Documente Academic
Documente Profesional
Documente Cultură
Facultad de Ingeniera
DESARROLLO DE REDES IV.
INTEGRANTES:
Arvalo Bernal, Oscar William
25-0610-2002
25-3394-2003
25-0592-2003
25-3405-2002
25-2382-2003
25-1005-1999
Seccin : 01
INDICE.
Pagina
Introduccin
Objetivos
Marco Terico
Determinacin de la probabilidad
11
11
Identificacin de amenazas
12
13
Priorizacin de riesgos
14
15
Descripcin de la empresa
15
Misin
15
Visin
15
Polticas
16
Organigrama de la empresa
16
17
17
18
Anlisis de Riesgo
18
Paso 1: Activos
19
20
Dependencias
20
Dimensiones de Valoracin
21
Valoracin
23
Paso 2: Amenazas
23
23
24
25
26
Desarrollo de la Metodologa
27
Entrevistas
27
32
35
43
Conclusiones
44
Glosario
46
Bibliografa
48
INTRODUCCI N
En el presente trabajo se ha realizado la documentacin sobre una
consultora de seguridad
en la empresa LA CASA DE LAS BATERIAS S.A DE C.V. La cual se encuentra
ubicada en el lugar (parte de la direccin) siendo el principal rubro (actividad a
la que se dedica).
Para llevar a cabo la investigacin se hizo uso de diferentes tcnicas
de recoleccin de
informacin como entrevistas a encargados del rea de informtica para
determinar diversos
factores que intervienen como vulnerabilidades, amenazas, entre otros. En
la
seguridad
de
informacin
general
la cual se
pretende entre otros aspectos hacer que los responsables de los sistemas de
informacin tanto de la existencia de riesgos y de la necesidad de
como
los
Elementos
que
intervienen
como
son
los
Activos,
del
anlisis
de
riesgos
en
la
para
una
implementacin
correcta
de
la
metodologa.
La cual se desarrolla en la cuarta parte segn lo que se ha presentado
en por parte de la
empresa para la cual se est desarrollando esta consultora en la cual ya se
identificaron parte de los riesgos y vulnerabilidades descubiertos por parte del
grupo de consultores y estn detallados en esta parte del documento.
Adems se ha brinda una parte de las conclusiones que se han tomado
aunque estas de
forma general ya que se espera realizarlo de forma especfica para la
culminacin de esta consultora la cual est siendo desarrollada hasta el
momento y ser culminada hasta el prximo avance.
OBJETIVOS
Objetivo General:
Desarrollar una consultora de seguridad en la empresa LA CASA DE LAS
BATERIAS, S.A DE C.V para determinar diversos factores que intervienen
Amenazas
Activos
Impactos
PROBABILIDAD:
establecer
la
probabilidad
de
ocurrencia
puede
realizarse de manera cuantitativa o cualitativa, pero siempre considerando
que la medida no debe contemplar la existencia de ninguna accin
paliativa, o sea, debe considerarse en cada caso qu posibilidades
existen que la amenaza se presente independientemente del hecho que sea
o no contrarrestada.
Existen amenazas, como por ejemplo incendios, para las cuales
hay informacin suficiente (series histricas, compaas de seguros y
otros datos) para establecer con razonable objetividad su probabilidad
de ocurrencia. Otras amenazas presentan mayor dificultad en establecer
cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado a
datos; dnde se hacen estimaciones sobre la base de experiencias.
AMENAZAS: las amenazas siempre existen y son aquellas acciones que
pueden ocasionar consecuencias negativas en la operativa de la
empresa. Comnmente se indican como amenazas a las fallas, a los
ingresos no autorizados, a los virus, uso inadecuado de software,
los desastresambientales
como
terremotos
o
inundaciones, accesos
no autorizados, facilidad de acceso a las
instalaciones, etc.
Las amenazas pueden ser de carcter fsico o lgico, como ser una
inundacin en el primer caso, o un acceso no autorizado a una base de datos en
el segundo caso.
VULNERABILIDADES: son ciertas condiciones inherentes a los activos o
presentes en su entorno que facilitan que las amenazas se materialicen llevan
a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes
es que las amenazas logran materializarse, o sea, las amenazas siempre
estn presentes, pero sin la identificacin de una vulnerabilidad no podrn
ocasionar ningn impacto.
Estas vulnerabilidades son de naturaleza variada. A modo de
ejemplo se citan las siguientes: falta
de
conocimiento
del
usuario,
tecnologa inadecuadamente
probada (testeada), transmisin por redes pblicas, etc.
Una vulnerabilidad comn es contar con antivirus no actualizado, la
cual permitir al virus actuar y ocasionar daos. Si el antivirus estuviese
actualizado la amenaza (virus) si bien potencialmente seguira existiendo no
podra materializarse.
ACTIVOS: Los activos a reconocer son aquellos relacionados con
sistemas de informacin. Ejemplos tpicos son los datos, el hardware, el
software, servicios, documentos, edificios y recursos humanos.
Que originan
Incidentes
10
Fuente de la amenaza y su
capacidad. Naturaleza de la
vulnerabilidad.
La probabilidad que una vulnerabilidad potencial pueda ser explotada
por una fuente de amenaza la podemos clasificar en alta, media-alta,
media, media-baja y baja.
Inundaciones
Seguridad en las conexiones a Internet.
Polticas en el
Firewall VPN
Deteccin de intrusos
Seguridad en la infraestructura de comunicaciones.
Routers
11
Switch
es
Firewa
ll Hubs
RAS
Seguridad en Sistema Operacionales (Unix, Windows)
Correo Electrnico
Seguridad en las aplicaciones Crticas
Se define las aplicaciones que son crticas para la organizacin y
por cada una de ellas se obtendr una matriz de riesgo. Es
importante considerar que las aplicaciones estn soportadas
por: Sistemas operativos, hardware servidor, redes LAN y WAN, y
el Centro de cmputo.
12
Amenazas en la red.
Cada da es menos comn que una mquina trabaje aislada de
todas las dems; se tiende a comunicar equipos mediante redes
locales, intranets o la propia Internet, y esta interconexin acarrea
nuevas - y peligrosas - amenazas a la seguridad de los equipos,
peligros que hasta el momento de la conexin no se suelen tener en
cuenta. Por ejemplo, es necesario analizar aspectos relativos al
cifrado de los datos en trnsito por la red, a proteger una red local
del resto de internet, o a instalar sistemas de autenticacin de
usuarios remotos que necesitan acceder a ciertos recursos internos a
la organizacin (como un investigador que conecta desde su casa
a travs de un mdem).
No siempre hemos de contemplar a las amenazas como actos
intencionados contra nuestro sistema: muchos de los problemas
pueden ser ocasionados por accidentes, desde un operador que
derrama una taza de caf sobre una terminal hasta un usuario que
tropieza con el cable de alimentacin de un servidor y lo
desconecta de la lnea elctrica, pasando por temas como el
borrado accidental de datos o los errores de programacin; decir
`no lo hice a propsito' no ayuda nada en estos casos. Por
supuesto, tampoco tenemos que reducirnos a los accesos no
autorizados al sistema: un usuario de nuestras mquinas puede
intentar conseguir privilegios que no le corresponden, una persona
externa a la organizacin puede lanzar un ataque de negacin de
servicio contra la misma sin necesidad de conocer ni siquiera un
login y una contrasea, etc.
13
Los cambios en los riesgos que debe considerar una organizacin tienen dos
orgenes:
a) El surgimiento de nuevas amenazas.
b) La adopcin de nuevas tecnologas que da origen a riesgos no
previstos.
Todo sistema de informacin evoluciona, debido a la integracin
de hardware y software con caractersticas nuevas y ms atractivas
para los usuarios, as como al desarrollo de nuevas funcionalidades.
Estos cambios abren la posibilidad de riesgos imprevistos y tambin
pueden crear vulnerabilidades donde antes no existan.
14
2.1.1 Misin.
Suplir la demanda de nuestros clientes en Panam y
Centroamrica a travs del suministro oportuno de productos y
servicios en el rea de Bateras con todo el respaldo tcnico
requerido para garantizar su satisfaccin.
2.1.2 Visin.
Ser la empresa lder en el sector de las bateras en
Centroamrica y Panam, ofreciendo productos y servicios de alta
calidad.
15
2.1.3 Polticas.
Nuestro compromiso con nuestros clientes es brindar un servicio integral:
A nuestros clientes de distribucin les brindaremos el respaldo
requerido para la venta de nuestros productos.
A nuestros clientes les brindamos asesora tcnica y un
servicio integral en la revisin, venta e instalacin de todo tipo
de Bateras en nuestras instalaciones y en servicio a domicilio.
En ambos casos, con un personal altamente capacitado y a un
precio competitivo, cumpliendo y superando sus expectativas,
mejorando continuamente el control de nuestros procesos por
medio de un eficaz Sistema de Gestin de la Calidad para
beneficio de la empresa, los clientes y colaboradores
Auditor Externo
16
17
18
Paso 1: Activos
El activo esencial es la informacin que maneja el sistema; o sea los
datos. Y alrededor de estos datos se pueden identificar otros activos
relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y
los servicios que se necesitan para poder gestionar dichos
datos.
Dependencias
Aparece como importante el concepto de dependencias entre
activos o la medida en que un activo superior se vera afectado por
un incidente de seguridad en un activo inferior.
Se dice que un activo superior depende de otro activo
inferior cuando la materializacin de una amenaza en el activo
inferior tiene como consecuencia un perjuicio sobre el activo
superior. Informalmente puede interpretarse que los activos
inferiores son los pilares en los que se apoya la seguridad de los
activos superiores.
20
Dimensiones de valoracin
Las dimensiones se utilizan para valorar las consecuencias de la
materializacin de una amenaza.
La valoracin que recibe un activo en una cierta dimensin es la
medida del perjuicio para la organizacin si el activo se ve daado en
dicha dimensin.
[D] Disponibilidad
Aseguramiento de que los usuarios autorizados tienen acceso cuando
lo requieran a la informacin y sus activos asociados.
Qu importancia tendra que el activo no estuviera disponible?
Un activo tiene un gran valor desde el punto de vista de
disponibilidad cuando si una amenaza afectara a su disponibilidad, las
consecuencias seran graves.
[I] Integridad de los datos
Garanta de la exactitud y completitud de la informacin y los
mtodos de su procesamiento.
21
22
VALORACIN
La valoracin puede ser cuantitativa (con una cantidad
numrica) o cualitativa (en alguna escala de niveles). Los
criterios ms importantes a respetar son:
Homogeneidad:
Es importante poder comparar valores aunque sean de diferentes
dimensiones a fin de poder combinar valores propios y valores
acumulados, as como poder determinar si es ms grave el dao en
una dimensin o en otra.
Relatividad:
Es importante poder relativizar el valor de un activo en comparacin con
otros activos.
Se ha elegido una escala detallada de tres valores:
Importancia del Activo
Valor
3
Criterio
Alto
De gran importancia a la
organizacin
Medio De importancia a la organizacin
Bajo
De menor importancia a la
organizacin
Dimensiones:
1. De seguridad
que se
pueden ver afectadas por
este
tipo
de
amenaza,
ordenadas de ms a menos
tipo de amenazas
Descripcin:
Criterio
Alto
Dao grave
Bajo
Dao menor
24
Criterio
Alto
Bastante Frecuente
Medio Frecuente
Bajo
Poco Frecuente
Criterio
Alto
Alto impacto
Bajo
Bajo impacto
IMPACTO
VALOR
25
Criterio
Alto
Alto riesgo
Bajo
Bajo riesgo
FRECUENCIA
RIESGO
IMPACTO
26
DESARROLLO DE LA METODOLOGIA.
Paso 1: Activos.
Descripcin del proceso de identificacin de activos.
Entrevistas.
Se realizaron dos entrevistas que se desarrollaron a dos tipos de personas
diferentes:
1. A un encargado del departamento de Recursos Humanos que nos
brindo
informacin general de la empresa, y algunos datos bsicos de la
misma.
2. La segunda entrevista se realizo a una persona encargada del
departamento de contabilidad que cuenta con un acceso a toda
la informacin de la empresa, y los activos que esta empresa
posee.
Universidad Tecnolgica de El SalvadorFacultad de Ciencia y
TecnologaEscuela de InformticaCtedra de Redes
Empresa:
Nombre:
Cargo:
27
28
Empresa:
Nombre:
Cargo:
29
6. Cules son los servicios de Internet a los que tienen acceso los
usuarios?
___________________________________________________________________
___________________________________________________________________
30
31
Identificacin de Activos.
Tablas de inventario de activos
Departamento: Mercadeo
No
Descripci
n
Computadoras
Dell,
Finalidad
Control de
precios,
Categor
a
HW, SW, SI
Criticidad
Alto
Promociones,
publicidad
Impresora
Canon,
Publicaciones e
HW
medio
impresiones
para todo el
departamento
Departamento: Ventas
No
Descripci
n
Finalidad
Categor
a
Criticida
d
Computadoras
Control de Ventas,
HW, SW, SI
Alto
HW, SW, SI
Alto
Dell
clientes,
proveedores,
cotizaciones
Computadora
Dell
Impresora
Panasonic,
para
todo el
HW
medio
HW
bajo
e impresiones
varias
departamento
1
Scanner para
todo el
departamento
Captura de datos,
informes de ventas
y
cotizaciones
32
Departamento: Contabilidad
No
Descripci
n
Computadoras
Finalidad
Finanzas
Categor
a
Criticida
d
HW, SW, SI
Alto
Dell,
1
Impresora HP
Impresiones varias
del
HW
medio
HW
bajo
HW
medio
departamento
1
Scanner para
todo el
departamento
Fax y
Fotocopiadora
(multifuncin),
Panasonic
Reportes y
cotizaciones,
de acuerdo al
departamento.
Para transacciones
y
datos e informes
generales de la
empresa
uso general.
Descripci
n
Finalidad
Categor
a
Criticida
d
Computadoras
Informacin de los
HW, SW, SI
Alto
Dell.
1
Impresora
Panasonic,
para
empleados
Impresiones varias
del
departamento
todo el
departamento
33
HW
medio
Descripci
n
Finalidad
Computadoras
Categor
a
Criticida
d
HW, SW,
SI
Alto
HW
medio
HW
bajo
HW
medio
HW
medio
Dell.
1
Scanner
Modem
speedtoucher
Fax y
Fotocopiadora
34
Identificacin de Amenazas
Tablas de amenazas y vulnerabilidades
Dimensiones:
[Dis] Disponibilidad
Descripcin:
Inundaciones: Posibilidad de que el agua dae por completo los
recursos del sistema.
35
Tipos de activos:
Dimensiones:
[Dis] Disponibilidad
36
Tipos de activos:
Dimensiones:
1. [I] Integridad
2. [C] Confidencialidad
37
Dimensiones:
1. [C] Confidencialidad
2. [A_S] Autenticidad del servicio
3. [A_D] Autenticidad de los datos
4. [I] Integridad
Descripcin:
Cuando un atacante consigue hacerse pasar por un usuario
autorizado, disfruta de los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por
personas ajenas a la Organizacin o por personal contratado
temporalmente.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay restricciones sobre la cantidad de sesiones que un
usuario puede iniciar.
Tampoco existen restricciones sobre las estaciones de
trabajo sobre las cuales los usuarios pueden iniciar sesin,
aun a pesar de que de manera fsica, cada usuario tiene
asignado un puesto de trabajo y una estacin de trabajo.
No se han implementado a nivel de las polticas de
38
Dimensiones:
1. [C] Confidencialidad
2. [I] Integridad
39
Dimensiones:
1. [Dis] Disponibilidad
2. [I] Integridad
3. [C] Confidencialidad
4. [A_S] Autenticidad del Servicio
5. [A_D] Autenticidad de los Datos
Descripcin:
Propagacin intencionada de virus, espas (spyware), gusanos,
troyanos, bombas lgicas, etc.
40
Dimensiones:
[Dis] Disponibilidad
Descripcin:
Eliminacin intencional de informacin, con nimo de obtener un
beneficio o causar un perjuicio.
Tipos de activos:
Dimensiones:
[Dis] Disponibilidad
41
[A_Int.8] Robo
Tipos de activos:
Dimensiones:
1. [Dis] Disponibilidad
2. [C] Confidencialidad
42
Cdigo
Descripcin
[DesN.1]
Fuego
[DesN.2]
[Indus.1]
[Indus.2]
[Indus.3]
[A_Int.1]
Manipulacin de la Configuracin
[A_Int.2]
[A_Int.3]
[A_Int.4]
Uso no Previsto
[A_Int.5]
[A_Int.6]
Destruccin la Informacin
[A_Int.7]
Denegacin de Servicio
[A_Int.8]
Robo
43
CONCLUSIO NES
Entre las conclusiones que se dan en base al desarrollo del presente
trabajo se
han determinado diferentes amenazas a las cuales se ven afectada
la empresa estn las naturales como lo son el fuego es decir
peligro a incendios que puedan causar estragos o incluso acabar
con los recurso de sistemas de informacin con los cuales cuentan
equipos informticos entendindose por esto hardware debido a que
se han identificado diferentes vulnerabilidades con las que se ve
relacionada esta amenaza siendo las principales que no existen
suficientes extintores de incendios tambin de no contar
con
intencionados
como
robo
de
informacin
entre
las
44
45
GLOSARIO.
46
BIBLIOGRAFIA.
Enlaces bibliogrficos.
Web del Ministerio de Administraciones
Pblicas.
Consejo
Superior
de Informtica:
www.map.es/csi/csi.htm
Las Siete Guas Metodolgicas:
www.map.es/csi/herramientas/GuiasMagerit.exe
Herramienta MAGERIT:
www.map.es/csi/herramientas/HerramientaMagerit.exe
Foro MAGERIT:
http://foro.map.es/
URLS.
http://www.csi.map.es/csi/pg5m20.htm
http://www.enisa.europa.eu/rmra/methods_tools/m_magerit.html
48