Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
1 ACTIVIDAD INDIVIDUAL MOMENTO 1 SGSI PRESENTADO A: MSC. ALEXANDER LARRAHONDO N. PRESENTADO POR: ING.GILBERT JAIR SANCHEZ AVILA COD: 91524737 GRUPO 233003_7 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS TECNOLOGIA E INGENIERIA ESPECIALIZACION EN SEGURIDAD INFORMATICA BUCARAMANGA COLOMBIA, 2015 2 CONTENIDO INTRODUCCION ....................................................................................................................... 3 1.ANALISIS DE ACTIVOS ............................................................................................................ 4 2.IDENTIFICACION DE AMENAZAS ............................................................................................ 9 3:VALORACION DE AMENAZAS ............................................................................................... 17 4.TABLA DE VALORACION DE ACTIVOS Y DE VALORACION DE AMENAZAS .............................. 18 5.PLAN DE TRATAMIENTO DE RIESGOS .................................................................................. 18 CONCLUSIONES ...................................................................................................................... 19 REFERENCIAS ......................................................................................................................... 20 3 INTRODUCCION En este informe vamos a hacer un análisis de los activos y amenazas basado en la metodología MAGERIT y para ello vamos hacer 3 elementos , una tabla de valoración de activos , una tabla de valoración de amenazas y una tabla que es el plan de tratamiento de riesgo que tiene esa organización. En un documento en Excel esta las 2 primeras tablas y en otro documento Excel esta el plan de tratamiento de riesgos, esto con el fin de mostrar en mas detalle esos ítems además de que en un futuro se puede agregar otros y modificar la información ya mostrada en base a los activos nuevos que adquiera la organización y en base a los riesgos y amenazas cambiantes que tiene toda organización en el ámbito de la informática. En el resto del informe se explicara cómo se llego a estas tablas. GRACIAS POR SU ATENCION. 4 1. ANALISIS DE ACTIVOS Los activos son todos los elementos que una organización posee para el tratamiento de la información (hardware, software, recurso humano, etc.).Basado en esto podemos clasificar los activos de acuerdo a la siguiente tabla: Tabla de ejemplo para relación de activos de seguridad de la información (basado en la información de la empresa): Tipos de activos Descripción Activo de información Bases de datos, documentación (manuales de usuario, contratos, normativas, etc.) Para la prueba de las aplicaciones se dispone de un entorno para desarrollo simulado en los puestos de trabajo de los desarrolladores, y para las pruebas de integración se dispone de un entorno similar al de los clientes El sistema operativo de las estaciones de trabajo de los desarrolladores e integradores es Microsoft Windows 7Professional, con licencia en regla y configurados para descargar las actualizaciones a través de un servidor de Windows Update de la organización de manera diaria. Software o aplicación El Sistema de Gestión de Proyectos es básico puesto que es empleado para controlar todas las fases de los proyectos así como para el archivo de los productos resultantes (código fuente, documentación del proyecto como: diseños, planes de pruebas, material de documentación del producto, etc). La aplicación empleada también está basada en tecnología web y estructura de tres capas. Hardware ❖ Equipos de oficina (PC, portátiles) 5 ❖ Firewall (para la red interna y externa) ❖ IDS ❖ Access Point ❖ Servidor web ❖ Servidor de correo interno ❖ Servidor de correo electrónico ❖ Servidor proxy ❖ Servidor de aplicaciones ❖ Servidor de base de datos ❖ Servidor de ficheros e impresión Red Dispositivos de conectividad de redes (router, swicth, concentradores, etc.) Red telefónica Equipamiento auxiliar UPS Instalación Cableado estructurado, instalaciones eléctricas. Servicios Acceso a internet ISP , de bases de datos ,proxy ,correo electrónico y correo interno ,aplicaciones ,ficheros e impresión, LDAP Personal Personal informático (administradores, web máster, desarrolladores, etc.), usuarios finales y personal técnico, para un mejor detalle ver el organigrama de la empresa. Según la metodología MAGERIT los clasificamos de acuerdo en el tratamiento de la información, esto lo hacemos con el apoyo del personal de la empresa luego los clasificamos en cuanto a que uno cumple una función diferente en la generación, almacenaje o procesamiento de la información. Podemos clasificar estos activos de una manera más detallada para hacer el análisis de riesgos: 6 Tipo de Activo Activo Servicios ❖ web ❖ correo interno ❖ correo electrónico ❖ proxy ❖ aplicaciones ❖ base de datos ❖ ficheros e impresión ❖ LDAP Datos ❖ Bases de datos, ❖ documentación (manuales de usuario, contratos, normativas, etc.) Aplicaciones ❖ Sistema de Gestión de Proyectos ❖ Sistema operativo Windows 7 + Windows update ❖ Navegador ❖ Antivirus Equipos Informáticos ❖ Equipos de oficina (PC, portátiles) ❖ UPS Redes de Comunicaciones ❖ Firewall (para la red interna y externa) ❖ IDS ❖ Access Point ❖ Router ❖ Switch ❖ Concentradores ❖ Red telefónica ❖ Servidor web ❖ Servidor de correo interno ❖ Servidor de correo electrónico ❖ Servidor proxy ❖ Servidor de aplicaciones ❖ Servidor de base de datos ❖ Servidor de ficheros e impresión ❖ Cableado estructurado ❖ instalaciones eléctricas. Personal Ver organigrama* Organigrama empresa: 7 Valoración de los activos Los vamos a valorar en una escala cualitativa y estos valores se refieren a la importancia del activo en caso de daño o falla Criterios de valoración de los activos VALOR CRITERIO 10 Daño muy grave a la organización 7-9 Daño grave a la organización 4-6 Daño importante a la organización 1-3 Daño menor a la organización 0 Irrelevante para la organización 8 Dimensiones de Seguridad A la hora de analizar la seguridad de un sistema informático, hay que tener en cuenta una serie de criterios. Generalmente, al describir estos criterios se hace una analogía con la transmisión de un mensaje, si bien el concepto es aplicable a la información almacenada, el acceso a recursos, etc. ● Confidencialidad: Capacidad de enviar información de manera que sólo pueda verla el receptor. Conceptos en seguridad de los sistemas de información: confidencialidad, integridad, disponibilidad y trazabilidad ● Integridad: Capacidad de garantizar que la información enviada no ha sido alterada durante la transmisión. ● Disponibilidad: Capacidad del sistema de seguir funcionando independientemente de los acontecimientos externos. ● Trazabilidad: Capacidad de registro de las operaciones de un sistema informático, de manera que cualquier operación pueda ser rastreada hasta su origen. Las dimensiones de seguridad que contempla la metodología Magerit son: ❖ Confiabilidad (C) ❖ Integridad (I), ❖ Autenticidad (A), ❖ disponibilidad (D) ❖ trazabilidad (T) 9 2. IDENTIFICACION DE AMENAZAS Magerit, en el libro II, catálogo de elementos, presenta el catálogo de amenazas posibles que puede tener un activo de información. Las amenazas se clasifican en cuatro grandes grupos: ❖ Desastres naturales(N), ❖ De origen industrial (I), ❖ Errores y fallos nointencionados (E), ❖ Ataques deliberados o intencionados(A). Cada grupo de amenaza se representa por una letra, así mismo cada grupo presenta en forma específica los tipos de amenazas que se pueden presentar. A continuación se presenta el listado codificado de las posibles amenazas que se pueden presentar en cada uno de los grupos mencionados. [N] Desastres naturales • [N.1] Fuego • [N.2] Daños por agua • [N.*] Desastres naturales [I] De origen industrial • [I.1] Fuego • [I.2] Daños por agua • [I.*] Desastres industriales • [I.3] Contaminación mecánica • [I.4] Contaminación electromagnética • [I.5] Avería de origen físico o lógico • [I.6] Corte del suministro eléctrico • [I.7] Condiciones inadecuadas de temperatura o humedad • [I.8] Fallo de servicios de comunicaciones • [I.9] Interrupción de otros servicios o suministros esenciales • [I.10] Degradación de los soportes de almacenamiento de la información • [I.11] Emanaciones electromagnéticas [E] Errores y fallos no intencionados • [E.1] Errores de los usuarios • [E.2] Errores del administrador • [E.3] Errores de monitorización (log) • [E.4] Errores de configuración • [E.7] Deficiencias en la organización 10 • [E.8] Difusión de software dañino • [E.9] Errores de [re-]encaminamiento • [E.10] Errores de secuencia • [E.14] Fugas de información • [E.15] Alteración de la información • [E.16] Introducción de falsa información • [E.17] Degradación de la información • [E.18] Destrucción de la información • [E.19] Divulgación de información • [E.20] Vulnerabilidades de los programas (software) • [E.21] Errores de mantenimiento / actualización de programas (software) • [E.23] Errores de mantenimiento / actualización de equipos (hardware) • [E.24] Caída del sistema por agotamiento de recursos • [E.25] Pérdida de equipos • [E.28] Indisponibilidad del personal [A] Ataques deliberados • [A.4] Manipulación de la configuración • [A.5] Suplantación de la identidad del usuario • [A.6] Abuso de privilegios de acceso • [A.7] Uso no previsto • [A.8] Difusión de software dañino • [A.9] [Re-]encaminamiento de mensajes • [A.10] Alteración de secuencia • [A.11] Acceso no autorizado • [A.12] Análisis de tráfico • [A.13] Repudio • [A.14] Interceptación de información (escucha) • [A.15] Modificación de información • [A.16] Introducción de falsa información • [A.17] Corrupción de la información • [A.18] Destrucción de la información • [A.19] Divulgación de información • [A.22] Manipulación de programas • [A.24] Denegación de servicio • [A.25] Robo de equipos • [A.26] Ataque destructivo • [A.27] Ocupación enemiga • [A.28] Indisponibilidad del personal 11 • [A.29] Extorsión • [A.30] Ingeniería social (picaresca) Basado en esto hacemos la siguiente tabla: Hay muchas amenazas en común en cada ítem pero por que estas amenazas afectan uno o varios elementos de un sistema en conjunto. Tipo de Activo Amenazas Servicios • [N.1] Fuego • [N.2] Daños por agua [N.*] Desastres naturales • [I.5] Avería de origen físico o lógico • [I.6] Corte del suministro eléctrico • [I.8] Fallo de servicios de comunicaciones • [I.9] Interrupción de otros servicios o suministros esenciales • [A.4] Manipulación de la configuración • [A.5] Suplantación de la identidad del usuario • [A.6] Abuso de privilegios de acceso • [A.7] Uso no previsto • [A.8] Difusión de software dañino • [A.11] Acceso no autorizado • [A.15] Modificación de información • [A.17] Corrupción de la información • [A.18] Destrucción de la información • [A.22] Manipulación de programas • [A.24] Denegación de servicio Datos • [N.1] Fuego • [N.2] Daños por agua [N.*] Desastres naturales • [I.1] Fuego • [I.2] Daños por agua • [I.*] Desastres industriales 12 • I.5] Avería de origen físico o lógico • [I.6] Corte del suministro eléctrico • [I.7] Condiciones inadecuadas de temperatura o humedad • [I.8] Fallo de servicios de comunicaciones • [I.9] Interrupción de otros servicios o suministros esenciales • [I.10] Degradación de los soportes de almacenamiento de la información • [E.1] Errores de los usuarios • [E.2] Errores del administrador • [E.7] Deficiencias en la organización • [E.8] Difusión de software dañino • E.14] Fugas de información • [E.15] Alteración de la información • [E.16] Introducción de falsa información • [E.17] Degradación de la información • [E.18] Destrucción de la información • [E.19] Divulgación de información • [A.11] Acceso no autorizado • [A.15] Modificación de información • [A.16] Introducción de falsa información • [A.17] Corrupción de la información • [A.18] Destrucción de la información • [A.19] Divulgación de información • [A.24] Denegación de servicio • [A.25] Robo de equipos • [A.26] Ataque destructivo • Aplicaciones • [I.5] Avería de origen físico o lógico • [E.1] Errores de los usuarios • [E.4] Errores de configuración • [E.8] Difusión de software dañino • [E.20] Vulnerabilidades de los programas (software) • [E.21] Errores de mantenimiento / actualización de programas (software) 13 • [A.4] Manipulación de la configuración • [A.5] Suplantación de la identidad del usuario • [A.6] Abuso de privilegios de acceso • [A.7] Uso no previsto • [A.8] Difusión de software dañino • [A.22] Manipulación de programas Equipos Informáticos • [N.1] Fuego • [N.2] Daños por agua [N.*] Desastres naturales • [I.5] Avería de origen físico o lógico • [I.6] Corte del suministro eléctrico • I.8] Fallo de servicios de comunicaciones • [I.9] Interrupción de otros servicios o suministros esenciales • [I.10] Degradación de los soportes de almacenamiento de la información • [I.11] Emanaciones electromagnéticas • [E.1] Errores de los usuarios • [E.2] Errores del administrador • [E.21] Errores de mantenimiento / actualización de programas (software) • [E.23] Errores de mantenimiento / actualización de equipos (hardware) • [E.24] Caída del sistema por agotamiento de recursos • [E.25] Pérdida de equipos • [A.4] Manipulación de la configuración • [A.5] Suplantación de la identidad del usuario • [A.6] Abuso de privilegios de acceso • [A.7] Uso no previsto • [A.8] Difusión de software dañino • A.22] Manipulación de programas • [A.24] Denegación de servicio • [A.25] Robo de equipos • [A.26] Ataque destructivo 14 Redes de Comunicaciones • [N.1] Fuego • [N.2] Daños por agua [N.*] Desastres naturales • [I.5] Avería de origen físico o lógico • [I.6] Corte del suministro eléctrico • [I.8] Fallo de servicios de comunicaciones • [I.9] Interrupción de otros servicios o suministros esenciales • [E.2] Errores del administrador • [E.3] Errores de monitorización (log) • [E.4] Errores de configuración • [E.8] Difusión de software dañino • [E.9] Errores de [re-]encaminamiento • [E.10] Errores de secuencia • [E.14] Fugas de información • [E.15] Alteración de la información • E.21] Errores de mantenimiento / actualización de programas (software) • [E.23] Errores de mantenimiento / actualización de equipos (hardware) • [E.24] Caída del sistema por agotamiento de recursos • [A.4] Manipulación de la configuración • [A.5] Suplantación de la identidad del usuario • [A.6] Abuso de privilegios de acceso • [A.7] Uso no previsto • [A.8] Difusión de software dañino • [A.9] [Re-]encaminamiento de mensajes • [A.10] Alteración de secuencia • [A.11] Acceso no autorizado • [A.12] Análisis de tráfico • [A.14] Interceptación de información (escucha) • [A.15] Modificación de información • [A.16] Introducción de falsa información • [A.17] Corrupción de la información 15 • [A.18] Destrucción de la información • [A.19] Divulgación de información • [A.22] Manipulación de programas• [A.24] Denegación de servicio • [A.25] Robo de equipos • [A.26] Ataque destructivo • [A.14] Interceptación de información (escucha) • [A.15] Modificación de información • [A.16] Introducción de falsa información • [A.17] Corrupción de la información • [A.18] Destrucción de la información • [A.19] Divulgación de información • [A.22] Manipulación de programas • [A.24] Denegación de servicio • [A.25] Robo de equipos Personal • [E.1] Errores de los usuarios [E.2] Errores del administrador • [E.14] Fugas de información • [E.15] Alteración de la información • [E.16] Introducción de falsa información • [E.17] Degradación de la información • [E.18] Destrucción de la información • [E.19] Divulgación de información • [E.28] Indisponibilidad del personal • [A.4] Manipulación de la configuración • [A.5] Suplantación de la identidad del usuario • [A.6] Abuso de privilegios de acceso • [A.7] Uso no previsto • [A.8] Difusión de software dañino 16 • [A.11] Acceso no autorizado • [A.28] Indisponibilidad del personal • [A.29] Extorsión • [A.30] Ingeniería social (picaresca) 3. VALORACION DE AMENAZAS 17 Se procede a realizar la valoración de amenazas a cada uno de los activos, es decir, determinar que amenazas los puede afectar, con qué frecuencia se puede presentar la amenaza y que dimensión de seguridad puede ser afectada. Para valorar las amenazas es necesario que se estime una escala de valores que nos permita determinar el rango de frecuencia en que se puede presentar la amenaza, la cual se realiza mediante estimaciones anuales, mensuales, y semanales, asignando un número de veces. En la tabla siguiente, se presenta dicho rango. Tabla de Escala de rango de frecuencia de amenazas Vulnerabilidad Rango Valor Frecuencia muy alta 1 vez al día 100 Frecuencia alta 1 vez cada 1 semanas 70 Frecuencia media 1 vez cada 2 meses 50 Frecuencia baja 1 vez cada 6 meses 10 Frecuencia muy baja 1 vez al año 5 Luego se presenta el rango de impactos de manera porcentual para posteriormente registrar en una tabla resumen cada activo con el nivel de frecuencia y el impacto en cada una de las dimensiones de seguridad se relacionan los activos representados en forma de árbol con las posibles amenazas, la segunda para representar el nivel de frecuencia en que se puede presentar la amenaza, la cual se representa denotándose como: Alta (A), media(M), muy alta (MA), baja (B), muy baja (MB) que en nuestro caso, se estima de manera numérica. Y por último las 5 columnas siguientes que representan cada una de las dimensiones de seguridad. Tabla de Escala de rango porcentual de impactos en los activos para cada dimensión de seguridad. 4. TABLA DE VALORACION DE ACTIVOS Y DE VALORACION DE AMENAZAS Tabla de Valoración de Activos y Amenazas Impacto Valor cuantitativo Muy alto(MA) 100% Alto(A) 75% Medio(M) 50% Bajo(B) 20% Muy bajo(MB) 5% tabla%20valoracion%20de%20activos%20y%20amenazas.xlsx 18 5. PLAN DE TRATAMIENTO DE RIESGOS un de tratamiento de riesgo el cual es una tabla donde se coloca en una los activos , en otra columna se coloca las amenazas que son las que ya describimos en las tablas anteriores , en otra columna vulnerabilidades(son las debilidades que tiene los sistemas o sus componentes )y en la última columna colocamos un plan de tratamiento de riesgos o PTR ,por lo general ahí se colocan dos ítems aceptar o reducir y en otra columna podíamos colocar como hacer esto para más detalle. ACTIVOS AMENAZAS VULNERABILIDADES PTR (nombre del activo). Aquí en el siguiente link mostraremos el plan de riesgos de la empresa XXX , en esta tabla se resumirá algunos de los riesgos y amenazas más comunes que tienen estos activos PLAN DE TRATAMIENTO DE RIESGOS EMPRESA XXX CONCLUSIONES plan%20de%20tratamiento%20de%20riesgos%20empresa%20XXX.xlsx 19 Para el plan de tratamiento de riesgos hemos resumido en ese documento en Excel las amenazas y vulnerabilidades más comunes en cada uno de los activos y aunque amenazas competen mas otros activos de por si afectan a todos los activos de la organización. En cuanto al PTR en la mayoría colocamos podemos reducir las amenazas y vulnerabilidades , hay unas que tienen aceptar , porque razón , porque el factor humano es lo más inestable en cualquier empresa , además por mas que se adopte medidas para mejorar los problemas relacionados con el factor humano es difícil tener la “gente contenta” ya que la mente de las personas es muy impredecible a los cambios y su entorno , por lo tanto debemos estar alertas a cada amenaza diaria y actualizarnos sobre cómo prevenirla o anularla. REFERENCIAS 20 [1]Universidad distrial.Capitulo 5 Gestión del Riesgo. Disponible en: http://www.udistrital.edu.co:8080/documents/276352/356568/Cap5GestionRiesgo. pdf [2]Unad. Lección 11 proceso de identificación del riesgo. Disponible en: http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003- online/31_leccin_11_proceso_de_identificacin_del_riesgo.html [3]Karina del Rocio Gaona Vazquez .Aplicacion de la metodología Magerit para el análisis gestión de riesgos de la seguridad de la información aplicado a la empresa Bravito S.A en la ciudad de Machala.Disponible en: http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf [4]Jesus Jiménez Herran. Conceptos de seguridad sistemas de información: confidencialidad, integridad, disponibilidad y trazabilidad. Disponible en: http://oposcaib.wikispaces.com/file/view/38+- +Conceptes+en+seguretat+dels+sistemes+d'informaci%C3%B3.+Confidencialitat, +integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf http://www.udistrital.edu.co:8080/documents/276352/356568/Cap5GestionRiesgo.pdf http://www.udistrital.edu.co:8080/documents/276352/356568/Cap5GestionRiesgo.pdf http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/31_leccin_11_proceso_de_identificacin_del_riesgo.html http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-online/31_leccin_11_proceso_de_identificacin_del_riesgo.html http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf http://oposcaib.wikispaces.com/file/view/38+-+Conceptes+en+seguretat+dels+sistemes+d'informaci%C3%B3.+Confidencialitat,+integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf http://oposcaib.wikispaces.com/file/view/38+-+Conceptes+en+seguretat+dels+sistemes+d'informaci%C3%B3.+Confidencialitat,+integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf http://oposcaib.wikispaces.com/file/view/38+-+Conceptes+en+seguretat+dels+sistemes+d'informaci%C3%B3.+Confidencialitat,+integritat,+disponibilitat+i+tra%C3%A7abilitat.pdf
Compartir