Documente Academic
Documente Profesional
Documente Cultură
Estudiantes unad
Presentado a:
SALOMN GONZLEZ GARCA
DIRECTOR
muchas metodologas utilizadas para este proceso y todas ellas parten de un punto
comn, la identificacin de activos de informacin, todos aquellos recursos
involucrados que incluyen los datos, el hardware hasta el recurso humano. Es sobre
estos elementos que el anlisis de riesgos centra su identificacin de amenazas o
riesgos y las vulnerabilidades.
De all se define una amenaza como un evento que puede afectar los activos, ya
sea por accin del recurso humano, algn evento natural o posibles fallas tcnicas.
Por su parte, al identificar las vulnerabilidades se procese a determinar una
caracterstica de un activo que represente un riesgo para la seguridad de la
informacin. Se contina identificando las amenazas, que son la materializacin de
las vulnerabilidades causando como resultado algn tipo de prdida para la
empresa. Para la realizacin de este proceso el presente proyecto emplea la
metodologa MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin), propuesto por la Administracin electrnica del gobierno
espaol (http://administracionelectronica.gob.es/) la cual se puede apoyar en el
software PILAR desarrollado por la compaa EAR, el que mediante la
documentacin de los procesos antes mencionados y previa caracterizacin y
asignacin de valores a todos los elementos presenta un desarrollo del anlisis de
riesgo de la compaa.
Una vez identificada los posibles impactos y riesgos a los cuales se ve enfrentada la
compaa, para este caso en especfico se ha seleccionado la empresa JAVA
INGENIERA, se continua identificando y proponiendo los posibles controles a
emplearse del estndar ISO 27001 y las recomendaciones de seguridad propuestos
para el estudio especfico, para que la empresa pueda tomar decisiones sobre
cmo actuar ante los diferentes riesgos es necesario al recibir una valoracin para
determinar cules son los ms crticos para la empresa. En este documento se
identifican y valoran los principales riesgos que pueden afectar los activos de
informacin de la empresa JAVA INGENIERA.
ABSTRACT
Thanks to the implementation of an appropriate risk analysis in a company, you can
make the identification, analysis and assessment of the risks that could eventually
disrupt normal operation. And although there are many methodologies used for this
process and they all start from a common point, identification of information assets,
all involved resources including data, hardware to human resources. It is on these
elements that risk analysis focuses identification of threats or risks and
vulnerabilities.
From there a threat as an event that may affect the assets, whether by action of
human resources, some natural event or possible technical failures defined.
Meanwhile, to identify vulnerabilities is processed to determine a characteristic of
an asset that represents a risk to information security. It continues to identify
threats, which are the embodiment of vulnerabilities as a result causing any loss to
the company. To carry out this process this project employs the MAGERIT
methodology (Methods of Analysis and Risk Management Information Systems),
proposed
by
the
Spanish
government
eGovernment
(http://administracionelectronica.gob.es/) which it can be supported in the EAR
developed by the company PILAR software, which by documenting the
aforementioned processes and prior characterization and assignment of values to
all elements presents a development of risk analysis company.
Once identified potential impacts and risks to which is confronted the company, for
this specific case has selected the company JAVA ENGINEERING is continuously
identifying and proposing possible controls to be used in the ISO 27001 standard
and safety recommendations proposed for the specific study, so that the company
can make decisions on how to deal with the various risks necessary to receive an
assessment to determine what are the most critical for the company. This document
identified and assessed the main risks that can affect information assets enterprise
JAVA ENGINEERING.
CONTENIDO
RESUMEN.................................................................................................................... 2
ABSTRACT................................................................................................................... 3
INTRODUCCION.......................................................................................................... 5
ANLISIS DE RIESGOS................................................................................................ 6
BIBLIOGRAFIA........................................................................................................... 34
INTRODUCCION
La ocurrencia de prdidas de informacin por ataques humanos, tcnicos o por
fallas en los equipos de cmputo es una de las principales preocupaciones a la que
en la actualidad se ve enfrentado el equipo encargado de la seguridad de la
informacin de las compaas. De igual manera, se considera que en un alto
porcentaje los riesgos corporativos no desaparecen dado que pocas veces las
empresas logran eliminarlos del todo, o al menos de forma inmediata. Para
conseguirlo se debe ejecutar una serie de pasos que se enmarcan dentro de un
proceso concreto. Para la consecucin de estas condiciones es posible emplear la
metodologa MAGERIT para la identificacin de riesgos y su evaluacin posterior,
una vez obtenida esta valoracin y presentadas las posibles soluciones, las
opciones ms habituales de las empresas ante los riesgos son aceptarlos,
mitigarlos, transferirlos o evitarlos.
Estas decisiones son tomadas a partir de recomendaciones hechas por el grupo
encargado del estudio, para el presente trabajo se empleara el estndar ISO 27001
para identificar los controles mas apropiados para la compaa JAVA INGENIERA y
con ellos las recomendaciones a aplicar sobre la seguridad de la informacin.
Presentacin de la compaa:
Java Ingeniera 12993397-1 es una empresa fundada en la ciudad de Pasto, cuyas oficinas se
encuentran en la carrera 24 No. 22 13 Los dos puentes. JAVA INGENIERA Es una empresa de
Ingeniera Elctrica que presta servicios al sector de la construccin, ejecutando obras de
Instalaciones elctricas, Diseando proyectos de Ingeniera, inspecciones a obras, asesoras
tcnicas y mantenimiento en general de instalaciones elctricas y sistemas de apoyo como UPS.
Entre los servicios brindados se encuentran:
Redes Elctricas
Mantenimiento Elctrico
Diseo organizacional:
La compaa en la actualidad cuenta con un total de 12 empleados, los cuales se contratan segn
necesidad, distribuidos segn su campo de accin as:
1 Gerente: Alfredo Moncayo Apraes
1 Ingeniero de sistemas titulado encargado del diseo y la interventora de los proyectos de redes
de datos
1 Ingeniero elctrico titulado encargado del diseo y la interventora de los proyectos elctricos.
2 Tecnlogos en computacin, uno encargado de las funciones de auxiliar administrativo para el
control de las bases de datos y el mantenimiento de los equipos y la intranet de la compaa y el
segundo para el servicio de mantenimiento de equipos de cmputo y redes de datos a externos.
5 Tcnicos encargados de la instalacin y mantenimiento de redes elctricas
3 Tcnicos encargados de la instalacin y configuracin de redes de datos, estructura y armado
de armarios de comunicaciones
Computador I3: Memoria RAM de 4 GB y disco duro de 1TB, lector de memorias, INTEL core
i3 4ta generacin, quemador de dvd, sistema Windows 8.1 Update 1 64 bits, aplicaciones: office
2013 profesional plus.
Computador Janus: Intel Celeron dual core 2,41 ghz, board integrada biostar, disco duro 1tb, 2gb
so-dimm de memoria, dvd-rw, multilector de memorias. Sistema Windows 7 32 bits, aplicaciones
office proffesional plus 2013.
1 Modem Technicolor 7110.02 provisto por el ISP, dos conectores uno coaxial un Ethernet. No se
tiene acceso a las configuraciones del sistema. El proveedor de servicios de internet es CLARO.
1 Router inalambrico N 150mbps Tp-link Tl-wr740n, 1 conexion WLan 4 conexiones LAN
10/100 Mbps, tecnologia 802.11n. Configurado por el personal de la compaa.
Intranet interconectada mediante patch cord categoria 6, almacenada en ducteria tipo canaleta
plstica con divisor central.
Impresora multifuncional Epson L200, compartida en red conectada al computador I3
Activos software:
Aplicaciones instaladas:
Winrar 3.7
Winamp 557
Configuraciones de Red:
Sistemas de informacin:
JAVA INGENIERIA cuenta con una plantilla contable realizada en Excel para el registro
contable.
La empresa adems emplea plantillas en Excel para
Lista de tareas
10
En la actualidad se est empleando los conocimientos de los Tecnlogos para el desarrollo de una
base de datos con motor MySQL y java con NetBeans para reemplazar la plantilla de
seguimiento del proyecto, para obtener una solucin a medida de esta plataforma.
Los computadores no poseen contraseas para los usuarios, los discos duros contienen 2
particiones una para el sistema operativo y otra para datos, no existen copias de seguridad de la
informacin ni sistemas externos de copia de datos.
La compaa posee una cuenta gratuita de Dropbox para mantener copia de la informacin
referente a la contabilidad y el registro de proveedores y proyectos.
11
2.2.
todos
los
componentes
hardware,
con
sus
caractersticas,
amenazas,
12
13
2.4.
Se procede con la identificacin de los activos as:
2.4.1. Identificacin:
Fig. 4. Identificacin de activos
14
15
2.5.
2.6.
16
17
2.7.
Identificacin de las amenazas
2.7.1. Factores agravantes o atenuantes
Fig. 12. Dominios de seguridad
18
19
20
21
2.8.
Manejo de los salvaguardas
2.8.1. Identificacin.
Fig. 16. Identificacin de las salvaguardas
22
2.9.
23
De lo cual es posible determinar que el mayor riesgo que se presenta es la denegacin del
servicio de red para los computadores debido a que en ellos se encuentra la informacin
primordial para el funcionamiento de la empresa.
Se contina con la cada del sistema por agotamiento de recursos, y con posteriores ataques
destructivos los cuales pueden ser causados por factores como daos fsicos producidos por
desastres naturales principalmente.
Fig. 20. Impactos y riesgos menos evaluados
Riesgo repercutido
24
Informes.
25
26
27
En el grafico es posible identificar que el riesgo acumulado actual en rojo es mucho mas alto que
el sugerido por la aplicacin PILAR en azul.
Para una mayor comprensin de los resultados se adjunta una copia digital del proyecto en el
archivo javaingenieria.mgr, que puede consultarse con el programa EAR PILAR.
La matriz de riesgos completa se encuentra en el Anexo 1 del presente documento.
28
Se realiza un inventario de los activos fijos de la empresa y se relaciona cada equipo con
sus dispositivos a un usuario, cada activo fijo debe llevar un cdigo de barras para que sea ms
fcil su identificacin e inventario.
29
30
(UPS).
Toda informacin de la institucin que se encuentre en medios digitales, debe ser mantenida en
servidores aprobados por la oficina de sistemas o los especialistas en seguridad informtica.
Los equipos de gran importancia e impacto deben contar con regulacin y estar protegidos por
medio de UPS.
Los medios en los cuales se alojan las copias de seguridad deben ser conservados de acuerdo a
las polticas y estndares definidos por el comit de seguridad de la informacin.
Administracin de las comunicaciones y operaciones
31
32
1.1.2
2.1.1
33
2.1.3
Acuerdos de confidencialidad.
Identificar y revisar en los acuerdos anexos a los contratos, los requisitos de
confidencialidad o no divulgacin que contemplan las necesidades de proteccin de la
informacin en la Empresa Java Ingeniera.
3. GESTIN DE ACTIVOS.
3.1 Responsabilidad sobre los activos.
Todos los activos deben tener asignado un responsable con el fin de mantener y alcanzar una
proteccin adecuada de los activos de la organizacin, estos controles especficos son
delegados por el gerente de Java Ingeniera.
3.1.1
Inventario de activos.
Elaborar y mantener un inventario de activos de informacin indicando el propietario o
responsable de proteger los activos, mostrando detalles relevantes como ubicacin, serial,
modelo, marca, estado, etc., para conocer el estado real de los activos e implementar una
estrategia de mitigacin de riesgos de seguridad de la informacin segn sea el caso.
3.1.2
34
4.1.2
4.1.3
35
Los equipos deben situarse en lugares seguros y protegidos contra incidentes y accidentes
potenciales, lejos de ventanas y la cada de objetos pesados, para reducir el riesgo de
materializacin de las amenazas del entorno y las oportunidades de acceso no autorizado.
4.2.2
Instalaciones de suministro.
Los equipos de la empresa Java Ingeniera deben estar protegidos contra fallos en el
suministro de energa, haciendo uso de UPS, de una instalacin elctrica con polo a tierra
y una antena pararrayos.
4.2.3
4.2.4
4.2.5
36
5.3.1
Controles de red.
Implantar estndares, directrices y procedimientos de seguridad para redes y herramientas
de red como una DMZ (Zona Desmilitarizada) para mantener y controlar adecuadamente
las redes de amenazas y proteger los sistemas y aplicaciones que stas utilizan.
37
5.3.2
6. ADQUISICIN,
DESARROLLO
MANTENIMIENTO
DE
SISTEMAS
DE
INFORMACIN.
6.1.1 Requisitos de seguridad de los sistemas de informacin
Requisitos de seguridad de los sistemas de informacin: Este control se encarga de la
vigilancia de los sistemas operativos, infraestructuras, aplicaciones de negocio,
aplicaciones estndar o de uso generalizado, servicios y aplicaciones desarrolladas por los
usuarios
La empresa JAVA INGENIERIA debe planificar y aplicar a los desarrollos de sistemas de
informacin, una metodologa de desarrollo de software que documente y organice todas
las etapas de produccin.
Si adems se tiene en cuenta que el diseo e implantacin de los sistemas de informacin
que sustentan los procesos de negocio pueden ser cruciales para la seguridad y que la
empresa JAVA INGENIERIA se encuentra actualmente en desarrollo de sus propios
sistemas de informacin, la compaa debera identificar los requisitos de seguridad
previamente al desarrollo o la implantacin de los nuevos sistemas de informacin.
Si se tiene en consideracin que los equipos de cmputo se emplean tanto para el
desarrollo como para el uso en procesos administrativos la informacin est expuesta
tanto a conexiones del exterior como es el caso de Internet como a la Intranet de la
empresa por lo cual entre los controles a emplear de este dominio se tiene:
38
Pruebas de aceptacin.
Estas condiciones deben documentarse y emplearse mediante la constitucin de manuales
de funciones y polticas adecuadas. Se recomienda emplear alguna de estas herramientas
para verificar el cumplimiento del estndar en el desarrollo de soluciones informticas:
Applipedia: Base de datos proporcionada en abierto por Palo Alto Network Research y su
equipo de investigacin para que aprender ms sobre el nivel de riesgo de las
aplicaciones que utilizan la red.
FFIEC: Gua del FFIEC (Federal Financial Institutions Examination Council), en ingls,
sobre cmo implantar un proceso de desarrollo y adquisicin de TI eficaz en una
organizacin. La acompaa una lista de verificacin -checklist-, til para auditar dicho
proceso.
Mtrica 3: La metodologa MTRICA Versin 3 ofrece a las organizaciones un
instrumento til para la sistematizacin de las actividades que dan soporte al ciclo de vida
del software. Est promovida por el Gobierno espaol.
OWASP: La gua de desarrollo de OWASP (Open Web Application Security Project)
ayuda a crear aplicaciones web seguras. Disponible tambin en espaol.
Una vez finalizado el desarrollo de los sistemas de informacin se requiere aplicar el
control encargado de los Datos de prueba, el cual se centra principalmente en la
Proteccin de los datos utilizados en pruebas.
39
BIBLIOGRAFA
INCIBE.
(s.f.).
https://www.incibe.es/.
Obtenido
de
https://www.incibe.es/extfrontinteco/img/File/empresas/dosieres/plan_director
_de_seguridad/plan_director_de_seguridad__hoja_para_el_analisis_de_riesgos.
xls
Ministerio de Hacienda y Administraciones Pblicas. (2012). MAGERIT versin 3.0.
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
(M. d. Pblicas, Ed.) Madrid.
Aglone3. (30 de Junio de 2015). ISO 27002. PORTAL DE SOLUCIONES TCNICAS Y
ORGANIZATIVAS A LOS CONTROLES DE ISO/IEC 27002. Recuperado de
https://iso27002.wiki.zoho.com/ISO-27002.html
ISO/IEC
27002:2005.
(s.f).
Recuperado
de
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
(2016). Recuperado el 11 de Octubre de 2016, de
http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_I.pdf
(2016). Recuperado el 11 de Octubre de 2016, de (2016). De
http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_II.pdf
ISO27000.es - El portal de ISO 27001 en espaol. Gestin de Seguridad de la
Informacin. (2016). Iso27000.es. Recuperado el 11 de Octubre de 2016, de
http://www.iso27000.es/iso27002_5.html
(2016). Recuperado el 11 de Octubre de 2016, de
http://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/GestionDeLaSe
guridad.pdf
(2016). Recuperado el 11 de Octubre de 2016, de
https://portalws.udistrital.edu.co/CIT/documentos/NORMATIVIDAD/politica_seg
uridad/archivos/Politica_para_Seguridad_Informacion_Version_0.0.1.0.pdf
40
41
42
43
44
45