1. T R AB A J O D E F I N D E G R AD O
APLICACIÓN DEL MÉTODO MAGERIT
CON LA HERRAMIENTA GLOBALSUITE
G R AD O I N G E N I E R Í A D E L
S O F T WAR E
AU TO R : I S R AE L M AY O M AR T Í N E Z
T U TO R : J E S Ú S S Á N C H E Z L Ó P E Z
2. INTRODUCCIÓN
• OBJETIVO
• CONTENIDO
• PRESENTACIÓN DEL CASO DE ESTUDIO
• APLICACIÓN A LA HERRAMIENTA GLOBALSUITE
• OBTENCIÓN DE RESULTADOS Y CONTRASTE CON LA
HERRAMIENTA PILAR
• RECURSOS GENERADOS (PILDORAS FORMATIVAS)
3. INTRODUCCIÓN
ISO 31000:2009
Principios y directrices para la GR
ISO/IEC 27001:2013 ISO 27005:2011
Requisitos para los SGSI Mejores prácticas para la GR
Clausulas 6.1.2, 6.1.3 y 8.2, 8.3
Metodología
MAGERIT
4. INTRODUCCIÓN
27005 MAGERIT
Actividades Tareas
[MAR.1] Caracterización de los activos. [MAR.11] Identificación de los activos.
[MAR.12] Dependencias entre activos.
[MAR.13] Valoración de los activos.
[MAR.2] Caracterización de las amenazas. [MAR.21] Identificación de las amenazas.
[MAR.22] Valoración de las amenazas.
[(MAR.3) Caracterización de las salvaguardas. [MAR.31] Identificación de las salvaguardas.
[MAR.4] Estimación del estado de riesgo. [MAR.41] Estimación del impacto.
[MAR.42] Estimación el riesgo.
Actividades Tareas.
[PAR.1]
Actividades preliminares.
[PAR.11] Estudio de oportunidad.
[PAR.12] Determinación del alcance del
proyecto.
[PAR.13] Planificación del proyecto.
[PAR.14] Lanzamiento del proyecto.
[PAR.2] Elaboración del análisis de riesgos. APLICACIÓN DEL MÉTODO DE ANÁLISIS
DE RIESGOS [MAR]
[PAR.3] Comunicación de resultados.
6. IDENTIFICACIÓN DE LOS ACTIVOS
Activo Tipo Propietario Descripción
Expedientes en curso Información Jefe del servicio de
tramitación
Expedientes con datos financieros y datos de carácter personal
de nivel medio.
Tramitación presencial Servicio Jefe del servicio de
tramitación
Atención al ciudadano a través de ventanilla.
Tramitación remota Servicio Jefe del servicio de
tramitación
Acceso del ciudadano a través de servicio SSL.
Mensajería Electrónica Servicio Administrador del Sistema Medio de comunicación con la administración y emisión de
notificaciones.
Archivo histórico central Servicio Jefe del servicio de archivo
central
Servicio que proporciona los datos de los expedientes y en el
cual se guardan una vez se tramitan.
Conexión a Internet Servicio Administrador del Sistema Servicio proporcionado por otra empresa para el acceso a
Internet.
Tramitación de Expedientes Software Jefe del servicio de
tramitación
Aplicación Informática que permite la tramitación de expedientes.
Puestos de trabajo Hardware Administrador del Sistema Equipos informáticos con sistema operativo Windows y paquetes
ofimáticos instalados.
Servidor Hardware Administrador del Sistema Servidor de base de datos y servidor web, también alberga la
aplicación informática.
Red Local Comunicaciones Administrador del Sistema Cubre la comunicación entre la oficina y la sala de equipos.
Oficinas Instalación Jefe de Seguridad Infraestructura que alberga los 20 puestos de trabajo.
Sala de Equipos Instalación Jefe de Seguridad Centro de proceso de datos en el que trabajan empleados con
perfil administrador.
Usuarios Personal Jefe de RRHH Conforman una plantilla de 12 empleados que se encargan de
atender las ventanillas y otras gestiones técnicas.
Administradores Personal Jefe de RRHH Son un total de 8 empleados que trabajan en la sala de equipos.
13. VALORACIÓN DE LAS AMENAZAS
PILAR GLOBALSUITE
Degradación: B[Bajo]:[0-2];M[Medio]:[3-21];A[Alto]:[22-66];MA[Muy alto]:[67-94]; T[Total]:[95-100].
14. CATÁLOGOS DE SALVAGUARDAS
PILAR GLOBALSUITE
Catálogo de Salvaguardas
* Buena colocación equipos.
* Mejorar sistema y/o política de revisión de
logs.
* Buena colocación y aislamiento de equipos. * Monitorización y control de la red.
* Cifrado de información crítica en dispositivos
en movilidad. * Monitorización y control de sistemas.
* Cifrar la información crítica transmitida a
través de redes de comunicaciones. * Monitorización y control del sistema.
* Cifrar la información sensible en tránsito. * Monitorización.
* Control de acceso físico y/o lógico. * Motivación del personal.
* Controles lógicos de uso y gestión de
información. * Plan de continuidad.
* Disponer de servicios alternativos. * Planificar mejor recursos humanos.
* Evitar dependencia de un proceso de negocio
de una única persona. * Política protección de puestos desatendidos.
* Firmar digitalmente los documentos con
información crítica.
* Poner en conocimiento de todos los
empleados los procesos disciplinarios.
* Formación. * Procedimientos más claros.
* Implantación sistema de autenticación seguro. * Protección física de equipos.
* Instalación o reconfiguración de medidas y
políticas de control de acceso.
* Protección frente a ataques de denegación de
servicio.
* Instalación software de seguridad. * Proteger acceso a la información.
* Mantener y actualizar el hardware. * Registro de accesos al sistema.
* Mantener y actualizar el software.
* Revisar, actualizar e implementar política de
seguridad.
* Mayor usabilidad de los sistemas. * Revisión instalaciones de fontanería.
* Mejora de procedimientos y política de
seguridad.
* Revisión, mantenimiento y actualización de
soportes.
15. IDENTIFICACIÓN DE LAS
SALVAGUARDAS
PILAR GLOBALSUITE
Control de acceso lógico Control de acceso físico y/o lógico.
Sistema de protección de frontera lógica Controles lógicos de uso y gestión de información.
Protección de los servicios Disponer de servicios alternativos.
Identificación y autenticación Implantación sistema de autenticación seguro.
Herramientas de seguridad Instalación software de seguridad.
Protección de los Equipos Informáticos (HW) Mantener y actualizar el hardware.
Protección de las Aplicaciones Informáticas (SW) Mantener y actualizar el software.
Protección física del equipamiento Protección física de equipos.
Protección de los soportes de Información Revisión, mantenimiento y actualización de soportes.
16. IDENTIFICACIÓN DE LAS
SALVAGUARDAS
PILAR GLOBALSUITE
Nivel Factor Significado
L0 0% Inexistente
L1 10% Inicial / ad
hoc
L2 50% Reproducible,
pero intuitivo
L3 90% Proceso
definido
L4 95% Gestionado y
medible
L5 100% Optimizado
23. TRATAMIENTO DEL RIESGO
PILAR GLOBALSUITE
ACTUAL CORTO ACTUAL PROYEC
TADO
2 0 1 0
8 5
51 40
28 27
45 45 34 44
16 20 2
32 34
ACTIVO AMENAZA PILAR GLOBALSUITE
Archivo histórico
central
[A.6] Abuso de privilegios de
acceso
5.3 4.5 Alto Medio
Servidor [A.11] Acceso no autorizado 5.1 4.7 Muy alto Alto
Servidor [A.11] Acceso no autorizado 4.5 4.1
Servidor
[A.5] Suplantación de la
identidad
4.6 4.5 Alto Medio
Archivo histórico
central
[A.19] Revelación de
información
4.5 3.9 Alto Alto
Archivo histórico
central
[A.11] Acceso no autorizado 4.4 3.9 Medio Medio
Servidor
[A.19] Revelación de
información
4.2 3.7 Alto Alto
Red local
[A.24] Denegación de
servicio
4.1 3.8 Alto Alto
Servidor
[A.6] Abuso de privilegios de
acceso
4.0 4.0 Alto Alto
Archivo histórico
central
[A.5] Suplantación de la
identidad
4.0 3.5 Medio Medio
RIESGOS
RESUMEN
1- Realizar AR aplicando MAGERIT con GlobalSUITE
2- Presentación del supuesto activos, amenazas y salvaguardas
3- Análisis con GlogalSuite
4- Obtención de resultados y contraste con PILAR
5- El trabajo se fundamenta en el uso de las píldoras formativas como un REA.
1- Familia 27000
ISO 27001 Evaluación y Tratamiento de riesgos de seguridad de la información adaptados a las necesidades de la organización
ISO 27005 Proporciona técnicas de evaluación del riesgo
2- Especificación Metodología Evaluación de riesgos
Cada una de las tareas MAR se trataran a continuación
MAR11
MAR11
MAR12
MAR13
Trazabilidad: presencial 5 remota 3
MAR21
MAR21
MAR22
Se valora la degradación, GlobalSUITE permite valorar además el impacto y la probabilidad