Cadenasierramiguelangel.2017.pdf
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Cadenasierramiguelangel.2017.pdf as PDF for free.
More details
- Words: 18,905
- Pages: 102
MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN APLICADA A ENTIDADES BANCARIAS UNIVERSIDAD DISTRTAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLOGICA 2017
1
MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) APLICADA A ENTIDADES BANCARIAS
DIANA MARCELA SIERRA MENDOZA MIGUEL ANGEL CADENA SIERRA
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELEMÁTICA BOGOTÁ 2017 2
MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) APLICADA A ENTIDADES BANCARIAS
DIANA MARCELA SIERRA MENDOZA MIGUEL ANGEL CADENA SIERRA
Proyecto presentado como requisito para optar al título de Ingeniería en Telemática
TUTOR: JOSE VICENTE REYES Ingeniero en Sistemas
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELEMÁTICA BOGOTÁ 2017
3
Nota de aceptación
Tutor
Jurado
Bogotá D.C. ___Febrero de 2017
4
TABLA DE CONTENIDO AGRADECIMIENTOS ..................................................................................... 12 RESUMEN ...................................................................................................... 13 ABSTRACT ..................................................................................................... 14 INTRODUCCIÓN ............................................................................................ 15 1.
FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ................... 18 1.1. TITULO .............................................................................................. 18 1.2. PLANTEAMIENTO DEL PROBLEMA ................................................ 18 1.3. OBJETIVOS....................................................................................... 19 1.3.1. Objetivo General ......................................................................... 19 1.3.2. Objetivo Específicos .................................................................... 19 1.4. SOLUCIÓN TECNOLÓGICA ............................................................. 19 1.5. MARCO DE REFERENCIA ............................................................... 20 1.5.1. Marco teórico .............................................................................. 20 1.5.2. Antecedentes .............................................................................. 21 Norma ISO/IEC 27005 ............................................................................. 22 1.5.3. Marco Metodológico .................................................................... 29 1.6. CRONOGRAMA ................................................................................ 30 1.7. FACTIBILIDAD ECONÓMICA ........................................................... 31 1.7.1. Factibilidad Económica: Factor Humano ..................................... 31 1.7.2. Factibilidad Económica: Factor Técnico ...................................... 31 1.7.3. Total Factibilidad Económica ...................................................... 31
2.
Situación De La Red Actual ..................................................................... 33 2.1. CASO ESTUDIO ................................................................................ 33 2.2. INFORMACIÓN TÉCNICA................................................................. 34 2.2.1. Plataforma Tecnológica ............................................................... 34 2.2.2. Caracterización de la infraestructura ........................................... 35 2.2.3. Caracterización Infraestructura Actual ........................................ 35
3.
Etapa De Planificación ............................................................................. 37
5
3.1. MATRIZ DOFA .................................................................................. 37 3.1.1. Matriz Dofa .................................................................................. 37 3.2. DECLARACIÓN DE APLICABILIDAD ............................................... 38 3.3. ALCANCE DEL SGSI DENTRO DEL CASO ESTUDIO .................... 39 4.
Análisis De Riesgos ................................................................................. 41 4.1. METODOLOGÍA A USAR .................................................................. 42 4.1.1. Análisis de focus group para el análisis de riesgos. .................... 42 4.1.2. Tipos De Activos ......................................................................... 43 4.1.3. Codificación O Etiquetación De Los Activos ............................... 43 4.1.4. Caracterización de Activos .......................................................... 43 4.1.5. Criterios De Valoración De Activos ............................................ 47 4.1.6. Criterios de Valoración de Activos II............................................ 48 4.1.7. Caracterización de amenazas ..................................................... 49 4.1.8. Relación entre Impacto, Probabilidad y Riesgo ........................... 50 4.1.9. Matriz de Riesgo ......................................................................... 50
5.
4.1.10.
Tipos De Impacto Y Riesgo (Amenazas) ................................. 51
4.1.11.
Modelo Descripción Amenaza ................................................. 51
4.1.12.
Criterios De Valoración Del Riesgo .......................................... 51
4.1.13.
Criterios De Valoración De Impacto ......................................... 51
4.1.14.
Criterios de Valoración de Impacto .......................................... 51
4.1.15.
Criterios de Valoración del Riesgo ........................................... 52
4.1.16.
Criterios De Valoración De Probabilidad Del Riesgo ............... 52
4.1.17.
Criterios de Valoración Probabilidad de Riesgo ....................... 52
4.1.18.
Criterios De Valoración De Vulnerabilidades ........................... 52
4.1.19.
Criterios De Calificación Del Control ........................................ 52
4.1.20.
Criterios de Calificación del Control ......................................... 53
Políticas Y Controles De Seguridad ......................................................... 54 5.1. CONTROLES O SALVAGUARDAS................................................... 55 5.1.1. Selección de las salvaguardas .................................................... 55 5.1.2. ........................................................................................................ 56 5.1.3. Caracterización De Las Salvaguardas ........................................ 56 6
5.2. POLÍTICAS DE SEGURIDAD ............................................................ 58 6.
CONCLUSIONES .................................................................................... 60
7.
RECOMENDACIONES ............................................................................ 61
8.
Anexos ..................................................................................................... 63 8.1. Valoración De Activos ........................................................................ 63 8.2. Identificación De Amenazas Por Tipo De Activo ................................ 67 8.2.1. Amenaza – AMZ001 (Acceso no Autorizado al Sistema) ............ 71 8.2.2. Amenaza – AMZ002 (Accidente Importante) .............................. 71 8.2.3. Amenaza – AMZ003 (Ataques contra el Sistema) ...................... 71 8.2.4. Amenaza – AMZ004 (Código mal Intencionado) ......................... 72 8.2.5. Amenaza – AMZ005 (Copia Fraudulenta del Software) .............. 72 8.2.6. Amenaza – AMZ006 (Corrupción de los Datos) .......................... 72 8.2.7. Amenaza – AMZ007 (Daño por Agua) ........................................ 73 8.2.8. Amenaza – AMZ008 (Daño por Fuego) ...................................... 73 8.2.9. Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) . 73 8.2.10.
Amenaza – AMZ0010 (Error en el Uso) ................................... 73
8.2.11.
Amenaza – AMZ011 (Error en el Sistema) .............................. 74
8.2.12.
Amenaza – AMZ0012 (Falla del Equipo) ................................. 74
8.2.13.
Amenaza – AMZ013 (Hurto de Información)............................ 74
8.2.14.
Amenaza – AMZ014 (Hurto de Equipo) ................................... 75
8.2.15.
Amenaza – AMZ015 (Impulsos Electromagnéticos) ................ 75
8.2.16. Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del Personal) 75 8.2.17. Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del Sistema de Información) .......................................................................... 76 8.2.18.
Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos)... 76
8.2.19.
Amenaza – AMZ019 (Accesos Forzados al Sistema) .............. 76
8.2.20.
Amenaza – AMZ020 (Mal Funcionamiento del Equipo) ........... 77
8.2.21.
Amenaza – AMZ021 (Mal Funcionamiento del Software) ........ 77
8.2.22.
Amenaza – AMZ022 (Manipulación con Hardware) ................. 77
8.2.23.
Amenaza – AMZ023 (Manipulación con Software) .................. 77
8.2.24.
Amenaza – AMZ024 (Manipulación del Sistema) .................... 78 7
8.2.25.
Amenaza – AMZ025 (Perdida de Suministro de Energía) ....... 78
8.2.26.
Amenaza – AMZ026 (Perdida de Suministro de Energía) ....... 78
8.2.27.
Amenaza – AMZ027 (Perdida de Suministro de Energía) ....... 79
8.2.28. Amenaza – AMZ028 (Recuperación de Medios Reciclados o Desechados)............................................................................................ 79 8.2.29.
Amenaza – AMZ029 (Saturación del Sistema de Información) 79
8.2.30.
Amenaza – AMZ030 (Suplantación de Identidad).................... 79
8.2.31.
Amenaza – AMZ031 (Uso de Software Falso o Copiado) ....... 80
8.2.32.
Amenaza – AMZ032 (Uso no Autorizado del Equipo) .............. 80
8.2.33.
Amenaza – AMZ033 (Contaminación Electromagnética) ........ 80
8.2.34.
Amenaza – AMZ034 (Errores del Administrador) .................... 81
8.2.35.
Amenaza – AMZ035 (Errores de Usuario) ............................... 81
8.2.36.
Amenaza – AMZ035 (Errores de Usuario) ............................... 81
8.2.37.
Amenaza – AMZ035 (Errores de Monitorización (Log)) ........... 82
8.2.38.
Amenaza – AMZ035 (Errores de Configuración) ..................... 82
8.2.39.
Amenaza – AMZ035 (Divulgación de Información) .................. 82
8.3. Identificación De Vulnerabilidades Por Activo .................................... 84 8.4. Identificación De Vulnerabilidades ..................................................... 93 8.5. Focus gruop ....................................................................................... 96 9.
Referencias............................................................................................ 100
Lista de Tablas Tabla 1: Factibilidad Económica: Factor Humano ........................................ 31 8
Tabla 2: Factibilidad Económica: Factor Técnico............................................ 31 Tabla 3: Total Factibilidad Económica ............................................................ 31 Tabla 4: Caracterización Infraestructura Actual ............................................ 35 Tabla 5: Matriz DOFA ..................................................................................... 37 Tabla 6: Etiquetación Tipo de Activo ............................................................... 43 Tabla 7: Dimensiones de Valoración .............................................................. 48 Tabla 8: Criterios de Valoración de Activos .................................................... 48 Tabla 9: Criterios de Valoración de Activos II ................................................. 48 Tabla 10: Modelo Descripción Amenaza ........................................................ 51 Tabla 11: Criterios de Valoración Probabilidad de Riesgo .............................. 52 Tabla 12: Criterios de Valoración de Impacto ................................................. 51 Tabla 13: Criterios de Valoración del Riesgo .................................................. 52 Tabla 14: Criterios de Calificación del Control ................................................ 53 Tabla 15: Etiquetado de Activos ..................................................................... 46 Tabla 16: Riesgos Ineherentes ....................................................................... 50 Tabla 17: Riesgos Residuales ........................................................................ 50 Tabla 18: Valoración de Activos...................................................................... 63 Tabla 19: Identificación de Amenazas por tipo de Activo ................................ 67 Tabla 20: Amenaza – AMZ001 (Acceso no Autorizado al Sistema)................ 71 Tabla 21: Amenaza – AMZ002 (Accidente Importante) .................................. 71 Tabla 22: Amenaza – AMZ003 (Ataques contra el Sistema) .......................... 71 Tabla 23: Amenaza – AMZ004 (Código mal Intencionado) ............................ 72 Tabla 24: Amenaza – AMZ005 (Copia Fraudulenta del Software) .................. 72 Tabla 25: Amenaza – AMZ006 (Corrupción de los Datos) .............................. 72 Tabla 26: Amenaza – AMZ007 (Daño por Agua) ............................................ 73 Tabla 27: Amenaza – AMZ008 (Daño por Fuego) .......................................... 73 Tabla 28: Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) ..... 73 Tabla 29: Amenaza – AMZ0010 (Error en el Uso) .......................................... 73 Tabla 30: Amenaza – AMZ011 (Error en el Sistema) ..................................... 74 Tabla 31: Amenaza – AMZ0012 (Falla del Equipo) ........................................ 74 Tabla 32: Amenaza – AMZ013 (Hurto de Información)................................... 74 Tabla 33: Amenaza – AMZ014 (Hurto de Equipo ........................................... 75 Tabla 34: Amenaza – AMZ015 (Impulsos Electromagnéticos) ....................... 75 Tabla 35: Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del Personal) ........................................................................................................ 75 Tabla 36: Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del Sistema de Información) ................................................................................. 76 Tabla 37: Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos) .......... 76 Tabla 38: Amenaza – AMZ019 (Accesos Forzados al Sistema) ..................... 76 Tabla 39: Amenaza – AMZ020 (Mal Funcionamiento del Equipo) .................. 77 Tabla 40: Amenaza – AMZ021 (Mal Funcionamiento del Software) ............... 77 9
Tabla 41: Amenaza – AMZ022 (Manipulación con Hardware) ........................ 77 Tabla 42: Amenaza – AMZ023 (Manipulación con Software) ......................... 77 Tabla 43: Amenaza – AMZ024 (Manipulación del Sistema) ........................... 78 Tabla 44: Amenaza – AMZ025 (Perdida de Suministro de Energía) .............. 78 Tabla 45: Amenaza – AMZ026 (Perdida de Suministro de Energía) .............. 78 Tabla 46: Amenaza – AMZ027 (Perdida de Suministro de Energía) .............. 79 Tabla 47: Amenaza – AMZ028 (Recuperación de Medios Reciclados o Desechados) ................................................................................................... 79 Tabla 48: Amenaza – AMZ029 (Saturación del Sistema de Información) ....... 79 Tabla 49: Amenaza – AMZ030 (Suplantación de Identidad) ........................... 79 Tabla 50: Amenaza – AMZ031 (Uso de Software Falso o Copiado)............... 80 Tabla 51: Amenaza – AMZ032 (Uso no Autorizado del Equipo) ..................... 80 Tabla 52: Amenaza – AMZ033 (Contaminación Electromagnética)................ 80 Tabla 53: Amenaza – AMZ034 (Errores del Administrador) ........................... 81 Tabla 54: Amenaza – AMZ035 (Errores de Usuario) ...................................... 81 Tabla 55: Amenaza – AMZ035 (Errores de Usuario) ...................................... 81 Tabla 56: Amenaza – AMZ035 (Errores de Monitorización (Log)) .................. 82 Tabla 57: Amenaza – AMZ035 (Errores de Configuración) ............................ 82 Tabla 58: Amenaza – AMZ035 (Divulgación de Información) ......................... 82 Tabla 59: Identificación de Vulnerabilidades por activo .................................. 84 Tabla 60: Identificación de Vulnerabilidades ................................................... 93
10
Lista de Figuras Figura 1: Cronograma .................................................................................... 30 Figura 2: Proceso de Gestión de Riesgos tomado del libro 1 de Magerit V.3 .................................................................... Error! Bookmark not defined.
11
AGRADECIMIENTOS Expresamos nuestro sincero agradecimiento a Dios, por brindarnos Salud y por permitirnos llegar hasta este momento tan importante. Agradecemos profundamente a nuestros padres, por su apoyo y amor incondicional, y porque fueron testigos de nuestra formación profesional. Agradecemos a la Universidad Francisco José de Caldas por habernos brindado la oportunidad de estudiar y ser personas con valores y una carrera profesional. Al Ing. José Vicente Reyes por su orientación, supervisión, apoyo y participación activa en el desarrollo del proyecto y a lo largo de nuestra carrera profesional. Finalmente, pero no con menos importancia agradecemos a nuestra familia, compañeros y amigos, puesto que nos brindaron su apoyo y sus consejos para seguir adelante con nuestra formación profesional y personal. “Son muchas las personas que han formado parte de nuestras vida profesional a las que nos encantaría agradecerles por su amistad, consejos, apoyo, ánimo y compañía en los momentos más difíciles de nuestras vidas, en nuestros éxitos y fracasos y en esos momentos de alegrías. Algunas están aquí con nosotros y otras en nuestros recuerdos y en nuestros corazones, sin importar en donde estén queremos darles las gracias por formar parte de esta nueva etapa, por todo lo que nos has brindado y por todas sus bendiciones.”
12
RESUMEN
En la actualidad, muchas empresas que están o desean incursionar en el ámbito financiero tienen problemas para resguardar la seguridad de la información, en consecuencia se genera vulnerabilidades y amenazas de los activos de la organización. La globalización y liberación del sector financiero, junto con la creciente sofisticación de la tecnología financiera, y el acceso deliberado a la información, está haciendo cada vez más diversas y complejas las actividades de las entidades financieras en términos de seguridad. El propósito de este trabajo se centró en el diseño del sistema de seguridad de Gestión de la información (SGSI), basado en la norma ISO27001. El presente trabajo describe como se debe generar un plan de seguridad para una entidad financiera, se comienza con definir su estructura organizacional, se evalúa cada uno de sus activos, después se pasa a definir las amenazas y riesgos que se pueden generar, para finalmente concluir con unas políticas anteriormente definidas para poder mitigar los riesgos que se puedan presentar dentro de una entidad financiera.
13
ABSTRACT At present, many companies that are or wish to enter the financial sphere have problems to safeguard the security of the information, in consequence it generates vulnerabilities and threats of the assets of the organization. The globalization and liberation of the financial sector, together with the growing sophistication of financial technology, and deliberate access to information, are making the activities of financial institutions increasingly diverse and complex in terms of security. The purpose of this work was to design the information management system (ISMS), based on the ISO27001 standard. This paper describes how to create a security plan for a financial institution, start with defining its organizational structure, evaluate each of its assets, then go on to define the threats and risks that can be generated, to finally conclude With previously defined policies in order to mitigate risks that may arise within a financial institution.
14
INTRODUCCIÓN Hoy en día la información está definida como uno de los activos más valiosos de cualquier organización debido a su valor, dicha información toma importancia solo cuando se utiliza de una forma adecuada y además se encuentra disponible en cualquier momento, para esto se debe utilizar de una manera íntegra, oportuna, responsable y segura, lo cual implica que las organizaciones sin importar el área o su actividad económica, deben tener una adecuada gestión de sus recursos y activos de información con el objetivo de asegurar y controlar el debido acceso, tratamiento y uso de la información. Para la protección de la información, se deben generar gran cantidad de medidas que me permitan mitigar el mínimo riesgo posible y así no generar ninguna alteración dentro de la organización, Al no tener las medidas adecuadas, las compañías se arriesgan a asumir la perdida de la información y poner en riesgo el futuro de la empresa, es importante que los ordenadores donde está almacenada gran parte de la información confidencial de una empresa o de cualquier otro particular, estén protegidos de cualquier amenaza externa y del entorno más próximo para prevenir o evitar robos, accesos no deseados o pérdidas importantes. Las vulnerabilidades en los sistemas de información pueden representar problemas graves, por ello es muy importante comprender los conceptos necesarios para combatir los posibles ataques a la información, teniendo en cuenta que en la actualidad la información es un activo de gran valor para las empresas. Por esto y otros motivos, es necesario contar con un plan de seguridad que permita prevenir y tratar cualquier tipo de amenaza que pueda poner en riesgo la continuidad de un negocio. Los riesgos dentro de un negocio a los cuales se enfrenta las organizaciones son permanentes y difíciles de anticipar, es por esta razón que la información se convierte una herramienta estratégica de las organizaciones en la protección de su activo de mayor valor. Para las entidades financieras, el conocimiento es uno de los activos de mayor incidencia en todos sus procesos innovadores, por lo tanto, proteger su información ante cualquier riesgo y garantizar su competencia en el mercado hace que un sistema de gestión de seguridad de la información sea de gran importancia 15
Para la protección y seguridad de la información se deben tomar todas aquellas medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que me permitan resguardar y proteger la información, buscando de esta manera mantener la confidencialidad, la disponibilidad e integridad de la misma. Las entidades del sector financiero, están en la obligación de garantizar la debida seguridad, protección y privacidad de la información financiera y personal de los usuarios que residen en sus bases de datos, lo que implica, que deben contar con los más altos estándares y niveles de seguridad con el propósito de asegurar la debida recolección, almacenamiento, tratamiento y uso de esta información. La seguridad en los datos es una latente del día a día en las organizaciones financieras debido a los diferentes cambios que se realizan por parte de leyes y las regulaciones, como se cita en el siguiente párrafo del centro criptológico nacional “La importancia de la gestión de riesgos operativos y de seguridad se ha incrementado debido a diversos factores, entre los que se destacan el aumento de los requisitos por parte de leyes y regulaciones, el crecimiento de los riesgos en seguridad por parte de los empleados y el número cada vez mayor de brechas en la seguridad de los datos.1” Esto conlleva a que las empresas estén activos para que no se genere ningún riesgo de información dentro de la compañía. Otra de las preocupaciones permanentes de las entidades financieras, es la de poder garantizar la seguridad de las operaciones que realizan sus clientes, lo cual, cada día es más complejo de conseguir debido a la evolución de las tecnologías y la apertura de nuevos canales de transacciones que generan retos significativos con el propósito de prevenir los fraudes en general. El presente trabajo de grado modela un Sistema de Gestión de Seguridad de la Información para una entidades financiera, teniendo en cuenta para esto el marco de referencia de la norma ISO/IEC27001.Proporciona un marco metodológico basado en buenas prácticas para llevar a cabo el modelo de Gestión de Seguridad de la Información en cualquier tipo de organización
1
https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/70-preocupaciones-en-seguridad-delsector-bancario.html
16
CAPITULO 1 FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN
17
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN 1.1.
TITULO
Diseño del Modelo de un SGSI (Sistema de gestión de la seguridad de la información) aplicada a Entidades Bancarias. 1.2.
PLANTEAMIENTO DEL PROBLEMA
Para evitar situaciones como la falta de un adecuado modelo de Seguridad de la Información, la no existencia de un sistema de información que apoye la gestión de riesgos de seguridad y la poca concientización, apropiación y conocimiento en temas de seguridad por parte del personal de la entidad; se debe implementar y fortalecer la Seguridad de la Información en una entidad. En la actualidad la mayoría de entidades bancarias como Compensar en su línea de servicios financieros no cuentan con un modelo adecuado de SGSI (Sistema de Gestión de Seguridad de la información) que permita gestionar los riesgos de seguridad, por este motivo no se puede llevar un control para establecer y visualizar el estado global y transversal de la organización. Adicionalmente las entidades financieras no cuentan con métodos eficaces que permitan controlar y monitorear la información por lo que no se pueden prevenir los riesgos ni las amenazas, ni establecer las vulnerabilidades que pueden afectar la prestación del servicio y la ejecución de las actividades diarias. Debido a que existen varios riesgos (los cuales se describirán en el desarrollo del proyecto) que amenazan la privacidad de la información, se deben establecer controles para mitigar y/o evitar estos riesgos, en vista de que estas entidades no cumplen y no han establecido los controles pertinentes, se puede ver afectada la integridad, confiabilidad y disponibilidad de la información. Además, esta información puede caer en manos inescrupulosas que puedan utilizar estos datos para realizar fraudes, sabotaje, suplantación, entre otros; los cuales pueden afectar la integridad de las personas y de la organización. En las entidades bancarias la dirección de tecnología realiza algunas funciones propias de seguridad de la información, pero no realizan las mejores prácticas definidas en modelos y estándares de seguridad. Por lo tanto, es indispensable segregar las funciones de seguridad de la información y seguridad informática con el propósito de evitar que coexistan funciones que requieren diferentes niveles de seguridad.
18
1.3.
OBJETIVOS 1.3.1. Objetivo General
Diseñar un modelo de SGSI para entidades bancarias a través de una metodología y basados en la norma ISO/IEC27001 estableciendo los mecanismos necesarios y los controles requeridos para mitigar riesgos. 1.3.2. Objetivo Específicos
Analizar la situación actual de seguridad de la información en entidades bancarias para el caso estudio definido.
Analizar e identificar los riesgos utilizando los fundamentos de la metodología Magerit.
Establecer los controles a aplicar con el fin de evitar que los elementos vulnerables identificados durante el análisis realizado, pongan en riesgo la seguridad de la información o de los activos.
1.4.
las
SOLUCIÓN TECNOLÓGICA
Como solución tecnológica para el proyecto en mención, se desarrollarán una serie de pasos o eventos que permitirá obtener y/o establecer los elementos necesarios para el diseño del modelo del SGSI. Como paso inicial se debe realizar la gestión de los activos la cual incluye la identificación de los mismos, como por ejemplo la información que se maneja dentro de algunas entidades bancarias, hardware y software, redes de comunicaciones, equipamiento auxiliar, el personal, entre otros; y la clasificación de los activos de acuerdo a los criterios de valoración tomados de la metodología Magerit; a continuación se identificaran las vulnerabilidades y amenazas y se generarán los riesgos asociados, para a partir de lo planteado establecer controles teniendo en cuenta la norma ISO 270001 la cual permite establecer políticas, procedimientos y controles con objeto de disminuir los riesgos de la organización y políticas de seguridad la cual será elaborada por medio del ciclo Deming.
19
1.5.
MARCO DE REFERENCIA 1.5.1. Marco teórico
La seguridad de la información se debe tener como prioridad en todas las entidades y se le debe prestar la atención suficiente, ya que de ello depende la integridad, disponibilidad y la confidencialidad de la información. Para la realización del proyecto se tomará como referencia proyectos destacados de la Escuela Superior Politécnica del Litoral ESPOL de Ecuador, que abordan temas similares al que se contemplara en este documento. A continuación, se presenta una breve reseña de los SGSI de apoyo: Como proyecto de apoyo se tendrá en cuenta el proyecto: “el modelo de un Sistema de Gestión de Seguridad de la Información usando la norma ISO 27000 para las organizaciones bancarias aplicando los dominios de control ISO 27002:2055 y utilizando la metodología Magerit”, este documento contiene la información técnica de la revisión de las seguridades en temas transaccionales con el fin de encontrar las vulnerabilidades y amenazas para poder minimizarlas, aplicando los controles de la norma 27000 en los diferentes dominios. Las organizaciones están expuestas cada vez más a una infinidad de amenazas que pueden llegar a poner riesgo el correcto funcionamiento de las mismas, debido a este fenómeno que se viene presentando cada día con mayor fuerza es necesario que cada una realice una autoevaluación con el fin de determinar vulnerabilidades y definir estrategias y controles que permitan garantizar la protección de la información. Actualmente la información es uno de los activos más importantes y de mayor valor para cualquier tipo de organización, pero si nos fijamos específicamente en las entidades bancarias, podremos notar que este tipos de entidades maneja mucha información que debe ser administrada de forma muy cautelosa debido a que se trata de información confidencial de sus clientes quienes realizan miles de transacciones por los diferentes medios que disponen, por este motivo es importante que las entidades bancarias adopten un buen sistema de gestión de seguridad que le permita garantizar la protección de la información como también el poder reaccionar de manera efectiva y rápida ante cualquier hecho que se presente y que pueda llegar a poner en riesgo la información de sus clientes y su buen nombre. Finalmente cabe resaltar que las entidades bancarias están en constante riesgo debido que están a la mira de infinidad de ataques y personas inescrupulosas a causa de la función que realizan, estos ataques son cada vez 20
más frecuentes y sofisticados, recordemos que un ataque no solamente puede llegar a ser por transmitido por software sino que también puede involucrar el hardware de la organización, motivo por el cual las entidades deben además de asegurar la información, realizar capacitaciones y sensibilizaciones que comprometan al personal de las mismas con el cumplimiento de las políticas que se determinen, como también mantener una comunicación constante con el cliente de tal manera que este también haga parte de este proceso tan importante para ambos.
1.5.2. Antecedentes
SGSI2: SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Fundamentos: Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D: Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. 2
SGSI. http://www.iso27000.es/sgsi.html. 2015
21
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
ISO/IEC 270013: ISO/IEC 27001 es un reconocido marco internacional de las mejores prácticas para un sistema de gestión de seguridad de la información. Le ayuda a identificar los riesgos para su información importante y pone en su lugar los controles apropiados para ayudarle a reducir el riesgo.
ISO/IEC 27001:20054 Este estándar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización. En función del tamaño y necesidades se implementa un SGSI con medidas de seguridad más o menos estrictas, que en cualquier caso pueden variar a lo largo del tiempo. Norma ISO/IEC 27005 Gestión de riesgos de la Seguridad de la Información ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de 3
http://www.bsigroup.com/es-MX/seguridad-dela-informacion-ISOIEC-27001/. 2015 INTERNATIONAL ORGANIZATION FOR STANDARIZATION ISO/IEC 27000. www.iso27000.es 2015 4
22
una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO / IEC TR 13335-4:2000. Las secciones de contenido son:
Prefacio. Introducción. Referencias normativas. Términos y definiciones. Estructura. Fondo. Descripción del proceso de ISRM. Establecimiento Contexto. Información sobre la evaluación de riesgos de seguridad (ISRA). Tratamiento de Riesgos Seguridad de la Información. Admisión de Riesgos Seguridad de la información. Comunicación de riesgos de seguridad de información. Información de seguridad Seguimiento de Riesgos y Revisión. Anexo A: Definición del alcance del proceso. Anexo B: Valoración de activos y evaluación de impacto. Anexo C: Ejemplos de amenazas típicas. Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad. Enfoques ISRA.
Adicionalmente la evaluación de riesgos requiere los siguientes puntos:
Un estudio de vulnerabilidades, amenazas, probabilidad, pérdidas o impacto, y la supuesta eficiencia de las medidas de seguridad. Los directivos de la organización utilizan los resultados de la evaluación del riesgo para desarrollar los requisitos de seguridad y sus especificaciones. El proceso de evaluación de amenazas y vulnerabilidades, conocidas y postuladas para estimar el efecto producido en caso de pérdidas y establecer el grado de aceptación y aplicabilidad en las operaciones del negocio. 23
Identificación de los activos y facilidades que pueden ser afectados por amenazas y vulnerabilidades. Análisis de los activos del sistema y las vulnerabilidades para establecer un estimado de pérdida esperada en caso de que ocurran ciertos eventos y las probabilidades estimadas de la ocurrencia de estos. El propósito de una evaluación del riesgo es determinar si las contramedidas son adecuadas para reducir la probabilidad de la pérdida o el impacto de la pérdida a un nivel aceptable.
Una herramienta de gestión que proporcione un enfoque sistemático que determine el valor relativo de:
La sensibilidad al instalar activos informáticos La evaluación de vulnerabilidades La evaluación de la expectativa de pérdidas La percepción de los niveles de exposición al riesgo La evaluación de las características de protección existentes Las alternativas adicionales de protección La aceptación de riesgos La documentación de las decisiones de gestión.
Decisiones para el desarrollo de las funciones de protección adicionales se basan normalmente en la existencia de una relación razonable entre costo/beneficio de las salvaguardia y la sensibilidad / valor de los bienes que deben protegerse. Las evaluaciones de riesgos pueden variar de una revisión informal de una instalación a escala microprocesador pequeño para un análisis más formal y plenamente documentado (por ejemplo, análisis de riesgo) de una instalación a escala de ordenadores. Metodologías de evaluación de riesgos pueden variar desde los enfoques cualitativos o cuantitativos a cualquier combinación de estos dos enfoques.
ISO/IEC 27002:2005 Describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, mencionados en el anexo A de la ISO 27001, 39 objetivos de control y 133 controles. Los dominios a tratar son los siguientes: Políticas de Seguridad: Busca establecer reglas para proporcionar la dirección gerencial y el soporte para la seguridad de la información. Es la base del SGSI. 24
Organización de la seguridad de la información: Busca administrar la seguridad dentro de la compañía, así como mantener la seguridad de la infraestructura de procesamiento de la información y de los activos que son accedidos por terceros. Gestión de activos: Busca proteger los activos de información, controlando el acceso solo a las personas que tienen permiso de acceder a los mismos. Trata que cuenten con un nivel adecuado de seguridad. Seguridad de los recursos humanos: Orientado a reducir el error humano, ya que en temas de seguridad, el usuario es considerado como el eslabón más vulnerable y por el cual se dan los principales casos relacionados con seguridad de la información. Busca capacitar al personal para que puedan seguir la política de seguridad definida, y reducir al mínimo el daño por incidentes y mal funcionamiento de la seguridad. Seguridad física y ambiental: Trata principalmente de prevenir el acceso no autorizado a las instalaciones para prevenir daños o pérdidas de activos o hurto de información. Gestión de comunicaciones y operaciones: Esta sección busca asegurar la operación correcta de los equipos, así como la seguridad cuando la información se transfiere a través de las redes, previniendo la pérdida, modificación o el uso erróneo de la información. Control de accesos: El objetivo de esta sección es básicamente controlar el acceso a la información, así como el acceso no autorizado a los sistemas de información y computadoras. De igual forma, detecta actividades no autorizadas. Sistemas de información, adquisición, desarrollo y mantenimiento: Básicamente busca garantizar la seguridad de los sistemas operativos, garantizar que los proyectos de TI y el soporte se den de manera segura y mantener la seguridad de las aplicaciones y la información que se maneja en ellas. Gestión de incidentes de seguridad de la información: Tiene que ver con todo lo relativo a incidentes de seguridad. Busca que se disponga de una metodología de administración de incidentes, que es básicamente definir de forma clara pasos, acciones, responsabilidades, funciones y medidas correctas. Gestión de continuidad del negocio: Lo que considera este control es que la seguridad de la información se encuentre incluida en la administración de la 25
continuidad de negocio. Busca a su vez, contrarrestar interrupciones de las actividades y proteger los procesos críticos como consecuencias de fallas o desastres. Cumplimiento: Busca que las empresa cumpla estrictamente con las bases legales del país, evitando cualquier incumplimiento de alguna ley civil o penal, alguna obligación reguladora o requerimiento de seguridad. A su vez, asegura la conformidad de los sistemas con políticas de seguridad y estándares de la organización. COBIT5: Es un framework (también llamado marco de trabajo) de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de TI que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio. Describe como los procesos de TI entregan la información que el negocio necesita para lograr sus objetivos. Para controlar la entrega, COBIT provee tres componentes claves, cada uno formando una dimensión del cubo COBIT. Como un framework de gobierno y control de TI, COBIT se enfoca en dos áreas claves: Proveer la información requerida para soportar los objetivos y requerimientos del negocio. Tratamiento de información como resultado de la aplicación combinada de recursos de TI que necesita ser administrada por los procesos de TI. Tiene 34 procesos de alto nivel clasificados en cuatro dominios: Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y, Monitorear y Evaluar. COBIT a su vez, tiene 7 criterios de información, agrupados en 3 requerimientos (calidad, fiduciarios y seguridad) con los que clasifica a cada uno de los 34 procesos de TI, según el enfoque que tenga el proceso. Estos criterios son: Efectividad: Se refiere a la información cuando es entregada de manera correcta, oportuna, consistente y usable. Eficiencia: Se refiere a la provisión de información a través de la utilización óptima de los recursos.
5
IT GOVERNANCE INSTITUTE. Cobit4.1.pdf. [en línea] http:// http://www.isaca.org/cobit/pages/default.aspx
26
Confidencialidad: Se refiere a la protección de la información sensible de su revelación no autorizada. Tiene que ver que con la información enviada a una persona debe ser vista solo por esa persona y no por terceros. Integridad: Se refiere a que la información no haya sufrido cambios no autorizados. Disponibilidad: Se refiere a que la información debe estar disponible para aquellas personas que deban acceder a ella, cuando sea requerida. Cumplimiento: Se refiere a cumplir con las leyes, regulaciones y acuerdos contractuales a los que la compañía se encuentra ligada. Confiabilidad: Se refiere a la provisión de la información apropiada a la alta gerencia que apoyen a la toma de decisiones. CICLO DEMING6 El nombre del Ciclo PDCA (o Ciclo PHVA) viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”. También es conocido como Ciclo de mejora continua o Círculo de Deming, por ser Edwards Deming su autor. Esta metodología describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemática para lograr la mejora continua, entendiendo como tal al mejoramiento continuado de la calidad (disminución de fallos, aumento de la eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos potenciales…). El círculo de Deming lo componen 4 etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las actividades son reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de esta metodología está enfocada principalmente para para ser usada en empresas y organizaciones. Las cuatro etapas que componen el ciclo son las siguientes:
1. Planificar (Plan): Se buscan las actividades susceptibles de mejora y se establecen los objetivos a alcanzar. Para buscar posibles mejoras se pueden realizar grupos de trabajo, escuchar las opiniones de los trabajadores, buscar nuevas tecnologías mejores a las que se están usando ahora, etc. (ver Herramientas de Planificación).
6
Ciclo Deming. http://www.pdcahome.com/5202/ciclo-pdca/. 2015
27
2. Hacer (Do): Se realizan los cambios para implantar la mejora propuesta. Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala. 3. Controlar o Verificar (Check): Una vez implantada la mejora, se deja un periodo de prueba para verificar su correcto funcionamiento. Si la mejora no cumple las expectativas iniciales habrá que modificarla para ajustarla a los objetivos esperados. (Ver Herramientas de Control). 4. Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora. Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para estudiar nuevas mejoras a implantar. MAGERIT7 MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión. Puntualmente MAGERIT se basa en analizar el impacto que puede tener para la empresa la violación de la seguridad, buscando identificar las amenazas que pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando así tener una identificación clara de las medidas preventivas y correctivas más apropiadas. Lo interesante de esta metodología, es que presenta una guía completa y paso a paso de cómo llevar a cabo el análisis de riesgos. Esta metodología está dividida en tres libros. El primero de ellos hace referencia al Método, donde se describe la estructura que debe tener el modelo de gestión de riesgos. Este libro está de acuerdo a lo que propone ISO para la gestión de riesgos. Esta metodología es muy útil para aquellas empresas que inicien con la gestión de la seguridad de la información, pues permite enfocar los esfuerzos en los riesgos que pueden resultar más críticos para una empresa, es decir aquellos relacionados con los sistemas de información. Lo interesante es que al estar
7
Magerit http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-paragestionar-riesgos/
28
alineado con los estándares de ISO es que su modelo se convierte en el punto de partida para una certificación o para mejorar los sistemas de gestión.
1.5.3. Marco Metodológico En el desarrollo del proyecto se utilizara el ciclo Deming, ya que es una metodología que permite implantar un sistema de mejora continua, esto ayudara en el análisis de riesgo en el desarrollo del proyecto y además permitirá hacer una mejor arquitectura en la formación del Sistema de Gestión de Seguridad de la Información. En el presente proyecto se usará el ciclo Deming en una forma global de la siguiente manera: Planificar: En esta etapa se enmarca todo el proceso de análisis de la situación en que actualmente se encuentra la empresa respecto a los mecanismos de seguridad implementados y se establecen el alcance, los objetivos, los puntos de medición dispuestos para verificar y medir. Adicionalmente se identifican los sistemas informáticos de hardware y los sistemas de información que actualmente utiliza la empresa para el cumplimiento de su misión u objeto social y se evalúan los riesgos, se tratan y se seleccionan los controles a implementar. Hacer: En esta etapa se implementan todos los controles necesarios de acuerdo a una previa selección en la etapa de planeación, teniendo en cuenta el tipo de empresa. También se formula y se implementa un plan de riesgo. Verificar: Consiste en efectuar el control de todos los procedimientos implementados en el SGSI. En este sentido, se realizan exámenes periódicos para asegurar la eficacia del SGSI implementado, se revisan los niveles de riesgos aceptables y residuales y se realicen periódicamente auditorías internas para el SGSI. Actuar: Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas, realizar las acciones correctivas y preventivas, mantener comunicación con el personal de la organización relevante.
29
1.6.
CRONOGRAMA
Figura 1: Cronograma
Fuente: Los Autores
30
1.7.
FACTIBILIDAD ECONÓMICA
La factibilidad técnica es una evaluación que permite demostrar que el proyecto es factible económicamente, lo que significa que la inversión que se está realizando es justificada por la ganancia que se generará. . A continuación se describe la factibilidad económica, identificando los costos económicos de factores humanos, técnicos, entre otros, necesarios para la realización del proyecto de investigación que se propone. 1.7.1. Factibilidad Económica: Factor Humano Tabla 1: Factibilidad Económica: Factor Humano Tipo Tutor
Descripción
Valor-Hora
Asesorías para la realización del
Cantidad
Total
$ 38.000
200
$ 7.600.000
$ 28.000
8 horas
$ 7.168.000
proyecto, referente a la metodología. Analistas
Dos analistas que realicen el SGSI.
semanales Total Recursos Humanos
$ 14.768.000
Fuente: Los Autores
1.7.2. Factibilidad Económica: Factor Técnico Tabla 2: Factibilidad Económica: Factor Técnico Recurso Computadores
Descripción
Valor Unitario
Equipos de escritorio para la
$ 1.500.000
Cantidad 2
Total $ 3.000.000
realización del documento SGSI. Total Recursos Técnicos
$ 3.000.000
Fuente: Los Autores
1.7.3. Total Factibilidad Económica Tabla 3: Total Factibilidad Económica Recurso
Valor
Total Recursos Humanos
$14.168.000
Total Recursos Técnicos
$ 3.000.000
Total Otros recursos
$
Costos imprevistos (20%)
$ 3.000.000
TOTAL COSTO
100.000
$20.268.000
Fuente: Los Autores
31
CAPITULO 2 ANÁLISIS CASO ESTUDIO
32
2. SITUACIÓN DE LA RED ACTUAL 2.1.
CASO ESTUDIO
Actualmente, las empresas no cuentan con un plan de seguridad que garantice que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada y estructurada, la seguridad que se maneja allí es baja puesto que sus usuarios internos pueden acceder a información privada e incluso de otras áreas, de la misma manera ciertos usuarios externos tienen libre acceso a la información.
Las entidades financieras deben de estar sujetas a políticas de seguridad que le permitan mitigar los riesgos que se pueden generar tanto internamente como externamente, debido a que no solo manejan información de la organización si no también información personal de los clientes, que dicha información sin el debido cuidado y protección se puede manipular para diferentes actividades, lo cual puede generar un riesgo para la entidad y para la persona. La Seguridad de la Información en toda organización, es un enfoque principal dado en cumplimiento del marco regulatorio de la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 con el que se pretende tener protocolos, controles y modelos de protección y privacidad de la información a nivel organizacional, en relación a los datos personales e información.
La información es un recurso necesario e importante que se genera gracias al uso de los sistemas de información, a través de una gestión adecuada de cada uno de los procesos de la empresa. Se debe tener en cuenta que un sistema de información, no solo se refiere a una aplicación informático, si no que esta es la integración de personas, datos, redes. En síntesis un sistema de información comprende, pues, planificación, recursos humanos y materiales, objetivos concretos a corto, medio y largo plazo, así mismo se hace uso de la tecnología. Recordemos los tres objetivos básicos de los sistemas de información dentro de una organización: automatizar procesos, proporcionar información que sirva de apoyo para la toma de decisiones y lograr ventajas competitivas a través de su modelo y uso. La seguridad absoluta no existe en ningún ámbito de la actividad humana, es por ello que surgen las medidas de seguridad que buscan el equilibro entre coste, la eficacia y eficiencia para mitigar los diferentes riegos y daños que se pueden producir en materializarse. Estos sistemas de información están sujetos a riesgos y amenazas que pueden generarse desde dentro de la propia organización o desde el exterior. Existen riesgos físicos como incendios, inundaciones, terremotos o vandalismo que pueden afectar la disponibilidad de nuestra
33
información y recursos, haciendo inviable la continuidad de nuestro negocio si no estamos preparados para afrontarlos. Por otra parte, se encuentran los riesgos lógicos relacionados con la propia tecnología y, que como hemos dicho, aumentan día a día. Hackers, robos de identidad, spam, virus, robos de información y espionaje industrial, por nombrar algunos, pueden acabar con la confianza de nuestros clientes y nuestra imagen en el mercado.
Para poder afrontar una vulnerabilidad o amenaza en la organización se debe tener un análisis de riesgos informático como también una estrategia completa que incluye la definición de políticas, procesos y herramientas que en conjunto ayuden desde prevenir y detectar amenazas a la información hasta diferentes frentes de la organización. El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
2.2.
INFORMACIÓN TÉCNICA
A continuación se verá información técnica con lo que debe contar una empresa del sector financiero 2.2.1. Plataforma Tecnológica
Servidores de Base de Datos Sistemas Operativos: Windows 7, Windows 8, Ubuntu Java Server Faces 2.2
34
2.2.2. Caracterización de la infraestructura Las empresas del sector financiero deben contar con varios servidores ya que por temas de seguridad deben tener un respaldo en la información debido a que maneja mucha información, y el procesamiento de ella es de manera privada ya que la gran mayoría proviene de terceros. 2.2.3. Caracterización Infraestructura Actual Tabla 4: Caracterización Infraestructura Actual Servidores
Cantidad
Base de Datos
3
Aplicaciones
2
Almacenamiento
2
TOTAL
7
Fuente: Autores “la cantidad tomada se hace con referencia a una empresa con los mínimos requeridos para el desarrollo de la empresa”
35
CAPITULO 3 ETAPA DE PLANIFICACIÓN
36
3. ETAPA DE PLANIFICACIÓN 3.1.
MATRIZ DOFA
Al utilizar esta herramienta se va lograr evidenciar las Debilidades, Amenazas, Fortalezas y Oportunidades que comprende el análisis y diseño de un Sistema de Gestión de la Seguridad de la Información, aplicada al core del negocio del caso estudio nombrado, que es el desarrollo de software, para determinar las diferentes partes de la matriz DOFA y su justificación se optó por la opción de la realización un Focus Group, en el que se busca inicialmente determinar las diferentes vulnerabilidades y ventajas que puede llegar a presentar una entidad bancaria al momento de poner en uso el sistema de gestión que aquí se propone, los integrantes como sus roles dentro del focus group se encuentra en el anexo del documento. El objetivo general de este focus group es determinar las diferentes parámetros que se deben tener en cuenta al momento de diseñar la matriz DOFA de las entidades bancarias que desean adoptar un sistema de gestión de seguridad de la información basado en la metodología Magerit, A partir de los resultados obtenidos durante el desarrollo del Focus Group (Anexo Focus Group) se realizó la definición de la matriz DOFA. 3.1.1. Matriz Dofa Tabla 5: Matriz DOFA
DEBILIDADES Desconocimiento
de
FORTALEZAS la
Optimización
de
metodología
seguridad//entorno informático
Poca implicación por parte
Reducción de costes
de la dirección
Reduce
Resultados
medio/largo
el
interrupción
tiempo del
de
servicio
y
plazo
mejora el grado de satisfacción
El desarrollo del SGSI sea
de los clientes
muy detallado
Reducción
Sistema
muy
detallado,
retrase los procesos Falta
de
políticas
seguridad bien definidas
de
de
riesgos,
pérdidas, derroches Reducción
de
afecten
la
riesgos
y de
información. ESTRATEGIAS DO
37
que
seguridad,
disponibilidad confidencialidad
OPORTUNIDADES
la
ESTRATEGIAS FO
la
Certificación ISO 27001
Asesoramiento profesional
Aprovechar la mejora de la
para cumplir los requisitos
seguridad de la información
Seguridad
para la certificación ISO
para aumentar la confianza en
Aumentar la confianza de la
27001
la organización por medio de
organización
Fomentar la seguridad en
una campaña publicitaria
Definición de políticas de
los procedimientos de la
Fortalecer los procesos del
Seguridad de Información,
organización por medio de
negocio
estableciendo
dinámicas
calidad del producto ayudados
normas para el manejo de
Capacitar a los empleados
de una gestión fuerte de PQR
seguridad.
en cuanto a la metodología
Momento
Definir
estratégico
de
controles
y
procedimientos
y
para
aumentar
la
Magerit
políticas para el ciclo de vida de la información. AMENAZAS
ESTRATEGIAS DA
ESTRATEGIAS FA
Resaltar la importancia de
Realizar capacitaciones a todo
calificado.
la creación y puesta en
el personal para mejorar la
Dificultad a la hora de poner
marcha del SGSI.
en
Poner
Disponer
de
personal
práctica
no
esos
conocimientos. Falta
de
en
marcha
calidad del producto. una
campaña corporativa que Recursos
concientice al personal en
Económicos.
cuanto a la importancia de
Falta de compromiso en la
la
implementación del SGSI.
sistema.
implementación
del
Oposición interna al aplicar los controles o mecanismos de seguridad apropiados. Fuente: Autores
3.2.
DECLARACIÓN DE APLICABILIDAD
La presente declaración de aplicabilidad tomara lugar siempre y cuando la organización cuente con las áreas establecidas a continuación, para un buen desempeño en los controles y su desarrollo. Áreas a tener en cuenta:
Seguridad Tecnología
38
3.3.
Sistemas Desarrollo Infraestructura Pruebas Sector Financiero Directiva DBA Redes
ALCANCE DEL SGSI DENTRO DEL CASO ESTUDIO
Para el desarrollo de la norma según la actividad económica de las organizaciones en este en el sector financiero. Por ello, se ha determinado que el dominio a seguir es la norma ISO/IEC 27001:2013.
39
40
CAPITULO 4 ANÁLISIS DE RIESGO
41
4. ANÁLISIS DE RIESGOS 4.1.
METODOLOGÍA A USAR
La metodología a utilizar predetermina el enfoque del análisis y los criterios de gestión de riesgos en el SGSI es Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) y la norma ISO/IEC 27005:2008. 4.1.1. Análisis de focus group para el análisis de riesgos. Para el análisis de riesgos y justificar las decisiones tomadas a continuación teniendo en cuenta la metodología magerit, se optó por la opción de crear un Focus Group en el cual consta de dos analistas quien son los encargados de hacer las preguntas, un moderador, su función es dirigir la discusión y que esta no se aleje del tema de estudio y por ultimo esta un grupo de colaboradores quien tienen conocimiento del tema y colaboran a la dinámica de la discusión para resolver las preguntas con mayor certeza. El nombre de los participantes y el rol que tomo cada uno en el Focus Group se encuentra en el anexo del documento (Anexo Focus Group). El focus group es una herramienta comúnmente utilizada en la investigación de mercados, pero también en el desarrollo de trabajos de investigación, que ayuda a determinar aspectos netamente cualitativos, por lo tanto permitirá determinar las actitudes y percepciones de los participantes del grupo hacia un producto o en este caso para el desarrollo de riesgos utilizando la metodología magerit orientada a las organizaciones del sector financiero. El objetivo general del focus group es realizar un criterio de valoración de acuerdo a las necesidades o requerimientos de las entidades financieras teniendo en cuenta la metodología magerit para la calificación de activos, el proceso que se desarrollo fue el siguiente.
Calificación de los activos que se encuentra dentro de una organización financiera, para esta calificación se tomó las tres dimensiones nombradas en la metodología magerit que son: Disponibilidad (D), integridad (I) y Confiabilidad (C). Identificar las amenazas. Identificar los riesgos. Análisis de riesgos
A partir de los resultados obtenidos durante el desarrollo del Focus Group (Anexo Focus Group) se realizó el análisis de Riesgos, que se detalla a continuación:
42
4.1.2. Tipos De Activos De acuerdo a la metodología Magerit los activos se clasifican de la siguiente manera:
Activo de Información Software o aplicaciones Hardware Servicios Infraestructura Personas 4.1.3. Codificación O Etiquetación De Los Activos
De acuerdo a cada tipo de activo, se etiquetara la lista de activos identificados en el caso estudio de la siguiente manera: 4.1.3.1.
Etiquetación Tipo de Activo Tabla 6: Etiquetación Tipo de Activo
Información Software Hardware Servicios Infraestructura Personas
Inf - ## Sw - ## Hw - ## Serv - ## Infra - ## Per - ##
Fuente: Autores
4.1.4. Caracterización de Activos 4.1.4.1.
Identificación de Activos
Las organizaciones del sector financiero cuenta con diferentes activos que son importantes para el desarrollo de su trabajo como: 4.1.4.1.1. Datos/Información
43
Los Datos e información que se deben tener en cuenta son:
Base de Datos Archivos de Datos Manuales de Usuario Documentación del Sistema Contratos Formatos Hojas de Vida Libranzas Documentos Internos Entregables (CD/DVD) Material Físico (Impreso) Información en Carpetas compartidas en Red Información Disco Portables Información Memorias USB
4.1.4.1.2. Software/Aplicaciones Informáticas El software o aplicaciones que se tienen en cuenta son:
Desarrollos a medida y/o propios de la Organización Sistemas Operativos Antivirus Servidores Aplicaciones/Contenedores Navegadores Office Motor Base de Datos Licencias Desarrollo - IDE
4.1.4.1.3. Equipamiento Informático (Hardware) En el equipamiento de hardware se encuentra los siguientes:
Servidores Computadores de Escritorio Tablets celulares Portátiles Dispositivos Móviles Impresoras Equipos Multifuncional Routers Teléfonos Modems Memoria USB
44
CD/DVD Discos Portables Cámaras de Seguridad Lector Huella Dactilar
4.1.4.1.4. Servicios Los servicios a tener en cuenta son:
Capacitaciones Telefonía Internet Red Inalámbrica Almacenamiento de Información Fluido Eléctrico
4.1.4.1.5. Infraestructura La infraestructura con que la organización cuenta son:
Planta de la Organización Canalización de red Eléctrica Canalización de red Datos Instalación de red de Datos Instalación de red de Eléctrica
4.1.4.1.6. Personas El personal de la organización que se tiene en cuenta en la organización son:
Usuarios Internos Usuarios Externos Analista Profesionales Líder coordinadores administrativos Funcionales Desarrolladores Clientes Personal operativo Proveedores
4.1.4.2.
Etiquetado de Activos
De acuerdo al tipo de activo, se ha etiquetado los activos identificados de la siguiente manera:
45
4.1.4.3.
Etiquetado de Activos Tabla 7: Etiquetado de Activos
Tipo de Activo Información
Software
Hardware
Nombre Activo
Código Activo
Base de Datos Inf-01 Archivos de Datos Inf-02 Manuales de Usuario Inf-03 Documentación del sistema Inf-04 Contratos Inf-05 Formatos (libranzas, pólizas ) Inf-06 Hojas de Vida Inf-07 Documentos internos Inf-08 Entregables (CD/DVD) Inf-09 Material Físico (Impreso) Inf-10 Información en carpetas compartidas en red Inf-11 Información Disco Portables Inf-12 Información memorias USB Inf-13 Desarrollos a medida y/o propios de la Sw-01 organización Sistemas Operativos Sw-02 Antivirus Sw-03 Servidores Aplicaciones/ Contenedores Sw-04 Navegadores Sw-05 Office Sw-06 Motor de Base de Datos Sw-07 Licencias Sw-08 Aplicativos Finanzas Sw-09 Servidores Hw-01 Computadores de escritorio Hw-02 Portátiles Hw-03 Dispositivos móviles Hw-04 Impresoras Hw-05 Equipos multifuncional Hw-06 Routers Hw-07 Teléfonos Hw-08 Modems Hw-09 Memoria USB Hw-10 CD/DVD Hw-11 Discos Portables Hw-12 Cámaras de Seguridad Hw-13
46
Servicios
Infraestructura
Personal
Lector Huella Dactilar Capacitaciones Telefonía Internet Red Inalámbrica Almacenamiento de información Fluido Eléctrico Planta de la Organización Canalización de red eléctrica Canalización de red de datos Instalación de red de datos Instalación de red eléctrica Usuarios Internos Usuarios externos Analista Profesionales Lideres coordinadores administrativos Funcionales Desarrolladores Clientes Personal operativo Proveedores
Hw-14 Serv-01 Serv-02 Serv-03 Serv-04 Serv-05 Serv-06 Infra-01 Infra-02 Infra-03 Infra-04 Infra-05 Per-01 Per-02 Per-03 Per-04 Per-05 Per-06 Per-07 Per-08 Per-09 Per-10 Per-11 Per-12
Fuente: Los Autores
4.1.4.4.
Valoración de Activos
A continuación se realizará la valoración correspondiente a cada activo de acuerdo al criterio de valoración de cada una de las siguientes dimensiones..
[D] Disponibilidad [I] Integridad de los datos [C] Confidencialidad Ver Anexo – “Valoración de Activos” 4.1.5. Criterios De Valoración De Activos Para la valoración de los activos se tendrá en cuenta las siguientes dimensiones:
47
4.1.5.1.
Dimensiones de Valoración Tabla 8: Dimensiones de Valoración
D
Disponibilidad
I
Integridad de los datos
C
Confidencialidad de la información Fuente: Autores
De acuerdo a la metodología Magerit, las dimensiones se valoraran de la siguiente manera conforme al criterio de evaluación presentada por la metodología. 4.1.5.2.
Criterios de Valoración de Activos Tabla 9: Criterios de Valoración de Activos
Nivel de Valor
Valor
Criterio
10
Extremo
Daño extremadamente grave
9
Muy Alto
Daño muy grave
6-8
Alto
Daño grave
3-5
Medio
Daño importante
1-2
Bajo
Daño menor
Despreciable
Irrelevante a efectos prácticos
0
Fuente: Autores
Los criterios de valoración dados por Magerit se tendrán en cuenta solo para dos de las dimensiones anteriormente nombradas, es el caso de Disponibilidad (D) e Integridad (I). Para la dimensión de Confidencialidad (C) se manejara los siguientes criterios de valoración de acuerdo al tipo de información
4.1.6. Criterios de Valoración de Activos II Tabla 10: Criterios de Valoración de Activos II
Nivel de Valor
Criterio
8-10
Restringido
4-7
Uso Interno
0-3
Pública Fuente: Autores
Restringido: Es la información que no se permite divulgar entre las diferentes áreas de la organización, afectando la intimidad del personal o trabajo de cada
48
área o simplemente es información vital para el debido funcionamiento de la organización. Ej.: información de la base de datos, contraseñas de servidores, hojas de vida etc. Uso Interno: Es la información que circula al interior de una empresa u organización. Busca llevar un mensaje para mantener la coordinación entre las distintas áreas, permite la introducción, difusión y aceptación de pautas para el desarrollo organizacional. Los trabajadores necesitan estar informados para sentirse una parte activa de la organización. Esta información es útil para tomar decisiones. Pública: Es la información a la cual toda persona interna y externa de la organización tiene acceso por cualquier medio de comunicación, sin previa autorización, sin censura o impedimento. Eje: página web de la organización. 4.1.7. Caracterización de amenazas 4.1.7.1.
Identificación de Amenazas por tipo de Activo
Antes de identificar las amenazas para cada activo identificado del caso estudio, se realizó una lista de las posibles amenazas por tipo de activo, todo esto en base en el anexo C “Ejemplo de amenazas comunes” de la norma ISO/IEC 27005:2008 con su respectiva descripción. Ver Anexo – “Identificación de Amenazas por tipo de Activo” 4.1.7.2.
Valoración de Vulnerabilidad por Amenazas de tipo de Activo
A continuación se realiza una identificación y valoración de vulnerabilidad identificada en cada una de las amenazas por tipo de activo identificado anteriormente, todo esto en base del anexo D “Vulnerabilidades y Métodos para la Evaluación de la Vulnerabilidad” de la norma ISO/IEC 27005:2008 Ver Anexo - “Identificación de Vulnerabilidades por Amenaza de Tipo de Activo” 4.1.7.3.
Identificación de Amenazas
De acuerdo a la identificación de amenazas por cada tipo de activo anteriormente realizada, se presenta a continuación el catálogo de amenazas sobre los activos que manejan las organizaciones del sector financiero, teniendo en cuenta su valor hallado en la valoración de activos este entre “Extremo, Muy Alto y Alto”. Ver Anexo – “Identificación de Amenazas” 4.1.7.4.
Identificación de Vulnerabilidades
De acuerdo a la identificación de amenazas sobre los activos que manejan las organizaciones del sector financiero, se presenta a continuación el catálogo de vulnerabilidades que por cada amenaza identificada. Ver Anexo – “Identificación de Vulnerabilidades”
49
4.1.8. Relación entre Impacto, Probabilidad y Riesgo Con este análisis de riesgo se busca aclarar la relación existente entre el riesgo, la probabilidad de que ocurra y el impacto que puede tener en cada uno de los activos identificados anteriormente. 4.1.9. Matriz de Riesgo A continuación se evidencia la Matriz de Riesgo de los activos identificados en el caso estudio, sin tener en cuenta los controles que se hagan en el caso estudio, es decir el riesgo Inherente. Tabla 11: Riesgos Ineherentes
Bajo
Medio
Alto
Muy Alto
0
1
3
18
Casi Siempre 0
0
1
20
31
A Menudo
0
0
2
12
32
Algunas Veces
0
0
2
20
25
Casi Nunca
0
0
0
0
4
Siempre
Probabilidad
Impacto Muy Bajo 0
Fuente: Los Autores
A continuación se evidencia la Matriz de Riesgo de los activos identificados en el caso estudio, teniendo en cuenta los controles que se hagan en el caso estudio, es decir el riesgo Residual. Tabla 12: Riesgos Residuales
Probabilidad
Impacto
Siempre Casi Siempre A Menudo Algunas Veces Casi Nunca
Muy Bajo 0
Bajo
Medio
Alto
Muy Alto
0
0
0
2
0
0
6
50
93
0
0
0
3
11
0
0
0
2
4
0
0
0
0
0
Fuente: Los Autores
50
4.1.10.
Tipos De Impacto Y Riesgo (Amenazas)
De acuerdo a la metodología Magerit las amenazas se clasifican en cuatro grupos como los siguientes:
Desastres Naturales De Origen Industrial Errores y fallos no Intencionados Ataques Intencionados
Para cada amenaza se presenta en un cuadro como el siguiente de acuerdo a la metodología Magerit.
4.1.11.
Modelo Descripción Amenaza Tabla 13: Modelo Descripción Amenaza
(Código) Descripción sucinta de lo que puede pasar Tipos de Activos: Dimensiones: Que se puede ver afectados por este tipo De seguridad que se pueden ver afectadas de amenaza por este tipo de amenaza, ordenada de más a menos relevante. Descripción: Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas. Valor del Impacto/Amenaza: valor del impacto de acuerdo al criterio Fuente: Autores
4.1.12.
Criterios De Valoración Del Riesgo
Para la valoración del riesgo, se tiene en cuenta la valoración de probabilidad y la valoración de impacto dada a cada activo, esta valoración se comporta de la siguiente manera: 4.1.13.
Criterios De Valoración De Impacto
La valoración de impacto del riesgo en el activo de la información, se realizará de la siguiente manera: 4.1.14.
Criterios de Valoración de Impacto Tabla 14: Criterios de Valoración de Impacto
Nivel de Valor 5 4 3 2 1
Valor Muy Alto Alto Medio Bajo Muy Bajo
Criterio Amenaza y/o impacto extremadamente grave Amenaza y/o impacto muy grave Amenaza y/o impacto grave Amenaza y/o impacto importante Amenaza y/o impacto menor
51
Fuente: Autores
4.1.15.
Criterios de Valoración del Riesgo Tabla 15: Criterios de Valoración del Riesgo
Nivel de Valor 17 – 25 10 – 16 5–9 2–4 1
Valor Muy Alto Alto Medio Bajo Muy Bajo
Fuente: Autores
4.1.16.
Criterios De Valoración De Probabilidad Del Riesgo
La probabilidad de que el riesgo se repita o sea frecuente se valorará de la siguiente manera: 4.1.17.
Criterios de Valoración Probabilidad de Riesgo Tabla 16: Criterios de Valoración Probabilidad de Riesgo
Nivel de Valor 5 4 3 2 1
Valor Siempre Casi Siempre A Menudo Algunas Veces Casi Nunca
Fuente: Autores
4.1.18.
Criterios De Valoración De Vulnerabilidades
El objetivo es analizar e identificar las vulnerabilidades que se tiene el caso estudio presentado los cuales son aprovechas frente a cualquier amenaza para realizar cualquier daño.
La valoración de la vulnerabilidad se realiza teniendo en cuenta los siguientes niveles de valoración
Alta: La vulnerabilidad es grave debido al aprovechamiento de una amenaza para realizar daño. Media: La vulnerabilidad es importante pero tiene poca probabilidad de ser aprovechada por una amenaza Baja: La vulnerabilidad no es aprovechada, ya que no existe amenaza alguna para materializarse en ella. Criterios De Calificación Del Control
52
La calificación del control, se realizará de la siguiente manera: 4.1.19.
Criterios de Calificación del Control Tabla 17: Criterios de Calificación del Control
Valoración del Control Nivel de Valor Valor 10 Control Adecuado 9 Control Importante 6-8 Control Parcialmente Adecuado 3-5 Control Menor 1-2 Control Inadecuado Fuente: Autores
Para ver el análisis de riesgo en detalle de cada activo y su procedimiento, este se evidencia en el archivo llamado Análisis de Riesgos que se encuentra en la carpeta Anexos del CD.
53
CAPITULO 5 POLÍTICAS Y CONTROLES DE SEGURIDAD
54
5. POLÍTICAS Y CONTROLES DE SEGURIDAD 5.1.
CONTROLES O SALVAGUARDAS 5.1.1. Selección de las salvaguardas
Una vez identificados los activos y haciendo el análisis y gestión de riesgos se hace necesario a través de la metodología Magerit establecer salvaguardas que permitan disminuir el impacto de los riesgos encontrados, dichas salvaguardas deben estar enfocadas en cada uno de los activos que se desean proteger. Para el desarrollo de los salvaguardas en cualquier organización enfocada al sector financiero se debe definir políticas de seguridad que permitan establecer cuáles son las normas a seguir para la protección de los activos. De esta manera se establecerán los procedimientos necesarios y los responsables de cada uno de ellos para dar respuesta a las amenazas antes mencionadas. La implementación de las salvaguardas se puede dar en diferentes niveles como se muestra a continuación:
Procedimientos
Se requieren procedimientos que permitan el desarrollo de los controles así como la gestión de los eventos catastróficos y para la recuperación ante estos inconvenientes.
Política de personal
Se debe establecer quién es el encargado de realizar las diferentes tareas que se necesitan llevar a cabo para la ejecución de los controles. Deben estar claros los roles y las funciones que se deben cumplir.
Soluciones de nivel técnico
Las salvaguardas a nivel técnico se pueden abarcar a través de herramientas de software, a nivel de hardware (físico) o protegiendo las comunicaciones de red utilizando diferentes métodos.
Seguridad física
Protección de los equipos de cómputo y de comunicaciones así como el cableado y las instalaciones. Definición de las salvaguardas para las amenazas detectadas De acuerdo a la norma ISO/IEC 27002 se establecen los siguientes controles para disminuir el riesgo de las amenazas encontradas:
55
Dominio: políticas de seguridad Objetivo de control: directrices de la dirección en seguridad de la información Control: revisión de las políticas de la seguridad de la información. En la entidad financiera se debe hacer una revisión de las políticas de seguridad existentes, con el fin de generar un plan de acción para la mejora de los procedimientos y de las acciones que se deben llevar a cabo cuando se produzca una incidencia que afecte los sistemas o las bases de datos, también se debe procurar una mejor respuesta para dar solución a los inconvenientes que se puedan dar luego de que se produzca un ataque que aproveche alguna de las vulnerabilidades encontradas. Dominio: Aspectos organizativos de la seguridad de la información Objetivo de control: Organización interna Control: Asignación de responsabilidades para la seguridad de la información Se ha encontrado que en la actualidad las tareas relacionadas con la seguridad de los sistemas de información y de las instalaciones físicas no están claramente diferenciadas, por lo que es importante definir roles y asignar responsabilidades a cada uno de ellos, de manera que sea claro cuál es el papel que cumplen los diferentes colaboradores. Dominio: Gestión de activos Objetivo de control: Responsabilidad sobre los activos Control: Inventario de activos Ya que el análisis de riesgos y la identificación de activos es tan importante para la definición de salvaguardas que disminuyan el riesgo, es importante continuamente hacer un monitoreo que permita establecer si se han detectado nuevos activos que sean necesarios proteger, así como establecer que activos no tienen la misma relevancia que se definición al hacer el análisis inicial. 5.1.2. Caracterización De Las Salvaguardas Las salvaguardas permiten hacer un correcto frente a las amenazas. Hay diferentes aspectos en los cuales puede actuar una o varias salvaguardas para alcanzar sus objetivos de limitación y/o mitigación del riesgo. Procedimientos: Estos siempre son necesarios, los procedimientos son un componente de una salvaguarda más complejo. Se requieren procedimientos tanto para la operación de las salvaguardas preventivas como para la gestión de incidencias y la recuperación tras las mismas. Los procedimientos deben cubrir aspectos tan diversos como van el desarrollo de sistemas, la configuración del equipamiento o la formalización del sistema.
56
Política del personal: Es necesaria cuando se consideran sistemas atendidos por personal. La política de personal debe cubrir desde las fases de especificación del puesto de trabajo y selección, hasta la formación continua del personal. Soluciones técnicas: Deben ser frecuentes en el entorno de las tecnologías de la información, que puede ser:
Aplicaciones (Software) Dispositivos Físicos (Hardware) Protección de las comunicaciones
Seguridad física: En locales y áreas de trabajo. La protección integral de un sistema de información requerirá una combinación de salvaguardas de los diferentes aspectos mencionados anteriormente. Las salvaguardas se pueden clasificar en los siguientes grupos:
Marco de gestión Relaciones con terceros Servicios Datos / Información Aplicaciones informáticas (Software) Equipos informáticos (Hardware) Comunicaciones Elementos auxiliares Seguridad física Personal
57
Figura 1 Relación de mecanismos MAGERIT
5.2.
POLÍTICAS DE SEGURIDAD
Tomando como base el análisis de riesgos se definen una serie de normas y/o buenas prácticas con el fin de estandarizar los procesos de la organización y así mismo gestionar y proteger los distintos activos de la misma de una manera más apropiada. Para ver las políticas de seguridad, este se evidencia en la carpeta Políticas de Seguridad que se encuentran en la carpeta Anexos del CD.
58
CAPITULO 6 CONCLUSIONES
59
6. CONCLUSIONES Con este proyecto de grado se diseñó un Sistema de Seguridad de la Información para las entidades financieras, para lo cual se decidió utilizar como marco de referencia la norma ISO 27001:2013. Aplicando los diferentes requerimientos de la norma ISO 27001:2013, se obtuvo una serie de diagnósticos que permitieron establecer el nivel de madures de la entidad frente a la gestión de la seguridad de la información. Diseñar un sistema de Gestión de Seguridad de la información basado en la norma ISO/IEC 27001:2013, que es un modelo de mejoras prácticas y lineamientos de seguridad dentro de cualquier organización y en este caso centrado en la actividad de servicios financieros, es una herramienta de gran ayuda que permite identificar los diferentes aspectos que se deben tener en cuenta cuando las organizaciones deciden establecer un modelo de seguridad de la información, ya que si los organizaciones logran cumplir al pie de la letra lo establecido está en la norma ISO/IEC 27001:2013, podar llegar a forjar en el tiempo un adecuado y sostenible Sistema de Gestión de Seguridad de la Información, aunque dicha labor depende del tamaño y naturaleza de la entidad y de la cultura de la misma en torno a la seguridad de la información. La falta de controles orientados a proteger la información que se intercambia con terceros, puede generar consecuencias graves para la entidad y afectar de manera negativa su imagen ante sus partes interesadas, por tal razón, es urgente que la entidad implementen mecanismos de cifrado con el objetivo de garantizar la integridad, confidencialidad y autenticidad de esta información Es necesario el establecimiento de unas políticas de seguridad aprobadas por la alta dirección, para garantizar su debida implementación, actualización y cumplimiento. Se requiere implementar controles adecuados y efectivos, o fortalecer los existentes, con el objetivo de asegurar que la seguridad de la información sea parte del ciclo de vida del desarrollo de aplicaciones de la entidad y con ello garantizar que los cambios que se realizan en producción no afecten la operación ni la seguridad de la información de la entidad. Para que un sistema de seguridad de la información tenga una correcta ejecución y cumpla con su propósito, los entes principales de la organización deben abarcar de manera importante y dar cumplimiento a la normatividad, políticas y controles que se encuentren durante el proceso lo que permite generar un mayor control y tener la organización en un ambiente confiable para el desarrollo de las actividades. Se realiza el diseño de una plataforma web el modelo del SGSI (sistema de gestión de la seguridad de la información) orientada a las entidades financieras, para mostrar e resultado del desarrollo del modelo.
60
7. RECOMENDACIONES
Es necesario que se tenga en cuenta el ciclo de vida de la información, ya que lo que hoy puede ser crítico para la organización puede dejar de tener importancia con el tiempo. Es de gran importancia la revisión y actualización anual del documento de Políticas de Seguridad de la Información. La concientización y la divulgación de las políticas de seguridad de la información consiguen que el personal conozca qué actuaciones se están llevando a cabo y por qué se están realizando. Con ello se concede transparencia al proceso y se involucra al personal. Es importante considerar la opción de acudir a consultores y/o auditores especializados para que se realice los estudios pertinentes para el análisis del funcionamiento de la organización, las respectivas políticas de seguridad y certificaciones con el objetivo de obtener un alto nivel de seguridad.
61
CAPITULO 7 ANEXOS Y REFERENCIAS
62
8. ANEXOS 8.1.
Valoración De Activos Tabla 18: Valoración de Activos DIMENCIONES Valoración ACTIVOS
[C]
[I]
[D]
Base de Datos
10
Restringido
10
Extremo
10
Extremo
30
Extremo
Archivos de Datos
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
Manuales de Usuario
3
Pública
7
Alto
8
Alto
18
Alto
Documentación del sistema
9
Restringido
8
Alto
10
Extremo
27
Muy Alto
Contratos
9
Restringido
10
Extremo
8
Alto
27
Muy Alto
Formatos (libranzas, pólizas )
6
Restringido
10
Extremo
7
Alto
23
Alto
Hojas de Vida
8
Restringido
8
Alto
8
Alto
24
Alto
Documentos internos
9
Restringido
10
Extremo
8
Alto
27
Muy Alto
Entregables (CD/DVD)
6
Uso Interno
5
Medio
5
Medio
16
Medio
Material Físico (Impreso)
10
Restringido
10
Extremo
10
Extremo
30
Extremo
Información en carpetas compartidas en red
10
Restringido
10
Extremo
10
Extremo
30
Extremo
Información Disco Portables
9
Restringido
9
Muy Alto
8
Alto
26
Alto
Información memorias USB
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
ACTIVOS DE SOFTWARE
63
Desarrollos a medida y/o propios de la organización
9
Restringido
8
Alto
8
Alto
25
Alto
Sistemas Operativos
7
Uso Interno
5
Medio
10
Extremo
22
Alto
Antivirus
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Servidores Aplicaciones/ Contenedores
7
Uso Interno
7
Alto
10
Extremo
24
Alto
Navegadores
3
Pública
3
Bajo
5
Medio
11
Medio
Office
4
Uso Interno
5
Medio
5
Medio
14
Medio
Motor de Base de Datos
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Licencias
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
Aplicativos Finanzas
7
Uso Interno
8
Alto
10
Extremo
25
Alto
ACTIVOS DE HARDWARE Servidores
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Computadores de escritorio
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Portátiles
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Dispositivos móviles
10
Restringido
9
Muy Alto
10
Extremo
29
Extremo
Impresoras
5
Uso Interno
6
Medio
6
Medio
17
Medio
Equipos multifuncional
5
Uso Interno
6
Medio
6
Medio
17
Medio
Routers
10
Restringido
9
Muy Alto
8
Alto
27
Muy Alto
Teléfonos
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
64
Modems
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
Memoria USB
10
Restringido
9
Muy Alto
10
Extremo
29
Extremo
CD/DVD
10
Restringido
9
Muy Alto
10
Extremo
29
Extremo
Discos Portables
6
Uso Interno
6
Medio
6
Medio
18
Alto
Cámaras de Seguridad
4
Uso Interno
5
Medio
5
Medio
14
Medio
Lector Huella Dactilar
4
Uso Interno
6
Medio
5
Medio
15
Medio
ACTIVOS DE SERVICIOS Capacitaciones
7
Uso Interno
7
Alto
6
Medio
20
Alto
Telefonía
4
Uso Interno
6
Medio
6
Medio
16
Medio
Internet
6
Uso Interno
5
Medio
6
Medio
17
Medio
Red Inalámbrica
4
Uso Interno
6
Medio
3
Bajo
13
Medio
Almacenamiento de información
5
Uso Interno
5
Medio
8
Alto
18
Alto
Fluido Eléctrico
7
Uso Interno
5
Medio
10
Extremo
22
Alto
ACTIVOS PLAN DE ORGANIZACIÓN Planta de la Organización
7
Uso Interno
9
Muy Alto
10
Extremo
26
Alto
Canalización de red eléctrica
7
Uso Interno
0
Despreciable
10
Extremo
17
Medio
Canalización de red de datos
7
Uso Interno
0
Despreciable
9
Muy Alto
16
Medio
Instalación de red de datos
7
Uso Interno
8
Alto
9
Muy Alto
24
Alto
65
Instalación de red eléctrica
7
Uso Interno
8
Alto
10
Extremo
25
Alto
ACTIVOS DE PERSONAL Usuarios Internos
5
Uso Interno
0
Despreciable
8
Alto
13
Medio
Usuarios externos
3
Pública
0
Despreciable
5
Medio
8
Bajo
Analista
10
Restringido
0
Despreciable
9
Muy Alto
19
Alto
Profesionales
10
Restringido
0
Despreciable
7
Alto
17
Medio
Lideres
6
Uso Interno
0
Despreciable
7
Alto
13
Medio
coordinadores
10
Restringido
0
Despreciable
10
Extremo
20
Alto
administrativos
3
Uso Interno
0
Despreciable
8
Alto
11
Medio
Funcionales
10
Restringido
0
Despreciable
8
Alto
18
Alto
Desarrolladores
3
Uso Interno
0
Despreciable
7
Alto
10
Medio
Clientes
3
Pública
0
Despreciable
7
Alto
10
Medio
Personal operativo
3
Uso Interno
0
Despreciable
7
Alto
10
Medio
Proveedores
3
Pública
0
Despreciable
7
Alto
10
Medio
Fuente: Los Autores
66
8.2.
Identificación De Amenazas Por Tipo De Activo Tabla 19: Identificación de Amenazas por tipo de Activo
Tipo de Activo
Amenaza
Accidente Importante
Daño por agua Daño por fuego Destrucción del equipo o de los medios
Falla del equipo Contaminación Electromagnética
Hardware
Mal funcionamiento del equipo Manipulación con hardware Manipulación del sistema Manipulación con software
Perdida de suministro de energía
Polvo, corrosión, congelamiento Uso no autorizado del equipo Hurto del Equipo Error en el uso Tipo de Activo
Información
Amenaza Código mal intencionado Errores del administrador 67
Corrupción de los datos Destrucción del equipo o de los medios Error en el uso Hurto de Información Ingreso de datos falsos o corruptos Intrusión, accesos forzados al sistema Manipulación con software Procesamiento ilegal de los datos Recuperación de medios reciclados o desechados Saturación del sistema de información Suplantación de Identidad Tipo de Activo
Amenaza Errores de usuario Errores del administrador Errores de monitorización (log) Errores de configuración Copia Fraudulenta del Software
Personal
Intrusión, Accesos Forzados al Sistema Escapes de información Incumplimiento en el mantenimiento del sistema de información Acceso no Autorizado al Sistema
68
Hurto de la información Corrupción de los Datos Divulgación de información Suplantación de Identidad Incumplimiento en la disponibilidad del personal Tipo de Activo
Amenaza Acceso no autorizado al sistema Ataques contra el sistema Copia fraudulenta del software Corrupción de los datos
Error en el uso
Errores en el sistema
Software
Hurto de Información
Incumplimiento en el mantenimiento del sistema de información
Ingreso de datos falsos o corruptos
Mal funcionamiento del software
Manipulación con software
69
Uso de software falso o copiado Uso no autorizado del equipo Vulnerabilidades de los programas Tipo de Activo
Amenaza Errores de usuario Errores de monitorización Intrusión, Accesos Forzados al Sistemas Hurto de Información
Base de datos Corrupción de los datos Errores en el sistema Procesamiento Ilegal de Datos Ingreso de Datos Falsos o Corruptos Tipo de Activo
Amenaza Errores de usuario Errores de monitorización (Log) Código mal intencionado
Información de Divulgación de Información clientes Corrupción de los datos Errores del administrador Errores de configuración Fuente: Los Autores
70
Descripción de cada amenaza de acuerdo a la metodología Magerit 8.2.1. Amenaza – AMZ001 (Acceso no Autorizado al Sistema) Tabla 20: Amenaza – AMZ001 (Acceso no Autorizado al Sistema)
AMZ001 - Acceso no Autorizado al Sistema Tipos de Activos: Dimensiones: Software Confidencialidad Personal Disponibilidad Integridad Descripción: Consiste en tener acceso a información del sistema para ser modificada, borrada o inutilizar sin autorización datos o información del sistema Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.2. Amenaza – AMZ002 (Accidente Importante) Tabla 21: Amenaza – AMZ002 (Accidente Importante)
AMZ002 - Accidente Importante Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Consiste en un daño a nivel físico o electrónico que perjudica el funcionamiento del hardware. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.3. Amenaza – AMZ003 (Ataques contra el Sistema) Tabla 22: Amenaza – AMZ003 (Ataques contra el Sistema)
AMZ003 – Ataques contra el Sistema Tipos de Activos: Dimensiones: Software Disponibilidad Confidencialidad Integridad Descripción: Consiste en tener acceso a información del sistema para ser modificada, borrada o inutilizar sin autorización datos o información del sistema Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
71
8.2.4. Amenaza – AMZ004 (Código mal Intencionado) Tabla 23: Amenaza – AMZ004 (Código mal Intencionado)
AMZ004 – Código mal Intencionado Tipos de Activos: Dimensiones: Información Integridad Información de Clientes Disponibilidad Descripción: Consiste en alguna instalación de software para alterar y/o eliminar la información Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.5. Amenaza – AMZ005 (Copia Fraudulenta del Software) Tabla 24: Amenaza – AMZ005 (Copia Fraudulenta del Software)
AMZ005 – Copia Fraudulenta del Software Tipos de Activos: Dimensiones: Software Integridad Personal Disponibilidad Confidencialidad Descripción: Consiste en la instalación de software pirata. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.6. Amenaza – AMZ006 (Corrupción de los Datos) Tabla 25: Amenaza – AMZ006 (Corrupción de los Datos)
AMZ006 – Corrupción de los Datos Tipos de Activos: Dimensiones: Software Integridad Información Personal Base de Datos Información de Clientes Descripción: Errores que se producen durante el diligenciamiento de documentos o formularios de aplicaciones. Valor del Impacto/Amenaza: Alto Fuente: Autores
72
8.2.7. Amenaza – AMZ007 (Daño por Agua) Tabla 26: Amenaza – AMZ007 (Daño por Agua)
AMZ007 - Daño por Agua Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Posibilidad de que el agua acabe con los recursos del sistema, generada por alguna fuga de agua interna o la rotura de la tubería de agua. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.8. Amenaza – AMZ008 (Daño por Fuego) Tabla 27: Amenaza – AMZ008 (Daño por Fuego)
AMZ008 – Daño por Fuego Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Posibilidad de que el fuego acabe con los recursos del sistema, generadas por materiales inflamables o problemas eléctricos. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.9. Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) Tabla 28: Amenaza – AMZ009 (Destrucción del Equipo o de los Medios)
AMZ009 – Destrucción del Equipo o de los Medios Tipos de Activos: Dimensiones: Hardware Disponibilidad Información Descripción: Eliminación total del activo. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.10.
Amenaza – AMZ0010 (Error en el Uso) Tabla 29: Amenaza – AMZ0010 (Error en el Uso)
AMZ010 – Error en el Uso Tipos de Activos:
Dimensiones: 73
Hardware Disponibilidad Información Integridad Software Confidencialidad Descripción: Equivocaciones del personal cuando usa el activo. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.11.
Amenaza – AMZ011 (Error en el Sistema) Tabla 30: Amenaza – AMZ011 (Error en el Sistema)
AMZ0011 – Error en el Sistema Tipos de Activos: Dimensiones: Software Disponibilidad Base de Datos Descripción: Daños en el sistema que pueden ocurrir generando indisponibilidad del activo. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.12.
Amenaza – AMZ0012 (Falla del Equipo) Tabla 31: Amenaza – AMZ0012 (Falla del Equipo)
AMZ012 – Falla del Equipo Tipos de Activos: Hardware Descripción: Se refiere algún daño físico del activo. Valor del Impacto/Amenaza: Alto
Dimensiones: Disponibilidad.
Fuente: Autores
8.2.13.
Amenaza – AMZ013 (Hurto de Información) Tabla 32: Amenaza – AMZ013 (Hurto de Información)
AMZ013 – Hurto de Información Tipos de Activos: Información Software Personal Base de Datos Descripción:
Dimensiones: Disponibilidad Confidencialidad
74
La sustracción de información provocando la carencia de datos importantes para la continuidad de algún proceso de la organización. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.14.
Amenaza – AMZ014 (Hurto de Equipo) Tabla 33: Amenaza – AMZ014 (Hurto de Equipo
AMZ014 – Hurto de Equipo Tipos de Activos: Hardware
Dimensiones: Disponibilidad Confidencialidad
Descripción: La sustracción de equipamiento provocando directamente la carencia de un medio para prestar el servicio, es decir una indisponibilidad. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.15.
Amenaza – AMZ015 (Impulsos Electromagnéticos) Tabla 34: Amenaza – AMZ015 (Impulsos Electromagnéticos)
AMZ015 - Impulsos Electromagnéticos Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Alteración de la alimentación eléctrica Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.16.
Amenaza – AMZ016 (Incumplimiento en la Disponibilidad
del Personal) Tabla 35: Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del Personal)
AMZ016 – Incumplimiento en la Disponibilidad del Personal Tipos de Activos: Dimensiones: Personal Disponibilidad Descripción: Ausencia deliberada del puesto de trabajo Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
75
8.2.17.
Amenaza – AMZ017 (Incumplimiento en el Mantenimiento
del Sistema de Información) Tabla 36: Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del Sistema de Información)
AMZ017 – Incumplimiento en el Mantenimiento del Sistema de Información Tipos de Activos: Dimensiones: Software Integridad Disponibilidad Descripción: Defectos en los procedimientos o controles de actualización del código que permiten que sigan utilizándose programas con defectos conocidos y reparados por el fabricante. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.18.
Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos) Tabla 37: Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos)
AMZ018 – Ingreso de Datos Falsos o Corruptos Tipos de Activos: Dimensiones: Información Integridad Software Base de Datos Descripción: Errores que se producen durante el diligenciamiento de documentos o formularios de aplicaciones. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.19.
Amenaza – AMZ019 (Accesos Forzados al Sistema) Tabla 38: Amenaza – AMZ019 (Accesos Forzados al Sistema)
AMZ019 - Intrusión, Accesos Forzados al Sistema Tipos de Activos: Dimensiones: Información Integridad Personal Confidencialidad Base de Datos Descripción: El atacante consigue acceder a los recursos del sistema sin tener autorización para ello. Valor del Impacto/Amenaza: Muy Alto 76
Fuente: Autores
8.2.20.
Amenaza – AMZ020 (Mal Funcionamiento del Equipo) Tabla 39: Amenaza – AMZ020 (Mal Funcionamiento del Equipo)
AMZ020 – Mal Funcionamiento del Equipo Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Se refiere algún daño físico o lógico del activo. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.21.
Amenaza – AMZ021 (Mal Funcionamiento del Software) Tabla 40: Amenaza – AMZ021 (Mal Funcionamiento del Software)
AMZ021 - Mal Funcionamiento del Software Tipos de Activos: Dimensiones: Software Disponibilidad Descripción: Error o fallo en un programa desencadenando un resultado indeseado. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.22.
Amenaza – AMZ022 (Manipulación con Hardware) Tabla 41: Amenaza – AMZ022 (Manipulación con Hardware)
AMZ022 – Manipulación con Hardware Tipos de Activos: Dimensiones: Hardware Confidencialidad Disponibilidad Descripción: Alteración intencionada del funcionamiento del hardware, persiguiendo un beneficio. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.23.
Amenaza – AMZ023 (Manipulación con Software) Tabla 42: Amenaza – AMZ023 (Manipulación con Software)
AMZ023 – Manipulación con Software Tipos de Activos: Dimensiones: Software Confidencialidad 77
Disponibilidad Descripción: Alteración intencionada del funcionamiento de los programas, persiguiendo un beneficio. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.24.
Amenaza – AMZ024 (Manipulación del Sistema) Tabla 43: Amenaza – AMZ024 (Manipulación del Sistema)
AMZ024 – Manipulación del Sistema Tipos de Activos: Dimensiones: Hardware Confidencialidad Disponibilidad Descripción: Alteración intencionada del funcionamiento del hardware, persiguiendo un beneficio. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.25.
Amenaza – AMZ025 (Perdida de Suministro de Energía) Tabla 44: Amenaza – AMZ025 (Perdida de Suministro de Energía)
AMZ025 – Perdida de Suministro de Energía Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Cese de la alimentación eléctrica Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.26.
Amenaza – AMZ026 (Perdida de Suministro de Energía) Tabla 45: Amenaza – AMZ026 (Perdida de Suministro de Energía)
AMZ026 – Polvo, Corrosión, Congelamiento Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Suciedad en los dispositivos que genere un mal funcionamiento. Valor del Impacto/Amenaza: Alto Fuente: Autores
78
8.2.27.
Amenaza – AMZ027 (Perdida de Suministro de Energía) Tabla 46: Amenaza – AMZ027 (Perdida de Suministro de Energía)
AMZ027 – Procesamiento Ilegal de los Datos Tipos de Activos: Dimensiones: Información Integridad Base de Datos Descripción: Datos mal usados que ocasiona problemas legales severos Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.28.
Amenaza – AMZ028 (Recuperación de Medios Reciclados
o Desechados) Tabla 47: Amenaza – AMZ028 (Recuperación de Medios Reciclados o Desechados)
AMZ028 – Recuperación de Medios Reciclados o Desechados Tipos de Activos: Dimensiones: Información Confidencialidad Descripción: Uso de elementos desechados para otro fin. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.29.
Amenaza – AMZ029 (Saturación del Sistema de
Información) Tabla 48: Amenaza – AMZ029 (Saturación del Sistema de Información)
AMZ029 – Saturación del Sistema de Información Tipos de Activos: Dimensiones: Información Disponibilidad Descripción: Carencia de recursos suficientes provocando la caída del sistema. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.30.
Amenaza – AMZ030 (Suplantación de Identidad) Tabla 49: Amenaza – AMZ030 (Suplantación de Identidad)
AMZ030 – Suplantación de Identidad Tipos de Activos: Dimensiones: 79
Personal Confidencialidad Información Integridad Descripción: Hacerse pasar por un usuario no autorizado, disfrutando de los privilegios de este para un fin en especial. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.31.
Amenaza – AMZ031 (Uso de Software Falso o Copiado) Tabla 50: Amenaza – AMZ031 (Uso de Software Falso o Copiado)
AMZ031 – Uso de Software Falso o Copiado Tipos de Activos: Dimensiones: Software Disponibilidad Integridad Confidencialidad Descripción: Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.32.
Amenaza – AMZ032 (Uso no Autorizado del Equipo) Tabla 51: Amenaza – AMZ032 (Uso no Autorizado del Equipo)
AMZ032 – Uso no Autorizado del Equipo Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Utilización de los recursos para fines no previstos. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.33.
Amenaza – AMZ033 (Contaminación Electromagnética) Tabla 52: Amenaza – AMZ033 (Contaminación Electromagnética)
AMZ031 – Contaminación Electromagnética Tipos de Activos: Dimensiones: Hardware Disponibilidad Integridad Descripción: 80
Daños en los elementos de computo debido carga eléctrica exagerada dentro de un área de trabajo Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.34.
Amenaza – AMZ034 (Errores del Administrador) Tabla 53: Amenaza – AMZ034 (Errores del Administrador)
AMZ031 – Errores del Administrador Tipos de Activos: Dimensiones: Información Disponibilidad Personal Integridad Base de Datos Confidencialidad Información de Clientes Descripción: Daños en los datos almacenados por la mala manipulación en los procedimientos como copias de seguridad, actualización de sistemas y antivirus, entre otros. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.35.
Amenaza – AMZ035 (Errores de Usuario) Tabla 54: Amenaza – AMZ035 (Errores de Usuario)
AMZ031 – Errores de Usuario Tipos de Activos: Dimensiones: Personal Integridad Base de Datos Confidencialidad Información de Clientes Descripción: Se presenta divulgación de la información por no seguir las políticas de seguridad para el cambio de contraseñas, nombramientos de archivos, entre otros Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.36.
Amenaza – AMZ035 (Errores de Usuario) Tabla 55: Amenaza – AMZ035 (Errores de Usuario)
AMZ031 – Errores de Usuario Tipos de Activos: Personal
Dimensiones: Integridad 81
Base de Datos Confidencialidad Información de Clientes Descripción: Se presenta divulgación de la información por no seguir las políticas de seguridad para el cambio de contraseñas, nombramientos de archivos, entre otros Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.37.
Amenaza – AMZ035 (Errores de Monitorización (Log)) Tabla 56: Amenaza – AMZ035 (Errores de Monitorización (Log))
AMZ031 – Errores de Monitorización (Log) Tipos de Activos: Dimensiones: Personal Integridad Base de Datos Confidencialidad Información de Clientes Descripción: Perdida de la información por no generar los controles ni el mantenimiento adecuado durante la monitorización. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.38.
Amenaza – AMZ035 (Errores de Configuración) Tabla 57: Amenaza – AMZ035 (Errores de Configuración)
AMZ031 – Errores de Configuración Tipos de Activos: Dimensiones: Personal Integridad Información de Clientes Confidencialidad Descripción: Perdida de la información por no realizar de forma adecuada la configuración del sistema. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.39.
Amenaza – AMZ035 (Divulgación de Información) Tabla 58: Amenaza – AMZ035 (Divulgación de Información)
AMZ031 – Divulgación de Información Tipos de Activos: Dimensiones: Personal Integridad 82
Información de Clientes Confidencialidad Descripción: Daños en la integridad personal de las personas en las que se ha hecho pública la información privada Valor del Impacto/Amenaza: Alto Fuente: Autores
83
8.3.
Identificación De Vulnerabilidades Por Activo Tabla 59: Identificación de Vulnerabilidades por activo
Activo
Activo
Tipo de Activo
Información Información Información Información Información Información Información Información Información Información Información Información Información
Inf-01 Inf-01 Inf-01 Inf-01 Inf-01 Inf-01 Inf-02 Inf-02 Inf-02 Inf-02 Inf-02 Inf-03 Inf-03
Información
Inf-03 Manuales de Usuario
Información Información
Inf-03 Manuales de Usuario Inf-04 Documentación del sistema
Información
Inf-04 Documentación del sistema
Información Información
Inf-04 Documentación del sistema Inf-04 Documentación del sistema
Amenaza
Base de Datos Base de Datos Base de Datos Base de Datos Base de Datos Base de Datos Archivo de Datos Archivo de Datos Archivo de Datos Archivo de Datos Archivo de Datos Manuales de Usuario Manuales de Usuario
Hurto de Información Ingreso de datos falsos o corruptos Corrupción de los datos Intrusión, accesos forzados al sistema Manipulación con Software Saturación del Sistema de Información Manipulación con Software Saturación del Sistema de Información Corrupción de los datos Hurto de Información Ingreso de datos falsos o corruptos Destrucción del equipo o de los Medios Hurto de Información Recuperación de medios reciclados o desechados Corrupción de los datos Hurto de Información Recuperación de medios reciclados o desechados Corrupción de los datos Destrucción del equipo o de los Medios
84
Información
Inf-05 Contratos
Información Información Información Información Información Información
Inf-05 Inf-05 Inf-05 inf-06 inf-06 inf-06
Información
Inf-07 Hojas de Vida
Información Información
Inf-07 Hojas de Vida Inf-07 Hojas de Vida
Información
Inf-08 Documentos internos
Información Información Información Información
Inf-08 Inf-08 Inf-09 Inf-09
Información
Inf-10 Material Físico (Impreso)
Información Información Información Información Información Información
Inf-10 Inf-10 Inf-11 Inf-11 Inf-11 Inf-11
Contratos Contratos Contratos Formatos (libranzas, pólizas ) Formatos (libranzas, pólizas ) Formatos (libranzas, pólizas )
Documentos internos Documentos internos Entregables (CD/DVD) Entregables (CD/DVD)
Material Físico (Impreso) Material Físico (Impreso) Información en carpetas compartidas en red Información en carpetas compartidas en red Información en carpetas compartidas en red Información en carpetas compartidas en red 85
Recuperación de medios reciclados desechados Destrucción del equipo o de los Medios Hurto de Información Procesamiento ilegal de los datos Hurto de Información Ingreso de datos falsos o corruptos Corrupción de los datos Recuperación de medios reciclados desechados Destrucción del equipo o de los Medios Hurto de Información Recuperación de medios reciclados desechados Destrucción del equipo o de los Medios Hurto de Información Hurto de Información Destrucción del equipo o de los Medios Recuperación de medios reciclados desechados Hurto de Información Destrucción del equipo o de los Medios Hurto de Información Suplantación de Identidad Manipulación con software Intrusión, accesos forzados al sistema
o
o
o
o
Información Información Información Información Información Información Información Información
Inf-11 Inf-12 Inf-12 Inf-12 Inf-12 Inf-13 Inf-13 Inf-13
Software
Sw-01
Software
Sw-01
Software
Sw-01
Software
Sw-01
Software
Sw-01
Software
Sw-01
Software
Sw-01 Sw-01
Software
Sw-01
Software Software
Sw-02 Sw-02
Información en carpetas compartidas en red Información Disco Portables Información Disco Portables Información Disco Portables Información Disco Portables Información memorias USB Información memorias USB Información memorias USB Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Sistemas Operativos Sistemas Operativos 86
Saturación del sistema de información Hurto de Información Intrusión, accesos forzados al sistema Error en el uso Manipulación con software Hurto de Información Error en el uso Manipulación con software Ataques contra el sistema Copia fraudulenta del software Corrupción de los datos Error en el uso Errores en el sistema Incumplimiento en el mantenimiento del sistema de información Mal funcionamiento del software Manipulación con software Uso de software falso o copiado Uso de software falso o copiado Copia fraudulenta del software
Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software
Sw-02 Sw-03 Sw-03 Sw-03 Sw-03 Sw-04 Sw-04 Sw-04 Sw-04 Sw-04 Sw-04 Sw-05 Sw-05 Sw-05 Sw-06 Sw-06 Sw-07 Sw-07 Sw-07 Sw-07 Sw-07
Sistemas Operativos Antivirus Antivirus Antivirus Antivirus Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Navegadores Navegadores Navegadores Office Office Motor de Base de Datos Motor de Base de Datos Motor de Base de Datos Motor de Base de Datos Motor de Base de Datos
Software
Sw-07 Motor de Base de Datos
Software Software Software
Sw-07 Motor de Base de Datos Sw-08 Licencias Sw-08 Licencias 87
Mal funcionamiento del software Copia fraudulenta del software Mal funcionamiento del software Errores en el sistema Ataques contra el sistema Errores en el sistema Mal funcionamiento del software Copia fraudulenta del software Hurto de Información Corrupción de los datos Uso no autorizado del equipo Corrupción de los datos Errores en el sistema Ataques contra el sistema Corrupción de los datos Errores en el sistema Uso de software falso o copiado Acceso no autorizado al sistema Ataques contra el sistema Error en el uso Errores en el sistema Incumplimiento en el mantenimiento del sistema de información Mal funcionamiento del software Uso de software falso o copiado Errores en el sistema
Software Software Software Software Software Software Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware
Sw-09 Sw-09 Sw-09 Sw-09 Sw-09 Sw-09 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-02 Hw-02 Hw-02 Hw-02 Hw-02 Hw-02 Hw-02
Aplicativos Finanzas Aplicativos Finanzas Aplicativos Finanzas Aplicativos Finanzas Aplicativos Finanzas Aplicativos Finanzas Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio
Uso de software falso o copiado Errores en el sistema Error en el uso Ataques contra el sistema Acceso no autorizado al sistema Acceso no autorizado al sistema Accidente Importante Daño por agua Daño por fuego Falla del equipo Impulsos electromagnéticos Mal funcionamiento del equipo Manipulación del sistema Manipulación con software Perdida de suministro de energía Polvo, corrosión, congelamiento Uso no autorizado del equipo Hurto de Equipo Error en el uso Accidente Importante Falla del equipo Impulsos electromagnéticos Mal funcionamiento del equipo Manipulación con hardware Manipulación del sistema Manipulación con software 88
Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware
Hw-02 Hw-02 Hw-02 Hw-02 Hw-02 Hw-03 Hw-03 Hw-03 Hw-03 Hw-03 Hw-03 Hw-04 Hw-04 Hw-04 Hw-05 Hw-05 Hw-05 Hw-05 Hw-05 Hw-06 Hw-06 Hw-06 Hw-07 Hw-07 Hw-07 Hw-07
Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Portátiles Portátiles Portátiles Portátiles Portátiles Portátiles Impresoras Impresoras Impresoras Equipo Multifuncional Equipo Multifuncional Equipo Multifuncional Equipo Multifuncional Equipo Multifuncional Routers Routers Routers Routers Routers Routers Routers
Perdida de suministro de energía Polvo, corrosión, congelamiento Uso no autorizado del equipo Hurto de Equipo Error en el uso Accidente Importante Manipulación del sistema Manipulación con software Uso no autorizado del equipo Hurto de Equipo Error en el uso Accidente Importante Error en el uso Uso no autorizado del equipo Error en el uso Uso no autorizado del equipo Hurto de de Equipo Manipulación con software Accidente Importante Error en el uso Accidente Importante Perdida de suministro de energía Accidente Importante Daño por agua Daño por fuego Impulsos electromagnéticos 89
Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Servicios Servicios Servicios Servicios Servicios Servicios Servicios Servicios Servicios
Hw-07 Hw-07 Hw-07 Hw-09 Hw-09 Hw-09 Hw-09 Hw-09 Hw-09 Hw-09 Serv02 Serv03 Serv03 Serv03 Serv03 Serv03 Serv04 Serv04 Serv04
Routers Routers Routers Módems Módems Módems Módems Módems Módems Módems
Perdida de suministro de energía Uso no autorizado del equipo Hurto de Equipo Accidente Importante Daño por agua Daño por fuego Impulsos electromagnéticos Perdida de suministro de energía Uso no autorizado del equipo Hurto de Equipo
Telefonía
Uso no autorizado del equipo
Internet
Perdida de suministro de energía
Internet
Hurto de Equipo
Internet
Perdida de suministro de energía
Internet
Hurto de Equipo
Internet
Uso no autorizado del equipo
Red Inalámbrica
Perdida de suministro de energía
Red Inalámbrica
Hurto de Equipo
Red Inalámbrica
Uso no autorizado del equipo 90
Servicios Servicios Servicios Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas
Serv05 Serv05 Serv06 Per-01 Per-01 Per-01 Per-02 Per-02 Per-02 Per-03 Per-03 Per-03 Per-04 Per-04 Per-04 Per-05 Per-05 Per-05 Per-06 Per-06 Per-06 Per-07 Per-07
Almacenamiento de información
Perdida de suministro de energía
Almacenamiento de información
Accidente Importante
Fluido Eléctrico
Perdida de suministro de energía
Usuarios Internos Usuarios Internos Usuarios Internos Usuarios externos Usuarios externos Usuarios externos Analista Analista Analista Profesionales Profesionales Profesionales Lideres Lideres Lideres coordinadores coordinadores coordinadores administrativos administrativos
Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos 91
Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas
Per-07 Per-08 Per-08 Per-08 Per-09 Per-09 Per-09 Per-10 Per-10 Per-10 Per-11 Per-11 Per-11 Per-12 Per-12 Per-12
administrativos Funcionales Funcionales Funcionales Desarrolladores Desarrolladores Desarrolladores Clientes Clientes Clientes Personal operativo Personal operativo Personal operativo Proveedores Proveedores Proveedores
Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Fuente: Autores
92
8.4.
Identificación De Vulnerabilidades Tabla 60: Identificación de Vulnerabilidades
Amenaza
Accidente Importante
Vulnerabilidad
Valor de la Vulnerabilidad
Falta de Mantenimiento
Media
Golpes
Media
sobrecargas
Media
Daño por agua
Ubicación en un área susceptible de Media inundación
Daño por fuego
Ubicación en un área susceptible
Falla del equipo
Instalación fallida de los medios de Media almacenamiento. Mantenimiento insuficiente
Impulsos Red energética inestable electromagnéticos Mal funcionamiento del Contaminación Mecánica equipo Manipulación hardware
Media
Media Alta Media
con Falta de Control de accesibilidad al Media dispositivo
Manipulación del sistema Desconocimiento del manejo
Baja
Manipulación con softwa Descarga y uso no controlados de sof Alta re tware Falta de dispositivos de Alta almacenamiento de energía (UPS) Falta de esquemas de reemplazo Media Perdida de suministro de periódico. energía Red energética inestable Baja Susceptibilidad a las variaciones de te Alta nsión Polvo, corrosión, Susceptibilidad a la humedad, el polvo Media congelamiento y la suciedad Uso no autorizado del Ausencia de control para el uso del Media equipo dispositivo 93
Hurto de Equipo
Falta de protección física de las puertas y las ventanas de la Alta organización.
Código mal intencionado
Instalación de Software (Virus)
Alta
Falta manual de usuario
Media
Desconocimiento de la aplicación
Media
Corrupción de los datos
Falta de esquemas de reemplazo Media Destrucción del equipo o periódico. de los medios Susceptibilidad a la humedad, el polvo Media y la suciedad Copia no controlada
Alta
Almacenamiento sin protección
Alta
Intrusión, accesos Almacenamiento sin Protección forzados al sistema
Alta
Hurto de Información
Falta de Capacitación Procesamiento ilegal de l Falta de Conocimiento os datos legislación
Media de
la
Alta
Disposición o reutilización de los Recuperación de medios medios de almacenamiento sin Alta reciclados o desechados borrado adecuado Saturación del sistema de Falta de Mantenimiento información Suplantación de Identidad
Media
Sesiones de Usuario habilitadas
Alta
Almacenamiento sin Protección
Alta
Incumplimiento en la disp Ausencia del personal onibilidad del personal
Baja
Acceso no autorizado al Falta de mecanismos de autenticación Alta sistema e identificación Ataques contra el sistema Falta de mecanismos de Seguridad
94
Alta
Copia fraudulenta software
del
Falta de procedimientos del cumplimiento de las disposiciones con Alta los derechos intelectuales Configuración incorrecta de parámetr Media os Uso incorrecto hardware
Error en el uso
Errores en el sistema
de
software
y
Media
Falta de control de cambio de la Media información Falta de documentación
Media
Interface de usuario complicada
Baja
Configuración parámetros
incorrecta
de
Media
Incumplimiento en el Instalación fallida de los medios de mantenimiento del Media almacenamiento. sistema de información Falta de formato para los tipos de Baja datos Ingreso de datos falsos o Desconocimiento de la Aplicación Media corruptos Mala digitación en el ingreso de datos Baja al sistema Especificaciones incompletas o no Alta Mal funcionamiento del claras para los desarrolladores software Software nuevo o inmaduro Alta
Manipulación software
Falta de control eficaz del cambio
Media
Falta de copias de respaldo
Alta
con Falta de copias de respaldo
Alta
Descarga y uso no controlados de sof Alta tware
Uso de software falso o Desconocimiento de licenciamiento copiado Reducción de Costos
Media Media
Uso no autorizado del eq Falla en la producción de informes de Alta uipo gestión Fuente: Autores
95
8.5.
Focus gruop
Fecha: Diciembre 10 de 2016 Sitio de Reunión: Sala de Juntas Compensar Área Financiera
ACTA FOCUS GROUP Acta No. 001 Hora de Inicio: 8: 00 am
Hora Final: 12: 00 pm
Asistentes Miguel Ángel cadena Sierra - Profesional Diana Marcela Sierra Mendoza - Técnico 2 Claudia Johana Valbuena Villanueva - Analista de Pruebas Andres Felipe Cantor - Analista y ejecutivo de costos Bryan Gherard Avila Quintero - Arquitecto Pass
Agenda Propuesta 1. Introducción de la importancia de la implementación de un SGSI (Sistema gestor de la seguridad de la Información) 2. Socialización de la situación actual. 3. Identificación de oportunidades, amenazas, debilidades y fortalezas para la definición de la matriz DOFA. 4. Identificación de los activos importantes para una organización bancaria. 5. Socialización de riesgos, de acuerdo a las labores realizadas día a día.
Tiempo
4h
DESARROLLO 1. Introducción de la importancia de la implementación de un SGSI (Sistema gestor de la seguridad de la Información) El Grupo Interventor realiza una capacitación e introducción sobre la importancia de un SGSI (Sistema gestor de la seguridad de la Información) dentro de una organización, se explica que es un SGSI (Sistema gestor de la seguridad de la Información) y cuáles son los pasos a seguir para poder diseñarlo y posteriormente implementarlo. 2. Socialización de la situación actual. El grupo interventor realizó la siguiente pregunta abierta: ¿Cuál es la situación actual de la organización frente a la seguridad de la información? Luego de discutir frente a la situación, todos los participantes coincidieron en que, actualmente se puede presentar fuga de información, ya que no existen controles frente a los accesos a las instalaciones y/o a los centros de cómputo.
96
3. Identificación de oportunidades, amenazas, debilidades y fortalezas para la definición de la matriz DOFA. El grupo interventor realiza una corta explicación de la importancia que tiene la definición de las oportunidades, amenazas, debilidades y fortalezas dentro del análisis para la implementación de un SGSI. Luego de una discusión y de escuchar atentamente las opiniones de todos los participantes, se pudo obtener el siguiente resultado: Oportunidades: Certificación ISO 27001 Momento estratégico de Seguridad Aumentar la confianza de la organización Definición de políticas de Seguridad de Información, estableciendo controles y normas para el manejo de seguridad. Definir procedimientos y políticas para el ciclo de vida de la información. Amenazas: Disponer de personal no calificado. Dificultad a la hora de poner en práctica esos conocimientos. Falta de Recursos Económicos. Falta de compromiso en la implementación del SGSI. Oposición interna al aplicar los controles o mecanismos de seguridad apropiados. Debilidades: Desconocimiento de la metodología Poca implicación por parte de la dirección Resultados medio/largo plazo El desarrollo del SGSI sea muy detallado Sistema muy detallado, retrase los procesos Falta de políticas de seguridad bien definidas Fortalezas: Optimización de la seguridad//entorno informático Reducción de costes Reduce el tiempo de interrupción del servicio y mejora el grado de satisfacción de los clientes Reducción de riesgos, pérdidas, derroches Reducción de riesgos que afecten la seguridad, disponibilidad y confidencialidad de la información. 4. Identificación de los activos importantes para una organización bancaria. El grupo interventor realiza una corta explicación de qué son los activos de información y el papel que juegan dentro del análisis para la implementación de SGSI. Una vez se ha realizado esta explicación, los participantes expresan sus opiniones y se obtienen los siguientes resultados: Base de Datos Archivos de Datos Manuales de Usuario Documentación del Sistema Contratos Formatos Hojas de Vida Libranzas
97
Documentos Internos Entregables (CD/DVD) Material Físico (Impreso) Información en Carpetas compartidas en Red Información Disco Portables Información Memorias USB 5. Socialización de riesgos, de acuerdo a las labores realizadas día a día. El grupo interventor realiza una corta explicación de cuáles son los riesgos de información y el papel que juegan dentro del análisis para la implementación de SGSI. Una vez se ha realizado esta explicación, los participantes expresan sus opiniones y se obtienen los siguientes resultados: Dentro de la organización se permite el uso de discos extraíbles, usb, CD entre otros por medio de los cuales se puede adquirir información confidencial. En los centros de cómputo no se tienen las condiciones adecuadas para el cuidado de los equipos de cómputo ni el control de acceso a estas zonas. No se restringe el acceso a algunas páginas web que no son necesarias para el desarrollo de las actividades diarias. No se exige la portación de un documento que identifique a los funcionarios de la entidad. No se tienen áreas seguras, puntos de encuentro, brigadas de emergencia o algún tipo de actividad para la evacuación del personal en caso de un suceso climático. No se tiene ningún tipo de elemento que permita el suministro de energía para continuar con las labores diarias si se tiene una interrupción de energía. Control de claves Archivos personales Descarga de archivos
CONCLUSIONES Y/O RESULTADOS De acuerdo a las respuestas dadas por los participantes, los autores de proyecto pueden realizar las siguientes actividades a partir de los resultados obtenidos dentro de este focus group. Definición de la matriz DOFA. Identificación, definición, priorización y evaluación de los activos. Definición de amenazas y vulnerabilidades. Análisis de riesgos. EVALUACIÓN DE LA REUNIÓN PUNTUALIDAD 100% MANEJO DE TIEMPO: 4h PARTICIPACIÓN 100% LOGRO OBJETIVOS REUNIÓN 100%
98
ASISTENCIA CUMPLIMIENTO DE COMPROMISOS
100% 100% ACTA DE ASISTENCIA A continuación se relaciona la asistencia de los participantes en el focus Group
99
9. REFERENCIAS
Carlos Alberto Guzmán Silva. (2015). Diseño De Un Sistema De Gestión De Seguridad De La Información Para Una Entidad Financiera De Segundo Piso. Bogotá
Carozo E., Freire G., Martínez G., “Análisis del Sistema de Gestión de Seguridad de la Información de ANTEL”, ANTEL.
Concepción Claudio, (2010, 16 de diciembre), 5 Aplicaciones Libres para Monitoreo de Redes y Servidores,
Cosysco.org, (2011,01 de febrero), ZABBIX solución de tipo empresarial para monitoreo/supervisión de Servidores, Servicios y Aplicaciones, consultado en
Docout, Soluciones de ingenieria deocumenta, La importancia de la información en las empresas, Actualizado el 26 de marzo de 2015, [en línea]
Ferrero Eduardo E. (2006, 10 de junio), análisis y gestión de riesgos del servicio imat del sistema de información de i.c.a.i. pp. 25 – 58, < http://www.iit.upcomillas.es/pfc/resumenes/44a527e27a231.pdf>
Herramientas de seguridad [en linea]. [Consultado en Enero de 2017]
Ingenia. Ingeniería e Integración Avanzadas. Implantación de un SGSI con e-PULPO. 03 de abril de 2016, de e-pulpo, [en línea] [Consultado en Enero de 2017]
100
ISO/IEC 27002:2005. [en [Consultado en Enero de 2017]
ISO 27000, La serie 27000, [en línea] [Consultado en Enero de 2017]
ISO 27000, El portal de ISO 27001 en Español, ¿Qué es un SGSI?, 2012. [en línea] [Consultado en Enero de 2017]
ITU-T. “La Seguridad de las Telecomunicaciones y las Tecnologías de la información” [en línea]. [Consultado en Enero de 2017]
MAGERIT: metodología práctica para gestionar riesgos [en línea] [Consultado en Enero de 2017]
MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. [En línea] [Consultado en Enero de 2017]
Ministerio de Administraciones Públicas – Gobierno de España. “MAGERIT – versión 2, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” http://www.csae.map.es/csi/pg5m20.html
Mira Emilio j, (2012, 25 de agosto), Implantación de un Sistema de Detección de Intrusos en la Universidad de Valencia
Modelo 3: Guía para la presentación de referencias bibliográficas, [En línea] [Consultado en Enero de 2017]
101
línea]
Normas INCONTEC, [en línea] [Consultado en Enero de 2017]
Proceso de Desarrollo OPEN UP/OAS, Magerit aplicada, [en línea] [Consultado en Enero de 2017]
Portal de soluciones técnicas y organizativas de referencia a los CONTROLES DE ISO/IEC 27002 [En línea]
PROYECTO DENORMA TÉCNICA COLOMBIANA NTC-ISO 27005, [en línea] [Consultado en Enero de 2017]
Robinson Ruiz Muñoz. (2015). Elaboración de un plan de implementación de la ISO/IEC 27001:2013 Para la empresa Pollos Pachito.
Sandstrom O., “Proceso de implantación de un SGSI, adoptando la ISO 27001”. Arsys Internet. [en línea] [Consultado en Enero de 2017]
SAP [en línea] [Consultado en Enero de 2017]
102
1
MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) APLICADA A ENTIDADES BANCARIAS
DIANA MARCELA SIERRA MENDOZA MIGUEL ANGEL CADENA SIERRA
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELEMÁTICA BOGOTÁ 2017 2
MODELO DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) APLICADA A ENTIDADES BANCARIAS
DIANA MARCELA SIERRA MENDOZA MIGUEL ANGEL CADENA SIERRA
Proyecto presentado como requisito para optar al título de Ingeniería en Telemática
TUTOR: JOSE VICENTE REYES Ingeniero en Sistemas
UNIVERSIDAD DISTRITAL FRANCISCO JOSE DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELEMÁTICA BOGOTÁ 2017
3
Nota de aceptación
Tutor
Jurado
Bogotá D.C. ___Febrero de 2017
4
TABLA DE CONTENIDO AGRADECIMIENTOS ..................................................................................... 12 RESUMEN ...................................................................................................... 13 ABSTRACT ..................................................................................................... 14 INTRODUCCIÓN ............................................................................................ 15 1.
FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN ................... 18 1.1. TITULO .............................................................................................. 18 1.2. PLANTEAMIENTO DEL PROBLEMA ................................................ 18 1.3. OBJETIVOS....................................................................................... 19 1.3.1. Objetivo General ......................................................................... 19 1.3.2. Objetivo Específicos .................................................................... 19 1.4. SOLUCIÓN TECNOLÓGICA ............................................................. 19 1.5. MARCO DE REFERENCIA ............................................................... 20 1.5.1. Marco teórico .............................................................................. 20 1.5.2. Antecedentes .............................................................................. 21 Norma ISO/IEC 27005 ............................................................................. 22 1.5.3. Marco Metodológico .................................................................... 29 1.6. CRONOGRAMA ................................................................................ 30 1.7. FACTIBILIDAD ECONÓMICA ........................................................... 31 1.7.1. Factibilidad Económica: Factor Humano ..................................... 31 1.7.2. Factibilidad Económica: Factor Técnico ...................................... 31 1.7.3. Total Factibilidad Económica ...................................................... 31
2.
Situación De La Red Actual ..................................................................... 33 2.1. CASO ESTUDIO ................................................................................ 33 2.2. INFORMACIÓN TÉCNICA................................................................. 34 2.2.1. Plataforma Tecnológica ............................................................... 34 2.2.2. Caracterización de la infraestructura ........................................... 35 2.2.3. Caracterización Infraestructura Actual ........................................ 35
3.
Etapa De Planificación ............................................................................. 37
5
3.1. MATRIZ DOFA .................................................................................. 37 3.1.1. Matriz Dofa .................................................................................. 37 3.2. DECLARACIÓN DE APLICABILIDAD ............................................... 38 3.3. ALCANCE DEL SGSI DENTRO DEL CASO ESTUDIO .................... 39 4.
Análisis De Riesgos ................................................................................. 41 4.1. METODOLOGÍA A USAR .................................................................. 42 4.1.1. Análisis de focus group para el análisis de riesgos. .................... 42 4.1.2. Tipos De Activos ......................................................................... 43 4.1.3. Codificación O Etiquetación De Los Activos ............................... 43 4.1.4. Caracterización de Activos .......................................................... 43 4.1.5. Criterios De Valoración De Activos ............................................ 47 4.1.6. Criterios de Valoración de Activos II............................................ 48 4.1.7. Caracterización de amenazas ..................................................... 49 4.1.8. Relación entre Impacto, Probabilidad y Riesgo ........................... 50 4.1.9. Matriz de Riesgo ......................................................................... 50
5.
4.1.10.
Tipos De Impacto Y Riesgo (Amenazas) ................................. 51
4.1.11.
Modelo Descripción Amenaza ................................................. 51
4.1.12.
Criterios De Valoración Del Riesgo .......................................... 51
4.1.13.
Criterios De Valoración De Impacto ......................................... 51
4.1.14.
Criterios de Valoración de Impacto .......................................... 51
4.1.15.
Criterios de Valoración del Riesgo ........................................... 52
4.1.16.
Criterios De Valoración De Probabilidad Del Riesgo ............... 52
4.1.17.
Criterios de Valoración Probabilidad de Riesgo ....................... 52
4.1.18.
Criterios De Valoración De Vulnerabilidades ........................... 52
4.1.19.
Criterios De Calificación Del Control ........................................ 52
4.1.20.
Criterios de Calificación del Control ......................................... 53
Políticas Y Controles De Seguridad ......................................................... 54 5.1. CONTROLES O SALVAGUARDAS................................................... 55 5.1.1. Selección de las salvaguardas .................................................... 55 5.1.2. ........................................................................................................ 56 5.1.3. Caracterización De Las Salvaguardas ........................................ 56 6
5.2. POLÍTICAS DE SEGURIDAD ............................................................ 58 6.
CONCLUSIONES .................................................................................... 60
7.
RECOMENDACIONES ............................................................................ 61
8.
Anexos ..................................................................................................... 63 8.1. Valoración De Activos ........................................................................ 63 8.2. Identificación De Amenazas Por Tipo De Activo ................................ 67 8.2.1. Amenaza – AMZ001 (Acceso no Autorizado al Sistema) ............ 71 8.2.2. Amenaza – AMZ002 (Accidente Importante) .............................. 71 8.2.3. Amenaza – AMZ003 (Ataques contra el Sistema) ...................... 71 8.2.4. Amenaza – AMZ004 (Código mal Intencionado) ......................... 72 8.2.5. Amenaza – AMZ005 (Copia Fraudulenta del Software) .............. 72 8.2.6. Amenaza – AMZ006 (Corrupción de los Datos) .......................... 72 8.2.7. Amenaza – AMZ007 (Daño por Agua) ........................................ 73 8.2.8. Amenaza – AMZ008 (Daño por Fuego) ...................................... 73 8.2.9. Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) . 73 8.2.10.
Amenaza – AMZ0010 (Error en el Uso) ................................... 73
8.2.11.
Amenaza – AMZ011 (Error en el Sistema) .............................. 74
8.2.12.
Amenaza – AMZ0012 (Falla del Equipo) ................................. 74
8.2.13.
Amenaza – AMZ013 (Hurto de Información)............................ 74
8.2.14.
Amenaza – AMZ014 (Hurto de Equipo) ................................... 75
8.2.15.
Amenaza – AMZ015 (Impulsos Electromagnéticos) ................ 75
8.2.16. Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del Personal) 75 8.2.17. Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del Sistema de Información) .......................................................................... 76 8.2.18.
Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos)... 76
8.2.19.
Amenaza – AMZ019 (Accesos Forzados al Sistema) .............. 76
8.2.20.
Amenaza – AMZ020 (Mal Funcionamiento del Equipo) ........... 77
8.2.21.
Amenaza – AMZ021 (Mal Funcionamiento del Software) ........ 77
8.2.22.
Amenaza – AMZ022 (Manipulación con Hardware) ................. 77
8.2.23.
Amenaza – AMZ023 (Manipulación con Software) .................. 77
8.2.24.
Amenaza – AMZ024 (Manipulación del Sistema) .................... 78 7
8.2.25.
Amenaza – AMZ025 (Perdida de Suministro de Energía) ....... 78
8.2.26.
Amenaza – AMZ026 (Perdida de Suministro de Energía) ....... 78
8.2.27.
Amenaza – AMZ027 (Perdida de Suministro de Energía) ....... 79
8.2.28. Amenaza – AMZ028 (Recuperación de Medios Reciclados o Desechados)............................................................................................ 79 8.2.29.
Amenaza – AMZ029 (Saturación del Sistema de Información) 79
8.2.30.
Amenaza – AMZ030 (Suplantación de Identidad).................... 79
8.2.31.
Amenaza – AMZ031 (Uso de Software Falso o Copiado) ....... 80
8.2.32.
Amenaza – AMZ032 (Uso no Autorizado del Equipo) .............. 80
8.2.33.
Amenaza – AMZ033 (Contaminación Electromagnética) ........ 80
8.2.34.
Amenaza – AMZ034 (Errores del Administrador) .................... 81
8.2.35.
Amenaza – AMZ035 (Errores de Usuario) ............................... 81
8.2.36.
Amenaza – AMZ035 (Errores de Usuario) ............................... 81
8.2.37.
Amenaza – AMZ035 (Errores de Monitorización (Log)) ........... 82
8.2.38.
Amenaza – AMZ035 (Errores de Configuración) ..................... 82
8.2.39.
Amenaza – AMZ035 (Divulgación de Información) .................. 82
8.3. Identificación De Vulnerabilidades Por Activo .................................... 84 8.4. Identificación De Vulnerabilidades ..................................................... 93 8.5. Focus gruop ....................................................................................... 96 9.
Referencias............................................................................................ 100
Lista de Tablas Tabla 1: Factibilidad Económica: Factor Humano ........................................ 31 8
Tabla 2: Factibilidad Económica: Factor Técnico............................................ 31 Tabla 3: Total Factibilidad Económica ............................................................ 31 Tabla 4: Caracterización Infraestructura Actual ............................................ 35 Tabla 5: Matriz DOFA ..................................................................................... 37 Tabla 6: Etiquetación Tipo de Activo ............................................................... 43 Tabla 7: Dimensiones de Valoración .............................................................. 48 Tabla 8: Criterios de Valoración de Activos .................................................... 48 Tabla 9: Criterios de Valoración de Activos II ................................................. 48 Tabla 10: Modelo Descripción Amenaza ........................................................ 51 Tabla 11: Criterios de Valoración Probabilidad de Riesgo .............................. 52 Tabla 12: Criterios de Valoración de Impacto ................................................. 51 Tabla 13: Criterios de Valoración del Riesgo .................................................. 52 Tabla 14: Criterios de Calificación del Control ................................................ 53 Tabla 15: Etiquetado de Activos ..................................................................... 46 Tabla 16: Riesgos Ineherentes ....................................................................... 50 Tabla 17: Riesgos Residuales ........................................................................ 50 Tabla 18: Valoración de Activos...................................................................... 63 Tabla 19: Identificación de Amenazas por tipo de Activo ................................ 67 Tabla 20: Amenaza – AMZ001 (Acceso no Autorizado al Sistema)................ 71 Tabla 21: Amenaza – AMZ002 (Accidente Importante) .................................. 71 Tabla 22: Amenaza – AMZ003 (Ataques contra el Sistema) .......................... 71 Tabla 23: Amenaza – AMZ004 (Código mal Intencionado) ............................ 72 Tabla 24: Amenaza – AMZ005 (Copia Fraudulenta del Software) .................. 72 Tabla 25: Amenaza – AMZ006 (Corrupción de los Datos) .............................. 72 Tabla 26: Amenaza – AMZ007 (Daño por Agua) ............................................ 73 Tabla 27: Amenaza – AMZ008 (Daño por Fuego) .......................................... 73 Tabla 28: Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) ..... 73 Tabla 29: Amenaza – AMZ0010 (Error en el Uso) .......................................... 73 Tabla 30: Amenaza – AMZ011 (Error en el Sistema) ..................................... 74 Tabla 31: Amenaza – AMZ0012 (Falla del Equipo) ........................................ 74 Tabla 32: Amenaza – AMZ013 (Hurto de Información)................................... 74 Tabla 33: Amenaza – AMZ014 (Hurto de Equipo ........................................... 75 Tabla 34: Amenaza – AMZ015 (Impulsos Electromagnéticos) ....................... 75 Tabla 35: Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del Personal) ........................................................................................................ 75 Tabla 36: Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del Sistema de Información) ................................................................................. 76 Tabla 37: Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos) .......... 76 Tabla 38: Amenaza – AMZ019 (Accesos Forzados al Sistema) ..................... 76 Tabla 39: Amenaza – AMZ020 (Mal Funcionamiento del Equipo) .................. 77 Tabla 40: Amenaza – AMZ021 (Mal Funcionamiento del Software) ............... 77 9
Tabla 41: Amenaza – AMZ022 (Manipulación con Hardware) ........................ 77 Tabla 42: Amenaza – AMZ023 (Manipulación con Software) ......................... 77 Tabla 43: Amenaza – AMZ024 (Manipulación del Sistema) ........................... 78 Tabla 44: Amenaza – AMZ025 (Perdida de Suministro de Energía) .............. 78 Tabla 45: Amenaza – AMZ026 (Perdida de Suministro de Energía) .............. 78 Tabla 46: Amenaza – AMZ027 (Perdida de Suministro de Energía) .............. 79 Tabla 47: Amenaza – AMZ028 (Recuperación de Medios Reciclados o Desechados) ................................................................................................... 79 Tabla 48: Amenaza – AMZ029 (Saturación del Sistema de Información) ....... 79 Tabla 49: Amenaza – AMZ030 (Suplantación de Identidad) ........................... 79 Tabla 50: Amenaza – AMZ031 (Uso de Software Falso o Copiado)............... 80 Tabla 51: Amenaza – AMZ032 (Uso no Autorizado del Equipo) ..................... 80 Tabla 52: Amenaza – AMZ033 (Contaminación Electromagnética)................ 80 Tabla 53: Amenaza – AMZ034 (Errores del Administrador) ........................... 81 Tabla 54: Amenaza – AMZ035 (Errores de Usuario) ...................................... 81 Tabla 55: Amenaza – AMZ035 (Errores de Usuario) ...................................... 81 Tabla 56: Amenaza – AMZ035 (Errores de Monitorización (Log)) .................. 82 Tabla 57: Amenaza – AMZ035 (Errores de Configuración) ............................ 82 Tabla 58: Amenaza – AMZ035 (Divulgación de Información) ......................... 82 Tabla 59: Identificación de Vulnerabilidades por activo .................................. 84 Tabla 60: Identificación de Vulnerabilidades ................................................... 93
10
Lista de Figuras Figura 1: Cronograma .................................................................................... 30 Figura 2: Proceso de Gestión de Riesgos tomado del libro 1 de Magerit V.3 .................................................................... Error! Bookmark not defined.
11
AGRADECIMIENTOS Expresamos nuestro sincero agradecimiento a Dios, por brindarnos Salud y por permitirnos llegar hasta este momento tan importante. Agradecemos profundamente a nuestros padres, por su apoyo y amor incondicional, y porque fueron testigos de nuestra formación profesional. Agradecemos a la Universidad Francisco José de Caldas por habernos brindado la oportunidad de estudiar y ser personas con valores y una carrera profesional. Al Ing. José Vicente Reyes por su orientación, supervisión, apoyo y participación activa en el desarrollo del proyecto y a lo largo de nuestra carrera profesional. Finalmente, pero no con menos importancia agradecemos a nuestra familia, compañeros y amigos, puesto que nos brindaron su apoyo y sus consejos para seguir adelante con nuestra formación profesional y personal. “Son muchas las personas que han formado parte de nuestras vida profesional a las que nos encantaría agradecerles por su amistad, consejos, apoyo, ánimo y compañía en los momentos más difíciles de nuestras vidas, en nuestros éxitos y fracasos y en esos momentos de alegrías. Algunas están aquí con nosotros y otras en nuestros recuerdos y en nuestros corazones, sin importar en donde estén queremos darles las gracias por formar parte de esta nueva etapa, por todo lo que nos has brindado y por todas sus bendiciones.”
12
RESUMEN
En la actualidad, muchas empresas que están o desean incursionar en el ámbito financiero tienen problemas para resguardar la seguridad de la información, en consecuencia se genera vulnerabilidades y amenazas de los activos de la organización. La globalización y liberación del sector financiero, junto con la creciente sofisticación de la tecnología financiera, y el acceso deliberado a la información, está haciendo cada vez más diversas y complejas las actividades de las entidades financieras en términos de seguridad. El propósito de este trabajo se centró en el diseño del sistema de seguridad de Gestión de la información (SGSI), basado en la norma ISO27001. El presente trabajo describe como se debe generar un plan de seguridad para una entidad financiera, se comienza con definir su estructura organizacional, se evalúa cada uno de sus activos, después se pasa a definir las amenazas y riesgos que se pueden generar, para finalmente concluir con unas políticas anteriormente definidas para poder mitigar los riesgos que se puedan presentar dentro de una entidad financiera.
13
ABSTRACT At present, many companies that are or wish to enter the financial sphere have problems to safeguard the security of the information, in consequence it generates vulnerabilities and threats of the assets of the organization. The globalization and liberation of the financial sector, together with the growing sophistication of financial technology, and deliberate access to information, are making the activities of financial institutions increasingly diverse and complex in terms of security. The purpose of this work was to design the information management system (ISMS), based on the ISO27001 standard. This paper describes how to create a security plan for a financial institution, start with defining its organizational structure, evaluate each of its assets, then go on to define the threats and risks that can be generated, to finally conclude With previously defined policies in order to mitigate risks that may arise within a financial institution.
14
INTRODUCCIÓN Hoy en día la información está definida como uno de los activos más valiosos de cualquier organización debido a su valor, dicha información toma importancia solo cuando se utiliza de una forma adecuada y además se encuentra disponible en cualquier momento, para esto se debe utilizar de una manera íntegra, oportuna, responsable y segura, lo cual implica que las organizaciones sin importar el área o su actividad económica, deben tener una adecuada gestión de sus recursos y activos de información con el objetivo de asegurar y controlar el debido acceso, tratamiento y uso de la información. Para la protección de la información, se deben generar gran cantidad de medidas que me permitan mitigar el mínimo riesgo posible y así no generar ninguna alteración dentro de la organización, Al no tener las medidas adecuadas, las compañías se arriesgan a asumir la perdida de la información y poner en riesgo el futuro de la empresa, es importante que los ordenadores donde está almacenada gran parte de la información confidencial de una empresa o de cualquier otro particular, estén protegidos de cualquier amenaza externa y del entorno más próximo para prevenir o evitar robos, accesos no deseados o pérdidas importantes. Las vulnerabilidades en los sistemas de información pueden representar problemas graves, por ello es muy importante comprender los conceptos necesarios para combatir los posibles ataques a la información, teniendo en cuenta que en la actualidad la información es un activo de gran valor para las empresas. Por esto y otros motivos, es necesario contar con un plan de seguridad que permita prevenir y tratar cualquier tipo de amenaza que pueda poner en riesgo la continuidad de un negocio. Los riesgos dentro de un negocio a los cuales se enfrenta las organizaciones son permanentes y difíciles de anticipar, es por esta razón que la información se convierte una herramienta estratégica de las organizaciones en la protección de su activo de mayor valor. Para las entidades financieras, el conocimiento es uno de los activos de mayor incidencia en todos sus procesos innovadores, por lo tanto, proteger su información ante cualquier riesgo y garantizar su competencia en el mercado hace que un sistema de gestión de seguridad de la información sea de gran importancia 15
Para la protección y seguridad de la información se deben tomar todas aquellas medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que me permitan resguardar y proteger la información, buscando de esta manera mantener la confidencialidad, la disponibilidad e integridad de la misma. Las entidades del sector financiero, están en la obligación de garantizar la debida seguridad, protección y privacidad de la información financiera y personal de los usuarios que residen en sus bases de datos, lo que implica, que deben contar con los más altos estándares y niveles de seguridad con el propósito de asegurar la debida recolección, almacenamiento, tratamiento y uso de esta información. La seguridad en los datos es una latente del día a día en las organizaciones financieras debido a los diferentes cambios que se realizan por parte de leyes y las regulaciones, como se cita en el siguiente párrafo del centro criptológico nacional “La importancia de la gestión de riesgos operativos y de seguridad se ha incrementado debido a diversos factores, entre los que se destacan el aumento de los requisitos por parte de leyes y regulaciones, el crecimiento de los riesgos en seguridad por parte de los empleados y el número cada vez mayor de brechas en la seguridad de los datos.1” Esto conlleva a que las empresas estén activos para que no se genere ningún riesgo de información dentro de la compañía. Otra de las preocupaciones permanentes de las entidades financieras, es la de poder garantizar la seguridad de las operaciones que realizan sus clientes, lo cual, cada día es más complejo de conseguir debido a la evolución de las tecnologías y la apertura de nuevos canales de transacciones que generan retos significativos con el propósito de prevenir los fraudes en general. El presente trabajo de grado modela un Sistema de Gestión de Seguridad de la Información para una entidades financiera, teniendo en cuenta para esto el marco de referencia de la norma ISO/IEC27001.Proporciona un marco metodológico basado en buenas prácticas para llevar a cabo el modelo de Gestión de Seguridad de la Información en cualquier tipo de organización
1
https://www.ccn-cert.cni.es/seguridad-al-dia/noticias-seguridad/70-preocupaciones-en-seguridad-delsector-bancario.html
16
CAPITULO 1 FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN
17
1. FASE DE DEFINICIÓN, PLANEACIÓN Y ORGANIZACIÓN 1.1.
TITULO
Diseño del Modelo de un SGSI (Sistema de gestión de la seguridad de la información) aplicada a Entidades Bancarias. 1.2.
PLANTEAMIENTO DEL PROBLEMA
Para evitar situaciones como la falta de un adecuado modelo de Seguridad de la Información, la no existencia de un sistema de información que apoye la gestión de riesgos de seguridad y la poca concientización, apropiación y conocimiento en temas de seguridad por parte del personal de la entidad; se debe implementar y fortalecer la Seguridad de la Información en una entidad. En la actualidad la mayoría de entidades bancarias como Compensar en su línea de servicios financieros no cuentan con un modelo adecuado de SGSI (Sistema de Gestión de Seguridad de la información) que permita gestionar los riesgos de seguridad, por este motivo no se puede llevar un control para establecer y visualizar el estado global y transversal de la organización. Adicionalmente las entidades financieras no cuentan con métodos eficaces que permitan controlar y monitorear la información por lo que no se pueden prevenir los riesgos ni las amenazas, ni establecer las vulnerabilidades que pueden afectar la prestación del servicio y la ejecución de las actividades diarias. Debido a que existen varios riesgos (los cuales se describirán en el desarrollo del proyecto) que amenazan la privacidad de la información, se deben establecer controles para mitigar y/o evitar estos riesgos, en vista de que estas entidades no cumplen y no han establecido los controles pertinentes, se puede ver afectada la integridad, confiabilidad y disponibilidad de la información. Además, esta información puede caer en manos inescrupulosas que puedan utilizar estos datos para realizar fraudes, sabotaje, suplantación, entre otros; los cuales pueden afectar la integridad de las personas y de la organización. En las entidades bancarias la dirección de tecnología realiza algunas funciones propias de seguridad de la información, pero no realizan las mejores prácticas definidas en modelos y estándares de seguridad. Por lo tanto, es indispensable segregar las funciones de seguridad de la información y seguridad informática con el propósito de evitar que coexistan funciones que requieren diferentes niveles de seguridad.
18
1.3.
OBJETIVOS 1.3.1. Objetivo General
Diseñar un modelo de SGSI para entidades bancarias a través de una metodología y basados en la norma ISO/IEC27001 estableciendo los mecanismos necesarios y los controles requeridos para mitigar riesgos. 1.3.2. Objetivo Específicos
Analizar la situación actual de seguridad de la información en entidades bancarias para el caso estudio definido.
Analizar e identificar los riesgos utilizando los fundamentos de la metodología Magerit.
Establecer los controles a aplicar con el fin de evitar que los elementos vulnerables identificados durante el análisis realizado, pongan en riesgo la seguridad de la información o de los activos.
1.4.
las
SOLUCIÓN TECNOLÓGICA
Como solución tecnológica para el proyecto en mención, se desarrollarán una serie de pasos o eventos que permitirá obtener y/o establecer los elementos necesarios para el diseño del modelo del SGSI. Como paso inicial se debe realizar la gestión de los activos la cual incluye la identificación de los mismos, como por ejemplo la información que se maneja dentro de algunas entidades bancarias, hardware y software, redes de comunicaciones, equipamiento auxiliar, el personal, entre otros; y la clasificación de los activos de acuerdo a los criterios de valoración tomados de la metodología Magerit; a continuación se identificaran las vulnerabilidades y amenazas y se generarán los riesgos asociados, para a partir de lo planteado establecer controles teniendo en cuenta la norma ISO 270001 la cual permite establecer políticas, procedimientos y controles con objeto de disminuir los riesgos de la organización y políticas de seguridad la cual será elaborada por medio del ciclo Deming.
19
1.5.
MARCO DE REFERENCIA 1.5.1. Marco teórico
La seguridad de la información se debe tener como prioridad en todas las entidades y se le debe prestar la atención suficiente, ya que de ello depende la integridad, disponibilidad y la confidencialidad de la información. Para la realización del proyecto se tomará como referencia proyectos destacados de la Escuela Superior Politécnica del Litoral ESPOL de Ecuador, que abordan temas similares al que se contemplara en este documento. A continuación, se presenta una breve reseña de los SGSI de apoyo: Como proyecto de apoyo se tendrá en cuenta el proyecto: “el modelo de un Sistema de Gestión de Seguridad de la Información usando la norma ISO 27000 para las organizaciones bancarias aplicando los dominios de control ISO 27002:2055 y utilizando la metodología Magerit”, este documento contiene la información técnica de la revisión de las seguridades en temas transaccionales con el fin de encontrar las vulnerabilidades y amenazas para poder minimizarlas, aplicando los controles de la norma 27000 en los diferentes dominios. Las organizaciones están expuestas cada vez más a una infinidad de amenazas que pueden llegar a poner riesgo el correcto funcionamiento de las mismas, debido a este fenómeno que se viene presentando cada día con mayor fuerza es necesario que cada una realice una autoevaluación con el fin de determinar vulnerabilidades y definir estrategias y controles que permitan garantizar la protección de la información. Actualmente la información es uno de los activos más importantes y de mayor valor para cualquier tipo de organización, pero si nos fijamos específicamente en las entidades bancarias, podremos notar que este tipos de entidades maneja mucha información que debe ser administrada de forma muy cautelosa debido a que se trata de información confidencial de sus clientes quienes realizan miles de transacciones por los diferentes medios que disponen, por este motivo es importante que las entidades bancarias adopten un buen sistema de gestión de seguridad que le permita garantizar la protección de la información como también el poder reaccionar de manera efectiva y rápida ante cualquier hecho que se presente y que pueda llegar a poner en riesgo la información de sus clientes y su buen nombre. Finalmente cabe resaltar que las entidades bancarias están en constante riesgo debido que están a la mira de infinidad de ataques y personas inescrupulosas a causa de la función que realizan, estos ataques son cada vez 20
más frecuentes y sofisticados, recordemos que un ataque no solamente puede llegar a ser por transmitido por software sino que también puede involucrar el hardware de la organización, motivo por el cual las entidades deben además de asegurar la información, realizar capacitaciones y sensibilizaciones que comprometan al personal de las mismas con el cumplimiento de las políticas que se determinen, como también mantener una comunicación constante con el cliente de tal manera que este también haga parte de este proceso tan importante para ambos.
1.5.2. Antecedentes
SGSI2: SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Fundamentos: Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D: Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. 2
SGSI. http://www.iso27000.es/sgsi.html. 2015
21
Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
ISO/IEC 270013: ISO/IEC 27001 es un reconocido marco internacional de las mejores prácticas para un sistema de gestión de seguridad de la información. Le ayuda a identificar los riesgos para su información importante y pone en su lugar los controles apropiados para ayudarle a reducir el riesgo.
ISO/IEC 27001:20054 Este estándar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una decisión estratégica para una organización. El diseño e implementación del SGSI de una organización es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización. En función del tamaño y necesidades se implementa un SGSI con medidas de seguridad más o menos estrictas, que en cualquier caso pueden variar a lo largo del tiempo. Norma ISO/IEC 27005 Gestión de riesgos de la Seguridad de la Información ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización. No recomienda una metodología concreta, dependerá de 3
http://www.bsigroup.com/es-MX/seguridad-dela-informacion-ISOIEC-27001/. 2015 INTERNATIONAL ORGANIZATION FOR STANDARIZATION ISO/IEC 27000. www.iso27000.es 2015 4
22
una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. ISO 27005 sustituyó a la Gestión de la Información y Comunicaciones Tecnología de Seguridad, la norma ISO / IEC TR 13335-3:1998 y la norma ISO / IEC TR 13335-4:2000. Las secciones de contenido son:
Prefacio. Introducción. Referencias normativas. Términos y definiciones. Estructura. Fondo. Descripción del proceso de ISRM. Establecimiento Contexto. Información sobre la evaluación de riesgos de seguridad (ISRA). Tratamiento de Riesgos Seguridad de la Información. Admisión de Riesgos Seguridad de la información. Comunicación de riesgos de seguridad de información. Información de seguridad Seguimiento de Riesgos y Revisión. Anexo A: Definición del alcance del proceso. Anexo B: Valoración de activos y evaluación de impacto. Anexo C: Ejemplos de amenazas típicas. Anexo D: Las vulnerabilidades y métodos de evaluación de la vulnerabilidad. Enfoques ISRA.
Adicionalmente la evaluación de riesgos requiere los siguientes puntos:
Un estudio de vulnerabilidades, amenazas, probabilidad, pérdidas o impacto, y la supuesta eficiencia de las medidas de seguridad. Los directivos de la organización utilizan los resultados de la evaluación del riesgo para desarrollar los requisitos de seguridad y sus especificaciones. El proceso de evaluación de amenazas y vulnerabilidades, conocidas y postuladas para estimar el efecto producido en caso de pérdidas y establecer el grado de aceptación y aplicabilidad en las operaciones del negocio. 23
Identificación de los activos y facilidades que pueden ser afectados por amenazas y vulnerabilidades. Análisis de los activos del sistema y las vulnerabilidades para establecer un estimado de pérdida esperada en caso de que ocurran ciertos eventos y las probabilidades estimadas de la ocurrencia de estos. El propósito de una evaluación del riesgo es determinar si las contramedidas son adecuadas para reducir la probabilidad de la pérdida o el impacto de la pérdida a un nivel aceptable.
Una herramienta de gestión que proporcione un enfoque sistemático que determine el valor relativo de:
La sensibilidad al instalar activos informáticos La evaluación de vulnerabilidades La evaluación de la expectativa de pérdidas La percepción de los niveles de exposición al riesgo La evaluación de las características de protección existentes Las alternativas adicionales de protección La aceptación de riesgos La documentación de las decisiones de gestión.
Decisiones para el desarrollo de las funciones de protección adicionales se basan normalmente en la existencia de una relación razonable entre costo/beneficio de las salvaguardia y la sensibilidad / valor de los bienes que deben protegerse. Las evaluaciones de riesgos pueden variar de una revisión informal de una instalación a escala microprocesador pequeño para un análisis más formal y plenamente documentado (por ejemplo, análisis de riesgo) de una instalación a escala de ordenadores. Metodologías de evaluación de riesgos pueden variar desde los enfoques cualitativos o cuantitativos a cualquier combinación de estos dos enfoques.
ISO/IEC 27002:2005 Describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, mencionados en el anexo A de la ISO 27001, 39 objetivos de control y 133 controles. Los dominios a tratar son los siguientes: Políticas de Seguridad: Busca establecer reglas para proporcionar la dirección gerencial y el soporte para la seguridad de la información. Es la base del SGSI. 24
Organización de la seguridad de la información: Busca administrar la seguridad dentro de la compañía, así como mantener la seguridad de la infraestructura de procesamiento de la información y de los activos que son accedidos por terceros. Gestión de activos: Busca proteger los activos de información, controlando el acceso solo a las personas que tienen permiso de acceder a los mismos. Trata que cuenten con un nivel adecuado de seguridad. Seguridad de los recursos humanos: Orientado a reducir el error humano, ya que en temas de seguridad, el usuario es considerado como el eslabón más vulnerable y por el cual se dan los principales casos relacionados con seguridad de la información. Busca capacitar al personal para que puedan seguir la política de seguridad definida, y reducir al mínimo el daño por incidentes y mal funcionamiento de la seguridad. Seguridad física y ambiental: Trata principalmente de prevenir el acceso no autorizado a las instalaciones para prevenir daños o pérdidas de activos o hurto de información. Gestión de comunicaciones y operaciones: Esta sección busca asegurar la operación correcta de los equipos, así como la seguridad cuando la información se transfiere a través de las redes, previniendo la pérdida, modificación o el uso erróneo de la información. Control de accesos: El objetivo de esta sección es básicamente controlar el acceso a la información, así como el acceso no autorizado a los sistemas de información y computadoras. De igual forma, detecta actividades no autorizadas. Sistemas de información, adquisición, desarrollo y mantenimiento: Básicamente busca garantizar la seguridad de los sistemas operativos, garantizar que los proyectos de TI y el soporte se den de manera segura y mantener la seguridad de las aplicaciones y la información que se maneja en ellas. Gestión de incidentes de seguridad de la información: Tiene que ver con todo lo relativo a incidentes de seguridad. Busca que se disponga de una metodología de administración de incidentes, que es básicamente definir de forma clara pasos, acciones, responsabilidades, funciones y medidas correctas. Gestión de continuidad del negocio: Lo que considera este control es que la seguridad de la información se encuentre incluida en la administración de la 25
continuidad de negocio. Busca a su vez, contrarrestar interrupciones de las actividades y proteger los procesos críticos como consecuencias de fallas o desastres. Cumplimiento: Busca que las empresa cumpla estrictamente con las bases legales del país, evitando cualquier incumplimiento de alguna ley civil o penal, alguna obligación reguladora o requerimiento de seguridad. A su vez, asegura la conformidad de los sistemas con políticas de seguridad y estándares de la organización. COBIT5: Es un framework (también llamado marco de trabajo) de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de TI que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio. Describe como los procesos de TI entregan la información que el negocio necesita para lograr sus objetivos. Para controlar la entrega, COBIT provee tres componentes claves, cada uno formando una dimensión del cubo COBIT. Como un framework de gobierno y control de TI, COBIT se enfoca en dos áreas claves: Proveer la información requerida para soportar los objetivos y requerimientos del negocio. Tratamiento de información como resultado de la aplicación combinada de recursos de TI que necesita ser administrada por los procesos de TI. Tiene 34 procesos de alto nivel clasificados en cuatro dominios: Planear y Organizar, Adquirir e Implementar, Entregar y Dar Soporte, y, Monitorear y Evaluar. COBIT a su vez, tiene 7 criterios de información, agrupados en 3 requerimientos (calidad, fiduciarios y seguridad) con los que clasifica a cada uno de los 34 procesos de TI, según el enfoque que tenga el proceso. Estos criterios son: Efectividad: Se refiere a la información cuando es entregada de manera correcta, oportuna, consistente y usable. Eficiencia: Se refiere a la provisión de información a través de la utilización óptima de los recursos.
5
IT GOVERNANCE INSTITUTE. Cobit4.1.pdf. [en línea] http:// http://www.isaca.org/cobit/pages/default.aspx
26
Confidencialidad: Se refiere a la protección de la información sensible de su revelación no autorizada. Tiene que ver que con la información enviada a una persona debe ser vista solo por esa persona y no por terceros. Integridad: Se refiere a que la información no haya sufrido cambios no autorizados. Disponibilidad: Se refiere a que la información debe estar disponible para aquellas personas que deban acceder a ella, cuando sea requerida. Cumplimiento: Se refiere a cumplir con las leyes, regulaciones y acuerdos contractuales a los que la compañía se encuentra ligada. Confiabilidad: Se refiere a la provisión de la información apropiada a la alta gerencia que apoyen a la toma de decisiones. CICLO DEMING6 El nombre del Ciclo PDCA (o Ciclo PHVA) viene de las siglas Planificar, Hacer, Verificar y Actuar, en inglés “Plan, Do, Check, Act”. También es conocido como Ciclo de mejora continua o Círculo de Deming, por ser Edwards Deming su autor. Esta metodología describe los cuatro pasos esenciales que se deben llevar a cabo de forma sistemática para lograr la mejora continua, entendiendo como tal al mejoramiento continuado de la calidad (disminución de fallos, aumento de la eficacia y eficiencia, solución de problemas, previsión y eliminación de riesgos potenciales…). El círculo de Deming lo componen 4 etapas cíclicas, de forma que una vez acabada la etapa final se debe volver a la primera y repetir el ciclo de nuevo, de forma que las actividades son reevaluadas periódicamente para incorporar nuevas mejoras. La aplicación de esta metodología está enfocada principalmente para para ser usada en empresas y organizaciones. Las cuatro etapas que componen el ciclo son las siguientes:
1. Planificar (Plan): Se buscan las actividades susceptibles de mejora y se establecen los objetivos a alcanzar. Para buscar posibles mejoras se pueden realizar grupos de trabajo, escuchar las opiniones de los trabajadores, buscar nuevas tecnologías mejores a las que se están usando ahora, etc. (ver Herramientas de Planificación).
6
Ciclo Deming. http://www.pdcahome.com/5202/ciclo-pdca/. 2015
27
2. Hacer (Do): Se realizan los cambios para implantar la mejora propuesta. Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala. 3. Controlar o Verificar (Check): Una vez implantada la mejora, se deja un periodo de prueba para verificar su correcto funcionamiento. Si la mejora no cumple las expectativas iniciales habrá que modificarla para ajustarla a los objetivos esperados. (Ver Herramientas de Control). 4. Actuar (Act): Por último, una vez finalizado el periodo de prueba se deben estudiar los resultados y compararlos con el funcionamiento de las actividades antes de haber sido implantada la mejora. Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para estudiar nuevas mejoras a implantar. MAGERIT7 MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión. Puntualmente MAGERIT se basa en analizar el impacto que puede tener para la empresa la violación de la seguridad, buscando identificar las amenazas que pueden llegar a afectar la compañía y las vulnerabilidades que pueden ser utilizadas por estas amenazas, logrando así tener una identificación clara de las medidas preventivas y correctivas más apropiadas. Lo interesante de esta metodología, es que presenta una guía completa y paso a paso de cómo llevar a cabo el análisis de riesgos. Esta metodología está dividida en tres libros. El primero de ellos hace referencia al Método, donde se describe la estructura que debe tener el modelo de gestión de riesgos. Este libro está de acuerdo a lo que propone ISO para la gestión de riesgos. Esta metodología es muy útil para aquellas empresas que inicien con la gestión de la seguridad de la información, pues permite enfocar los esfuerzos en los riesgos que pueden resultar más críticos para una empresa, es decir aquellos relacionados con los sistemas de información. Lo interesante es que al estar
7
Magerit http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-paragestionar-riesgos/
28
alineado con los estándares de ISO es que su modelo se convierte en el punto de partida para una certificación o para mejorar los sistemas de gestión.
1.5.3. Marco Metodológico En el desarrollo del proyecto se utilizara el ciclo Deming, ya que es una metodología que permite implantar un sistema de mejora continua, esto ayudara en el análisis de riesgo en el desarrollo del proyecto y además permitirá hacer una mejor arquitectura en la formación del Sistema de Gestión de Seguridad de la Información. En el presente proyecto se usará el ciclo Deming en una forma global de la siguiente manera: Planificar: En esta etapa se enmarca todo el proceso de análisis de la situación en que actualmente se encuentra la empresa respecto a los mecanismos de seguridad implementados y se establecen el alcance, los objetivos, los puntos de medición dispuestos para verificar y medir. Adicionalmente se identifican los sistemas informáticos de hardware y los sistemas de información que actualmente utiliza la empresa para el cumplimiento de su misión u objeto social y se evalúan los riesgos, se tratan y se seleccionan los controles a implementar. Hacer: En esta etapa se implementan todos los controles necesarios de acuerdo a una previa selección en la etapa de planeación, teniendo en cuenta el tipo de empresa. También se formula y se implementa un plan de riesgo. Verificar: Consiste en efectuar el control de todos los procedimientos implementados en el SGSI. En este sentido, se realizan exámenes periódicos para asegurar la eficacia del SGSI implementado, se revisan los niveles de riesgos aceptables y residuales y se realicen periódicamente auditorías internas para el SGSI. Actuar: Desarrollar mejoras a los hallazgos identificadas al SGSI y validarlas, realizar las acciones correctivas y preventivas, mantener comunicación con el personal de la organización relevante.
29
1.6.
CRONOGRAMA
Figura 1: Cronograma
Fuente: Los Autores
30
1.7.
FACTIBILIDAD ECONÓMICA
La factibilidad técnica es una evaluación que permite demostrar que el proyecto es factible económicamente, lo que significa que la inversión que se está realizando es justificada por la ganancia que se generará. . A continuación se describe la factibilidad económica, identificando los costos económicos de factores humanos, técnicos, entre otros, necesarios para la realización del proyecto de investigación que se propone. 1.7.1. Factibilidad Económica: Factor Humano Tabla 1: Factibilidad Económica: Factor Humano Tipo Tutor
Descripción
Valor-Hora
Asesorías para la realización del
Cantidad
Total
$ 38.000
200
$ 7.600.000
$ 28.000
8 horas
$ 7.168.000
proyecto, referente a la metodología. Analistas
Dos analistas que realicen el SGSI.
semanales Total Recursos Humanos
$ 14.768.000
Fuente: Los Autores
1.7.2. Factibilidad Económica: Factor Técnico Tabla 2: Factibilidad Económica: Factor Técnico Recurso Computadores
Descripción
Valor Unitario
Equipos de escritorio para la
$ 1.500.000
Cantidad 2
Total $ 3.000.000
realización del documento SGSI. Total Recursos Técnicos
$ 3.000.000
Fuente: Los Autores
1.7.3. Total Factibilidad Económica Tabla 3: Total Factibilidad Económica Recurso
Valor
Total Recursos Humanos
$14.168.000
Total Recursos Técnicos
$ 3.000.000
Total Otros recursos
$
Costos imprevistos (20%)
$ 3.000.000
TOTAL COSTO
100.000
$20.268.000
Fuente: Los Autores
31
CAPITULO 2 ANÁLISIS CASO ESTUDIO
32
2. SITUACIÓN DE LA RED ACTUAL 2.1.
CASO ESTUDIO
Actualmente, las empresas no cuentan con un plan de seguridad que garantice que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada y estructurada, la seguridad que se maneja allí es baja puesto que sus usuarios internos pueden acceder a información privada e incluso de otras áreas, de la misma manera ciertos usuarios externos tienen libre acceso a la información.
Las entidades financieras deben de estar sujetas a políticas de seguridad que le permitan mitigar los riesgos que se pueden generar tanto internamente como externamente, debido a que no solo manejan información de la organización si no también información personal de los clientes, que dicha información sin el debido cuidado y protección se puede manipular para diferentes actividades, lo cual puede generar un riesgo para la entidad y para la persona. La Seguridad de la Información en toda organización, es un enfoque principal dado en cumplimiento del marco regulatorio de la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 con el que se pretende tener protocolos, controles y modelos de protección y privacidad de la información a nivel organizacional, en relación a los datos personales e información.
La información es un recurso necesario e importante que se genera gracias al uso de los sistemas de información, a través de una gestión adecuada de cada uno de los procesos de la empresa. Se debe tener en cuenta que un sistema de información, no solo se refiere a una aplicación informático, si no que esta es la integración de personas, datos, redes. En síntesis un sistema de información comprende, pues, planificación, recursos humanos y materiales, objetivos concretos a corto, medio y largo plazo, así mismo se hace uso de la tecnología. Recordemos los tres objetivos básicos de los sistemas de información dentro de una organización: automatizar procesos, proporcionar información que sirva de apoyo para la toma de decisiones y lograr ventajas competitivas a través de su modelo y uso. La seguridad absoluta no existe en ningún ámbito de la actividad humana, es por ello que surgen las medidas de seguridad que buscan el equilibro entre coste, la eficacia y eficiencia para mitigar los diferentes riegos y daños que se pueden producir en materializarse. Estos sistemas de información están sujetos a riesgos y amenazas que pueden generarse desde dentro de la propia organización o desde el exterior. Existen riesgos físicos como incendios, inundaciones, terremotos o vandalismo que pueden afectar la disponibilidad de nuestra
33
información y recursos, haciendo inviable la continuidad de nuestro negocio si no estamos preparados para afrontarlos. Por otra parte, se encuentran los riesgos lógicos relacionados con la propia tecnología y, que como hemos dicho, aumentan día a día. Hackers, robos de identidad, spam, virus, robos de información y espionaje industrial, por nombrar algunos, pueden acabar con la confianza de nuestros clientes y nuestra imagen en el mercado.
Para poder afrontar una vulnerabilidad o amenaza en la organización se debe tener un análisis de riesgos informático como también una estrategia completa que incluye la definición de políticas, procesos y herramientas que en conjunto ayuden desde prevenir y detectar amenazas a la información hasta diferentes frentes de la organización. El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
2.2.
INFORMACIÓN TÉCNICA
A continuación se verá información técnica con lo que debe contar una empresa del sector financiero 2.2.1. Plataforma Tecnológica
Servidores de Base de Datos Sistemas Operativos: Windows 7, Windows 8, Ubuntu Java Server Faces 2.2
34
2.2.2. Caracterización de la infraestructura Las empresas del sector financiero deben contar con varios servidores ya que por temas de seguridad deben tener un respaldo en la información debido a que maneja mucha información, y el procesamiento de ella es de manera privada ya que la gran mayoría proviene de terceros. 2.2.3. Caracterización Infraestructura Actual Tabla 4: Caracterización Infraestructura Actual Servidores
Cantidad
Base de Datos
3
Aplicaciones
2
Almacenamiento
2
TOTAL
7
Fuente: Autores “la cantidad tomada se hace con referencia a una empresa con los mínimos requeridos para el desarrollo de la empresa”
35
CAPITULO 3 ETAPA DE PLANIFICACIÓN
36
3. ETAPA DE PLANIFICACIÓN 3.1.
MATRIZ DOFA
Al utilizar esta herramienta se va lograr evidenciar las Debilidades, Amenazas, Fortalezas y Oportunidades que comprende el análisis y diseño de un Sistema de Gestión de la Seguridad de la Información, aplicada al core del negocio del caso estudio nombrado, que es el desarrollo de software, para determinar las diferentes partes de la matriz DOFA y su justificación se optó por la opción de la realización un Focus Group, en el que se busca inicialmente determinar las diferentes vulnerabilidades y ventajas que puede llegar a presentar una entidad bancaria al momento de poner en uso el sistema de gestión que aquí se propone, los integrantes como sus roles dentro del focus group se encuentra en el anexo del documento. El objetivo general de este focus group es determinar las diferentes parámetros que se deben tener en cuenta al momento de diseñar la matriz DOFA de las entidades bancarias que desean adoptar un sistema de gestión de seguridad de la información basado en la metodología Magerit, A partir de los resultados obtenidos durante el desarrollo del Focus Group (Anexo Focus Group) se realizó la definición de la matriz DOFA. 3.1.1. Matriz Dofa Tabla 5: Matriz DOFA
DEBILIDADES Desconocimiento
de
FORTALEZAS la
Optimización
de
metodología
seguridad//entorno informático
Poca implicación por parte
Reducción de costes
de la dirección
Reduce
Resultados
medio/largo
el
interrupción
tiempo del
de
servicio
y
plazo
mejora el grado de satisfacción
El desarrollo del SGSI sea
de los clientes
muy detallado
Reducción
Sistema
muy
detallado,
retrase los procesos Falta
de
políticas
seguridad bien definidas
de
de
riesgos,
pérdidas, derroches Reducción
de
afecten
la
riesgos
y de
información. ESTRATEGIAS DO
37
que
seguridad,
disponibilidad confidencialidad
OPORTUNIDADES
la
ESTRATEGIAS FO
la
Certificación ISO 27001
Asesoramiento profesional
Aprovechar la mejora de la
para cumplir los requisitos
seguridad de la información
Seguridad
para la certificación ISO
para aumentar la confianza en
Aumentar la confianza de la
27001
la organización por medio de
organización
Fomentar la seguridad en
una campaña publicitaria
Definición de políticas de
los procedimientos de la
Fortalecer los procesos del
Seguridad de Información,
organización por medio de
negocio
estableciendo
dinámicas
calidad del producto ayudados
normas para el manejo de
Capacitar a los empleados
de una gestión fuerte de PQR
seguridad.
en cuanto a la metodología
Momento
Definir
estratégico
de
controles
y
procedimientos
y
para
aumentar
la
Magerit
políticas para el ciclo de vida de la información. AMENAZAS
ESTRATEGIAS DA
ESTRATEGIAS FA
Resaltar la importancia de
Realizar capacitaciones a todo
calificado.
la creación y puesta en
el personal para mejorar la
Dificultad a la hora de poner
marcha del SGSI.
en
Poner
Disponer
de
personal
práctica
no
esos
conocimientos. Falta
de
en
marcha
calidad del producto. una
campaña corporativa que Recursos
concientice al personal en
Económicos.
cuanto a la importancia de
Falta de compromiso en la
la
implementación del SGSI.
sistema.
implementación
del
Oposición interna al aplicar los controles o mecanismos de seguridad apropiados. Fuente: Autores
3.2.
DECLARACIÓN DE APLICABILIDAD
La presente declaración de aplicabilidad tomara lugar siempre y cuando la organización cuente con las áreas establecidas a continuación, para un buen desempeño en los controles y su desarrollo. Áreas a tener en cuenta:
Seguridad Tecnología
38
3.3.
Sistemas Desarrollo Infraestructura Pruebas Sector Financiero Directiva DBA Redes
ALCANCE DEL SGSI DENTRO DEL CASO ESTUDIO
Para el desarrollo de la norma según la actividad económica de las organizaciones en este en el sector financiero. Por ello, se ha determinado que el dominio a seguir es la norma ISO/IEC 27001:2013.
39
40
CAPITULO 4 ANÁLISIS DE RIESGO
41
4. ANÁLISIS DE RIESGOS 4.1.
METODOLOGÍA A USAR
La metodología a utilizar predetermina el enfoque del análisis y los criterios de gestión de riesgos en el SGSI es Magerit (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información) y la norma ISO/IEC 27005:2008. 4.1.1. Análisis de focus group para el análisis de riesgos. Para el análisis de riesgos y justificar las decisiones tomadas a continuación teniendo en cuenta la metodología magerit, se optó por la opción de crear un Focus Group en el cual consta de dos analistas quien son los encargados de hacer las preguntas, un moderador, su función es dirigir la discusión y que esta no se aleje del tema de estudio y por ultimo esta un grupo de colaboradores quien tienen conocimiento del tema y colaboran a la dinámica de la discusión para resolver las preguntas con mayor certeza. El nombre de los participantes y el rol que tomo cada uno en el Focus Group se encuentra en el anexo del documento (Anexo Focus Group). El focus group es una herramienta comúnmente utilizada en la investigación de mercados, pero también en el desarrollo de trabajos de investigación, que ayuda a determinar aspectos netamente cualitativos, por lo tanto permitirá determinar las actitudes y percepciones de los participantes del grupo hacia un producto o en este caso para el desarrollo de riesgos utilizando la metodología magerit orientada a las organizaciones del sector financiero. El objetivo general del focus group es realizar un criterio de valoración de acuerdo a las necesidades o requerimientos de las entidades financieras teniendo en cuenta la metodología magerit para la calificación de activos, el proceso que se desarrollo fue el siguiente.
Calificación de los activos que se encuentra dentro de una organización financiera, para esta calificación se tomó las tres dimensiones nombradas en la metodología magerit que son: Disponibilidad (D), integridad (I) y Confiabilidad (C). Identificar las amenazas. Identificar los riesgos. Análisis de riesgos
A partir de los resultados obtenidos durante el desarrollo del Focus Group (Anexo Focus Group) se realizó el análisis de Riesgos, que se detalla a continuación:
42
4.1.2. Tipos De Activos De acuerdo a la metodología Magerit los activos se clasifican de la siguiente manera:
Activo de Información Software o aplicaciones Hardware Servicios Infraestructura Personas 4.1.3. Codificación O Etiquetación De Los Activos
De acuerdo a cada tipo de activo, se etiquetara la lista de activos identificados en el caso estudio de la siguiente manera: 4.1.3.1.
Etiquetación Tipo de Activo Tabla 6: Etiquetación Tipo de Activo
Información Software Hardware Servicios Infraestructura Personas
Inf - ## Sw - ## Hw - ## Serv - ## Infra - ## Per - ##
Fuente: Autores
4.1.4. Caracterización de Activos 4.1.4.1.
Identificación de Activos
Las organizaciones del sector financiero cuenta con diferentes activos que son importantes para el desarrollo de su trabajo como: 4.1.4.1.1. Datos/Información
43
Los Datos e información que se deben tener en cuenta son:
Base de Datos Archivos de Datos Manuales de Usuario Documentación del Sistema Contratos Formatos Hojas de Vida Libranzas Documentos Internos Entregables (CD/DVD) Material Físico (Impreso) Información en Carpetas compartidas en Red Información Disco Portables Información Memorias USB
4.1.4.1.2. Software/Aplicaciones Informáticas El software o aplicaciones que se tienen en cuenta son:
Desarrollos a medida y/o propios de la Organización Sistemas Operativos Antivirus Servidores Aplicaciones/Contenedores Navegadores Office Motor Base de Datos Licencias Desarrollo - IDE
4.1.4.1.3. Equipamiento Informático (Hardware) En el equipamiento de hardware se encuentra los siguientes:
Servidores Computadores de Escritorio Tablets celulares Portátiles Dispositivos Móviles Impresoras Equipos Multifuncional Routers Teléfonos Modems Memoria USB
44
CD/DVD Discos Portables Cámaras de Seguridad Lector Huella Dactilar
4.1.4.1.4. Servicios Los servicios a tener en cuenta son:
Capacitaciones Telefonía Internet Red Inalámbrica Almacenamiento de Información Fluido Eléctrico
4.1.4.1.5. Infraestructura La infraestructura con que la organización cuenta son:
Planta de la Organización Canalización de red Eléctrica Canalización de red Datos Instalación de red de Datos Instalación de red de Eléctrica
4.1.4.1.6. Personas El personal de la organización que se tiene en cuenta en la organización son:
Usuarios Internos Usuarios Externos Analista Profesionales Líder coordinadores administrativos Funcionales Desarrolladores Clientes Personal operativo Proveedores
4.1.4.2.
Etiquetado de Activos
De acuerdo al tipo de activo, se ha etiquetado los activos identificados de la siguiente manera:
45
4.1.4.3.
Etiquetado de Activos Tabla 7: Etiquetado de Activos
Tipo de Activo Información
Software
Hardware
Nombre Activo
Código Activo
Base de Datos Inf-01 Archivos de Datos Inf-02 Manuales de Usuario Inf-03 Documentación del sistema Inf-04 Contratos Inf-05 Formatos (libranzas, pólizas ) Inf-06 Hojas de Vida Inf-07 Documentos internos Inf-08 Entregables (CD/DVD) Inf-09 Material Físico (Impreso) Inf-10 Información en carpetas compartidas en red Inf-11 Información Disco Portables Inf-12 Información memorias USB Inf-13 Desarrollos a medida y/o propios de la Sw-01 organización Sistemas Operativos Sw-02 Antivirus Sw-03 Servidores Aplicaciones/ Contenedores Sw-04 Navegadores Sw-05 Office Sw-06 Motor de Base de Datos Sw-07 Licencias Sw-08 Aplicativos Finanzas Sw-09 Servidores Hw-01 Computadores de escritorio Hw-02 Portátiles Hw-03 Dispositivos móviles Hw-04 Impresoras Hw-05 Equipos multifuncional Hw-06 Routers Hw-07 Teléfonos Hw-08 Modems Hw-09 Memoria USB Hw-10 CD/DVD Hw-11 Discos Portables Hw-12 Cámaras de Seguridad Hw-13
46
Servicios
Infraestructura
Personal
Lector Huella Dactilar Capacitaciones Telefonía Internet Red Inalámbrica Almacenamiento de información Fluido Eléctrico Planta de la Organización Canalización de red eléctrica Canalización de red de datos Instalación de red de datos Instalación de red eléctrica Usuarios Internos Usuarios externos Analista Profesionales Lideres coordinadores administrativos Funcionales Desarrolladores Clientes Personal operativo Proveedores
Hw-14 Serv-01 Serv-02 Serv-03 Serv-04 Serv-05 Serv-06 Infra-01 Infra-02 Infra-03 Infra-04 Infra-05 Per-01 Per-02 Per-03 Per-04 Per-05 Per-06 Per-07 Per-08 Per-09 Per-10 Per-11 Per-12
Fuente: Los Autores
4.1.4.4.
Valoración de Activos
A continuación se realizará la valoración correspondiente a cada activo de acuerdo al criterio de valoración de cada una de las siguientes dimensiones..
[D] Disponibilidad [I] Integridad de los datos [C] Confidencialidad Ver Anexo – “Valoración de Activos” 4.1.5. Criterios De Valoración De Activos Para la valoración de los activos se tendrá en cuenta las siguientes dimensiones:
47
4.1.5.1.
Dimensiones de Valoración Tabla 8: Dimensiones de Valoración
D
Disponibilidad
I
Integridad de los datos
C
Confidencialidad de la información Fuente: Autores
De acuerdo a la metodología Magerit, las dimensiones se valoraran de la siguiente manera conforme al criterio de evaluación presentada por la metodología. 4.1.5.2.
Criterios de Valoración de Activos Tabla 9: Criterios de Valoración de Activos
Nivel de Valor
Valor
Criterio
10
Extremo
Daño extremadamente grave
9
Muy Alto
Daño muy grave
6-8
Alto
Daño grave
3-5
Medio
Daño importante
1-2
Bajo
Daño menor
Despreciable
Irrelevante a efectos prácticos
0
Fuente: Autores
Los criterios de valoración dados por Magerit se tendrán en cuenta solo para dos de las dimensiones anteriormente nombradas, es el caso de Disponibilidad (D) e Integridad (I). Para la dimensión de Confidencialidad (C) se manejara los siguientes criterios de valoración de acuerdo al tipo de información
4.1.6. Criterios de Valoración de Activos II Tabla 10: Criterios de Valoración de Activos II
Nivel de Valor
Criterio
8-10
Restringido
4-7
Uso Interno
0-3
Pública Fuente: Autores
Restringido: Es la información que no se permite divulgar entre las diferentes áreas de la organización, afectando la intimidad del personal o trabajo de cada
48
área o simplemente es información vital para el debido funcionamiento de la organización. Ej.: información de la base de datos, contraseñas de servidores, hojas de vida etc. Uso Interno: Es la información que circula al interior de una empresa u organización. Busca llevar un mensaje para mantener la coordinación entre las distintas áreas, permite la introducción, difusión y aceptación de pautas para el desarrollo organizacional. Los trabajadores necesitan estar informados para sentirse una parte activa de la organización. Esta información es útil para tomar decisiones. Pública: Es la información a la cual toda persona interna y externa de la organización tiene acceso por cualquier medio de comunicación, sin previa autorización, sin censura o impedimento. Eje: página web de la organización. 4.1.7. Caracterización de amenazas 4.1.7.1.
Identificación de Amenazas por tipo de Activo
Antes de identificar las amenazas para cada activo identificado del caso estudio, se realizó una lista de las posibles amenazas por tipo de activo, todo esto en base en el anexo C “Ejemplo de amenazas comunes” de la norma ISO/IEC 27005:2008 con su respectiva descripción. Ver Anexo – “Identificación de Amenazas por tipo de Activo” 4.1.7.2.
Valoración de Vulnerabilidad por Amenazas de tipo de Activo
A continuación se realiza una identificación y valoración de vulnerabilidad identificada en cada una de las amenazas por tipo de activo identificado anteriormente, todo esto en base del anexo D “Vulnerabilidades y Métodos para la Evaluación de la Vulnerabilidad” de la norma ISO/IEC 27005:2008 Ver Anexo - “Identificación de Vulnerabilidades por Amenaza de Tipo de Activo” 4.1.7.3.
Identificación de Amenazas
De acuerdo a la identificación de amenazas por cada tipo de activo anteriormente realizada, se presenta a continuación el catálogo de amenazas sobre los activos que manejan las organizaciones del sector financiero, teniendo en cuenta su valor hallado en la valoración de activos este entre “Extremo, Muy Alto y Alto”. Ver Anexo – “Identificación de Amenazas” 4.1.7.4.
Identificación de Vulnerabilidades
De acuerdo a la identificación de amenazas sobre los activos que manejan las organizaciones del sector financiero, se presenta a continuación el catálogo de vulnerabilidades que por cada amenaza identificada. Ver Anexo – “Identificación de Vulnerabilidades”
49
4.1.8. Relación entre Impacto, Probabilidad y Riesgo Con este análisis de riesgo se busca aclarar la relación existente entre el riesgo, la probabilidad de que ocurra y el impacto que puede tener en cada uno de los activos identificados anteriormente. 4.1.9. Matriz de Riesgo A continuación se evidencia la Matriz de Riesgo de los activos identificados en el caso estudio, sin tener en cuenta los controles que se hagan en el caso estudio, es decir el riesgo Inherente. Tabla 11: Riesgos Ineherentes
Bajo
Medio
Alto
Muy Alto
0
1
3
18
Casi Siempre 0
0
1
20
31
A Menudo
0
0
2
12
32
Algunas Veces
0
0
2
20
25
Casi Nunca
0
0
0
0
4
Siempre
Probabilidad
Impacto Muy Bajo 0
Fuente: Los Autores
A continuación se evidencia la Matriz de Riesgo de los activos identificados en el caso estudio, teniendo en cuenta los controles que se hagan en el caso estudio, es decir el riesgo Residual. Tabla 12: Riesgos Residuales
Probabilidad
Impacto
Siempre Casi Siempre A Menudo Algunas Veces Casi Nunca
Muy Bajo 0
Bajo
Medio
Alto
Muy Alto
0
0
0
2
0
0
6
50
93
0
0
0
3
11
0
0
0
2
4
0
0
0
0
0
Fuente: Los Autores
50
4.1.10.
Tipos De Impacto Y Riesgo (Amenazas)
De acuerdo a la metodología Magerit las amenazas se clasifican en cuatro grupos como los siguientes:
Desastres Naturales De Origen Industrial Errores y fallos no Intencionados Ataques Intencionados
Para cada amenaza se presenta en un cuadro como el siguiente de acuerdo a la metodología Magerit.
4.1.11.
Modelo Descripción Amenaza Tabla 13: Modelo Descripción Amenaza
(Código) Descripción sucinta de lo que puede pasar Tipos de Activos: Dimensiones: Que se puede ver afectados por este tipo De seguridad que se pueden ver afectadas de amenaza por este tipo de amenaza, ordenada de más a menos relevante. Descripción: Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas. Valor del Impacto/Amenaza: valor del impacto de acuerdo al criterio Fuente: Autores
4.1.12.
Criterios De Valoración Del Riesgo
Para la valoración del riesgo, se tiene en cuenta la valoración de probabilidad y la valoración de impacto dada a cada activo, esta valoración se comporta de la siguiente manera: 4.1.13.
Criterios De Valoración De Impacto
La valoración de impacto del riesgo en el activo de la información, se realizará de la siguiente manera: 4.1.14.
Criterios de Valoración de Impacto Tabla 14: Criterios de Valoración de Impacto
Nivel de Valor 5 4 3 2 1
Valor Muy Alto Alto Medio Bajo Muy Bajo
Criterio Amenaza y/o impacto extremadamente grave Amenaza y/o impacto muy grave Amenaza y/o impacto grave Amenaza y/o impacto importante Amenaza y/o impacto menor
51
Fuente: Autores
4.1.15.
Criterios de Valoración del Riesgo Tabla 15: Criterios de Valoración del Riesgo
Nivel de Valor 17 – 25 10 – 16 5–9 2–4 1
Valor Muy Alto Alto Medio Bajo Muy Bajo
Fuente: Autores
4.1.16.
Criterios De Valoración De Probabilidad Del Riesgo
La probabilidad de que el riesgo se repita o sea frecuente se valorará de la siguiente manera: 4.1.17.
Criterios de Valoración Probabilidad de Riesgo Tabla 16: Criterios de Valoración Probabilidad de Riesgo
Nivel de Valor 5 4 3 2 1
Valor Siempre Casi Siempre A Menudo Algunas Veces Casi Nunca
Fuente: Autores
4.1.18.
Criterios De Valoración De Vulnerabilidades
El objetivo es analizar e identificar las vulnerabilidades que se tiene el caso estudio presentado los cuales son aprovechas frente a cualquier amenaza para realizar cualquier daño.
La valoración de la vulnerabilidad se realiza teniendo en cuenta los siguientes niveles de valoración
Alta: La vulnerabilidad es grave debido al aprovechamiento de una amenaza para realizar daño. Media: La vulnerabilidad es importante pero tiene poca probabilidad de ser aprovechada por una amenaza Baja: La vulnerabilidad no es aprovechada, ya que no existe amenaza alguna para materializarse en ella. Criterios De Calificación Del Control
52
La calificación del control, se realizará de la siguiente manera: 4.1.19.
Criterios de Calificación del Control Tabla 17: Criterios de Calificación del Control
Valoración del Control Nivel de Valor Valor 10 Control Adecuado 9 Control Importante 6-8 Control Parcialmente Adecuado 3-5 Control Menor 1-2 Control Inadecuado Fuente: Autores
Para ver el análisis de riesgo en detalle de cada activo y su procedimiento, este se evidencia en el archivo llamado Análisis de Riesgos que se encuentra en la carpeta Anexos del CD.
53
CAPITULO 5 POLÍTICAS Y CONTROLES DE SEGURIDAD
54
5. POLÍTICAS Y CONTROLES DE SEGURIDAD 5.1.
CONTROLES O SALVAGUARDAS 5.1.1. Selección de las salvaguardas
Una vez identificados los activos y haciendo el análisis y gestión de riesgos se hace necesario a través de la metodología Magerit establecer salvaguardas que permitan disminuir el impacto de los riesgos encontrados, dichas salvaguardas deben estar enfocadas en cada uno de los activos que se desean proteger. Para el desarrollo de los salvaguardas en cualquier organización enfocada al sector financiero se debe definir políticas de seguridad que permitan establecer cuáles son las normas a seguir para la protección de los activos. De esta manera se establecerán los procedimientos necesarios y los responsables de cada uno de ellos para dar respuesta a las amenazas antes mencionadas. La implementación de las salvaguardas se puede dar en diferentes niveles como se muestra a continuación:
Procedimientos
Se requieren procedimientos que permitan el desarrollo de los controles así como la gestión de los eventos catastróficos y para la recuperación ante estos inconvenientes.
Política de personal
Se debe establecer quién es el encargado de realizar las diferentes tareas que se necesitan llevar a cabo para la ejecución de los controles. Deben estar claros los roles y las funciones que se deben cumplir.
Soluciones de nivel técnico
Las salvaguardas a nivel técnico se pueden abarcar a través de herramientas de software, a nivel de hardware (físico) o protegiendo las comunicaciones de red utilizando diferentes métodos.
Seguridad física
Protección de los equipos de cómputo y de comunicaciones así como el cableado y las instalaciones. Definición de las salvaguardas para las amenazas detectadas De acuerdo a la norma ISO/IEC 27002 se establecen los siguientes controles para disminuir el riesgo de las amenazas encontradas:
55
Dominio: políticas de seguridad Objetivo de control: directrices de la dirección en seguridad de la información Control: revisión de las políticas de la seguridad de la información. En la entidad financiera se debe hacer una revisión de las políticas de seguridad existentes, con el fin de generar un plan de acción para la mejora de los procedimientos y de las acciones que se deben llevar a cabo cuando se produzca una incidencia que afecte los sistemas o las bases de datos, también se debe procurar una mejor respuesta para dar solución a los inconvenientes que se puedan dar luego de que se produzca un ataque que aproveche alguna de las vulnerabilidades encontradas. Dominio: Aspectos organizativos de la seguridad de la información Objetivo de control: Organización interna Control: Asignación de responsabilidades para la seguridad de la información Se ha encontrado que en la actualidad las tareas relacionadas con la seguridad de los sistemas de información y de las instalaciones físicas no están claramente diferenciadas, por lo que es importante definir roles y asignar responsabilidades a cada uno de ellos, de manera que sea claro cuál es el papel que cumplen los diferentes colaboradores. Dominio: Gestión de activos Objetivo de control: Responsabilidad sobre los activos Control: Inventario de activos Ya que el análisis de riesgos y la identificación de activos es tan importante para la definición de salvaguardas que disminuyan el riesgo, es importante continuamente hacer un monitoreo que permita establecer si se han detectado nuevos activos que sean necesarios proteger, así como establecer que activos no tienen la misma relevancia que se definición al hacer el análisis inicial. 5.1.2. Caracterización De Las Salvaguardas Las salvaguardas permiten hacer un correcto frente a las amenazas. Hay diferentes aspectos en los cuales puede actuar una o varias salvaguardas para alcanzar sus objetivos de limitación y/o mitigación del riesgo. Procedimientos: Estos siempre son necesarios, los procedimientos son un componente de una salvaguarda más complejo. Se requieren procedimientos tanto para la operación de las salvaguardas preventivas como para la gestión de incidencias y la recuperación tras las mismas. Los procedimientos deben cubrir aspectos tan diversos como van el desarrollo de sistemas, la configuración del equipamiento o la formalización del sistema.
56
Política del personal: Es necesaria cuando se consideran sistemas atendidos por personal. La política de personal debe cubrir desde las fases de especificación del puesto de trabajo y selección, hasta la formación continua del personal. Soluciones técnicas: Deben ser frecuentes en el entorno de las tecnologías de la información, que puede ser:
Aplicaciones (Software) Dispositivos Físicos (Hardware) Protección de las comunicaciones
Seguridad física: En locales y áreas de trabajo. La protección integral de un sistema de información requerirá una combinación de salvaguardas de los diferentes aspectos mencionados anteriormente. Las salvaguardas se pueden clasificar en los siguientes grupos:
Marco de gestión Relaciones con terceros Servicios Datos / Información Aplicaciones informáticas (Software) Equipos informáticos (Hardware) Comunicaciones Elementos auxiliares Seguridad física Personal
57
Figura 1 Relación de mecanismos MAGERIT
5.2.
POLÍTICAS DE SEGURIDAD
Tomando como base el análisis de riesgos se definen una serie de normas y/o buenas prácticas con el fin de estandarizar los procesos de la organización y así mismo gestionar y proteger los distintos activos de la misma de una manera más apropiada. Para ver las políticas de seguridad, este se evidencia en la carpeta Políticas de Seguridad que se encuentran en la carpeta Anexos del CD.
58
CAPITULO 6 CONCLUSIONES
59
6. CONCLUSIONES Con este proyecto de grado se diseñó un Sistema de Seguridad de la Información para las entidades financieras, para lo cual se decidió utilizar como marco de referencia la norma ISO 27001:2013. Aplicando los diferentes requerimientos de la norma ISO 27001:2013, se obtuvo una serie de diagnósticos que permitieron establecer el nivel de madures de la entidad frente a la gestión de la seguridad de la información. Diseñar un sistema de Gestión de Seguridad de la información basado en la norma ISO/IEC 27001:2013, que es un modelo de mejoras prácticas y lineamientos de seguridad dentro de cualquier organización y en este caso centrado en la actividad de servicios financieros, es una herramienta de gran ayuda que permite identificar los diferentes aspectos que se deben tener en cuenta cuando las organizaciones deciden establecer un modelo de seguridad de la información, ya que si los organizaciones logran cumplir al pie de la letra lo establecido está en la norma ISO/IEC 27001:2013, podar llegar a forjar en el tiempo un adecuado y sostenible Sistema de Gestión de Seguridad de la Información, aunque dicha labor depende del tamaño y naturaleza de la entidad y de la cultura de la misma en torno a la seguridad de la información. La falta de controles orientados a proteger la información que se intercambia con terceros, puede generar consecuencias graves para la entidad y afectar de manera negativa su imagen ante sus partes interesadas, por tal razón, es urgente que la entidad implementen mecanismos de cifrado con el objetivo de garantizar la integridad, confidencialidad y autenticidad de esta información Es necesario el establecimiento de unas políticas de seguridad aprobadas por la alta dirección, para garantizar su debida implementación, actualización y cumplimiento. Se requiere implementar controles adecuados y efectivos, o fortalecer los existentes, con el objetivo de asegurar que la seguridad de la información sea parte del ciclo de vida del desarrollo de aplicaciones de la entidad y con ello garantizar que los cambios que se realizan en producción no afecten la operación ni la seguridad de la información de la entidad. Para que un sistema de seguridad de la información tenga una correcta ejecución y cumpla con su propósito, los entes principales de la organización deben abarcar de manera importante y dar cumplimiento a la normatividad, políticas y controles que se encuentren durante el proceso lo que permite generar un mayor control y tener la organización en un ambiente confiable para el desarrollo de las actividades. Se realiza el diseño de una plataforma web el modelo del SGSI (sistema de gestión de la seguridad de la información) orientada a las entidades financieras, para mostrar e resultado del desarrollo del modelo.
60
7. RECOMENDACIONES
Es necesario que se tenga en cuenta el ciclo de vida de la información, ya que lo que hoy puede ser crítico para la organización puede dejar de tener importancia con el tiempo. Es de gran importancia la revisión y actualización anual del documento de Políticas de Seguridad de la Información. La concientización y la divulgación de las políticas de seguridad de la información consiguen que el personal conozca qué actuaciones se están llevando a cabo y por qué se están realizando. Con ello se concede transparencia al proceso y se involucra al personal. Es importante considerar la opción de acudir a consultores y/o auditores especializados para que se realice los estudios pertinentes para el análisis del funcionamiento de la organización, las respectivas políticas de seguridad y certificaciones con el objetivo de obtener un alto nivel de seguridad.
61
CAPITULO 7 ANEXOS Y REFERENCIAS
62
8. ANEXOS 8.1.
Valoración De Activos Tabla 18: Valoración de Activos DIMENCIONES Valoración ACTIVOS
[C]
[I]
[D]
Base de Datos
10
Restringido
10
Extremo
10
Extremo
30
Extremo
Archivos de Datos
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
Manuales de Usuario
3
Pública
7
Alto
8
Alto
18
Alto
Documentación del sistema
9
Restringido
8
Alto
10
Extremo
27
Muy Alto
Contratos
9
Restringido
10
Extremo
8
Alto
27
Muy Alto
Formatos (libranzas, pólizas )
6
Restringido
10
Extremo
7
Alto
23
Alto
Hojas de Vida
8
Restringido
8
Alto
8
Alto
24
Alto
Documentos internos
9
Restringido
10
Extremo
8
Alto
27
Muy Alto
Entregables (CD/DVD)
6
Uso Interno
5
Medio
5
Medio
16
Medio
Material Físico (Impreso)
10
Restringido
10
Extremo
10
Extremo
30
Extremo
Información en carpetas compartidas en red
10
Restringido
10
Extremo
10
Extremo
30
Extremo
Información Disco Portables
9
Restringido
9
Muy Alto
8
Alto
26
Alto
Información memorias USB
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
ACTIVOS DE SOFTWARE
63
Desarrollos a medida y/o propios de la organización
9
Restringido
8
Alto
8
Alto
25
Alto
Sistemas Operativos
7
Uso Interno
5
Medio
10
Extremo
22
Alto
Antivirus
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Servidores Aplicaciones/ Contenedores
7
Uso Interno
7
Alto
10
Extremo
24
Alto
Navegadores
3
Pública
3
Bajo
5
Medio
11
Medio
Office
4
Uso Interno
5
Medio
5
Medio
14
Medio
Motor de Base de Datos
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Licencias
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
Aplicativos Finanzas
7
Uso Interno
8
Alto
10
Extremo
25
Alto
ACTIVOS DE HARDWARE Servidores
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Computadores de escritorio
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Portátiles
7
Uso Interno
8
Alto
10
Extremo
25
Alto
Dispositivos móviles
10
Restringido
9
Muy Alto
10
Extremo
29
Extremo
Impresoras
5
Uso Interno
6
Medio
6
Medio
17
Medio
Equipos multifuncional
5
Uso Interno
6
Medio
6
Medio
17
Medio
Routers
10
Restringido
9
Muy Alto
8
Alto
27
Muy Alto
Teléfonos
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
64
Modems
10
Restringido
9
Muy Alto
9
Muy Alto
28
Extremo
Memoria USB
10
Restringido
9
Muy Alto
10
Extremo
29
Extremo
CD/DVD
10
Restringido
9
Muy Alto
10
Extremo
29
Extremo
Discos Portables
6
Uso Interno
6
Medio
6
Medio
18
Alto
Cámaras de Seguridad
4
Uso Interno
5
Medio
5
Medio
14
Medio
Lector Huella Dactilar
4
Uso Interno
6
Medio
5
Medio
15
Medio
ACTIVOS DE SERVICIOS Capacitaciones
7
Uso Interno
7
Alto
6
Medio
20
Alto
Telefonía
4
Uso Interno
6
Medio
6
Medio
16
Medio
Internet
6
Uso Interno
5
Medio
6
Medio
17
Medio
Red Inalámbrica
4
Uso Interno
6
Medio
3
Bajo
13
Medio
Almacenamiento de información
5
Uso Interno
5
Medio
8
Alto
18
Alto
Fluido Eléctrico
7
Uso Interno
5
Medio
10
Extremo
22
Alto
ACTIVOS PLAN DE ORGANIZACIÓN Planta de la Organización
7
Uso Interno
9
Muy Alto
10
Extremo
26
Alto
Canalización de red eléctrica
7
Uso Interno
0
Despreciable
10
Extremo
17
Medio
Canalización de red de datos
7
Uso Interno
0
Despreciable
9
Muy Alto
16
Medio
Instalación de red de datos
7
Uso Interno
8
Alto
9
Muy Alto
24
Alto
65
Instalación de red eléctrica
7
Uso Interno
8
Alto
10
Extremo
25
Alto
ACTIVOS DE PERSONAL Usuarios Internos
5
Uso Interno
0
Despreciable
8
Alto
13
Medio
Usuarios externos
3
Pública
0
Despreciable
5
Medio
8
Bajo
Analista
10
Restringido
0
Despreciable
9
Muy Alto
19
Alto
Profesionales
10
Restringido
0
Despreciable
7
Alto
17
Medio
Lideres
6
Uso Interno
0
Despreciable
7
Alto
13
Medio
coordinadores
10
Restringido
0
Despreciable
10
Extremo
20
Alto
administrativos
3
Uso Interno
0
Despreciable
8
Alto
11
Medio
Funcionales
10
Restringido
0
Despreciable
8
Alto
18
Alto
Desarrolladores
3
Uso Interno
0
Despreciable
7
Alto
10
Medio
Clientes
3
Pública
0
Despreciable
7
Alto
10
Medio
Personal operativo
3
Uso Interno
0
Despreciable
7
Alto
10
Medio
Proveedores
3
Pública
0
Despreciable
7
Alto
10
Medio
Fuente: Los Autores
66
8.2.
Identificación De Amenazas Por Tipo De Activo Tabla 19: Identificación de Amenazas por tipo de Activo
Tipo de Activo
Amenaza
Accidente Importante
Daño por agua Daño por fuego Destrucción del equipo o de los medios
Falla del equipo Contaminación Electromagnética
Hardware
Mal funcionamiento del equipo Manipulación con hardware Manipulación del sistema Manipulación con software
Perdida de suministro de energía
Polvo, corrosión, congelamiento Uso no autorizado del equipo Hurto del Equipo Error en el uso Tipo de Activo
Información
Amenaza Código mal intencionado Errores del administrador 67
Corrupción de los datos Destrucción del equipo o de los medios Error en el uso Hurto de Información Ingreso de datos falsos o corruptos Intrusión, accesos forzados al sistema Manipulación con software Procesamiento ilegal de los datos Recuperación de medios reciclados o desechados Saturación del sistema de información Suplantación de Identidad Tipo de Activo
Amenaza Errores de usuario Errores del administrador Errores de monitorización (log) Errores de configuración Copia Fraudulenta del Software
Personal
Intrusión, Accesos Forzados al Sistema Escapes de información Incumplimiento en el mantenimiento del sistema de información Acceso no Autorizado al Sistema
68
Hurto de la información Corrupción de los Datos Divulgación de información Suplantación de Identidad Incumplimiento en la disponibilidad del personal Tipo de Activo
Amenaza Acceso no autorizado al sistema Ataques contra el sistema Copia fraudulenta del software Corrupción de los datos
Error en el uso
Errores en el sistema
Software
Hurto de Información
Incumplimiento en el mantenimiento del sistema de información
Ingreso de datos falsos o corruptos
Mal funcionamiento del software
Manipulación con software
69
Uso de software falso o copiado Uso no autorizado del equipo Vulnerabilidades de los programas Tipo de Activo
Amenaza Errores de usuario Errores de monitorización Intrusión, Accesos Forzados al Sistemas Hurto de Información
Base de datos Corrupción de los datos Errores en el sistema Procesamiento Ilegal de Datos Ingreso de Datos Falsos o Corruptos Tipo de Activo
Amenaza Errores de usuario Errores de monitorización (Log) Código mal intencionado
Información de Divulgación de Información clientes Corrupción de los datos Errores del administrador Errores de configuración Fuente: Los Autores
70
Descripción de cada amenaza de acuerdo a la metodología Magerit 8.2.1. Amenaza – AMZ001 (Acceso no Autorizado al Sistema) Tabla 20: Amenaza – AMZ001 (Acceso no Autorizado al Sistema)
AMZ001 - Acceso no Autorizado al Sistema Tipos de Activos: Dimensiones: Software Confidencialidad Personal Disponibilidad Integridad Descripción: Consiste en tener acceso a información del sistema para ser modificada, borrada o inutilizar sin autorización datos o información del sistema Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.2. Amenaza – AMZ002 (Accidente Importante) Tabla 21: Amenaza – AMZ002 (Accidente Importante)
AMZ002 - Accidente Importante Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Consiste en un daño a nivel físico o electrónico que perjudica el funcionamiento del hardware. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.3. Amenaza – AMZ003 (Ataques contra el Sistema) Tabla 22: Amenaza – AMZ003 (Ataques contra el Sistema)
AMZ003 – Ataques contra el Sistema Tipos de Activos: Dimensiones: Software Disponibilidad Confidencialidad Integridad Descripción: Consiste en tener acceso a información del sistema para ser modificada, borrada o inutilizar sin autorización datos o información del sistema Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
71
8.2.4. Amenaza – AMZ004 (Código mal Intencionado) Tabla 23: Amenaza – AMZ004 (Código mal Intencionado)
AMZ004 – Código mal Intencionado Tipos de Activos: Dimensiones: Información Integridad Información de Clientes Disponibilidad Descripción: Consiste en alguna instalación de software para alterar y/o eliminar la información Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.5. Amenaza – AMZ005 (Copia Fraudulenta del Software) Tabla 24: Amenaza – AMZ005 (Copia Fraudulenta del Software)
AMZ005 – Copia Fraudulenta del Software Tipos de Activos: Dimensiones: Software Integridad Personal Disponibilidad Confidencialidad Descripción: Consiste en la instalación de software pirata. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.6. Amenaza – AMZ006 (Corrupción de los Datos) Tabla 25: Amenaza – AMZ006 (Corrupción de los Datos)
AMZ006 – Corrupción de los Datos Tipos de Activos: Dimensiones: Software Integridad Información Personal Base de Datos Información de Clientes Descripción: Errores que se producen durante el diligenciamiento de documentos o formularios de aplicaciones. Valor del Impacto/Amenaza: Alto Fuente: Autores
72
8.2.7. Amenaza – AMZ007 (Daño por Agua) Tabla 26: Amenaza – AMZ007 (Daño por Agua)
AMZ007 - Daño por Agua Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Posibilidad de que el agua acabe con los recursos del sistema, generada por alguna fuga de agua interna o la rotura de la tubería de agua. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.8. Amenaza – AMZ008 (Daño por Fuego) Tabla 27: Amenaza – AMZ008 (Daño por Fuego)
AMZ008 – Daño por Fuego Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Posibilidad de que el fuego acabe con los recursos del sistema, generadas por materiales inflamables o problemas eléctricos. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.9. Amenaza – AMZ009 (Destrucción del Equipo o de los Medios) Tabla 28: Amenaza – AMZ009 (Destrucción del Equipo o de los Medios)
AMZ009 – Destrucción del Equipo o de los Medios Tipos de Activos: Dimensiones: Hardware Disponibilidad Información Descripción: Eliminación total del activo. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.10.
Amenaza – AMZ0010 (Error en el Uso) Tabla 29: Amenaza – AMZ0010 (Error en el Uso)
AMZ010 – Error en el Uso Tipos de Activos:
Dimensiones: 73
Hardware Disponibilidad Información Integridad Software Confidencialidad Descripción: Equivocaciones del personal cuando usa el activo. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.11.
Amenaza – AMZ011 (Error en el Sistema) Tabla 30: Amenaza – AMZ011 (Error en el Sistema)
AMZ0011 – Error en el Sistema Tipos de Activos: Dimensiones: Software Disponibilidad Base de Datos Descripción: Daños en el sistema que pueden ocurrir generando indisponibilidad del activo. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.12.
Amenaza – AMZ0012 (Falla del Equipo) Tabla 31: Amenaza – AMZ0012 (Falla del Equipo)
AMZ012 – Falla del Equipo Tipos de Activos: Hardware Descripción: Se refiere algún daño físico del activo. Valor del Impacto/Amenaza: Alto
Dimensiones: Disponibilidad.
Fuente: Autores
8.2.13.
Amenaza – AMZ013 (Hurto de Información) Tabla 32: Amenaza – AMZ013 (Hurto de Información)
AMZ013 – Hurto de Información Tipos de Activos: Información Software Personal Base de Datos Descripción:
Dimensiones: Disponibilidad Confidencialidad
74
La sustracción de información provocando la carencia de datos importantes para la continuidad de algún proceso de la organización. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.14.
Amenaza – AMZ014 (Hurto de Equipo) Tabla 33: Amenaza – AMZ014 (Hurto de Equipo
AMZ014 – Hurto de Equipo Tipos de Activos: Hardware
Dimensiones: Disponibilidad Confidencialidad
Descripción: La sustracción de equipamiento provocando directamente la carencia de un medio para prestar el servicio, es decir una indisponibilidad. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.15.
Amenaza – AMZ015 (Impulsos Electromagnéticos) Tabla 34: Amenaza – AMZ015 (Impulsos Electromagnéticos)
AMZ015 - Impulsos Electromagnéticos Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Alteración de la alimentación eléctrica Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.16.
Amenaza – AMZ016 (Incumplimiento en la Disponibilidad
del Personal) Tabla 35: Amenaza – AMZ016 (Incumplimiento en la Disponibilidad del Personal)
AMZ016 – Incumplimiento en la Disponibilidad del Personal Tipos de Activos: Dimensiones: Personal Disponibilidad Descripción: Ausencia deliberada del puesto de trabajo Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
75
8.2.17.
Amenaza – AMZ017 (Incumplimiento en el Mantenimiento
del Sistema de Información) Tabla 36: Amenaza – AMZ017 (Incumplimiento en el Mantenimiento del Sistema de Información)
AMZ017 – Incumplimiento en el Mantenimiento del Sistema de Información Tipos de Activos: Dimensiones: Software Integridad Disponibilidad Descripción: Defectos en los procedimientos o controles de actualización del código que permiten que sigan utilizándose programas con defectos conocidos y reparados por el fabricante. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.18.
Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos) Tabla 37: Amenaza – AMZ018 (Ingreso de Datos Falsos o Corruptos)
AMZ018 – Ingreso de Datos Falsos o Corruptos Tipos de Activos: Dimensiones: Información Integridad Software Base de Datos Descripción: Errores que se producen durante el diligenciamiento de documentos o formularios de aplicaciones. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.19.
Amenaza – AMZ019 (Accesos Forzados al Sistema) Tabla 38: Amenaza – AMZ019 (Accesos Forzados al Sistema)
AMZ019 - Intrusión, Accesos Forzados al Sistema Tipos de Activos: Dimensiones: Información Integridad Personal Confidencialidad Base de Datos Descripción: El atacante consigue acceder a los recursos del sistema sin tener autorización para ello. Valor del Impacto/Amenaza: Muy Alto 76
Fuente: Autores
8.2.20.
Amenaza – AMZ020 (Mal Funcionamiento del Equipo) Tabla 39: Amenaza – AMZ020 (Mal Funcionamiento del Equipo)
AMZ020 – Mal Funcionamiento del Equipo Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Se refiere algún daño físico o lógico del activo. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.21.
Amenaza – AMZ021 (Mal Funcionamiento del Software) Tabla 40: Amenaza – AMZ021 (Mal Funcionamiento del Software)
AMZ021 - Mal Funcionamiento del Software Tipos de Activos: Dimensiones: Software Disponibilidad Descripción: Error o fallo en un programa desencadenando un resultado indeseado. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.22.
Amenaza – AMZ022 (Manipulación con Hardware) Tabla 41: Amenaza – AMZ022 (Manipulación con Hardware)
AMZ022 – Manipulación con Hardware Tipos de Activos: Dimensiones: Hardware Confidencialidad Disponibilidad Descripción: Alteración intencionada del funcionamiento del hardware, persiguiendo un beneficio. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.23.
Amenaza – AMZ023 (Manipulación con Software) Tabla 42: Amenaza – AMZ023 (Manipulación con Software)
AMZ023 – Manipulación con Software Tipos de Activos: Dimensiones: Software Confidencialidad 77
Disponibilidad Descripción: Alteración intencionada del funcionamiento de los programas, persiguiendo un beneficio. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.24.
Amenaza – AMZ024 (Manipulación del Sistema) Tabla 43: Amenaza – AMZ024 (Manipulación del Sistema)
AMZ024 – Manipulación del Sistema Tipos de Activos: Dimensiones: Hardware Confidencialidad Disponibilidad Descripción: Alteración intencionada del funcionamiento del hardware, persiguiendo un beneficio. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.25.
Amenaza – AMZ025 (Perdida de Suministro de Energía) Tabla 44: Amenaza – AMZ025 (Perdida de Suministro de Energía)
AMZ025 – Perdida de Suministro de Energía Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Cese de la alimentación eléctrica Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.26.
Amenaza – AMZ026 (Perdida de Suministro de Energía) Tabla 45: Amenaza – AMZ026 (Perdida de Suministro de Energía)
AMZ026 – Polvo, Corrosión, Congelamiento Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Suciedad en los dispositivos que genere un mal funcionamiento. Valor del Impacto/Amenaza: Alto Fuente: Autores
78
8.2.27.
Amenaza – AMZ027 (Perdida de Suministro de Energía) Tabla 46: Amenaza – AMZ027 (Perdida de Suministro de Energía)
AMZ027 – Procesamiento Ilegal de los Datos Tipos de Activos: Dimensiones: Información Integridad Base de Datos Descripción: Datos mal usados que ocasiona problemas legales severos Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.28.
Amenaza – AMZ028 (Recuperación de Medios Reciclados
o Desechados) Tabla 47: Amenaza – AMZ028 (Recuperación de Medios Reciclados o Desechados)
AMZ028 – Recuperación de Medios Reciclados o Desechados Tipos de Activos: Dimensiones: Información Confidencialidad Descripción: Uso de elementos desechados para otro fin. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.29.
Amenaza – AMZ029 (Saturación del Sistema de
Información) Tabla 48: Amenaza – AMZ029 (Saturación del Sistema de Información)
AMZ029 – Saturación del Sistema de Información Tipos de Activos: Dimensiones: Información Disponibilidad Descripción: Carencia de recursos suficientes provocando la caída del sistema. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.30.
Amenaza – AMZ030 (Suplantación de Identidad) Tabla 49: Amenaza – AMZ030 (Suplantación de Identidad)
AMZ030 – Suplantación de Identidad Tipos de Activos: Dimensiones: 79
Personal Confidencialidad Información Integridad Descripción: Hacerse pasar por un usuario no autorizado, disfrutando de los privilegios de este para un fin en especial. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.31.
Amenaza – AMZ031 (Uso de Software Falso o Copiado) Tabla 50: Amenaza – AMZ031 (Uso de Software Falso o Copiado)
AMZ031 – Uso de Software Falso o Copiado Tipos de Activos: Dimensiones: Software Disponibilidad Integridad Confidencialidad Descripción: Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.32.
Amenaza – AMZ032 (Uso no Autorizado del Equipo) Tabla 51: Amenaza – AMZ032 (Uso no Autorizado del Equipo)
AMZ032 – Uso no Autorizado del Equipo Tipos de Activos: Dimensiones: Hardware Disponibilidad Descripción: Utilización de los recursos para fines no previstos. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.33.
Amenaza – AMZ033 (Contaminación Electromagnética) Tabla 52: Amenaza – AMZ033 (Contaminación Electromagnética)
AMZ031 – Contaminación Electromagnética Tipos de Activos: Dimensiones: Hardware Disponibilidad Integridad Descripción: 80
Daños en los elementos de computo debido carga eléctrica exagerada dentro de un área de trabajo Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.34.
Amenaza – AMZ034 (Errores del Administrador) Tabla 53: Amenaza – AMZ034 (Errores del Administrador)
AMZ031 – Errores del Administrador Tipos de Activos: Dimensiones: Información Disponibilidad Personal Integridad Base de Datos Confidencialidad Información de Clientes Descripción: Daños en los datos almacenados por la mala manipulación en los procedimientos como copias de seguridad, actualización de sistemas y antivirus, entre otros. Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.35.
Amenaza – AMZ035 (Errores de Usuario) Tabla 54: Amenaza – AMZ035 (Errores de Usuario)
AMZ031 – Errores de Usuario Tipos de Activos: Dimensiones: Personal Integridad Base de Datos Confidencialidad Información de Clientes Descripción: Se presenta divulgación de la información por no seguir las políticas de seguridad para el cambio de contraseñas, nombramientos de archivos, entre otros Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.36.
Amenaza – AMZ035 (Errores de Usuario) Tabla 55: Amenaza – AMZ035 (Errores de Usuario)
AMZ031 – Errores de Usuario Tipos de Activos: Personal
Dimensiones: Integridad 81
Base de Datos Confidencialidad Información de Clientes Descripción: Se presenta divulgación de la información por no seguir las políticas de seguridad para el cambio de contraseñas, nombramientos de archivos, entre otros Valor del Impacto/Amenaza: Muy Alto Fuente: Autores
8.2.37.
Amenaza – AMZ035 (Errores de Monitorización (Log)) Tabla 56: Amenaza – AMZ035 (Errores de Monitorización (Log))
AMZ031 – Errores de Monitorización (Log) Tipos de Activos: Dimensiones: Personal Integridad Base de Datos Confidencialidad Información de Clientes Descripción: Perdida de la información por no generar los controles ni el mantenimiento adecuado durante la monitorización. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.38.
Amenaza – AMZ035 (Errores de Configuración) Tabla 57: Amenaza – AMZ035 (Errores de Configuración)
AMZ031 – Errores de Configuración Tipos de Activos: Dimensiones: Personal Integridad Información de Clientes Confidencialidad Descripción: Perdida de la información por no realizar de forma adecuada la configuración del sistema. Valor del Impacto/Amenaza: Alto Fuente: Autores
8.2.39.
Amenaza – AMZ035 (Divulgación de Información) Tabla 58: Amenaza – AMZ035 (Divulgación de Información)
AMZ031 – Divulgación de Información Tipos de Activos: Dimensiones: Personal Integridad 82
Información de Clientes Confidencialidad Descripción: Daños en la integridad personal de las personas en las que se ha hecho pública la información privada Valor del Impacto/Amenaza: Alto Fuente: Autores
83
8.3.
Identificación De Vulnerabilidades Por Activo Tabla 59: Identificación de Vulnerabilidades por activo
Activo
Activo
Tipo de Activo
Información Información Información Información Información Información Información Información Información Información Información Información Información
Inf-01 Inf-01 Inf-01 Inf-01 Inf-01 Inf-01 Inf-02 Inf-02 Inf-02 Inf-02 Inf-02 Inf-03 Inf-03
Información
Inf-03 Manuales de Usuario
Información Información
Inf-03 Manuales de Usuario Inf-04 Documentación del sistema
Información
Inf-04 Documentación del sistema
Información Información
Inf-04 Documentación del sistema Inf-04 Documentación del sistema
Amenaza
Base de Datos Base de Datos Base de Datos Base de Datos Base de Datos Base de Datos Archivo de Datos Archivo de Datos Archivo de Datos Archivo de Datos Archivo de Datos Manuales de Usuario Manuales de Usuario
Hurto de Información Ingreso de datos falsos o corruptos Corrupción de los datos Intrusión, accesos forzados al sistema Manipulación con Software Saturación del Sistema de Información Manipulación con Software Saturación del Sistema de Información Corrupción de los datos Hurto de Información Ingreso de datos falsos o corruptos Destrucción del equipo o de los Medios Hurto de Información Recuperación de medios reciclados o desechados Corrupción de los datos Hurto de Información Recuperación de medios reciclados o desechados Corrupción de los datos Destrucción del equipo o de los Medios
84
Información
Inf-05 Contratos
Información Información Información Información Información Información
Inf-05 Inf-05 Inf-05 inf-06 inf-06 inf-06
Información
Inf-07 Hojas de Vida
Información Información
Inf-07 Hojas de Vida Inf-07 Hojas de Vida
Información
Inf-08 Documentos internos
Información Información Información Información
Inf-08 Inf-08 Inf-09 Inf-09
Información
Inf-10 Material Físico (Impreso)
Información Información Información Información Información Información
Inf-10 Inf-10 Inf-11 Inf-11 Inf-11 Inf-11
Contratos Contratos Contratos Formatos (libranzas, pólizas ) Formatos (libranzas, pólizas ) Formatos (libranzas, pólizas )
Documentos internos Documentos internos Entregables (CD/DVD) Entregables (CD/DVD)
Material Físico (Impreso) Material Físico (Impreso) Información en carpetas compartidas en red Información en carpetas compartidas en red Información en carpetas compartidas en red Información en carpetas compartidas en red 85
Recuperación de medios reciclados desechados Destrucción del equipo o de los Medios Hurto de Información Procesamiento ilegal de los datos Hurto de Información Ingreso de datos falsos o corruptos Corrupción de los datos Recuperación de medios reciclados desechados Destrucción del equipo o de los Medios Hurto de Información Recuperación de medios reciclados desechados Destrucción del equipo o de los Medios Hurto de Información Hurto de Información Destrucción del equipo o de los Medios Recuperación de medios reciclados desechados Hurto de Información Destrucción del equipo o de los Medios Hurto de Información Suplantación de Identidad Manipulación con software Intrusión, accesos forzados al sistema
o
o
o
o
Información Información Información Información Información Información Información Información
Inf-11 Inf-12 Inf-12 Inf-12 Inf-12 Inf-13 Inf-13 Inf-13
Software
Sw-01
Software
Sw-01
Software
Sw-01
Software
Sw-01
Software
Sw-01
Software
Sw-01
Software
Sw-01 Sw-01
Software
Sw-01
Software Software
Sw-02 Sw-02
Información en carpetas compartidas en red Información Disco Portables Información Disco Portables Información Disco Portables Información Disco Portables Información memorias USB Información memorias USB Información memorias USB Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Desarrollos a medida y/o propios de la organización Sistemas Operativos Sistemas Operativos 86
Saturación del sistema de información Hurto de Información Intrusión, accesos forzados al sistema Error en el uso Manipulación con software Hurto de Información Error en el uso Manipulación con software Ataques contra el sistema Copia fraudulenta del software Corrupción de los datos Error en el uso Errores en el sistema Incumplimiento en el mantenimiento del sistema de información Mal funcionamiento del software Manipulación con software Uso de software falso o copiado Uso de software falso o copiado Copia fraudulenta del software
Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software Software
Sw-02 Sw-03 Sw-03 Sw-03 Sw-03 Sw-04 Sw-04 Sw-04 Sw-04 Sw-04 Sw-04 Sw-05 Sw-05 Sw-05 Sw-06 Sw-06 Sw-07 Sw-07 Sw-07 Sw-07 Sw-07
Sistemas Operativos Antivirus Antivirus Antivirus Antivirus Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Servidores Aplicaciones/ Contenedores Navegadores Navegadores Navegadores Office Office Motor de Base de Datos Motor de Base de Datos Motor de Base de Datos Motor de Base de Datos Motor de Base de Datos
Software
Sw-07 Motor de Base de Datos
Software Software Software
Sw-07 Motor de Base de Datos Sw-08 Licencias Sw-08 Licencias 87
Mal funcionamiento del software Copia fraudulenta del software Mal funcionamiento del software Errores en el sistema Ataques contra el sistema Errores en el sistema Mal funcionamiento del software Copia fraudulenta del software Hurto de Información Corrupción de los datos Uso no autorizado del equipo Corrupción de los datos Errores en el sistema Ataques contra el sistema Corrupción de los datos Errores en el sistema Uso de software falso o copiado Acceso no autorizado al sistema Ataques contra el sistema Error en el uso Errores en el sistema Incumplimiento en el mantenimiento del sistema de información Mal funcionamiento del software Uso de software falso o copiado Errores en el sistema
Software Software Software Software Software Software Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware
Sw-09 Sw-09 Sw-09 Sw-09 Sw-09 Sw-09 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-01 Hw-02 Hw-02 Hw-02 Hw-02 Hw-02 Hw-02 Hw-02
Aplicativos Finanzas Aplicativos Finanzas Aplicativos Finanzas Aplicativos Finanzas Aplicativos Finanzas Aplicativos Finanzas Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Servidores Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio
Uso de software falso o copiado Errores en el sistema Error en el uso Ataques contra el sistema Acceso no autorizado al sistema Acceso no autorizado al sistema Accidente Importante Daño por agua Daño por fuego Falla del equipo Impulsos electromagnéticos Mal funcionamiento del equipo Manipulación del sistema Manipulación con software Perdida de suministro de energía Polvo, corrosión, congelamiento Uso no autorizado del equipo Hurto de Equipo Error en el uso Accidente Importante Falla del equipo Impulsos electromagnéticos Mal funcionamiento del equipo Manipulación con hardware Manipulación del sistema Manipulación con software 88
Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware
Hw-02 Hw-02 Hw-02 Hw-02 Hw-02 Hw-03 Hw-03 Hw-03 Hw-03 Hw-03 Hw-03 Hw-04 Hw-04 Hw-04 Hw-05 Hw-05 Hw-05 Hw-05 Hw-05 Hw-06 Hw-06 Hw-06 Hw-07 Hw-07 Hw-07 Hw-07
Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Computadores de escritorio Portátiles Portátiles Portátiles Portátiles Portátiles Portátiles Impresoras Impresoras Impresoras Equipo Multifuncional Equipo Multifuncional Equipo Multifuncional Equipo Multifuncional Equipo Multifuncional Routers Routers Routers Routers Routers Routers Routers
Perdida de suministro de energía Polvo, corrosión, congelamiento Uso no autorizado del equipo Hurto de Equipo Error en el uso Accidente Importante Manipulación del sistema Manipulación con software Uso no autorizado del equipo Hurto de Equipo Error en el uso Accidente Importante Error en el uso Uso no autorizado del equipo Error en el uso Uso no autorizado del equipo Hurto de de Equipo Manipulación con software Accidente Importante Error en el uso Accidente Importante Perdida de suministro de energía Accidente Importante Daño por agua Daño por fuego Impulsos electromagnéticos 89
Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Hardware Servicios Servicios Servicios Servicios Servicios Servicios Servicios Servicios Servicios
Hw-07 Hw-07 Hw-07 Hw-09 Hw-09 Hw-09 Hw-09 Hw-09 Hw-09 Hw-09 Serv02 Serv03 Serv03 Serv03 Serv03 Serv03 Serv04 Serv04 Serv04
Routers Routers Routers Módems Módems Módems Módems Módems Módems Módems
Perdida de suministro de energía Uso no autorizado del equipo Hurto de Equipo Accidente Importante Daño por agua Daño por fuego Impulsos electromagnéticos Perdida de suministro de energía Uso no autorizado del equipo Hurto de Equipo
Telefonía
Uso no autorizado del equipo
Internet
Perdida de suministro de energía
Internet
Hurto de Equipo
Internet
Perdida de suministro de energía
Internet
Hurto de Equipo
Internet
Uso no autorizado del equipo
Red Inalámbrica
Perdida de suministro de energía
Red Inalámbrica
Hurto de Equipo
Red Inalámbrica
Uso no autorizado del equipo 90
Servicios Servicios Servicios Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas
Serv05 Serv05 Serv06 Per-01 Per-01 Per-01 Per-02 Per-02 Per-02 Per-03 Per-03 Per-03 Per-04 Per-04 Per-04 Per-05 Per-05 Per-05 Per-06 Per-06 Per-06 Per-07 Per-07
Almacenamiento de información
Perdida de suministro de energía
Almacenamiento de información
Accidente Importante
Fluido Eléctrico
Perdida de suministro de energía
Usuarios Internos Usuarios Internos Usuarios Internos Usuarios externos Usuarios externos Usuarios externos Analista Analista Analista Profesionales Profesionales Profesionales Lideres Lideres Lideres coordinadores coordinadores coordinadores administrativos administrativos
Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos 91
Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas Personas
Per-07 Per-08 Per-08 Per-08 Per-09 Per-09 Per-09 Per-10 Per-10 Per-10 Per-11 Per-11 Per-11 Per-12 Per-12 Per-12
administrativos Funcionales Funcionales Funcionales Desarrolladores Desarrolladores Desarrolladores Clientes Clientes Clientes Personal operativo Personal operativo Personal operativo Proveedores Proveedores Proveedores
Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Suplantación de Identidad Corrupción de los datos Hurto de Información Fuente: Autores
92
8.4.
Identificación De Vulnerabilidades Tabla 60: Identificación de Vulnerabilidades
Amenaza
Accidente Importante
Vulnerabilidad
Valor de la Vulnerabilidad
Falta de Mantenimiento
Media
Golpes
Media
sobrecargas
Media
Daño por agua
Ubicación en un área susceptible de Media inundación
Daño por fuego
Ubicación en un área susceptible
Falla del equipo
Instalación fallida de los medios de Media almacenamiento. Mantenimiento insuficiente
Impulsos Red energética inestable electromagnéticos Mal funcionamiento del Contaminación Mecánica equipo Manipulación hardware
Media
Media Alta Media
con Falta de Control de accesibilidad al Media dispositivo
Manipulación del sistema Desconocimiento del manejo
Baja
Manipulación con softwa Descarga y uso no controlados de sof Alta re tware Falta de dispositivos de Alta almacenamiento de energía (UPS) Falta de esquemas de reemplazo Media Perdida de suministro de periódico. energía Red energética inestable Baja Susceptibilidad a las variaciones de te Alta nsión Polvo, corrosión, Susceptibilidad a la humedad, el polvo Media congelamiento y la suciedad Uso no autorizado del Ausencia de control para el uso del Media equipo dispositivo 93
Hurto de Equipo
Falta de protección física de las puertas y las ventanas de la Alta organización.
Código mal intencionado
Instalación de Software (Virus)
Alta
Falta manual de usuario
Media
Desconocimiento de la aplicación
Media
Corrupción de los datos
Falta de esquemas de reemplazo Media Destrucción del equipo o periódico. de los medios Susceptibilidad a la humedad, el polvo Media y la suciedad Copia no controlada
Alta
Almacenamiento sin protección
Alta
Intrusión, accesos Almacenamiento sin Protección forzados al sistema
Alta
Hurto de Información
Falta de Capacitación Procesamiento ilegal de l Falta de Conocimiento os datos legislación
Media de
la
Alta
Disposición o reutilización de los Recuperación de medios medios de almacenamiento sin Alta reciclados o desechados borrado adecuado Saturación del sistema de Falta de Mantenimiento información Suplantación de Identidad
Media
Sesiones de Usuario habilitadas
Alta
Almacenamiento sin Protección
Alta
Incumplimiento en la disp Ausencia del personal onibilidad del personal
Baja
Acceso no autorizado al Falta de mecanismos de autenticación Alta sistema e identificación Ataques contra el sistema Falta de mecanismos de Seguridad
94
Alta
Copia fraudulenta software
del
Falta de procedimientos del cumplimiento de las disposiciones con Alta los derechos intelectuales Configuración incorrecta de parámetr Media os Uso incorrecto hardware
Error en el uso
Errores en el sistema
de
software
y
Media
Falta de control de cambio de la Media información Falta de documentación
Media
Interface de usuario complicada
Baja
Configuración parámetros
incorrecta
de
Media
Incumplimiento en el Instalación fallida de los medios de mantenimiento del Media almacenamiento. sistema de información Falta de formato para los tipos de Baja datos Ingreso de datos falsos o Desconocimiento de la Aplicación Media corruptos Mala digitación en el ingreso de datos Baja al sistema Especificaciones incompletas o no Alta Mal funcionamiento del claras para los desarrolladores software Software nuevo o inmaduro Alta
Manipulación software
Falta de control eficaz del cambio
Media
Falta de copias de respaldo
Alta
con Falta de copias de respaldo
Alta
Descarga y uso no controlados de sof Alta tware
Uso de software falso o Desconocimiento de licenciamiento copiado Reducción de Costos
Media Media
Uso no autorizado del eq Falla en la producción de informes de Alta uipo gestión Fuente: Autores
95
8.5.
Focus gruop
Fecha: Diciembre 10 de 2016 Sitio de Reunión: Sala de Juntas Compensar Área Financiera
ACTA FOCUS GROUP Acta No. 001 Hora de Inicio: 8: 00 am
Hora Final: 12: 00 pm
Asistentes Miguel Ángel cadena Sierra - Profesional Diana Marcela Sierra Mendoza - Técnico 2 Claudia Johana Valbuena Villanueva - Analista de Pruebas Andres Felipe Cantor - Analista y ejecutivo de costos Bryan Gherard Avila Quintero - Arquitecto Pass
Agenda Propuesta 1. Introducción de la importancia de la implementación de un SGSI (Sistema gestor de la seguridad de la Información) 2. Socialización de la situación actual. 3. Identificación de oportunidades, amenazas, debilidades y fortalezas para la definición de la matriz DOFA. 4. Identificación de los activos importantes para una organización bancaria. 5. Socialización de riesgos, de acuerdo a las labores realizadas día a día.
Tiempo
4h
DESARROLLO 1. Introducción de la importancia de la implementación de un SGSI (Sistema gestor de la seguridad de la Información) El Grupo Interventor realiza una capacitación e introducción sobre la importancia de un SGSI (Sistema gestor de la seguridad de la Información) dentro de una organización, se explica que es un SGSI (Sistema gestor de la seguridad de la Información) y cuáles son los pasos a seguir para poder diseñarlo y posteriormente implementarlo. 2. Socialización de la situación actual. El grupo interventor realizó la siguiente pregunta abierta: ¿Cuál es la situación actual de la organización frente a la seguridad de la información? Luego de discutir frente a la situación, todos los participantes coincidieron en que, actualmente se puede presentar fuga de información, ya que no existen controles frente a los accesos a las instalaciones y/o a los centros de cómputo.
96
3. Identificación de oportunidades, amenazas, debilidades y fortalezas para la definición de la matriz DOFA. El grupo interventor realiza una corta explicación de la importancia que tiene la definición de las oportunidades, amenazas, debilidades y fortalezas dentro del análisis para la implementación de un SGSI. Luego de una discusión y de escuchar atentamente las opiniones de todos los participantes, se pudo obtener el siguiente resultado: Oportunidades: Certificación ISO 27001 Momento estratégico de Seguridad Aumentar la confianza de la organización Definición de políticas de Seguridad de Información, estableciendo controles y normas para el manejo de seguridad. Definir procedimientos y políticas para el ciclo de vida de la información. Amenazas: Disponer de personal no calificado. Dificultad a la hora de poner en práctica esos conocimientos. Falta de Recursos Económicos. Falta de compromiso en la implementación del SGSI. Oposición interna al aplicar los controles o mecanismos de seguridad apropiados. Debilidades: Desconocimiento de la metodología Poca implicación por parte de la dirección Resultados medio/largo plazo El desarrollo del SGSI sea muy detallado Sistema muy detallado, retrase los procesos Falta de políticas de seguridad bien definidas Fortalezas: Optimización de la seguridad//entorno informático Reducción de costes Reduce el tiempo de interrupción del servicio y mejora el grado de satisfacción de los clientes Reducción de riesgos, pérdidas, derroches Reducción de riesgos que afecten la seguridad, disponibilidad y confidencialidad de la información. 4. Identificación de los activos importantes para una organización bancaria. El grupo interventor realiza una corta explicación de qué son los activos de información y el papel que juegan dentro del análisis para la implementación de SGSI. Una vez se ha realizado esta explicación, los participantes expresan sus opiniones y se obtienen los siguientes resultados: Base de Datos Archivos de Datos Manuales de Usuario Documentación del Sistema Contratos Formatos Hojas de Vida Libranzas
97
Documentos Internos Entregables (CD/DVD) Material Físico (Impreso) Información en Carpetas compartidas en Red Información Disco Portables Información Memorias USB 5. Socialización de riesgos, de acuerdo a las labores realizadas día a día. El grupo interventor realiza una corta explicación de cuáles son los riesgos de información y el papel que juegan dentro del análisis para la implementación de SGSI. Una vez se ha realizado esta explicación, los participantes expresan sus opiniones y se obtienen los siguientes resultados: Dentro de la organización se permite el uso de discos extraíbles, usb, CD entre otros por medio de los cuales se puede adquirir información confidencial. En los centros de cómputo no se tienen las condiciones adecuadas para el cuidado de los equipos de cómputo ni el control de acceso a estas zonas. No se restringe el acceso a algunas páginas web que no son necesarias para el desarrollo de las actividades diarias. No se exige la portación de un documento que identifique a los funcionarios de la entidad. No se tienen áreas seguras, puntos de encuentro, brigadas de emergencia o algún tipo de actividad para la evacuación del personal en caso de un suceso climático. No se tiene ningún tipo de elemento que permita el suministro de energía para continuar con las labores diarias si se tiene una interrupción de energía. Control de claves Archivos personales Descarga de archivos
CONCLUSIONES Y/O RESULTADOS De acuerdo a las respuestas dadas por los participantes, los autores de proyecto pueden realizar las siguientes actividades a partir de los resultados obtenidos dentro de este focus group. Definición de la matriz DOFA. Identificación, definición, priorización y evaluación de los activos. Definición de amenazas y vulnerabilidades. Análisis de riesgos. EVALUACIÓN DE LA REUNIÓN PUNTUALIDAD 100% MANEJO DE TIEMPO: 4h PARTICIPACIÓN 100% LOGRO OBJETIVOS REUNIÓN 100%
98
ASISTENCIA CUMPLIMIENTO DE COMPROMISOS
100% 100% ACTA DE ASISTENCIA A continuación se relaciona la asistencia de los participantes en el focus Group
99
9. REFERENCIAS
Carlos Alberto Guzmán Silva. (2015). Diseño De Un Sistema De Gestión De Seguridad De La Información Para Una Entidad Financiera De Segundo Piso. Bogotá
Carozo E., Freire G., Martínez G., “Análisis del Sistema de Gestión de Seguridad de la Información de ANTEL”, ANTEL.
Concepción Claudio, (2010, 16 de diciembre), 5 Aplicaciones Libres para Monitoreo de Redes y Servidores,
Cosysco.org, (2011,01 de febrero), ZABBIX solución de tipo empresarial para monitoreo/supervisión de Servidores, Servicios y Aplicaciones, consultado en
Docout, Soluciones de ingenieria deocumenta, La importancia de la información en las empresas, Actualizado el 26 de marzo de 2015, [en línea]
Ferrero Eduardo E. (2006, 10 de junio), análisis y gestión de riesgos del servicio imat del sistema de información de i.c.a.i. pp. 25 – 58, < http://www.iit.upcomillas.es/pfc/resumenes/44a527e27a231.pdf>
Herramientas de seguridad [en linea].
Ingenia. Ingeniería e Integración Avanzadas. Implantación de un SGSI con e-PULPO. 03 de abril de 2016, de e-pulpo, [en línea]
100
ISO/IEC 27002:2005. [en
ISO 27000, La serie 27000, [en línea]
ISO 27000, El portal de ISO 27001 en Español, ¿Qué es un SGSI?, 2012. [en línea]
ITU-T. “La Seguridad de las Telecomunicaciones y las Tecnologías de la información” [en línea].
MAGERIT: metodología práctica para gestionar riesgos [en línea]
MAGERIT – versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. [En línea]
Ministerio de Administraciones Públicas – Gobierno de España. “MAGERIT – versión 2, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información” http://www.csae.map.es/csi/pg5m20.html
Mira Emilio j, (2012, 25 de agosto), Implantación de un Sistema de Detección de Intrusos en la Universidad de Valencia
Modelo 3: Guía para la presentación de referencias bibliográficas, [En línea]
101
línea]
Normas INCONTEC, [en línea]
Proceso de Desarrollo OPEN UP/OAS, Magerit aplicada, [en línea]
Portal de soluciones técnicas y organizativas de referencia a los CONTROLES DE ISO/IEC 27002 [En línea]
PROYECTO DENORMA TÉCNICA COLOMBIANA NTC-ISO 27005, [en línea]
Robinson Ruiz Muñoz. (2015). Elaboración de un plan de implementación de la ISO/IEC 27001:2013 Para la empresa Pollos Pachito.
Sandstrom O., “Proceso de implantación de un SGSI, adoptando la ISO 27001”. Arsys Internet. [en línea]
SAP [en línea]
102
More Documents from "andres narvaez"
Cadenasierramiguelangel.2017.pdf
April 2020 15
00004068.pdf
April 2020 17
Responsabilidad Del Miembro De Una Junta.pdf
December 2019 19