Mod4 trabajo final

UNIVERSIDAD MAYOR DE SAN SIMÓN ESCUELA UNIVERSITARIA DE POSGRADO

FACULTAD DE CIENCIAS Y TECNOLOGÍA

MAESTRÍA EN SISTEMAS DE INFORMACIÓN Y GESTIÓN DE

TECNOLOGÍAS

- Primera Versión-

TRABAJO FINAL DE MÓDULO

“Diagnostico basado en el Análisis de Riesgos Cuantitativo”

Modulo IV: “Análisis de Datos y Gerencia de Tecnologías de

Comunicación e Información”

Docente: Rensi Arteaga Copari

Integrantes:

• Evelin Claudia Alá Herrera

• Grover Pelaez Godoy

• Claudia Vanesa Villarroel

• José Luis Calero Campana

Fecha: Sábado, 13/10/2012

Índice General

1. INTRODUCCIÓN ...................................................................................................................... 5

2. ANTECEDENTES ...................................................................................................................... 5

2.1 Descripción de la empresa .............................................................................................. 5

2.2 Descripción Tecnológica ................................................................................................. 6

3. DELIMITACIÓN ....................................................................................................................... 8

4. MARCO TEÓRICO.................................................................................................................... 9

4.1 Análisis y Valoración de los Riesgos ................................................................................. 9

4.2 Realización del análisis de riesgos ..................................................................................11

4.2.1 Preparación del análisis de riesgos .........................................................................11

4.2.2 Identificar amenazas ..............................................................................................13

4.2.3 Identificación de vulnerabilidades ..........................................................................14

4.2.4 Ejecución del análisis..............................................................................................14

4.2.5 Metodologías .........................................................................................................14

5. DESARROLLO DEL PROYECTO.................................................................................................18

5.1 Identificación y descripción de activos ...........................................................................18

5.2 Valoración de activos .....................................................................................................19

5.3 Identificación y descripción de amenazas ......................................................................20

5.3.1 Amenazas naturales ...........................................................................................20

5.3.2 Amenazas humanas ...........................................................................................20

5.3.3 Amenazas software .............................................................................................21

5.3.4 Amenazas hardware ...........................................................................................21

5.4 Identificación y descripción de vulnerabilidades ............................................................21

5.5 Identificación y descripción de activos de controles .......................................................23

5.6 Matriz de análisis de riesgos ..........................................................................................26

5.7 Selección de controles ...................................................................................................31

5.8 Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y)

32

5.9 Plan de Implementación General ...................................................................................34

5.9.1 Objetivos ...............................................................................................................34

5.9.2 Presupuesto implementación de controles ............................................................34

5.10 Conclusiones y recomendaciones ..................................................................................38

6. CONCLUSIONES Y RECOMENDACIONES ACADÉMICAS ...........................................................38

7. BIBLIOGRAFÍA........................................................................................................................40

8. ANEXOS.................................................................................................................................41

8.1 Definición de Políticas ....................................................................................................41

8.1.1 Compromiso de Confidencialidad ...........................................................................41

8.1.2 Formación y Capacitación en Materia de Seguridad de la Información ...................41

8.1.3 Perímetro de Seguridad Física ................................................................................41

8.1.4 Controles de Acceso ...............................................................................................42

8.1.5 Protección de Oficinas, Recintos e Instalaciones .....................................................42

8.1.6 Desarrollo de Tareas en Áreas Protegidas ..............................................................43

8.1.7 Ubicación y Protección del Equipamiento y Copias de Seguridad ............................43

8.1.8 Suministros de Energía ...........................................................................................43

8.1.9 Seguridad del Cableado ..........................................................................................44

8.1.10 Mantenimiento de Equipos ....................................................................................44

8.1.11 Planificación y Aprobación de Sistemas ..................................................................45

8.1.12 Protección Contra Software Malicioso....................................................................45

8.1.13 Resguardo de la Información ..................................................................................46

8.1.14 Controles de Redes ................................................................................................46

Índice de Figuras

Figura 2.1 Administración de Procesos 7

Figura 2.2 Instalaciones del Centro del Cómputo 8

Figura 4.1 Elementos de Análisis de Riesgos 9

Figura 4.2 Activos para Análisis de Riesgos 11

DIAGNOSTICO BASADO EN EL ANÁLISIS DE RIESGOS CUANTITATIVO DE LA EMPRESA “DISTRIBUIDORA BOLIVIANA DE BEBIDAS S.R.L”

1. INTRODUCCIÓN

La información es uno de los principales recursos que poseen las instituciones. Los

entes que se encargan de las tomas de decisiones han comenzado a comprender que la

información no es sólo un subproducto de la conducción empresarial, sino que a la vez

alimenta a los negocios y puede ser uno de los tantos factores críticos para la

determinación del éxito o fracaso de éstos.

En el presente documento nos permitirá apreciar el análisis de riesgos del área

tecnológica de la empresa “Distribuidora Boliviana de Bebidas” D.B.B. que ayuden a la

empresa a mejorar el manejo de sus activos, diagnosticando a la empresa para poder

realizar una apreciación tanto critica para que la empresa pueda preparar, emplear,

instrumentos y poderlos aplicar en el presente y que se desarrolle en un futuro.

Con el estudio realizado aplicaremos todos los conocimientos adquiridos en el

módulo “Análisis de Datos y Gerencia de Tecnologías de Comunicación e Información”.

El presente trabajo pretende: Aplicar los conceptos de seguridad de información para

así poder tomar las mejores decisiones y de esta manera la empresa pueda cumplir

sus metas, esto mediante la elaboración de un plan de acción para dar cumplimiento a

los controles elegidos.

2. ANTECEDENTES

2.1 Descripción de la empresa

La empresa Distribuidora Boliviana de bebidas (DBB S.R.L.) fue fundada como

sociedad de responsabilidad limitada por la iniciativa de los socios José Luis Bullain

y Arturo Ivanovick, ambos decidieron formar esta empresa debido a su larga

experiencia profesional en el rubro de las gaseosas, desempeñando cargos

importantes en empresas multinacionales y nacionales de este sector. En febrero

2011 DBB bajo la dirección de su gerente logra adquirir los derechos de marca de

SALVIETTI M.R. para la distribución de la bebida tradicional boliviana en el

mercado del departamento de La Paz.

En el año de 1920 por primera vez, se logra introducir en el mercado boliviano un

producto que se denominó “Champan Cola” el cual tenía un envase de vidrio

fabricado en Inglaterra, constituyéndose como el último adelanto en la línea de las

gaseosas.

Este inicio que a su vez determinaba un avance en la tecnología nacional en base al

aprovechamiento en los conocimientos que tenía Don Dante Salvietti, sin duda

constituyó un hecho trascendental, ya que desde esa época hasta la fecha se logra

imponer un sabor que no cambia, ingresando ahora a la tercera generación que

mantiene la tradición.

Posteriormente rodeándose de recursos humanos experimentados y sistemas

informáticos de distribución. DBB S.R.L. inicia sus operaciones en las ciudades de

La Paz y El Alto, movilizando un capital de más cien mil dólares y generando más

de 30 empleos directos que van en aumento a medida crece la empresa y el

mercado. En Abril del 2011 DBB S.R.L. apuesta por la diversificación, adquiriendo

los derechos de distribución en el sector Oeste de la ciudad de La Paz de los

excelentes productos de La Compañía Cervecera Boliviana S.A. (Cerveza Autentica),

empresa innovadora que fue haciéndole frente al monopolio que existía hasta hace

unos años en nuestro país.

La empresa en la actualidad se encuentra ubicada en la zona de Achachicala, Av.

Chacaltaya, Nº 2011, debido a que es un punto estratégico para la distribución de

sus productos. Cuenta con instalaciones adecuadas para el almacenaje de sus

productos.

Actualmente la empresa tiene a su disposición un total de 52 personas, entre

distribuidores, preventistas y personal administrativo. Cuenta además con una

flota de 8 camiones para la distribución en La Paz y 5 camiones para la distribución

en El Alto.

2.2 Descripción Tecnológica

La empresa con el fin poseer ventajas competitivas y resaltar en el mercado ha

implementado tecnología en sus procesos. A continuación se detallan los mismos.

Administración de Procesos

Los procesos se manejan de manera eficiente precautelando siempre evitar el

desperdicio de tiempo tanto en la carga de los camiones como en el mismo ruteo

de los recorridos de los mismos, una característica que le permite al cliente recibir

sus pedidos a tiempo y acorde a sus requerimientos. En la Figura 2.1 se puede

observar un resumen del proceso de distribución.

Figura 2.1 Administración de Procesos

Sistemas de Información

Para la distribución de sus productos cuenta un sistema dedicado a la

distribución que opera de manera paralela con otro Sistema de Ruteo

(Roadshow) dinámico a los puntos de venta.

El área de Finanzas y Contabilidad de la empresa, cuenta con herramientas

informáticas para el manejo y gestión de información acerca de sus clientes,

presupuestos, Facturas, Proveedores, Gastos y otros. Este Sistema de

Información (FIS) además de proveer las funcionalidades básicas para el área,

brindan acceso compartido de la información desde varios equipos y

localizaciones, copias de seguridad automáticas en el servidor, envió de

facturas por mail, videos de ayuda y otros. En la Distribuidora Central se

encuentra las instalaciones del centro de cómputo como puede observarse en

la Figura 2.2.

El centro de cómputo básicamente cuenta con un servidor de Base de Datos (1,86

GHz 1 procesador (1) unidades de disco SATA de 3,5" y 80 GB de conexión en

caliente DDR2 SDRAM; Intercalado opcional (activado cuando se instalan DIMM

Prevent

a

Ruteo Facturación Entrega de

Rutas y Facturas

Carga de

Camiones

Entrega de

Rutas y Facturas

Almacén

Almacén

Cliente

en parejas) 1 GB (1 x 1 GB) de memoria de serie 8 GB, una instalación de red

pequeña entre los servidores y terminales.

Tanto de ruteo el Sistema (Roadshow) como el de facturación (FIS) le

despliegan a la empresa una serie de datos que le permite al gerente hacer una

mejor toma de decisiones.

Área de Almacenamiento de los

productos

Gerencia y Departamento de

Sistemas y Facturación

Centro de

Cómputo

Figura 2.2 Instalaciones del Centro del Cómputo

3. DELIMITACIÓN

El presente documento contempla un diagnostico basado en un análisis de Riesgos

cuantitativo del Centro de Cómputo con el que cuenta la empresa:

Se elaborará una matriz de Riesgos cuantitativa

Se describirá las métricas para medir el desempeño y cumplimiento de los

controles.

Se elaborará un cronograma de implementación.

Se propondrá algunas políticas

4. MARCO TEÓRICO

4.1 Análisis y Valoración de los Riesgos

En primer lugar conviene clarificar qué se entiende por riesgo. Dentro del

contexto de un análisis de riesgos, es la estimación del grado de exposición a que

una amenaza se materialice sobre uno o más activos causando daños o perjuicios a

la organización. El riesgo indica lo que le podría pasar a los activos si no se

protegieran adecuadamente. En la figura 4.1 se puede ver los elementos que son

objeto para el análisis de riesgos.

Figura 4.1 Elementos de Análisis de Riesgos

Antes de saber qué es un análisis de riesgos y lo que conlleva es importante conocer

qué son otro tipo de conceptos muy relacionados con los Análisis de Riesgos y la

seguridad de la información. Estos son los más importantes:

Amenaza: Es la causa potencial de un daño a un activo.

Vulnerabilidad: debilidad de un activo que puede ser aprovechada por una

amenaza.

Impacto: consecuencias de que la amenaza ocurra.

Riesgo intrínseco: cálculo del daño probable a un activo si se encontrara

desprotegido.

Salvaguarda: Medida técnica u organizativa que ayuda a paliar el riesgo.

Riesgo residual: Riesgo remanente tras la aplicación de salvaguardas.

El análisis de riesgos se define como la utilización sistemática de la información

disponible, para identificar peligros y estimar los riesgos.

A la hora de diseñar un SGSI, es primordial ajustarse a las necesidades y los recursos

de la organización para que se puedan cubrir las expectativas, llegando al nivel de

seguridad requerido con los medios disponibles.

Es relativamente sencillo calcular con cuantos recursos se cuenta (económicos,

humanos, técnicos…) pero no es tan fácil saber a ciencia cierta cuáles son las

necesidades de seguridad.

Es aquí donde se muestra imprescindible la realización de un análisis de riesgos.

Hacerlo permite averiguar cuáles son los peligros a los que se enfrenta la

organización y la importancia de cada uno de ellos. Con esta información ya será

posible tomar decisiones bien fundamentadas acerca de qué medidas de

seguridad deben implantarse.

Por tanto, un aspecto de gran importancia a la hora de realizar la

implantación de un SGSI es tener en cuenta que la inversión en seguridad tiene

que ser proporcional al riesgo.

La información es generada y tratada por el personal tanto interno como externo,

mediante los equipos de tratamiento de la información existentes en la

organización y está situada en las instalaciones, por lo hay que considerar todos

los riesgos relacionados con estos aspectos.

4.2 Realización del análisis de riesgos

4.2.1 Preparación del análisis de riesgos

Para realizar un análisis de riesgos se parte del inventario de activos. Si es

razonablemente reducido, puede decidirse hacer el análisis sobre todos los

activos que contiene. Si el inventario es extenso, es recomendable escoger un

grupo relevante y manejable de activos, bien los que tengan más valor, los que se

consideren estratégicos o todos aquellos que se considere que se pueden

analizar con los recursos disponibles. Se puede tomar cualquier criterio que

se estime oportuno para poder abordar el análisis de riesgos en la confianza de

que los resultados van a ser útiles.

Figura 4.2 Activos para Análisis de Riesgos

Hay que tener en cuenta que la realización de un análisis de riesgos es un

proceso laborioso. Para cada activo se van a valorar todas las amenazas que

pueden afectarle, la vulnerabilidad cada una de las amenaza y el impacto que

causaría la amenaza en caso de ocurrir. Con todos esos datos, se calcula el valor del

riesgo para ese activo.

Independientemente de la metodología que se utilice, el análisis de riesgos

debe ser objetivo y conseguir resultados repetibles en la medida de lo posible,

por lo que deberían participar en él todas las áreas de la organización que estén

dentro del alcance del SGSI. De esta manera quedarán plasmados varios puntos de

vista y la subjetividad, que es inevitable, quedará reducida. Además contar

con la colaboración de varias personas ayuda a promover el desarrollo del SGSI

como una herramienta útil para toda la organización y no sólo para la dirección o

el área que se encarga del proyecto. Se puede abordar el análisis de riesgos

con varios enfoques dependiendo del grado de profundidad con el que se quiera o

pueda realizar el análisis:

a. Enfoque de Mínimos:

Se escoge un conjunto mínimo de activos y se hace un análisis conjunto, de

manera que se emplean una cantidad mínima de recursos, consumiendo poco

tiempo y por lo tanto tiene el coste es menor. Este enfoque tienen el

inconveniente de que si se escoge un nivel básico de seguridad muy alto, puede

requerir recursos excesivos al implantarlo para todos los activos y por el

contrario, si es muy bajo, los activos con más riesgos pueden no quedar

adecuadamente protegidos. Debido a la falta de detalle en el análisis, puede ser

difícil actualizar los controles o añadir otros según vayan cambiando los activos y

sistemas.

b. Enfoque Informal:

Con este enfoque, no se necesita formación especial para realizarlo ni

necesita de tantos recursos de tiempo y personal como el análisis detallado.

Las desventajas de este informe son que al no estar basado en métodos

estructurados, puede suceder que se pasen por altos áreas de riesgos o amenazas

importantes y al depender de las personas que lo realizan, el análisis puede

resultar con cierto grado de subjetividad. Si no se argumenta bien la selección

de controles, puede ser difícil justificar después el gasto en su implantación.

c. Enfoque Detallado:

Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos

a los que se enfrenta la organización. Se puede decidir un nivel de seguridad

apropiado para cada activo y de esa manera escoger los controles con precisión.

Es el enfoque que más recursos necesita en tiempo, personal y dinero para

llevarlo a cabo de una manera efectiva.

d. Enfoque Combinado:

Con un enfoque de alto nivel al principio, permite determinar cuáles son los

activos en los que habrá que invertir más antes de utilizar muchos recursos en

el análisis. Por ello ahorra recursos al tratar antes y de manera más

exhaustiva los riesgos más importantes mientras que al resto de los riesgos sólo se

les aplica un nivel básico de seguridad, con lo que consigue un nivel de

seguridad razonable en la organización con recursos ajustados. Es el enfoque

más eficaz en cuanto a costes y a adaptabilidad a empresas con recursos limitados.

Hay que tener en cuenta que si el análisis de alto nivel es erróneo puede

que queden algunos activos críticos a los que no se realice un análisis detallado.

4.2.2 Identificar amenazas

Como ya se ha visto anteriormente, podríamos denominar amenaza a un evento o

incidente provocado por una entidad natural, humana o artificial que,

aprovechando una o varias vulnerabilidades de un activo, pone en peligro la

confidencialidad, la integridad o la disponibilidad de ese activo. Dicho de otro

modo, una amenaza explota la vulnerabilidad del activo.

Atendiendo a su origen, existen dos tipos de amenazas:

Externas, que son las causadas por alguien (hackers, proveedores,

clientes, etc.) o algo que no pertenece a la organización. Ejemplos de

amenazas de este tipo son los virus y las tormentas.

Internas, estas amenazas son causadas por alguien que pertenece a la

organización, por ejemplo errores de usuario o errores de configuración.

Las amenazas también pueden dividirse en dos grupos según la intencionalidad

del ataque en deliberadas y accidentales:

Deliberadas: Cuando existe una intención de provocar un daño, por

ejemplo un ataque de denegación de servicio o la ingeniería social.

Accidentales: Cuando no existe tal intención de perjudicar, por ejemplo

averías o las derivadas de desastres naturales: terremotos, inundaciones,

fuego, etc.

Para valorar las amenazas en su justa medida hay que tener en cuenta cual sería el

impacto en caso de que ocurrieran y a cuál o cuáles son los parámetros de

seguridad que afectaría, si a la confidencialidad, la integridad o la

disponibilidad.

4.2.3 Identificación de vulnerabilidades

Una vulnerabilidad es toda aquella circunstancia o característica de un activo

que permite la materialización de ataques que comprometen la

confidencialidad, integridad o disponibilidad del mismo. Por ejemplo, un equipo

será vulnerable a los virus si no tiene un programa antivirus instalado.

Hay que identificar las debilidades en el entorno de la Organización y valorar

cómo de vulnerable es el activo en una escala razonable (alto-medio-bajo, de 1 a

5, etc.).

Hay que tener en cuenta que la presencia de una vulnerabilidad por sí misma no

causa daño. Para que se produzca este daño debe existir una amenaza que pueda

explotarla.

Algunos ejemplos de vulnerabilidades son:

1. La ausencia de copias de seguridad, que compromete la disponibilidad de

los activos.

2. Tener usuarios sin formación adecuada, que compromete la

confidencialidad, la integridad y la disponibilidad de los activos, ya que

pueden filtrar información o cometer errores sin ser conscientes del

fallo.

3. Ausencia de control de cambios, que compromete la integridad y la

disponibilidad de los activos.

4.2.4 Ejecución del análisis

Con el equipo de trabajo asignado para ello y la metodología escogida, se

llevará a cabo el análisis de riesgos. Los participantes tendrán que valorar las

amenazas y las vulnerabilidades que afectan a los activos escogidos para el

análisis y el impacto que ocasionaría que alguna de las amenazas realmente

ocurriera, sobre la base de su conocimiento y experiencia dentro de la

organización.

4.2.5 Metodologías

Existen numerosas metodologías disponibles para la realización de análisis de

riesgos, ya que es una labor que requiere de bastante dedicación y con una

metodología estructurada se facilita la tarea, sobre todo si existe una herramienta

que simplifique todo el proceso.

La organización debe escoger aquella que se ajuste a sus necesidades, y si

considera varias opciones, inclinarse por la más sencilla. Hay que tener en

cuenta que el análisis de riesgos debe revisarse periódicamente, por lo que si

se hace con una metodología complicada, esta labor necesitará de una

dedicación excesiva.

A continuación se detallarán algunas de las metodologías más reconocidas:

Análisis holandés A&K.

Es método de análisis de riesgos, del que hay publicado un manual, que ha

sido desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el

gobierno y a menudo en empresas holandesas.

CRAMM

Es un método de análisis de riesgos desarrollado por el gobierno británico y cuenta

con una herramienta, ya que es un método difícil de usar sin ella. Está basado en las

mejores prácticas de la administración pública británica, por lo que es más

adecuado para organizaciones grandes, tanto públicas como privadas.

EBIOS

Es un juego de guías mas una herramienta de código libre gratuita, enfocada a

gestores del riesgo de TI. Desarrollada en un principio por el gobierno francés, ha

tenido una gran difusión y se usa tanto en el sector público como en el privado no

sólo de Francia sino en otros países. La metodología EBIOS consta de un ciclo de

cinco fases:

Fase 1. Análisis del contexto, estudiando cuales son las dependencias de los

procesos del negocio respecto a los sistemas de información.

Fases 2 y 3, Análisis de las necesidades de seguridad y de las amenazas, determinando los puntos de conflicto.

Fases 4 y 5, Resolución del conflicto, estableciendo los objetivos de seguridad necesarios y suficientes, con pruebas de su cumplimiento y dejando claros cuales son los riesgos residuales.

IT-GRUNDSCHUTZ (Manual de protección básica de TI)

Desarrollado en Alemania por la Oficina Federal de la Seguridad de la Información

(BSI en sus siglas alemanas). Este manual proporciona un método para establecer

un SGSI en cualquier organización, con recomendaciones técnicas para su

implantación. El proceso de seguridad de TI propuesto por esta metodología sigue

los siguientes pasos:

Iniciar el proceso.

Definir los objetivos de seguridad y el contexto de la organización.

Establecer la organización para la seguridad de TI.

Proporcionar recursos.

Crear el concepto de la seguridad de TI.

Análisis de la estructura de TI.

Evaluación de los requisitos de protección.

Modelado.

Comprobación de la seguridad de TI.

Planificación e implantación.

Mantenimiento, seguimiento y mejora del proceso.

La metodología incluye listas de amenazas y controles de seguridad que se pueden

ajustar a las necesidades de cada organización.

MAGERIT Desarrollado por el Ministerio de Administraciones Públicas español, es una

metodología de análisis de riesgos que describe los pasos para realizar un análisis

del estado de riesgo y para gestionar su mitigación, detalla las tareas para llevarlo a

cabo de manera que el proceso esté bajo control en todo momento y contempla

aspectos prácticos para la realización de de un análisis y una gestión realmente

efectivos. Cuenta con detallados catálogos de amenazas, vulnerabilidades y

salvaguardas. Cuenta con una herramienta, denominada PILAR para el análisis y la

gestión de los riesgos de los sistemas de información que tiene dos versiones, una

completa para grandes organizaciones y otra simplificada para las pequeñas.

Manual de Seguridad de TI Austriaco.

Consta de dos partes, en la primera se describe el proceso de la gestión de la

seguridad de TI, incluyendo el análisis de riesgos y la segunda es un compendio de

230 medidas de seguridad. Es conforme con la Norma ISO/IEC IS 13335 y en parte

con la ISO 27002.

MARION – MEHARI.

El primigenio MARION (Método de Análisis de Riesgos por Niveles), basado en una

metodología de auditoría, permitía estimar el nivel de riesgos de TI de una

organización. Sustituido por MEHARI, este método de análisis de riesgo cuenta con

un modelo de evaluación de riesgos y módulos de componentes y procesos. Con

MEHARI se detectan vulnerabilidades mediante auditorías y se analizan

situaciones de riesgo.

Métodos ISF para la evaluación y gestión de riesgos.

El Information Security Forum. (ISF) es una importante asociación internacional.

Su Estándar de Buenas Prácticas es un conjunto de principios y objetivos para la

seguridad de la información con buenas prácticas asociadas a los mismos. El

Estándar cubre la gestión de la seguridad a nivel corporativo, las aplicaciones

críticas del negocio, las instalaciones de los sistemas de información, las redes y el

desarrollo de sistemas.

Norma ISO/IEC IS 27005.

La Norma habla de la gestión de los riesgos de la seguridad de la información de

manera genérica, utilizando para ello el modelo PDCA, y en sus anexos se pueden

encontrar enfoques para la realización de análisis de riesgos, así como un catálogo

de amenazas, vulnerabilidades y técnicas para valorarlos.

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM (OCTAVE®),

desarrollado en EEUU por el SEI, en un una metodología para recoger y analizar

información de manera que se pueda diseñar una estrategia de protección y planes

de mitigación de riesgo basados en los riesgos operacionales de seguridad de la

organización. Hay dos versiones, una para grandes organizaciones y otra para

pequeñas, de menos de 100 empleados.

SP800-30 NIST Risk Management Guide for Information Technology Systems.

Desarrollado por el NIST estadounidense, es una guía detallada de las

consideraciones que deben hacerse para llevar a cabo una evaluación y una gestión

de riesgos orientada a la seguridad de los sistemas de información.

5. DESARROLLO DEL PROYECTO

5.1 Identificación y descripción de activos

Para facilitar el manejo y mantenimiento del inventario los activos de información

se los clasificarán en las diferentes categorías:

Know how

Se tiene el know how de la fórmula de Salvietti (derechos de exclusividad),

además de contar con la amplia experiencia del gerente general.

El patente que protege el Know How de la composición química del producto

genera una elevada protección de la imitación de la competencia y una

importante ventaja distintiva.

Datos

Información de Clientes

Rutas

Facturas

Aplicaciones:

Sistema de ruteo Roadshow

Sistema de facturación FIS

Sistema de contabilidad

Personal

Entre esta categoría tenemos los siguientes:

Clientes

Personal de preventas

Distribuidores

Operarios de sistema del sistema de ruteo

Operarios de sistema del sistema facturación

Operarios de sistema del sistema contabilidad.

Servicios

Gestión de preventa, venta y post-venta (marketing)

Ruteo

Facturación

Entrega de rutas y facturas

Informe contable

Gestión estratégica (Directorio)

Gestión administrativa (Administración)

Auditoría contable (Contabilidad)

Análisis financiero (Finanzas)

Determinación de las Políticas y Estrategias de Marketing (marketing)

Planeación de productos y servicios (marketing)

Distribución (almacén)

Tecnologías

Servidor

PC’s

Teléfonos

Impresoras

Routers

Cableado

Instalaciones

Centro de cómputo

5.2 Valoración de activos

Para la valoración de los activos de información identificados usaremos una escala

de cuantitativa con los rangos de 0 a 100.

Activo Categoría Disponibilidad Integridad Confidencialidad

Sistema de Ruteo

Roadshow

Aplicaciones 80 80 90

Sistema de Aplicaciones 80 80 70

facturación FIS

Sistema de Contabilidad

Aplicaciones 80 80 80

Servidor Tecnologías 90 PC’s Tecnologías 80

Cableado de Red de Datos

Tecnologías 70

5.3 Identificación y descripción de amenazas

5.3.1 Amenazas naturales

● Incendios intempestivos, pueden ser producidos por cortes de energía

eléctrica por uso inapropiado de los equipos computacionales, cabe aclarar que

en el centro de distribución no se hace uso de maquinaria industrial por lo que

el cableado eléctrico es doméstico.

● Desastres naturales (Terremotos), La Paz tiene como amenaza latente a los

terremotos por ser una zona inestable, los últimos sismos se detectaron en

agosto y septiembre del presente año.

5.3.2 Amenazas humanas

● Personal no autorizado con acceso al sistema, amenaza de personas que

conocen la estructura del sistema la empresa. Actualmente los ex empleados

de la empresa están trabajando con los competidores como EMBOL, donde sus

motivaciones van desde revanchas personales hasta ofertas y remuneraciones

de organizaciones rivales.

● Pérdida de la información de los sistemas a causa de:

○ Falta de políticas de copias de respaldo y otros.

○ Robo de la información por medio de unidades de almacenamiento

secundario (pendrives, CD, cintas, etc.).

● Robo físico de los componentes de hardware del sistema e incluso también se

considera como robo el uso de los equipos para actividades diferentes a los

que se les asigna en la organización, ya que la empresa no cuenta actualmente

con seguridad física en la entrada.

● Negligencia en el uso de los equipos, todos los componentes deben ser usados

dentro de los parámetros establecidos por los fabricantes, esto incluye tiempos

de uso, periodos y procedimientos adecuados de mantenimiento, así como un

apropiado almacenamiento. No seguir estas prácticas provoca un desgaste

mayor que trae como consecuencia descomposturas prematuras y reducción

del tiempo de vida útil de los recursos.

5.3.3 Amenazas software

● Errores de Programación y Diseño, es sistema de ruteo se encuentra

actualmente sin ninguna actualización, por tanto está sujeto a cualquier error

no corregido.

● Mala Manipulación del Sistema, el sistema no es lo suficiente usable para su

operación, requiere de un operador capacitado para su uso.

● Sistema sin operar, en la empresa solo se cuenta con un usuario del sistema

para su funcionamiento.

● Inconsistencia de Información, los sistemas Contable y el de Facturación FIS no

se encuentran integrados, la información que se transmite del sistema contable

al FIS es manual. Por tanto es fácil de cometer errores al ingresar información.

● Ataques de usuario malicioso (Escaneo de puertos, Sniffing, ing. social).

5.3.4 Amenazas hardware

● Deterioro de Hardware, la empresa no se ha realizado ninguna actualización de

sus equipos tanto servidores y terminales.

5.4 Identificación y descripción de vulnerabilidades

● Falta de políticas de acceso al sistema, no se cuenta con políticas de acceso a

los sistemas de información, tanto del Ruteo, Contabilidad y de Facturación.

● Falta de control de acceso físico al área de sistemas, no se cuenta con

políticas de acceso a las instalaciones del área de sistemas, nadie registra la

entrada al área de sistemas y a las instalaciones donde se encuentran los

servidores, por otro lado no existe personal de seguridad.

● Falta de políticas de seguridad de la información, no se tiene implementado

políticas que protejan la seguridad de la información, en el sentido de que los

puertos USB de los equipos se encuentran y cualquiera puede hacer uso de los

mismos. Por otro lado no existe restricciones de uso de correos no

corporativos, como Hotmail, yahoo, gmail, etc.

● Falta de políticas de copias de respaldo

La empresa actualmente no cuenta con políticas de copias de respaldo a diario,

si bien se realiza una copia semanal, se considera que no es suficiente, ya que

son útiles para recuperarse de una catástrofe informática, o recuperar una

pequeña cantidad de archivos que pueden haberse eliminado accidentalmente

o corrompido.

● Falta de actualizaciones, desde el momento en que se adquirió el sistema, no

se ha efectuado las actualizaciones correspondientes al mismo, esto es

importante sobre todo para evitar posibles errores del sistema que ya fueron

resueltos.

● El sistema es complejo en su manipulación, específicamente el sistema de

ruteo, es un sistema que requiere para su operación un usuario especializado

en el manejo y administración del mismo, situación que hace necesaria la

capacitación de un especialista para el uso del mismo.

● Solo existe un encargado que conoce el Sistema, esta situación puede

perjudicar en la operatividad de la empresa, puesto que en caso de ausencia

del operador del sistema, no se podrá generar información acerca de las rutas y

clientes para la distribución de los productos.

● Falta de integración del Sistema de Contabilidad y Facturación, El sistema

contable debe estar alimentado con información de las facturas (que genera el

sistema de Facturación) de los clientes, para su procesamiento, es de esta

manera que el contador debe ingresar dicha información manualmente

provocando posibles problemas de inconsistencia de datos.

● Envío de contraseñas con encriptación débil, no existe políticas para la

creación de contraseñas tanto para los accesos a los equipos como para los

sistemas.

● Puertos no utilizados abiertos

No se realiza la protección de puertos abiertos q no son utilizados, los cuales

podrían ser usados por troyanos altamente peligrosos.

● Falta de un sistema de ingreso de personal

La empresa no cuenta con un sistema que registre el ingreso y salida del

personal, solo se tiene un registro manual. Lo que no garantiza la veracidad de

la información a la hora de realizar un control de las personas que ingresaron a

las instalaciones de la empresa.

● No existe cableado estructurado en la instalación de la red de energía

eléctrica.

http://es.wikipedia.org/wiki/Borrado_de_archivos

http://es.wikipedia.org/wiki/Corrupci%C3%B3n_de_datos

La instalación de red de energía eléctrica no es la adecuada, no cuenta con

normas de seguridad. Lo que podría causar daños en los equipos.

● Políticas de seguridad deficientes e inexistentes para el cuidado y

conservación de hardware.

Contar con un suministro de energía ininterrumpible (UPS) para asegurar el

apagado regulado y sistemático.

No todos los equipos cuentan con estabilizadores lo que provocaría daños en el

hardware.

No se efectúa periódicamente un mantenimiento preventivo de los equipos.

● La empresa no cuenta con una construcción antisísmica

● Políticas de seguridad en caso de desastres naturales inexistente

No se tiene creadas las políticas de seguridad en caso de desastres naturales.

● Instalaciones Inadecuadas, para protección del cableado

Las instalaciones y la distribución de los muebles y enseres no se encuentran

adecuadas como para la implementación de un cableado de red y de energía.

● No existe cableado estructurado en la red de datos.

No se cuenta con cableado estructurado en su totalidad. Solo el servidor de

base de datos y la maquina cliente de donde se operan los sistemas (Ruteo,

Contabilidad, Facturación) se encuentran en red. Esta situación incurre en un

problema para compartir la información con las aéreas que requieren estar al

tanto de los mismos. Así como el área de las gerencias.

5.5 Identificación y descripción de activos de controles

Establecimiento de una política de control de accesos

Uso de criptografía para proteger los datos

Restringir el ingreso de personas no autorizadas

Definir una política de copias de seguridad

Con la finalidad de mantener operativos los procesos de la empresa

DISTRIBUIDORA BOLIVIANA DE BEBIDAS S.R.L, es necesario fijar una política de

respaldo de Información que permita ante cualquier eventualidad recuperar de

manera rápida y actualizada la información perdida. Para esto es necesario definir

dos niveles de criticidad de la información que se especifican a continuación:

o Nivel Crítico: Información institucional almacenada en el servidor de base de dato.

o Nivel Medio: Información relativa a respaldos del servidor de aplicaciones.

Los métodos de copia de seguridad son los diarios e incrementales.

Restringir el uso de dispositivos de almacenamiento

Dada la importancia de la información que maneja la institución y la necesidad de resguardar los datos, así como emitir información a otras entidades, surge la necesidad de establecer la normativa para regular el uso de cualquier tipo de unidades de respaldo sean estas internas o externas, entre las que podemos mencionar los quemadores de discos compactos, DVD, pendrives, entre otros.

Limitar el uso de correos no corporativos y acceso a servidores FTP

Adquisición de actualizaciones

Creación de una guía de usuario

Implementar integración automática entre ambos sistemas (Contabilidad y Facturación)

Análisis del tráfico de la red

El análisis y diagnóstico de redes permite encontrar deficiencias en la red de datos y sus causas, u oportunidades de mejora, y formular acciones correctivas y de mejoramiento. El análisis de red debe hacerse continuamente.

Normas de restricción y privilegios de usuarios

Instalación de un sistema de registro con huella dactilar

Un sistema de control biométrico con lector de huellas dactilares permite el registro de las entradas y salidas del personal, de esta manera se verifica que solo los empleados tengan acceso a las instalaciones de la empresa.

Instalación de cámaras de seguridad

Debido a la necesidad de resguardar tanto los activos tangibles e intangibles, se puede optar con la instalación de cámaras de seguridad que puedan grabar todo el desenvolvimiento de los trabajadores de la empresa y pueda así pueda haber una prueba de los culpables en caso de actos no correctos.

Instalación de equipos de protección de cortes de energía eléctrica

Los equipos de protección de energía eléctrica previenen los cortes de energía y minimizan los peligros que pueda ocasionar. Mediante la mejora de la capacidad de los equipos de protección se mejora la disponibilidad y confiabilidad de los sistemas, además se mantiene por un tiempo la energía eléctrica en caso de cortes, y se previene de los daños de las instalaciones de transmisión eléctrica debido a la sobrecarga.

Aplicar políticas de seguridad y procedimientos en caso desastres naturales

Instalaciones de alarmas y control de incendio

Mejora del cableado de Red de Datos

Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de los equipos

Implementar un cableado estructurado de red de ratos según normativa

Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de la red

El personal administrativo tiene acceso a los servicios de la red: servidor de aplicaciones, servidor de bases de dato, impresoras, archivos compartidos en otras estaciones de trabajo entre otros. Dicha cuenta es otorgada para facilitar las labores de los funcionarios mediante el uso de tecnología informática. Por lo anterior, los usuarios deben hacer uso de la red y de los servicios relacionados con esta, estrictamente en cumplimiento de las labores institucionales, tomando en consideración la privacidad de otros usuarios y la no saturación de la red por uso indebido del ancho de banda, entre otros argumentos.

Solicitar soporte para el correcto uso del Sistema

Capacitar a una segunda persona como respaldo

Uso de cortafuegos

Con un firewall o cortafuegos, podemos bloquear accesos no autorizados, permitiendo al mismo tiempo comunicaciones autorizadas, abrir o cerrar puertos según sea lo necesario. Podemos implementarlos en hardware o software, o una combinación de ambos. En el caso de la empresa por cuestiones de costo podemos instalar un software firewall.

5.6 Matriz de análisis de riesgos

Activos Valor Amenazas FE SLE Vulnerabilidades ARO ALE Controles Costo control

ALE DC Valor del Control

Ahorro

Sistema de Ruteo

Roadshow 10000

1. Personal no Autorizado con

acceso al Sistema

50% 5000 4. Falta de politicas de

acceso al sistema 25% 1250

1. Establecimiento de una politica de control de accesos

200 1050 1050

2. Uso de criptografia para

proteger los datos 500 -500 750

2. Robo de la Información

10% 1000

1. Falta de control de acceso fisico al area de

sistemas

25% 250 3. Restringir el ingreso de

personas no autorizadas 300 -50 -50

2. Falta de politicas de

seguridad de la información 35% 350

5. Restringir el uso de dispositivos de almacenamiento

300 50 50

6. Limitar el uso de correos no

corporativos y acceso a servidores FTP

200 -200 150

3. Pérdida de

Información 10% 1000


copias de respaldo 50% 500

4. Definir una política de copias

de seguridad 200 300 300

5. Errores de Programacion y

Diseño 20% 2000 6. Falta de actualizaciones 50% 1000

7. Adquisición de actualizaciones

2000 -1000 -1000

6. Mala Manipulacion del Sistema

50% 5000 15. El sistema es complejo

en su manipulacion 25% 1250

21. Solicitar soporte para el correcto uso del Sistema

1000 250 250

8. Creación de una guia de usuario

500 -500 -500

7. Sistema no disponible

100% 10000

16. Solo existe un

encargado que conoce el Sistema

50% 5000

8. Creación de una guia de

usuario 500 4500 4500

22. Capacitar a una segunda persona como respaldo

1000 -1000 -1000

Sistema de

Contabilidad 5000


acceso al Sistema



1. Establecimiento de una politica de control de accesos

200 425 425


proteger los datos 500 -500 -500

2. Robo de la

Información 10% 500

1. Falta de control de

acceso fisico al area de sistemas

25% 125 3. Restringir el ingreso de personas no autorizadas

300 -175 -175

2. Falta de politicas de seguridad de la información

25% 125

5. Restringir el uso de

dispositivos de almacenamiento 300 -175 -175

6. Limitar el uso de correos no corporativos y acceso a

servidores FTP 200 -200 -200

3. Pérdida de Información



4. Definir una política de copias de seguridad

200 -75 -75

4. Inconsistencia de Información

30% 1500

5. Falta de integración del

Sistema de Contabilidad y Facturación

100% 1500

9. Implementar integracion

automática entre ambos sistemas (Contabilidad y

Facturación)

3000 -1500 -1500

Sistema de Facturacion

FIS 8000


acceso al Sistema 50% 4000

4. Falta de politicas de acceso al sistema

100% 4000 1. Establecimiento de una

politica de control de accesos 200 3800 3800

2. Robo de la Información

10% 800


sistemas 100% 800

3. Restringir el ingreso de personas no autorizadas

300 500 500

2. Falta de politicas de seguridad de la información

100% 800

5. Restringir el uso de dispositivos de almacenamiento

300 500 500

6. Limitar el uso de correos no corporativos y acceso a

servidores FTP

200 -200 -200

3. Pérdida de Información



4. Definir una política de copias de seguridad

200 200 200

4. Inconsistencia de Información

30% 2400 5. Falta de integración del Sistema de Contabilidad y

Facturación 50% 1200

9. Implementar integracion

automática entre ambos sistemas (Contabilidad y

Facturación)

3000 -1800 -1800

Servidor

Base de Datos

20000

3. Pérdida de

Información

10% 2000

3. Falta de politicas de copias de respaldo 50% 1000

4. Definir una política de copias

de seguridad 200 800 800


acceso fisico al area de sistemas 100% 2000

3. Restringir el ingreso de

personas no autorizadas 300

1700 1700


acceso al Sistema



1. Establecimiento de una politica de control de accesos 200

9800 9800


proteger los datos 500 -500 -500

8. Ataques de usuario malicioso (

escaneo de puertos, sniffing, ing. social)

100% 20000

17. Envío de contraseñas con encriptación debil

50% 10000


proteger los datos 500 9500 9500

7. Adquisición de actualizaciones 5000

-5000 -5000

10. Análisis del tráfico de la red 300

-300 -300


seguridad de la información 25% 5000


proteger los datos 500 4500 4500

11. Normas de restricción y privilegios de usuarios 300

-300 -300

18. Puertos no utilizados abiertos

25% 5000 23. Uso de cortafuegos 500

4500 4500

19. Acceso a instalaciones

de software no monitoreadas

25% 5000

10. Análisis del tráfico de la red 300

4700 4700

11. Normas de restricción y privilegios de usuarios 300

-300 -300

9. Robo de Hardware 100% 20000


sistemas



4700 4700

7. Falta de un sistema de ingreso de personal

100% 20000

12. Instalación de un sistema de registro con huella dactilar 2000

18000 18000

13. Instalación de cámaras de

seguridad 5000 -5000 -5000

10. Deterioro de Hardware

20% 4000

8. No existe cableado estructurado en la

instalación de la red de

energía eléctrica.

50% 2000 14. Instalación de equipos de

protección de cortes de energía

eléctrica 7000

-5000 -5000

11. Políticas de seguridad

deficientes e inexistentes para el cuidado y

conservacion de hardware

100% 4000

18. Aplicar politicas de

seguridad y procedimientos para el cuidado y conservación

de los equipos 700

3300 3300

6. Falta de actualizaciones 50% 2000 7. Adquisición de

actualizaciones 5000 -3000 -3000

11. Incendios 50% 10000

8. No existe cableado estructurado en la

instalación de la red de energía eléctrica.

100% 10000 14. Instalacion de equipos de

protección de cortes de enegía

eléctrica 7000

3000 3000

9. No existe equipamiento

adecuado para proteccion de equipos

50% 5000 16. Instalaciones de alarmas y control de incendio

4000 1000 1000

12. Terremotos, cismos o

deslizamientos

100% 20000

10. La empresa no cuenta

con una construcción antisísmica

100% 20000


seguridad y procedimientos en caso desastres naturales 500

19500 19500

12. Políticas de seguridad en caso de desastres naturales inexistente

100% 20000 15. Aplicar politicas de


19500 19500

PC's 5000

11. Incendios 100% 5000

9. No existe equipamiento adecuado para proteccion de equipos


6000 -1000 -1000

8. No existe cableado estructurado en la instalación de la red de

energía eléctrica.

100% 5000 14. Instalacion de equipos de protección de cortes de enegía eléctrica

1000

4000 4000

12. Políticas de seguridad en caso de desastres

naturales inexistente

100% 10000 15. Aplicar politicas de seguridad y procedimientos en

caso desastres naturales 500

9500 9500

12. Terremotos,

cismos o deslizamientos

100% 5000

9. No existe equipamiento adecuado para proteccion

de equipos

100% 2500 16. Instalaciones adecuadas con alarma y control de

incendio 6000

-3500 -3500

10. La empresa no cuenta

con una construcción antisísmica

100% 5000



4500 4500

12. Políticas de seguridad

en caso de desastres naturales inexistente

100% 5000



4500 4500

10. Deterioro de

Hardware 50% 2500

8. No existe cableado

estructurado en la instalación de la red de energía eléctrica.


1000

1500 1500

11. Políticas de seguridad deficientes e inexistentes para el cuidado y


200% 5000

18. Aplicar politicas de seguridad y procedimientos

para el cuidado y conservación

de los equipos 100

4900 4900

9. Robo de Hardware 50% 50000


acceso fisico al area de sistemas



49700 49700

7. Falta de un sistema de

ingreso de personal 100% 50000

12. Instalación de un sistema de registro con huella dactilar 2000

48000 48000

13. Instalación de cámaras de

seguridad 5000 -5000 -5000

Cableado de Red de

Datos

3000

11. Incendios 100% 3000

13. Instalaciones

Inadecuadas, para proteccion del cableado


4000 -2500 -2500


estructurado en la instalación de la red de energía eléctrica.


1000 2000 2000




caso desastres naturales

500 1000 1000

12. Terremotos, cismos o

deslizamientos 100% 3000

13. Instalaciones Inadecuadas, para

proteccion del cableado



500 1000 1000

10. La empresa no cuenta con una construcción

antisísmica



500 1000 1000

14. No existe cableado estructurado en la red de

datos.

50% 1500 19. Implementar un cableado estructurado de red de ratos s

según normativa

4000 -2500 -2500





500 1000 1000

10. Deterioro de Hardware

20% 600

13. Instalaciones

Inadecuadas, para proteccion del cableado

50% 300 17. Mejora del cableado de Red

de Datos 2500 -2200 -2200


estructurado en la red de datos.

100% 600

19. Implementar un cableado

estructurado de red de ratos s según normativa

4000 -3400 -3400

11. Políticas de seguridad deficientes e inexistentes para el cuidado y


50% 300

20. Aplicar politicas de seguridad y procedimientos

para el cuidado y conservación

de la red

200 100 400

ALE DC= FE*VALOR DEL ACTIVO* Probabilidad de que ocurra la amenaza a pesar del control VALOR DEL CONTROL= ALE-ALEDC-COSTO CONTROL

5.7 Selección de controles

Análisis y descripción de Amenazas

Análisis y descripción de Vulnerabilidades

Selección de Controles

Implementación de Controles

Establecimiento de una política de control de accesos.

Uso de criptografía para proteger los datos.

Restringir el ingreso de personas no autorizadas


Limitar el uso de correos no corporativos y acceso a servidores FTP

Definir una política de copias de seguridad


Solicitar soporte para el correcto uso del Sistema

Creación de una guía de usuario.

Capacitar a una segunda persona como respaldo.

Establecimiento de una política de control de accesos


Implementar integración automática entre ambos sistemas (Contabilidad y

facturación).

Restringir el ingreso de personas no autorizadas.


Análisis del tráfico de la red

Normas de restricción y privilegios de usuarios

Uso de cortafuegos

Instalación de un sistema de registro con huella dactilar.

Instalación de cámaras de seguridad.

Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de los

equipos.

Instalación de equipos de protección de cortes de energía eléctrica.

Instalaciones de alarmas y control de incendio.

Aplicar políticas de seguridad y procedimientos en caso desastres naturales.

Instalación de un sistema de registro con huella dactilar.

Instalación de cámaras de seguridad.

Mejora del cableado de Red de Datos.

Aplicar políticas de seguridad y procedimientos para el cuidado y conservación de la

red.

5.8 Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente, Indicadores y)

Las métricas que se han descrito son las siguientes:

Ref. Política Políticas de Formación y Capacitación en Materia de Seguridad de

la Información

Concepto

Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en el organismo, recibirán una adecuada capacitación , preparación y actualización periódica en materia de la política, normas y procedimientos de la empresa

Dimensión El personal tiene conocimiento de las políticas de seguridad

Métrica Personal capacitado

Frecuencia Cada 90 días

Fuente Test de capacitación

Indicadores % de personal que aprobaron el test

justificación Falta de políticas de acceso y restricción al sistema

Ref. Política Controles de Acceso

Concepto Restricción y control accesos a los sistemas.

Dimensión Accesos desde puntos de red cableados e inalámbricos autorizados y no autorizados

Métrica Cantidad de accesos de red autorizados y no autorizados


Fuente Archivos logs del servidor, router y del sistema.

Indicadores % de accesos autorizados

justificación Falta de políticas de acceso y restricción al sistema

Ref. Política Seguridad Física

Concepto

Se utilizarán perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información.

Dimensión Fallas de equipos y de la capa física de la red del sistema.

Métrica Cantidad de mal funcionamiento de equipos.


Fuente Registro de servicio de técnico.

Indicadores % de fallas de los equipos.

justificación Falta de seguridad de funcionamiento optimo de los equipos

Ref. Política Confidencialidad

Concepto Buscar que la información confidencial de la empresa no esta

comprometida ni expuesta

Dimensión Información confidencial de la empresa

Métrica Cantidad de información confidencial

Frecuencia Mensual

Fuente Auditoria Interna

Indicadores % de información filtrada

justificación Prevención de fuga de información.

Ref. Política Respaldo de Información

Concepto La información respaldada en dispositivos externos tiene que ser verificada.

Dimensión Respaldos realizados de la información

Métrica Cantidad de copias de seguridad realizadas.

Frecuencia Mensual

Fuente Backups de la Base de datos

Indicadores % de información respaldada

justificación Prevención de perdida de información.

Ref. Política Actualización de Tecnologías

Concepto Se medirá la actualización progresiva de los sistemas de información y equipos utilizados.

Dimensión Software y hardware actualizado

Métrica Cantidad de equipos por actualizar

Frecuencia Anual

Fuente Análisis de versiones y estado.

Indicadores % de software y hardware actualizado

justificación Mantener los sistemas actualizados

5.9 Plan de Implementación General

El plan te implementación general ser la guía para la implementación de los controles

seleccionados para corregir en su totalidad o parcialmente las vulnerabilidades y de esta

forma no representen un riesgo a la empresa cundo se presente una amenaza externa o

interna.

5.9.1 Objetivos

Análisis y descripción de amenazas

Análisis y descripción de vulnerabilidades

Selección de controles

Implementación de controles

5.9.2 Presupuesto implementación de controles

El presupuesto provisional total que tendrá la implementación de los controles

seleccionados asciende a un costo de $us. 66100,00.

Id Controles Mes1 Mes2 Mes3 Mes4 Mes5 Mes6 Mes7 Mes8 Mes9 Mes12 Mes11 Mes12

1 Análisis y descripción de Amenazas

2 Análisis y descripción de

Vulnerabilidades

3 Selección de Controles

4 Implementación de Controles

5 Establecimiento de una política de

control de accesos

6 Uso de criptografía para proteger los

datos

7 Restringir el ingreso de personas no

autorizadas

8 Restringir el uso de dispositivos de

almacenamiento

9 Limitar el uso de correos no

corporativos y acceso a servidores FTP

10 Definir una política de copias de

seguridad

11 Adquisición de actualizaciones

12 Solicitar soporte para el correcto uso

del Sistema

13 Creación de una guía de usuario

14 Capacitar a una segunda persona

como respaldo

15 Establecimiento de una política de

control de accesos

16 Restringir el uso de dispositivos de

almacenamiento

17 Implementar integración automática entre ambos sistemas (Contabilidad y

Facturación)

18 Restringir el ingreso de personas no

autorizadas

19 Adquisición de actualizaciones

20 Análisis del tráfico de la red

21 Normas de restricción y privilegios de

usuarios

22 Uso de cortafuegos

23 Instalación de un sistema de registro

con huella dactilar

24 Instalación de cámaras de seguridad

25 Aplicar políticas de seguridad y

procedimientos para el cuidado y conservación de los equipos

26 Instalación de equipos de protección

de cortes de energía eléctrica

27 Instalaciones de alarmas y control de

incendio


procedimientos en caso desastres naturales

29 Instalación de un sistema de registro

con huella dactilar

30 Instalación de cámaras de seguridad

31 Mejora del cableado de Red de Datos


procedimientos para el cuidado y conservación de la red

5.10 Conclusiones y recomendaciones

Conclusiones:

El análisis de riesgo realizado nos permitió detectar con éxito las vulnerabilidades

existentes en los procesos de la empresa y seleccionar los controles adecuados.

La mayoría de las vulnerabilidades se deben a la actitud de los empleados, los

cuales necesitan institucionalizarse y comprometerse con los objetivos de la

empresa.

Las políticas de seguridad planteadas necesitan ser ejecutadas para dar seguridad al

centro de cómputo y a la información que es un activo vital para la empresa.

Estas políticas se pueden observar en la sección de Anexos.

Recomendaciones:

Se necesita lograr el compromiso de los trabajadores de la empresa. La actitud en

el compromiso laboral es importante, ya que es la medida en que una persona se

identifica con la empresa y su entorno, queriendo participar en las actividades de

la misma, persiguiendo los mismos objetivos y cuidando de los activos.

6. CONCLUSIONES Y RECOMENDACIONES ACADÉMICAS

Conclusiones:

Se logró comprender que el manejo adecuado de la información constituye una

clave de éxito frente a la competencia.

Se aplicó los conceptos de seguridad de información para poder encontrar las

vulnerabilidades tecnológicas y aplicar los controles necesarios.

En base a las vulnerabilidades identificadas y los controles, se logró desarrollado

como propuesta de implementación políticas de seguridad, con el fin de mantener

la disponibilidad, integridad y confidencialidad de la información y del

equipamiento que conforma el centro de cómputo.

Recomendaciones:

Para poder tener una visión más amplia de la empresa en la cual se realiza el

análisis de riesgos, podría hacerse un análisis FODA y también tener en cuenta la

visión y misión.

7. BIBLIOGRAFÍA

ING. JOSE MANUEL POVEDA

2012-10 http://jmpovedar.wordpress.com/auditoria-informatica/

2012-10 http://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf

POLITICAS DE SEGURIDAD

2012-10 http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf

2012-10 http://es.wikipedia.org/wiki/Esc%C3%A1ner_de_puertos

http://jmpovedar.wordpress.com/auditoria-informatica/

http://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf

http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf

http://es.wikipedia.org/wiki/Esc%C3%A1ner_de_puertos

8. ANEXOS

8.1 Definición de Políticas

8.1.1 Compromiso de Confidencialidad

o Como parte de sus términos y condiciones iniciales de empleo, los empleados, cualquiera sea su cargo, firmarán un Compromiso de Confidencialidad o no divulgación, en lo que respecta al tratamiento de la información del Organismo.

o Asimismo, mediante el Compromiso de Confidencialidad el empleado declarará

conocer y aceptar la existencia de determinadas actividades que pueden ser objeto de control y monitoreo.

o Los términos y condiciones de empleo establecerán la responsabilidad del empleado en materia de seguridad de la información. Por ejemplo en relación con las leyes de Propiedad Intelectual o la legislación de protección de datos, se encontrarán aclarados e incluidos en los términos y condiciones de empleo.

8.1.2 Formación y Capacitación en Materia de Seguridad de la

Información

o Todos los empleados de la empresa y, cuando sea pertinente, los usuarios externos y los terceros que desempeñen funciones en el organismo, recibirán una adecuada capacitación y actualización periódica en materia de la política, normas y procedimientos de la empresa. Esto comprende los requerimientos de seguridad y las responsabilidades legales, así como la capacitación referida al uso correcto de las instalaciones de procesamiento de información y el uso correcto de los recursos en general, como por ejemplo su estación de trabajo.

8.1.3 Perímetro de Seguridad Física

o La empresa utilizará perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, de suministro de energía eléctrica, de aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información.

Se considerarán e implementarán los siguientes lineamientos y controles, según corresponda:

a. Definir y documentar claramente el perímetro de seguridad. b. Ubicar las instalaciones de procesamiento de información dentro del

perímetro de un edificio o área de construcción físicamente sólida (por ejemplo no deben existir aberturas en el perímetro o áreas donde pueda producirse fácilmente una irrupción).

c. Extender las barreras físicas necesarias desde el piso (real) hasta el techo (real), a fin de impedir el ingreso no autorizado y la contaminación ambiental, por ejemplo por incendio, humedad e inundación.

d. El Responsable de Seguridad Informática llevará un registro actualizado de los sitios protegidos, indicando:

1) Identificación de las instalaciones y áreas. 2) Principales elementos a proteger. 3) Medidas de protección física.

8.1.4 Controles de Acceso

Estos controles de acceso físico tendrán, por lo menos, las siguientes características:

o Supervisar o inspeccionar a los visitantes a áreas protegidas y registrar la fecha y horario de su ingreso y egreso.

o Controlar y limitar el acceso a la información clasificada y a las instalaciones de

procesamiento de información, exclusivamente a las personas autorizadas. Se utilizarán los siguientes controles de autenticación para autorizar y validar todos los accesos: Por ejemplo: personal de guardia con listado de personas habilitadas o por tarjeta magnética o inteligente y número de identificación personal (PIN), etc.).

o Implementar el uso de una identificación visible para todo el personal

8.1.5 Protección de Oficinas, Recintos e Instalaciones

Definir el centro de cómputo como área protegida de la empresa. Se establecen las

siguientes medidas de protección:

o Ubicar las instalaciones críticas en lugares a los cuales no pueda acceder personal no autorizado.

o Establecer que los edificios o sitios donde se realicen actividades de procesamiento de información serán discretos y ofrecerán un señalamiento mínimo de su propósito, sin signos obvios, exteriores o interiores.

o Ubicar las funciones y el equipamiento de soporte, por ejemplo: impresoras, fotocopiadoras, máquinas de fax, adecuadamente dentro del área protegida para evitar solicitudes de acceso, el cual podría comprometer la información.

o Separar las instalaciones de procesamiento de información administradas por la empresa de aquellas administradas por terceros.

o Restringir el acceso público a las guías telefónicas y listados de teléfonos internos que identifican las ubicaciones de las instalaciones de procesamiento de información sensible.

o Almacenar los equipos redundantes y la información de resguardo (back up) en un sitio seguro y distante del lugar de procesamiento, para evitar daños ocasionados ante eventuales contingencias.

8.1.6 Desarrollo de Tareas en Áreas Protegidas

o Dar a conocer al personal la existencia del área protegida, o de las actividades que

allí se llevan a cabo, sólo si es necesario para el desarrollo de sus funciones.

o Impedir el ingreso de equipos de computación móvil, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información, a menos que hayan sido formalmente autorizadas por el Responsable de dicho área o el Responsable del Área Informática y el Responsable de Seguridad Informática.

o Prohibir comer, beber y fumar dentro de las instalaciones de procesamiento de la

información.

8.1.7 Ubicación y Protección del Equipamiento y Copias de Seguridad

o Ubicar el equipamiento en un sitio donde se minimice el acceso innecesario y

provea un control de acceso adecuado.

o Ubicar las instalaciones de procesamiento y almacenamiento de información que manejan datos clasificados, en un sitio que permita la supervisión durante su uso.

8.1.8 Suministros de Energía

El equipamiento estará protegido con respecto a las posibles fallas en el suministro de energía u otras anomalías eléctricas. Para asegurar la continuidad del suministro de energía, se contemplarán las siguientes medidas de control:

o Disponer de múltiples enchufes o líneas de suministro para evitar un único punto de falla en el suministro de energía.

o Contar con un suministro de energía ininterrumpible (UPS) para asegurar el apagado regulado y sistemático o la ejecución continua del equipamiento que sustenta las operaciones críticas del Organismo.

8.1.9 Seguridad del Cableado

El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información estará protegido contra intercepción o daño, mediante las siguientes acciones:

o Cumplir con los requisitos técnicos vigentes

o Utilizar pisoducto o cableado embutido en la pared, siempre que sea posible, cuando corresponda a las instalaciones de procesamiento de información.

o Separar los cables de energía de los cables de comunicaciones para evitar interferencias.

o Proteger el tendido del cableado troncal (backbone) mediante la utilización de ductos blindados.

8.1.10 Mantenimiento de Equipos

o Se realizará el mantenimiento del equipamiento para asegurar su disponibilidad e integridad permanentes:

o Someter el equipamiento a tareas de mantenimiento preventivo, de acuerdo con

los intervalos de servicio y especificaciones recomendados por el proveedor y con la autorización formal del Responsables del Área Informática.

o Establecer que sólo el personal de mantenimiento autorizado puede brindar

mantenimiento y llevar a cabo reparaciones en el equipamiento.

o Registrar todas las fallas supuestas o reales y todo el mantenimiento preventivo y correctivo realizado.

8.1.11 Planificación y Aprobación de Sistemas

El Responsable del Área Informática y el Responsable de Seguridad Informática sugerirán criterios de aprobación para nuevos sistemas de información, actualizaciones y nuevas versiones, solicitando la realización de las pruebas necesarias antes de su aprobación definitiva. Se deben considerar los siguientes puntos:

o Verificar el impacto en el desempeño y los requerimientos de capacidad de las computadoras.

o Garantizar la recuperación ante errores.

o Asegurar que la instalación del nuevo sistema no afectará negativamente los

sistemas existentes, especialmente en los períodos pico de procesamiento.

o Disponer la realización de entrenamiento en la operación y/o uso de nuevos sistemas.

8.1.12 Protección Contra Software Malicioso

El Responsable de Seguridad Informática definirá controles de detección y prevención para la protección contra software malicioso.

El Responsable de Seguridad Informática desarrollará procedimientos adecuados de concientización de usuarios en materia de seguridad, controles de acceso al sistema y administración de cambios. Estos controles deberán considerar las siguientes acciones:

o Prohibir el uso de software no autorizado por el Organismo. o Redactar procedimientos para evitar los riesgos relacionados con la obtención de

archivos y software desde o a través de redes externas, o por cualquier otro medio, señalando las medidas de protección a tomar.

o Instalar y actualizar periódicamente software de detección y reparación de virus, examinado computadoras y medios informáticos, como medida precautoria y rutinaria.

o Mantener los sistemas al día con las últimas actualizaciones de seguridad disponibles

o Revisar periódicamente el contenido de software y datos de los equipos de procesamiento que sustentan procesos críticos del Organismo, investigando formalmente la presencia de archivos no aprobados o modificaciones no autorizadas.

o Redactar procedimientos para verificar toda la información relativa a software

malicioso, garantizando que los boletines de alerta sean exactos e informativos.

o Concientizar al personal acerca del problema de los falsos virus (hoax) y de cómo proceder frente a los mismos.

8.1.13 Resguardo de la Información

Se definirán procedimientos para el resguardo de la información, que deberán considerar los siguientes puntos:

o Definir un esquema de rótulo de las copias de resguardo, que permita contar con toda la información necesaria para identificar cada una de ellas y administrarlas debidamente.

o Almacenar en una ubicación remota copias recientes de información de resguardo

junto con registros exactos y completos de las mismas y los procedimientos documentados de restauración, a una distancia suficiente como para evitar daños provenientes de un desastre en el sitio principal.

o Verificar y probar periódicamente los procedimientos de restauración

garantizando su eficacia y cumplimiento dentro del tiempo asignado a la recuperación en los procedimientos operativos.

8.1.14 Controles de Redes

o Establecer los procedimientos para la administración del equipamiento remoto, incluyendo los equipos en las áreas usuarias, la que será llevada a cabo por el responsable establecido en el punto “Asignación de Responsabilidades en Materia de Seguridad de la Información”.

o Establecer controles especiales para salvaguardar la confidencialidad e integridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados. Implementar controles especiales para mantener la disponibilidad de los servicios de red y computadoras conectadas.

o Garantizar mediante actividades de supervisión, que los controles se aplican uniformemente en toda la infraestructura de procesamiento de información.

El Responsable del Área Informática implementará dichos controles.