distinción no suele ser relevante.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe una infraestructura formal de back up, aunque se pueden usar equipos del stock de partes de Informática para cubrir algún equipo que se haya dañado.
Atenuantes de las Vulnerabilidades:
Los equipos de
misión crítica gozan de alta confiabilidad en su
funcionamiento. No hay mayores incidentes que hagan constatar fallas de origen lógico o físico.
Las PC´s de uso general si pueden presentar fallas, pero estas son corregidas a través de la garantía del fabricante o por el departamento de soporte interno.
Otros equipos en general no han presentado mayores problemas en cuanto a fallas por defectos de fabricación o mala calidad. Las fallas experimentadas generalmente son producidas por factores externos como el suministro eléctrico.
Las computadoras son de fabricantes reconocidos, de buena calidad y con garantía.
88
A-I.7: CORTE DEL SUMINISTRO ELÉCTRICO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
(electrónicos) Descripción Cese de la alimentación eléctrica.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No todos los equipos informáticos son alimentados mediante UPS, pero si todos los equipos que son considerados de misión critica (Servidores, dispositivos de comunicaciones, etc.)
Ya se compro una planta eléctrica. Pero esta no ha sido instalada aun. Tampoco existe una planificación conocida que diga cuando se realizará esta Instalación para saber cuando estará en servicio.
Cortes de energía prolongados (más de veinte minutos) requerirán que los equipos de misión crítica de la institución sean apagados. No existirá disponibilidad de los servicios de información en la institución durante el lapso que dure el corte de energía.
La red interna de suministro eléctrico no esta bien identificada y tampoco tiene el mantenimiento óptimo para garantizar la seguridad de estas instalaciones. Los sistemas eléctricos podrían ser susceptibles a cortos circuitos que podrían provocar la interrupción del suministro total o parcial, debido a la quema de fusibles de protección, o la apertura de un circuito de protección térmica.
89
A-I.8: CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Soporte de Información
2. Trazabilidad de los servicio 3. Trazabilidad de los datos
Descripción Deficiencias en la climatización de los locales, excediendo los márgenes de trabajo de los equipos: excesivo calor, excesivo frío, exceso de humedad, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los aires acondicionados de la sala de equipos críticos no tienen el mantenimiento adecuado. Presentan problemas de goteo constante y excesivo en sus bandejas de drenaje.
Los aires acondicionados de misión crítica no son del tipo llamado “aires acondicionados de precisión”, los cuales son los equipos idoneos para el enfriamiento de cuartos de equipos. Los equipos actuales, no tienen control sobre la humedad relativa del ambiente, lo cual podría resultar en daños en tarjetas electrónicas.
Atenuantes de las vulnerabilidades:
El funcionamiento de los aires en cuanto a regulación de temperatura es aceptable. La capacidad de enfriamiento esta bien.
A-I.9: FALLO DE SERVICIOS DE COMUNICACIONES Tipos de Activos
Hardware (equipos de
Dimensiones 1. Disponibilidad
comunicaciones)
Software (Aplicaciones en Red)
90
Descripción Cese de la capacidad de transmitir datos de un sitio a otro. Típicamente se debe a la destrucción física de los medios físicos de transporte o a la detención de los centros de conmutación, ya sea por destrucción, detención o simple incapacidad para atender al tráfico presente.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Existe siempre la posibilidad de que estos servicios fallen debido a diferentes causas, por lo general debido a causas imputables a los proveedores de servicio. Estas fallas pueden ser por problemas en los equipos o por problemas en los medios de transmisión.
No existe infraestructura de comunicaciones alterna o de respaldo, de modo que pueda suplir los servicios de comunicaciones en caso de que los servicios principales de comunicaciones falle.
Atenuantes de las Vulnerabilidades:
El nivel de servicio de los proveedores de comunicaciones ha resultado ser bastante bueno. Las incidencias en cortes de estos servicios es mínima. En promedio un corte mensual, tiene una duración promedio aproximada de 20 minutos.
El servicio de comunicación es únicamente de conexión a Internet y en cierta medida NO se considera el servicio de conexión a INTERNET como de misión critica y puede estar fuera lapsos mayores de tiempo (Este lapso será determinado cuando se estudie el nivel residual de riesgo que será aceptable para la organización).
Si se publica el sitio web de la institución a través de esta vía, pero una interrupción de este servicio podría estar entre los riesgos aceptables por la institución, hasta un tiempo máximo que determine la institución.
91
En los servicios de comunicación de la red interna, existe un tramo de fibra que ha presentado mal funcionamiento, se presume que esta defectuoso. Ha sido reemplazado por Cable de cobre UTP, con lo que se ha solucionado el problema.
Las capacidades de los equipos de comunicación internos (Switches y Routers) cumplen adecuadamente con los requerimientos y la demanda de tráfico de la Institución.
A-I.10: INTERRUPCIÓN DE OTROS SERVICIOS Y SUMINISTROS ESENCIALES Tipos de Activos
Hardware, equipos auxiliares
Dimensiones 1. Disponibilidad
Descripción Otros servicios o recursos de los que depende la operación de los equipos; por ejemplo, papel para las impresoras, toner, refrigerante,
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se considera que existan vulnerabilidades para a este tipo de amenazas.
A-I.11: DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN Tipos de Activos
Soporte de Información
Dimensiones 1. Disponibilidad 2. Trazabilidad de los servicios 3. Trazabilidad de los datos
Descripción Como consecuencia del paso del tiempo.
92
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay una ubicación adecuada para almacenar y resguardar soportes de información (medios magnéticos, medios ópticos, documentos en papel)
Los backups se hacen en medios ópticos (DVD’s y CD’s)
Documentos en papel no se convierten a otro medio (no se digitalizan). Estos documentos son susceptibles a los daños que pueda sufrir el papel como consecuencia de un proceso de archivado inadecuado o daños provocados por el paso del tiempo.
Atenuantes de las Vulnerabilidades:
Se pretende que en un futuro los documentos en papel puedan digitalizarse, pero no se especifica cuando será realizado esto.
4.4.2.3 Amenazas debido a errores y fallos no intencionados Fallos no intencionales causados por las personas. La numeración no es consecutiva, sino que está alineada con los ataques deliberados, muchas veces de naturaleza similar a los errores no intencionados, difiriendo únicamente en el propósito del sujeto.
A-E.1: ERRORES DE LOS USUARIOS. Tipos de Activos
Dimensiones
Datos e Información
1. Disponibilidad
Software (Aplicaciones)
2. Integridad.
Descripción Equivocaciones de las personas cuando usan los servicios, datos, etc.
93
Vulnerabilidades detectadas relacionadas a esta amenaza:
La capacitación que se da a los usuarios nuevos puede en algunos casos no ser muy extensa y completa, lo cual podría generar cierto nivel de inexperiencia y desconocimiento de las aplicaciones.
Resulta imposible predecir el comportamiento de los usuarios y la incidencia de errores provocados por estos. Siempre existe la posibilidad de que se comentan errores al introducir datos o manipular información, pero se estima que estos pueden ser detectados rápidamente, y se valora que esto no es un factor que compromete la seguridad del sistema debido a que ya existen controles que buscan prevenir y corregir errores de esta naturaleza. Estos son detallados a continuación.
Atenuantes de las vulnerabilidades:
Los usuarios con mas de un año en sus puestos, conocen bien el sistema. El porcentaje de rotación de personal en la institución es relativamente bajo.
Los sistemas tienen control de calidad para verificar la no existencia de errores o inconsistencias en la generación de los datos
Se considera mínima la posibilidad de que un error de usuario normal atente contra la disponibilidad del sistema.
Los
usuarios
normales
no
tienen
posibilidad
de
borrar
datos
accidentalmente.
Existen mecanismos de control que evitan que los usuarios manipulen la información más allá de lo que están autorizados a realizar.
94
A-E.2: ERRORES DEL ADMINISTRADOR Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Integridad
Software (Aplicaciones)
3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Equivocaciones
de
personas
con
responsabilidades
de
instalación,
administración y operación.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Si se tiene bien delimitados el grupo de administradores y subadministradores. En cada división se han delegado personas responsables con permisos de administración sobre sus propios sistemas. Esto no constituye una vulnerabilidad siempre y cuando estas personas estén debidamente capacitadas, y se compruebe que efectivamente el diseño del sistema de directorio restringe adecuadamente los permisos de cada responsable solo a los equipos que les corresponde
Se hacen backups o copias de respaldo antes de ejecutar cambios o manipular los sistemas, pero esto queda a discreción de quien ejecutará los cambios, no es una política obligatoria.
El grupo de administradores globales pertenecen a informática y están delimitadas sus funciones y derechos de administración sobre los sistemas, sin embargo una sola persona maneja la administración de los equipos más críticos, lo cual podría ser un problema en caso de ausencia de esa
95
persona, por otro lado los demás administradores no están familiarizados con esos sistemas.
No se manejan bitácoras de logs o cambios en los sistemas.
Atenuantes de las Vulnerabilidades:
Implementaciones de cambios, aplicaciones nuevas, equipos nuevos o cambio de equipos críticos, se prueban en un ambiente aislado de forma de no interferir con el ambiente de producción.
A-E.3: ERRORES DE MONITORIZACIÓN Tipos de Activos
Dimensiones
Datos e Información
1. Trazabilidad del servicio
Software (Aplicaciones)
2. Trazabilidad de los datos
Descripción Inadecuado registro de actividades: falta de registros, registros incompletos, registros incorrectamente fechados, registros incorrectamente atribuidos, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe ninguna monitorización de logs. Los logs generados por algunos sistemas como servidores, controlador de dominio, equipos de seguridad y comunicaciones están disponibles (según la forma de admón. propia de cada equipo) pero no son monitoreados constantemente, sin embargo, el administrador manifiesta que podrían ser usados en caso de un problema.
No existe registro automatizado de cambios o manipulaciones en los sistemas. Si se tiene un registro manual de cambios, pero es una bitácora en archivo de texto que se digita en forma manual. Este archivo esta expuesto a quedar desactualizado si no se digita la información de los
96
sucesos, conforme van ocurriendo. También podría ser borrado o accesado por personas no autorizadas.
No se ha implementado algún sistema de notificación automática o de alarmas según la magnitud del incidente reportado a partir de los logs.
No existen políticas de almacenamiento de los logs reportados por el sistema. No se tienen directrices sobre si estos deben ser reciclados o almacenados, y cuanto tiempo deben almacenarse en caso de que se hiciera esto último.
Las auditorias de software son hechas por la corte de cuentas pero no contemplan auditorias de los logs de mantenimiento de los equipos y servicios. Tampoco realiza esta función ninguna otra entidad, externa o interna en la institución.
Atenuantes a las Vulnerabilidades:
Existe monitorización de la disponibilidad en red de los servidores y los equipos de comunicación.
A-E.4: ERRORES DE CONFIGURACIÓN Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Integridad
Software (Aplicaciones)
3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Introducción de datos de configuración erróneos. Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, enrutamiento, etc.
97
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se tiene documentación del funcionamiento y configuración de las aplicaciones de producción desarrolladas internamente, aunque ya se tiene en proyecto la realización de esta.
No existe documentación de las aplicaciones de software que usa la organización,
especialmente
de
las
que
han
sido
desarrolladas
internamente en la organización. En el caso de aplicaciones comerciales o de licencia abierta, en la mayoría de los casos no se tiene a la mano, pero el administrador afirma que podría conseguirse fácilmente.
No existe una documentación de las configuraciones del directorio de usuarios (Active Directory) o de otros servicios esenciales para la organización.
Atenuantes a las vulnerabilidades:
Documentación de inventario de activos de información es realizada en coordinación con el departamento de activo fijo de la institución (Div. Administrativa) El software también esta incluido en estos inventarios pues se considera como parte de activo fijo.
Los equipos, servicios y aplicaciones son implementados por el personal de informática que conoce y administra adecuadamente el entorno de configuración de la empresa.
Se tiene debidamente documentado la base de configuraciones de las redes de comunicaciones de los equipos.
Si se tiene un control propio por parte de informática de la base de datos de configuraciones de los equipos. Este control es un archivo de Excel en la máquina del administrador.
98
A-E.7: DEFICIENCIAS EN LA ORGANIZACIÓN Tipos de Activos
Personal
Dimensiones 1. Disponibilidad
Descripción Cuando no está claro quién tiene que hacer exactamente qué y cuándo, incluyendo tomar medidas sobre los activos o informar a la jerarquía de gestión. Se puede caer en acciones descoordinadas, errores por omisión, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
El administrador principal de la plataforma sostiene que no existen mayores problemas respecto a esta amenaza. Sin embargo, en la inspección se ha apreciado que no existe planes de contingencia de ningún tipo en caso de situaciones catastróficas. Debido a esto puede suponerse que es muy probable que en situaciones de emergencia, no se tengan claras las acciones que deban tomarse a fin de proteger y salvaguardar la integridad de las personas, minimizar los impactos sobre los activos de información y lograr la recuperación de los sistemas y servicios en el menor tiempo posible. Este estudio pretende justamente corregir esta situación.
No se ha podido tener acceso al documento de políticas de seguridad de la institución que debiera establecer las directivas principales de la organización sobre las cuales se fundamenta la administración y el uso de los recursos de información, a fin de garantizar que dicha información mantenga su condición de segura. Los responsables de informática de la institución manifiestan que si existe este documento, pero debido a que se ha solicitado varias veces y no se nos ha proporcionado, puede presumirse que talvez este ha sido extraviado o no se dispone en forma inmediata de él.
99
Por otro lado, los usuarios no conocen el contenido de este documento, por lo que se presume que tampoco tengan claras cuales sean las disposiciones de la institución en materia de seguridad.
A-E.8: DIFUSION DE SOFTWARE DAÑINO Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción propagación en forma no intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se realizan pruebas controladas del funcionamiento efectivo de los equipos de seguridad como por ejemplo el servidor de antivirus, aunque el funcionamiento del servidor constata que este es efectivo puesto que ha demostrado detener virus.
Ya han sucedido problemas de infección masiva en equipos causados por virus, pero después de la instalación del servidor de AV esto no se ha vuelto a presentar.
No se cuenta con una solución que filtre el contenido de paquetes de Internet para evitar que se ejecuten en forma no autorizada códigos
100
maliciosos a través de paginas web en las que los usuarios naveguen sin darse cuenta que pueden ser objetos de un incidente de seguridad.
No se cuenta con mecanismos de control que evite que los usuarios puedan navegar a través de sitios web que sean potencialmente peligrosos. El firewall con el que se cuenta no es capaz de filtrar a este nivel.
No hay controles sobre el uso de dispositivos de almacenamiento portátil (memorias USB, discos flexibles, discos duros externos, etc), o sobre los puertos de conexión de los mismos en las computadoras y servidores.
Atenuantes a las Vulnerabilidades:
AV en todas las máquinas. Hay un servidor centralizado que despliega las actualizaciones de AV.
El servidor del AV monitorea
a los dispositivos cliente y reporta
debidamente actividades que puedan generar incidentes de seguridad a nivel de software y hardware. Equipos infectados etc.
El servidor tiene las políticas configuradas para que tome decisiones y acciones cuando encuentra problemas de Virus o similares.
Las máquinas son activadas con el FW de Windows, y este no puede ser desactivado por los usuarios.
Se contempla dentro de las políticas de seguridad en la institución que esta prohibido instalar software no autorizado por Informática. Esta política es cumplida en forma obligatoria a nivel de sistema operativo y mediante permisos del sistema de directorio de usuarios, de modo que los usuarios no tienen privilegios para instalar software no autorizado
Se instalan de forma automática los parches de seguridad requeridos por los sistemas operativos de las estaciones de trabajo y de los servidores. Esto se hace a través de una herramienta de software instalada en un servidor que baja las actualizaciones del Internet y las aplica a todos los equipos que han sido configurados en el entorno de la red de la institución.
101
A-E.9: ERRORES DE ENRUTAMIENTO Tipos de Activos
Dimensiones
Datos e Información
1. Integridad
Software (Aplicaciones)
2. Confidencialidad 3. Autenticidad del servicio 4. Autenticidad de los datos
Descripción Envío de información a través de un sistema o una red usando, accidentalmente, una ruta incorrecta que lleve la información donde o por donde no es debido; puede tratarse de mensajes entre personas, entre procesos o entre unos y otros. Es particularmente destacable el caso de que el error de enrutamiento suponga un error de entrega, acabando la información en manos de quien no se espera.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se dispone de herramientas de análisis de tráfico en la red que permitan detectar errores en la entrega de paquetes de datos a través de las redes de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen paquetes de información hacia receptores diferentes que no sean los legítimos destinatarios de los servicios de comunicaciones.
No existen registros o logs de confirmaciones y entregas, así como de tráfico entrante y saliente que permita corroborar el funcionamiento correcto de la red o detectar alguna anomalía que pueda darse en el entorno de esta.
102
A-E.10: DESTRUCCIÓN DE LA INFORMACIÓN Tipos de Activos
Datos e Información
Dimensiones 1. Disponibilidad
Descripción Pérdida accidental de información. Esta amenaza sólo se identifica sobre datos en general, pues cuando la información está en algún soporte (medio) de información específico, hay amenazas específicas que aplican.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Se tiene como práctica frecuente la realización de copias de backup de los datos de las aplicaciones criticas que residen en servidores, así como de los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas copias se realizan en medios ópticos (DVD’s) y no se cuenta con un adecuado almacenamiento de estos medios, estos son susceptibles a extravío, sustracción o deterioro.
No se cuenta con un sitio alterno de operación o al menos un sitio diferente (separado geográficamente) donde se almacenen copias de respaldo (backups) de la información y las aplicaciones de misión crítica de la organización.
No se realizan copias de respaldo en forma regular y periódica de los archivos y documentos de los usuarios que aunque no son críticos, si se consideran necesarios para la gestión de las operaciones de la organización. Varios procesos son realizados utilizando hojas de cálculo elaboradas en Excel, cuyos formatos genéricos no son respaldados para su debida protección. De la misma forma, otros archivos, documentos o aplicaciones que pueden ser considerados importantes para propósitos
103
administrativos u operacionales y que residen en las computadoras de los usuarios.
Atenuantes de las vulnerabilidades:
Cuando se realizaran cambios en las estaciones de trabajo de los usuarios y se estima que estos cambios podrían alterar en algún modo el funcionamiento normal de estos equipos, se realiza un respaldo preventivo de la información pertinente a las operaciones de la institución. Estos respaldos son efectuados por personal de soporte técnico, debidamente capacitado para estas tareas.
A-E.11: VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE) Tipos de Activos
Dimensiones
Datos e Información
1. Integridad
Software (Aplicaciones)
2. Confidencialidad 3. Disponibilidad
Descripción Defectos en el código que dan pie a una operación defectuosa sin intención por parte del usuario, pero con consecuencias sobre la integridad de los datos o la capacidad misma de operar.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se han efectuado auditorias de configuración y vulnerabilidad de los programas para comprobar si estos son susceptibles a manipulación
104
externa o interna, y si existen vulnerabilidades inherentes al código de las aplicaciones desarrolladas o a las transacciones que se efectúan en las bases de datos.
Debido a que no se cuenta con documentación sobre las la costrucción de las aplicaciones desarrolladas internamente, no se puede establecer con certeza si estas carecen de errores en sus procedimientos de validación de entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa un sistema no sea comprobada adecuadamente de forma que una vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.
Atenuantes de las Vulnerabilidades:
En un ambiente aislado de desarrollo y pruebas, se realizan procesos de control de calidad para comprobar que los programas funcionan adecuadamente antes de que estos sean implementados en el directorio de programas de gestión y producción de la institución.
Se aplican regularmente todos los parches recomendados por los fabricantes a todos los servidores y se tiene especial cuidado con el servidor que aloja el manejador de las bases de datos (MS-SQL). Las aplicaciones de estos parches es controlada por una aplicación creada por Microsoft especialmente para propósitos de corrección de vulnerabilidades mediante la aplicación de los parches correctivos.
A-E.12: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE) Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Integridad 2. Disponibilidad
105
Descripción Defectos en los procedimientos o controles de actualización del código que permiten que sigan utilizándose programas con defectos conocidos y reparados (a través de parches) por el fabricante.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Existe un servicio que aplica en forma automática las actualizaciones y parches que Microsoft, el fabricante de los sistemas operativos y de las aplicaciones de base de datos y desarrollo utilizadas en la institución, publica para corregir vulnerabilidades conocidas en sus sistemas. Sin embargo es de sobra que algunos parches pueden malograr la funcionalidad de los servicios que corren en la plataforma tecnológica, en forma temporal, ya sea por un error generado en la actualización, o simplemente porque el parche altero las condiciones de funcionamiento del sistema, sin que hubiera forma de prever esta situación. Debido a ello es altamente recomendable que se prueben los parches antes de aplicarse en equipos críticos, pero esto no siempre se realiza en los sistemas de la DIGESTYC.
A-E.13: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE) Tipos de Activos
Hardware (equipos
Dimensiones 1. Disponibilidad
informaticos) Descripción Defectos en los procedimientos o controles de actualización de los equipos que permiten que sigan utilizándose más allá del tiempo nominal de uso.
106
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se pudieron establecer vulnerabilidades asociadas a esta amenaza. Según el administrador de sistemas de la institución, no se han dado incidentes debido a situaciones como las que plantea esta amenaza, los equipos son reemplazados cunado corresponde y el personal de soporte técnico tiene la capacidad y experiencia necesaria para realizar esto sin interferir en las operaciones críticas de la organización.
A-E.14: CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS Tipos de Activos
Hardware (equipos
Dimensiones 1. Disponibilidad
informáticos y de comunicaciones) Descripción La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se monitorea a través de sesiones de protocolo SNMP (Protocolo de Red para Administración simple) el estado y el uso de los recursos de información como por ejemplo, monsumo de memoria y CPU, ancho de banda, estadísticas históricas de funcionamiento, estado de las baterías de emergencia (en el caso de UPS’s), etc.
107
A-E.15: INDISPONIBILIDAD DEL PERSONAL Tipos de Activos
Personal
Dimensiones 1. Disponibilidad
Descripción Ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden público, desastres, o causas de fuerza mayor.
Se considera que existe personal que tiene funciones administrativas sobre la operación de los sistemas de información cuya presencia en la institución es crítica debido al dominio y experiencia que tienen sobre los sistemas, y no ha sido posible efectuar una transferencia de conocimiento a mas personal del departamento de informática para que puedan asumir los mismos roles en caso de ausencia o indisponibilidad del personal.
No existen manuales detallados sobre los procedimientos que deben realizarse para efectuar tareas administrativas o resolución de problemas frecuentes que tengan que ver con el mantenimiento y configuración de los sistemas y servicios de información críticos para la institución.
Si se llegara a ejecutar cambios en el personal de administración de la plataforma tecnológica, sería un problema la comprensión de las configuraciones actuales de los diferentes sistemas y servicios de información de la institución, debido a la ausencia de documentación sobre las configuraciones.
108
4.4.2.4 Amenazas a causa de ataques intencionados Fallos deliberados causados por las personas. La numeración no es consecutiva para coordinarla con los errores no intencionados, muchas veces de naturaleza similar a los ataques deliberados, difiriendo únicamente en el propósito del sujeto.
A-A.4: MANIPULACIÓN DE LA CONFIGURACIÓN Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad y de comunicaciones
2. Integridad
Datos e Información
3. Confidencialidad
Software (Aplicaciones)
4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, enrutamiento, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sistemas de detección y prevención de intrusos en la institución (IPS / IDS) que pudiera detectar movimientos o patrones de conducta anormales en el entorno de la red, orientados a alterar la configuración de los sistemas de información.
No existen sistemas de monitorización en línea que detecten y generen alarmas y notificaciones automáticas a los administradores de red si se ejecutan cambios o alteraciones en la configuración que pudieran afectar el funcionamiento normal de los sistemas.
No se han implementado a nivel de las políticas de seguridad el uso de contraseñas fuertes y el cambio obligatorio de estas en forma periódica. 109
Tampoco se han implementado técnicas que permitan que el sistema de directorio de la red, (Active Directory) u otros servicios, obliguen a los usuarios a implementar las directivas de seguridad referente al uso de contraseñas seguras.
No existe documentación alguna sobre las configuraciones de los equipos. Tampoco se lleva una administración sobre los cambios de las configuraciones y registros de los mismos en bitácoras o bases de configuraciones que dejen constancia de las acciones realizadas y de las razones del porque se han hecho los cambios.
Atenuantes de las vulnerabilidades:
Existe un equipo de firewall, configurado para bloquear conexiones no autorizadas desde fuera de la red. Asimismo, este dispositivo también restringe las conexiones salientes (hacia el Internet) solo a los usuarios autorizados, sin embargo este no se ha auditado para confirmar que la configuración de seguridad implantada sea la mas adecuada y efectiva.
El grupo de administradores de la plataforma tecnológica de la institución esta compuesto únicamente por dos personas, quienes son los únicos que tienen acceso a cambiar las configuraciones de los equipos. Estas personas son consientes de las implicaciones de seguridad que tendría la divulgación de las contraseñas o mal uso de los privilegios de administración.
A-A.5 : SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Software (Aplicaciones)
2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos
110
Descripción Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios. Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la organización o por personal contratado temporalmente.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay restricciones sobre la cantidad de sesiones que un usuario puede iniciar. Tampoco existen restricciones sobre las estaciones de trabajo sobre las cuales los usuarios pueden iniciar sesión, aun a pesar de que de manera física, cada usuario tiene asignado un puesto de trabajo y una estación de trabajo.
No se han implementado a nivel de las políticas de seguridad el uso de contraseñas fuertes y el cambio obligatorio de estas en forma periódica. Tampoco se han implementado técnicas que permitan que el sistema de directorio de la red, (Active Directory) u otros servicios, obliguen a los usuarios a implementar las directivas de seguridad referente al uso de contraseñas seguras.
No existe dentro de la administración de usuarios, directivas o políticas que deshabilite a los usuarios que por diversas razones se ausenten de sus puestos de trabajo en periodos temporales relativamente largos, como por ejemplo cuando algún usuario esta de vacaciones.
El proceso para dar de alta y de baja a los usuarios, cuando entran a formar parte de la organización o cuando dejan de trabajar en la misma, no es automático. Hasta que se reciben las notificaciones de recursos humanos, el administrador del dominio tomas las acciones correspondientes para actualizar el directorio, lo cual podría generar ciertos espacios de riesgo sobre uso inautorizado de los recursos de información.
111
A-A.6: ABUSO DE PRIVILEGIOS DE ACCESO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Software (Aplicaciones)
2. Integridad 3. Confidencialidad
Descripción Cada usuario disfruta de un nivel de privilegios para un determinado propósito; cuando un usuario abusa de su nivel de privilegios para realizar tareas que no son de su competencia, existe una amenaza de seguridad.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen procedimientos de revisión periódica de los derechos y permisos efectivos de los usuarios, para comprobar si debido a un cambio de configuración, o a una acción errónea o indebida se le han concedido a un usuario o grupo de usuarios más derechos y permisos de los que le corresponden.
No existen sistemas de control de tráfico en red que monitoreen el comportamiento de los usuarios y las aplicaciones que están en uso por parte de estos.
No existen sistemas de monitorización en línea que detecten y generen alarmas y notificaciones automáticas a los administradores de red si se ejecutan cambios o alteraciones en la configuración que pudieran afectar el funcionamiento normal de los sistemas.
No existen mecanismos de control que detecten y prevengan posibles abusos de privilegios en las aplicaciones o en el manejo de la información en los entornos operativos de la institución.
No se implementa el cifrado de datos que sean considerados como confidenciales o altamente criticos.
112
Atenuantes de las vulnerabilidades:
Existen mecanismos de seguridad implementados a nivel de permisos de usuarios en el sistema de directorio (Active Directory) que restringe los accesos a los recursos según los niveles autorizados. No se han registrado incidentes que pongan en evidencia que esos mecanismos no funcionan.
A-A.7 : USO NO PREVISTO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Soportes de información
Software (Aplicaciones)
Descripción Utilización de los recursos del sistema para fines no previstos, típicamente de interés personal: juegos, consultas personales en internet, bases de datos personales, programas personales, almacenamiento de datos personales, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen herramientas de control de contenido o monitorización de tráfico para el uso de Internet u otros servicios de la infraestructura de red y los sistemas de información. El firewall únicamente deniega la conexión a los no autorizados y concede el acceso a Internet a los usuarios que si están autorizados y, pero sin filtrar en ningún modo a que sitios de internet se conectan.
No se disponen de
mecanismos de administración centralizada para
monitorear la actividad de los equipos de los usuarios y garantizar que no se usen los recursos de estos equipos para fines no previstos. Tampoco se implementan inventarios automatizados de software y hardware para
113
comprobar que no se hayan instalado componentes adicionales y no autorizados a los equipos de los usuarios.
Atenuantes de las Vulnerabilidades:
Las restricciones propias del sistema de directorio (Active Directory) combinadas con otras restricciones de seguridad de los equipos no permiten la instalación de software en los equipos por parte de los usuarios no autorizados para tal fin.
Es mínima o nula la incidencia de uso de recursos para fines no previstos de equipos y sistemas de misión critica (servidores de aplicación, base de datos, etc)
Los mayores problemas referentes a este punto se dan con el uso de Internet, el cual no se considera estrictamente como un servicio critico.
A-A.8: DIFUSIÓN DE SOFTWARE DAÑINO Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Propagación intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.
114
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los equipos y dispositivos de la Institución están debidamente protegidos con software antivirus, software anti-spyware y firewall de escritorio. Sin embargo no existe mecanismos de control y de prevención automática contra la conexión a la red (autorizada o no) de equipos externos a la institución, como por ejemplo equipos porttiles, computadoras personales de los empleados, etc. Se pudo constatar que en caso de proyectos especiales, se instalan computadoras que pertenecen a otras instancias gubernamentales, las cuales puede que no tengan todas las medidas de seguridad pertinentes para evitar la realización de esta amenaza.
No hay controles sobre el uso de dispositivos de almacenamiento portátil (memorias USB, discos flexibles, discos duros externos, etc), o sobre los puertos de conexión de los mismos en las computadoras y servidores.
No se realizan pruebas controladas del funcionamiento efectivo de los equipos de seguridad como por ejemplo el servidor de Antivirus, aunque el funcionamiento del servidor constata que este es efectivo puesto que ha demostrado detener virus.
Ya han sucedido problemas de infección masiva en equipos causados por Virus, pero después de la instalación del servidor de AV esto no se ha vuelto a presentar.
Atenuantes de las Vulnerabilidades:
AV en todas las maquinas. Hay un servidor centralizado que despliega las actualizaciones de AV.
El servidor del AV monitorea
a los dispositivos cliente y reporta
debidamente actividades que puedan generar incidentes de seguridad a nivel de software y hardware. Equipos infectados etc.
El servidor tiene las políticas configuradas para que tome decisiones y acciones cuando encuentra problemas de virus o similares.
115
Las máquinas son activadas con el FW de Windows, y este además no puede ser desactivado por los usuarios.
Existe un documento de definición de políticas de seguridad en la institución que contempla no instalar software no autorizado por informática, esta política es cumplida en forma obligatoria a nivel de sistema operativo y mediante permisos del sistema de directorio de usuarios, de modo que los usuarios no tienen privilegios para instalar software no autorizado
Se instalan de forma automática los parches de seguridad requeridos por los sistemas operativos de las estaciones de trabajo y de los servidores. Esto se hace a través de una herramienta de software instalada en un servidor que baja las actualizaciones del internet y las aplica a todos los equipos que han sido configurados en el entorno de la red de la institución.
A-A.9 : RE-ENRUTAMIENTO DE MENSAJES Tipos de Activos
Dimensiones
Software (Aplicaciones)
1. Disponibilidad
Hardware, equipos de
2. Integridad
comunicaciones
3. Confidencialidad 4. Autenticidad del servicio 5. Trazabilidad del servicio
Descripción Envío de información a un destino incorrecto a través de un sistema o una red, que llevan la información a donde o por donde no es debido; puede tratarse de mensajes entre personas, entre procesos o entre unos y otros. Un atacante puede forzar un mensaje para circular a través de un nodo determinado de la red donde puede ser interceptado. Es particularmente destacable el caso de que el ataque de enrutamiento lleve a una entrega fraudulenta, acabando la información en manos de quien no debe.
116
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se dispone de herramientas de análisis de tráfico en la red que permitan detectar errores en la entrega de paquetes de datos a través de las redes de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen paquetes de información hacia receptores diferentes que no sean los legítimos destinatarios de los servicios de comunicaciones.
No existen registros o logs de confirmaciones y entregas, así como de tráfico entrante y saliente que permita corroborar el funcionamiento correcto de la red o detectar alguna anomalía que pueda darse en el entorno de esta.
A-A.10: DESTRUCCIÓN DE LA INFORMACIÓN Tipos de Activos
Datos e Información
Dimensiones 1. Disponibilidad
Descripción Eliminación intencional de información, con ánimo de obtener un beneficio o causar un perjuicio. Esta amenaza sólo se identifica sobre datos en general, pues cuando la información está en algún soporte informático, hay amenazas específicas.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Se tiene como práctica frecuente la realización de copias de backup de los datos de las aplicaciones criticas que residen en servidores, así como de los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas copias se realizan en medios ópticos (DVD’s) y no se cuenta con un adecuado almacenamiento de estos medios, estos son susceptibles a extravio, sustracción o deterioro.
117
No se cuenta con un sitio alterno de operación o al menos un sitio diferente (separado geográficamente) donde se almacenen copias de respaldo (backups) de la información y las aplicaciones de misión critica de la organización.
No se realizan copias de respaldo en forma regular y periódica de los archivos y documentos de los usuarios que aunque no son críticos, si se consideran necesarios para la gestión de las operaciones de la organización. Varios procesos son realizados utilizando hojas de cálculo elaboradas en Excel, cuyos formatos genéricos no son respaldados para su debida protección. De la misma forma, otros archivos, documentos o aplicaciones que pueden ser considerados importantes para propósitos administrativos u operacionales y que residen en las computadoras de los usuarios.
Atenuantes de las vulnerabilidades:
Cuando se realizaran cambios en las estaciones de trabajo de los usuarios y se estima que estos cambios podrían alterar en algún modo el funcionamiento normal de estos equipos, se realiza un respaldo preventivo de la información pertinente a las operaciones de la institución. Estos respaldos son efectuados por personal de soporte técnico, debidamente capacitado para estas tareas.
A-A.11: MANIPULACIÓN DE PROGRAMAS Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos
118
6. Trazabilidad del servicio 7. Trazabilidad de los datos Descripción Alteración intencionada del funcionamiento de los programas, persiguiendo un beneficio indirecto cuando una persona autorizada lo utiliza.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se han efectuado auditorias de configuración y vulnerabilidad de los programas para comprobar si estos son susceptibles a manipulación externa o interna, y si existen vulnerabilidades inherentes al código de las aplicaciones desarrolladas o a las transacciones que se efectúan en las bases de datos.
No se han efectuado auditorias de integridad y vulnerabilidad de la base de datos de gestión principal es Microsoft SQL. Existen vulnerabilidades reportadas por el fabricante, así como técnicas de ataque dirigidas al manejador de las bases de datos que podrían en algún momento generar problemas de seguridad al permitir la creación, lectura, actualización o borrado de datos disponibles en las aplicaciones y en formas arbitrarias. En el peor de los casos, se puede comprometer completamente la base de datos y los sistemas del entorno. Por ello deben efectuarse pruebas especializadas para determinar si el manejador de las bases de datos esta debidamente asegurado para minimizar estos riesgos15.
Debido a que no se cuenta con documentación sobre las la costrucción de las aplicaciones desarrolladas internamente, no se puede establecer con certeza si estas carecen de errores en sus procedimientos de validación de entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa un sistema no sea comprobada adecuadamente de forma que una vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.
15
En el capitulo de Recomendaciones se ampliara este punto y se detallaran algunas recomendaciones básicas a tomar en cuenta para asegurar el sistema de manejo de bases de datos.
119
Atenuantes de las Vulnerabilidades:
Se aplican regularmente todos los parches recomendados por los fabricantes a todos los servidores y se tiene especial cuidado con el servidor que aloja el manejador de las bases de datos (MS-SQL). Las aplicaciones de estos parches es controlada por una aplicación creada por Microsoft especialmente para propósitos de corrección de vulnerabilidades mediante la aplicación de los parches correctivos.
A-A.14: DENEGACIÓN DE SERVICIO Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Propagación intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se han efectuado pruebas controladas de penetración intrusiva o de conexiones no autorizadas a los servidores (desde el exterior o desde el interior de la red) utilizando técnicas como por ejemplo escaneo de puertos abiertos, verificación de servicios innecesarios activos, pruebas de captura de contraseñas mediante keyloggers, o de adivinación de contraseñas debiles, para comprobar si existen problemas que podrían comprometer la
120
seguridad de la institución y especialmente la disponibilidad de los servicios de información si se llegaran a efectuar ataques de denegación de servicio.
No existen sistemas de detección y prevención de intrusos en la institución (IPS / IDS) que pudiera detectar movimientos o patrones de conducta anormales en el entorno de la red, orientados a alterar el funcionamiento normal de los servicios de información.
A-A.15: ROBO Tipos de Activos
Hardware, equipos en general
Soporte de Información
Dimensiones 1. Disponibilidad
Descripción La sustracción de equipamiento provoca directamente la carencia de un medio para prestar los servicios, es decir una indisponibilidad. El robo puede afectar a todo tipo de equipamiento, siendo el robo de equipos y el robo de soportes de información los más habituales. El robo puede realizarlo personal interno, personas ajenas a la organización o personas contratadas de forma temporal, lo que establece diferentes grados de facilidad para acceder al objeto sustraído y diferentes consecuencias. En el caso de equipos que hospedan datos, además se puede sufrir una fuga de información.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los controles y mecanismos de seguridad física orientados a prevenir el robo de activos de información en la institución son mínimos. En las locaciones donde se encuentran equipos críticos no existen los adecuados mecanismos de control de acceso físico que permitan el paso solo al
121
personal
estrictamente
autorizado,
ni
tampoco
hay
un
monitoreo
automatizado de estos accesos.
No se cuentan con sistemas de alarmas contra robo o intrusos para horas nocturnas, ni siquiera en la locación de la división de informática que es donde se encuentran los equipos de misión critica para las operaciones de la institución.
No se lleva un control minucioso de los sitios permitidos a los que pueden tener acceso los visitantes, personal externo, contratistas y demás personas ajenas a la institución. Después de ser identificados en la portería por el personal de seguridad, los visitantes pueden transitar libremente por todas las instalaciones de la institución. No se chequean entradas y salidas de equipos para comprobar si pudieran ser o no de la institución.
No se cuentan con sistemas de circuito cerrado por televisión para monitorear la actividad tanto del personal de la institución, como de personas ajenas a esta.
Los documentos de identificación de los empleados no llevan fotografía que facilite la comprobación de la identidad de alguien en forma inmediata, ni la autenticidad de dicha identificación. En el caso de los visitantes, las tarjetas de visitantes no son de un color diferente a las identificaciones de los empleados, y no difieren en mucho de estas, salvo por el hecho que llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.
Atenuantes de las vulnerabilidades:
Se cuenta con una compañía de seguridad contratada que supervisa el perímetro de las instalaciones de la institución. También controlan la identificación y acceso del personal y de los visitantes, aunque con las limitantes citadas anteriormente. La compañía se encarga de la vigilancia en horas nocturnas al interior de la institución.
122
Las locaciones donde hay equipo informático se dejan cerradas con llave, sin embargo existe vulnerabilidad para acceder a estas locaciones por las ventanas o por el techo.
En horas y días hábiles, los empleados de la institución podrían darse cuenta si alguien externo a la institución tiene un comportamiento sospechoso, o intenta sustraer algún equipo u activo de información propiedad de la institución. Esto podría ser reportado inmediatamente a los agentes de seguridad para que intervengan a fin de evitar el incidente.
Todos los equipos y sistemas de informática de la institución están debidamente inventariados por el departamento de activo fijo de la división administrativa. Los equipos son identificados mediante un código con el que son referenciados en el inventario de activo fijo.
A-A.16: ATAQUE DESTRUCTIVO Tipos de Activos
Dimensiones
Hardware, equipos en general
Soportes de información
1. Disponibilidad
Descripción Vandalismo, terrorismo, acción militar, etc. Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la Organización o por personas contratadas de forma temporal.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los controles y mecanismos de seguridad física orientados a prevenir ataques de esta naturaleza en la institución son mínimos. En las locaciones donde se encuentran equipos críticos no existen los adecuados mecanismos de control de acceso físico que permitan el paso solo al personal
estrictamente
autorizado,
ni
tampoco
hay
un
monitoreo
automatizado de estos accesos.
123
No se cuentan con sistemas de alarmas contra robo o intrusos para horas nocturnas, ni siquiera en la locación de la división de informática que es donde se encuentran los equipos de misión crítica para las operaciones de la institución.
No se lleva un control minucioso de los sitios permitidos a los que pueden tener acceso los visitantes, personal externo, contratistas y demás personas ajenas a la institución. Después de ser identificados en la portería por el personal de seguridad, los visitantes pueden transitar libremente por todas las instalaciones de la institución. No se chequean entradas y salidas de equipos para comprobar si pudieran ser o no de la institución.
No se cuentan con sistemas de circuito cerrado por televisión para monitorear la actividad tanto del personal de la institución, como de personas ajenas a esta.
Los documentos de identificación de los empleados no llevan fotografía que facilite la comprobación de la identidad de alguien en forma inmediata, ni la autenticidad de dicha identificación. En el caso de los visitantes, las tarjetas de visitantes no son de un color diferente a las identificaciones de los empleados, y no difieren en mucho de estas, salvo por el hecho que llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.
Atenuantes de las vulnerabilidades:
Se cuenta con una compañía de seguridad contratada que supervisa el perímetro de las instalaciones de la institución. También controlan la identificación y acceso del personal y de los visitantes, aunque con las limitantes citadas anteriormente. La compañía se encarga de la vigilancia en horas nocturnas al interior de la institución.
Las locaciones donde hay equipo informático se dejan cerradas con llave, sin embargo existe vulnerabilidad para acceder a estas locaciones por las ventanas o por el techo.
124
En horas y días hábiles, los empleados de la institución podrían darse cuenta si alguien externo a la institución tiene un comportamiento sospechoso. Esto podría ser reportado inmediatamente a los agentes de seguridad para que intervengan a fin de evitar cualquier incidente.
A-A.17: Ocupación Enemiga Tipos de Activos
Dimensiones
Hardware, equipos en general
1. Disponibilidad
Soportes de información
2. Confidencialidad
Descripción Cuando los locales han sido invadidos y se carece de control sobre los propios medios de trabajo.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Debido a que el país no se encuentra en una situación de guerra directa contra algún otro país o alguna fuerza armada opositora al gobierno legalmente instituido, no se consideran vulnerabilidades respecto a esta amenaza, por lo que la probabilidad de existencia de riesgos respecto a este punto se considera mínima.
A-A.18: INDISPONIBILIDAD DEL PERSONAL Tipos de Activos
Personal
Dimensiones 1. Disponibilidad
Descripción Ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral, bajas no justificadas, bloqueo de los accesos, etc.
125
Vulnerabilidades detectadas relacionadas a esta amenaza:
Se considera que existe personal que tiene funciones administrativas sobre la operación de los sistemas de información cuya presencia en la institución es crítica debido al dominio y experiencia que tienen sobre los sistemas, y no ha sido posible efectuar una transferencia de conocimiento a mas personal del departamento de informática para que puedan asumir los mismos roles en caso de ausencia o indisponibilidad del personal.
No existen manuales detallados sobre los procedimientos que deben realizarse para efectuar tareas administrativas o resolución de problemas frecuentes que tengan que ver con el mantenimiento y configuración de los sistemas y servicios de información críticos para la institución.
Si se llegara a ejecutar cambios en el personal de administración de la plataforma tecnológica, sería un problema la comprensión de las configuraciones actuales de los diferentes sistemas y servicios de información de la institución, debido a la ausencia de documentación sobre las configuraciones.
A-A.19: INGENIERIA SOCIAL Tipos de Activos
Personal
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos
Descripción Abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero.
126
Vulnerabilidades detectadas relacionadas a esta amenaza:
El personal en general, no conoce las políticas de seguridad de la Ia institución, ni han sido sensibilizados sobre la importancia de la información y de la preservación de la seguridad de la misma para la realización de las operaciones en la organización. Esta vulnerabilidad podría dar lugar a que se obtuvieran datos o información importante que incluso podría causar la realización de otras amenazas e incidentes de seguridad de proporciones mayores.
127
4.4.2.5 Correlación entre las amenazas por errores no intencionados y los ataques deliberados
Numero 1 2 3 4 5 6 7 8 9 10 11 12
13 14 15 16 17 18 19
Error Error de los usuarios Errores del administrador Errores de monitorización (logs) Errores de configuración
Ataque
Manipulación de la configuración Suplantación de la identidad del usuario Abuso de privilegios de acceso Uso no Previsto Difusión de software dañino Re-enrutamiento de mensajes Destrucción de información
Deficiencias en la Organización Difusión de software dañino Errores de re-enrutamiento Destrucción de información Vulnerabilidades de los Manipulación de los Programas programas (software) Errores de mantenimiento / actualización de programas (software) Errores de mantenimiento / actualización de equipos (hardware) Caída del sistema por Denegación de servicios agotamiento de recursos Robo Ataque destructivo Ocupación Enemiga Indisponibilidad del Personal Indisponibilidad del Personal Ingeniería Social
128
4.5 ANÁLISIS DE RIESGOS E IMPACTOS
Una vez que se tienen definidos las amenazas a las que están expuestos los activos de información en la institución, así como las vulnerabilidades internas que los recursos de información poseen, ya sea por las condiciones de su entorno, o por deficiencias en la administración, se puede determinar cuales son los riesgos a los cuales se enfrenta la institución en materia de seguridad de la información, y que eventualmente, en caso de materializarse, podrían constituir un desastre informático.
En el análisis de riesgos, la preocupación está relacionada con tres simples preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál es la probabilidad de que suceda? Los datos presentados en este apartado pueden ser de gran ayuda a los responsables de la institución para valorar las acciones a tomar para la prevención y mitigación de riesgos, a fin de evitar en lo posible, los desastres.
Para la evaluación de los riesgos es posible usar métodos muy variados en composición y complejidad, pero para todos ellos es necesario realizar un diagnóstico de la situación.
Un método comúnmente utilizado es el siguiente diagrama:
Fig. 4.2: Probabilidad vs. Impacto para evaluar riesgos.
129
Es necesario para determinar el índice de exposición a riesgos, determinar la probabilidad que existe de que un riesgo se materialice, así como el impacto que esta eventualidad causaría en las operaciones de la organización.
Teniendo el diagrama anterior como referencia se procedió a diseñar una matriz de riesgos e impactos donde se sintetizan los activos de la institución, agrupados en categorías de activos, y sus criticidades. Estos grupos de activos han sido evaluados contra la posibilidad de que cada una de las amenazas pertinentes, listadas anteriormente, puedan materializarse.
Los valores de probabilidad asignados a cada amenaza, fueron asignados por el equipo que ha elaborado esta tesis y han sido razonados sobre todo, a partir de las vulnerabilidades que fueron detectadas, así como también del historial de eventos que se han dado en la institución y que nos fueron manifestados en las entrevistas realizadas.
Por otro lado, los valores de criticidad e impactos asociados a cada activo fueron dados por el personal de la institución que fue entrevistado, siendo ellos los más idóneos para determinar la importancia de sus activos de información.
La matriz de impactos esta basada en la siguiente tabla de referencia:
Criticidad Activo
BAJA MED ALTA
Rango de Impacto impacto Moderado
Alto impacto
Alto Impacto
Bajo Impacto
Impacto Moderado
Alto Impacto
Bajo Impacto
Bajo Impacto
Impacto moderado
Bajo Medio Alto Rango Vulnerabilidad
130
Con esta matriz se puede determinar el rango de impacto causado por una amenaza que afecte a un determinado activo, según su criticidad y las vulnerabilidades presentes. A partir de los rangos de impacto determinados anteriormente, se procede a evaluarlos contra los valores de probabilidad determinados para cada amenaza y se relacionan según esta nueva tabla de referencia.
Impacto (de la tabla de Impacto anterior)
BAJO MED ALTO
Tasa de Nivel de Riesgo Riesgo Moderado Bajo Riesgo
Alto Riesgo Alto Riesgo Riesgo Moderado
Alto Riesgo
Bajo Bajo Riesgo Riesgo Riesgo Moderado Bajo Medio Alto Valor de Probabilidad
Los valores de probabilidad vienen dados según la tabla de referencia que se muestra a continuación:
Referencia de Valores de Probabilidad Calificación ALTA
Descripción Bastante probable. Varios eventos en un año
MEDIA
Probable, al menos un evento en un año
BAJA
Poco probable. Al menos un evento cada cinco años.
A continuación se presenta el informe general de riesgos informáticos de la DIGESTYC, sintetizado en una matriz que nos muestra los niveles de exposición a los riesgos.
131
Nuevamente se hace énfasis en que el objeto de este trabajo es la formulación de un plan de recuperación de desastres, en el cual, básicamente se define como reaccionar ante un desastre. Sin embargo a partir de la información mostrada en el informe de riesgos, la institución debe hacer esfuerzos adicionales en el campo de la prevención, para que además de contar con un plan de recuperación de desastres, puedan ampliar su gestión a los campos de prevención y mitigación de riesgos, a fin de prevenir hasta donde sea posible, el desastre.
132
CATALOGO COMPLETO DE AMENAZAS ANALIZADAS CODIGO A-N.1 A-N.2 A-N.3 A-I.1 A-I.2 A-I.3 A-I.4 A-1.5 A-I.6 A-I.7 A-1.8 A-I.9 A-I.10 A-I.11 A-E.1 A-E.2 A-E.3 A-E.4 A-E.7 A-E.8 A-E.9 A-E.10 A-E.11 A-E.12 A-E.13 A-E.14 A-E.18 A-A.4 A-A.5 A-A.6 A-A.7 A-A.8 A-A.9 A-A.10 A-A.11 A-A.14 A-A.15 A-A.16 A-A.17 A-A.18 A-A.19
DESCRIPCION FUEGO DAÑOS POR AGUA DESASTRES NATURALES FUEGO DAÑOS POR AGUA DESASTRES INDUSTRIALES CONTAMINACIÓN MECÁNICA O DE AMBIENTE. INTERFERENCIA ELECTROMAGNETICA AVERÍAS DE ORIGEN FÍSICO O LÓGICO CORTE DEL SUMINISTRO ELÉCTRICO CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD FALLO DE SERVICIOS DE COMUNICACIONES INTERRUPCIÓN DE OTROS SERVICIOS Y SUMINISTROS ESENCIALES DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN ERRORES DE LOS USUARIOS. ERRORES DEL ADMINISTRADOR ERRORES DE MONITORIZACIÓN ERRORES DE CONFIGURACIÓN DEFICIENCIAS EN LA ORGANIZACIÓN DIFUSION DE SOFTWARE DAÑINO ERRORES DE ENRUTAMIENTO DESTRUCCIÓN DE LA INFORMACIÓN VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE) ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE) ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE) CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS INDISPONIBILIDAD DEL PERSONAL MANIPULACIÓN DE LA CONFIGURACIÓN SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO ABUSO DE PRIVILEGIOS DE ACCESO USO NO PREVISTO DIFUSIÓN DE SOFTWARE DAÑINO RE-ENRUTAMIENTO DE MENSAJES DESTRUCCIÓN DE LA INFORMACIÓN MANIPULACIÓN DE PROGRAMAS DENEGACIÓN DE SERVICIO ROBO ATAQUE DESTRUCTIVO OCUPACIÓN ENEMIGA INDISPONIBILIDAD DEL PERSONAL INGENIERIA SOCIAL
133
MATRIZ DE RIESGOS DE SEGURIDAD INFORMÁTICA EN LA DIGESTYC Activos Nombre
GRUPO DE SERVIDORES CRITICIDAD ALTA (Controlador de dominio, SQL Server, Web, Mail Server, Backup)
Exposure Tipo
SW, HW,SI
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 A-N.2 A-N.3 A-I.1 A-I.2 A-I.3 A-I.4 A-1.5 A-I.6 A-I.7 A-1.8 A-I.9 A-I.11 A-E.2 A-E.3 A-E.4 A-E.8 A-E.11 A-E.12 A-E.13 A-E.14 A-A.4 A-A.5 A-A.6 A-A.7 A-A.8
A M M M M B B B B A M B M B M M B M B N/A M A A M M B
A A A A A M M M M A A M A M A A M A M FALSO A A A A A M
B B B B M B M B B A M M B B B M M B B B M B M B B A
M M M M A B M B B A A M M B M A M M B FALSO A M A M M A
134
A-A.11
M
A
B
M
A-A.14
M
A
B
M
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
B
FALSO
ACTIVOS Nombre
Grupo de equipos auxiliares y de comunicaciones. Criticidad Alta (UPS de servidores, Firewall, Conmutadores principales)
EXPOSICIÓN Tipo
HW
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
A
B
Resumen Nivel de Riesgo (A,M,B) M
A-N.2
M
A
M
A
A-N.3
M
A
B
M
A-I.1
M
A
B
M
A-I.2
M
A
B
M
A-I.3
B
M
B
B
A-I.4
B
M
M
M
A-1.5
B
M
B
B
A-I.6
B
M
B
B
A-I.7
A
A
A
A
A-1.8
M
A
M
A
A-I.9
B
M
B
B
A-I.10
N/A
FALSO
N/A
FALSO
A-E.2
B
M
B
B
A-E.3
M
A
B
M
A-E.4
M
A
M
A
A-E.9
B
M
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
A
M
A
A-A.4
A
A
B
M
135
A-A.5
A
A
B
M
A-A.6
M
A
B
M
A-A.7
M
A
B
M
A-A.9
B
M
B
B
A-A.14
M
A
B
M
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
N/A
FALSO
ACTIVOS Nombre
APLICACIONES CRÍTICAS (Aplic. .NET internas, Aplicaciones de Precios, Aplic. Activo fijo, Aplic. CSPRO e ISSA)
EXPOSICIÓN Tipo
SW
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
A
B
Resumen Nivel de Riesgo (A,M,B) M
A-N.2
M
A
B
M
A-N.3
M
A
B
M
A-I.1
M
A
B
M
A-I.2
M
A
M
A
A-I.3
B
M
B
B
A-I.6
B
M
B
B
A-I.9
B
M
B
B
A-I.11
M
A
B
M
A-E.1
B
M
M
M
A-E.2
B
M
B
B
A-E.3
M
A
B
M
A-E.4
M
A
M
A
A-E.8
B
M
M
M
A-E.9
B
M
B
B
A-E.11
M
A
B
M
A-E.12
B
M
M
M
136
A-A.4
A
A
B
M
A-A.5
A
A
M
A
A-A.6
M
A
B
M
A-A.7
M
A
B
M
A-A.8
B
M
A
A
A-A.9
B
M
B
B
A-A.11
M
A
B
M
A-A.14
M
A
B
M
ACTIVOS Nombre
BASES DE DATOS (SQL, FOX, CSPRO, ISSA Y SQL para pruebas y desarrollo)
EXPOSICIÓN Tipo
D
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
A
B
Resumen Nivel de Riesgo (A,M,B) M
A-N.2
M
A
B
M
A-N.3
M
A
B
M
A-I.1
M
A
B
M
A-I.2
M
A
M
A
A-I.3
B
M
B
B
A-I.4
B
M
M
M
A-I.6
B
M
B
B
A-I.7
A
A
A
A
A-E.1
B
M
M
M
A-E.2
B
M
B
B
A-E.3
M
A
B
M
A-E.4
M
A
M
A
A-E.10
M
A
M
A
A-E.11
M
A
B
M
A-A.4
A
A
B
M
A-A.10
M
A
M
A
137
ACTIVOS Nombre
Computadoras de criticidad alta en div. sistemas y en las oficinas de Dirección.
EXPOSICIÓN Tipo
HW, SW, SI
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
A
B
Resumen Nivel de Riesgo (A,M,B) M
A-N.2
M
A
B
M
A-N.3
M
A
B
M
A-I.1
M
A
B
M
A-I.2
M
A
M
A
A-I.3
B
M
B
B
A-I.4
B
M
M
M
A-1.5
B
M
B
B
A-I.6
B
M
B
B
A-I.7
A
A
A
A
A-1.8
M
A
M
A
A-I.9
B
M
M
M
A-I.11
M
A
B
M
A-E.2
B
M
B
B
A-E.3
M
A
B
M
A-E.4
M
A
M
A
A-E.8
B
M
M
M
A-E.11
M
A
B
M
A-E.12
B
M
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
A
M
A
A-A.4
A
A
B
M
A-A.5
A
A
M
A
A-A.6
M
A
B
M
A-A.7
M
A
M
A
138
A-A.8
M
A
A
A
A-A.11
M
A
B
M
A-A.14
M
A
B
M
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
B
FALSO
ACTIVOS Nombre
Grupo de servidores de criticidad media : Proxy y VPNServer
EXPOSICIÓN Tipo
HW, SW, SI
Criticidad (Alta, Media, Baja)
M
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
M
B
Resumen Nivel de Riesgo (A,M,B) B
A-N.2
M
M
B
B
A-N.3
M
M
B
B
A-I.1
M
M
B
B
A-I.2
M
M
M
M
A-I.3
B
B
B
B
A-I.4
B
B
M
B
A-1.5
B
B
B
B
A-I.6
B
B
B
B
A-I.7
A
A
A
A
A-1.8
M
M
M
M
A-I.9
B
B
M
B
A-I.11
M
M
B
B
A-E.2
B
B
B
B
A-E.3
M
M
B
B
A-E.4
M
M
M
M
A-E.8
B
B
M
B
A-E.11
M
M
B
B
A-E.12
B
B
B
B
139
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
M
M
M
A-A.4
A
A
B
M
A-A.5
A
A
M
A
A-A.6
M
M
B
B
A-A.7
M
M
M
M
A-A.8
M
M
A
A
A-A.11
M
M
B
B
A-A.14
M
M
B
B
A-A.15
A
A
B
M
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
B
FALSO
ACTIVOS Nombre
Equipos comunicaciones definidos con criticidad media (en general)
EXPOSICIÓN Tipo
HW
Criticidad (Alta, Media, Baja)
M
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
M
B
Resumen Nivel de Riesgo (A,M,B) B
A-N.2
M
M
B
B
A-N.3
M
M
B
B
A-I.1
M
M
B
B
A-I.2
M
M
B
B
A-I.3
B
B
B
B
A-I.4
B
B
M
B
A-1.5
B
B
B
B
A-I.6
B
B
B
B
A-I.7
A
A
A
A
A-1.8
M
M
M
M
A-I.9
B
B
B
B
A-I.10
N/A
FALSO
N/A
FALSO
140
A-E.2
B
B
B
B
A-E.3
M
M
B
B
A-E.4
M
M
M
M
A-E.9
B
B
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
M
M
M
A-A.4
A
A
B
M
A-A.5
A
A
B
M
A-A.6
M
M
B
B
A-A.7
M
M
B
B
A-A.9
B
B
B
B
A-A.14
M
M
B
B
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
N/A
FALSO
ACTIVOS Nombre
Grupo de computadoras de criticidad media de todas las divisiones.
EXPOSICIÓN Tipo
HW, SW, SI
Criticidad (Alta, Media, Baja)
M
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
M
B
Resumen Nivel de Riesgo (A,M,B) B
A-N.2
M
M
B
B
A-N.3
M
M
B
B
A-I.1
M
M
B
B
A-I.2
M
M
M
M
A-I.3
B
B
B
B
A-I.4
B
B
M
B
A-1.5
B
B
B
B
A-I.6
B
B
B
B
A-I.7
A
A
A
A
141
A-1.8
M
M
M
M
A-I.9
B
B
M
B
A-I.11
M
M
B
B
A-E.2
B
B
B
B
A-E.3
M
M
B
B
A-E.4
M
M
M
M
A-E.8
B
B
M
B
A-E.11
M
M
B
B
A-E.12
B
B
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
M
M
M
A-A.4
A
A
B
M
A-A.5
A
A
M
A
A-A.6
M
M
B
B
A-A.7
M
M
M
M
A-A.8
M
M
A
A
A-A.11
M
M
B
B
A-A.14
M
M
B
B
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
B
FALSO
142
ACTIVOS
EXPOSICIÓN
Nombre
Tipo
Grupo de computadoras de criticidad baja de todas las divisiones.
HW, SW, SI
Criticidad (Alta, Media, Baja)
Amenaza
Rango de Vulnerab (A, M, B)
B
A-N.1
M
B
B
Resumen Nivel de Riesgo (A,M,B) B
A-N.2
M
B
B
B
A-N.3
M
B
B
B
A-I.1
M
B
B
B
A-I.2
M
B
M
B
A-I.3
B
B
B
B
A-I.4
B
B
M
B
A-1.5
B
B
B
B
A-I.6
B
B
B
B
A-I.7
A
M
A
A
A-1.8
M
B
M
B
A-I.9
B
B
M
B
A-I.11
M
B
B
B
A-E.2
B
B
B
B
A-E.3
M
B
B
B
A-E.4
M
B
M
B
A-E.8
B
B
M
B
A-E.11
M
B
B
B
A-E.12
B
B
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
B
M
B
A-A.4
A
M
B
B
A-A.5
A
M
M
M
A-A.6
M
B
B
B
A-A.7
M
B
M
B
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
143
A-A.8 A-A.11 A-A.14 A-A.15 A-A.16 A-A.17
M M M A A N/A
Criticidad (Alta, Media, Baja)
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A
A-N.1 A-N.3 A-I.1 A-I.3 A-E.18 A-A.18 A-A.19
M M M B M M B
A A A M A A M
B B B B M B B
ACTIVOS Nombre
Personal crítico para el manejo de la información (administradores, desarrolladores, etc.)
Tipo
P
B B B M M FALSO EXPOSICIÓN
A B B M B B
M B B M B FALSO Resumen Nivel de Riesgo (A,M,B) M M M B A M B
144
4.1 DESCRIPCIÓN GENERAL
La seguridad informática es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
Sin embargo, tal como se ha mencionado antes, cualquier organización de negocios o no, está expuesta a fallos en la seguridad de su información, y existe siempre una amenaza latente de que un evento o acción afecte a la organización en su capacidad de alcanzar sus objetivos o realizar sus estrategias. Esto es lo que identificamos como riesgo.
El
Consejo
Superior
de
Administración
Electrónica
de
España,
en
la
documentación de la metodología MAGERIT10 especifica una definición mas formal de riesgo: “Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos [de información] causando daños o perjuicios a la organización”.
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida estas características están en peligro.
10
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT). Tomo I : Método. Ministerio de Administraciones Públicas, Madrid 2006.
63
Esto se logra mediante un análisis de riesgos, el cual es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización. Realizar un análisis de riesgos es laborioso y costoso. Levantar un mapa de activos y valorarlos requiere la colaboración de muchos perfiles dentro de la organización, desde los niveles de gerencia hasta los técnicos. Y no solo hay que involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio entre todos pues, si importante es cuantificar los riesgos, más importante aún es relativizarlos. Y esto es así porque típicamente en un análisis de riesgos aparecen multitud de datos. La única forma de afrontar la complejidad es centrarse en lo más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o incluso despreciable. Por eso, si los datos no están bien ordenados en términos relativos, su interpretación es imposible.
El análisis de riesgos es una tarea mayor que requiere esfuerzo y coordinación. Por tanto debe ser planificada y justificada. En particular, en este estudio, las tareas relacionadas con el análisis de riesgos han sido probablemente las que más tiempo nos han requerido.
Finalmente, se debe tener bien claro que un análisis de riesgos es recomendable en cualquier organización que dependa de los sistemas de información y comunicaciones para el cumplimiento de su misión. En particular en cualquier entorno donde se practique la tramitación electrónica de bienes y servicios, sea en contexto público o privado. El análisis de riesgos permite tomar decisiones de inversión en tecnología, desde la adquisición de equipos de producción hasta el despliegue de un centro alternativo para asegurar la continuidad de la actividad, pasando por las decisiones de adquisición de salvaguardas técnicas y de selección y capacitación del personal.
4.2 ELEMENTOS Y TAREAS QUE CONFORMAN EL ANÁLISIS Existen dos elementos sobre los cuales esta fundamentado el análisis de riesgos:
64
Activos, que son los elementos del sistema de información (o estrechamente relacionados con este) que aportan valor a la organización.
Amenazas, que son situaciones que les pueden pasar a los activos causando un perjuicio a la organización.
Con estos elementos se puede estimar:
Los impactos: lo que podría pasar
Los riesgos: lo que probablemente pase
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: 1. Determinar los activos relevantes para la organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. 2. Determinar a qué amenazas están expuestos aquellos activos. 3. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. 4. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza.
La siguiente figura ilustra en forma gráfica este proceso:
Fig. 4.1: Elementos del análisis de riesgos
65
4.3 IDENTIFICACIÓN DE ACTIVOS Se denominan activos a los recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.
El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes La organización internacional ISACA11 (Asociación para el control y auditoría de sistemas de información, por sus siglas en inglés)
en su metodología COBIT
(Objetivos de Control para las Tecnologías de Información) se refiere a los activos de información como recursos de tecnologías de información. En este estudio se ha usado el modelo de identificación de activos que COBIT propone, aunque vale la pena mencionar que las tipificaciones de activos de otros modelos de estándares o recomendaciones internacionales no varían mucho. En general, las categorías de los activos, tampoco deberían ser muy rígidas, pues deben permitir que una organización adopte las categorías que sean más adecuadas para su infraestructura de sistemas en particular.
Los recursos de TI identificados en COBIT se pueden definir como sigue:
La información son los datos en todas sus formas de entrada, procesados y generados por los sistemas de información, en cualquier forma en que son utilizados por el negocio.
Las aplicaciones incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan información.
La infraestructura: es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes,
11
ISACA es una organización ampliamente reconocida en los campos de seguridad informática y de la gestión de los recursos de información. Con más de 65.000 miembros en todo el mundo, esta organización se caracteriza por su diversidad. Los miembros viven y trabajan en más de 140 países y cubren una variedad de puestos profesionales relacionados con Tecnologías de información.
66
multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
Soportes de información: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información, dicho de otra forma son los medios de almacenamiento de datos.
Las personas: son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
La tipificación de los activos es tanto una información documental de interés como un criterio de identificación de amenazas potenciales y salvaguardas apropiadas a la naturaleza del activo.
La relación que sigue clasifica los activos dentro de una jerarquía, determinando para cada uno un código que refleja su posición jerárquica, un nombre y una breve descripción de las características que recoge cada categoría. Nótese que la pertenencia de un activo a un tipo no es excluyente de su pertenencia a otro tipo; es decir, un activo puede ser simultáneamente de varios tipos.
[D] Datos / Información Elementos de información que, de forma singular o agrupados, representan el conocimiento que se tiene de algo. Los datos son el corazón que permite a una organización prestar sus servicios. Son en cierto sentido un activo abstracto que será almacenado en equipos o soportes de información (normalmente agrupado en forma de bases de datos) o será transferido de un lugar a otro por los medios de transmisión de datos. Es habitual que en un análisis de riesgos e impactos, el usuario se limite a valorar los datos, siendo los demás activos sirvientes que deben cuidar y proteger los datos que se les encomiendan.
67
[SW] Aplicaciones (software) Con múltiples denominaciones (programas, aplicativos, desarrollos, etc.) este categoría se refiere a tareas que han sido automatizadas para su desempeño por un equipo informático. Las aplicaciones gestionan, analizan y transforman los datos permitiendo la explotación de la información para la prestación de los servicios. No preocupa en este apartado el denominado “código fuente” o programas que serán datos de interés comercial, a valorar y proteger como tales. Dicho código aparecería como datos.
[HW] Equipos informáticos (hardware) Se refiere a la infraestructura tecnológica, bienes materiales, físicos, destinados a soportar directa o indirectamente los servicios que presta la organización, siendo pues depositarios temporales o permanentes de los datos, soporte de ejecución de las aplicaciones informáticas o responsables del procesado o la transmisión de datos. Se incluye aquí también al equipamiento auxiliar informático, como es el caso de sistemas de generación de alimentación ininterrumpida (UPS), sistemas de cableado eléctrico y de redes de datos, etc.
[SI] Soportes de información En esta categoría
se consideran dispositivos físicos que permiten almacenar
información de forma permanente o, al menos, durante largos períodos de tiempo. [P] Personal En este epígrafe aparecen las personas relacionadas con los sistemas de información, como por ejemplo: usuarios externos, usuarios internos, operadores, administradores
de
sistemas,
administradores
de
comunicaciones,
administradores de bases de datos, desarrolladores, proveedores, etc.
68
4.3.1 Descripción del proceso de identificación de activos
Realización de entrevistas e inspecciones físicas.
Para proceder a iniciar el inventario de activos de información fue necesario realizar varias visitas a la institución, durante el período del 13 al 27 de abril de XXXX. Se coordinaron las visitas con la jefatura de la división de sistemas; quien designo personal del área de informática, para proporcionar el soporte necesario. La primera locación de la institución donde se realizó la identificación de activos fue la División de sistemas. Para recolectar los datos se entrevistaron los encargados de las diferentes divisiones dentro de la división de informática. Estas personas son los responsables de los activos que fueron inventariados dentro de la división de sistemas.
Como es de esperarse, se determinó que es en la división de sistemas donde se encuentra la mayor parte del equipo y herramientas de software de más alta criticidad, particularmente los servidores, bases de datos y las aplicaciones alojadas en estos equipos. Aquí que es donde se acumula la información que proviene de las personas de campo para ser utilizada en distintas formas para efectos de estadísticos y la distribución de estas a las distintas instituciones que de uno u otra forma analizan los informes finales.
Posteriormente se visitó el área de la dirección y sub dirección; y luego la división administrativa, para ello se contó con la asesoría del jefe de esta sección. Aquí se encuentran las áreas de Finanzas, Recursos Humanos, Colecturía, Pagaduría, Publicaciones e Impresiones, Servicios Generales de Mantenimiento, y Almacén.
Se entrevistó inicialmente al jefe de la división de precios, esta es una de las áreas que de acuerdo a nuestro análisis es de suma importancia en la parte operativa, ya que es aquí en donde se procesan
las estadísticas sobre un listado de
productos predeterminados, si han tenido alzas o bajas en precios.
69
Para continuar, se realizó en la división de estadísticas sociales el inventario correspondiente, y las entrevistas al responsable de esta área, que también de acuerdo a nuestro estudio ha sido considerada como otra de las divisiones con mayor importancia en cuanto a los procesos de información que tiene bajo su responsabilidad.
Por último se realizaron las entrevistas correspondientes en la división de censos y encuestas económicas con parte del personal y con el jefe de esta división. Esta división también es de
mucha importancia por los datos que mes a mes se
procesan. Cabe mencionar que esta sección no tiene ninguna relación al proyecto que actualmente se están realizando con las encuestas de población y vivienda.
El resultado de todas estas entrevistas y jornadas de inspección ha sido sintetizado en las tablas de inventarios de activos que se presentan en el siguiente apartado.
70
4.3.2 Tablas de inventario de activos
División o Departamento: División de Sistemas - Informática
DESCRIPCION Servidor DELL
Servidor DELL
Servidor DELL
Servidor DELL
Servidor DELL Servidor DELL Servidor DELL Servidor DELL
FINALIDAD Controlador de Dominio, (Windows 2003 Server, Active Directory). Proxy Server, Seguridad Internet (Windows 2003 Sever, ISA Server) Web Server (Windows 2003 Server, IIS) SQL Server (Windows 2003 Server, MS SQL Server 2005) Correo (Windows 2003 Server, MS Exchange ) File Server (Windows 2003 Server) Back Up Server (Windows 2003 Server) Concentrador de VPN’s ISA Server
CATEGORIA
CRITICIDAD
SW, HW, SI
alto
SW, HW, SI
medio
SW, HW, SI
alto
SW, HW, SI
alto
SW, HW, SI
alto
SW, HW, SI
alto
SW, HW, SI
alto
SW, HW, SI
medio
FW Cisco Pix
Firewall
HW
alto
Modem ASCOM V. 35/ Router 1600 Cisco Switch Cisco/ Linksys SW 2024
Conexión a Internet (pertenece al proveedor)
HW
medio
LAN de servidores
HW
alto
HW
alto
HW
alto
SW DELL Transceivers (5) Convertidores IO/ETL Bracket Patch Panel (24) UPS PowerWare (2) 9125 2.2 KVA UPS Smart Central (3) 1 KVA
LAN Estaciones de trabajo de Informática Interconexión Red de Fibra (Red de Campus) LAN de informática
HW
Protección Servidores
HW
Protección Comunicación
HW
alto Alto
71
PC soporte (1) PC Soporte Técnico (2) Computadoras Computadora Computadoras Cisco Linksys Switch 24 Puertos Laptop y Cañon Aplicaciones (.NET) internas alojadas en SQL SERVER Base de Datos, SQL Producción Aplicación Precios (FOX) alojada en FILE SERVER Base de Datos Precios(FOX) Alojada en FILE SERVER. Base de Datos ISSA (FILE SERVER) Base de Datos CSPRO (FILE SERVER) Aplicación Activo Fijo y base de Datos (SQL SERVER) Base de Datos, SQL Test/Desarrollo
Jefatura Soporte (Monitoreo) Soporte Técnico 6 Programadores 1 secretaria 2- jefaturas
SW, HW
alto
SW, HW D D D
medio alto medio alto
LAN Soporte Técnico
HW
medio
Uso de Presentaciones y Varios
HW
bajo
Div. Censos y Enc. Econ
SW
alto
SQL Server
D
alto
Div. Precios
SW
alto
Div. Precios
D
alto
Div. Estadist. Sociales
D
alto
Div. Estadist. Sociales
D
alto
Div. Administrativa
SW
alto
SQL Server
D
alto
72
División o Departamento: División de Sistemas – Captura de Datos DESCRIPCION 7 Computadoras 1 Computadora 1 Computadora 1 Computadora 5 Computadoras 1 Computadora Hub 16 puertos INTEL 8 UPS, CDP 0.5 KVA Impresor Láser en Red, Lexmark Imp. Térmicas TSC 2 Scanner Spectrum Alta Velocidad
FINALIDAD Digitación Depuración Muestra Jefatura Digitalización Terminal Patrones Diseño LAN Protección Equipo de Cómputo
CATEGORIA SW, HW, SI SW, HW, SI SW, HW, SI SW, HW, SI SW, HW, SI SW, HW, SI SW, HW, SI
CRITICIDAD bajo bajo bajo bajo bajo bajo bajo
HW
bajo
Impresiones Varias
HW
bajo
HW
bajo
HW
bajo
FINALIDAD
CATEGORIA
CRITICIDAD
Finanzas
SW, HW, SI
medio
Colecturía
SW, HW, SI
bajo
Pagaduría
SW, HW, SI
bajo
Publicaciones e Impresiones
SW, HW, SI
bajo
Servicios Generales Mantenimiento, Transporte, Ordenanza
SW, HW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
medio
SW, HW, SI
medio
Impresor viñetas para encuestas (externo) 2 Digitalización y Captura de Datos
División o Departamento: Dirección Administrativa DESCRIPCION 1 Impresor, 2 computadoras UPS 4 Impresores, 3 computadoras UPS 1 Impresor, 2 computadoras UPS 2 Impresores, 2 computadoras UPS 2 Impresores, 2 computadoras UPS
1 Impresor, 2 Almacén( papelería y útiles) computadoras UPS 1 impresor de Area, 3 Contabilidad computadoras UPS 3 Impresores de Area, 2 Jefatura de la División computadoras UPS Administrativa
73
División o Departamento: Dirección y Sub-dirección DESCRIPCION
FINALIDAD
CATEGORIA
CRITICIDAD
1 Impresor, 1-PC- 1 UPS
Uso de subdirector
SW, HW, SI
alto
1 Impresor, 1PC- 1 UPS
Tareas secretariales
SW, HW, SI
alto
1 Laptop
Uso del director
SW, HW, SI
alto
División o Departamento: División de Precios.
DESCRIPCION 1 Impresor p/todos matricial p/ boletas ( exclusivo), 3 computadoras + UPS 1 Computadora + UPS 3 Computadoras +UPS 2 Computadoras
FINALIDAD Procesamiento de Información Procesos de Controles Control de Calidad Captura de Datos Reciben Datos de Encuestas en la Calle Para Secretaria y Jefatura
CATEGORIA CRITICIDAD SW, HW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
medio
División o Departamento: División de Estadísticas Sociales.
DESCRIPCION 1 Switch 12 Puertos Cisco SW2024, 1 Regulador de Voltaje 7 Computadoras, 6 Reguladores de voltaje 5 Computadoras 5 Computadoras, 3 Reguladores 1 Fotocopiadora Xerox, 1 Impresor Canon
FINALIDAD
CATEGORIA
CRITICIDAD
Red y equipamiento auxiliar.
HW
medio
Digitadores
HW, SW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
bajo
HW
bajo
1 Cultural, 3 Áreas Vitales, 1 Programador Análisis y digitalización de Ingresos y Gastos Encuestas de Hogares Metodología
74
8 computadoras, 5 reguladores de voltaje 6 fijas, 2 impresores 6 computadoras
Encuestas de Hogares Metodología Área de Campo 4 Metodología, 2 administrativos, 2
Área de Campo para Levantamiento, y 5 Pc, 4 UPS, 1 recopilación de Impresor Lasser hp 1320 encuestas Socioeconómicas
SW, HW, SI
bajo
SW, HW, SI
bajo
SW, HW, SI
Bajo
División o Departamento: Dirección Censos y Encuestas Económicas.
DESCRIPCION 1 Computadora 1 Switch 8 puertos SRW 2024,
5 computadoras, 2 UPS
FINALIDAD Área de Campo 1, Critica y Codificación, Control de Calidad Área de Campo 1 Critica y Codificación, Control de Calidad Área de Campo 1 Encuestas Humanas, Sistemas de Cuentas Nacionales
1 Switch 24 puertos Nortel networks
9 Pc´s, 2 impresores y 7 reguladores
1 Switch 14 Puertos, Super Stack 3Com 1 Switch 24 puertos DELL 5324 Power Conect, 1 UPS
LOCALIZACION CRITICIDAD HW, SW, SI
Bajo
HW
Medio
HW, SW, SI
HW Área de Campo 2 Unidad de Encuestas (Critica y Reportes de supervisores) Área de Campo 2
Metodología
HW, SW, SI
HW
HW
Bajo
Medio
Bajo
Medio
Medio
75
Elaboración de Boletas, Manuales Instructivos, 1 Impresor, 7 UPS, y 10 Generación de computadoras Información, Generación de Gráficas Metodología 1 Laptop encuestas Económicas exclusivamente
HW, SW, SI
Bajo
HW, SW, SI
Medio
1 Impresor OKI B6300
Uso general
3 Computadoras, 3 UPS
Metodología 2 Análisis, Muestreo
HW, SW, SI
Bajo
1 Switch 24 puertos Nortel Networks cat 5 e, 1 Switch centre Com 724
Metodología Proyectos. (Soporta Solvencias, colectaría y encuestas económicas)
HW
Medio
7 cpu, 5 UPS
Solvencias, para matrículas de comercio
HW, SW, SI
Bajo
HW
Bajo
4.4 IDENTIFICACIÓN DE AMENAZAS El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a los activos en cuestión y causar un daño. Hay accidentes naturales (terremotos, inundaciones, etc.) y desastres industriales (contaminación, fallos eléctricos) ante los cuales el sistema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay amenazas causadas por las personas, bien errores, bien ataques intencionados.
Junto con las amenazas trataremos también las vulnerabilidades de los sistemas. Existe una relación muy estrecha entre amenazas y vulnerabilidades como factores propiciadores de los riesgos. Como ya se explico previamente, en el capítulo 1 de este trabajo, amenaza se refiere a un peligro latente o un factor de riesgo externo
de un sistema o de un sujeto expuesto, en cambio, la
vulnerabilidad se entiende, en general, como un factor de riesgo interno que
76
determina la factibilidad de que el sujeto o sistema expuesto sea afectado por el fenómeno que caracteriza la amenaza
En este estudio se ha realizado un proceso de revisión de amenazas típicas de sistemas de información, basándonos en el catálogo de amenazas propuesto por MAGERIT12 y partir de ellas se han examinado las vulnerabilidades que puedan existir a nivel de la organización, y que generan un aumento en la probabilidad de que la amenaza se materialice en los activos expuestos. 4.4.1 Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el activo
Frecuencia: cada cuánto se materializa la amenaza
La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no son
intencionales,
probablemente
baste
conocer la
fracción
físicamente
perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma selectiva.
12
MAGERIT v 2.0: Metodología de Administración y Gestión de riesgos en Tecnologías de Información. “Tomo II : Catalogo de Elementos”. Ministerio de Administraciones Públicas, Madrid, 2006.
77
La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materialización; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un daño considerable. La frecuencia se modela como una tasa anual de ocurrencia, siendo valores típicos:
Muy frecuente
a diario
Frecuente
mensualmente
Normal
una vez al año
Poco frecuente
cada varios años
78
4.4.2 Tablas de amenazas y vulnerabilidades
Se presenta a continuación un catálogo de amenazas posibles sobre los activos de un sistema de información. Para cada amenaza se presenta un cuadro como el siguiente:
[código] Título descriptivo de la amenaza Tipos de activos:
Dimensiones13 :
que se pueden ver afectados 1. de seguridad que se pueden ver por este tipo de amenaza
afectadas por este tipo de amenaza, ordenadas de más a menos relevante
Descripción: Complementaria o más detallada de la amenaza. Lo que le puede ocurrir a los activos del tipo indicado con las consecuencias indicadas
Por otro lado, las amenazas han sido agrupadas según la naturaleza de sus causas, siendo estas las siguientes:
Desastres Naturales.
De origen Industriales.
Errores no Intencionados.
Ataques Deliberados.
13
No debe olvidarse que este estudio esta enfocado a la identificación de riesgos que atentan contra la disponibilidad, por lo tanto nos limitaremos a mencionar todas las dimensiones de la seguridad que pueden verse comprometidas ante una amenaza en particular, pero al momento de priorizar los riesgos, nos centraremos únicamente en un enfoque que priorice los impactos sobre la dimensiones de la disponibilidad. Ciertas amenazas que no comprometen el estado de disponibilidad de los activos de información tampoco han sido tomadas en cuenta en este estudio.
79
4.4.2.1 Amenazas relacionadas con desastres naturales [N] Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. A-N.1 : FUEGO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción Incendios: posibilidad de que el fuego acabe con recursos del sistema
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sensores de humo o alarma contra incendios
No existen suficientes extintores de incendios, o no están distribuidos en los sitios claves de manejo de información.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios críticos de manejo de información.
Hay paredes de concreto pero también hay paredes de material inflamables tales como madera o plywood.
80
A-N.2 : DAÑOS POR AGUA Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Descripción Inundaciones: posibilidad de que el agua acabe con recursos del sistema.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Las locaciones donde se ubican activos de información son susceptible a filtraciones de agua, incluyendo aquellas donde están activos críticos.
Podrían generarse problemas debido a las instalaciones de fontanería que no son las mas adecuadas. Los baños están junto al cuarto de servidores.
No existe un sistema de drenaje de emergencia.
Atenuantes de las Vulnerabilidades:
Se han tomado algunas contramedidas para evitar que el agua llegue hasta los centros de cómputo, como por ejemplo ubicar equipos críticos en plataformas para elevar la altura a la que están situados los servidores.
81
A-N.3 : DESASTRES NATURALES Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción Otros incidentes que se producen sin intervención humana: rayo, tormenta eléctrica, terremoto, ciclones, avalancha, deslaves o derrumbes, etc. Se excluyen desastres específicos tales como incendios e inundaciones.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Aunque
se
ha
instalado
recientemente
un
pararrayos
con
su
correspondiente aterrizado, este no se cumple la normativa de punto único de conexión del sistema de tierras, lo que constituye una tierra aislada. Según el Código de Electricidad (NEC)14 esto no ofrece la protección adecuada y constituye un riesgo para equipos electrónicos sensibles.
No existen planes de emergencia a nivel del personal sobre que hacer en casos de desastre, como por ejemplo un terremoto.
No se cuenta con un sitio alterno de operación o al menos un sitio diferente (separado geográficamente) donde se almacenen copias de respaldo (backups) de la información y las aplicaciones de misión critica de la organización.
Atenuantes de las Vulnerabilidades:
14
2005 NEC :Nacional Electrical Code Handbook.
82
El edificio no es anti-sísmico, pero su estructura ha probado ser resistente a Sismos.
No existen reportes de daños estructurales provocados por sismos anteriores.
No se evidencian paredes agrietadas de las cuales se sospeche que puedan representar peligros.
No existen condiciones que lo hagan susceptibles a deslaves, avalanchas, erupciones volcánicas.
4.4.2.2 Amenazas de origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o deliberada. A-I.1 : FUEGO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción Incendio: posibilidad de que el fuego acabe con los recursos del sistema.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sensores de humo o alarma contra incendios
83
No existen suficientes extintores de incendios, o no están distribuidos en los sitios claves de manejo de información.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios críticos de manejo de información.
Hay paredes de concreto pero también hay paredes de material inflamables tales como madera o plywood.
Las instalaciones eléctricas no tienen un mantenimiento adecuado. No hay una certificación que avale si estas son 100% seguras. Sin embargo, tampoco se han registrado mayores incidentes relacionados con cortos circuitos en instalaciones eléctricas.
Las ducterías eléctricas y de datos usan poliductos, el cual es un material altamente inflamable.
No existen extintores adecuados de polvo químico especiales para fuego eléctrico y equipos electrónicos en el centro de cómputo.
No se tiene certeza sobre si se les proporciona el adecuado mantenimiento a los extintores que existen.
A-I.2 : DAÑOS POR AGUA Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Descripción Inundaciones: posibilidad de que el agua acabe con recursos del sistema.
84
Vulnerabilidades detectadas relacionadas a esta amenaza:
Podrían generarse problemas debido a las instalaciones de fontanería que no son las más adecuadas. Los baños están junto al cuarto de servidores.
No existe un sistema de drenaje de emergencia.
A-I.3: DESASTRES INDUSTRIALES Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción Otros desastres debidos a la actividad humana: explosiones, derrumbes, contaminación química, sobrecarga eléctrica, fluctuaciones eléctricas, ... accidentes de tráfico, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay materiales que puedan producir explosiones.
Si hay problemas de suministro eléctrico. Problemas de calidad de energía.
Se dan problemas de fluctuaciones de energía. Picos de voltaje. Problemas de picos transitorios que afectan los equipos informáticos. Existen antecedentes de daños a equipos por esta causa.
La mayoría de
UPS que se tienen no ofrecen la adecuada protección
contra problemas de calidad de energía.
Existe un UPS de gran capacidad que aun no ha sido conectado.
Uso de regletas corrientes sin protección.
85
Las acometidas de datos o eléctricas son susceptibles a daños por accidentes de tráfico en los postes de los tendidos eléctricos. También son susceptibles a robo de cables.
Atenuantes de las Vulnerabilidades:
Si se cuentan con algunos UPS que tienen este tipo de protección pero son únicamente para los servidores críticos. También se cuenta con un regulador de voltaje que protege un circuito donde se conectan equipos de misión crítica.
A-I.4: CONTAMINACIÓN MECÁNICA O DE AMBIENTE. Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
Descripción Vibraciones, polvo, suciedad
Vulnerabilidades detectadas relacionadas a esta amenaza:
Problemas de excesivo polvo sobre los equipos. En ocasiones el viento levanta las losas del cielo falso y debido a eso cae bastante polvo.
Esta situación ocurre en los sitios del centro de cómputo y en casi todas las demás oficinas donde hay equipos informáticos.
86
A-I.5: INTERFERENCIA ELECTROMAGNETICA Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Soporte de Información
2. Trazabilidad de los servicios
(medios electrónicos)
3. Trazabilidad de los datos
Descripción Interferencias de radio, campos magnéticos, luz ultravioleta
Vulnerabilidades detectadas relacionadas a esta amenaza:
Las redes inalámbricas tienen cierto nivel de protección de acceso y encripción de datos usando protocolo WEP, aunque se conoce que este puede
ser
fácilmente
descifrado,
lo
cual
podrá
comprometer
la
disponibilidad.
Fuera de ello, se considera que no existen mayores incidentes al respecto que demuestren vulnerabilidades en este punto.
Existen servicios de redes inalámbricas en la institución pero funcionan adecuadamente y no interfieren en la operación normal.
A-I.6: AVERÍAS DE ORIGEN FÍSICO O LÓGICO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Software (Aplicaciones)
2. Trazabilidad de los servicios
Datos e Información
3. Trazabilidad de los datos
Soporte de Información
Descripción Fallos en los equipos y/o fallos en los programas. Puede ser debida a un defecto de origen u ocurrida durante el funcionamiento del sistema. En sistemas de propósito específico, a veces es difícil saber si el origen del
87
fallo es físico o lógico; pero para las consecuencias que se derivan, esta distinción no suele ser relevante.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe una infraestructura formal de back up, aunque se pueden usar equipos del stock de partes de Informática para cubrir algún equipo que se haya dañado.
Atenuantes de las Vulnerabilidades:
Los equipos de
misión crítica gozan de alta confiabilidad en su
funcionamiento. No hay mayores incidentes que hagan constatar fallas de origen lógico o físico.
Las PC´s de uso general si pueden presentar fallas, pero estas son corregidas a través de la garantía del fabricante o por el departamento de soporte interno.
Otros equipos en general no han presentado mayores problemas en cuanto a fallas por defectos de fabricación o mala calidad. Las fallas experimentadas generalmente son producidas por factores externos como el suministro eléctrico.
Las computadoras son de fabricantes reconocidos, de buena calidad y con garantía.
88
A-I.7: CORTE DEL SUMINISTRO ELÉCTRICO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Trazabilidad de los servicios
Soporte de Información
3. Trazabilidad de los datos
(electrónicos) Descripción Cese de la alimentación eléctrica.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No todos los equipos informáticos son alimentados mediante UPS, pero si todos los equipos que son considerados de misión critica (Servidores, dispositivos de comunicaciones, etc.)
Ya se compro una planta eléctrica. Pero esta no ha sido instalada aun. Tampoco existe una planificación conocida que diga cuando se realizará esta Instalación para saber cuando estará en servicio.
Cortes de energía prolongados (más de veinte minutos) requerirán que los equipos de misión crítica de la institución sean apagados. No existirá disponibilidad de los servicios de información en la institución durante el lapso que dure el corte de energía.
La red interna de suministro eléctrico no esta bien identificada y tampoco tiene el mantenimiento óptimo para garantizar la seguridad de estas instalaciones. Los sistemas eléctricos podrían ser susceptibles a cortos circuitos que podrían provocar la interrupción del suministro total o parcial, debido a la quema de fusibles de protección, o la apertura de un circuito de protección térmica.
89
A-I.8: CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Soporte de Información
2. Trazabilidad de los servicio 3. Trazabilidad de los datos
Descripción Deficiencias en la climatización de los locales, excediendo los márgenes de trabajo de los equipos: excesivo calor, excesivo frío, exceso de humedad, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los aires acondicionados de la sala de equipos críticos no tienen el mantenimiento adecuado. Presentan problemas de goteo constante y excesivo en sus bandejas de drenaje.
Los aires acondicionados de misión crítica no son del tipo llamado “aires acondicionados de precisión”, los cuales son los equipos idoneos para el enfriamiento de cuartos de equipos. Los equipos actuales, no tienen control sobre la humedad relativa del ambiente, lo cual podría resultar en daños en tarjetas electrónicas.
Atenuantes de las vulnerabilidades:
El funcionamiento de los aires en cuanto a regulación de temperatura es aceptable. La capacidad de enfriamiento esta bien.
A-I.9: FALLO DE SERVICIOS DE COMUNICACIONES Tipos de Activos
Hardware (equipos de
Dimensiones 1. Disponibilidad
comunicaciones)
Software (Aplicaciones en Red)
90
Descripción Cese de la capacidad de transmitir datos de un sitio a otro. Típicamente se debe a la destrucción física de los medios físicos de transporte o a la detención de los centros de conmutación, ya sea por destrucción, detención o simple incapacidad para atender al tráfico presente.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Existe siempre la posibilidad de que estos servicios fallen debido a diferentes causas, por lo general debido a causas imputables a los proveedores de servicio. Estas fallas pueden ser por problemas en los equipos o por problemas en los medios de transmisión.
No existe infraestructura de comunicaciones alterna o de respaldo, de modo que pueda suplir los servicios de comunicaciones en caso de que los servicios principales de comunicaciones falle.
Atenuantes de las Vulnerabilidades:
El nivel de servicio de los proveedores de comunicaciones ha resultado ser bastante bueno. Las incidencias en cortes de estos servicios es mínima. En promedio un corte mensual, tiene una duración promedio aproximada de 20 minutos.
El servicio de comunicación es únicamente de conexión a Internet y en cierta medida NO se considera el servicio de conexión a INTERNET como de misión critica y puede estar fuera lapsos mayores de tiempo (Este lapso será determinado cuando se estudie el nivel residual de riesgo que será aceptable para la organización).
Si se publica el sitio web de la institución a través de esta vía, pero una interrupción de este servicio podría estar entre los riesgos aceptables por la institución, hasta un tiempo máximo que determine la institución.
91
En los servicios de comunicación de la red interna, existe un tramo de fibra que ha presentado mal funcionamiento, se presume que esta defectuoso. Ha sido reemplazado por Cable de cobre UTP, con lo que se ha solucionado el problema.
Las capacidades de los equipos de comunicación internos (Switches y Routers) cumplen adecuadamente con los requerimientos y la demanda de tráfico de la Institución.
A-I.10: INTERRUPCIÓN DE OTROS SERVICIOS Y SUMINISTROS ESENCIALES Tipos de Activos
Hardware, equipos auxiliares
Dimensiones 1. Disponibilidad
Descripción Otros servicios o recursos de los que depende la operación de los equipos; por ejemplo, papel para las impresoras, toner, refrigerante,
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se considera que existan vulnerabilidades para a este tipo de amenazas.
A-I.11: DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN Tipos de Activos
Soporte de Información
Dimensiones 1. Disponibilidad 2. Trazabilidad de los servicios 3. Trazabilidad de los datos
Descripción Como consecuencia del paso del tiempo.
92
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay una ubicación adecuada para almacenar y resguardar soportes de información (medios magnéticos, medios ópticos, documentos en papel)
Los backups se hacen en medios ópticos (DVD’s y CD’s)
Documentos en papel no se convierten a otro medio (no se digitalizan). Estos documentos son susceptibles a los daños que pueda sufrir el papel como consecuencia de un proceso de archivado inadecuado o daños provocados por el paso del tiempo.
Atenuantes de las Vulnerabilidades:
Se pretende que en un futuro los documentos en papel puedan digitalizarse, pero no se especifica cuando será realizado esto.
4.4.2.3 Amenazas debido a errores y fallos no intencionados Fallos no intencionales causados por las personas. La numeración no es consecutiva, sino que está alineada con los ataques deliberados, muchas veces de naturaleza similar a los errores no intencionados, difiriendo únicamente en el propósito del sujeto.
A-E.1: ERRORES DE LOS USUARIOS. Tipos de Activos
Dimensiones
Datos e Información
1. Disponibilidad
Software (Aplicaciones)
2. Integridad.
Descripción Equivocaciones de las personas cuando usan los servicios, datos, etc.
93
Vulnerabilidades detectadas relacionadas a esta amenaza:
La capacitación que se da a los usuarios nuevos puede en algunos casos no ser muy extensa y completa, lo cual podría generar cierto nivel de inexperiencia y desconocimiento de las aplicaciones.
Resulta imposible predecir el comportamiento de los usuarios y la incidencia de errores provocados por estos. Siempre existe la posibilidad de que se comentan errores al introducir datos o manipular información, pero se estima que estos pueden ser detectados rápidamente, y se valora que esto no es un factor que compromete la seguridad del sistema debido a que ya existen controles que buscan prevenir y corregir errores de esta naturaleza. Estos son detallados a continuación.
Atenuantes de las vulnerabilidades:
Los usuarios con mas de un año en sus puestos, conocen bien el sistema. El porcentaje de rotación de personal en la institución es relativamente bajo.
Los sistemas tienen control de calidad para verificar la no existencia de errores o inconsistencias en la generación de los datos
Se considera mínima la posibilidad de que un error de usuario normal atente contra la disponibilidad del sistema.
Los
usuarios
normales
no
tienen
posibilidad
de
borrar
datos
accidentalmente.
Existen mecanismos de control que evitan que los usuarios manipulen la información más allá de lo que están autorizados a realizar.
94
A-E.2: ERRORES DEL ADMINISTRADOR Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Integridad
Software (Aplicaciones)
3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Equivocaciones
de
personas
con
responsabilidades
de
instalación,
administración y operación.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Si se tiene bien delimitados el grupo de administradores y subadministradores. En cada división se han delegado personas responsables con permisos de administración sobre sus propios sistemas. Esto no constituye una vulnerabilidad siempre y cuando estas personas estén debidamente capacitadas, y se compruebe que efectivamente el diseño del sistema de directorio restringe adecuadamente los permisos de cada responsable solo a los equipos que les corresponde
Se hacen backups o copias de respaldo antes de ejecutar cambios o manipular los sistemas, pero esto queda a discreción de quien ejecutará los cambios, no es una política obligatoria.
El grupo de administradores globales pertenecen a informática y están delimitadas sus funciones y derechos de administración sobre los sistemas, sin embargo una sola persona maneja la administración de los equipos más críticos, lo cual podría ser un problema en caso de ausencia de esa
95
persona, por otro lado los demás administradores no están familiarizados con esos sistemas.
No se manejan bitácoras de logs o cambios en los sistemas.
Atenuantes de las Vulnerabilidades:
Implementaciones de cambios, aplicaciones nuevas, equipos nuevos o cambio de equipos críticos, se prueban en un ambiente aislado de forma de no interferir con el ambiente de producción.
A-E.3: ERRORES DE MONITORIZACIÓN Tipos de Activos
Dimensiones
Datos e Información
1. Trazabilidad del servicio
Software (Aplicaciones)
2. Trazabilidad de los datos
Descripción Inadecuado registro de actividades: falta de registros, registros incompletos, registros incorrectamente fechados, registros incorrectamente atribuidos, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe ninguna monitorización de logs. Los logs generados por algunos sistemas como servidores, controlador de dominio, equipos de seguridad y comunicaciones están disponibles (según la forma de admón. propia de cada equipo) pero no son monitoreados constantemente, sin embargo, el administrador manifiesta que podrían ser usados en caso de un problema.
No existe registro automatizado de cambios o manipulaciones en los sistemas. Si se tiene un registro manual de cambios, pero es una bitácora en archivo de texto que se digita en forma manual. Este archivo esta expuesto a quedar desactualizado si no se digita la información de los
96
sucesos, conforme van ocurriendo. También podría ser borrado o accesado por personas no autorizadas.
No se ha implementado algún sistema de notificación automática o de alarmas según la magnitud del incidente reportado a partir de los logs.
No existen políticas de almacenamiento de los logs reportados por el sistema. No se tienen directrices sobre si estos deben ser reciclados o almacenados, y cuanto tiempo deben almacenarse en caso de que se hiciera esto último.
Las auditorias de software son hechas por la corte de cuentas pero no contemplan auditorias de los logs de mantenimiento de los equipos y servicios. Tampoco realiza esta función ninguna otra entidad, externa o interna en la institución.
Atenuantes a las Vulnerabilidades:
Existe monitorización de la disponibilidad en red de los servidores y los equipos de comunicación.
A-E.4: ERRORES DE CONFIGURACIÓN Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información
2. Integridad
Software (Aplicaciones)
3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Introducción de datos de configuración erróneos. Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, enrutamiento, etc.
97
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se tiene documentación del funcionamiento y configuración de las aplicaciones de producción desarrolladas internamente, aunque ya se tiene en proyecto la realización de esta.
No existe documentación de las aplicaciones de software que usa la organización,
especialmente
de
las
que
han
sido
desarrolladas
internamente en la organización. En el caso de aplicaciones comerciales o de licencia abierta, en la mayoría de los casos no se tiene a la mano, pero el administrador afirma que podría conseguirse fácilmente.
No existe una documentación de las configuraciones del directorio de usuarios (Active Directory) o de otros servicios esenciales para la organización.
Atenuantes a las vulnerabilidades:
Documentación de inventario de activos de información es realizada en coordinación con el departamento de activo fijo de la institución (Div. Administrativa) El software también esta incluido en estos inventarios pues se considera como parte de activo fijo.
Los equipos, servicios y aplicaciones son implementados por el personal de informática que conoce y administra adecuadamente el entorno de configuración de la empresa.
Se tiene debidamente documentado la base de configuraciones de las redes de comunicaciones de los equipos.
Si se tiene un control propio por parte de informática de la base de datos de configuraciones de los equipos. Este control es un archivo de Excel en la máquina del administrador.
98
A-E.7: DEFICIENCIAS EN LA ORGANIZACIÓN Tipos de Activos
Personal
Dimensiones 1. Disponibilidad
Descripción Cuando no está claro quién tiene que hacer exactamente qué y cuándo, incluyendo tomar medidas sobre los activos o informar a la jerarquía de gestión. Se puede caer en acciones descoordinadas, errores por omisión, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
El administrador principal de la plataforma sostiene que no existen mayores problemas respecto a esta amenaza. Sin embargo, en la inspección se ha apreciado que no existe planes de contingencia de ningún tipo en caso de situaciones catastróficas. Debido a esto puede suponerse que es muy probable que en situaciones de emergencia, no se tengan claras las acciones que deban tomarse a fin de proteger y salvaguardar la integridad de las personas, minimizar los impactos sobre los activos de información y lograr la recuperación de los sistemas y servicios en el menor tiempo posible. Este estudio pretende justamente corregir esta situación.
No se ha podido tener acceso al documento de políticas de seguridad de la institución que debiera establecer las directivas principales de la organización sobre las cuales se fundamenta la administración y el uso de los recursos de información, a fin de garantizar que dicha información mantenga su condición de segura. Los responsables de informática de la institución manifiestan que si existe este documento, pero debido a que se ha solicitado varias veces y no se nos ha proporcionado, puede presumirse que talvez este ha sido extraviado o no se dispone en forma inmediata de él.
99
Por otro lado, los usuarios no conocen el contenido de este documento, por lo que se presume que tampoco tengan claras cuales sean las disposiciones de la institución en materia de seguridad.
A-E.8: DIFUSION DE SOFTWARE DAÑINO Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción propagación en forma no intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se realizan pruebas controladas del funcionamiento efectivo de los equipos de seguridad como por ejemplo el servidor de antivirus, aunque el funcionamiento del servidor constata que este es efectivo puesto que ha demostrado detener virus.
Ya han sucedido problemas de infección masiva en equipos causados por virus, pero después de la instalación del servidor de AV esto no se ha vuelto a presentar.
No se cuenta con una solución que filtre el contenido de paquetes de Internet para evitar que se ejecuten en forma no autorizada códigos
100
maliciosos a través de paginas web en las que los usuarios naveguen sin darse cuenta que pueden ser objetos de un incidente de seguridad.
No se cuenta con mecanismos de control que evite que los usuarios puedan navegar a través de sitios web que sean potencialmente peligrosos. El firewall con el que se cuenta no es capaz de filtrar a este nivel.
No hay controles sobre el uso de dispositivos de almacenamiento portátil (memorias USB, discos flexibles, discos duros externos, etc), o sobre los puertos de conexión de los mismos en las computadoras y servidores.
Atenuantes a las Vulnerabilidades:
AV en todas las máquinas. Hay un servidor centralizado que despliega las actualizaciones de AV.
El servidor del AV monitorea
a los dispositivos cliente y reporta
debidamente actividades que puedan generar incidentes de seguridad a nivel de software y hardware. Equipos infectados etc.
El servidor tiene las políticas configuradas para que tome decisiones y acciones cuando encuentra problemas de Virus o similares.
Las máquinas son activadas con el FW de Windows, y este no puede ser desactivado por los usuarios.
Se contempla dentro de las políticas de seguridad en la institución que esta prohibido instalar software no autorizado por Informática. Esta política es cumplida en forma obligatoria a nivel de sistema operativo y mediante permisos del sistema de directorio de usuarios, de modo que los usuarios no tienen privilegios para instalar software no autorizado
Se instalan de forma automática los parches de seguridad requeridos por los sistemas operativos de las estaciones de trabajo y de los servidores. Esto se hace a través de una herramienta de software instalada en un servidor que baja las actualizaciones del Internet y las aplica a todos los equipos que han sido configurados en el entorno de la red de la institución.
101
A-E.9: ERRORES DE ENRUTAMIENTO Tipos de Activos
Dimensiones
Datos e Información
1. Integridad
Software (Aplicaciones)
2. Confidencialidad 3. Autenticidad del servicio 4. Autenticidad de los datos
Descripción Envío de información a través de un sistema o una red usando, accidentalmente, una ruta incorrecta que lleve la información donde o por donde no es debido; puede tratarse de mensajes entre personas, entre procesos o entre unos y otros. Es particularmente destacable el caso de que el error de enrutamiento suponga un error de entrega, acabando la información en manos de quien no se espera.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se dispone de herramientas de análisis de tráfico en la red que permitan detectar errores en la entrega de paquetes de datos a través de las redes de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen paquetes de información hacia receptores diferentes que no sean los legítimos destinatarios de los servicios de comunicaciones.
No existen registros o logs de confirmaciones y entregas, así como de tráfico entrante y saliente que permita corroborar el funcionamiento correcto de la red o detectar alguna anomalía que pueda darse en el entorno de esta.
102
A-E.10: DESTRUCCIÓN DE LA INFORMACIÓN Tipos de Activos
Datos e Información
Dimensiones 1. Disponibilidad
Descripción Pérdida accidental de información. Esta amenaza sólo se identifica sobre datos en general, pues cuando la información está en algún soporte (medio) de información específico, hay amenazas específicas que aplican.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Se tiene como práctica frecuente la realización de copias de backup de los datos de las aplicaciones criticas que residen en servidores, así como de los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas copias se realizan en medios ópticos (DVD’s) y no se cuenta con un adecuado almacenamiento de estos medios, estos son susceptibles a extravío, sustracción o deterioro.
No se cuenta con un sitio alterno de operación o al menos un sitio diferente (separado geográficamente) donde se almacenen copias de respaldo (backups) de la información y las aplicaciones de misión crítica de la organización.
No se realizan copias de respaldo en forma regular y periódica de los archivos y documentos de los usuarios que aunque no son críticos, si se consideran necesarios para la gestión de las operaciones de la organización. Varios procesos son realizados utilizando hojas de cálculo elaboradas en Excel, cuyos formatos genéricos no son respaldados para su debida protección. De la misma forma, otros archivos, documentos o aplicaciones que pueden ser considerados importantes para propósitos
103
administrativos u operacionales y que residen en las computadoras de los usuarios.
Atenuantes de las vulnerabilidades:
Cuando se realizaran cambios en las estaciones de trabajo de los usuarios y se estima que estos cambios podrían alterar en algún modo el funcionamiento normal de estos equipos, se realiza un respaldo preventivo de la información pertinente a las operaciones de la institución. Estos respaldos son efectuados por personal de soporte técnico, debidamente capacitado para estas tareas.
A-E.11: VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE) Tipos de Activos
Dimensiones
Datos e Información
1. Integridad
Software (Aplicaciones)
2. Confidencialidad 3. Disponibilidad
Descripción Defectos en el código que dan pie a una operación defectuosa sin intención por parte del usuario, pero con consecuencias sobre la integridad de los datos o la capacidad misma de operar.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se han efectuado auditorias de configuración y vulnerabilidad de los programas para comprobar si estos son susceptibles a manipulación
104
externa o interna, y si existen vulnerabilidades inherentes al código de las aplicaciones desarrolladas o a las transacciones que se efectúan en las bases de datos.
Debido a que no se cuenta con documentación sobre las la costrucción de las aplicaciones desarrolladas internamente, no se puede establecer con certeza si estas carecen de errores en sus procedimientos de validación de entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa un sistema no sea comprobada adecuadamente de forma que una vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.
Atenuantes de las Vulnerabilidades:
En un ambiente aislado de desarrollo y pruebas, se realizan procesos de control de calidad para comprobar que los programas funcionan adecuadamente antes de que estos sean implementados en el directorio de programas de gestión y producción de la institución.
Se aplican regularmente todos los parches recomendados por los fabricantes a todos los servidores y se tiene especial cuidado con el servidor que aloja el manejador de las bases de datos (MS-SQL). Las aplicaciones de estos parches es controlada por una aplicación creada por Microsoft especialmente para propósitos de corrección de vulnerabilidades mediante la aplicación de los parches correctivos.
A-E.12: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE) Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Integridad 2. Disponibilidad
105
Descripción Defectos en los procedimientos o controles de actualización del código que permiten que sigan utilizándose programas con defectos conocidos y reparados (a través de parches) por el fabricante.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Existe un servicio que aplica en forma automática las actualizaciones y parches que Microsoft, el fabricante de los sistemas operativos y de las aplicaciones de base de datos y desarrollo utilizadas en la institución, publica para corregir vulnerabilidades conocidas en sus sistemas. Sin embargo es de sobra que algunos parches pueden malograr la funcionalidad de los servicios que corren en la plataforma tecnológica, en forma temporal, ya sea por un error generado en la actualización, o simplemente porque el parche altero las condiciones de funcionamiento del sistema, sin que hubiera forma de prever esta situación. Debido a ello es altamente recomendable que se prueben los parches antes de aplicarse en equipos críticos, pero esto no siempre se realiza en los sistemas de la DIGESTYC.
A-E.13: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE) Tipos de Activos
Hardware (equipos
Dimensiones 1. Disponibilidad
informaticos) Descripción Defectos en los procedimientos o controles de actualización de los equipos que permiten que sigan utilizándose más allá del tiempo nominal de uso.
106
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se pudieron establecer vulnerabilidades asociadas a esta amenaza. Según el administrador de sistemas de la institución, no se han dado incidentes debido a situaciones como las que plantea esta amenaza, los equipos son reemplazados cunado corresponde y el personal de soporte técnico tiene la capacidad y experiencia necesaria para realizar esto sin interferir en las operaciones críticas de la organización.
A-E.14: CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS Tipos de Activos
Hardware (equipos
Dimensiones 1. Disponibilidad
informáticos y de comunicaciones) Descripción La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se monitorea a través de sesiones de protocolo SNMP (Protocolo de Red para Administración simple) el estado y el uso de los recursos de información como por ejemplo, monsumo de memoria y CPU, ancho de banda, estadísticas históricas de funcionamiento, estado de las baterías de emergencia (en el caso de UPS’s), etc.
107
A-E.15: INDISPONIBILIDAD DEL PERSONAL Tipos de Activos
Personal
Dimensiones 1. Disponibilidad
Descripción Ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden público, desastres, o causas de fuerza mayor.
Se considera que existe personal que tiene funciones administrativas sobre la operación de los sistemas de información cuya presencia en la institución es crítica debido al dominio y experiencia que tienen sobre los sistemas, y no ha sido posible efectuar una transferencia de conocimiento a mas personal del departamento de informática para que puedan asumir los mismos roles en caso de ausencia o indisponibilidad del personal.
No existen manuales detallados sobre los procedimientos que deben realizarse para efectuar tareas administrativas o resolución de problemas frecuentes que tengan que ver con el mantenimiento y configuración de los sistemas y servicios de información críticos para la institución.
Si se llegara a ejecutar cambios en el personal de administración de la plataforma tecnológica, sería un problema la comprensión de las configuraciones actuales de los diferentes sistemas y servicios de información de la institución, debido a la ausencia de documentación sobre las configuraciones.
108
4.4.2.4 Amenazas a causa de ataques intencionados Fallos deliberados causados por las personas. La numeración no es consecutiva para coordinarla con los errores no intencionados, muchas veces de naturaleza similar a los ataques deliberados, difiriendo únicamente en el propósito del sujeto.
A-A.4: MANIPULACIÓN DE LA CONFIGURACIÓN Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad y de comunicaciones
2. Integridad
Datos e Información
3. Confidencialidad
Software (Aplicaciones)
4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, enrutamiento, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sistemas de detección y prevención de intrusos en la institución (IPS / IDS) que pudiera detectar movimientos o patrones de conducta anormales en el entorno de la red, orientados a alterar la configuración de los sistemas de información.
No existen sistemas de monitorización en línea que detecten y generen alarmas y notificaciones automáticas a los administradores de red si se ejecutan cambios o alteraciones en la configuración que pudieran afectar el funcionamiento normal de los sistemas.
No se han implementado a nivel de las políticas de seguridad el uso de contraseñas fuertes y el cambio obligatorio de estas en forma periódica. 109
Tampoco se han implementado técnicas que permitan que el sistema de directorio de la red, (Active Directory) u otros servicios, obliguen a los usuarios a implementar las directivas de seguridad referente al uso de contraseñas seguras.
No existe documentación alguna sobre las configuraciones de los equipos. Tampoco se lleva una administración sobre los cambios de las configuraciones y registros de los mismos en bitácoras o bases de configuraciones que dejen constancia de las acciones realizadas y de las razones del porque se han hecho los cambios.
Atenuantes de las vulnerabilidades:
Existe un equipo de firewall, configurado para bloquear conexiones no autorizadas desde fuera de la red. Asimismo, este dispositivo también restringe las conexiones salientes (hacia el Internet) solo a los usuarios autorizados, sin embargo este no se ha auditado para confirmar que la configuración de seguridad implantada sea la mas adecuada y efectiva.
El grupo de administradores de la plataforma tecnológica de la institución esta compuesto únicamente por dos personas, quienes son los únicos que tienen acceso a cambiar las configuraciones de los equipos. Estas personas son consientes de las implicaciones de seguridad que tendría la divulgación de las contraseñas o mal uso de los privilegios de administración.
A-A.5 : SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Software (Aplicaciones)
2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos
110
Descripción Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios. Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la organización o por personal contratado temporalmente.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay restricciones sobre la cantidad de sesiones que un usuario puede iniciar. Tampoco existen restricciones sobre las estaciones de trabajo sobre las cuales los usuarios pueden iniciar sesión, aun a pesar de que de manera física, cada usuario tiene asignado un puesto de trabajo y una estación de trabajo.
No se han implementado a nivel de las políticas de seguridad el uso de contraseñas fuertes y el cambio obligatorio de estas en forma periódica. Tampoco se han implementado técnicas que permitan que el sistema de directorio de la red, (Active Directory) u otros servicios, obliguen a los usuarios a implementar las directivas de seguridad referente al uso de contraseñas seguras.
No existe dentro de la administración de usuarios, directivas o políticas que deshabilite a los usuarios que por diversas razones se ausenten de sus puestos de trabajo en periodos temporales relativamente largos, como por ejemplo cuando algún usuario esta de vacaciones.
El proceso para dar de alta y de baja a los usuarios, cuando entran a formar parte de la organización o cuando dejan de trabajar en la misma, no es automático. Hasta que se reciben las notificaciones de recursos humanos, el administrador del dominio tomas las acciones correspondientes para actualizar el directorio, lo cual podría generar ciertos espacios de riesgo sobre uso inautorizado de los recursos de información.
111
A-A.6: ABUSO DE PRIVILEGIOS DE ACCESO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Software (Aplicaciones)
2. Integridad 3. Confidencialidad
Descripción Cada usuario disfruta de un nivel de privilegios para un determinado propósito; cuando un usuario abusa de su nivel de privilegios para realizar tareas que no son de su competencia, existe una amenaza de seguridad.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen procedimientos de revisión periódica de los derechos y permisos efectivos de los usuarios, para comprobar si debido a un cambio de configuración, o a una acción errónea o indebida se le han concedido a un usuario o grupo de usuarios más derechos y permisos de los que le corresponden.
No existen sistemas de control de tráfico en red que monitoreen el comportamiento de los usuarios y las aplicaciones que están en uso por parte de estos.
No existen sistemas de monitorización en línea que detecten y generen alarmas y notificaciones automáticas a los administradores de red si se ejecutan cambios o alteraciones en la configuración que pudieran afectar el funcionamiento normal de los sistemas.
No existen mecanismos de control que detecten y prevengan posibles abusos de privilegios en las aplicaciones o en el manejo de la información en los entornos operativos de la institución.
No se implementa el cifrado de datos que sean considerados como confidenciales o altamente criticos.
112
Atenuantes de las vulnerabilidades:
Existen mecanismos de seguridad implementados a nivel de permisos de usuarios en el sistema de directorio (Active Directory) que restringe los accesos a los recursos según los niveles autorizados. No se han registrado incidentes que pongan en evidencia que esos mecanismos no funcionan.
A-A.7 : USO NO PREVISTO Tipos de Activos
Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Soportes de información
Software (Aplicaciones)
Descripción Utilización de los recursos del sistema para fines no previstos, típicamente de interés personal: juegos, consultas personales en internet, bases de datos personales, programas personales, almacenamiento de datos personales, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen herramientas de control de contenido o monitorización de tráfico para el uso de Internet u otros servicios de la infraestructura de red y los sistemas de información. El firewall únicamente deniega la conexión a los no autorizados y concede el acceso a Internet a los usuarios que si están autorizados y, pero sin filtrar en ningún modo a que sitios de internet se conectan.
No se disponen de
mecanismos de administración centralizada para
monitorear la actividad de los equipos de los usuarios y garantizar que no se usen los recursos de estos equipos para fines no previstos. Tampoco se implementan inventarios automatizados de software y hardware para
113
comprobar que no se hayan instalado componentes adicionales y no autorizados a los equipos de los usuarios.
Atenuantes de las Vulnerabilidades:
Las restricciones propias del sistema de directorio (Active Directory) combinadas con otras restricciones de seguridad de los equipos no permiten la instalación de software en los equipos por parte de los usuarios no autorizados para tal fin.
Es mínima o nula la incidencia de uso de recursos para fines no previstos de equipos y sistemas de misión critica (servidores de aplicación, base de datos, etc)
Los mayores problemas referentes a este punto se dan con el uso de Internet, el cual no se considera estrictamente como un servicio critico.
A-A.8: DIFUSIÓN DE SOFTWARE DAÑINO Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Propagación intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.
114
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los equipos y dispositivos de la Institución están debidamente protegidos con software antivirus, software anti-spyware y firewall de escritorio. Sin embargo no existe mecanismos de control y de prevención automática contra la conexión a la red (autorizada o no) de equipos externos a la institución, como por ejemplo equipos porttiles, computadoras personales de los empleados, etc. Se pudo constatar que en caso de proyectos especiales, se instalan computadoras que pertenecen a otras instancias gubernamentales, las cuales puede que no tengan todas las medidas de seguridad pertinentes para evitar la realización de esta amenaza.
No hay controles sobre el uso de dispositivos de almacenamiento portátil (memorias USB, discos flexibles, discos duros externos, etc), o sobre los puertos de conexión de los mismos en las computadoras y servidores.
No se realizan pruebas controladas del funcionamiento efectivo de los equipos de seguridad como por ejemplo el servidor de Antivirus, aunque el funcionamiento del servidor constata que este es efectivo puesto que ha demostrado detener virus.
Ya han sucedido problemas de infección masiva en equipos causados por Virus, pero después de la instalación del servidor de AV esto no se ha vuelto a presentar.
Atenuantes de las Vulnerabilidades:
AV en todas las maquinas. Hay un servidor centralizado que despliega las actualizaciones de AV.
El servidor del AV monitorea
a los dispositivos cliente y reporta
debidamente actividades que puedan generar incidentes de seguridad a nivel de software y hardware. Equipos infectados etc.
El servidor tiene las políticas configuradas para que tome decisiones y acciones cuando encuentra problemas de virus o similares.
115
Las máquinas son activadas con el FW de Windows, y este además no puede ser desactivado por los usuarios.
Existe un documento de definición de políticas de seguridad en la institución que contempla no instalar software no autorizado por informática, esta política es cumplida en forma obligatoria a nivel de sistema operativo y mediante permisos del sistema de directorio de usuarios, de modo que los usuarios no tienen privilegios para instalar software no autorizado
Se instalan de forma automática los parches de seguridad requeridos por los sistemas operativos de las estaciones de trabajo y de los servidores. Esto se hace a través de una herramienta de software instalada en un servidor que baja las actualizaciones del internet y las aplica a todos los equipos que han sido configurados en el entorno de la red de la institución.
A-A.9 : RE-ENRUTAMIENTO DE MENSAJES Tipos de Activos
Dimensiones
Software (Aplicaciones)
1. Disponibilidad
Hardware, equipos de
2. Integridad
comunicaciones
3. Confidencialidad 4. Autenticidad del servicio 5. Trazabilidad del servicio
Descripción Envío de información a un destino incorrecto a través de un sistema o una red, que llevan la información a donde o por donde no es debido; puede tratarse de mensajes entre personas, entre procesos o entre unos y otros. Un atacante puede forzar un mensaje para circular a través de un nodo determinado de la red donde puede ser interceptado. Es particularmente destacable el caso de que el ataque de enrutamiento lleve a una entrega fraudulenta, acabando la información en manos de quien no debe.
116
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se dispone de herramientas de análisis de tráfico en la red que permitan detectar errores en la entrega de paquetes de datos a través de las redes de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen paquetes de información hacia receptores diferentes que no sean los legítimos destinatarios de los servicios de comunicaciones.
No existen registros o logs de confirmaciones y entregas, así como de tráfico entrante y saliente que permita corroborar el funcionamiento correcto de la red o detectar alguna anomalía que pueda darse en el entorno de esta.
A-A.10: DESTRUCCIÓN DE LA INFORMACIÓN Tipos de Activos
Datos e Información
Dimensiones 1. Disponibilidad
Descripción Eliminación intencional de información, con ánimo de obtener un beneficio o causar un perjuicio. Esta amenaza sólo se identifica sobre datos en general, pues cuando la información está en algún soporte informático, hay amenazas específicas.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Se tiene como práctica frecuente la realización de copias de backup de los datos de las aplicaciones criticas que residen en servidores, así como de los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas copias se realizan en medios ópticos (DVD’s) y no se cuenta con un adecuado almacenamiento de estos medios, estos son susceptibles a extravio, sustracción o deterioro.
117
No se cuenta con un sitio alterno de operación o al menos un sitio diferente (separado geográficamente) donde se almacenen copias de respaldo (backups) de la información y las aplicaciones de misión critica de la organización.
No se realizan copias de respaldo en forma regular y periódica de los archivos y documentos de los usuarios que aunque no son críticos, si se consideran necesarios para la gestión de las operaciones de la organización. Varios procesos son realizados utilizando hojas de cálculo elaboradas en Excel, cuyos formatos genéricos no son respaldados para su debida protección. De la misma forma, otros archivos, documentos o aplicaciones que pueden ser considerados importantes para propósitos administrativos u operacionales y que residen en las computadoras de los usuarios.
Atenuantes de las vulnerabilidades:
Cuando se realizaran cambios en las estaciones de trabajo de los usuarios y se estima que estos cambios podrían alterar en algún modo el funcionamiento normal de estos equipos, se realiza un respaldo preventivo de la información pertinente a las operaciones de la institución. Estos respaldos son efectuados por personal de soporte técnico, debidamente capacitado para estas tareas.
A-A.11: MANIPULACIÓN DE PROGRAMAS Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos
118
6. Trazabilidad del servicio 7. Trazabilidad de los datos Descripción Alteración intencionada del funcionamiento de los programas, persiguiendo un beneficio indirecto cuando una persona autorizada lo utiliza.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se han efectuado auditorias de configuración y vulnerabilidad de los programas para comprobar si estos son susceptibles a manipulación externa o interna, y si existen vulnerabilidades inherentes al código de las aplicaciones desarrolladas o a las transacciones que se efectúan en las bases de datos.
No se han efectuado auditorias de integridad y vulnerabilidad de la base de datos de gestión principal es Microsoft SQL. Existen vulnerabilidades reportadas por el fabricante, así como técnicas de ataque dirigidas al manejador de las bases de datos que podrían en algún momento generar problemas de seguridad al permitir la creación, lectura, actualización o borrado de datos disponibles en las aplicaciones y en formas arbitrarias. En el peor de los casos, se puede comprometer completamente la base de datos y los sistemas del entorno. Por ello deben efectuarse pruebas especializadas para determinar si el manejador de las bases de datos esta debidamente asegurado para minimizar estos riesgos15.
Debido a que no se cuenta con documentación sobre las la costrucción de las aplicaciones desarrolladas internamente, no se puede establecer con certeza si estas carecen de errores en sus procedimientos de validación de entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa un sistema no sea comprobada adecuadamente de forma que una vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.
15
En el capitulo de Recomendaciones se ampliara este punto y se detallaran algunas recomendaciones básicas a tomar en cuenta para asegurar el sistema de manejo de bases de datos.
119
Atenuantes de las Vulnerabilidades:
Se aplican regularmente todos los parches recomendados por los fabricantes a todos los servidores y se tiene especial cuidado con el servidor que aloja el manejador de las bases de datos (MS-SQL). Las aplicaciones de estos parches es controlada por una aplicación creada por Microsoft especialmente para propósitos de corrección de vulnerabilidades mediante la aplicación de los parches correctivos.
A-A.14: DENEGACIÓN DE SERVICIO Tipos de Activos
Software (Aplicaciones)
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos 6. Trazabilidad del servicio 7. Trazabilidad de los datos
Descripción Propagación intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se han efectuado pruebas controladas de penetración intrusiva o de conexiones no autorizadas a los servidores (desde el exterior o desde el interior de la red) utilizando técnicas como por ejemplo escaneo de puertos abiertos, verificación de servicios innecesarios activos, pruebas de captura de contraseñas mediante keyloggers, o de adivinación de contraseñas debiles, para comprobar si existen problemas que podrían comprometer la
120
seguridad de la institución y especialmente la disponibilidad de los servicios de información si se llegaran a efectuar ataques de denegación de servicio.
No existen sistemas de detección y prevención de intrusos en la institución (IPS / IDS) que pudiera detectar movimientos o patrones de conducta anormales en el entorno de la red, orientados a alterar el funcionamiento normal de los servicios de información.
A-A.15: ROBO Tipos de Activos
Hardware, equipos en general
Soporte de Información
Dimensiones 1. Disponibilidad
Descripción La sustracción de equipamiento provoca directamente la carencia de un medio para prestar los servicios, es decir una indisponibilidad. El robo puede afectar a todo tipo de equipamiento, siendo el robo de equipos y el robo de soportes de información los más habituales. El robo puede realizarlo personal interno, personas ajenas a la organización o personas contratadas de forma temporal, lo que establece diferentes grados de facilidad para acceder al objeto sustraído y diferentes consecuencias. En el caso de equipos que hospedan datos, además se puede sufrir una fuga de información.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los controles y mecanismos de seguridad física orientados a prevenir el robo de activos de información en la institución son mínimos. En las locaciones donde se encuentran equipos críticos no existen los adecuados mecanismos de control de acceso físico que permitan el paso solo al
121
personal
estrictamente
autorizado,
ni
tampoco
hay
un
monitoreo
automatizado de estos accesos.
No se cuentan con sistemas de alarmas contra robo o intrusos para horas nocturnas, ni siquiera en la locación de la división de informática que es donde se encuentran los equipos de misión critica para las operaciones de la institución.
No se lleva un control minucioso de los sitios permitidos a los que pueden tener acceso los visitantes, personal externo, contratistas y demás personas ajenas a la institución. Después de ser identificados en la portería por el personal de seguridad, los visitantes pueden transitar libremente por todas las instalaciones de la institución. No se chequean entradas y salidas de equipos para comprobar si pudieran ser o no de la institución.
No se cuentan con sistemas de circuito cerrado por televisión para monitorear la actividad tanto del personal de la institución, como de personas ajenas a esta.
Los documentos de identificación de los empleados no llevan fotografía que facilite la comprobación de la identidad de alguien en forma inmediata, ni la autenticidad de dicha identificación. En el caso de los visitantes, las tarjetas de visitantes no son de un color diferente a las identificaciones de los empleados, y no difieren en mucho de estas, salvo por el hecho que llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.
Atenuantes de las vulnerabilidades:
Se cuenta con una compañía de seguridad contratada que supervisa el perímetro de las instalaciones de la institución. También controlan la identificación y acceso del personal y de los visitantes, aunque con las limitantes citadas anteriormente. La compañía se encarga de la vigilancia en horas nocturnas al interior de la institución.
122
Las locaciones donde hay equipo informático se dejan cerradas con llave, sin embargo existe vulnerabilidad para acceder a estas locaciones por las ventanas o por el techo.
En horas y días hábiles, los empleados de la institución podrían darse cuenta si alguien externo a la institución tiene un comportamiento sospechoso, o intenta sustraer algún equipo u activo de información propiedad de la institución. Esto podría ser reportado inmediatamente a los agentes de seguridad para que intervengan a fin de evitar el incidente.
Todos los equipos y sistemas de informática de la institución están debidamente inventariados por el departamento de activo fijo de la división administrativa. Los equipos son identificados mediante un código con el que son referenciados en el inventario de activo fijo.
A-A.16: ATAQUE DESTRUCTIVO Tipos de Activos
Dimensiones
Hardware, equipos en general
Soportes de información
1. Disponibilidad
Descripción Vandalismo, terrorismo, acción militar, etc. Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la Organización o por personas contratadas de forma temporal.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los controles y mecanismos de seguridad física orientados a prevenir ataques de esta naturaleza en la institución son mínimos. En las locaciones donde se encuentran equipos críticos no existen los adecuados mecanismos de control de acceso físico que permitan el paso solo al personal
estrictamente
autorizado,
ni
tampoco
hay
un
monitoreo
automatizado de estos accesos.
123
No se cuentan con sistemas de alarmas contra robo o intrusos para horas nocturnas, ni siquiera en la locación de la división de informática que es donde se encuentran los equipos de misión crítica para las operaciones de la institución.
No se lleva un control minucioso de los sitios permitidos a los que pueden tener acceso los visitantes, personal externo, contratistas y demás personas ajenas a la institución. Después de ser identificados en la portería por el personal de seguridad, los visitantes pueden transitar libremente por todas las instalaciones de la institución. No se chequean entradas y salidas de equipos para comprobar si pudieran ser o no de la institución.
No se cuentan con sistemas de circuito cerrado por televisión para monitorear la actividad tanto del personal de la institución, como de personas ajenas a esta.
Los documentos de identificación de los empleados no llevan fotografía que facilite la comprobación de la identidad de alguien en forma inmediata, ni la autenticidad de dicha identificación. En el caso de los visitantes, las tarjetas de visitantes no son de un color diferente a las identificaciones de los empleados, y no difieren en mucho de estas, salvo por el hecho que llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.
Atenuantes de las vulnerabilidades:
Se cuenta con una compañía de seguridad contratada que supervisa el perímetro de las instalaciones de la institución. También controlan la identificación y acceso del personal y de los visitantes, aunque con las limitantes citadas anteriormente. La compañía se encarga de la vigilancia en horas nocturnas al interior de la institución.
Las locaciones donde hay equipo informático se dejan cerradas con llave, sin embargo existe vulnerabilidad para acceder a estas locaciones por las ventanas o por el techo.
124
En horas y días hábiles, los empleados de la institución podrían darse cuenta si alguien externo a la institución tiene un comportamiento sospechoso. Esto podría ser reportado inmediatamente a los agentes de seguridad para que intervengan a fin de evitar cualquier incidente.
A-A.17: Ocupación Enemiga Tipos de Activos
Dimensiones
Hardware, equipos en general
1. Disponibilidad
Soportes de información
2. Confidencialidad
Descripción Cuando los locales han sido invadidos y se carece de control sobre los propios medios de trabajo.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Debido a que el país no se encuentra en una situación de guerra directa contra algún otro país o alguna fuerza armada opositora al gobierno legalmente instituido, no se consideran vulnerabilidades respecto a esta amenaza, por lo que la probabilidad de existencia de riesgos respecto a este punto se considera mínima.
A-A.18: INDISPONIBILIDAD DEL PERSONAL Tipos de Activos
Personal
Dimensiones 1. Disponibilidad
Descripción Ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral, bajas no justificadas, bloqueo de los accesos, etc.
125
Vulnerabilidades detectadas relacionadas a esta amenaza:
Se considera que existe personal que tiene funciones administrativas sobre la operación de los sistemas de información cuya presencia en la institución es crítica debido al dominio y experiencia que tienen sobre los sistemas, y no ha sido posible efectuar una transferencia de conocimiento a mas personal del departamento de informática para que puedan asumir los mismos roles en caso de ausencia o indisponibilidad del personal.
No existen manuales detallados sobre los procedimientos que deben realizarse para efectuar tareas administrativas o resolución de problemas frecuentes que tengan que ver con el mantenimiento y configuración de los sistemas y servicios de información críticos para la institución.
Si se llegara a ejecutar cambios en el personal de administración de la plataforma tecnológica, sería un problema la comprensión de las configuraciones actuales de los diferentes sistemas y servicios de información de la institución, debido a la ausencia de documentación sobre las configuraciones.
A-A.19: INGENIERIA SOCIAL Tipos de Activos
Personal
Dimensiones 1. Disponibilidad 2. Integridad 3. Confidencialidad 4. Autenticidad del servicio 5. Autenticidad de los datos
Descripción Abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero.
126
Vulnerabilidades detectadas relacionadas a esta amenaza:
El personal en general, no conoce las políticas de seguridad de la Ia institución, ni han sido sensibilizados sobre la importancia de la información y de la preservación de la seguridad de la misma para la realización de las operaciones en la organización. Esta vulnerabilidad podría dar lugar a que se obtuvieran datos o información importante que incluso podría causar la realización de otras amenazas e incidentes de seguridad de proporciones mayores.
127
4.4.2.5 Correlación entre las amenazas por errores no intencionados y los ataques deliberados
Numero 1 2 3 4 5 6 7 8 9 10 11 12
13 14 15 16 17 18 19
Error Error de los usuarios Errores del administrador Errores de monitorización (logs) Errores de configuración
Ataque
Manipulación de la configuración Suplantación de la identidad del usuario Abuso de privilegios de acceso Uso no Previsto Difusión de software dañino Re-enrutamiento de mensajes Destrucción de información
Deficiencias en la Organización Difusión de software dañino Errores de re-enrutamiento Destrucción de información Vulnerabilidades de los Manipulación de los Programas programas (software) Errores de mantenimiento / actualización de programas (software) Errores de mantenimiento / actualización de equipos (hardware) Caída del sistema por Denegación de servicios agotamiento de recursos Robo Ataque destructivo Ocupación Enemiga Indisponibilidad del Personal Indisponibilidad del Personal Ingeniería Social
128
4.5 ANÁLISIS DE RIESGOS E IMPACTOS
Una vez que se tienen definidos las amenazas a las que están expuestos los activos de información en la institución, así como las vulnerabilidades internas que los recursos de información poseen, ya sea por las condiciones de su entorno, o por deficiencias en la administración, se puede determinar cuales son los riesgos a los cuales se enfrenta la institución en materia de seguridad de la información, y que eventualmente, en caso de materializarse, podrían constituir un desastre informático.
En el análisis de riesgos, la preocupación está relacionada con tres simples preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál es la probabilidad de que suceda? Los datos presentados en este apartado pueden ser de gran ayuda a los responsables de la institución para valorar las acciones a tomar para la prevención y mitigación de riesgos, a fin de evitar en lo posible, los desastres.
Para la evaluación de los riesgos es posible usar métodos muy variados en composición y complejidad, pero para todos ellos es necesario realizar un diagnóstico de la situación.
Un método comúnmente utilizado es el siguiente diagrama:
Fig. 4.2: Probabilidad vs. Impacto para evaluar riesgos.
129
Es necesario para determinar el índice de exposición a riesgos, determinar la probabilidad que existe de que un riesgo se materialice, así como el impacto que esta eventualidad causaría en las operaciones de la organización.
Teniendo el diagrama anterior como referencia se procedió a diseñar una matriz de riesgos e impactos donde se sintetizan los activos de la institución, agrupados en categorías de activos, y sus criticidades. Estos grupos de activos han sido evaluados contra la posibilidad de que cada una de las amenazas pertinentes, listadas anteriormente, puedan materializarse.
Los valores de probabilidad asignados a cada amenaza, fueron asignados por el equipo que ha elaborado esta tesis y han sido razonados sobre todo, a partir de las vulnerabilidades que fueron detectadas, así como también del historial de eventos que se han dado en la institución y que nos fueron manifestados en las entrevistas realizadas.
Por otro lado, los valores de criticidad e impactos asociados a cada activo fueron dados por el personal de la institución que fue entrevistado, siendo ellos los más idóneos para determinar la importancia de sus activos de información.
La matriz de impactos esta basada en la siguiente tabla de referencia:
Criticidad Activo
BAJA MED ALTA
Rango de Impacto impacto Moderado
Alto impacto
Alto Impacto
Bajo Impacto
Impacto Moderado
Alto Impacto
Bajo Impacto
Bajo Impacto
Impacto moderado
Bajo Medio Alto Rango Vulnerabilidad
130
Con esta matriz se puede determinar el rango de impacto causado por una amenaza que afecte a un determinado activo, según su criticidad y las vulnerabilidades presentes. A partir de los rangos de impacto determinados anteriormente, se procede a evaluarlos contra los valores de probabilidad determinados para cada amenaza y se relacionan según esta nueva tabla de referencia.
Impacto (de la tabla de Impacto anterior)
BAJO MED ALTO
Tasa de Nivel de Riesgo Riesgo Moderado Bajo Riesgo
Alto Riesgo Alto Riesgo Riesgo Moderado
Alto Riesgo
Bajo Bajo Riesgo Riesgo Riesgo Moderado Bajo Medio Alto Valor de Probabilidad
Los valores de probabilidad vienen dados según la tabla de referencia que se muestra a continuación:
Referencia de Valores de Probabilidad Calificación ALTA
Descripción Bastante probable. Varios eventos en un año
MEDIA
Probable, al menos un evento en un año
BAJA
Poco probable. Al menos un evento cada cinco años.
A continuación se presenta el informe general de riesgos informáticos de la DIGESTYC, sintetizado en una matriz que nos muestra los niveles de exposición a los riesgos.
131
Nuevamente se hace énfasis en que el objeto de este trabajo es la formulación de un plan de recuperación de desastres, en el cual, básicamente se define como reaccionar ante un desastre. Sin embargo a partir de la información mostrada en el informe de riesgos, la institución debe hacer esfuerzos adicionales en el campo de la prevención, para que además de contar con un plan de recuperación de desastres, puedan ampliar su gestión a los campos de prevención y mitigación de riesgos, a fin de prevenir hasta donde sea posible, el desastre.
132
CATALOGO COMPLETO DE AMENAZAS ANALIZADAS CODIGO A-N.1 A-N.2 A-N.3 A-I.1 A-I.2 A-I.3 A-I.4 A-1.5 A-I.6 A-I.7 A-1.8 A-I.9 A-I.10 A-I.11 A-E.1 A-E.2 A-E.3 A-E.4 A-E.7 A-E.8 A-E.9 A-E.10 A-E.11 A-E.12 A-E.13 A-E.14 A-E.18 A-A.4 A-A.5 A-A.6 A-A.7 A-A.8 A-A.9 A-A.10 A-A.11 A-A.14 A-A.15 A-A.16 A-A.17 A-A.18 A-A.19
DESCRIPCION FUEGO DAÑOS POR AGUA DESASTRES NATURALES FUEGO DAÑOS POR AGUA DESASTRES INDUSTRIALES CONTAMINACIÓN MECÁNICA O DE AMBIENTE. INTERFERENCIA ELECTROMAGNETICA AVERÍAS DE ORIGEN FÍSICO O LÓGICO CORTE DEL SUMINISTRO ELÉCTRICO CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD FALLO DE SERVICIOS DE COMUNICACIONES INTERRUPCIÓN DE OTROS SERVICIOS Y SUMINISTROS ESENCIALES DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN ERRORES DE LOS USUARIOS. ERRORES DEL ADMINISTRADOR ERRORES DE MONITORIZACIÓN ERRORES DE CONFIGURACIÓN DEFICIENCIAS EN LA ORGANIZACIÓN DIFUSION DE SOFTWARE DAÑINO ERRORES DE ENRUTAMIENTO DESTRUCCIÓN DE LA INFORMACIÓN VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE) ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE) ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE) CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS INDISPONIBILIDAD DEL PERSONAL MANIPULACIÓN DE LA CONFIGURACIÓN SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO ABUSO DE PRIVILEGIOS DE ACCESO USO NO PREVISTO DIFUSIÓN DE SOFTWARE DAÑINO RE-ENRUTAMIENTO DE MENSAJES DESTRUCCIÓN DE LA INFORMACIÓN MANIPULACIÓN DE PROGRAMAS DENEGACIÓN DE SERVICIO ROBO ATAQUE DESTRUCTIVO OCUPACIÓN ENEMIGA INDISPONIBILIDAD DEL PERSONAL INGENIERIA SOCIAL
133
MATRIZ DE RIESGOS DE SEGURIDAD INFORMÁTICA EN LA DIGESTYC Activos Nombre
GRUPO DE SERVIDORES CRITICIDAD ALTA (Controlador de dominio, SQL Server, Web, Mail Server, Backup)
Exposure Tipo
SW, HW,SI
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 A-N.2 A-N.3 A-I.1 A-I.2 A-I.3 A-I.4 A-1.5 A-I.6 A-I.7 A-1.8 A-I.9 A-I.11 A-E.2 A-E.3 A-E.4 A-E.8 A-E.11 A-E.12 A-E.13 A-E.14 A-A.4 A-A.5 A-A.6 A-A.7 A-A.8
A M M M M B B B B A M B M B M M B M B N/A M A A M M B
A A A A A M M M M A A M A M A A M A M FALSO A A A A A M
B B B B M B M B B A M M B B B M M B B B M B M B B A
M M M M A B M B B A A M M B M A M M B FALSO A M A M M A
134
A-A.11
M
A
B
M
A-A.14
M
A
B
M
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
B
FALSO
ACTIVOS Nombre
Grupo de equipos auxiliares y de comunicaciones. Criticidad Alta (UPS de servidores, Firewall, Conmutadores principales)
EXPOSICIÓN Tipo
HW
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
A
B
Resumen Nivel de Riesgo (A,M,B) M
A-N.2
M
A
M
A
A-N.3
M
A
B
M
A-I.1
M
A
B
M
A-I.2
M
A
B
M
A-I.3
B
M
B
B
A-I.4
B
M
M
M
A-1.5
B
M
B
B
A-I.6
B
M
B
B
A-I.7
A
A
A
A
A-1.8
M
A
M
A
A-I.9
B
M
B
B
A-I.10
N/A
FALSO
N/A
FALSO
A-E.2
B
M
B
B
A-E.3
M
A
B
M
A-E.4
M
A
M
A
A-E.9
B
M
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
A
M
A
A-A.4
A
A
B
M
135
A-A.5
A
A
B
M
A-A.6
M
A
B
M
A-A.7
M
A
B
M
A-A.9
B
M
B
B
A-A.14
M
A
B
M
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
N/A
FALSO
ACTIVOS Nombre
APLICACIONES CRÍTICAS (Aplic. .NET internas, Aplicaciones de Precios, Aplic. Activo fijo, Aplic. CSPRO e ISSA)
EXPOSICIÓN Tipo
SW
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
A
B
Resumen Nivel de Riesgo (A,M,B) M
A-N.2
M
A
B
M
A-N.3
M
A
B
M
A-I.1
M
A
B
M
A-I.2
M
A
M
A
A-I.3
B
M
B
B
A-I.6
B
M
B
B
A-I.9
B
M
B
B
A-I.11
M
A
B
M
A-E.1
B
M
M
M
A-E.2
B
M
B
B
A-E.3
M
A
B
M
A-E.4
M
A
M
A
A-E.8
B
M
M
M
A-E.9
B
M
B
B
A-E.11
M
A
B
M
A-E.12
B
M
M
M
136
A-A.4
A
A
B
M
A-A.5
A
A
M
A
A-A.6
M
A
B
M
A-A.7
M
A
B
M
A-A.8
B
M
A
A
A-A.9
B
M
B
B
A-A.11
M
A
B
M
A-A.14
M
A
B
M
ACTIVOS Nombre
BASES DE DATOS (SQL, FOX, CSPRO, ISSA Y SQL para pruebas y desarrollo)
EXPOSICIÓN Tipo
D
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
A
B
Resumen Nivel de Riesgo (A,M,B) M
A-N.2
M
A
B
M
A-N.3
M
A
B
M
A-I.1
M
A
B
M
A-I.2
M
A
M
A
A-I.3
B
M
B
B
A-I.4
B
M
M
M
A-I.6
B
M
B
B
A-I.7
A
A
A
A
A-E.1
B
M
M
M
A-E.2
B
M
B
B
A-E.3
M
A
B
M
A-E.4
M
A
M
A
A-E.10
M
A
M
A
A-E.11
M
A
B
M
A-A.4
A
A
B
M
A-A.10
M
A
M
A
137
ACTIVOS Nombre
Computadoras de criticidad alta en div. sistemas y en las oficinas de Dirección.
EXPOSICIÓN Tipo
HW, SW, SI
Criticidad (Alta, Media, Baja)
A
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
A
B
Resumen Nivel de Riesgo (A,M,B) M
A-N.2
M
A
B
M
A-N.3
M
A
B
M
A-I.1
M
A
B
M
A-I.2
M
A
M
A
A-I.3
B
M
B
B
A-I.4
B
M
M
M
A-1.5
B
M
B
B
A-I.6
B
M
B
B
A-I.7
A
A
A
A
A-1.8
M
A
M
A
A-I.9
B
M
M
M
A-I.11
M
A
B
M
A-E.2
B
M
B
B
A-E.3
M
A
B
M
A-E.4
M
A
M
A
A-E.8
B
M
M
M
A-E.11
M
A
B
M
A-E.12
B
M
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
A
M
A
A-A.4
A
A
B
M
A-A.5
A
A
M
A
A-A.6
M
A
B
M
A-A.7
M
A
M
A
138
A-A.8
M
A
A
A
A-A.11
M
A
B
M
A-A.14
M
A
B
M
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
B
FALSO
ACTIVOS Nombre
Grupo de servidores de criticidad media : Proxy y VPNServer
EXPOSICIÓN Tipo
HW, SW, SI
Criticidad (Alta, Media, Baja)
M
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
M
B
Resumen Nivel de Riesgo (A,M,B) B
A-N.2
M
M
B
B
A-N.3
M
M
B
B
A-I.1
M
M
B
B
A-I.2
M
M
M
M
A-I.3
B
B
B
B
A-I.4
B
B
M
B
A-1.5
B
B
B
B
A-I.6
B
B
B
B
A-I.7
A
A
A
A
A-1.8
M
M
M
M
A-I.9
B
B
M
B
A-I.11
M
M
B
B
A-E.2
B
B
B
B
A-E.3
M
M
B
B
A-E.4
M
M
M
M
A-E.8
B
B
M
B
A-E.11
M
M
B
B
A-E.12
B
B
B
B
139
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
M
M
M
A-A.4
A
A
B
M
A-A.5
A
A
M
A
A-A.6
M
M
B
B
A-A.7
M
M
M
M
A-A.8
M
M
A
A
A-A.11
M
M
B
B
A-A.14
M
M
B
B
A-A.15
A
A
B
M
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
B
FALSO
ACTIVOS Nombre
Equipos comunicaciones definidos con criticidad media (en general)
EXPOSICIÓN Tipo
HW
Criticidad (Alta, Media, Baja)
M
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
M
B
Resumen Nivel de Riesgo (A,M,B) B
A-N.2
M
M
B
B
A-N.3
M
M
B
B
A-I.1
M
M
B
B
A-I.2
M
M
B
B
A-I.3
B
B
B
B
A-I.4
B
B
M
B
A-1.5
B
B
B
B
A-I.6
B
B
B
B
A-I.7
A
A
A
A
A-1.8
M
M
M
M
A-I.9
B
B
B
B
A-I.10
N/A
FALSO
N/A
FALSO
140
A-E.2
B
B
B
B
A-E.3
M
M
B
B
A-E.4
M
M
M
M
A-E.9
B
B
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
M
M
M
A-A.4
A
A
B
M
A-A.5
A
A
B
M
A-A.6
M
M
B
B
A-A.7
M
M
B
B
A-A.9
B
B
B
B
A-A.14
M
M
B
B
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
N/A
FALSO
ACTIVOS Nombre
Grupo de computadoras de criticidad media de todas las divisiones.
EXPOSICIÓN Tipo
HW, SW, SI
Criticidad (Alta, Media, Baja)
M
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A-N.1
M
M
B
Resumen Nivel de Riesgo (A,M,B) B
A-N.2
M
M
B
B
A-N.3
M
M
B
B
A-I.1
M
M
B
B
A-I.2
M
M
M
M
A-I.3
B
B
B
B
A-I.4
B
B
M
B
A-1.5
B
B
B
B
A-I.6
B
B
B
B
A-I.7
A
A
A
A
141
A-1.8
M
M
M
M
A-I.9
B
B
M
B
A-I.11
M
M
B
B
A-E.2
B
B
B
B
A-E.3
M
M
B
B
A-E.4
M
M
M
M
A-E.8
B
B
M
B
A-E.11
M
M
B
B
A-E.12
B
B
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
M
M
M
A-A.4
A
A
B
M
A-A.5
A
A
M
A
A-A.6
M
M
B
B
A-A.7
M
M
M
M
A-A.8
M
M
A
A
A-A.11
M
M
B
B
A-A.14
M
M
B
B
A-A.15
A
A
M
A
A-A.16
A
A
B
M
A-A.17
N/A
FALSO
B
FALSO
142
ACTIVOS
EXPOSICIÓN
Nombre
Tipo
Grupo de computadoras de criticidad baja de todas las divisiones.
HW, SW, SI
Criticidad (Alta, Media, Baja)
Amenaza
Rango de Vulnerab (A, M, B)
B
A-N.1
M
B
B
Resumen Nivel de Riesgo (A,M,B) B
A-N.2
M
B
B
B
A-N.3
M
B
B
B
A-I.1
M
B
B
B
A-I.2
M
B
M
B
A-I.3
B
B
B
B
A-I.4
B
B
M
B
A-1.5
B
B
B
B
A-I.6
B
B
B
B
A-I.7
A
M
A
A
A-1.8
M
B
M
B
A-I.9
B
B
M
B
A-I.11
M
B
B
B
A-E.2
B
B
B
B
A-E.3
M
B
B
B
A-E.4
M
B
M
B
A-E.8
B
B
M
B
A-E.11
M
B
B
B
A-E.12
B
B
B
B
A-E.13
N/A
FALSO
B
FALSO
A-E.14
M
B
M
B
A-A.4
A
M
B
B
A-A.5
A
M
M
M
A-A.6
M
B
B
B
A-A.7
M
B
M
B
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
143
A-A.8 A-A.11 A-A.14 A-A.15 A-A.16 A-A.17
M M M A A N/A
Criticidad (Alta, Media, Baja)
Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
A
A-N.1 A-N.3 A-I.1 A-I.3 A-E.18 A-A.18 A-A.19
M M M B M M B
A A A M A A M
B B B B M B B
ACTIVOS Nombre
Personal crítico para el manejo de la información (administradores, desarrolladores, etc.)
Tipo
P
B B B M M FALSO EXPOSICIÓN
A B B M B B
M B B M B FALSO Resumen Nivel de Riesgo (A,M,B) M M M B A M B
144
Related Documents
Auditoria De Sistemas
July 2020 7
Auditoria De Sistemas
July 2020 3
Auditoria De Sistemas
May 2020 9
Ti - Auditoria De Sistemas
July 2020 7
Auditoria De Sistemas
April 2020 8