Diagnóstico de riesgos tecnológicos en empresa distribuidora de bebidas
1. UNIVERSIDAD MAYOR DE SAN SIMÓN
ESCUELA UNIVERSITARIA DE POSGRADO
FACULTAD DE CIENCIAS Y TECNOLOGÍA
MAESTRÍA EN SISTEMAS DE INFORMACIÓN Y GESTIÓN DE
TECNOLOGÍAS
- Primera Versión-
TRABAJO FINAL DE MÓDULO
“Diagnostico basado en el Análisis de Riesgos Cuantitativo”
Modulo IV: “Análisis de Datos y Gerencia de Tecnologías de
Comunicación e Información”
Docente: Rensi Arteaga Copari
Integrantes:
• Evelin Claudia Alá Herrera
• Grover Pelaez Godoy
• Claudia Vanesa Villarroel
• José Luis Calero Campana
Fecha: Sábado, 13/10/2012
2. Índice General
1. INTRODUCCIÓN...................................................................................................................... 5
2. ANTECEDENTES ...................................................................................................................... 5
2.1 Descripción de la empresa .............................................................................................. 5
2.2 Descripción Tecnológica ................................................................................................. 6
3. DELIMITACIÓN ....................................................................................................................... 8
4. MARCO TEÓRICO.................................................................................................................... 9
4.1 Análisis y Valoración de los Riesgos................................................................................. 9
4.2 Realización del análisis de riesgos ..................................................................................11
4.2.1 Preparación del análisis de riesgos .........................................................................11
4.2.2 Identificar amenazas ..............................................................................................13
4.2.3 Identificación de vulnerabilidades ..........................................................................14
4.2.4 Ejecución del análisis..............................................................................................14
4.2.5 Metodologías .........................................................................................................14
5. DESARROLLO DEL PROYECTO.................................................................................................18
5.1 Identificación y descripción de activos ...........................................................................18
5.2 Valoración de activos .....................................................................................................19
5.3 Identificación y descripción de amenazas ......................................................................20
5.3.1 Amenazas naturales ...........................................................................................20
5.3.2 Amenazas humanas ...........................................................................................20
5.3.3 Amenazas software.............................................................................................21
5.3.4 Amenazas hardware ...........................................................................................21
5.4 Identificación y descripción de vulnerabilidades ............................................................21
5.5 Identificación y descripción de activos de controles .......................................................23
5.6 Matriz de análisis de riesgos ..........................................................................................26
3. 5.7 Selección de controles ...................................................................................................31
5.8 Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y)
32
5.9 Plan de Implementación General ...................................................................................34
5.9.1 Objetivos ...............................................................................................................34
5.9.2 Presupuesto implementación de controles ............................................................34
5.10 Conclusiones y recomendaciones ..................................................................................38
6. CONCLUSIONES Y RECOMENDACIONES ACADÉMICAS ...........................................................38
7. BIBLIOGRAFÍA........................................................................................................................40
8. ANEXOS.................................................................................................................................41
8.1 Definición de Políticas....................................................................................................41
8.1.1 Compromiso de Confidencialidad ...........................................................................41
8.1.2 Formación y Capacitación en Materia de Seguridad de la Información ...................41
8.1.3 Perímetro de Seguridad Física ................................................................................41
8.1.4 Controles de Acceso ...............................................................................................42
8.1.5 Protección de Oficinas, Recintos e Instalaciones .....................................................42
8.1.6 Desarrollo de Tareas en Áreas Protegidas ..............................................................43
8.1.7 Ubicación y Protección del Equipamiento y Copias de Seguridad ............................43
8.1.8 Suministros de Energía...........................................................................................43
8.1.9 Seguridad del Cableado..........................................................................................44
8.1.10 Mantenimiento de Equipos ....................................................................................44
8.1.11 Planificación y Aprobación de Sistemas ..................................................................45
8.1.12 Protección Contra Software Malicioso....................................................................45
8.1.13 Resguardo de la Información..................................................................................46
8.1.14 Controles de Redes ................................................................................................46
4. Índice de Figuras
Figura 2.1 Administración de Procesos 7
Figura 2.2 Instalaciones del Centro del Cómputo 8
Figura 4.1 Elementos de Análisis de Riesgos 9
Figura 4.2 Activos para Análisis de Riesgos 11
5. DIAGNOSTICO BASADO EN EL ANÁLISIS DE RIESGOS CUANTITATIVO DE
LA EMPRESA “DISTRIBUIDORA BOLIVIANA DE BEBIDAS S.R.L”
1. INTRODUCCIÓN
La información es uno de los principales recursos que poseen las instituciones. Los
entes que se encargan de las tomas de decisiones han comenzado a comprender que la
información no es sólo un subproducto de la conducción empresarial, sino que a la vez
alimenta a los negocios y puede ser uno de los tantos factores críticos para la
determinación del éxito o fracaso de éstos.
En el presente documento nos permitirá apreciar el análisis de riesgos del área
tecnológica de la empresa “Distribuidora Boliviana de Bebidas” D.B.B. que ayuden a la
empresa a mejorar el manejo de sus activos, diagnosticando a la empresa para poder
realizar una apreciación tanto critica para que la empresa pueda preparar, emplear,
instrumentos y poderlos aplicar en el presente y que se desarrolle en un futuro.
Con el estudio realizado aplicaremos todos los conocimientos adquiridos en el
módulo “Análisis de Datos y Gerencia de Tecnologías de Comunicación e Información”.
El presente trabajo pretende: Aplicar los conceptos de seguridad de información para
así poder tomar las mejores decisiones y de esta manera la empresa pueda cumplir
sus metas, esto mediante la elaboración de un plan de acción para dar cumplimiento a
los controles elegidos.
2. ANTECEDENTES
2.1 Descripción de la empresa
La empresa Distribuidora Boliviana de bebidas (DBB S.R.L.) fue fundada como
sociedad de responsabilidad limitada por la iniciativa de los socios José Luis Bullain
y Arturo Ivanovick, ambos decidieron formar esta empresa debido a su larga
experiencia profesional en el rubro de las gaseosas, desempeñando cargos
importantes en empresas multinacionales y nacionales de este sector. En febrero
2011 DBB bajo la dirección de su gerente logra adquirir los derechos de marca de
SALVIETTI M.R. para la distribución de la bebida tradicional boliviana en el
mercado del departamento de La Paz.
6. En el año de 1920 por primera vez, se logra introducir en el mercado boliviano un
producto que se denominó “Champan Cola” el cual tenía un envase de vidrio
fabricado en Inglaterra, constituyéndose como el último adelanto en la línea de las
gaseosas.
Este inicio que a su vez determinaba un avance en la tecnología nacional en base al
aprovechamiento en los conocimientos que tenía Don Dante Salvietti, sin duda
constituyó un hecho trascendental, ya que desde esa época hasta la fecha se logra
imponer un sabor que no cambia, ingresando ahora a la tercera generación que
mantiene la tradición.
Posteriormente rodeándose de recursos humanos experimentados y sistemas
informáticos de distribución. DBB S.R.L. inicia sus operaciones en las ciudades de
La Paz y El Alto, movilizando un capital de más cien mil dólares y generando más
de 30 empleos directos que van en aumento a medida crece la empresa y el
mercado. En Abril del 2011 DBB S.R.L. apuesta por la diversificación, adquiriendo
los derechos de distribución en el sector Oeste de la ciudad de La Paz de los
excelentes productos de La Compañía Cervecera Boliviana S.A. (Cerveza Autentica),
empresa innovadora que fue haciéndole frente al monopolio que existía hasta hace
unos años en nuestro país.
La empresa en la actualidad se encuentra ubicada en la zona de Achachicala, Av.
Chacaltaya, Nº 2011, debido a que es un punto estratégico para la distribución de
sus productos. Cuenta con instalaciones adecuadas para el almacenaje de sus
productos.
Actualmente la empresa tiene a su disposición un total de 52 personas, entre
distribuidores, preventistas y personal administrativo. Cuenta además con una
flota de 8 camiones para la distribución en La Paz y 5 camiones para la distribución
en El Alto.
2.2 Descripción Tecnológica
La empresa con el fin poseer ventajas competitivas y resaltar en el mercado ha
implementado tecnología en sus procesos. A continuación se detallan los mismos.
7. Administración de Procesos
Los procesos se manejan de manera eficiente precautelando siempre evitar el
desperdicio de tiempo tanto en la carga de los camiones como en el mismo ruteo
de los recorridos de los mismos, una característica que le permite al cliente recibir
sus pedidos a tiempo y acorde a sus requerimientos. En la Figura 2.1 se puede
observar un resumen del proceso de distribución.
Entrega de
Prevent Ruteo Facturación Almacén
Rutas y Facturas
a
Cliente
Carga de Entrega de
Almacén Camiones Rutas y Facturas
Figura 2.1 Administración de Procesos
Sistemas de Información
Para la distribución de sus productos cuenta un sistema dedicado a la
distribución que opera de manera paralela con otro Sistema de Ruteo
(Roadshow) dinámico a los puntos de venta.
El área de Finanzas y Contabilidad de la empresa, cuenta con herramientas
informáticas para el manejo y gestión de información acerca de sus clientes,
presupuestos, Facturas, Proveedores, Gastos y otros. Este Sistema de
Información (FIS) además de proveer las funcionalidades básicas para el área,
brindan acceso compartido de la información desde varios equipos y
localizaciones, copias de seguridad automáticas en el servidor, envió de
facturas por mail, videos de ayuda y otros. En la Distribuidora Central se
encuentra las instalaciones del centro de cómputo como puede observarse en
la Figura 2.2.
El centro de cómputo básicamente cuenta con un servidor de Base de Datos (1,86
GHz 1 procesador (1) unidades de disco SATA de 3,5" y 80 GB de conexión en
caliente DDR2 SDRAM; Intercalado opcional (activado cuando se instalan DIMM
8. en parejas) 1 GB (1 x 1 GB) de memoria de serie 8 GB, una instalación de red
pequeña entre los servidores y terminales.
Tanto de ruteo el Sistema (Roadshow) como el de facturación (FIS) le
despliegan a la empresa una serie de datos que le permite al gerente hacer una
mejor toma de decisiones.
Gerencia y Departamento de
Sistemas y Facturación
Centro de
Cómputo
Área de Almacenamiento de los
productos
Figura 2.2 Instalaciones del Centro del Cómputo
3. DELIMITACIÓN
El presente documento contempla un diagnostico basado en un análisis de Riesgos
cuantitativo del Centro de Cómputo con el que cuenta la empresa:
Se elaborará una matriz de Riesgos cuantitativa
9. Se describirá las métricas para medir el desempeño y cumplimiento de los
controles.
Se elaborará un cronograma de implementación.
Se propondrá algunas políticas
4. MARCO TEÓRICO
4.1 Análisis y Valoración de los Riesgos
En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del
contexto de un análisis de riesgos, es la estimación del grado de exposición a que
una amenaza se materialice sobre uno o más activos causando daños o perjuicios a
la organización. El riesgo indica lo que le podría pasar a los activos si no se
protegieran adecuadamente. En la figura 4.1 se puede ver los elementos que son
objeto para el análisis de riesgos.
Figura 4.1 Elementos de Análisis de Riesgos
10. Antes de saber qué es un análisis de riesgos y lo que conlleva es importante conocer
qué son otro tipo de conceptos muy relacionados con los Análisis de Riesgos y la
seguridad de la información. Estos son los más importantes:
Amenaza: Es la causa potencial de un daño a un activo.
Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una
amenaza.
Impacto: consecuencias de que la amenaza ocurra.
Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara
desprotegido.
Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.
Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.
El análisis de riesgos se define como la utilización sistemática de la información
disponible, para identificar peligros y estimar los riesgos.
A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos
de la organización para que se puedan cubrir las expectativas, llegando al nivel de
seguridad requerido con los medios disponibles.
Es relativamente sencillo calcular con cuantos recursos se cuenta (económicos,
humanos, técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las
necesidades de seguridad.
Es aquí donde se muestra imprescindible la realización de un análisis de riesgos.
Hacerlo permite averiguar cuáles son los peligros a los que se enfrenta la
organización y la importancia de cada uno de ellos. Con esta información ya será
posible tomar decisiones bien fundamentadas acerca de qué medidas de
seguridad deben implantarse.
Por tanto, un aspecto de gran importancia a la hora de realizar la
implantación de un SGSI es tener en cuenta que la inversión en seguridad tiene
que ser proporcional al riesgo.
La información es generada y tratada por el personal tanto interno como externo,
mediante los equipos de tratamiento de la información existentes en la
organización y está situada en las instalaciones, por lo hay que considerar todos
los riesgos relacionados con estos aspectos.
11. 4.2 Realización del análisis de riesgos
4.2.1 Preparación del análisis de riesgos
Para realizar un análisis de riesgos se parte del inventario de activos. Si es
razonablemente reducido, puede decidirse hacer el análisis sobre todos los
activos que contiene. Si el inventario es extenso, es recomendable escoger un
grupo relevante y manejable de activos, bien los que tengan más valor, los que se
consideren estratégicos o todos aquellos que se considere que se pueden
analizar con los recursos disponibles. Se puede tomar cualquier criterio que
se estime oportuno para poder abordar el análisis de riesgos en la confianza de
que los resultados van a ser útiles.
Figura 4.2 Activos para Análisis de Riesgos
Hay que tener en cuenta que la realización de un análisis de riesgos es un
proceso laborioso. Para cada activo se van a valorar todas las amenazas que
pueden afectarle, la vulnerabilidad cada una de las amenaza y el impacto que
causaría la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del
riesgo para ese activo.
Independientemente de la metodología que se utilice, el análisis de riesgos
debe ser objetivo y conseguir resultados repetibles en la medida de lo posible,
por lo que deberían participar en él todas las áreas de la organización que estén
dentro del alcance del SGSI. De esta manera quedarán plasmados varios puntos de
vista y la subjetividad, que es inevitable, quedará reducida. Además contar
12. con la colaboración de varias personas ayuda a promover el desarrollo del SGSI
como una herramienta útil para toda la organización y no sólo para la dirección o
el área que se encarga del proyecto. Se puede abordar el análisis de riesgos
con varios enfoques dependiendo del grado de profundidad con el que se quiera o
pueda realizar el análisis:
a. Enfoque de Mínimos:
Se escoge un conjunto mínimo de activos y se hace un análisis conjunto, de
manera que se emplean una cantidad mínima de recursos, consumiendo poco
tiempo y por lo tanto tiene el coste es menor. Este enfoque tienen el
inconveniente de que si se escoge un nivel básico de seguridad muy alto, puede
requerir recursos excesivos al implantarlo para todos los activos y por el
contrario, si es muy bajo, los activos con más riesgos pueden no quedar
adecuadamente protegidos. Debido a la falta de detalle en el análisis, puede ser
difícil actualizar los controles o añadir otros según vayan cambiando los activos y
sistemas.
b. Enfoque Informal:
Con este enfoque, no se necesita formación especial para realizarlo ni
necesita de tantos recursos de tiempo y personal como el análisis detallado.
Las desventajas de este informe son que al no estar basado en métodos
estructurados, puede suceder que se pasen por altos áreas de riesgos o amenazas
importantes y al depender de las personas que lo realizan, el análisis puede
resultar con cierto grado de subjetividad. Si no se argumenta bien la selección
de controles, puede ser difícil justificar después el gasto en su implantación.
c. Enfoque Detallado:
Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos
a los que se enfrenta la organización. Se puede decidir un nivel de seguridad
apropiado para cada activo y de esa manera escoger los controles con precisión.
Es el enfoque que más recursos necesita en tiempo, personal y dinero para
llevarlo a cabo de una manera efectiva.
d. Enfoque Combinado:
Con un enfoque de alto nivel al principio, permite determinar cuáles son los
activos en los que habrá que invertir más antes de utilizar muchos recursos en
el análisis. Por ello ahorra recursos al tratar antes y de manera más
exhaustiva los riesgos más importantes mientras que al resto de los riesgos sólo se
13. les aplica un nivel básico de seguridad, con lo que consigue un nivel de
seguridad razonable en la organización con recursos ajustados. Es el enfoque
más eficaz en cuanto a costes y a adaptabilidad a empresas con recursos limitados.
Hay que tener en cuenta que si el análisis de alto nivel es erróneo puede
que queden algunos activos críticos a los que no se realice un análisis detallado.
4.2.2 Identificar amenazas
Como ya se ha visto anteriormente, podríamos denominar amenaza a un evento o
incidente provocado por una entidad natural, humana o artificial que,
aprovechando una o varias vulnerabilidades de un activo, pone en peligro la
confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro
modo, una amenaza explota la vulnerabilidad del activo.
Atendiendo a su origen, existen dos tipos de amenazas:
Externas, que son las causadas por alguien (hackers, proveedores,
clientes, etc.) o algo que no pertenece a la organización. Ejemplos de
amenazas de este tipo son los virus y las tormentas.
Internas, estas amenazas son causadas por alguien que pertenece a la
organización, por ejemplo errores de usuario o errores de configuración.
Las amenazas también pueden dividirse en dos grupos según la intencionalidad
del ataque en deliberadas y accidentales:
Deliberadas: Cuando existe una intención de provocar un daño, por
ejemplo un ataque de denegación de servicio o la ingeniería social.
Accidentales: Cuando no existe tal intención de perjudicar, por ejemplo
averías o las derivadas de desastres naturales: terremotos, inundaciones,
fuego, etc.
Para valorar las amenazas en su justa medida hay que tener en cuenta cual sería el
impacto en caso de que ocurrieran y a cuál o cuáles son los parámetros de
seguridad que afectaría, si a la confidencialidad, la integridad o la
disponibilidad.
14. 4.2.3 Identificación de vulnerabilidades
Una vulnerabilidad es toda aquella circunstancia o característica de un activo
que permite la materialización de ataques que comprometen la
confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo
será vulnerable a los virus si no tiene un programa antivirus instalado.
Hay que identificar las debilidades en el entorno de la Organización y valorar
cómo de vulnerable es el activo en una escala razonable (alto-medio-bajo, de 1 a
5, etc.).
Hay que tener en cuenta que la presencia de una vulnerabilidad por sí misma no
causa daño. Para que se produzca este daño debe existir una amenaza que pueda
explotarla.
Algunos ejemplos de vulnerabilidades son:
1. La ausencia de copias de seguridad, que compromete la disponibilidad de
los activos.
2. Tener usuarios sin formación adecuada, que compromete la
confidencialidad, la integridad y la disponibilidad de los activos, ya que
pueden filtrar información o cometer errores sin ser conscientes del
fallo.
3. Ausencia de control de cambios, que compromete la integridad y la
disponibilidad de los activos.
4.2.4 Ejecución del análisis
Con el equipo de trabajo asignado para ello y la metodología escogida, se
llevará a cabo el análisis de riesgos. Los participantes tendrán que valorar las
amenazas y las vulnerabilidades que afectan a los activos escogidos para el
análisis y el impacto que ocasionaría que alguna de las amenazas realmente
ocurriera, sobre la base de su conocimiento y experiencia dentro de la
organización.
4.2.5 Metodologías
Existen numerosas metodologías disponibles para la realización de análisis de
riesgos, ya que es una labor que requiere de bastante dedicación y con una
15. metodología estructurada se facilita la tarea, sobre todo si existe una herramienta
que simplifique todo el proceso.
La organización debe escoger aquella que se ajuste a sus necesidades, y si
considera varias opciones, inclinarse por la más sencilla. Hay que tener en
cuenta que el análisis de riesgos debe revisarse periódicamente, por lo que si
se hace con una metodología complicada, esta labor necesitará de una
dedicación excesiva.
A continuación se detallarán algunas de las metodologías más reconocidas:
Análisis holandés A&K.
Es método de análisis de riesgos, del que hay publicado un manual, que ha
sido desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el
gobierno y a menudo en empresas holandesas.
CRAMM
Es un método de análisis de riesgos desarrollado por el gobierno británico y cuenta
con una herramienta, ya que es un método difícil de usar sin ella. Está basado en las
mejores prácticas de la administración pública británica, por lo que es más
adecuado para organizaciones grandes, tanto públicas como privadas.
EBIOS
Es un juego de guías mas una herramienta de código libre gratuita, enfocada a
gestores del riesgo de TI. Desarrollada en un principio por el gobierno francés, ha
tenido una gran difusión y se usa tanto en el sector público como en el privado no
sólo de Francia sino en otros países. La metodología EBIOS consta de un ciclo de
cinco fases:
Fase 1. Análisis del contexto, estudiando cuales son las dependencias de los
procesos del negocio respecto a los sistemas de información.
Fases 2 y 3, Análisis de las necesidades de seguridad y de las amenazas,
determinando los puntos de conflicto.
Fases 4 y 5, Resolución del conflicto, estableciendo los objetivos de seguridad
necesarios y suficientes, con pruebas de su cumplimiento y dejando claros
cuales son los riesgos residuales.
IT-GRUNDSCHUTZ (Manual de protección básica de TI)
Desarrollado en Alemania por la Oficina Federal de la Seguridad de la Información
(BSI en sus siglas alemanas). Este manual proporciona un método para establecer
un SGSI en cualquier organización, con recomendaciones técnicas para su
implantación. El proceso de seguridad de TI propuesto por esta metodología sigue
los siguientes pasos:
16. Iniciar el proceso.
Definir los objetivos de seguridad y el contexto de la organización.
Establecer la organización para la seguridad de TI.
Proporcionar recursos.
Crear el concepto de la seguridad de TI.
Análisis de la estructura de TI.
Evaluación de los requisitos de protección.
Modelado.
Comprobación de la seguridad de TI.
Planificación e implantación.
Mantenimiento, seguimiento y mejora del proceso.
La metodología incluye listas de amenazas y controles de seguridad que se pueden
ajustar a las necesidades de cada organización.
MAGERIT
Desarrollado por el Ministerio de Administraciones Públicas español, es una
metodología de análisis de riesgos que describe los pasos para realizar un análisis
del estado de riesgo y para gestionar su mitigación, detalla las tareas para llevarlo a
cabo de manera que el proceso esté bajo control en todo momento y contempla
aspectos prácticos para la realización de de un análisis y una gestión realmente
efectivos. Cuenta con detallados catálogos de amenazas, vulnerabilidades y
salvaguardas. Cuenta con una herramienta, denominada PILAR para el análisis y la
gestión de los riesgos de los sistemas de información que tiene dos versiones, una
completa para grandes organizaciones y otra simplificada para las pequeñas.
Manual de Seguridad de TI Austriaco.
Consta de dos partes, en la primera se describe el proceso de la gestión de la
seguridad de TI, incluyendo el análisis de riesgos y la segunda es un compendio de
230 medidas de seguridad. Es conforme con la Norma ISO/IEC IS 13335 y en parte
con la ISO 27002.
MARION – MEHARI.
El primigenio MARION (Método de Análisis de Riesgos por Niveles), basado en una
metodología de auditoría, permitía estimar el nivel de riesgos de TI de una
organización. Sustituido por MEHARI, este método de análisis de riesgo cuenta con
17. un modelo de evaluación de riesgos y módulos de componentes y procesos. Con
MEHARI se detectan vulnerabilidades mediante auditorías y se analizan
situaciones de riesgo.
Métodos ISF para la evaluación y gestión de riesgos.
El Information Security Forum. (ISF) es una importante asociación internacional.
Su Estándar de Buenas Prácticas es un conjunto de principios y objetivos para la
seguridad de la información con buenas prácticas asociadas a los mismos. El
Estándar cubre la gestión de la seguridad a nivel corporativo, las aplicaciones
críticas del negocio, las instalaciones de los sistemas de información, las redes y el
desarrollo de sistemas.
Norma ISO/IEC IS 27005.
La Norma habla de la gestión de los riesgos de la seguridad de la información de
manera genérica, utilizando para ello el modelo PDCA, y en sus anexos se pueden
encontrar enfoques para la realización de análisis de riesgos, así como un catálogo
de amenazas, vulnerabilidades y técnicas para valorarlos.
OCTAVE
(Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVE®),
desarrollado en EEUU por el SEI, en un una metodología para recoger y analizar
información de manera que se pueda diseñar una estrategia de protección y planes
de mitigación de riesgo basados en los riesgos operacionales de seguridad de la
organización. Hay dos versiones, una para grandes organizaciones y otra para
pequeñas, de menos de 100 empleados.
SP800-30 NIST Risk Management Guide for Information Technology Systems.
Desarrollado por el NIST estadounidense, es una guía detallada de las
consideraciones que deben hacerse para llevar a cabo una evaluación y una gestión
de riesgos orientada a la seguridad de los sistemas de información.
18. 5. DESARROLLO DEL PROYECTO
5.1 Identificación y descripción de activos
Para facilitar el manejo y mantenimiento del inventario los activos de información
se los clasificarán en las diferentes categorías:
Know how
Se tiene el know how de la fórmula de Salvietti (derechos de exclusividad),
además de contar con la amplia experiencia del gerente general.
El patente que protege el Know How de la composición química del producto
genera una elevada protección de la imitación de la competencia y una
importante ventaja distintiva.
Datos
Información de Clientes
Rutas
Facturas
Aplicaciones:
Sistema de ruteo Roadshow
Sistema de facturación FIS
Sistema de contabilidad
Personal
Entre esta categoría tenemos los siguientes:
Clientes
Personal de preventas
Distribuidores
Operarios de sistema del sistema de ruteo
Operarios de sistema del sistema facturación
Operarios de sistema del sistema contabilidad.
19. Servicios
Gestión de preventa, venta y post-venta (marketing)
Ruteo
Facturación
Entrega de rutas y facturas
Informe contable
Gestión estratégica (Directorio)
Gestión administrativa (Administración)
Auditoría contable (Contabilidad)
Análisis financiero (Finanzas)
Determinación de las Políticas y Estrategias de Marketing (marketing)
Planeación de productos y servicios (marketing)
Distribución (almacén)
Tecnologías
Servidor
PC’s
Teléfonos
Impresoras
Routers
Cableado
Instalaciones
Centro de cómputo
5.2 Valoración de activos
Para la valoración de los activos de información identificados usaremos una escala
de cuantitativa con los rangos de 0 a 100.
Activo Categoría Disponibilidad Integridad Confidencialidad
Sistema de Aplicaciones 80 80 90
Ruteo
Roadshow
Sistema de Aplicaciones 80 80 70
20. facturación
FIS
Sistema de Aplicaciones 80 80 80
Contabilidad
Servidor Tecnologías 90
PC’s Tecnologías 80
Cableado de Tecnologías 70
Red de Datos
5.3 Identificación y descripción de amenazas
5.3.1 Amenazas naturales
● Incendios intempestivos, pueden ser producidos por cortes de energía
eléctrica por uso inapropiado de los equipos computacionales, cabe aclarar que
en el centro de distribución no se hace uso de maquinaria industrial por lo que
el cableado eléctrico es doméstico.
● Desastres naturales (Terremotos), La Paz tiene como amenaza latente a los
terremotos por ser una zona inestable, los últimos sismos se detectaron en
agosto y septiembre del presente año.
5.3.2 Amenazas humanas
● Personal no autorizado con acceso al sistema, amenaza de personas que
conocen la estructura del sistema la empresa. Actualmente los ex empleados
de la empresa están trabajando con los competidores como EMBOL, donde sus
motivaciones van desde revanchas personales hasta ofertas y remuneraciones
de organizaciones rivales.
● Pérdida de la información de los sistemas a causa de:
○ Falta de políticas de copias de respaldo y otros.
○ Robo de la información por medio de unidades de almacenamiento
secundario (pendrives, CD, cintas, etc.).
● Robo físico de los componentes de hardware del sistema e incluso también se
considera como robo el uso de los equipos para actividades diferentes a los
que se les asigna en la organización, ya que la empresa no cuenta actualmente
con seguridad física en la entrada.
21. ● Negligencia en el uso de los equipos, todos los componentes deben ser usados
dentro de los parámetros establecidos por los fabricantes, esto incluye tiempos
de uso, periodos y procedimientos adecuados de mantenimiento, así como un
apropiado almacenamiento. No seguir estas prácticas provoca un desgaste
mayor que trae como consecuencia descomposturas prematuras y reducción
del tiempo de vida útil de los recursos.
5.3.3 Amenazas software
● Errores de Programación y Diseño, es sistema de ruteo se encuentra
actualmente sin ninguna actualización, por tanto está sujeto a cualquier error
no corregido.
● Mala Manipulación del Sistema, el sistema no es lo suficiente usable para su
operación, requiere de un operador capacitado para su uso.
● Sistema sin operar, en la empresa solo se cuenta con un usuario del sistema
para su funcionamiento.
● Inconsistencia de Información, los sistemas Contable y el de Facturación FIS no
se encuentran integrados, la información que se transmite del sistema contable
al FIS es manual. Por tanto es fácil de cometer errores al ingresar información.
● Ataques de usuario malicioso (Escaneo de puertos, Sniffing, ing. social).
5.3.4 Amenazas hardware
● Deterioro de Hardware, la empresa no se ha realizado ninguna actualización de
sus equipos tanto servidores y terminales.
5.4 Identificación y descripción de vulnerabilidades
● Falta de políticas de acceso al sistema, no se cuenta con políticas de acceso a
los sistemas de información, tanto del Ruteo, Contabilidad y de Facturación.
● Falta de control de acceso físico al área de sistemas, no se cuenta con
políticas de acceso a las instalaciones del área de sistemas, nadie registra la
entrada al área de sistemas y a las instalaciones donde se encuentran los
servidores, por otro lado no existe personal de seguridad.
● Falta de políticas de seguridad de la información, no se tiene implementado
políticas que protejan la seguridad de la información, en el sentido de que los
puertos USB de los equipos se encuentran y cualquiera puede hacer uso de los
mismos. Por otro lado no existe restricciones de uso de correos no
corporativos, como Hotmail, yahoo, gmail, etc.
22. ● Falta de políticas de copias de respaldo
La empresa actualmente no cuenta con políticas de copias de respaldo a diario,
si bien se realiza una copia semanal, se considera que no es suficiente, ya que
son útiles para recuperarse de una catástrofe informática, o recuperar una
pequeña cantidad de archivos que pueden haberse eliminado accidentalmente
o corrompido.
● Falta de actualizaciones, desde el momento en que se adquirió el sistema, no
se ha efectuado las actualizaciones correspondientes al mismo, esto es
importante sobre todo para evitar posibles errores del sistema que ya fueron
resueltos.
● El sistema es complejo en su manipulación, específicamente el sistema de
ruteo, es un sistema que requiere para su operación un usuario especializado
en el manejo y administración del mismo, situación que hace necesaria la
capacitación de un especialista para el uso del mismo.
● Solo existe un encargado que conoce el Sistema, esta situación puede
perjudicar en la operatividad de la empresa, puesto que en caso de ausencia
del operador del sistema, no se podrá generar información acerca de las rutas y
clientes para la distribución de los productos.
● Falta de integración del Sistema de Contabilidad y Facturación, El sistema
contable debe estar alimentado con información de las facturas (que genera el
sistema de Facturación) de los clientes, para su procesamiento, es de esta
manera que el contador debe ingresar dicha información manualmente
provocando posibles problemas de inconsistencia de datos.
● Envío de contraseñas con encriptación débil, no existe políticas para la
creación de contraseñas tanto para los accesos a los equipos como para los
sistemas.
● Puertos no utilizados abiertos
No se realiza la protección de puertos abiertos q no son utilizados, los cuales
podrían ser usados por troyanos altamente peligrosos.
● Falta de un sistema de ingreso de personal
La empresa no cuenta con un sistema que registre el ingreso y salida del
personal, solo se tiene un registro manual. Lo que no garantiza la veracidad de
la información a la hora de realizar un control de las personas que ingresaron a
las instalaciones de la empresa.
● No existe cableado estructurado en la instalación de la red de energía
eléctrica.
23. La instalación de red de energía eléctrica no es la adecuada, no cuenta con
normas de seguridad. Lo que podría causar daños en los equipos.
● Políticas de seguridad deficientes e inexistentes para el cuidado y
conservación de hardware.
Contar con un suministro de energía ininterrumpible (UPS) para asegurar el
apagado regulado y sistemático.
No todos los equipos cuentan con estabilizadores lo que provocaría daños en el
hardware.
No se efectúa periódicamente un mantenimiento preventivo de los equipos.
● La empresa no cuenta con una construcción antisísmica
● Políticas de seguridad en caso de desastres naturales inexistente
No se tiene creadas las políticas de seguridad en caso de desastres naturales.
● Instalaciones Inadecuadas, para protección del cableado
Las instalaciones y la distribución de los muebles y enseres no se encuentran
adecuadas como para la implementación de un cableado de red y de energía.
● No existe cableado estructurado en la red de datos.
No se cuenta con cableado estructurado en su totalidad. Solo el servidor de
base de datos y la maquina cliente de donde se operan los sistemas (Ruteo,
Contabilidad, Facturación) se encuentran en red. Esta situación incurre en un
problema para compartir la información con las aéreas que requieren estar al
tanto de los mismos. Así como el área de las gerencias.
5.5 Identificación y descripción de activos de controles
Establecimiento de una política de control de accesos
Uso de criptografía para proteger los datos
Restringir el ingreso de personas no autorizadas
Definir una política de copias de seguridad
Con la finalidad de mantener operativos los procesos de la empresa
DISTRIBUIDORA BOLIVIANA DE BEBIDAS S.R.L, es necesario fijar una política de
respaldo de Información que permita ante cualquier eventualidad recuperar de
manera rápida y actualizada la información perdida. Para esto es necesario definir
dos niveles de criticidad de la información que se especifican a continuación:
24. o Nivel Crítico: Información institucional almacenada en el servidor de
base de dato.
o Nivel Medio: Información relativa a respaldos del servidor de
aplicaciones.
Los métodos de copia de seguridad son los diarios e incrementales.
Restringir el uso de dispositivos de almacenamiento
Dada la importancia de la información que maneja la institución y la necesidad de
resguardar los datos, así como emitir información a otras entidades, surge la
necesidad de establecer la normativa para regular el uso de cualquier tipo de
unidades de respaldo sean estas internas o externas, entre las que podemos
mencionar los quemadores de discos compactos, DVD, pendrives, entre otros.
Limitar el uso de correos no corporativos y acceso a servidores FTP
Adquisición de actualizaciones
Creación de una guía de usuario
Implementar integración automática entre ambos sistemas (Contabilidad
y Facturación)
Análisis del tráfico de la red
El análisis y diagnóstico de redes permite encontrar deficiencias en la red de datos
y sus causas, u oportunidades de mejora, y formular acciones correctivas y de
mejoramiento. El análisis de red debe hacerse continuamente.
Normas de restricción y privilegios de usuarios
Instalación de un sistema de registro con huella dactilar
Un sistema de control biométrico con lector de huellas dactilares permite el
registro de las entradas y salidas del personal, de esta manera se verifica que solo
los empleados tengan acceso a las instalaciones de la empresa.
Instalación de cámaras de seguridad
Debido a la necesidad de resguardar tanto los activos tangibles e intangibles, se
puede optar con la instalación de cámaras de seguridad que puedan grabar todo el
desenvolvimiento de los trabajadores de la empresa y pueda así pueda haber una
prueba de los culpables en caso de actos no correctos.
25. Instalación de equipos de protección de cortes de energía eléctrica
Los equipos de protección de energía eléctrica previenen los cortes de energía y
minimizan los peligros que pueda ocasionar. Mediante la mejora de la capacidad
de los equipos de protección se mejora la disponibilidad y confiabilidad de los
sistemas, además se mantiene por un tiempo la energía eléctrica en caso de cortes,
y se previene de los daños de las instalaciones de transmisión eléctrica debido a la
sobrecarga.
Aplicar políticas de seguridad y procedimientos en caso desastres
naturales
Instalaciones de alarmas y control de incendio
Mejora del cableado de Red de Datos
Aplicar políticas de seguridad y procedimientos para el cuidado y
conservación de los equipos
Implementar un cableado estructurado de red de ratos según normativa
Aplicar políticas de seguridad y procedimientos para el cuidado y
conservación de la red
El personal administrativo tiene acceso a los servicios de la red: servidor de
aplicaciones, servidor de bases de dato, impresoras, archivos compartidos en otras
estaciones de trabajo entre otros. Dicha cuenta es otorgada para facilitar las
labores de los funcionarios mediante el uso de tecnología informática. Por lo
anterior, los usuarios deben hacer uso de la red y de los servicios relacionados con
esta, estrictamente en cumplimiento de las labores institucionales, tomando en
consideración la privacidad de otros usuarios y la no saturación de la red por uso
indebido del ancho de banda, entre otros argumentos.
Solicitar soporte para el correcto uso del Sistema
Capacitar a una segunda persona como respaldo
Uso de cortafuegos
Con un firewall o cortafuegos, podemos bloquear accesos no autorizados,
permitiendo al mismo tiempo comunicaciones autorizadas, abrir o cerrar puertos
según sea lo necesario. Podemos implementarlos en hardware o software, o una
combinación de ambos. En el caso de la empresa por cuestiones de costo podemos
instalar un software firewall.
26. 5.6 Matriz de análisis de riesgos
Costo Valor del
Activos Valor Amenazas FE SLE Vulnerabilidades ARO ALE Controles ALE DC Ahorro
control Control
1. Establecimiento de una
1. Personal no 200 1050 1050
4. Falta de politicas de politica de control de accesos
Autorizado con 50% 5000 25% 1250
acceso al sistema 2. Uso de criptografia para
acceso al Sistema 500 -500 750
proteger los datos
1. Falta de control de
3. Restringir el ingreso de
acceso fisico al area de 25% 250 300 -50 -50
personas no autorizadas
sistemas
2. Robo de la 5. Restringir el uso de
10% 1000 300 50 50
Información dispositivos de almacenamiento
2. Falta de politicas de
35% 350 6. Limitar el uso de correos no
seguridad de la información
corporativos y acceso a 200 -200 150
servidores FTP
Sistema de
Ruteo 10000 3. Pérdida de 3. Falta de politicas de 4. Definir una política de copias
10% 1000 50% 500 200 300 300
Roadshow Información copias de respaldo de seguridad
5. Errores de
7. Adquisición de
Programacion y 20% 2000 6. Falta de actualizaciones 50% 1000 2000 -1000 -1000
actualizaciones
Diseño
21. Solicitar soporte para el
1000 250 250
6. Mala Manipulacion 15. El sistema es complejo correcto uso del Sistema
50% 5000 25% 1250
del Sistema en su manipulacion 8. Creación de una guia de
500 -500 -500
usuario
8. Creación de una guia de
16. Solo existe un 500 4500 4500
7. Sistema no usuario
100% 10000 encargado que conoce el 50% 5000
disponible 22. Capacitar a una segunda
Sistema 1000 -1000 -1000
persona como respaldo
1. Establecimiento de una
1. Personal no 200 425 425
Sistema de 4. Falta de politicas de politica de control de accesos
5000 Autorizado con 50% 2500 25% 625
Contabilidad acceso al sistema 2. Uso de criptografia para
acceso al Sistema 500 -500 -500
proteger los datos
27. 1. Falta de control de
3. Restringir el ingreso de
acceso fisico al area de 25% 125 300 -175 -175
personas no autorizadas
sistemas
2. Robo de la 5. Restringir el uso de
10% 500 300 -175 -175
Información dispositivos de almacenamiento
2. Falta de politicas de
25% 125 6. Limitar el uso de correos no
seguridad de la información
corporativos y acceso a 200 -200 -200
servidores FTP
3. Pérdida de 3. Falta de politicas de 4. Definir una política de copias
10% 500 25% 125 200 -75 -75
Información copias de respaldo de seguridad
9. Implementar integracion
5. Falta de integración del
4. Inconsistencia de automática entre ambos
30% 1500 Sistema de Contabilidad y 100% 1500 3000 -1500 -1500
Información sistemas (Contabilidad y
Facturación
Facturación)
1. Personal no
4. Falta de politicas de 1. Establecimiento de una
Autorizado con 50% 4000 100% 4000 200 3800 3800
acceso al sistema politica de control de accesos
acceso al Sistema
1. Falta de control de
3. Restringir el ingreso de
acceso fisico al area de 100% 800 300 500 500
personas no autorizadas
sistemas
2. Robo de la 5. Restringir el uso de
10% 800 300 500 500
Sistema de Información dispositivos de almacenamiento
2. Falta de politicas de
Facturacion 8000 100% 800 6. Limitar el uso de correos no
seguridad de la información
FIS corporativos y acceso a 200 -200 -200
servidores FTP
3. Pérdida de 3. Falta de politicas de 4. Definir una política de copias
10% 800 50% 400 200 200 200
Información copias de respaldo de seguridad
9. Implementar integracion
5. Falta de integración del
4. Inconsistencia de automática entre ambos
30% 2400 Sistema de Contabilidad y 50% 1200 3000 -1800 -1800
Información sistemas (Contabilidad y
Facturación
Facturación)
3. Falta de politicas de 4. Definir una política de copias 800 800
copias de respaldo 50% 1000 de seguridad 200
3. Pérdida de
Información 1. Falta de control de
3. Restringir el ingreso de
Servidor acceso fisico al area de 1700 1700
personas no autorizadas
Base de 20000 10% 2000 sistemas 100% 2000 300
Datos 1. Establecimiento de una
1. Personal no 9800 9800
4. Falta de politicas de politica de control de accesos 200
Autorizado con 50% 10000 100% 10000
acceso al sistema 2. Uso de criptografia para
acceso al Sistema -500 -500
proteger los datos 500
28. 2. Uso de criptografia para
9500 9500
proteger los datos 500
17. Envío de contraseñas 7. Adquisición de
50% 10000 -5000 -5000
con encriptación debil actualizaciones 5000
10. Análisis del tráfico de la red -300 -300
300
8. Ataques de 2. Uso de criptografia para
4500 4500
usuario malicioso ( 2. Falta de politicas de proteger los datos 500
100% 20000 25% 5000
escaneo de puertos, seguridad de la información 11. Normas de restricción y
sniffing, ing. social) -300 -300
privilegios de usuarios 300
18. Puertos no utilizados
25% 5000 23. Uso de cortafuegos 4500 4500
abiertos 500
19. Acceso a instalaciones 10. Análisis del tráfico de la red 4700 4700
300
de software no 25% 5000
monitoreadas 11. Normas de restricción y
-300 -300
privilegios de usuarios 300
1. Falta de control de
3. Restringir el ingreso de
acceso fisico al area de 25% 5000 4700 4700
personas no autorizadas
sistemas 300
9. Robo de Hardware 100% 20000 12. Instalación de un sistema
18000 18000
7. Falta de un sistema de de registro con huella dactilar 2000
100% 20000
ingreso de personal 13. Instalación de cámaras de
-5000 -5000
seguridad 5000
8. No existe cableado
14. Instalación de equipos de
estructurado en la
50% 2000 protección de cortes de energía -5000 -5000
instalación de la red de
eléctrica
energía eléctrica. 7000
10. Deterioro de 11. Políticas de seguridad 18. Aplicar politicas de
20% 4000 deficientes e inexistentes seguridad y procedimientos
Hardware 100% 4000 3300 3300
para el cuidado y para el cuidado y conservación
conservacion de hardware de los equipos 700
7. Adquisición de
6. Falta de actualizaciones 50% 2000 -3000 -3000
actualizaciones 5000
8. No existe cableado
14. Instalacion de equipos de
estructurado en la
11. Incendios 50% 10000 100% 10000 protección de cortes de enegía 3000 3000
instalación de la red de
eléctrica
energía eléctrica. 7000
29. 9. No existe equipamiento
16. Instalaciones de alarmas y
adecuado para proteccion 50% 5000 1000 1000
control de incendio
de equipos 4000
10. La empresa no cuenta 15. Aplicar politicas de
con una construcción 100% 20000 seguridad y procedimientos en 19500 19500
12. Terremotos,
antisísmica caso desastres naturales 500
cismos o 100% 20000
12. Políticas de seguridad 15. Aplicar politicas de
deslizamientos
en caso de desastres 100% 20000 seguridad y procedimientos en 19500 19500
naturales inexistente caso desastres naturales 500
9. No existe equipamiento
16. Instalaciones de alarmas y
adecuado para proteccion 100% 5000 -1000 -1000
control de incendio
de equipos 6000
8. No existe cableado
14. Instalacion de equipos de
estructurado en la
11. Incendios 100% 5000 100% 5000 protección de cortes de enegía 4000 4000
instalación de la red de
eléctrica
energía eléctrica. 1000
12. Políticas de seguridad 15. Aplicar politicas de
en caso de desastres 100% 10000 seguridad y procedimientos en 9500 9500
naturales inexistente caso desastres naturales 500
9. No existe equipamiento 16. Instalaciones adecuadas
adecuado para proteccion 100% 2500 con alarma y control de -3500 -3500
de equipos incendio 6000
12. Terremotos, 10. La empresa no cuenta 15. Aplicar politicas de
cismos o 100% 5000 con una construcción 100% 5000 seguridad y procedimientos en 4500 4500
deslizamientos antisísmica caso desastres naturales 500
12. Políticas de seguridad 15. Aplicar politicas de
PC's 5000 en caso de desastres 100% 5000 seguridad y procedimientos en 4500 4500
naturales inexistente caso desastres naturales 500
8. No existe cableado
14. Instalacion de equipos de
estructurado en la
100% 2500 protección de cortes de enegía 1500 1500
instalación de la red de
eléctrica
10. Deterioro de energía eléctrica. 1000
50% 2500
Hardware 11. Políticas de seguridad 18. Aplicar politicas de
deficientes e inexistentes seguridad y procedimientos
200% 5000 4900 4900
para el cuidado y para el cuidado y conservación
conservacion de hardware de los equipos 100
1. Falta de control de
3. Restringir el ingreso de
acceso fisico al area de 100% 50000 49700 49700
personas no autorizadas
sistemas 300
9. Robo de Hardware 50% 50000 12. Instalación de un sistema
48000 48000
7. Falta de un sistema de de registro con huella dactilar 2000
100% 50000
ingreso de personal 13. Instalación de cámaras de
-5000 -5000
seguridad 5000
30. 13. Instalaciones
16. Instalaciones de alarmas y
Inadecuadas, para 50% 1500 4000 -2500 -2500
control de incendio
proteccion del cableado
8. No existe cableado
14. Instalacion de equipos de
estructurado en la
11. Incendios 100% 3000 100% 3000 protección de cortes de enegía 1000 2000 2000
instalación de la red de
eléctrica
energía eléctrica.
12. Políticas de seguridad 15. Aplicar politicas de
en caso de desastres 50% 1500 seguridad y procedimientos en 500 1000 1000
naturales inexistente caso desastres naturales
13. Instalaciones 15. Aplicar politicas de
Inadecuadas, para 50% 1500 seguridad y procedimientos en 500 1000 1000
proteccion del cableado caso desastres naturales
10. La empresa no cuenta 15. Aplicar politicas de
con una construcción 50% 1500 seguridad y procedimientos en 500 1000 1000
Cableado 12. Terremotos,
antisísmica caso desastres naturales
de Red de 3000 cismos o 100% 3000
14. No existe cableado 19. Implementar un cableado
Datos deslizamientos
estructurado en la red de 50% 1500 estructurado de red de ratos s 4000 -2500 -2500
datos. según normativa
12. Políticas de seguridad 15. Aplicar politicas de
en caso de desastres 50% 1500 seguridad y procedimientos en 500 1000 1000
naturales inexistente caso desastres naturales
13. Instalaciones
17. Mejora del cableado de Red
Inadecuadas, para 50% 300 2500 -2200 -2200
de Datos
proteccion del cableado
14. No existe cableado 19. Implementar un cableado
10. Deterioro de estructurado en la red de 100% 600 estructurado de red de ratos s 4000 -3400 -3400
20% 600
Hardware datos. según normativa
11. Políticas de seguridad 20. Aplicar politicas de
deficientes e inexistentes seguridad y procedimientos
50% 300 200 100 400
para el cuidado y para el cuidado y conservación
conservacion de hardware de la red
ALE DC= FE*VALOR DEL ACTIVO* Probabilidad de que ocurra la amenaza a pesar del control
VALOR DEL CONTROL= ALE-ALEDC-COSTO CONTROL
31. 5.7 Selección de controles
Análisis y descripción de Amenazas
Análisis y descripción de Vulnerabilidades
Selección de Controles
Implementación de Controles
Establecimiento de una política de control de accesos.
Uso de criptografía para proteger los datos.
Restringir el ingreso de personas no autorizadas
Restringir el uso de dispositivos de almacenamiento
Limitar el uso de correos no corporativos y acceso a servidores FTP
Definir una política de copias de seguridad
Adquisición de actualizaciones
Solicitar soporte para el correcto uso del Sistema
Creación de una guía de usuario.
Capacitar a una segunda persona como respaldo.
Establecimiento de una política de control de accesos
Restringir el uso de dispositivos de almacenamiento
Implementar integración automática entre ambos sistemas (Contabilidad y
facturación).
Restringir el ingreso de personas no autorizadas.
Adquisición de actualizaciones
Análisis del tráfico de la red
Normas de restricción y privilegios de usuarios
Uso de cortafuegos
Instalación de un sistema de registro con huella dactilar.
Instalación de cámaras de seguridad.
Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de los
equipos.
Instalación de equipos de protección de cortes de energía eléctrica.
Instalaciones de alarmas y control de incendio.
32. Aplicar políticas de seguridad y procedimientos en caso desastres naturales.
Instalación de un sistema de registro con huella dactilar.
Instalación de cámaras de seguridad.
Mejora del cableado de Red de Datos.
Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de la
red.
5.8 Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia,
Fuente, Indicadores y)
Las métricas que se han descrito son las siguientes:
Políticas de Formación y Capacitación en Materia de Seguridad de
Ref. Política
la Información
Todos los empleados de la empresa y, cuando sea pertinente, los
usuarios externos y los terceros que desempeñen funciones en el
Concepto organismo, recibirán una adecuada capacitación , preparación y
actualización periódica en materia de la política, normas y
procedimientos de la empresa
Dimensión El personal tiene conocimiento de las políticas de seguridad
Métrica Personal capacitado
Frecuencia Cada 90 días
Fuente Test de capacitación
Indicadores % de personal que aprobaron el test
justificación Falta de políticas de acceso y restricción al sistema
Ref. Política Controles de Acceso
Concepto Restricción y control accesos a los sistemas.
Accesos desde puntos de red cableados e inalámbricos
Dimensión
autorizados y no autorizados
Métrica Cantidad de accesos de red autorizados y no autorizados
Frecuencia Cada 30 días
Fuente Archivos logs del servidor, router y del sistema.
33. Indicadores % de accesos autorizados
justificación Falta de políticas de acceso y restricción al sistema
Ref. Política Seguridad Física
Se utilizarán perímetros de seguridad para proteger las áreas que
contienen instalaciones de procesamiento de información, de
Concepto suministro de energía eléctrica, de aire acondicionado, y cualquier
otra área considerada crítica para el correcto funcionamiento de
los sistemas de información.
Dimensión Fallas de equipos y de la capa física de la red del sistema.
Métrica Cantidad de mal funcionamiento de equipos.
Frecuencia Cada 90 días
Fuente Registro de servicio de técnico.
Indicadores % de fallas de los equipos.
justificación Falta de seguridad de funcionamiento optimo de los equipos
Ref. Política Confidencialidad
Buscar que la información confidencial de la empresa no esta
Concepto
comprometida ni expuesta
Dimensión Información confidencial de la empresa
Métrica Cantidad de información confidencial
Frecuencia Mensual
Fuente Auditoria Interna
Indicadores % de información filtrada
justificación Prevención de fuga de información.
Ref. Política Respaldo de Información
La información respaldada en dispositivos externos tiene que ser
Concepto
verificada.
Dimensión Respaldos realizados de la información
Métrica Cantidad de copias de seguridad realizadas.
Frecuencia Mensual
Fuente Backups de la Base de datos
Indicadores % de información respaldada
justificación Prevención de perdida de información.
34. Ref. Política Actualización de Tecnologías
Se medirá la actualización progresiva de los sistemas de
Concepto
información y equipos utilizados.
Dimensión Software y hardware actualizado
Métrica Cantidad de equipos por actualizar
Frecuencia Anual
Fuente Análisis de versiones y estado.
Indicadores % de software y hardware actualizado
justificación Mantener los sistemas actualizados
5.9 Plan de Implementación General
El plan te implementación general ser la guía para la implementación de los controles
seleccionados para corregir en su totalidad o parcialmente las vulnerabilidades y de esta
forma no representen un riesgo a la empresa cundo se presente una amenaza externa o
interna.
5.9.1 Objetivos
Análisis y descripción de amenazas
Análisis y descripción de vulnerabilidades
Selección de controles
Implementación de controles
5.9.2 Presupuesto implementación de controles
El presupuesto provisional total que tendrá la implementación de los controles
seleccionados asciende a un costo de $us. 66100,00.
35. Id Controles Mes1 Mes2 Mes3 Mes4 Mes5 Mes6 Mes7 Mes8 Mes9 Mes12 Mes11 Mes12
1 Análisis y descripción de Amenazas
Análisis y descripción de
2
Vulnerabilidades
3 Selección de Controles
4 Implementación de Controles
Establecimiento de una política de
5
control de accesos
Uso de criptografía para proteger los
6
datos
Restringir el ingreso de personas no
7
autorizadas
Restringir el uso de dispositivos de
8
almacenamiento
Limitar el uso de correos no
9 corporativos y acceso a servidores
FTP
Definir una política de copias de
10
seguridad
11 Adquisición de actualizaciones
Solicitar soporte para el correcto uso
12
del Sistema
13 Creación de una guía de usuario
Capacitar a una segunda persona
14
como respaldo
Establecimiento de una política de
15
control de accesos
36. Restringir el uso de dispositivos de
16
almacenamiento
Implementar integración automática
17 entre ambos sistemas (Contabilidad y
Facturación)
Restringir el ingreso de personas no
18
autorizadas
19 Adquisición de actualizaciones
20 Análisis del tráfico de la red
Normas de restricción y privilegios de
21
usuarios
22 Uso de cortafuegos
Instalación de un sistema de registro
23
con huella dactilar
24 Instalación de cámaras de seguridad
Aplicar políticas de seguridad y
25 procedimientos para el cuidado y
conservación de los equipos
Instalación de equipos de protección
26
de cortes de energía eléctrica
Instalaciones de alarmas y control de
27
incendio
Aplicar políticas de seguridad y
28 procedimientos en caso desastres
naturales
Instalación de un sistema de registro
29
con huella dactilar
30 Instalación de cámaras de seguridad
37. 31 Mejora del cableado de Red de Datos
Aplicar políticas de seguridad y
32 procedimientos para el cuidado y
conservación de la red
38. 5.10 Conclusiones y recomendaciones
Conclusiones:
El análisis de riesgo realizado nos permitió detectar con éxito las vulnerabilidades
existentes en los procesos de la empresa y seleccionar los controles adecuados.
La mayoría de las vulnerabilidades se deben a la actitud de los empleados, los
cuales necesitan institucionalizarse y comprometerse con los objetivos de la
empresa.
Las políticas de seguridad planteadas necesitan ser ejecutadas para dar seguridad al
centro de cómputo y a la información que es un activo vital para la empresa.
Estas políticas se pueden observar en la sección de Anexos.
Recomendaciones:
Se necesita lograr el compromiso de los trabajadores de la empresa. La actitud en
el compromiso laboral es importante, ya que es la medida en que una persona se
identifica con la empresa y su entorno, queriendo participar en las actividades de
la misma, persiguiendo los mismos objetivos y cuidando de los activos.
6. CONCLUSIONES Y RECOMENDACIONES ACADÉMICAS
Conclusiones:
Se logró comprender que el manejo adecuado de la información constituye una
clave de éxito frente a la competencia.
Se aplicó los conceptos de seguridad de información para poder encontrar las
vulnerabilidades tecnológicas y aplicar los controles necesarios.
En base a las vulnerabilidades identificadas y los controles, se logró desarrollado
como propuesta de implementación políticas de seguridad, con el fin de mantener
la disponibilidad, integridad y confidencialidad de la información y del
equipamiento que conforma el centro de cómputo.
39. Recomendaciones:
Para poder tener una visión más amplia de la empresa en la cual se realiza el
análisis de riesgos, podría hacerse un análisis FODA y también tener en cuenta la
visión y misión.
40. 7. BIBLIOGRAFÍA
ING. JOSE MANUEL POVEDA
2012-10 http://jmpovedar.wordpress.com/auditoria-informatica/
2012-10 http://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf
POLITICAS DE SEGURIDAD
2012-10 http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
2012-10 http://es.wikipedia.org/wiki/Esc%C3%A1ner_de_puertos
41. 8. ANEXOS
8.1 Definición de Políticas
8.1.1 Compromiso de Confidencialidad
o Como parte de sus términos y condiciones iniciales de empleo, los empleados,
cualquiera sea su cargo, firmarán un Compromiso de Confidencialidad o no
divulgación, en lo que respecta al tratamiento de la información del Organismo.
o Asimismo, mediante el Compromiso de Confidencialidad el empleado declarará
conocer y aceptar la existencia de determinadas actividades que pueden ser objeto
de control y monitoreo.
o Los términos y condiciones de empleo establecerán la responsabilidad del
empleado en materia de seguridad de la información. Por ejemplo en relación con
las leyes de Propiedad Intelectual o la legislación de protección de datos, se
encontrarán aclarados e incluidos en los términos y condiciones de empleo.
8.1.2 Formación y Capacitación en Materia de Seguridad de la
Información
o Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos
y los terceros que desempeñen funciones en el organismo, recibirán una adecuada
capacitación y actualización periódica en materia de la política, normas y
procedimientos de la empresa. Esto comprende los requerimientos de seguridad y
las responsabilidades legales, así como la capacitación referida al uso correcto de
las instalaciones de procesamiento de información y el uso correcto de los
recursos en general, como por ejemplo su estación de trabajo.
8.1.3 Perímetro de Seguridad Física
o La empresa utilizará perímetros de seguridad para proteger las áreas que
contienen instalaciones de procesamiento de información, de suministro de
energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica
para el correcto funcionamiento de los sistemas de información.
42. Se considerarán e implementarán los siguientes lineamientos y controles, según
corresponda:
a. Definir y documentar claramente el perímetro de seguridad.
b. Ubicar las instalaciones de procesamiento de información dentro del
perímetro de un edificio o área de construcción físicamente sólida (por
ejemplo no deben existir aberturas en el perímetro o áreas donde pueda
producirse fácilmente una irrupción).
c. Extender las barreras físicas necesarias desde el piso (real) hasta el techo
(real), a fin de impedir el ingreso no autorizado y la contaminación
ambiental, por ejemplo por incendio, humedad e inundación.
d. El Responsable de Seguridad Informática llevará un registro actualizado de
los sitios protegidos, indicando:
1) Identificación de las instalaciones y áreas.
2) Principales elementos a proteger.
3) Medidas de protección física.
8.1.4 Controles de Acceso
Estos controles de acceso físico tendrán, por lo menos, las siguientes características:
o Supervisar o inspeccionar a los visitantes a áreas protegidas y registrar la fecha y
horario de su ingreso y egreso.
o Controlar y limitar el acceso a la información clasificada y a las instalaciones de
procesamiento de información, exclusivamente a las personas autorizadas. Se
utilizarán los siguientes controles de autenticación para autorizar y validar todos
los accesos: Por ejemplo: personal de guardia con listado de personas habilitadas o
por tarjeta magnética o inteligente y número de identificación personal (PIN),
etc.).
o Implementar el uso de una identificación visible para todo el personal
8.1.5 Protección de Oficinas, Recintos e Instalaciones
Definir el centro de cómputo como área protegida de la empresa. Se establecen las
siguientes medidas de protección:
o Ubicar las instalaciones críticas en lugares a los cuales no pueda acceder personal
no autorizado.
o Establecer que los edificios o sitios donde se realicen actividades de
procesamiento de información serán discretos y ofrecerán un señalamiento
mínimo de su propósito, sin signos obvios, exteriores o interiores.
43. o Ubicar las funciones y el equipamiento de soporte, por ejemplo: impresoras,
fotocopiadoras, máquinas de fax, adecuadamente dentro del área protegida para
evitar solicitudes de acceso, el cual podría comprometer la información.
o Separar las instalaciones de procesamiento de información administradas por la
empresa de aquellas administradas por terceros.
o Restringir el acceso público a las guías telefónicas y listados de teléfonos internos
que identifican las ubicaciones de las instalaciones de procesamiento de
información sensible.
o Almacenar los equipos redundantes y la información de resguardo (back up) en un
sitio seguro y distante del lugar de procesamiento, para evitar daños ocasionados
ante eventuales contingencias.
8.1.6 Desarrollo de Tareas en Áreas Protegidas
o Dar a conocer al personal la existencia del área protegida, o de las actividades que
allí se llevan a cabo, sólo si es necesario para el desarrollo de sus funciones.
o Impedir el ingreso de equipos de computación móvil, fotográficos, de vídeo, audio
o cualquier otro tipo de equipamiento que registre información, a menos que
hayan sido formalmente autorizadas por el Responsable de dicho área o el
Responsable del Área Informática y el Responsable de Seguridad Informática.
o Prohibir comer, beber y fumar dentro de las instalaciones de procesamiento de la
información.
8.1.7 Ubicación y Protección del Equipamiento y Copias de Seguridad
o Ubicar el equipamiento en un sitio donde se minimice el acceso innecesario y
provea un control de acceso adecuado.
o Ubicar las instalaciones de procesamiento y almacenamiento de información que
manejan datos clasificados, en un sitio que permita la supervisión durante su uso.
8.1.8 Suministros de Energía
El equipamiento estará protegido con respecto a las posibles fallas en el suministro de
energía u otras anomalías eléctricas. Para asegurar la continuidad del suministro de
energía, se contemplarán las siguientes medidas de control: