CD-6964.pdf
Anuncio
ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA ELÉCTRICA Y ELECTRÓNICA DISEÑO DE UN SISTEMA DE GESTIÓN DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN, ORIENTADO AL GOBIERNO DE TI EN BASE A LA NORMA NTE INEN-ISO/IEC 27005:2012, PARA LA DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES (DTT), DE LA SUPERINTENDENCIA DE TELECOMUNICACIONES PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN ELECTRÓNICA Y REDES DE INFORMACIÓN SANDRA MARIELA ESCOBAR RIVERA [email protected] STEFANIE CECIBEL LEÓN AGUIRRE [email protected] DIRECTOR: ING. MÓNICA VINUEZA RHOR [email protected] Quito, Abril 2016 i DECLARACIÓN Nosotras, Escobar Rivera Sandra Mariela y Stefanie Cecibel León Aguirre, declaramos bajo juramento que el trabajo aquí descrito es de nuestra autoría; que no ha sido previamente presentado para ningún grado o calificación profesional; y, que hemos consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedemos nuestros derechos de propiedad intelectual correspondientes a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. Sandra Mariela Escobar Rivera Stefanie Cecibel León Aguirre ii CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Sandra Mariela Escobar Rivera y Stefanie Cecibel León Aguirre, bajo mi supervisión. Ing. Mónica Vinueza Rhor DIRECTOR DEL PROYECTO iii AGRADECIMIENTOS Agradezco a Dios por cada día de mi vida y por cada una de las experiencias que he vivido, por permitirme llegar a la culminación de una meta tan importante como es obtener mi profesión, y por haber puesto en mi camino a muchas personas que me aprecian y apoyan siempre. A mi madre por su amor, paciencia, consejos y apoyo incondicional en el desarrollo de este proyecto y durante toda mi vida politécnica; a mi familia por su cariño y preocupación; a mis amigos que me han enseñado que la vida está hecha para disfrutar y aprender de los buenos y malos momentos, especialmente a Verito A., Yesse L., Cari M., Andre O., Dianita H., Carlita R., Jorgiño F., Washo V., con los que hemos compartido tantos momentos que han hecho que se ganen un lugar muy especial en mi corazón y son mis hermanos de la vida. A mi compañera de tesis Stefanie por su amistad, toda su paciencia, confianza y apoyo en el desarrollo de este proyecto; a los chicos tesis, Alejita T. y Andrés R., por su amistad y su ayuda, y por compartir con nosotras este complicado proceso. A nuestra directora de tesis por su guía y consejos que ahora permiten que consiga esta meta. A los funcionarios de la SUPERTEL, especialmente a los funcionarios de la DTT por su total colaboración durante el desarrollo de este proyecto. Gracias a todos. Sandra Escobar Rivera iv AGRADECIMIENTOS A mi familia de cual recibí todo el apoyo que a pesar de no pasar juntos creyeron en mí y supieron entenderme en momentos difíciles profesionalmente y personales. A todas las personas que conocí a lo largo de mi formación profesional en cada uno de los semestres, en cada año, cada historia vivida gracias por todo. A mi compañera de tesis Sandrita por todo su apoyo, por ser constante y estar presente cada día en el desarrollo del mismo, muchas gracias. A nuestra directora de tesis Ing. Mónica Vinueza, por estar dispuesta a escucharnos y ser parte de este proyecto, así como también por sus consejos porque gracias a ella el desarrollo de este proyecto se logró hacer con más facilidad. A todos los funcionarios de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones, por su gran ayuda con el aporte de información y siempre recibirnos amablemente. Stefanie León Aguirre v DEDICATORIA Dedico el desarrollo de este proyecto a mi pilar fundamental, a la persona que me ha dado su amor incondicional cada día de mi vida y que ha sido mi ejemplo y soporte, que me ha apoyado en cada decisión que he tomado y que siempre me demuestra que para una mujer luchadora no existen límites, y que se puede alcanzar todo lo que te propongas. A mi madre querida, que siempre será mi fuerza vital. Sandra Escobar Rivera vi DEDICATORIA El presente proyecto se lo dedico a mis padres Jorge Rogelio León Mendoza y Luz Victoria Aguirre Jaramillo, así como también a mi hermano Argenis Danilo León Aguirre, y mi hermosa sobrina Dharia Victoria, los cuales siempre creyeron en mí y supieron darme fuerza para continuar y poder llegar a lograr una meta más en vida. Stefanie León Aguirre :=) vii CONTENIDO DECLARACIÓN ...................................................................................................... i CERTIFICACIÓN ....................................................................................................ii AGRADECIMIENTOS ............................................................................................ iii AGRADECIMIENTOS ............................................................................................iv DEDICATORIA ....................................................................................................... v DEDICATORIA ....................................................................................................... vi CONTENIDO ......................................................................................................... vii ÍNDICE DE TABLAS .............................................................................................. xii ÍNDICE DE FIGURAS .......................................................................................... xiii RESUMEN ............................................................................................................ xv PRESENTACIÓN ................................................................................................ xvii 1. CAPÍTULO 1 ....................................................................................................... 1 MARCO TEÓRICO ................................................................................................. 1 1.1. CONCEPTOS GENERALES DE SEGURIDAD DE LA INFORMACIÓN ..... 1 1.1.1. INTRODUCCIÓN ......................................................................................... 1 1.1.2. CONCEPTOS DE SEGURIDAD .................................................................. 2 1.2. INTRODUCCIÓN AL GOBIERNO DE TI ENFOCADO EN LA GESTIÓN DE RIESGOS ............................................................................................................. 15 1.2.1. GOBIERNO DE TI ..................................................................................... 15 1.2.2. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS ... 16 1.2.3. ENFOQUE DE GOBIERNO ....................................................................... 16 1.2.4. CATALIZADORES DE COBIT 5 ................................................................ 18 1.2.5. DIMENSIONES DE LOS CATALIZADORES ............................................. 19 1.2.6. MODELO DE REFERENCIA DE PROCESOS DE COBIT 5 ..................... 19 1.2.7. MAPEO DE COBIT 5 CON LOS ESTÁNDARES Y MARCOS DE TRABAJO RELACIONADOS MÁS RELEVANTES ................................................................ 21 viii 1.2.8. ESTRUCTURAS ORGANIZATIVAS ILUSTRATIVAS EN COBIT 5 ............ 21 1.3. DESCRIPCIÓN DE LA NORMA NTE INEN - ISO/IEC 27001:2011 ........... 26 1.3.1. INTRODUCCIÓN ....................................................................................... 26 1.3.2. OBJETIVO ................................................................................................. 28 1.3.3. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ... 28 1.3.4. REQUISITOS DE LA DOCUMENTACIÓN ................................................. 30 1.3.5. RESPONSABILIDAD DE LA DIRECCIÓN................................................. 30 1.3.6. AUDITORÍAS INTERNAS DEL SGSI ........................................................ 31 1.3.7. REVISIÓN DEL SGSI POR LA DIRECCIÓN ............................................. 31 1.3.8. MEJORA DEL SGSI .................................................................................. 31 1.4. DESCRIPCIÓN DE LA NORMA NTE INEN - ISO/IEC 27002:2009 ........... 32 1.4.1. INTRODUCCIÓN ....................................................................................... 32 1.4.2. OBJETIVO ................................................................................................. 36 1.4.3. ESTRUCTURA DE LA NORMA ................................................................. 36 1.4.4. EVALUACIÓN Y TRATAMIENTO DEL RIESGO ........................................ 36 1.5. ANÁLISIS DE LA NORMA NTE INEN-ISO/IEC 27005:2012 ..................... 38 1.5.1. INTRODUCCIÓN ....................................................................................... 38 1.5.2. OBJETIVO ................................................................................................. 38 1.5.3. REFERENCIAS NORMATIVAS ................................................................. 38 1.5.4. ESTRUCTURA DE LA NORMA ................................................................. 39 1.5.5. INFORMACIÓN GENERAL ....................................................................... 40 1.5.6. VISIÓN GENERAL DEL PROCESO DE GESTIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN .................................................................. 40 1.5.7. Establecimiento del contexto ..................................................................... 42 1.5.8. Valoración del riesgo de la seguridad de la información ............................ 46 1.5.9. Tratamiento del riesgo de la seguridad de la información ......................... 54 1.5.10. Aceptación del riesgo de la seguridad de la información ....................... 57 ix 1.5.11.Comunicación de los riesgos de la seguridad de la información ............... 57 1.5.12. Monitoreo y revisión del riesgo de la seguridad de la información ......... 58 1.6. COMPARACIÓN DE LA NORMA NTE INEN-ISO/IEC 27005:2012 CON OTRAS NORMAS ................................................................................................ 60 1.6.1. Publicación especial del NIST 800-160 (Borrador Público inicial), Ingeniería de Sistemas de Seguridad, un enfoque integrado a la Construcción de Sistemas de Confianza Resistentes, de mayo 2014. ................................................................ 60 1.6.2. IEC 31010:2009 - Técnicas de evaluación de riesgos - Gestión del riesgo 63 1.6.3. NORMAS RELACIONADAS AL ÁMBITO FINANCIERO ........................... 66 2. CAPÍTULO 2 ..................................................................................................... 69 ANÁLISIS DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN EN LA DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES (DTT) ......................................................................... 69 2.1. INTRODUCCIÓN ....................................................................................... 69 2.2. DESCRIPCIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA DE LA DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES (DTT) ......................................................................... 71 2.2.1. ESTUDIO DE LA ORGANIZACIÓN ........................................................... 71 2.3. DESCRIPCIÓN DE LA EVALUACIÓN DE GOBIERNO DE TI PARA LA DIRECCIÓN NACIONAL DE DESARROLLO EN TELECOMUNICACIONES (DTT) .................................................................................................................. 88 2.3.1. Modelo de Gobierno DTT .......................................................................... 89 2.4. ANÁLISIS DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN EN LA DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES ................................................................................... 90 2.4.1. ESTABLECIMIENTO DEL CONTEXTO ..................................................... 90 2.4.2. VALORACIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN .. .................................................................................................................. 99 3. CAPÍTULO 3 ................................................................................................... 208 x TRATAMIENTO DE LOS RIESGOS PRESENTES EN LA DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES ................. 208 3.1. INTRODUCCIÓN ..................................................................................... 208 3.2. TRATAMIENTO DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN ................................................................................................................ 209 3.2.1. Reducción del riesgo ............................................................................... 209 3.2.2. Retención del riesgo ................................................................................ 209 3.2.3. Evitación del riesgo.................................................................................. 209 3.2.4. Transferencia del riesgo .......................................................................... 210 3.2.5. Identificación de los controles de la Norma NTE INEN-ISO/IEC 27002:2009 para la DTT ........................................................................................................ 210 3.3. TRATAMIENTO DE LOS RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN PRESENTES EN LA DTT, APLICANDO LOS CONTROLES DE LA NORMA NTE INEN-ISO/IEC 27002:2009 .......................................................... 259 4. CAPÍTULO 4 ................................................................................................... 295 DISEÑO DEL SISTEMA PARA LA GESTIÓN DE LOS RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN PARA LA DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES DE LA SUPERTEL ........................................................................................................................... 295 4.1. INTRODUCCIÓN ..................................................................................... 295 4.2. CONTROLES EXISTENTES EN LOS SERVICIOS DE LA DTT SEGÚN LA NORMA NTE INEN-ISO/IEC 27002:2009 .......................................................... 296 4.3. RECOMENDACIONES PARA LOS CONTROLES A APLICAR EN LA DTT SEGÚN LA NORMA NTE INEN-ISO/IEC 27002:2009 ....................................... 298 4.4. FUNCIONAMIENTO DE GOBIERNO DE TI ENFOCADO A LA GESTIÓN DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN .................................... 382 4.4.1. Procesos relacionados al Gobierno de TI ................................................ 383 4.4.2. Procesos relacionados a la Gestión de TI ............................................... 383 5. CAPÍTULO 5 ................................................................................................... 390 xi CONCLUSIONES Y RECOMENDACIONES ..................................................... 390 5.1. CONCLUSIONES .................................................................................... 390 5.2. RECOMENDACIONES............................................................................ 393 REFERENCIAS BIBLIOGRÁFICAS ................................................................... 395 xii ÍNDICE DE TABLAS Tabla 1.1. Alineamiento del SGSI y el proceso de Gestión del Riesgo de la Seguridad de la Información................................................................................. 43 Tabla 1.2. Comparación de la NTE INEN-ISO/IEC 27005:2012 con otras normas ............................................................................................................................. 67 Tabla 2.1. Número de puntos de datos utilizados en el Edificio matriz ................. 86 Tabla 2.2. Probabilidad de Ocurrencia de las vulnerabilidades ............................ 92 Tabla 2.3. Impacto de acuerdo al tiempo sin funcionamiento del servicio ............ 92 Tabla 2.4. Pérdida de información por caída del servicio ..................................... 92 Tabla 2.5. Nivel de evaluación del Riesgo ............................................................ 93 Tabla 2.6. Combinaciones de valores de los criterios básicos ............................. 94 Tabla 2.7. Criterios de Aceptación y Tratamiento del Riesgo................................ 98 Tabla 2.8. Identificación de amenazas ............................................................... 134 Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos ............. 138 Tabla 2.10. Valoración del riesgo servicio Oracle ............................................... 153 Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos ..................... 159 Tabla 2.12. Valoración del riesgo activos Servidores RISC e Intel ..................... 167 Tabla 2.13. Valoración del riesgo Proyecto SICOEIR ......................................... 170 Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel .............. 177 Tabla 2.15. Valoración del riesgo servicio Antivirus ............................................ 184 Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP ........................... 190 Tabla 2.17. Valoración del riesgo servicio Switching y Routing .......................... 196 Tabla 2.18. Valoración del riesgo servicio Telefonía IP ....................................... 203 Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar ................. 261 Tabla 4.1. Controles aplicados en la DTT ........................................................... 296 Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT .................................................................................................................... 299 Tabla 4.3. Recomendaciones para los controles faltantes en la DTT ................. 356 xiii ÍNDICE DE FIGURAS Figura 1.1. Posible certificado y su hash .............................................................. 10 Figura 1.2. Sistema que implementa IPSec ......................................................... 12 Figura 1.3. Forma general de un firewall .............................................................. 13 Figura 1.4. (a) Una red privada alquilada (b)Una red privada virtual............. 14 Figura 1.5. Marco de Referencia para el Gobierno y la Gestión de las TI de la empresa ............................................................................................................... 16 Figura 1.6. Gobierno y Gestión en COBIT 5......................................................... 17 Figura 1.7. Roles Actividades y Relaciones Clave ............................................... 18 Figura 1.8. Las Áreas clave de Gobierno y Gestión de COBIT 5 ......................... 20 Figura 1.9. Proceso EDM03 y sus objetivos relacionados con TI ......................... 22 Figura 1.10.Proceso APO12 y sus objetivos relacionados con TI ........................ 23 Figura 1.11. Proceso APO 13 y sus objetivos relacionados con TI ...................... 24 Figura 1.12. Proceso DSS05 y sus objetivos relacionados con TI ....................... 25 Figura 1.13. Modelo PDCA aplicado a los procesos del SGSI ............................. 27 Figura 1.14. Proceso de gestión del riesgo de la seguridad de la información .... 41 Figura 1.15. Actividad para el tratamiento del riesgo ............................................ 56 Figura 1.16. Principales contribuciones de la Ingeniería de Sistemas de Seguridad ............................................................................................................................. 61 Figura 2.1. Secciones utilizadas de la Norma NTE INEN-ISO/IEC 27005:2012... 70 Figura 2.2. Estructura Organizacional de la Superintendencia de Telecomunicaciones ............................................................................................. 76 Figura 2.3. Ubicación geográfica de la SUPERTEL (DTT) ................................... 76 Figura 2.4. Plano Topológico del Centro de Cómputo en el Edificio Matriz SUPERTEL .......................................................................................................... 81 Figura 2.5. Topología de la red ............................................................................. 83 Figura 2.6. Plataformas utilizadas en los servidores ............................................ 85 Figura 2.7. Cuarto de UPS ................................................................................... 87 Figura 2.8. Obtención de valores de nivel del riesgo ............................................ 97 Figura 2.9. Esquema para la valoración de riegos en la seguridad de la información ........................................................................................................................... 151 Figura 3.1. Tratamiento de riesgos en la seguridad de la información ............... 208 xiv Figura 4.1. Representación de la aplicación de controles a los servicios de la DTT ........................................................................................................................... 295 Figura 4.2. Proceso EDM03 y sus objetivos relacionados con Ti ....................... 385 Figura 4.3. Proceso APO12 y sus objetivos relacionados con TI ....................... 386 Figura 4.4. Proceso APO13 y sus objetivos relacionados con TI ...................... 387 Figura 4.5. Proceso DSS05 y sus objetivos relacionados con TI ....................... 388 xv RESUMEN El presente proyecto desarrolla un Sistema de Gestión de Riesgos en la Seguridad de la Información, orientado al Gobierno de TI en base a la Norma NTE INEN-ISO/IEC 27005:2012 para la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT) de la Superintendencia de Telecomunicaciones. La gestión de riesgos se realiza mediante la aplicación de las diferentes fases descritas en la Norma NTE INEN-ISO/IEC 27005:2012, a través del establecimiento del contexto, valoración de los riesgos, tratamiento de los riesgos, aceptación y comunicación de los riesgos, para los diferentes servicios a cargo de la DTT. Este proyecto toma en consideración conceptos pertinentes a la parte de seguridad de Gobierno de TI descritas en COBIT 5, centrándose especialmente en los procesos que tratan la Gestión de Riesgos, estos criterios son enlazados con los lineamientos contenidos en la Norma NTE INEN-ISO/IEC 27005:2012. En el Capítulo 1 se describen diferentes conceptos de la Seguridad de la Información, se realiza la descripción de las Normas NTE INEN-ISO/IEC 27001:2011, NTE INEN-ISO/IEC 27002:2009 y el análisis de la Norma NTE INENISO/IEC 27005:2012, permitiendo tener una visión general de la Gestión de Riesgos en la Seguridad de la Información, además se presenta una breve introducción al Gobierno de TI basado en COBIT 5. El Capítulo 2 está dividido en dos grandes temáticas, la primera es la Descripción de la Infraestructura Tecnológica de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT), en la segunda parte del mismo se elabora el Análisis de Riesgos en la Seguridad de la Información de la Infraestructura Tecnológica de la DTT; la parte final de este capítulo contiene la valoración de los riesgos en la seguridad de la información de acuerdo a la norma NTE INEN-ISO/IEC 27005:2012. El Capítulo 3 describe el tratamiento para los Riesgos en la Seguridad de la Información presentes en la DTT, que se encontraron en base al Análisis de riesgos en la seguridad de la información descritos en el Capítulo 2. En el Capítulo 4 se presentan recomendaciones para la aplicación de los controles faltantes y recomendaciones para aquellos que actualmente son xvi utilizados en la DTT y que pueden ser mejorados, con la finalidad de que su aplicación sea la adecuada y de acuerdo a la realidad de la DTT; además se presenta una metodología de trabajo enfocada a la seguridad de la información de acuerdo a lo que establece COBIT 5, con la finalidad de definir buenas prácticas de seguridad de la información y Gobierno de TI. En el Capítulo 5 se presentan las conclusiones y recomendaciones que se obtuvieron en la realización de este trabajo. Además se incluyen como anexos en formato digital cada una de las normas utilizadas en el desarrollo de este proyecto. xvii PRESENTACIÓN La Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones necesita contar con un Diseño de un Sistema que haga la Gestión de Riesgos en la Seguridad de la Información, basándose en la guía de la Norma NTE INENISO/IEC 27005: 2012, ya que al ser una Institución del Estado debe cumplir con los máximos estándares de Seguridad en la Información. La DTT es la encargada de manejar cuatro ejes fundamentales: soporte informático a funcionarios, desarrollo de software para la Institución, infraestructura de la red y levantamiento de requerimientos para proyectos, por lo cual, tener un Sistema para la Gestión de Riesgos en la Seguridad de la Información es indispensable, ya que esta dirección es el punto donde se concentra y manipula la información de la red de la SUPERTEL. La gestión del riesgo en la seguridad de la información debe tratarse como un proceso continuo, que establezca el contexto, evalúe los riesgos y trate los riesgos, con lo cual la gestión del riesgo analiza lo que puede suceder y cuáles pueden ser las posibles consecuencias, con el fin de reducir el riesgo hasta un nivel aceptable. La seguridad de la información se logra implementando los controles apropiados, que permitan minimizar los riesgos existentes y prevenir la aparición de nuevos riesgos. De acuerdo a la nueva Ley Orgánica de Telecomunicaciones, se establece la creación de la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL), sustituyendo a la Superintendencia de Telecomunicaciones (SUPERTEL), al Consejo Nacional de Telecomunicaciones (CONATEL) y a la Secretaría Nacional de Telecomunicaciones (SENATEL), por lo cual se propone que para la lectura de este proyecto se use el término ARCOTEL en lugar de SUPERTEL considerando que las funciones a cargo de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT) se siguen manteniendo dentro de esta nueva Institución. 1 1.CAPÍTULO 1 MARCO TEÓRICO 1.1. CONCEPTOS GENERALES DE SEGURIDAD DE LA INFORMACIÓN 1.1.1. INTRODUCCIÓN En la actualidad la seguridad de la información es de gran importancia para una empresa, tanto en lo que se refiere a la parte física que se encarga del almacenamiento de la información, como en la parte administrativa que trabaja en el manejo adecuado de la misma. Considerando que en la actualidad la mayor parte de la información se tiende a almacenar en forma digital, y que no solo se puede acceder a la misma de manera local, sino que se tienen grandes redes que conectan a varias partes del mundo, ésta debe viajar grandes distancias hasta llegar a su destino, por lo que la seguridad de la información trata de prevenir que pase algo que impida que llegue a su destino de manera correcta. Al tener una gran cantidad de equipos interconectados entre sí con el fin de intercambiar información, también se debe prevenir que solo puedan acceder a la misma los usuarios que estén autorizados para hacerlo; y que el manejo que dichos usuarios hacen durante su acceso sea controlado, es decir, que en la seguridad de la información se debe detectar, corregir y prevenir errores en la transmisión de la misma. En el capítulo 1 se describirán las nociones que se relacionan con la seguridad de la información, que ayudaron a través del tiempo a que se vaya consolidando la idea de que ésta es un bien de gran valor para las organizaciones y que debe ser protegida y tratada correctamente. Se describen algunos mecanismos para lograr esta seguridad en la información. Se detallan los conceptos que se relacionan con la seguridad de la información que se describen en COBIT 5.0, y que es considerado en el desarrollo de este proyecto; también se tiene la descripción de las normas NTE INEN-ISO/IEC 2 27001: 2011, NTE INEN-ISO/IEC 27002: 2009 y un análisis de la norma NTE INENISO/IEC 27005: 2012, para la comprensión de lo que dichas normas plantean en el tratamiento de los riesgos en la seguridad de la información. 1.1.2. CONCEPTOS DE SEGURIDAD Del libro “Network Security Essencials, Aplications and Standars ” de Stallings [1, p. 3] se presenta una definición de seguridad computacional: “La seguridad computacional es la que ofrece un sistema de información automatizado con el fin de alcanzar los objetivos aplicables de preservación de la integridad, disponibilidad y confiabilidad de los recursos del sistema de información (incluido hardware, software firmware, información/data y telecomunicaciones)”. Al tomar como ejemplo esta definición, se ve que al hablar de seguridad de la información se deben definir otros términos que permiten que se entiendan las acciones necesarias para tener seguridad y también otros términos que hablan de cómo se vulnera la misma. 1.1.2.1. Vulnerabilidad Se define como una debilidad que puede ser aprovechada para ser atacada, la cual puede aparecer en elementos de hardware y software; pero una vulnerabilidad no tendrá importancia si no existe una amenaza hacia la misma, por lo que estos dos conceptos están estrechamente relacionados. 1.1.2.2. Amenaza También llamada threat (en inglés), es la posibilidad de que se aproveche una vulnerabilidad. En [1, p. 9] se define una amenaza como: “Una potencial violación de la seguridad, que existe cuando hay una circunstancia, la capacidad, acción o evento que podría violar la seguridad y causar daños”. Las amenazas se pueden catalogar como accidentales o intencionales. Las amenazas accidentales son las que aparecen de forma no premeditada, pueden aparecer a causa de un incorrecto uso de recursos por parte de algún usuario o por fallas de software no previstas. Las amenazas intencionales son las que aparecen de forma maliciosa para hacer un uso incorrecto de los recursos de la red, por lo que a este tipo de amenaza se le llama ataque. 3 Las amenazas se pueden clasificar en cuatro grupos: 1.1.2.2.1. Destrucción de la información En este tipo de amenaza se busca destruir todo o parte de la información para que no pueda ser utilizada. 1.1.2.2.2. Modificación de la información Se cambia el contenido de un mensaje, pudiendo modificar, quitar o añadir partes del mismo, en busca de perjudicar las comunicaciones. 1.1.2.2.3. Robo de información Se produce cuando se recepta la información de manera indebida, y también cuando se divulga cierta información entre usuarios que no tenían permisos para acceder a la misma. 1.1.2.2.4. Interrupción de un servicio Consiste en evitar que los usuarios de un servicio accedan al mismo, evitando que cumplan con alguna tarea. 1.1.2.3. Riesgo Se puede definir como la medida del costo de una vulnerabilidad; en términos más comprensibles se puede decir que un riesgo indica qué tan efectivo es un ataque. Tomando la definición de Riesgo de la Seguridad de la Información de la Norma 27005 [2] se define como: “potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización”. Por medio de los riesgos se pueden realizar análisis del sistema y tomar decisiones que permitan un mejor manejo de la información. 1.1.2.4. Ataque Cuando se ejecuta una amenaza intencionalmente, se le conoce como ataque. En [1, p. 9] se define un ataque como: “Un asalto a la seguridad del sistema que se deriva de una amenaza inteligente. Éste es un acto inteligente que es un 4 intento deliberado (sobre todo en el sentido de un método o técnica) para evadir los servicios de seguridad y de violar la política de seguridad de un sistema”. Los ataques pueden ser vistos como internos a los que se producen dentro de la organización, y como externos a los que provienen de lugares externos a la organización. Los ataques también pueden clasificarse de dos formas: ataques pasivos y ataques activos. Y además se considera otro tipo de ataque conocido como ataque lógico. 1.1.2.4.1. Ataques pasivos Los ataques pasivos son lo que se realizan de manera que no afectan al normal funcionamiento del sistema; el objetivo de estos ataques es obtener la información que está siendo transmitida. Estos ataques son difíciles de detectar ya que el sistema continúa funcionando normalmente, y los mensajes enviados a determinado destinatario son recibidos tanto por éste como por una tercera parte (el atacante). 1.1.2.4.2. Ataques activos Los ataques activos son lo que buscan alterar el normal funcionamiento de la red, ya sea atacando a los equipos o a la información directamente, para lo cual se puede recurrir a modificar parte de la información o incluso crear falsos mensajes. Estos ataques se pueden dividir en cuatro categorías, que resumen los principales efectos de los mismos: · Suplantación de identidad (Masquerade) · Repetición del contenido (Reply) · Modificación del mensaje (Modification) · Denegación del servicio (Denial of Service) 1.1.2.4.3. Ataques Lógicos Son otros tipos de ataques cuyo resultado es uno de los perjuicios descritos anteriormente en los ataques activos; están conformados por un grupo de programas que pueden dañar el sistema informático, los cuales pueden haber sido creados de forma malintencionada o por error, entre los cuales se tienen: 5 · Virus: Es un programa desarrollado de tal forma que se reproduce a sí mismo, una vez que se instala en un equipo causa destrucción de la información o en general de los recursos del sistema; pueden viajar adjuntos a un correo electrónico, en una página web, o por algún otro medio, y tratan de esparcirse hacia otras máquinas creando autocopias. · Gusanos (Warms): Son programas auto replicables y se transmiten a través de las redes, pudiendo incluso llevar virus, y en general dañar los sistemas a donde llegan. Tienen la capacidad de mutación, por los equipos deben contar con un antivirus que se actualice constantemente con el fin de que se prevengan infecciones contra las diferentes mutaciones que vayan surgiendo. · Bacterias: Estos programas se derivan de los gusanos, porque pueden reproducirse rápidamente y causan la saturación de los recursos del sistema, provocando una denegación del servicio ya que no se pueden gestionar peticiones de usuarios legítimos. · Bomba lógica: Es un programa en cuyo código se crea una determinada tarea en la que se especifica que si se cumple una condición determinada se producirá un evento que puede provocar una perturbación en el sistema. · Caballo de Troya (Trojan Horse): Este tipo de programas tienen en su código instrucciones que ejecutan tareas adicionales a las propias de sus funciones para que el atacante actúe sin ser visto, obteniendo información importante del sistema, o directamente asegurar la entrada del atacante para causar daños en el sistema. · Puerta trasera: Este concepto se refiere a accesos que se crean en una aplicación en el entorno de desarrollo, que permiten una entrada rápida a la misma evadiendo de alguna manera la autenticación de la aplicación. 1.1.2.5. Intrusos Se han detallado diferentes tipos de ataques, pero cabe describir algunas definiciones sobre los encargados de realizar las diferentes irrupciones en las redes. 6 En general se puede decir que a los intrusos se los conoce comúnmente como hackers o crackers, que definen a las personas que tiene un amplio conocimiento informático, pero su diferencia radica en el uso que dan a sus conocimientos. 1.1.2.5.1. Hackers Este término ha sido ampliamente usado para referirse a las personas que irrumpen en la red de manera no autorizada, pero una aclaración que se tiene en la actualidad acerca de esta definición es que, si bien un hacker provoca una perturbación en el normal funcionamiento de la red, no lo hace con la finalidad de obtener un beneficio económico, sino más bien busca un reconocimiento a su capacidad de irrumpir en la seguridad de un sistema; se puede concluir que los hackers no buscan hacer daño en la red, sino más bien detectar sus vulnerabilidades para realizar mejoras en la seguridad; esto también es conocido como hacking ético, o hacker de sombrero blanco. 1.1.2.5.2. Crackers Se definen de esta manera a los individuos que buscan perjudicar el funcionamiento de una red, ya sea por el robo de la información, descifrar claves y algoritmos de cifrado o incluso la destrucción de información; más conocido como hacker de sombrero negro. Se dedican a navegar en las redes y violan la seguridad de las mismas pero con fines mal intencionados; por lo general los crackers buscan obtener un beneficio económico como resultado de sus acciones, ya sea por la venta de información robada o perjudicando económicamente a alguien al robar su contraseña y retirar dinero de su cuenta, por ejemplo. 1.1.2.6. Servicios de seguridad Un servicio de seguridad es un proceso (o dispositivo que realiza dicho proceso) diseñado para detectar, prevenir o recuperarse de un ataque a la seguridad; los servicios de seguridad buscan proteger la información de ciertos ataques. Se puede dividir a los servicios de seguridad en varias categorías descritas a continuación. 7 1.1.2.6.1. Autenticación El servicio de autenticación se encarga de asegurar que la entidad que se comunica sea realmente quien dice ser. En una comunicación que se esté llevando a cabo, se deben considerar dos aspectos, el primero es asegurar que al momento de iniciar la conexión entre dos entidades, éstas sean auténticas, es decir que sean quienes dicen ser; el segundo aspecto es que el servicio asegure que la comunicación no sea interferida por una tercera parte haciéndose pasar por una de las dos entidades originales, todo esto con el fin de trasmitir o recibir información de forma no autorizada (ataque por suplantación de identidad). 1.1.2.6.2. Control de acceso Este servicio se refiere a la capacidad del sistema para limitar y controlar el acceso por medio de los enlaces de comunicación, para lo cual se necesita también un servicio de autenticación que permita dar los accesos autorizados para cada usuario. 1.1.2.6.3. Confidencialidad de la información La confidencialidad permite proteger la información que se transmite ante ataques pasivos, pudiendo hacerse en diferentes niveles que permitan proteger toda la comunicación o solamente una parte de un mensaje. Se debe tomar en cuenta que la confidencialidad busca evitar que se haga un análisis de tráfico de una red por parte de un atacante que quiera conocer la fuente, destino, frecuencia de envío o características de una comunicación. 1.1.2.6.4. Integridad de la información La integridad puede aplicarse tanto para un solo mensaje como para un stream de mensajes. Un servicio de integridad para proteger un stream de mensajes será capaz de proteger contra ataques de modificación, repetición de contenido, e incluso contra destrucción de la información. Si se usa una comunicación no orientada a la conexión, solamente se puede proteger a los mensajes de forma individual y solamente de la modificación de los mismos. Este servicio puede implementarse con o sin recuperación ante un ataque activo; en el caso de un servicio sin recuperación, éste solamente detectará la 8 violación de la integridad, pero se necesitará que la recuperación ante el ataque sea hecha por una persona o por un software encargado de esta tarea, mientras que un servicio con recuperación ante un ataque incorporará algún mecanismo que permita recuperar la pérdida de integridad de la información, esta segunda opción es la más utilizada. 1.1.2.6.5. No repudio Este servicio busca que el emisor o receptor de un mensaje no nieguen haberlo transmitido o recibido, de modo que el emisor/receptor de un mensaje pueda comprobar que el mensaje fue recibido/transmitido. 1.1.2.6.6. Disponibilidad Se define a la disponibilidad como la propiedad de un sistema o recursos de un sistema de ser accesible y de poder ser utilizado el momento en el que se lo necesite por las entidades autorizadas. Algunos tipos de ataques pueden provocar la pérdida de disponibilidad, pero la utilización de servicios de autenticación y control de acceso pueden hasta cierto nivel ayudar a evitar la falta de disponibilidad. 1.1.2.7. Mecanismos de Seguridad Los mecanismos de seguridad hacen posible que se implementen los servicios de seguridad, y cada mecanismo debe ser adaptado a las necesidades de cada sistema, por lo que no se tiene un mecanismo genérico que asegure una buena implementación de algún servicio de seguridad para cualquier red. Se describe el cifrado ya que es el mecanismo de seguridad más utilizado. 1.1.2.7.1. Cifrado Este mecanismo de seguridad debe aplicarse en la capa apropiada del modelo OSI donde se tenga algún servicio de seguridad; consiste en usar algoritmos matemáticos que permitan transformar el mensaje que se desea transmitir en algo que no sea entendible por otro usuario que no sea el destinatario autorizado, el cual será capaz de recuperar la forma original del mensaje. Algunos de estos algoritmos son: 9 · Algoritmos de Clave Simétrica: utilizan una misma clave para el cifrado y descifrado; entre los algoritmos más importantes actualmente se tienen DES, Triple DES y AES. · Algoritmos de Clave Pública: utiliza claves diferentes para cifrado y descifrado, y la clave de descifrado no puede derivarse de la clave de cifrado. Para esto, cada usuario debe tener una clave pública y una privada, la clave pública es la que se utiliza para el cifrado, la clave privada se utiliza para descifrado ya que con esto se asegura que solo el destinatario legítimo pueda descifrar el mensaje. Como ejemplos de estos algoritmos se tienen el algoritmo RSA y las firmas digitales; se detalla lo relacionado a firmas digitales. o Firmas Digitales: muchos documentos legales, financieros y de otros tipos necesitan una firma autorizada; como se busca reemplazar totalmente los papeles impresos, se necesita una forma de que la firma de los documentos sea infalsificable; según lo dicho en el libro “Redes de Computadoras” de Tanenbaum [3, p. 756] se busca que un origen envíe un mensaje “firmado” a un destino, de modo que se cumplan las siguientes condiciones: 1. El receptor pueda verificar la identidad del transmisor. 2. El transmisor no pueda repudiar (negar) después el contenido del mensaje. 3. El receptor no haya podido elaborar el mensaje él mismo. Para cumplir con estos objetivos, se tiene la firma digital, que consiste en tener datos adjuntos o una transformación criptográfica de una porción de datos determinada, por medio de la cual el receptor puede verificar que el origen de esa información no ha sido falsificado y que la integridad de la misma no se ha quebrantado Se tienen firmas de clave simétrica en donde se busca que una sola autoridad central en la que todos confíen tenga las claves de todos; entonces cada usuario escoge una clave secreta y la comparte solamente con esta autoridad, por lo que cuando la autoridad central reciba un mensaje de determinado usuario, ésta 10 lo descifrará con la clave de ese usuario y se asegura de que fue ese usuario el que envió el mensaje. Y las firmas de clave pública, donde la firma de los documentos no requiera de una autoridad confiable que la certifique. · Compendio del mensaje (Message digest - MD): Los sistemas de firma digital combinan dos funciones desiguales: autenticación y confidencialidad, ya que se tiene casos en los que no se requiere confidencialidad, pero sí autenticación. El uso de compendios de mensaje puede acelerar los algoritmos de firma digital. · Administración de Claves Públicas: Al usar una clave pública se da la posibilidad de que dos personas que no comparten una clave secreta se puedan comunicar con seguridad, y posibilita que los mensajes sean firmados sin la presencia de un tercero confiable, y al usar compendios de mensaje se puede verificar más fácilmente la integridad de mensajes recibidos. Aun así, se tiene el problema de que se podría falsificar la identidad de la persona dueña de esa clave pública, debido a que no se tiene una forma segura de intercambiar claves públicas; por esto se tienen formas de prevenir estas situaciones, a continuación, se describe una de ellas. o Certificados: La solución que se dio para asegurar las claves públicas es la creación de una organización que certifique las claves públicas, conocido como CA (autoridad de certificación), que se encarga de certificar las claves públicas que pertenecen a personas, empresas y otras organizaciones. El CA emitirá un certificado como el que se ve en la Figura 1.1, y se le entregará a la persona solicitante del certificado un disco flexible que contiene el certificado y su hash firmado. Figura 1.1. Posible certificado y su hash [3, p. 766] 11 Un certificado enlaza una clave pública con un nombre principal (persona, empresa, etc.), y cabe mencionar que los certificados no son privados ya que si una persona desea puede ponerlo disponible para otras. Otra situación a mencionarse es la revocación de certificados, esto puede darse cuando el que otorgó el certificado decide hacerlo, considerando factores como: la clave privada del sujeto se ha expuesto o la clave del CA está en peligro. 1.1.2.8. Seguridad en la Comunicación Se debe mencionar cómo funciona la seguridad en una comunicación, es decir, qué métodos se pueden utilizar para que los datos viajen sin modificarse y de forma segura desde el origen hasta el destino, y además evitando que se introduzcan bits no deseados. Para ello se tienen algunos elementos que se describen brevemente. 1.1.2.8.1. IPsec En búsqueda de implementar seguridad en Internet, se pensaron diversas alternativas, una era implementarla de extremo a extremo (es decir en la capa aplicación), pero esto requería que las aplicaciones cambien para que estén conscientes de la seguridad, por lo que el siguiente enfoque era tener seguridad en capa transporte y no tener que cambiar las aplicaciones; pero además se tenía otro enfoque en la que los usuarios no entienden la seguridad y no la utilicen correctamente, por lo que la capa red debe autenticar y/o cifrar los paquetes, es por esto que se desarrolló un estándar de seguridad de capa de red que aplique la seguridad correctamente y que los usuarios no estén conscientes de ella hasta cierto punto, el resultado de este análisis fue IPsec (Seguridad IP). Los servicios principales de IPSec son confidencialidad, integridad de datos y protección contra ataques de repetición, los cuales se basan en criptografía de base simétrica porque necesitan tener alto rendimiento. IPsec puede trabajar de dos modos: modo transporte y modo túnel. · Modo transporte: El encabezado IPsec se inserta después del encabezado IP y el campo protocolo de la cabecera IP se modifica 12 para indicar que un encabezado IPsec se encuentra después del encabezado IP. · Modo túnel: Todo el paquete IP se empaqueta en el cuerpo de un nuevo paquete IP. Esto es útil cuando un túnel termina en un punto que no sea el destino final, con lo que los dispositivos intermedios involucrados deben estar al tanto de IPsec y no los usuarios en la LAN. También se utiliza cuando se agrega un conjunto de conexiones TCP y se las quiere manejar como un solo flujo cifrado para evitar que atacantes vean la cantidad de tráfico que está pasando; pero tiene una desventaja y es el tener que encapsular en otro paquete IP, aumentando el tamaño del paquete. La Figura 1.2 muestra un sistema implementado con IPsec. Figura 1.2. Sistema que implementa IPSec [1, p. 272] 1.1.2.8.1. Firewalls Existe gran cantidad de información confidencial que circula en la red que debe ser protegida de fuga de información y del peligro de infiltración de información, 13 como virus, gusanos, etc., los cuales pueden destruir datos y perjudicar el funcionamiento de la red. Los firewalls o también llamados servidores de seguridad, son dispositivos por los cuales debe pasar todo el tráfico entrante y saliente de diferentes LAN externas conectadas al mismo para ser inspeccionado, y luego poder ingresar a una LAN interna. Los paquetes entrantes o salientes que cumplan con algún criterio configurado en el firewall podrán pasar, caso contrario serán descartados. Los criterios mencionados son conocidos como filtros de paquetes que son configurados en forma de tablas por el administrador del sistema, es decir que lo que un firewall hace es básicamente evitar que pasen intrusos a la red y que salga información confidencial, de forma general se puede representar al firewall como se ve en la Figura 1.3. Figura 1.3. Forma general de un firewall [1, p. 379] 1.1.2.8.1. Redes privadas virtuales Una red privada se creaba cuando las compañías alquilaban líneas telefónicas privadas para conectar algunas ubicaciones, pero su principal inconveniente es el costo de alquilar una o más líneas dedicadas; con el surgimiento de las redes públicas de datos, las compañías decidieron trasladar su tráfico de datos a estas redes, pero buscando mantener la seguridad. Las redes privadas virtuales (VPN) son redes que se superponen en las redes públicas a las que se les configuran propiedades de las redes privadas. El término virtual hace referencia a que no son reales sino solo una ilusión. Las redes privadas virtuales pueden implementarse en la actualidad directamente sobre Internet usando los firewalls donde empiezan y terminan los túneles, 14 estableciendo la separación entre el Internet y la organización, como se observa en la Figura 1.4 literal (b) [3, p. 779]. Figura 1.4. (a) Una red privada alquilada (b)Una red privada virtual 1.1.2.8.2. Seguridad inalámbrica La seguridad inalámbrica surge de la idea de que un intruso que utilice una conexión inalámbrica pueda pasar sobre la seguridad del firewall y capturar los paquetes de información que circulan en la red, por ello se considera más importante proteger los sistemas inalámbricos, mencionando además que en la actualidad las comunicaciones inalámbricas son ampliamente utilizadas en todo el mundo. · Seguridad 802.11: Este estándar establece un protocolo que da seguridad a nivel de capa de enlace de datos llamado WEP (Wireless Equivalent Privacy); el funcionamiento de este protocolo se basa en compartir una clave secreta entre la estación que se comunica y la estación base. 1.1.2.8.3. Seguridad de correo electrónico Al contrario de lo que se piensa, un correo electrónico pasa por otras máquinas antes de llegar a su destinatario, por lo que los usuarios que desean que su correo pueda ser leído solamente por el destinatario deben aplicar algoritmos criptográficos que permitan producir un correo electrónico seguro. Algunos sistemas desarrollados para estos fines son: · PGP (Pretty Good Privacy) · PEM (Privacy Enhanced Mail) 15 1.2. INTRODUCCIÓN AL GOBIERNO DE TI ENFOCADO EN LA GESTIÓN DE RIESGOS El seguir una correcta estructura de acuerdo a los mandatos de Gobierno de TI para la seguridad de la Información, permite desarrollar ordenadamente un correcto diseño para la seguridad de la información. En el caso de este proyecto, el diseño está enfocado en la norma 27005 [2], la cual describe de la Gestión de Riesgos en la Seguridad de la Información. Gobierno de TI presenta indicaciones para una correcta metodología de trabajo en lo referente a la seguridad de la información; se pueden citar ciertos procesos enfocados en los catalizadores de Gobierno de TI: APO (Aling, Plan and Organice), DSS (Deliver, Service and Support), EDM (Evaluate, Direct and Monitor). Para todo esto se tiene un modelo de referencia realizado por la empresa ISACA1, los cuales desarrollan COBIT 5, que abarca diferentes ramas que permiten un correcto Gobierno de TI. Este proyecto se basará en COBIT 5 para dar ciertas aclaraciones y emitir criterios que llevarán a lograr una correcta estructura en todo lo referente a seguridad de la información, y en los próximos capítulos se establecerá de forma más concreta la Gestión de Riesgos en la Seguridad de la Información. Se busca promover el uso óptimo de los recursos que tiene la DTT enfocado en la Gestión de Riesgos en la Seguridad de la Información, y una correcta administración y uso de los servicios prestados por esta Dirección. 1.2.1. GOBIERNO DE TI Está basado en el Marco de COBIT 5, el cual ofrece una guía práctica para la seguridad de la información a nivel empresarial. Al viajar la información a lo largo de la Red, ésta debe estar protegida para lograr una buena gestión de la misma. COBIT 5 permite el desarrollo de políticas y prácticas, requeridas para el control de las tecnologías de la información en toda la organización, dando como referencia una familia para metodologías de trabajo, mostradas en la Figura 1.5. 1 ISACA (www.isaca.org) es un líder global proveedor de conocimiento, certificaciones, comunidad, promoción y educación sobre aseguramiento y seguridad de sistemas de información (SSII), gobierno empresarial y gestión de TI y riesgo relacionado con TI y cumplimiento. 16 En todas las empresas, sean éstas públicas o privadas, se maneja gran cantidad de información, la misma que es manipulada por muchas personas, y debe ser actualizada constantemente para su uso efectivo, por esto se están usando las tecnologías de información, para que todo este tipo de información se organice y se distribuya de manera correcta entre las personas de interés y en su debido momento. Figura 1.5. Marco de Referencia para el Gobierno y la Gestión de las TI de la empresa [4, p. 11] 1.2.2. SATISFACER LAS NECESIDADES DE LAS PARTES INTERESADAS Se puede llegar a satisfacer las necesidades de las partes interesadas mejorando prácticas de seguridad para minimizar los riesgos, con lo cual las empresas podrán conseguir beneficios a costos mínimos. COBIT 5 busca manejar su entorno de aplicación de manera óptima, para esto se aplica la creación del valor, dando como puntos importantes: la realización de beneficios, optimización del riesgo y la optimización de recursos, mejorando las necesidades y requerimientos de la Dirección Nacional de Desarrollo en Telecomunicaciones. La información es una de las categorías catalizadoras de COBIT 5, definiendo requisitos exhaustivos y complementos para la información, así como también el ciclo de vida para el procesamiento de la información, dando soporte al negocio y al enfoque de contexto. 1.2.3. ENFOQUE DE GOBIERNO En el enfoque de Gobierno para la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones, abarcando todos sus servicios y riesgos existentes, COBIT 5 muestra componentes claves para un buen sistema de 17 gobierno, de acuerdo a la Figura 1.6. Se tienen dos divisiones adicionales en la Optimización del Riesgo: los Catalizadores de Gobierno y el Alcance de Gobierno, las cuales tienen una misma finalidad formal, una buena metodología de trabajo siguiendo paso a paso lo que se enuncia en COBIT 5. Este proyecto está orientado únicamente a la parte de Gestión de la Seguridad de la Información, pero por lo mismo se tienen que hacer pequeñas referencias a esta estructura hasta llegar a los roles, actividades y relaciones, que justifican la aplicación de la Norma 27005 [2]. Figura 1.6. Gobierno y Gestión en COBIT 5 [4, p. 23] 1.2.3.1. Catalizadores de Gobierno Según [4, p. 24]: “Los catalizadores de gobierno son los recursos organizativos para el gobierno, tales como marcos de referencia, principios, estructuras, procesos y prácticas, a través de los que o hacia los que las acciones son dirigidas y los objetivos pueden ser alcanzados”. Los catalizadores son la parte más importante para hacer una buena gestión de Gobierno de TI, pues dentro de éstos se encuentran todas las necesidades de la empresa y de qué manera se puede mejorar el desempeño y optimizar los recursos para el bueno uso de la información; además los catalizadores forman parte de los recursos corporativos para las aplicaciones, teniendo una buena estructura de gobierno de tecnologías de información. 18 1.2.3.2. Alcance de Gobierno Gobierno de TI puede ser aplicado a toda una empresa a o una parte de ella, en el desarrollo de este proyecto será aplicado a parte de la gestión de la seguridad de la información, específicamente a la Gestión de Riesgos, de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones. 1.2.3.3. Roles, Actividades y Relaciones Se define quién está involucrado en Gobierno, y a su vez de qué forma se involucra, y cuál será su función dependiendo del alcance del sistema de gobierno; estas relaciones se muestran en la Figura 1.7. Figura 1.7. Roles Actividades y Relaciones Clave [4, p. 24] De esta manera COBIT 5 da lineamientos para otros estándares y marcos relevantes, como por ejemplo: ITIL, TOGAF y estándares ISO, el último en particular muy importante para la realización de este proyecto, puesto que se aplica la norma 27005 [2] (Gestión de Riesgo en la Seguridad de la Información). 1.2.4. CATALIZADORES DE COBIT 5 Estos catalizadores contendrán una cascada de metas y los principales objetivos que tendrá el Gobierno, de esta manera se definen siete diferentes categorías de catalizadores: · Principios, políticas y marcos de referencia · Procesos · Estructuras organizativas · Cultura, ética y comportamiento · Información · Servicios, estructura y aplicaciones 19 · Personas, habilidades y competencias Estas categorías contemplan las metas propuestas y las necesidades de la entidad, que son parte fundamental de la seguridad de la información, la misma que requiere de la creación y puesta en marcha de varias políticas y procedimientos, para buscar la implantación de varias prácticas relacionadas con la seguridad de la información. 1.2.5. DIMENSIONES DE LOS CATALIZADORES Las metas de los catalizadores dependerán de las necesidades de la entidad y los objetivos que se quieren obtener; para fines de este proyecto se quiere dimensionar estos catalizadores de acuerdo a las necesidades de seguridad de la información. Las metas pueden ser definidas en términos de: · Resultados esperados del catalizador · Aplicación u operación del catalizado Las metas del catalizador son el paso final en la cascada de metas de COBIT 5. Las metas pueden ser divididas a su vez en diferentes categorías, una de ellas es la Accesibilidad y Seguridad. Los catalizadores y sus resultados son accesibles y seguros, pues deben estar disponibles cuando se necesiten, de la misma manera los resultados deben ser asegurados, y las personas autorizadas deben poder acceder a esta información. 1.2.6. MODELO DE REFERENCIA DE PROCESOS DE COBIT 5 Las empresas definen procesos de gobierno y gestión de manera que las áreas fundamentales estén cubiertas. De esta manera se forman las áreas claves de Gobierno y Gestión de COBIT 5. En la Figura 1.8 se puede observar que una empresa puede tener los procesos que crea conveniente, siempre y cuando los objetivos que se planteen estén totalmente cubiertos. COBIT 5 define un modelo de referencia de procesos donde se encuentran las metas de gobierno y gestión, de esta manera cada empresa define su propio conjunto de procesos, teniendo en cuenta su situación particular. La Gestión consta de cuatro dominios, que son: planificar, construir, ejecutar y supervisar, los cuales proporcionan cobertura de extremo a extremo de las TI. · Evaluar, Orientar y Supervisar (Evaluate, Direct and Monitor, EDM) 20 · Alinear, Planificar y Organizar (Aling, Plan and Organice, APO) · Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI) · Entregar, dar Servicio y Soporte (Deliver, Service and Support, DSS) · Supervisar, Evaluar y Valorar (Monitor, Evaluate and Assess, MEA) Cada uno de estos dominios contiene determinado número de procesos. COBIT 5 en total tiene 37 procesos de gobierno y gestión, de los cuales, para la seguridad de la información son importantes para este proyecto cuatro procesos mencionados a continuación: · EDM 03, Asegurar la optimización del riesgo · APO 12, Gestionar el riesgo · APO 13 Gestionar la seguridad · DSS 05, Gestionar los servicios de seguridad Figura 1.8. Las Áreas clave de Gobierno y Gestión de COBIT 5 [4, p. 32] De la figura Mapeo entre las Metas Relacionadas con las TI de COBIT 5 y los Procesos [4, pp. 52,53] se toman los procesos de COBIT 5 referentes a seguridad de la información, describiendo las metas relacionadas con las TI. Las metas relacionadas con las TI y los procesos de COBIT 5 referentes a seguridad de la información se relacionan entre sí, y estas relaciones pueden ser definidas 21 como Primarias cuando hay una relación importante, y cuando todavía hay un vínculo fuerte, pero menos importante se define como Secundaria. Se describen los procesos relacionados a la seguridad de la información y a la gestión de riesgos en la seguridad de la información que tienen que ver con el Gobierno de TI y la Gestión de TI, mediante la Figura 1.9, Figura 1.10, Figura 1.11 y Figura 1.12. 1.2.7. MAPEO DE COBIT 5 CON LOS ESTÁNDARES Y MARCOS DE TRABAJO RELACIONADOS MÁS RELEVANTES COBIT 5 hace comparaciones con los estándares y marcos de trabajo más relevantes y más utilizados en el ámbito de gobierno. Se hace referencia a la serie de estándares ISO/IEC 27000, que COBIT 5 menciona en las áreas y dominios relacionados con la seguridad de la información. 1.2.7.1. Dimensión de los Catalizadores Tiene cuatro dimensiones más comunes: · Ciclo de vida · Buenas prácticas · Partes Interesadas · Metas: Éstas se definen en términos de resultados esperados del catalizador y aplicación u operativa del propio catalizador. Las metas del catalizador son el último paso de la cascada de metas de COBIT 5. Por esto las metas aún se dividen en diferentes categorías: o Calidad Intrínseca o Calidad Contextual o Accesibilidad y Seguridad 1.2.8. ESTRUCTURAS ORGANIZATIVAS ILUSTRATIVAS EN COBIT 5 Dentro del ciclo de vida de la información, la empresa deberá ser evaluada periódicamente para ver la evolución de lo producido y qué cambios deben hacerse en bien de la empresa dentro de los periodos establecidos. Figura 1.9. Proceso EDM03 y sus objetivos relacionados con TI 22 Figura 1.10.Proceso APO12 y sus objetivos relacionados con TI 23 Figura 1.11. Proceso APO 13 y sus objetivos relacionados con TI 24 Figura 1.12. Proceso DSS05 y sus objetivos relacionados con TI 25 26 1.2.8.1. Gestión Incluye el uso juicioso de medios (recursos, personas, procesos, prácticas, etc.) para conseguir un fin identificado. Es un medio o instrumento mediante el cual el grupo que gobierna consigue un resultado u objetivo; la gestión es responsable de la ejecución, dentro de la dirección establecida, por el grupo que gobierna. La gestión se refiere a las actividades operacionales de planificación, construcción, organización y control, que se alinean con la dirección que establece el grupo que gobierna y la información sobre dichas actividades. 1.2.8.2. Gestión de riesgos Es uno de los objetivos de gobierno. Requiere reconocer un riesgo, evaluar su impacto y probabilidad, y desarrollar estrategias, como, por ejemplo, evitar el riesgo, reducir el efecto negativo de riesgo y/o transferir el riesgo, para gestionarlo. 1.3. DESCRIPCIÓN DE LA NORMA NTE INEN - ISO/IEC 27001:2011 1.3.1. INTRODUCCIÓN Esta norma proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión de la Seguridad de la Información (SGSI). La organización debe establecer cuáles son las necesidades y objetivos del SGSI, así como también los requisitos de seguridad, su proceso y estructura para la creación del diseño y la implementación del SGSI, por lo que la responsabilidad de la organización es definir y gestionar sus actividades para funcionar correctamente. Esta norma tiene un enfoque por procesos para la gestión de la seguridad de la información dando importancia a los siguientes aspectos: · La organización deberá tener claramente especificado cuáles son los requisitos de seguridad de la información y sus objetivos. · Hacer uso de los controles necesarios que administren los riesgos en la seguridad de la información. · Supervisar y revisar el rendimiento y la eficacia del SGSI. 27 Esta norma se basa en el modelo "Planificar-hacer-verificar-actuar" (PlanDo-Check-Act conocido como modelo PDCA), que se aplica para estructurar todos los procesos del SGSI, como se observa en la Figura 1.13. Figura 1.13. Modelo PDCA aplicado a los procesos del SGSI [5, p. iv] En [5, p. iv] se describen las actividades que se realizan en cada fase del PDCA, las cuales se detallan a continuación. · Planificar (creación del SGSI): Se definen la política, objetivos, procesos y procedimientos del SGSI más importantes para gestionar el riesgo y mejorar la seguridad de la información. · Hacer (implementación y operación del SGSI): Implementar y operar la política, procesos, objetivos, controles, y procedimientos del SGSI. · Verificar (supervisión y revisión del SGSI): Monitorizar, Evaluar y el medir el rendimiento del proceso basado en las políticas, los objetivos informando los resultados a la dirección para su aprobación. · Actuar (mantenimiento y mejora del SGSI): Una vez que se tengan los resultados se debe proceder hacer una auditoría interna del SGSI por parte de la dirección. Esta norma está diseñada para posibilitar a una organización el adaptar su SGSI a los requisitos de los sistemas de gestión mencionados. 28 1.3.2. OBJETIVO Esta norma está diseñada para todo tipo de organizaciones llámense éstas empresas, organismos y entes públicos, entidades sin ánimo de lucro, para lo cual se especifican los requisitos para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un SGSI documentado. Para este proyecto, el cual se fundamenta en la Norma 27005 [2], se trabaja en la Gestión de Riesgos en la Seguridad de la Información, que es una parte de lo que en la Norma [5] se describe como fase de planificación (creación del SGSI). Los requisitos que se establecen en esta norma son genéricos y aplicables a todas las organizaciones y se tienen que considerar todos los controles existentes necesarios para cumplir con los criterios de aceptación del riesgo. 1.3.3. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN La organización debe crear, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI documentado dentro del contexto de las actividades empresariales generales de la organización y de los riesgos que ésta afronta. 1.3.3.1. Creación del SGSI La organización está encargada de definir el alcance y los límites del SGSI en términos de la organización, su ubicación, sus activos y tecnología, incluyendo los detalles y la justificación de cualquier exclusión del alcance. Para la creación de un SGSI se debe tomar en cuenta: · Definir el enfoque de la evaluación de riesgos de la organización · Identificar los riesgos · Analizar y valorar los riesgos · Identificar y evaluar las opciones para el tratamiento de riesgos · Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos · Obtener la aprobación, por parte de la Dirección, de los riesgos residuales propuestos · Obtener la autorización de la Dirección para implementar y operar el SGSI 29 · Elaborar una declaración de aplicabilidad 1.3.3.2. Implementación y operación del SGSI Una vez establecidos los puntos importantes para la creación del SGSI la organización debe: · Formular un plan de tratamiento de riesgos que identifique las acciones de la Dirección · Implementar el plan de tratamiento de riesgos para lograr los objetivos de control identificados · Implementar los controles seleccionados · Definir el modo de medir la eficacia de los controles o de los grupos de controles seleccionados · Implementar programas de formación y de concienciación · Gestionar la operación del SGSI · Gestionar los recursos del SGSI · Implementar procedimientos y otros controles que permitan una detección temprana de eventos de seguridad y una respuesta ante cualquier incidente de seguridad 1.3.3.3. Supervisión y revisión del SGSI · Ejecutar procedimientos de supervisión y revisión · Realizar revisiones periódicas de la eficacia del SGSI · Medir la eficacia de los controles para verificar si se han cumplido los requisitos de seguridad · Revisar las evaluaciones de riesgos en intervalos planificados y revisar los riesgos residuales y los niveles de riesgo aceptables que han sido identificados · Realizar las auditorías internas del SGSI · Actualizar los planes de seguridad teniendo en cuenta las conclusiones de las actividades de supervisión y revisión · Registrar las acciones e incidencias que pudieran afectar a la eficacia o al funcionamiento del SGSI 30 1.3.3.4. Mantenimiento y mejora del SGSI Para mantener el SGSI planteado se deben aplicar medidas correctivas y preventivas adecuadas para un mejoramiento del SGSI, comunicando las acciones a tomarse, en caso de que existan, a las partes interesadas con un nivel de detalle específico para dichas futuras modificaciones. 1.3.4. REQUISITOS DE LA DOCUMENTACIÓN 1.3.4.1. Control de documentos Los documentos exigidos por el SGSI deben estar protegidos y controlados. Se debe establecer un procedimiento documentado para definir las acciones de gestión necesarias para: revisar, actualizar y volver a aprobar los documentos según sea necesario, asegurar que están identificados los cambios en los mismos, asegurar que los documentos están disponibles para todo aquel que los necesita, asegurar que la distribución de los documentos está controlada, entre otras acciones. 1.3.4.2. Control de registros Se deben crear y mantener registros para proporcionar evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Dichos registros deben estar protegidos y controlados. Los registros deben permanecer legibles, fácilmente identificables y recuperables, además de conservarse todos los registros relativos al desarrollo del SGSI y de todos los sucesos relacionados a la seguridad de la información que se presenten. 1.3.5. RESPONSABILIDAD DE LA DIRECCIÓN La responsabilidad de la Dirección abarca los siguientes aspectos: · Compromiso de la Dirección: para suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, mantener y mejorar el SGSI, mediante la formulación de políticas, establecimiento de roles y responsabilidades relacionadas a la seguridad de la 31 información, y comunicando la importancia de cumplir con los objetivos y políticas de seguridad del SGSI. · Gestión de los recursos: determinando y proporcionando los recursos necesarios para crear, implementar, operar, supervisar, mantener y mejorar el SGSI, mantener la seguridad adecuada mediante la aplicación de los controles establecidos. Además se debe asegurar que cada persona de la dirección está encargada de una función de acuerdo a las responsabilidades establecidas. 1.3.6. AUDITORÍAS INTERNAS DEL SGSI La organización debe realizar auditorías internas del SGSI en periodos determinados, para un buen funcionamiento del SGSI. Las auditorías se deben planificar tomando en cuenta el estado e importancia de los procesos y áreas a auditar, y garantizando que los auditores no auditan su propio trabajo. Las responsabilidades y requisitos para la planificación, realización de auditorías, información de resultados y mantenimiento de registros deben estar definidas en un procedimiento documentado. 1.3.7. REVISIÓN DEL SGSI POR LA DIRECCIÓN La Organización debe revisar el SGSI en intervalos de tiempo planificados (al menos una vez al año) para asegurar que se mantiene su conveniencia, adecuación y eficacia, los resultados de las revisiones deben estar debidamente documentados. En los resultados de la revisión se deben incluir decisiones y acciones sobre: mejora de la eficacia del SGSI, actualización de la evaluación de riesgos, modificación de procedimientos y controles que afectan a la seguridad de la información, necesidades de recursos. 1.3.8. MEJORA DEL SGSI 32 1.3.8.1. Mejora continua La organización debe mejorar de manera continua la eficacia del SGSI, esto se hace con el uso de políticas, objetivos de seguridad de la información, resultados de las auditorías, análisis de la monitorización de eventos, acciones correctivas y preventivas y de las revisiones realizadas. 1.3.8.2. Acción correctiva Si se presentan no conformidades con la estructura del SGSI, la organización debe realizar acciones correctivas, a fin de evitar que vuelvan a producirse dichas no conformidades. Los procedimientos para tomar acciones correctivas deben quedar debidamente documentados. 1.3.8.3. Acción preventiva Se deben determinar las acciones necesarias para eliminar las causas de las posibles no conformidades con la estructura del SGSI establecido, con la finalidad de que estas se vuelvan a producir. Se deben priorizar las acciones preventivas a aplicarse, dependiendo de los resultados de la evaluación de riesgos en la seguridad de la información. Los procedimientos para tomar acciones preventivas deben estar documentados. 1.4. DESCRIPCIÓN DE LA NORMA NTE INEN - ISO/IEC 27002:2009 1.4.1. INTRODUCCIÓN La norma establece un punto de vista sobre lo que trata la seguridad de la información, por qué es importante considerar la seguridad de la información como un factor crítico dentro de una organización y orienta en la forma en la que se pueden evaluar los riesgos en la seguridad de la información, para luego pasar a la selección de los respectivos controles para dichos riesgos. De [6, p. vi] se toma: “La seguridad de la información es la protección de la información contra una gran variedad de amenazas con el fin de asegurar la continuidad del negocio, minimizar 33 el riesgo para el negocio y maximizar el retorno de inversiones y oportunidades del negocio”. La Norma 27002 [6] establece que la seguridad de la información se logra implementando una serie de controles apropiados, además de políticas, procesos, procedimientos, estructuras organizacionales y funciones de hardware y software, y que dichos controles deben ser establecidos, implementados, monitoreados, revisados y mejorados con el fin de cumplir con los objetivos específicos de seguridad y del negocio. Un control representa un medio para gestionar el riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras de una organización que pueden ser de naturaleza administrativa, técnica, de gestión o legal. Se debe proteger la información porque la misma, junto con los procesos, sistemas y redes que la soportan, son activos importantes del negocio, y generalmente se ven afectados por amenazas provenientes de diferentes fuentes que incluyen espionaje, sabotaje, vandalismo, incendios, inundaciones, y más comúnmente en la actualidad por códigos maliciosos y ataques de piratería o denegación de servicio. Otro problema que puede afectar la seguridad de la información es la tendencia hacia la computación distribuida que debilita la eficacia del servicio de control de acceso central. Existen tres principales fuentes de requisitos de la seguridad: 1. La evaluación de los riesgos para la organización, con lo cual se puede identificar las amenazas para los activos, se evalúan las vulnerabilidades y la probabilidad de ocurrencia para estimar el impacto potencial. 2. Requisitos legales, estatutarios, reglamentarios y contractuales que debe cumplir la organización, socios, proveedores de servicios. 3. Conjunto particular de principios, objetivos y requisitos del negocio para el procesamiento de la información, que la organización ha desarrollado para apoyar sus operaciones. Esto es una parte importante para la sección de Tratamiento del riesgo de la Norma 27005 [2]. 34 1.4.1.1. Evaluación de los riesgos de la seguridad Los requisitos de la seguridad se identifican mediante una evaluación metódica de los riesgos en la seguridad, y los resultados de esta evaluación ayudan a guiar y determinar la acción adecuada para hacer la gestión del riesgo. Esta evaluación de los riesgos se debe repetir periódicamente para tratar cambios que puedan influir en los resultados de la evaluación de los riesgos. 1.4.1.2. Selección de controles La selección de controles es el siguiente paso después de las decisiones para tratamiento de los riesgos en la seguridad de la información, de modo que los controles garanticen la reducción de los riesgos encontrados hasta un nivel aceptable. Los controles se pueden seleccionar de esta norma, de otro grupo de controles, o se pueden diseñar controles nuevos de acuerdo a las necesidades de la organización, y la selección de los mismos debe ir de acuerdo a los criterios de aceptación, tratamiento y enfoque para la gestión general del riesgo aplicado en la organización. De todos los controles descritos en la norma, algunos se consideran principios guía para la gestión de la seguridad de la información, estos controles se basan en requisitos legales esenciales o se consideran una práctica común para la seguridad de la información. Los controles considerados esenciales para una organización se describen a continuación, indicando la sección de la norma donde se tratan los mismos: a) Protección de datos y privacidad de la información personal (sección 15.1.4) b) Protección de los registros de una organización (sección 15.1.3) c) Derechos de propiedad intelectual (sección 15.1.2) Los controles que se consideran una práctica común para la seguridad de la información son los siguientes: a) Documento de la política de la seguridad de la información (sección 5.1.1) b) Asignación de responsabilidades para la seguridad de la información (sección 6.1.3) 35 c) Educación, formación y concienciación sobre la seguridad de la información (sección 8.2.2) d) Procesamiento correcto en las aplicaciones (sección 12.2) e) Gestión de la vulnerabilidad técnica (sección 12.6) f) Gestión de la continuidad del negocio (sección 14) g) Gestión de los incidentes de la seguridad de la información y las mejoras (sección 13.2) Se debe recalcar que, aunque todos los controles descritos en la norma son importantes, no todos se aplicarán, porque depende de los riesgos específicos de la organización, por lo que necesariamente se debe realizar la evaluación de los riesgos. 1.4.1.3. Factores críticos para el éxito Entre los factores más importantes que permiten una exitosa implementación de la seguridad de la información de una organización están: a) Políticas, objetivos y actividades de la seguridad de la información que reflejen los objetivos del negocio. b) Una buena comprensión de los requisitos de la seguridad de la información, una evaluación de riesgos y la gestión del riesgo. c) Distribución de guías sobre la política y las normas de la seguridad de la información entre todos los directores, empleados y otras partes. d) Provisión de fondos para actividades de gestión de la seguridad de la información. 1.4.1.4. Desarrollo de directrices propias La norma NTE INEN-ISO/IEC 27002 se puede considerar como un punto de partida para el desarrollo de directrices específicas para una organización considerando que no todos los controles y directrices en esta norma se pueden aplicar en una organización específica, y también se pueden requerir de controles y directrices adicionales a los contenidos en la norma. Una directriz se define como una descripción que aclara lo que se debería hacer y cómo hacerlo, para alcanzar los objetivos establecidos en las políticas. 36 1.4.2. OBJETIVO Esta norma establece directrices y principios generales para iniciar, implementar, mantener y mejorar que gestión de la seguridad de la información en una organización. Los objetivos de control y los controles de esta norma están destinados a ser implementados para satisfacer los requisitos identificados por una evaluación de riesgos. 1.4.3. ESTRUCTURA DE LA NORMA Esta norma tiene 11 secciones o categorías sobre controles de la seguridad de la información, que en total contiene 39 controles de la seguridad: a) Política de la seguridad b) Organización de la seguridad de la información c) Gestión de activos d) Seguridad de los recursos humanos e) Seguridad física y del entorno f) Gestión de operaciones y comunicaciones g) Control del acceso h) Adquisición, desarrollo y mantenimiento de sistemas de información i) Gestión de los incidentes de la seguridad de la información j) Gestión de la continuidad del negocio k) Cumplimiento 1.4.4. EVALUACIÓN Y TRATAMIENTO DEL RIESGO 1.4.4.1. Evaluación de los riesgos de la seguridad Con la evaluación de riesgos se debe identificar, cuantificar y priorizar los riesgos de acuerdo a los criterios de aceptación del riesgo y los objetivos de la organización, y de acuerdo a esto determinar la acción de gestión de los riesgos de la seguridad de la información, para luego implementar los controles que se seleccionen. Además, se debe considerar que la evaluación de los riesgos se debe hacer periódicamente para que se vayan incluyendo los cambios en los requisitos de la seguridad y en la situación de riesgo. La evaluación de los riesgos de la seguridad de la información debería tener un alcance definido, y que puede abarcar 37 toda la organización, partes de ella, un sistema individual de información, componentes específicos del sistema o servicio. 1.4.4.2. Tratamiento de los riesgos de la seguridad Para iniciar con el tratamiento del riesgo, la organización debe previamente haber definido los criterios de aceptación del riesgo. De acuerdo a la evaluación de los riesgos ya identificados se puede aplicar una de las 4 posibles opciones para su tratamiento, las mismas que también son descritas en la sección de tratamiento del riesgo de la Norma 27005 [2], las cuales son: a) Aplicación de los controles apropiados para reducir los riesgos b) Aceptación objetiva y con conocimiento de los riesgos, siempre y cuando satisfagan la política de la organización y sus criterios para la aceptación del riesgo. c) Prevención de los riesgos al no permitir acciones que pudieran hacer que éstos se presentaran. d) Transferencia de riesgos asociados a otras partes (aseguradores o proveedores). Si se decide tratar el riesgo aplicando un control apropiado, dicho control se debe seleccionar considerando que se satisfagan los requisitos dados por la evaluación del riesgo y que reduzcan el riesgo en la seguridad de la información hasta un nivel aceptable, para lo que se deben considerar los siguientes elementos: a) Requisitos y restricciones de la legislación y de las regulaciones nacionales e internacionales b) Objetivos de la organización c) Requisitos y restricciones operativos d) Costo de la implementación y la operación con relación a la reducción de los riesgos, y que se mantenga la proporción con los requisitos y restricciones de la organización. e) Necesidad de equilibrar la inversión en la implementación y operación de los controles frente a la probabilidad del daño que resultaría debido a las fallas de la seguridad. 38 Los controles de seguridad de la información se deben especificar en la fase de diseño de sistemas y proyectos, evitando así que se generen costos adicionales en soluciones que no actúan eficazmente. Una descripción más detallada de los controles existentes en la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT), así como de los controles recomendados que no están siendo aplicados, se encontrará en capítulos posteriores. 1.5. ANÁLISIS DE LA NORMA NTE INEN-ISO/IEC 27005:2012 1.5.1. INTRODUCCIÓN Esta norma brinda pautas para la Gestión de Riesgos en la Seguridad de la Información, dando soporte particular a los requisitos de un sistema de gestión de la seguridad de la información (SGSI). Sin embargo esta norma no brinda ninguna metodología específica para la gestión del riesgo en la seguridad de la información, sino que dependerá de lo que la organización necesite para minimizar los riesgos en la seguridad de la información. 1.5.2. OBJETIVO En esta norma se plantean las directrices para la gestión de riesgos en la seguridad de la información, y se relaciona estrechamente con los conceptos generales presentados en la Norma 27001 [5] ya que brinda un soporte a estos conceptos, y busca que se haga una implementación satisfactoria de la seguridad de la información con base en el enfoque de la gestión del riesgo. Esta norma es aplicable a cualquier tipo de organización (empresas comerciales, entidades del gobierno, etc.), e incluso a solo una parte de la organización, que quieran gestionar los riesgos que puedan comprometer su información. 1.5.3. REFERENCIAS NORMATIVAS Las normas que se consideran indispensables para la aplicación de la Norma 27005 [2] son: 39 · NTE INEN-ISO/IEC 27001:2011 - Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la seguridad de la información (SGSI). Requisitos. · NTE INEN-ISO/IEC 27002:2009 - Tecnología de la información. Técnicas de seguridad. Código de práctica para la gestión de la seguridad de la información. 1.5.4. ESTRUCTURA DE LA NORMA Esta norma describe los procesos para la gestión del riesgo en la seguridad de la información y las actividades a realizar. Todas las actividades para la gestión del riesgo en la seguridad de la información se detallan en varias secciones más adelante, pero se listan las mismas a continuación. · Establecimiento del contexto · Valoración del riesgo · Tratamiento del riesgo · Aceptación del riesgo · Comunicación del riesgo · Monitoreo y revisión del riesgo Esta norma contiene anexos que presentan información adicional para las actividades de la gestión del riesgo en la seguridad de la información: · Anexo A: Definición del alcance y los límites del proceso de gestión del riesgo de la seguridad de la información · Anexo B: Identificación y valoración de los activos y valoración del impacto · Anexo C: Ejemplos de amenazas comunes · Anexo D: Vulnerabilidades y métodos para la valoración de la vulnerabilidad · Anexo E: Enfoques para la valoración de riesgos en la seguridad de la información · Anexo F: Restricciones para la reducción de riesgos La norma tiene la siguiente estructura: entrada, acciones, guía de implementación y salida. 40 1.5.5. INFORMACIÓN GENERAL Esta norma brinda soporte a los conceptos generales presentes en las Normas 27001 [5] y 27002 [6], específicamente constituye una ampliación de la sección 4.2.1 de la Norma 27001 [5] (Establecer el SGSI).La Norma 27005 [2] en general, busca que la gestión de riesgos en la seguridad de la información se considere como la “piedra angular” para un SGSI eficaz, donde se identifiquen las necesidades de la organización con respecto a los requisitos de la seguridad de la información. La gestión del riesgo en la seguridad de la información debería ser un proceso continuo que establezca el contexto, evalúe los riesgos, trate los riesgos utilizando un plan de tratamiento. La gestión del riesgo analiza lo que puede suceder y cuáles son las posibles consecuencias, antes de decidir lo que se debería hacer y cuándo hacerlo, para reducir el riesgo hasta un nivel aceptable. El proceso de gestión del riesgo de la seguridad de la información se puede aplicar a la organización en su totalidad, a una parte separada de la organización (un departamento, una ubicación física, un servicio), a cualquier sistema de información o a aspectos particulares del control. En el caso de este proyecto, la norma es aplicada para la gestión del riesgo en la seguridad de la información de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT) de la SUPERTEL. 1.5.6. VISIÓN GENERAL DEL PROCESO DE GESTIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN El proceso de gestión del riesgo en la seguridad de la información consta de: establecimiento del contexto, valoración del riesgo, tratamiento del riesgo, aceptación del riesgo, comunicación del riesgo y monitoreo y revisión del riesgo. Las actividades de valoración del riesgo y tratamiento del riesgo pueden ser iterativas, para conseguir un equilibrio entre la reducción de tiempo y el esfuerzo que se requiere para identificar los controles, y que los riesgos altos se valoren de manera correcta, este proceso se muestra en la Figura 1.14. En primer lugar se establece el contexto, luego se hace la valoración del riesgo, que de proporcionar información suficiente, permitirá determinar de manera 41 eficaz las acciones que deben tomarse para modificar los riesgos hasta un nivel aceptable, si no es así, se llevará a cabo otra iteración de la valoración del riesgo que reconsidere los criterios de evaluación del riesgo, los criterios de aceptación del riesgo o los criterios de impacto, (en la Figura 1.14 ver el punto 1 – decisión sobre el riesgo: valoración satisfactoria). Figura 1.14. Proceso de gestión del riesgo de la seguridad de la información [2, p. 5] 42 El tratamiento del riesgo será eficaz si es que la valoración del riesgo fue satisfactoria; aquí también se realizan iteraciones, ya que es posible que el tratamiento del riesgo no produzca inmediatamente una reducción del mismo hasta un riesgo residual, y tengan que volver a considerarse los criterios de valoración, aceptación e impacto del riesgo (en la Figura 1.14 ver el punto 2- decisión sobre el riesgo: tratamiento satisfactorio). La actividad de aceptación del riesgo es de mucha importancia ya que se debe asegurar que los riesgos residuales son aceptados explícitamente por los directores de la organización, porque de esto depende que los controles propuestos se omitan o se pospongan, por ejemplo, debido al costo. Durante todo el proceso de gestión del riesgo de la seguridad de la información también es importante que se comunique a los directores y al personal operativo correspondiente sobre los riesgos y su tratamiento. Si se toma conciencia de los riesgos, la naturaleza de los controles establecidos para mitigar los riesgos y las áreas de interés para la organización, se facilitará el tratamiento de los incidentes y los eventos inesperados de una manera eficaz. La Norma 27001 [5] especifica que los controles que se plantean dentro del alcance, límites y contexto del SGSI se deben basar en el riesgo, por lo que un proceso que haga la gestión del riesgo en la seguridad de la información puede satisfacer este requisito. La Norma 27001 [5] plantea 4 fases para el proceso del SGSI, estas fases en relación a las actividades de gestión del riesgo de la seguridad de la información, que se muestran en la Tabla 1.1. Este proyecto trabaja con la fase de “planificar” porque llega hasta el planteamiento del tratamiento de los riesgos por medio de los controles adecuados. La actividad de aceptación del riesgo se ejecutará una vez que lo realizado en este proyecto se presente a la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT). 1.5.7. ESTABLECIMIENTO DEL CONTEXTO 1.5.7.1. Consideraciones generales Para establecer el contexto para la gestión del riesgo de la seguridad de la información, se deben tener en cuenta lo siguiente: 43 · Criterios básicos necesarios para la gestión del riesgo de la seguridad de la información · Definir el alcance y los límites · Establecer una organización adecuada que opere la gestión del riesgo de la seguridad de la información Tabla 1.1. Alineamiento del SGSI y el proceso de Gestión del Riesgo de la Seguridad de la Información [2, p. 6] Proceso de SGSI Proceso de gestión del riesgo de la seguridad de la información Planificar Establecer el contexto Valoración del riesgo Planificación del tratamiento del riesgo Aceptación del riesgo Hacer Implementación del plan de tratamiento del riesgo Verificar Monitoreo y revisión continua del riesgo Actuar Mantener y mejorar el proceso de gestión del riesgo de la seguridad de la información El propósito que se tenga para la gestión del riesgo de la seguridad de la información afecta al proceso total, y en particular, al establecimiento del contexto. De los varios propósitos que puede tener la gestión de riesgos en la seguridad de la información, se considera que para la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones estos propósitos son: · Preparar un plan para la debida continuidad del negocio, porque con la minimización de riesgos en la seguridad de la información se optimizará la disponibilidad de la información que se requiere para los procesos que realiza la DTT, mejorando su eficiencia. · Preparar un plan de respuesta a incidentes, el cual permita que las acciones que se tomen en caso de presentarse incidentes hayan sido en lo posible consideradas, analizadas y establecidas en una guía. · Descripción de los requisitos de seguridad de la información para un producto, un servicio o un mecanismo dentro de la organización. 44 1.5.7.2. Criterios básicos Al revisar el alcance y los objetivos de la gestión del riesgo en la seguridad de la información se podrá desarrollar el enfoque para la gestión de riesgo, considerando que se pueden abordar ciertos criterios básicos como: criterios de evaluación del riesgo, criterios de impacto, criterios de aceptación del riesgo, etc. La recolección de información acerca de cómo se manejan procedimientos dentro de la DTT es la que permitirá que se definan los criterios básicos que serán necesarios para evaluar los riesgos, con lo cual se podrán plantear los controles dependiendo de cada riesgo. 1.5.7.3. Criterios de evaluación del riesgo Se deben desarrollar estos criterios con el fin de determinar el riesgo en la seguridad de la información de la organización, teniendo en cuenta los siguientes aspectos: · La criticidad de los activos de información involucrados, ya que se hará un análisis de los servicios a cargo de la DTT para determinar cuáles son sus riegos considerando su criticidad · La importancia de la disponibilidad, confidencialidad e integridad para las operaciones y el negocio, porque son servicios de seguridad que toda institución debe tener 1.5.7.4. Criterios de impacto Estos criterios son los que permiten visualizar qué tan grave puede llegar a ser un riesgo dependiendo del grado de daño o del costo para la organización. 1.5.7.5. Criterios de aceptación del riesgo Por lo general estos criterios dependen de las políticas, metas, objetivos de la organización y de las partes interesadas. La organización debería especificar sus propias escalas para los niveles de aceptación del riesgo, considerando los siguientes aspectos: · Definir umbrales múltiples para la aceptación del riesgo, y con disposiciones para que los riesgos que se acepten por encima de estos umbrales sean aceptados por la dirección; esto debe hacerse 45 porque cada servicio en la DTT no presentará los mismos riesgos que otro · Los diferentes criterios de aceptación se aplican a las diferentes clases de riesgos, dependiendo del valor obtenido para cada riesgo después de la evaluación de los mismos · Incluir requisitos para un tratamiento adicional del riesgo en el futuro, por ejemplo, se puede aceptar un riesgo si se plantean acciones que reduzcan hasta un nivel aceptable dicho riesgo en un periodo de tiempo definido 1.5.7.6. Alcance y límites Se debería recolectar información acerca de la organización para determinar el ambiente en el que se desenvuelve, y establecer la pertinencia de la información en el proceso de gestión de riesgo en la seguridad de la información. Para establecer el alcance se analizarán cada uno de los activos con los que cuenta la DTT mediante la evaluación del riesgo, lo que permitirá plantear los controles necesarios para la minimización de dichos riesgos hasta un nivel aceptable, pero se debe mencionar que la implementación del sistema queda fuera del alcance de este proyecto y se realizará cuando la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones lo crea pertinente. Al definir el alcance y los límites, la organización debería considerar lo siguiente: · Las funciones y estructura de la organización, tomando en cuenta lo que está estrictamente relacionado a la DTT, que es la Dirección a la cual está dirigido el proyecto · La política de seguridad de la información de la organización, que en el caso de esta Dirección no se tienen especificadas en su totalidad. · Los diferentes tipos de activos de la DTT · Restricciones que afectan a la organización Se debe analizar el anexo A: Definición del alcance y los límites del proceso de gestión del riesgo de la seguridad de la información, de esta norma porque se encuentra información sobre cómo hacer un estudio de la organización y sus posibles restricciones. 46 1.5.7.7. Organización para la gestión del riesgo de la seguridad de la información La forma en la que se vaya a realizar la gestión del riesgo en la seguridad de la información debe tener un orden que cumpla con: · Desarrollar un proceso de gestión del riesgo de la seguridad de la información adecuado para la organización, que será en diseño que se plantea como objetivo de este proyecto · Identificar y analizar las partes interesadas, que para este proyecto es la DTT · Especificar los registros que se deben conservar, conforme a los controles que se planteen para esta actividad 1.5.8. VALORACIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN Serán necesarios tener los objetivos y el alcance pertinente para realizar la valoración del riesgo en la seguridad de la información. Cada uno de los riesgos en la seguridad de la información se debe identificar para poder describirlos cuantitativamente o cualitativamente, y estos riesgos serán tratados como una combinación de consecuencias o impactos, para después priorizar los riesgos. La valoración del riesgo consta de las siguientes actividades: · Análisis del riesgo, el cual consta de la identificación del riesgo y estimación del riesgo · Evaluación del riesgo En el proceso de valoración del riesgo se identifican las amenazas existentes y vulnerabilidades, se identifican los controles existentes, las consecuencias potenciales y como resultado se prioriza el riesgo y se clasifica de acuerdo con los criterios de la evaluación del riesgo determinados en el contexto establecido. La valoración del riesgo se puede llevar a cabo en dos o más iteraciones. Para este proyecto no se podrá determinar si será necesario realizar más de una iteración debido a que no se llega a la implementación del diseño de Gestión de Riesgos en la Seguridad de la Información. 1.5.8.1. Análisis del Riesgo 47 1.5.8.1.1. Identificación del riesgo Con la identificación del riesgo se pueden llegar a determinar las causas de una pérdida potencial de información, teniendo en cuenta el funcionamiento de los servicios en la DTT, incluyendo la responsabilidad del personal. Identificación de los activos Se realiza considerando la lista de los activos indicando el funcionario que está a cargo de los mismos, ubicación y sus funciones, esto para poder determinar los alcances para la valoración del riesgo. Los activos que forman parte del sistema de información constan de más elementos que solo hardware o software, por ejemplo el factor humano, y toda la información acerca de estos activos debe ser específica y bien detallada para una buena valoración del riesgo. El propietario de un activo tiene la responsabilidad y rendición de cuentas del mismo, pero esto no significa que tenga derechos de propiedad sobre éste, pero sí tiene la responsabilidad de la producción, desarrollo, mantenimiento, uso y seguridad, según corresponda. Como salida se tendrá la documentación de los activos que serán sometidos a la gestión del riesgo. Identificación de las amenazas Mediante la información sobre las amenazas de los activos analizados, así como también de la revisión de usuarios y revisión de incidentes, se pueden identificar las amenazas y sus orígenes. Las amenazas pueden ser de origen natural o humano, accidentales o deliberadas y se pueden encontrar dentro o fuera de la organización. Se analizan todas las amenazas de acuerdo a su importancia y nivel de gravedad. Las amenazas pueden ser identificadas por los mismos funcionarios encargados de cada uno de los activos, personal de recursos humanos, administradores de las instalaciones, expertos en seguridad física, así como también otras organizaciones que incluyen organismos legales. Toda la información recopilada o que hace años se adquirió, será útil para hacer una nueva valoración y tener una mayor cantidad de argumentos. Lo que se 48 quiere dar es un cuadro con las diferentes amenazas que tenga la organización o que se tuvieron en algún momento, analizarlas y dar los criterios respectivos para formar este cuadro. Se dará como resultado un listado de amenazas con la identificación del tipo y el origen de la amenaza. Identificación de los controles existentes En esta sección se deben identificar los controles existentes y planificados, para lo que se debe recurrir a la documentación de los controles y planes para la implementación del tratamiento del riesgo. Con esto se evitan trabajo o costos innecesarios, por ejemplo, en duplicación de los controles. Mientras se identifican estos controles, se puede ir verificando que funcionan correctamente; si un control no funciona como se espera, puede causar vulnerabilidades. Para el actual funcionamiento de la DTT, no se ha realizado una documentación de controles existentes o planes para el tratamiento del riesgo en la seguridad de la información. El efecto de un control se puede ver en la manera en la que reduce la probabilidad de ocurrencia de la amenaza y la facilidad de explotar la vulnerabilidad, o el impacto del incidente. Un control existente se puede identificar como ineficaz, insuficiente o injustificado. Si es insuficiente o injustificado se debe revisar el control para determinar si se debe eliminar, reemplazar por otro más adecuado o si debe permanecer. En el caso de la DTT no se pueden determinar controles ineficaces, insuficientes o injustificados porque solamente se cuenta con lineamientos de seguridad mas no con controles como están definidos en la Norma 27002 [6]. Para determinar los controles existentes o planificados se puede: · Revisar documentos con información sobre los controles, que actualmente no existen en la DTT. · Verificar con las personas encargadas de la seguridad de la información (por ejemplo, el funcionario a cargo de la seguridad de la información) y los usuarios, para ver qué controles están realmente implementados. Esta recopilación de información se hará por medio de los funcionarios a cargo de los servicios de la DTT. 49 · Efectuar una revisión en el sitio de los controles físicos, comparando los controles implementados con la lista de controles que deberían estar implementados, y verificando que aquellos implementados funcionen correctamente y de manera eficaz. Para la DTT no se podrán determinar estos controles por lo explicado anteriormente. Se obtendrá una lista de todos los controles existentes y planificados, su estado de implementación y utilización; en el caso de la DTT no se obtendrán necesariamente controles, sino lineamientos de seguridad. Identificación de las vulnerabilidades Mediante una lista de amenazas conocidas, lista de los activos y los controles existentes, se deberían identificar las vulnerabilidades que pueden ser explotadas por las amenazas para causar daños a los activos o a la organización. Para el caso de la DTT, las vulnerabilidades serán identificadas mediante la recopilación de la información de los activos con los que cuenta la Dirección. Se pueden identificar vulnerabilidades en las siguientes áreas: · Organización · Procesos y procedimientos · Personal · Ambiente físico · Configuración del sistema de información · Hardware, software o equipos de comunicaciones · Dependencia de partes externas Una vulnerabilidad que no tiene una amenaza que la explote, puede que no requiera la implementación un control para la misma, pero si debe ser reconocida y monitoreada para determinar si existe algún cambio. Identificación de las consecuencias Como resultado de los pasos anteriores, se obtuvieron listas de las amenazas y vulnerabilidades con respecto a los activos. Por lo cual, en este punto se deben identificar las consecuencias que se tendrán en caso de perder confidencialidad, integridad y disponibilidad de los activos. Con esta actividad se 50 identifican los daños o consecuencias que se tendrían en la organización a causa de un escenario del incidente. Se define en la norma el escenario de incidente como: “la descripción de una amenaza que explota una vulnerabilidad o un conjunto de vulnerabilidades en un incidente de seguridad de la información”. Este impacto del incidente se determina considerando los criterios del impacto que se definieron en el establecimiento del contexto, y que puede afectar a uno o más activos o a una parte de un activo. En la Norma 27001 [5], el que se presente un escenario del incidente se conoce como “fallas de la seguridad”. Las organizaciones pueden identificar las consecuencias en función de: · Tiempo de investigación y reparación · Pérdida de tiempo (trabajo) · Salud y seguridad · Costo financiero de las habilidades específicas para reparar el daño · Imagen, reputación y buen nombre Al final se obtendrá una lista con los escenarios del incidente y las consecuencias relacionadas con los activos y los procesos del negocio. 1.5.8.1.2. Estimación del riesgo Metodologías para la estimación del riesgo Una buena estimación del riesgo dependerá de la criticidad de los activos, amplitud de las vulnerabilidades conocidas y los incidentes anteriores que implicaron a la organización. Esta metodología puede ser cualitativa o cuantitativa o una mezcla de las dos, dependiendo de las circunstancias analizadas. En la práctica generalmente se usa la estimación cualitativa, esto para obtener una indicación general del nivel del riesgo y revelar los riesgos más importantes. Pero no se puede dejar de lado el análisis del riesgo cuantitativo, éste se lo usará para un análisis más específico. Preferentemente se realiza un análisis cualitativo ya que es menos costoso que un cuantitativo. Este análisis debe ser consistente con todos los criterios de evaluación del riesgo. Se detallan la estimación cualitativa y cuantitativa: a) Estimación Cualitativa: utiliza una escala de atributos calificativos para descubrir la magnitud de las consecuencias potenciales (alta, 51 media y baja) y la probabilidad de que ocurran dichas consecuencias. Una ventaja de la estimación cualitativa es su facilidad de comprensión por parte de todo el personal pertinente, mientras que una desventaja es que la escala con la que se evalúa es bastante subjetiva. Estas escalas se pueden adaptar o ajustar para satisfacer las circunstancias y se pueden utilizar descripciones diferentes para riesgos diferentes. La estimación cualitativa se puede utilizar: o Como una actividad de evaluación inicial para identificar los riesgos que requieren un análisis más detallado o Cuando este tipo de análisis es adecuado para tomar decisiones b) Estimación Cuantitativa: utiliza una escala con valores numéricos, tanto para las consecuencias como para la probabilidad, utilizando datos provenientes de varias fuentes. La calidad del análisis depende de lo completo y exacto que sean los valores numéricos, y de la validez de los modelos utilizados. En la mayoría de los casos, la estimación cuantitativa utiliza datos históricos sobre incidentes, dando como ventaja que ésta pueda relacionarse directamente con los objetivos de seguridad de la información y los intereses de la organización. Una desventaja es la falta de tales datos sobre riesgos nuevos o debilidades en la seguridad de la información. El enfoque cuantitativo se puede presentar cuando no se dispone de datos basados en hechos que se puedan auditar, creando así una ilusión del valor y la exactitud de la valoración del riesgo. La forma en la cual se expresan las consecuencias y la probabilidad, y las formas en las cuales se combinan para proveer el nivel de riesgo, varían de acuerdo con el tipo de riesgo, y el propósito para el cual se va a utilizar la salida de la valoración del riesgo. La incertidumbre y la variabilidad tanto de las consecuencias como de la probabilidad deberían ser consideradas en el análisis y comunicarse de manera eficaz. Una metodología cuantitativa no es adecuada para la realidad de la DTT, porque no se cuenta con información de datos 52 históricos sobre riesgos que se hayan presentado en la Dirección, siendo más adecuada una metodología cualitativa. Valoración de las consecuencias Mediante una lista de todos los escenarios involucrados en el análisis, que incluyan la identificación de las amenazas, las vulnerabilidades, los activos afectados, las consecuencias para los activos y los procesos del negocio, se puede determinar cuál será el impacto para la organización de los posibles incidentes, analizando las consecuencias de la seguridad de la información. El valor del impacto del negocio se puede expresar de manera cualitativa y cuantitativa, pero cualquier método para asignar valor monetario, en general, puede suministrar más información para la toma de decisiones y, por tanto, facilitar un proceso más eficiente de toma de decisiones. El escenario puede afectar a más de un incidente y esto afectar a más de un activo, por tal razón, la valoración de los activos es muy importante dentro de la valoración del impacto. Las amenazas que se tengan pueden ser muy riesgosas, por ejemplo, se puede perder la confidencialidad, integridad o disponibilidad. Se obtendrá como resultado una lista de las consecuencias evaluadas de un incidente enfocado a los activos. Valoración de los incidentes Por medio de la identificación de las amenazas, los activos afectados, las vulnerabilidades explotadas, las consecuencias para los activos y la lista de controles existentes y planificados, se debe evaluar la probabilidad de los escenarios de cada incidente, que para el caso de la DTT se hará usando una metodología cualitativa. Se debe considerar la frecuencia con la que ocurren las amenazas y la facilidad con la que las vulnerabilidades pueden ser explotadas, considerando: · La experiencia que determinará la probabilidad de la amenaza · Si es una fuente de amenaza deliberada, así como qué tan vulnerables resulten los activos para un posible atacante · Si es una fuente de amenaza accidental, considerar por ejemplo factores geográficos, condiciones funcionamiento del equipo, etc. climáticas extremas, mal 53 · Vulnerabilidades · Controles existentes y qué tan eficaces son para reducir vulnerabilidades, para la DTT se considerarán los lineamientos de seguridad que esta Dirección plantea Dependiendo de la necesidad de exactitud, los activos se pueden agrupar o dividir en sus elementos, por ejemplo, un activo puede tener elementos en hardware y en software, y relacionar los escenarios con dichos elementos. Como resultado se tendrá la probabilidad de los escenarios del incidente de forma cualitativa. Nivel de estimación del riesgo Con la lista de consecuencias relacionadas a los activos y procesos del negocio, y su probabilidad (cualitativa en caso de la DTT) se procede a estimar el nivel de riesgo. La estimación del riesgo asigna valores a la probabilidad y consecuencias de un riesgo, valoradas cualitativamente; se puede considerar el beneficio de los costos, los intereses de las partes involucradas, etc. El riesgo estimado es la combinación de la probabilidad de un escenario de incidente y sus consecuencias. De este paso se obtiene una lista de los riesgos con niveles de valor asignado. 1.5.8.2. Evaluación del riesgo Con la lista de los riesgos con valores asignados y criterios para su evaluación, se puede hacer la comparación de los niveles del riesgo frente a sus criterios para evaluación y sus criterios de aceptación. Para la evaluación del riesgo, se deben comparar los riesgos estimados con los criterios de evaluación del riesgo que definidos en el Establecimiento del contexto (sección 1.5.7 de [2]); las decisiones que se tomen se basarán en los criterios de aceptación del riesgo. La agrupación de múltiples riesgos bajos o medios puede resultar en un riesgo global mucho más alto, y será necesario tratarlo según corresponda. Se debe considerar: · Si un criterio no es pertinente, entonces los riesgos que impacten a ese criterio pueden no ser pertinentes 54 · Si un proceso tiene importancia baja, los riesgos asociados a éste se considerarán más bajos que los riesgos que impacten actividades más importantes Las decisiones que se tomen para realizar acciones futuras sobre los riesgos deben considerar: · Si se debería realizar una actividad · La prioridad en el tratamiento del riesgo considerando sus valores estimados Al final se tendrá una lista de los riesgos con prioridad de acuerdo a los criterios de evaluación del riesgo. 1.5.9. TRATAMIENTO DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN Una vez que se tenga una lista de riesgos con su prioridad de acuerdo a los criterios de evaluación del riesgo, se deben seleccionar los controles que permitan reducir, retener, evitar o transferir los riesgos y definir un plan para el tratamiento de los mismos. Algunos controles pueden tratar eficazmente más de un riesgo, como por ejemplo la toma de conciencia sobre la seguridad de la información. Es conveniente definir un plan para el tratamiento del riesgo que identifique con claridad la prioridad con la que se deben implementar los tratamientos individuales. Si se considera la eliminación de controles redundantes o necesarios, es conveniente tener en cuenta la seguridad de la información y los factores de costo. Algunos controles pueden tener influencia entre sí, para esos casos la eliminación de los controles redundantes podría reducir la seguridad global establecida. Una vez que se ha definido un plan para el tratamiento de los riesgos en la seguridad de la información, se deben determinar los riesgos residuales, lo que implica una actualización o iteración de la Valoración del riesgo de la seguridad de la información (sección 1.5.8 de esta norma); si el riesgo residual aún no satisface los criterios de aceptación del riesgo, se debería realizar otra iteración del tratamiento del riesgo antes de pasar a la aceptación del riesgo; para este proyecto se determinó que no se llegarán a realizar iteraciones. 55 Para realizar el tratamiento de riesgos en la seguridad de la información, se tienen cuatro opciones disponibles, representadas en la Figura 1.15, a continuación se describen estas opciones: 1.5.9.1. Reducción del riesgo La reducción del riesgo se logra mediante la eficaz aplicación de los controles que lleven el riesgo residual a niveles aceptables, teniendo en cuenta los aspectos técnicos, ambientales y culturales, el costo y el tiempo invertido en la selección y mantenimiento de los mismos. Aplicando controles se tiene los siguientes tipos de protección: corrección, eliminación, prevención, minimización del impacto, disuasión, detección, recuperación, monitoreo y toma de conciencia; una vez aplicados los controles se debe tomar en cuenta el retorno de la inversión en términos de la reducción del riesgo y el potencial para explorar nuevas oportunidades. Para la aplicación de los controles se deben tomar en cuenta ciertas restricciones, como: · Restricciones de tiempo · Restricciones financieras · Restricciones técnicas · Restricciones operativas · Restricciones culturales · Restricciones éticas · Restricciones ambientales · Restricciones legales · Facilidad de uso · Restricciones de personal · Restricciones para la integración de controles nuevos y existentes Para el Capítulo 3 de este proyecto, en donde se realizará el tratamiento de los riesgos en la seguridad de la información presentes en la DTT, se tomarán en cuenta las restricciones que se puedan presentar para plantear los controles necesarios. 56 1.5.9.2. Retención del riesgo Dependiendo de la evaluación del riesgo, se puede tomar la decisión sobre la retención de riesgo. Si el nivel del riesgo satisface los niveles para su aceptación, no es necesario implementar controles adicionales y el riesgo se puede retener. 1.5.9.3. Evitación del riesgo Para la evitación de un riesgo en particular, se deben evadir las actividades o acciones que den origen al mismo, principalmente en los casos en los que el riesgo se considera muy alto o los costos para implementar otras opciones de tratamiento del riesgo exceden los beneficios. Figura 1.15. Actividad para el tratamiento del riesgo [2, p. 19] 1.5.9.4. Transferencia del riesgo Dependiendo de la evaluación del riesgo, se pueden transferir los mismos a otra parte que pueda gestionarlos de manera más eficaz, para lo cual previamente se debe considerar que los riesgos pueden ser compartidos con partes externas, y 57 además en el proceso de transferencia se pueden crear riesgos nuevos o modificar los riesgos existes, por lo cual puede ser necesario un tratamiento adicional para los mismos. Se puede realizar la transferencia del riesgo, en el caso de que un servicio de la DTT pase a formar parte de otra Dirección, en este caso, el manejo de la gestión del riesgo para ese servicio será transferido con sus controles y recomendaciones para minimizar el riesgo. 1.5.10. ACEPTACIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN Contando con el plan para el tratamiento del riesgo en la seguridad de la información, sujetos a la aceptación de los directores de la organización, se debe tomar la decisión de aceptar los riesgos y las responsabilidades de la decisión, y registrarla de manera formal. Los planes para el tratamiento del riesgo deben describir la forma en que los riesgos valorados se deben tratar, con el fin de cumplir con los criterios de aceptación del riesgo. Se pueden presentar casos en los que se acepten riesgos que no satisfacen los criterios de aceptación normales, por lo que, quienes toman la decisión deben comentar explícitamente los riesgos y la justificación para la decisión de hacer caso omiso a los criterios de aceptación normales. Debido a que la aceptación del riesgo la hace el Director o las autoridades pertinentes en la DTT, este proyecto llegará solamente al planteamiento de los controles para los riesgos que puedan presentarse, y es responsabilidad de la Dirección su aceptación e implementación. 1.5.11. COMUNICACIÓN DE LOS RIESGOS DE LA SEGURIDAD DE LA INFORMACIÓN La comunicación del riesgo es una actividad que busca lograr un acuerdo sobre la manera en la que se gestionan los riesgos en la seguridad de la información; la comunicación eficaz entre las parte involucradas es importante porque puede tener un impacto significativo en las decisiones que se deben tomar, además de asegurar que los responsables de la implementación de la gestión de 58 los riesgos comprenden las bases sobre las cuales se toman las decisiones y el por qué se requieren acciones particulares, la comunicación es bidireccional. Al contar con toda la información sobre los riesgos, obtenida de las actividades de gestión del riesgo, se debe proceder a intercambiar y/o compartir dicha información entre las personas encargadas de tomar la decisión y las partes involucradas. La comunicación del riesgo se debería realizar con el fin de: · Proporcionar seguridad del resultado de la gestión del riesgo · Recolectar información del riesgo · Compartir los resultados de la valoración del riesgo y presentar el plan para el tratamiento de los mismos · Brindar soporte para la toma de decisiones · Obtener conocimientos nuevos sobre la seguridad de la información · Coordinar con otras partes y planificar las respuestas para reducir las consecuencias de cualquier incidente · Dar a quienes toman las decisiones y a las partes involucradas un sentido de responsabilidad acerca de los riesgos · Mejorar la toma de conciencia La comunicación de los riesgos en la seguridad de la información, así como de su tratamiento, se realizará una vez que este proyecto llegue a su fase de tratamiento del riesgo en el Capítulo 3. Finalmente se busca lograr una comprensión continua del proceso y resultados de la gestión del riesgo de la seguridad de la información de la organización. 1.5.12. MONITOREO Y REVISIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN 1.5.12.1. Monitoreo y revisión de los factores del riesgo Una vez realizadas todas las actividades de la gestión del riesgo antes descritas, se pasará al monitoreo de los riesgos en la seguridad de la información. Los riesgos y sus factores (amenazas, vulnerabilidades, probabilidad de ocurrencia o consecuencias) pueden cambiar sin ninguna indicación, por lo que se deben monitorear constantemente para detectar estos cambios. Se debe garantizar el monitoreo continuo de los siguientes aspectos: 59 · Activos nuevos que se han incluido en el alcance de la gestión del riesgo · Nuevas amenazas que podrían estar activas tanto fuera como dentro de la organización y que no se han valorado · Probabilidad de que nuevas vulnerabilidades o vulnerabilidades existentes aumenten y que permitan que las amenazas exploten · El incremento en el impacto o las consecuencias de las amenazas evaluadas, las vulnerabilidades y riesgos en conjunto que dan como resultado un nivel inaceptable de riesgo · Incidentes de la seguridad de la información Las nuevas amenazas, vulnerabilidades o cambios en la probabilidad pueden incrementar el valor de riesgos inicialmente bajos; si los riesgos no están en la categoría de riesgo aceptable o bajo, se deben tratar mediante una de las opciones descritas en la sección Tratamiento del riesgo (sección 1.5.9) de esta norma [2]. 1.5.12.2. Monitoreo, revisión y mejora de la gestión del riesgo Las actividades de monitoreo del riesgo se deben repetir con regularidad y las opciones seleccionadas para el tratamiento del riesgo se deben revisar periódicamente. Con esto se conseguirá una alineación continua de la gestión de los riesgos en la seguridad de la información con los objetivos del negocio de la organización y con los criterios de aceptación del riesgo. Todas las mejoras acordadas o las acciones necesarias para mejorar, se deberían notificar a los directores correspondientes. La organización debe verificar regularmente que los criterios utilizados para medir el riesgo y sus elementos aún son válidos y consistentes con los objetivos, estrategias y políticas del negocio, y que los cambios en el contexto se toman en cuenta durante el proceso de gestión del riesgo de la seguridad de la información. Para llegar a la fase de monitoreo de los riesgos en la DTT, se debe haber cumplido con la aceptación del riesgo, pero para el caso de este proyecto solamente se llegará al planteamiento del tratamiento de los riesgos, por lo que dependerá de la Dirección su aceptación y posterior monitoreo. 60 1.6. COMPARACIÓN DE LA NORMA NTE INEN-ISO/IEC 27005:2012 CON OTRAS NORMAS 1.6.1. PUBLICACIÓN ESPECIAL DEL NIST 800-160 (BORRADOR PÚBLICO INICIAL), INGENIERÍA DE SISTEMAS DE SEGURIDAD, UN ENFOQUE INTEGRADO A LA CONSTRUCCIÓN DE SISTEMAS DE CONFIANZA RESISTENTES, DE MAYO 2014. Esta publicación especial del NIST es una iniciativa para definir procesos de ingeniería para sistemas de seguridad que tomen acciones necesarias para desarrollar infraestructuras de tecnología de la información (TI) que sean más defensivas y supervivientes. Se basa en un conjunto de normas internacionales bien establecidas, de organismos internacionales como ISO, IEC, IEEE, que conducen a técnicas, métodos y prácticas de ingeniería de sistemas de seguridad. El objetivo de esta publicación es resolver los problemas de seguridad que surjan de las necesidades de seguridad y protección de los usuarios, y que se establezcan procesos organizacionales que aseguren que estos requerimientos se traten durante el ciclo de vida del sistema. Dentro de esta publicación se describe lo que trata la ingeniería de sistemas de seguridad, mostrado en la Figura 1.16. Se puede observar que uno de los procesos en el ciclo de vida de la ingeniería en sistemas de seguridad es la Administración de Riesgos en la Seguridad de la información; pero las actividades relacionadas a los procesos de ingeniería de sistemas de seguridad son solo una parte de lo que constituye la gestión de riesgos. En lo referente a gestión del riesgo en la seguridad de la información, trabaja sobre temas como: · Evaluaciones de las pérdidas de activos · Evaluación de amenazas · Evaluación de vulnerabilidades · Evaluación de riesgos · Priorización y tolerancia de riesgos · Tratamiento y respuesta a riesgos 61 Se puede describir la Gestión del Riesgo como una actividad integral que se lleva a cabo para toda la empresa, y que conduce al riesgo desde el nivel estratégico hasta el nivel táctico, para asegurar que la toma de decisiones basada en el riesgo sea eficaz y esté integrada en todos los aspectos del ciclo de vida del sistema. Según esta publicación, la respuesta a un riesgo de seguridad identificado implica la necesidad de tomar cualquiera de las siguientes acciones de tratamiento de riesgos: · Evitar el riesgo · Aceptación del riesgo · Mitigación de riesgos · Compartir / transferir el riesgo Figura 1.16. Principales contribuciones de la Ingeniería de Sistemas de Seguridad [7, p. 7] La publicación hace una descripción de un conjunto de procesos para la ingeniería de sistemas de seguridad, alineados con el Estándar Internacional ISO/IEC 15288 (Sistemas y la ingeniería de software - Procesos del ciclo de vida del sistema); estos conjuntos de procesos son: 62 · Proceso de análisis de los requisitos, donde se transforman los requerimientos desde el punto de vista del servicio deseado en una vista técnica de un producto requerido que pueda entregar esos servicios. · Proceso de diseño arquitectónico, cuyo objetivo es sintetizar una solución que satisfaga los requisitos del sistema; identifica y explora una o más estrategias de implementación a un nivel de detalle coherente con los requisitos y riesgos técnicos y comerciales del sistema. · Proceso de implementación, en donde se obtiene un elemento del sistema especificado, este proceso transforma el comportamiento específico, las interfaces y las limitaciones de aplicación en acciones de fabricación que crean un elemento del sistema de acuerdo con las prácticas de la tecnología de aplicación seleccionada. · Proceso de integración, con el propósito de armar un sistema consistente con el diseño arquitectónico; este proceso combina los elementos del sistema para formar configuraciones completas o parciales del sistema con el fin de crear un producto especificado en los requisitos del sistema. · Proceso de verificación, que busca confirmar que los requisitos de diseño especificados se cumplen por el sistema, este proceso proporciona la información necesaria para corregir las no conformidades en el sistema realizado o los procesos que actúan sobre ella. · Proceso de transición, que establece la capacidad para proporcionar los servicios especificados por los requisitos de las partes interesadas en el entorno operacional, este proceso se utiliza en cada nivel en la estructura del sistema y en cada etapa para completar los criterios establecidos para salir de la etapa. · Proceso de operación, con el objetivo de utilizar el sistema para brindar sus servicios; se asigna el personal para operar el sistema, y supervisa los servicios y el rendimiento del operador del sistema. 63 · Proceso de mantenimiento, con el propósito de mantener la capacidad del sistema para proporcionar un servicio; este proceso controla la capacidad del sistema para prestar servicios, registra problemas para el análisis, toma acciones correctivas, adaptativas, perfectivo y preventivas y confirma la capacidad restaurada. · Proceso de eliminación, con el objetivo de poner fin a la existencia de una entidad del sistema; este proceso desactiva, desmonta, y elimina el sistema y todos los productos de desecho, enviándolo a una condición final y devolviendo el medio ambiente a su condición original o aceptable. Esta norma plantea cómo se debe desarrollar un sistema seguro desde su fase inicial, mediante los procesos que se describen para la ingeniería de sistemas de seguridad, y se diferencia de la Norma 27005 [2] porque esta norma permite ser aplicada en cualquier momento que se considere necesaria la gestión del riesgo. 1.6.2. IEC 31010:2009 - TÉCNICAS DE EVALUACIÓN DE RIESGOS GESTIÓN DEL RIESGO IEC 31010:2009 es una norma de soporte para la norma ISO 31000 y proporciona orientación sobre la selección y la aplicación de técnicas sistemáticas para la evaluación de riesgos. Es una Norma Internacional publicada el año 2009 (2009-12-01). Esta norma no está diseñada para la certificación, uso regulatorio o contractual; este estándar es una recopilación de buenas prácticas en el ámbito de selección y utilización de técnicas para la evaluación de riesgos. Este estándar considera, al igual que la norma ISO 27005, que los riesgos deben ser tratados de modo que sean reducidos hasta un nivel aceptable. Además, se explica que el contenido del estándar es de naturaleza general, es decir, se puede usar como guía en muchas industrias y tipos de sistemas. Se pueden utilizar estándares más específicos con adecuadas metodologías y niveles de gestión de las aplicaciones para cada industria, la evaluación del riesgo realizada de conformidad con esta norma contribuye a otras actividades de gestión de riesgos. En [8, p. 7], disponible en el sitio web oficial de la ISO, se puede observar una nota relacionada a esta aclaración: “NOTA: Esta norma no se ocupa específicamente de la seguridad. Se trata de una norma de gestión de riesgos genéricos y las referencias a la seguridad 64 son puramente de carácter informativo. Orientación sobre la introducción de los aspectos de seguridad en las normas IEC se establece en la Guía ISO / IEC 51”. En este punto es donde radica la diferencia con la norma ISO 27005, puesto que la norma ISO 27005 trata específicamente los aspectos de seguridad de la información, y aún más específico la gestión de riesgos en la seguridad de la información. La estructura del estándar IEC/FDIS 31010:2009 se presenta a continuación. 1.6.2.1. Conceptos de gestión de riesgos 1.6.2.1.1. Propósito y beneficios El propósito de la evaluación de riesgos es proporcionar información basada en la evidencia y el análisis para tomar decisiones sobre cómo tratar a los riesgos particulares y seleccionar entre las opciones. 1.6.2.1.2. La evaluación de riesgos y el marco de gestión de riesgos Un marco de gestión del riesgo que proporciona las políticas, los procedimientos y las disposiciones organizativas que integran la gestión de riesgos en toda la organización a todos los niveles. Como parte de este marco, la organización debe tener una política o estrategia para decidir cuándo y cómo los riesgos deben ser evaluados. 1.6.2.1.3. La evaluación de riesgos y el proceso de gestión de riesgos La evaluación de riesgos no es una actividad aislada y debe estar plenamente integrada en los otros componentes en el proceso de gestión de riesgos. Este punto se divide en: · Comunicación y consulta · Establecimiento del contexto · Evaluación de riesgo · Tratamiento del riesgo · Monitoreo y revisión 65 1.6.2.2. Proceso de evaluación de riesgos La evaluación de riesgos proporciona una base para las decisiones sobre el enfoque más adecuado para ser utilizado en el tratamiento de los riesgos, este punto se divide en: · Identificación de riesgos: es el proceso de encontrar, reconocer y registrar riesgos. · Análisis de riesgos: consiste en determinar las consecuencias y las probabilidades de los eventos de riesgo identificados, teniendo en cuenta la presencia (o no) y la efectividad de los controles existentes; las consecuencias y sus probabilidades se combinan entonces para determinar un nivel de riesgo. En esta etapa se debe: o Evaluar los controles o Analizar las consecuencias o Analizar y estimar la probabilidad o Obtener un análisis preliminar o Determinar incertidumbres y sensibilidades · Evaluación del riesgo: Se utiliza la comprensión del riesgo obtenida durante el análisis de riesgos para tomar decisiones sobre acciones futuras. Consideraciones éticas, legales, financieras y otros influyen en la decisión. · Documentación: El proceso de evaluación de riesgos debe documentarse junto con los resultados de la evaluación. Los riesgos deben ser expresadas en términos comprensibles, y las unidades en que se expresa el nivel de riesgo deben ser claras. · Seguimiento y revisión de la evaluación de riesgos: Se deben identificar y recoger los datos que se deben supervisar para afinar la evaluación del riesgo. · Aplicación de la evaluación de riesgos en las fases del ciclo de vida de la información: La evaluación de riesgos se puede aplicar en todas las etapas del ciclo de vida de la información y se aplica muchas veces con diferentes niveles de detalle para ayudar en las decisiones que se deben tomar en cada fase. 66 1.6.2.3. Selección de técnicas de evaluación de riesgos: · Selección de técnicas: La forma de evaluación y su resultado deben ser coherentes con los criterios de riesgo desarrollados como parte del establecimiento del contexto. · Disponibilidad de recursos: Se puede afectar por la experiencia del equipo de evaluación del riesgo, restricciones de tiempo u otros recursos, etc. · La naturaleza y el grado de incertidumbre: La incertidumbre también puede ser inherente en el contexto externo e interno de la organización. Los datos disponibles no siempre proporcionan una base fiable para la predicción del futuro. · Complejidad: La comprensión de la complejidad de un riesgo simple o de un conjunto de riesgos de una organización es fundamental para la selección del método o técnica para la evaluación de riesgos adecuada. · Aplicación de la evaluación de riesgos en las fases del ciclo de vida de la información: Cuando hay varias opciones disponibles, la evaluación de riesgos se puede utilizar para evaluar conceptos alternativos para ayudar a decidir cuál ofrece el mejor equilibrio de riesgos. · Tipos de técnicas de evaluación de riesgos: se pueden clasificar de varias maneras para ayudar en la comprensión de sus fortalezas y debilidades relativas. Este estándar cuenta con anexos que orientan en su aplicabilidad para ciertas situaciones. 1.6.3. NORMAS RELACIONADAS AL ÁMBITO FINANCIERO 1.6.3.1. BASILEA II Estándar internacional que sirve de referencia para los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios para asegurar la protección de las entidades frente a los riesgos financieros y operativos. Tiene como objetivo propiciar la convergencia regulatoria hacia estándares más 67 avanzados sobre medición y gestión de los principales riesgos en la industria bancaria [9]. 1.6.3.2. PCI DSS Impulsada por las principales marcas de tarjetas de pago, este estándar busca garantizar la seguridad de los datos de titulares de tarjetas de pago en su procesamiento, almacenamiento y transmisión. El PCI Security Standards Council ofrece normas sólidas e integrales y materiales de apoyo para mejorar la seguridad de los datos de tarjetas de pago. La parte fundamental es el Estándar de Seguridad de Datos PCI (PCI DSS), que proporciona un marco de acciones concretas para el desarrollo de un proceso de seguridad de datos de tarjetas de pago robusta, incluyendo la prevención, detección y reacción adecuada a los incidentes de seguridad de la información. Para los proveedores de dispositivos y fabricantes, se planifica el uso de un número de identificación personal (PIN) de terminales. Para ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago seguras, se planea mantener la aplicación de pago Data Security Standard (PA-DSS) y una lista de aplicaciones de pago validadas [10]. A continuación se muestra una tabla comparativa de las normas descritas anteriormente con la Norma 27005 [2]. Tabla 1.2. Comparación de la NTE INEN-ISO/IEC 27005:2012 con otras normas NTE INEN-ISO/IEC 27005:2012 NORMAS Semejanzas La respuesta a un riesgo de seguridad identificado implica la necesidad de tomar cualquiera de las siguientes acciones de NIST 800-160 tratamiento de riesgos: · Evitar el riesgo · Aceptación del riesgo · Mitigación de riesgos · Compartir / transferir el riesgo Diferencias Esta norma plantea cómo se debe desarrollar un sistema seguro desde su fase inicial, mediante los procesos que se describen para la ingeniería de sistemas de seguridad, diferenciándose de la norma NTE INEN-ISO/IEC 27005:2012 porque ésta permite ser aplicada en cualquier momento que se considere necesaria la gestión del riesgo. 68 NTE INEN-ISO/IEC 27005:2012 NORMAS Semejanzas Este estándar considera que los riesgos deben ser tratados de modo que sean reducidos hasta un nivel aceptable. El contenido de este estándar es de naturaleza general, es decir, se puede usar como guía en muchas IEC 31010:2009 industrias y tipos de sistemas. Se pueden utilizar otros estándares más específicos con metodologías adecuadas y niveles de gestión de las aplicaciones para cada industria, la evaluación del riesgo realizada de conformidad con esta norma contribuye a otras actividades de gestión de riesgos. Diferencias “Esta norma no se ocupa específicamente de la seguridad. Se trata de una norma de gestión de riesgos genéricos y las referencias a la seguridad son puramente de carácter informativo. Orientación sobre la introducción de los aspectos de seguridad en las normas IEC se establece en la Guía ISO / IEC 51”. La norma NTE INEN-ISO/IEC 27005:2012 trata específicamente los aspectos de seguridad de la información, y aún más específico la gestión de riesgos en la seguridad de la información. Es importante aclarar que esta norma no es certificable en comparación con la norma NTE INENISO/IEC 27001:2011. Transferencia de información de los clientes de forma segura, para cajeros automáticos en la parte financiera. Garantizar la seguridad de los datos de Al igual que la norma NTE INEN- titulares de tarjetas de pago en su ISO/IEC 27005:2012, estas normas procesamiento, almacenamiento y financieras buscan restar riesgos en transmisión Otras Normas la seguridad de la información, para Financieras lo cual se plantean diferentes Para los proveedores de dispositivos y métodos o reglas para minimizar los fabricantes, se planifica el uso de un riesgos que puedan presentarse en número de identificación personal (PIN) el ámbito financiero. de terminales. Para ayudar a los proveedores de software y otros a desarrollar aplicaciones de pago seguras, se planea mantener la aplicación de pago Data Security Standard (DSS). 69 2.CAPÍTULO 2 ANÁLISIS DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN EN LA DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES (DTT) 2.1. INTRODUCCIÓN Este capítulo está dividido en dos grandes temas, la primera es la Descripción de la Infraestructura Tecnológica de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT), donde se hace la recopilación de toda la información perteneciente a la DTT, organizada de acuerdo a lo descrito en el Anexo A: Definición del alcance y los límites del proceso de gestión del riesgo de la seguridad de la información de la Norma 27005 [2], empleando las secciones A.1 Estudio de la organización, A.2 Listado de las restricciones que afectan a la organización, A.3 Listado de las referencias legislativas y reglamentarias que se aplican a la organización. Con la información que se detalla en la primera parte del capítulo, se elabora la segunda parte del mismo, que consiste en el Análisis de Riesgos en la Seguridad de la Información de la Infraestructura Tecnológica de la DTT, el cual se hace en base a las secciones 7.1 Consideraciones Generales, 7.2 Criterios básicos, 7.3 Alcance y límites y 7.4 Organización para la Gestión del Riesgo en la Seguridad de la Información, de la sección 7: Establecimiento del contexto, de la Norma 27005 [2]. La parte final de este capítulo contiene la valoración de los riesgos en la seguridad de la información de acuerdo a la sección 8: Valoración del riesgo en la seguridad de la información de la Norma 27005 [2], con sus secciones 8.1 Descripción general de la valoración del riesgo en la seguridad de la información, 8.2 Análisis del riesgo y sección 8.3 Evaluación del riesgo. Con lo cual se podrá plantear el tratamiento a los riesgos en la seguridad de la información, que es el 70 objetivo del capítulo 3. Las secciones de la Norma 27005 [2] utilizadas para el desarrollo de este capítulo se describen en la Figura 2.1. Figura 2.1. Secciones utilizadas de la Norma NTE INEN-ISO/IEC 27005:2012 71 2.2. DESCRIPCIÓN DE TECNOLÓGICA DE DESARROLLO LA INFRAESTRUCTURA LA DIRECCIÓN NACIONAL DE TECNOLÓGICO EN TELECOMUNICACIONES (DTT) 2.2.1. ESTUDIO DE LA ORGANIZACIÓN 2.2.1.1. Evaluar a la organización La DTT trabaja en base a cuatro ejes fundamentales: soporte informático a funcionarios, desarrollo de software para la Institución, infraestructura de la red y gestión de proyectos; ya que esta dirección es un punto de contacto con todas las direcciones. Los diferentes ejes se describen a continuación: · Soporte informático a funcionarios: consiste en solucionar problemas tanto de hardware como de software en las diferentes áreas de trabajo de los funcionarios de la SUPERTEL. · Desarrollo de aplicaciones para la Institución: Su finalidad es crear productos, para lo cual varios funcionarios de la DTT realizan el desarrollo de software dependiendo de los proyectos planificados previamente, que serán utilizados por las diferentes direcciones de la SUPERTEL. · Infraestructura de la red: Administración, gestión, mantenimiento total de la red (telefonía, seguridad perimetral y administración de equipos de conectividad y de servidores), además de la administración de las cuentas de usuarios. · Gestión de proyectos: es la parte táctica de la dirección, es decir el manejo del plan de trabajo, donde se verifica el cumplimiento de los proyectos de la DTT; además se maneja la parte presupuestaria (presupuestos, proyectos asignados, elaboración de pliegos, elaboración o terminación de contratos). La DTT gestiona los recursos que otras direcciones necesiten para el cumplimiento de sus proyectos, mas no 72 ejecuta dichos proyectos. La Dirección Nacional de Planificación es la encargada de verificar el cumplimiento de todas las metas. Esta Dirección es el punto donde se concentra y se somete a automatización la información de la red de la SUPERTEL, encargándose también del soporte informático para los funcionarios de toda la Institución, y además se desarrollan y administran varios aplicativos que intercambian información con empresas externas y con dependencias internas de la SUPERTEL; es decir que la cobertura de los servicios de DTT es transversal, envolviendo a toda función y gestión de la institución que comprende desde los accesos del personal hasta la gestión de información confidencial de las máximas autoridades. 2.2.1.2. Propósito principal de la organización 2.2.1.2.1. Su Negocio Este elemento característico permite alcanzar las misiones de la DTT, esto basándose en las técnicas y conocimientos de sus funcionarios, dentro de la industria, leyes y normativas en el ámbito de las comunicaciones en el cual se desenvuelve la SUPERTEL. El negocio de la DTT está determinado por los diferentes procesos que debe desempeñar esta dirección para cumplir con sus objetivos determinados en el Estatuto Orgánico de Procesos y en el Plan Operativo Anual, por lo que se puede decir que la primera parte del negocio de la DTT es hacer que se cumpla el ciclo de vida de la información. El manejo de la información pasa necesariamente por esta Dirección para su administración y bajo demanda de las direcciones que conforman la SUPERTEL para que se realicen los procesos correspondientes, haciendo que la seguridad de la información sea un aspecto importante a considerar en las actividades que realiza la DTT. Una siguiente parte del negocio de la DTT es cumplir con un proceso de versionamiento de las aplicaciones que tiene a su cargo, lo que permite que la Dirección controle las aplicaciones que están en producción (es decir, aplicaciones que ya están en funcionamiento), tanto en su configuración, como el lugar donde se almacena la información que generan; y relacionado con esta parte del negocio también se tiene el proceso de puesta en producción de un sistema 73 (implementación de un nuevo sistema), para lo cual la DTT interviene en la provisión de todos los recursos técnicos que necesite cualquier sistema que ésta u otras direcciones de la SUPERTEL quiera poner en funcionamiento. Finalmente el negocio de la DTT también incluye brindar el soporte informático necesario para el correcto desempeño de las funciones de la SUPERTEL. 2.2.1.2.2. Su Misión La misión de la DTT es: “Desarrollar servicios tecnológicos en telecomunicaciones para los clientes externos y usuarios internos, implementar infraestructura tecnológica para la operación de los procesos y gestionar los recursos y servicios tecnológicos en el marco de los estándares de la industria, leyes y normativa” [11, p. 43]. 2.2.1.2.3. Sus Valores Los valores que se aplican en la dirección son los mismos definidos para toda la SUPERTEL [12]: · “PROACTIVIDAD: Asumimos el pleno control de nuestro comportamiento de modo dinámico e innovador, adelantándonos a la toma de iniciativas en el desarrollo de acciones creativas y audaces para generar mejoras, incluso sobre las circunstancias adversas”. · “EXCELENCIA: Buscamos satisfacer con los más altos estándares de efectividad y calidad a todos los usuarios internos y externos, el éxito se medirá en función de los resultados que se alcance”. · “INTEGRIDAD: Somos honestos y transparentes en nuestra actuación pública y privada con sujeción a las normas morales y legales. Vivimos la integridad en la forma en que tratamos a nuestros usuarios y compañeros, y en las decisiones que tomamos día tras día”. · “COMPROMISO: Actuamos con lealtad y solidaridad, más allá de cumplir con una obligación, aplicando nuestras capacidades para sacar adelante todo aquello que se nos ha confiado”. · “RESPETO: Aceptamos tal y como son las personas, confiando que es una habilidad esencial para vivir de manera satisfactoria y llena de significado para desenvolvernos armónicamente en la sociedad, 74 valorando a los demás y a nosotros mismos, brindando un trato cordial y amistoso”. · “LIDERAZGO: Creamos una visión capaz de guiar y hacer que nosotros contribuyamos en la consecución de los resultados de la organización en busca del bien común”. 2.2.1.2.4. Políticas generales Las políticas descritas en [13, p. 2] son aplicables a toda la Institución: · “Estructurar y organizar la Superintendencia de Telecomunicaciones sobre la base de los principios de la Calidad Total”. · “Reconocer al talento humano, estimular la creatividad individual y colectiva, y promover un ambiente de cooperación en el trabajo”. · “Optimizar la utilización de los recursos económicos y materiales que dispone este Organismo, respetando el ambiente”. · “Mantener niveles adecuados de comunicación e información al interior y exterior del Organismo”. 2.2.1.2.5. Enfoque global de la DTT hacia la gestión del riesgo La DTT sabe que la Gestión de Riesgos en la Seguridad de la Información será una referencia para el mejor uso de los recursos con los que cuenta, entre ellos de la información. Además, se logrará que las personas creen conciencia de que se pueden generar Riesgos en la Seguridad de la Información por más pequeño que sea el proceso que la genera. 2.2.1.2.6. Expectativas de las partes interesadas Se espera que el sistema desarrollado en este proyecto especifique claramente los pasos a seguir para el tratamiento de los Riesgos en la Seguridad de la Información. Además, se desea que el tratamiento de los riesgos se haga de acuerdo a las diferentes áreas funcionales de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones, buscando minimizar los riesgos en la Seguridad de la información de cada servicio. 75 2.2.1.2.7. Entorno socio-cultural La DTT está formada por profesionales capacitados de tercer y cuarto nivel académico, para cumplir satisfactoriamente las diferentes funciones de la Dirección, y que comprenden que se debe establecer una cultura empresarial, en la que se le da la importancia debida a la información como un activo del cual son directamente responsables todos los miembros de la SUPERTEL. 2.2.1.2.8. Estructura de la Organización La SUPERTEL está formada por: procesos estratégicos, procesos de desarrollo institucional y del conocimiento, procesos técnicos de telecomunicaciones y por procesos desconcentrados. Dentro de procesos técnicos de telecomunicaciones, se encuentran la Intendencia Nacional Técnica de Control y la Intendencia Nacional Jurídica, y contenida dentro de la Intendencia Nacional Técnica de Control se encuentra la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones, como se muestra en la Figura 2.2. La DTT funciona en el Edificio Matriz de la SUPERTEL, ubicado en la Av. 9 de Octubre N27-75 y Berlín (Edificio Olimpo), en la ciudad de Quito, mostrado en el mapa de la Figura 2.3. Los procesos mencionados anteriormente son organizados por áreas llamadas Direcciones, que desempeñan todas las funciones de control de las telecomunicaciones. Cada Dirección cuenta con su respectivo director, que busca el cumplimiento de las decisiones estratégicas, administrativas y operativas. La Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT) está estructurada en forma funcional, en donde se diferencian los siguientes niveles: · Nivel de toma de decisiones: representado por el Director Nacional de Desarrollo Tecnológico en Telecomunicaciones · Nivel de liderazgo: representado por el Coordinador General de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones · Nivel Operativo: los diferentes funcionarios de la DTT La DTT internamente está estructurada funcionalmente porque trabaja en base a cuatro ejes fundamentales: soporte informático a funcionarios, desarrollo de software para la Institución, infraestructura de la red y gestión de proyectos. 76 Figura 2.2. Estructura Organizacional de la Superintendencia de Telecomunicaciones Figura 2.3. Ubicación geográfica de la SUPERTEL (DTT) Con la finalidad de que se tenga seguridad de la información en el desempeño de las diferentes funciones de la DTT, donde se implementen todos los 77 mecanismos de seguridad: confidencialidad, autenticación, control de acceso, disponibilidad, integridad, verificación de la información, se define como Administración en la DTT a las funciones que permiten organizar, proporcionar y distribuir los servicios de acuerdo al área en la que estén asignados cada uno de sus funcionarios. Dentro de la DTT se tienen administradores en diferentes áreas: · Administrador de red: es el encargado de monitorear la conectividad entre el edificio matriz y las Intendencias y Delegaciones, y realizar diferentes configuraciones en caso de ser necesarias. · Administrador de servidores: se encarga de la asignación de los recursos de los servidores, tanto físicos como virtualizados, para las diferentes necesidades. · Administrador de la plataforma DOMINO: es el encargado de la aplicación Lotus Notes, que contiene otras aplicaciones como Correo Interno, Sistema de Control Documental, Sistema de Help Desk y Sistema de Viáticos, siendo indispensable para todos los funcionarios de la SUPERTEL. · Administrador de bases de datos: se encarga de monitorear la información que se encuentra en los servidores de bases de datos, verificando el correcto almacenamiento de la misma. · Administrador de aplicación: es la persona encargada de administrar el módulo de la aplicación que se ha desarrollado. · Administrador de licencias y soporte de programas: administra la adquisición de nuevas licencias de software que se adquiera y su mantenimiento. 2.2.1.2.9. Listado de las Restricciones que afectan a la DTT Restricción de naturaleza estratégica La DTT está obligada a cumplir con los objetivos estratégicos que se ha planteado como Dirección, y que constan en el Plan Estratégico Anual de la SUPERTEL, por lo que las actividades que se programen pueden producir situaciones que generen Riesgos para la Seguridad de la Información, pero que deben llevarse a cabo para un desempeño eficaz de la Institución. 78 Restricciones territoriales La SUPERTEL tiene varias Intendencias y Delegaciones distribuidas por todo en territorio nacional, que le permite llevar a cabo sus funciones de control de telecomunicaciones; considerando que la DTT se encarga de la administración de la red de la SUPERTEL y que todas las comunicaciones se centralizan en el Centro de Cómputo del Edificio Matriz, por esto se busca que la red siempre esté activa y que la comunicación con todas las delegaciones sea permanente. Restricciones funcionales Se mantienen enlaces permanentes con otras entidades del sector, tanto públicas como privadas, que envían información constantemente para diferentes servicios que están a cargo de la DTT, y esta conexión con empresas externas debe siempre estar monitoreada. No se tiene establecido un procedimiento que defina la documentación que debe generarse en el desarrollo de un sistema dentro de la Dirección, lo que, en el caso de que un funcionario deje la Dirección, puede truncar la continuidad de los procesos o proyectos, contando también con la falta de capacitación para la consecución de objetivos. Restricciones relacionadas con el personal La DTT tiene algunos profesionales que trabajan bajo un contrato de máximo 2 años de duración, y que no puede ser renovado hasta después de que haya transcurrido un año, por lo que se puede perder mucha información sobre los servicios o responsabilidades si ésta no es correctamente documentada por los funcionarios. En el procedimiento para el manejo de usuarios, cuando un funcionario de la institución ingresa o sale de la misma, no se tiene definido el modo en que la persona que sale de la institución debe entregar la información que generó durante todo el tiempo que perteneció a la institución, por lo cual mucha información se pierde y disminuye la eficiencia en las tareas. No se tienen definidas políticas ni procedimientos para manejo de claves de usuario. Restricciones de presupuesto La DTT se rige a un presupuesto determinado para la Dirección y en general al presupuesto que se designe para la SUPERTEL por parte del Estado, por lo que 79 este tipo de restricciones dependen de la aprobación de las autoridades hacia los diferentes proyectos que plantee la DTT. 2.2.1.2.10. Listado de las referencias legislativas y reglamentarias que se aplican a la organización Al ser la Telecomunicaciones Dirección parte Nacional de importante de Desarrollo la Tecnológico Superintendencia en de Telecomunicaciones, se rige a las leyes relacionadas con el sector de la Telecomunicaciones, además de las leyes del sector público, puesto que es una entidad pública. Trabaja de acuerdo a las siguientes leyes y reglamentos: · Constitución de la República · Ley Orgánica de Telecomunicaciones Si bien se tienen reglamentos que definen qué información se considera de dominio público, los mismos no han sido difundidos entre los funcionarios de la SUPERTEL, lo cual podría generar un mal manejo de la información. 2.2.1.2.11. Políticas de seguridad de la Información Las políticas de seguridad de la información se consideran a las reglas o lineamientos que deben ser cumplidos en los diferentes aspectos de manejo de la seguridad de la información. Una política tiene los siguientes componentes: descripción de la política, implementación, sanción y además existe un responsable de hacer cumplir la misma. La comunicación de las políticas relacionadas a las tecnologías de la información es obligatorio para los funcionarios, servidores y trabajadores de la SUPERTEL, así como pasantes, proveedores y en general toda persona a quien le hayan sido asignada las siguientes herramientas: · Cuenta de correo electrónico institucional · Equipo informático · Autorización para el manejo de cualquier tipo de información institucional de acceso público o confidencial · Permiso de uso del servicio de Internet en una estación de trabajo, computador portátil, o dispositivo móvil institucional 80 · Acceso a la red inalámbrica en su equipo de trabajo, dispositivo móvil como Smartphones o Tablets, así como también a las personas ajenas a la institución que hacen uso de la red inalámbrica · Certificado digital de firma electrónica emitido por el Banco Central del Ecuador Si bien se establecieron lineamientos de seguridad, que posteriormente serán implementados en el funcionamiento de la institución, se considerarán los relacionados a las herramientas descritas anteriormente para el análisis de los controles en la seguridad de la información a aplicarse. 2.2.1.3. DESCRIPCIÓN DE LA INFRAESTRUCTURA DEL CENTRO DE CÓMPUTO 2.2.1.3.1. Descripción del sistema arquitectónico del Centro de Cómputo Al ser la DTT el punto de concentración de servicios brindados a las demás direcciones de la SUPERTEL, se describen algunos sistemas con los que cuenta el edificio matriz, que permite realizar las funciones, no solo de esta Dirección, sino de todas las ubicadas en dicho edificio. El Centro de Cómputo principal de la SUPERTEL se encuentra ubicado en el 6to piso del edificio matriz, porque se determinó que era el lugar óptimo para la distribución del cableado estructurado. El Centro de Cómputo tiene un área de 24m2 aproximadamente, cuenta con toda la señalética de seguridad, sistema contra incendios, sistema de aire acondicionado, iluminación adecuada, y un área para los UPS de aproximadamente 7m2. En la Figura 2.4 se muestra el diagrama topológico del Centro de Cómputo. 2.2.1.3.2. Descripción del Sistema de Telecomunicaciones del Centro de Cómputo Descripción de equipos de comunicaciones En el Centro de Cómputo se cuenta con 8 racks en donde se encuentran diferentes equipos de conectividad; a continuación se describirán los principales equipos que conforman la red de la SUPERTEL de acuerdo a la Figura 2.5: Figura 2.4. Plano Topológico del Centro de Cómputo en el Edificio Matriz SUPERTEL 81 82 2 Routers (Cisco 3800): Proporcionan la conexión hacia los switches de core y la conexión con los firewalls, que a su vez se conectan con el proveedor de servicios de Internet, en ambos routers se tiene enlaces redundantes. Además, se conectan a estos equipos las demás Intendencias y Delegaciones de la SUPERTEL por medio de enlaces WAN. 2 Switches de core: Se tienen dos Switches de Core, los dos se encuentran activos y son redundantes entre ellos; éstos se encuentran conectados a los routers y a los firewalls internos. Proporcionan conectividad para los equipos en la capa de acceso, permitiéndoles acceder al servicio de Internet por medio de los routers, y a la información almacenada en los servidores atravesando los firewalls internos. 4 Firewalls: Se tienen 2 firewalls internos (ASA Cisco 5580) conectados a los servidores y 2 externos (Cisco 5520) conectados a los equipos proveedores de Internet, ya que se tiene conexión redundante hacia el proveedor del servicio de Internet . La función de estos equipos, en el caso de los firewalls internos, es la protección de los servidores, creando un filtro de seguridad que no atente con la información recaudada en los mismos. Los firewalls externos proveen la salida a Internet, además se tiene una conexión hacia empresas externas que trabajan con la SUPERTEL para brindar algún servicio. 1 Wireless LAN Controller – WLC: Administrar de forma centralizada todos los Access Points en el edificio matriz, para proveer el servicio de red inalámbrica. 1 Web Security Appliance – WSA: Este equipo se encarga de filtrar el contenido web que circula por la red de la SUPERTEL. 2 Email Security Appliance – ESA: Se encarga de filtrar los correos electrónicos de diferentes dominios que son identificados como spam, por medio de las actualizaciones que realiza automáticamente. 83 Figura 2.5. Topología de la red Descripción de Servidores Se manejan dos plataformas de hardware, representadas en la Figura 2.6, la primera es la plataforma X86 que pertenece a la línea de servidores Intel; la segunda es la plataforma Power para los procesadores RISC. Cada plataforma tiene sus consolas de administración; todos los servidores son virtualizados, no se tiene servicios o aplicaciones que trabajen sobre servidores físicos, es decir que sobre estas plataformas se ha creado una capa virtual, para los servidores Intel esta capa está sobre VMWare, y para la línea Power la capa virtual se hace sobre PowerVM, entonces estos sistemas son los que permiten virtualizar el hardware. A nivel de servidores, se trabaja con tres capas: una capa de base de datos, donde se tienen servidores ORACLE, SQL y MySQL, todos conectados a un repositorio, que es la parte de almacenamiento, ésta es la capa que se encuentra y necesita ser la más segura, es decir es la capa más alta y la 84 tercera en exposición; la segunda capa es de aplicaciones, en donde se tienen los sistemas que hacen transacciones, y la tercera capa es la capa web, en donde se encuentra el servidores web mail, SMTP web mail, entre otros, que son sistemas que salen hacia el cliente, además de la parte SMTP de Lotus. · Servidores Intel: para la administración de VMWare se tienen varias consolas: una que funciona como administrador de VMWare, y otra consola para la administración de los chasis, esta consola es a nivel físico, además físicamente se trabaja con una tecnología Blade, conformado por los Blade Center y los servidores Blade. Adicionalmente se tiene una consola para la administración de la capa de virtualización. · Servidores RISC: en la parte de PowerVM, se tienen equipos de diferente tecnología de grandes tamaños, que son particionados y que se manejan y administran mediante una consola HMC ( IBM Hardware Management Console). Adicionalmente se cuenta con varios servidores de aplicación, tanto en Linux (APACHE y ORACLE AP. SERVER) como en Windows (Internet Information Services - IIS); estos servidores son utilizados mayoritariamente para aplicaciones web, estos servidores se encuentran virtualizados sobre las plataformas antes mencionadas. También se tiene racks para Storage, es decir se tienen equipos que tienen una gran cantidad de almacenamiento en discos que permiten asignar porciones de estos discos a los equipos de acuerdo a los requerimientos que se tengan dependiendo de la plataforma; este equipo también dispone de una consola DS5300 Cliente para administración. 2.2.1.3.3. Descripción del Cableado Estructurado En cada piso del edificio matriz el cableado horizontal pasa a través de techo falso, hasta conectarse al backbone de fibra óptica que llega a los switches de core en el Centro de Cómputo. Se tienen switches de acceso de 48 puertos en cada piso del edificio, a excepción del piso 6 en donde se tienen 2 switches de acceso, uno de 48 y otro de 24 puertos. 85 Figura 2.6. Plataformas utilizadas en los servidores En la Tabla 2.1 se detalla el número de puntos utilizados en cada piso del edificio matriz de la SUPERTEL. Se tiene un promedio de 10 estaciones de trabajo y dos impresoras en red por piso; se debe mencionar que cada funcionario cuenta con un teléfono IP, por lo que los teléfonos IP se conectan en los puntos de red, estos teléfonos IP tienen puertos de acceso que permiten conmutar el tráfico perteneciente a la VLAN de voz y el tráfico de las diferentes VLAN de datos que se dirige a la estación de trabajo. 2.2.1.3.4. Descripción del Sistema Eléctrico del Centro de Cómputo De datos obtenidos del último levantamiento del sistema eléctrico, para saber si la distribución a la salida de los UPS existentes, que respaldan a todos los equipos del Centro de Cómputo, está dentro de los parámetros de operación adecuados, se obtuvo la siguiente información. Dentro de todo el Centro de Cómputo se utiliza energía regulada debido a la naturaleza de los equipos conectados; se tienen dos UPS de 20 KVA cada uno. El cuarto de UPS tiene un 86 tablero principal (Tablero 1), el cual cuenta con una alimentación de 220 VAC, el cual llega por una acometida trifásica a 5 hilos (3F + N+ T). A continuación se muestra el diagrama físico del cuarto de UPS en la Figura 2.7. Tabla 2.1. Número de puntos de datos utilizados en el Edificio matriz Piso Departamento Número de Switches Puntos 1 48 Planta baja 1 45 Mezanine 1 43 Piso 1 1 48 Piso 2 1 48 Piso 3 1 48 Piso 4 1 47 Piso 5 1 48 Piso 6 2 48 y 19 Piso 7 1 48 Piso 8 1 29 Piso 9 1 23 TOTAL 13 542 financiero 2.2.1.3.5. Descripción del sistema de aire acondicionado Se instaló un sistema de climatización que mantenga un ambiente adecuado de temperatura en el Centro de Cómputo, debido a que en dicho lugar se encuentran instalados UPS de 40 KVA y equipos de conectividad, los cuales generan una alta carga calórica hacia el ambiente, la misma que puede causar daños a los compontes electrónicos de los equipos si no es sustraída. Se tienen instalados dos sistemas de enfriamiento a los dos extremos del Centro de Cómputo, y adicionalmente un sistema de aire acondicionado de precisión instalado en el cuarto de UPS, que permite mantener una temperatura adecuada para el mantenimiento de los mismos. 87 Figura 2.7. Cuarto de UPS 2.2.1.3.6. Descripción de los Sistemas de Apoyo para el Centro de Cómputo Descripción del sistema contra incendios Se cuenta con un sistema que tiene un tiempo de extinción corto (10 segundos) y que no cause daños a los equipos, por lo que se instaló un sistema de extinción con agente limpio. Descripción del sistema de control de acceso Se cuenta con un sistema de acceso biométrico para el control de acceso al Centro de Cómputo, además de la puerta de seguridad. El sistema de control de acceso biométrico se encuentra ubicado junto a la puerta de seguridad del Centro de Cómputo. El lector biométrico cuenta con un lector de huella dactilar, reconocimiento del protocolo TCP/IP, lenguaje múltiple, cerradura electromagnética. En cuanto a la puerta de seguridad, permite restringir el acceso de personal no autorizado al Centro de Cómputo, además de proteger los equipos. 88 2.3. DESCRIPCIÓN DE LA EVALUACIÓN DE GOBIERNO DE TI PARA LA DIRECCIÓN NACIONAL DE DESARROLLO EN TELECOMUNICACIONES (DTT) Dentro del Macro-proyecto de Gobierno de TI que se desarrolla en la SUPERTEL, se realizó una evaluación para determinar el nivel de aplicación de los conceptos de Gobierno de TI basados en el marco de referencia de COBIT 5. De esta evaluación se toma la información de las prácticas de operación y gestión internas relacionadas con la interacción de la DTT con otras áreas. Los resultados obtenidos en esta evaluación se describen a continuación: · Se considera que la DTT no está preparada para atender sus requerimientos, porque no existe un claro entendimiento de las necesidades, compromisos asumidos y el tiempo necesario para la atención. · No se ha establecido un proceso claro y formal para la atención de requerimientos, lo que muchas veces genera que la atención no sea de manera integral, esto también se debe a que las áreas que solicitan apoyo no tiene totalmente definidos los requerimientos, produciendo que las soluciones dadas por la DTT sean incompletas y pierdan su vigencia y utilidad. · En la actualidad la DTT carece de un área especializada en la administración de proyectos tecnológicos, generando inconvenientes en el tiempo, costo y alcance de las actividades requeridas en el desarrollo de los mismos, e impidiendo la identificación y socialización de los riesgos de los proyectos, que permitan tomar correctivos necesarios. · Se presentan sugerencias que podrían mejorar el desempeño de la DTT, especialmente en el área de soporte, desarrollo de aplicaciones, asesoramiento técnico, tiempo de respuesta a requerimientos, y se propone además que se disponga de una planificación clara de las actividades que la institución va incursionar y que las necesidades de las diferentes áreas sean priorizadas. 89 2.3.1. MODELO DE GOBIERNO DTT Del informe sobre Gobierno de TI [14, pp. 113,114] se muestran los puntos más importantes: · “Del análisis realizado, se evidencia que actualmente la SUPERTEL y DTT carecen de un Sistema de Gestión de Seguridad de Información definido ni implementado, que permita administrar los riesgos de seguridad de información, para que éstos sean conocidos, asumidos, gestionados y minimizados por parte de la SUPERTEL, únicamente se dispone de equipamiento de seguridad perimetral que protegen el acceso a los recursos de información, mas no se dispone de procesos y procedimientos que conformen mencionado Sistema de Gestión que permita a la Institución Administrar de mejor manera la Seguridad de la Información, de manera paralela, en DTT se carece de un área especializada que lleve esta Gestión, así como no existe un área Institucional que lleve temas de Seguridad Corporativa”. · “La estructura organizacional actual de DTT no tiene establecidas de manera formal los roles y funciones de cada persona integrante del área, existiendo con ello una organización no adecuada, pues no existe una segregación de funciones, existen servicios que no están siendo administrados o se los hace no de una manera íntegra, todo esto obedece a la no tenencia de procesos implementados de Gestión de Servicios de TI y procesos de control que permitan verificar el adecuado cumplimiento de estos”. · “En la actualidad, no existe una administración formal de los servicios de TI que actualmente DTT dispone, se carece de procedimientos implementados de monitoreo continuo de servicios, manejo de eventos, administración de alarmas y actividades definidas de operación de los mismos, este evento se da debido a que no se tiene personal definido exclusivamente para la Administración y Operación de los servicios, el cual este completamente capacitado y tenga definidas sus funciones y sea responsable del normal funcionamiento de los mismos, así como sea quien proponga planes de mejoras al funcionamiento y operación de los servicios”. 90 2.4. ANÁLISIS DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN EN LA DIRECCIÓN DESARROLLO NACIONAL DE TECNOLÓGICO EN TELECOMUNICACIONES Se desea minimizar los riesgos que pueden presentarse en los recursos que tiene la DTT, y una correcta administración y uso de los servicios prestados por la misma, por medio de la Gestión de Riesgos en la Seguridad de la Información. Como se mencionó en el capítulo 1, en el análisis de la Norma 27005 [2], el proceso de Gestión de Riesgos en la Seguridad de la Información consta de las siguientes etapas: · Establecimiento del contexto, en donde se encuentran los criterios básicos para la gestión del riesgo, definición del alcance y límites del sistema · Valoración del riesgo de la seguridad de la información (análisis, estimación y evaluación del riesgo) para la DTT · Tratamiento del riesgo de la seguridad de la información (reducción, retención, evitación y evaluación del riesgo) · Aceptación del riesgo de la seguridad de la información · Comunicación de los riesgos de la seguridad de la información · Monitoreo y revisión del riesgo de la seguridad de la información Dentro de este capítulo se desarrollarán las dos primeras etapas de la gestión de riesgos en la Seguridad de la Información, es decir el Establecimiento del contexto y la Valoración del riesgo. Para el caso de este proyecto solamente se llegará al planteamiento del tratamiento de los riesgos, por lo que dependerá de la Dirección el cumplimiento de las etapas de aceptación y posterior monitoreo de los riesgos en la seguridad de la información. 2.4.1. ESTABLECIMIENTO DEL CONTEXTO 91 2.4.1.1. Criterios básicos Para el establecimiento de los diversos criterios, necesarios para la evaluación de los riesgos, se va a considerar la naturaleza de la información y de los diferentes tipos de activos con los que trabaja la DTT. Se analizarán todos los activos, previamente clasificados, utilizando un enfoque cualitativo, y usando una matriz que se formará de combinar la probabilidad de que ocurra una amenaza con la magnitud del daño de dicha amenaza, para lo cual se asignará un valor numérico que permita obtener resultados más aproximados a la realidad, además se utilizarán colores para diferenciar dichos resultados de acuerdo a la gravedad del riesgo. Previo a obtener la probabilidad de que ocurra una amenaza y la magnitud del daño de dicha amenaza, se trabajará en base a criterios que permitan obtener la clasificación necesaria antes de realizar la evaluación del riesgo. Los criterios con los que se trabajará son los siguientes: · Criterios de clasificación de activos · Criterios de probabilidad de ocurrencia de las amenazas · Criterios de impacto · Criterios de evaluación del riesgo · Criterios de aceptación del riesgo 2.4.1.1.1. Criterios para la clasificación de activos En primer lugar, se realizará una descripción de los activos con los que cuenta la DTT, lo que permitirá determinar los procesos y flujos que sigue la información, considerando todos los recursos implicados en cada proceso. Los activos serán clasificados en: activos de información, activos físicos, activos de software y activos de servicios. 2.4.1.1.2. Criterios de probabilidad de ocurrencia de las vulnerabilidades Los criterios de probabilidad de ocurrencia de las vulnerabilidades, serán analizados en base a qué tan probable es que se presente una vulnerabilidad para que sea aprovechada por una amenaza. Su valoración se expone en la Tabla 2.2. Se escogieron 4 niveles de probabilidad, porque se cree que con ese número de niveles se tiene un rango suficiente de probabilidad para diferenciar un nivel de otro. 92 Tabla 2.2. Probabilidad de Ocurrencia de las vulnerabilidades Valor 3 Grado de impacto Poco probable Probable Muy Probable Descripción Vulnerabilidad cuya probabilidad de ocurrencia es del 1%-25% Vulnerabilidad cuya probabilidad de ocurrencia es del 26%-50% Vulnerabilidad cuya probabilidad de ocurrencia es del 51%-75% 4 Altamente Probable Vulnerabilidad cuya probabilidad de ocurrencia es del 76%-100% 1 2 2.4.1.1.3. Criterios de impacto Los criterios de impacto, dependiendo de las amenazas y vulnerabilidades que se encuentren en los servicios brindados por la DTT, se consideran de acuerdo a dos puntos de vista: el tiempo que el servicio se encuentra sin funcionamiento y la pérdida de información que pueda producirse por la caída del servicio. Se dará un valor cualitativo, de acuerdo a lo que se evidenció en la DTT cuando se presentan problemas con los diferentes servicios, estableciendo escalas de tiempo sin funcionamiento de un servicio y se asignará un valor numérico de 1 a 4, como se describen en la Tabla 2.3. Tabla 2.3. Impacto de acuerdo al tiempo sin funcionamiento del servicio Valor Grado de impacto 1 Pequeño 2 Medio 3 Grave 4 Muy grave Descripción Tiempo de caída mínimo (2 - 5 min). El funcionario no percibe la caída del servicio. Tiempo de caída moderado (6 – 30 min). El funcionario percibe la pérdida de servicio, pero no llama al responsable de la red. Tiempo de caída del servicio alto (31 min -1 hora). El funcionario hace un llamado al administrador de la red alertando del mal funcionamiento del servicio. Tiempo de caída muy grave (1 hora o más). El funcionario reclama su pérdida de servicio. Para el caso en que se produzca la caída de un servicio en un intervalo de tiempo, se considera que se puede producir una pérdida de información, por lo que se establecen 4 niveles de análisis para los rangos de pérdida de información que pueden presentarse, mostrados en la Tabla 2.4 Tabla 2.4. Pérdida de información por caída del servicio Valor Grado de impacto Descripción 1 Pequeño 2 Medio Caída de un servicio con una pérdida de información de los servidores y bases de datos pequeña (del 0% al 20%) Caída de un servicio con una pérdida de información de los servidores y bases de datos mediana (del 20% al 40%) 93 3 Grave 4 Muy grave Caída de un servicio con una pérdida de información de los servidores y bases de datos grave (del 40% al 60%) Caída de un servicio con una pérdida de información de los servidores y bases de datos muy grave (del 60% al 80%) Se considera que se llegará a una pérdida de información de hasta el 80%, porque la SUPERTEL realiza un respaldo de cierta información de determinados servicios en los equipos de la Intendencia Regional Sur en la ciudad de Cuenca, lo que evita que se pierda totalmente la información. 2.4.1.1.4. Criterios de evaluación de riesgo Se trabajará con el valor obtenido del producto entre la probabilidad de ocurrencia de una amenaza por el valor de impacto debido al tiempo sin funcionamiento del servicio y por la pérdida de información debido a la caída del servicio. Se utilizan estos tres factores porque se cree que son los necesarios para obtener un valor del riesgo aproximado a la realidad de la DTT, por lo tanto se presenta la siguiente expresión para obtener el nivel de evaluación del riesgo. Nivel de evaluación de Riesgo = Probabilidad de ocurrencia de una amenaza * Tiempo sin funcionamiento del servicio * Pérdida de información por caída del servicio De acuerdo a las diferentes combinaciones de los factores de la expresión anterior, se plantean los rangos cualitativos para la evaluación del riesgo, mostrado en la Tabla 2.5. Para mostrar de forma detallada las combinaciones utilizadas se elaboró la Tabla 2.6 donde se obtienen los valores de nivel del riesgo. Además se elabora un diagrama que representa cómo se utilizaron los diferentes criterios básicos para obtener los valores de nivel del riesgo, mostrado en la Figura 2.8. Tabla 2.5. Nivel de evaluación del Riesgo VALOR NIVEL DESCRIPCIÓN 1 –4 Bajo Se considera riesgo bajo a los servicios cuya información no se ve afectada, el tiempo sin funcionamiento del servicio es el menor posible y tiene pocas probabilidades de ocurrencia de una amenaza. 94 6 – 12 Moderado 16 – 27 Alto 32 – 64 Muy Alto Se considera riesgo moderado a los servicios cuya información se ve medianamente afectada, con poco tiempo sin funcionamiento del servicio y con ciertas probabilidades de ocurrencia de amenaza. Se considera riesgo alto a los servicios cuya información tiene un alto grado de pérdida y de ocurrencia de amenazas, con variados tiempos sin funcionamiento del servicio. Se considera riesgo muy alto a los servicios en donde la información se pierde casi totalmente, con altas probabilidades de ocurrencia de amenazas y tiempo altos sin funcionamiento del servicio. 2.4.1.1.1. Criterios de aceptación del riesgo Los criterios de aceptación del riesgo por lo general dependen de las políticas y objetivos de la organización, por lo que la evaluación del riesgo se realiza de la comparación de los niveles de riesgo con los criterios para la evaluación del mismo. Tabla 2.6. Combinaciones de valores de los criterios básicos EVALUACIÓN DEL RIESGO COMBINACIONES VALORACIÓN Criterio de probabilidad Impacto de acuerdo al Pérdida de inf. Total criterio Nivel del de ocurrencia tiempo sin por caída del de riesgo funcionamiento del servicio evaluación del riesgo servicio 1 1 Pequeño 1 1 Bajo 1 Medio 2 2 Bajo 1 Grave 3 3 Bajo 1 1 Muy Grave 4 4 Bajo 1 2 Pequeño 1 2 Bajo 2 Medio 2 4 Bajo 2 Grave 3 6 Moderado 1 2 Muy Grave 4 8 Moderado 1 3 Pequeño 1 3 Bajo 3 Medio 2 6 Moderado 3 Grave 3 9 Moderado 1 3 Muy Grave 4 12 Moderado 1 4 Pequeño 1 4 Bajo 4 Medio 2 8 Moderado 4 Grave 3 12 Moderado 4 Muy Grave 4 16 Alto 1 Pequeño 1 2 Bajo 1 Medio 2 4 Bajo 1 1 1 1 POCO PROBABLE 1 1 1 1 Pequeño Medio Grave Muy Grave 1 PROBABLE 2 2 Pequeño 95 Tabla 2.6. Combinaciones de valores de los criterios básicos EVALUACIÓN DEL RIESGO COMBINACIONES VALORACIÓN Criterio de probabilidad Impacto de acuerdo al Pérdida de inf. Total criterio Nivel del de ocurrencia tiempo sin por caída del de riesgo funcionamiento del servicio evaluación servicio 1 Grave 3 6 Moderado 2 1 Muy Grave 4 8 Moderado 2 2 Pequeño 1 4 Bajo 2 Medio 2 8 Moderado 2 Grave 3 12 Moderado 2 2 Muy Grave 4 16 Alto 2 3 Pequeño 1 6 Moderado 3 Medio 2 12 Moderado 3 Grave 3 18 Alto 2 3 Muy Grave 4 24 Alto 2 4 Pequeño 1 8 Moderado 4 Medio 2 16 Alto 4 Grave 3 24 Alto 2 4 Muy Grave 4 32 Muy Alto 3 1 Pequeño 1 3 Bajo 1 Medio 2 6 Moderado 1 Grave 3 9 Moderado 3 1 Muy Grave 4 12 Moderado 3 2 Pequeño 1 6 Moderado 2 Medio 2 12 Moderado 2 Grave 3 18 Alto 3 2 Muy Grave 4 24 Alto 3 3 Pequeño 1 9 Moderado 3 Medio 2 18 Alto 3 Grave 3 27 Alto 3 3 Muy Grave 4 36 Alto 3 4 Pequeño 1 12 Moderado 4 Medio 2 24 Alto 4 Grave 3 36 Muy Alto 3 4 Muy Grave 4 48 Muy Alto 4 1 Pequeño 1 4 Bajo 1 Medio 2 8 Moderado 1 Grave 3 12 Moderado 2 2 2 2 2 2 3 3 3 3 MUY PROBABLE 3 3 3 3 ALTAMENTE PROBABLE del riesgo 2 4 4 Medio Grave Muy Grave Pequeño Medio Grave Muy Grave Pequeño 96 Tabla 2.6. Combinaciones de valores de los criterios básicos EVALUACIÓN DEL RIESGO COMBINACIONES VALORACIÓN Criterio de probabilidad Impacto de acuerdo al Pérdida de inf. Total criterio Nivel del de ocurrencia tiempo sin por caída del de riesgo funcionamiento del servicio evaluación servicio 4 Pequeño 4 4 4 Medio del riesgo 1 Muy Grave 4 16 Alto 2 Pequeño 1 8 Moderado 2 Medio 2 16 Alto 2 Grave 3 24 Alto 4 2 Muy Grave 4 32 Muy Alto ALTAMENTE 4 3 Pequeño 1 12 Moderado PROBABLE 4 3 Medio 2 24 Alto 3 Grave 3 36 Muy Alto 4 3 Muy Grave 4 48 Muy Alto 4 4 Pequeño 1 16 Alto 4 Medio 2 32 Muy Alto 4 Grave 3 48 Muy Alto 4 Muy Grave 4 64 Muy Alto 4 4 4 Grave Muy Grave 4 De las opciones establecidas en la Norma 27005 [2], para el tratamiento de riesgos (retener, reducir, evitar o transferir), se considera la reducción para los riesgos bajos, moderados, altos y muy altos. No se considera la retención del riesgo, ya que existen vulnerabilidades que son bajas para un servicio y moderadas para otro, por lo cual se plantea la reducción de esa vulnerabilidad y el tratamiento es aplicable a todos los servicios. Para la evitación de un riesgo en particular, se deben evadir las actividades o acciones que den origen al mismo, principalmente en los casos en los que el riesgo se considera muy alto o los costos para implementar otras opciones de tratamiento del riesgo exceden los beneficios. Debido a que la DTT tiene restricciones de presupuesto para realizar sus actividades, no se puede determinar para qué riesgos se puede hacer una evitación, porque la determinación de los costos de implementación de los controles de seguridad considerados está fuera del alcance de este proyecto. Figura 2.8. Obtención de valores de nivel del riesgo 97 98 Se puede realizar la transferencia del riesgo, en el caso de que un servicio de la DTT pase a formar parte de otra Dirección, en este caso, el manejo de la gestión del riesgo para ese servicio será transferido con sus controles y recomendaciones para minimizar el riesgo, lo cual será determinado por el Director de la DTT. Se representan los criterios de aceptación del riesgo en la Tabla 2.7. Tabla 2.7. Criterios de Aceptación y Tratamiento del Riesgo NIVEL DEL RIESGO TRATAMIENTO Bajo Moderado Alto REDUCCIÓN DEL RIESGO Muy Alto 2.4.1.2. Alcance y límites De acuerdo a la información descrita en la primera parte de este capítulo en la Descripción de la Infraestructura tecnológica de la DTT, se plantea el siguiente alcance y límites: El Análisis de Riesgos en la Seguridad de la Información abarca los activos tanto de hardware como de software, que se describieron al inicio de este capítulo, en donde se detalla el funcionamiento e infraestructura destinada para la DTT. Los activos que se describirán son los que permiten el desempeño correcto de las responsabilidades a cargo de la DTT, por lo que con la gestión de los riesgos presentes y la consideración de riesgos que puedan presentarse en el futuro, son fundamentales para el cumplimiento de los objetivos que se ha propuesto la Dirección. Una vez que se analicen los riesgos en la seguridad de la información, se planteará el tratamiento para los mismos, con el fin de minimizarlos hasta un nivel aceptable para la Dirección, mediante la opción de reducción del riesgo de acuerdo a lo expuesto en los criterios de aceptación del riesgo, planteando la aplicación de los controles pertinentes; pero se debe mencionar que la implementación del sistema queda fuera del alcance de este proyecto y se realizará cuando la DTT lo crea pertinente. 99 2.4.2. VALORACIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN De acuerdo a lo descrito en la Norma 27005 [2, p. 10]: “Los riesgos se deberían identificar, describir cuantitativa o cualitativamente y priorizar frente a los criterios de evaluación del riesgo y los objetivos relevantes para la organización.” Se establece que la valoración del riesgo se realiza mediante las siguientes actividades: · Identificación del riesgo · Estimación del riesgo · Evaluación del riesgo 2.4.2.1. Análisis del riesgo 2.4.2.1.1. Identificación del riesgo Identificación de los Activos a cargo de la DTT Todos los activos deben estar identificados y tener un funcionario responsable de los mismos. Existen varios tipos de activos a cargo de los funcionarios de la DTT, los cuales están clasificados de acuerdo a: · Activos de información · Activos físicos · Activos de software · Activos de servicios. Según lo descrito en la Norma 27002 [6, p. 18], se consideran activos de información a los recursos que contengan la misma, como son: bases de datos y archivos de datos, contratos y acuerdos, documentación del sistema, investigación sobre investigación, manuales de usuario, procedimientos operativos o de soporte, etc. En activos de Información la DTT maneja: · Bases de datos: ORACLE, Lotus DOMINO, MS SQL Server · Documentación del sistema: Recursos compartidos · Información archivada: Almacenamiento (Storage), Backups. 100 Los activos físicos son todos los equipos físicos: de computación, de comunicaciones, dispositivos periféricos, dispositivos removibles (pen drives, discos duros externos, etc.). Se analizan solamente los activos que se encuentran en el edificio matriz porque es en este edificio donde se encuentra la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones, siendo esta Dirección el punto de concentración de todas las comunicaciones hacia las demás Intendencias y Delegaciones, y se encuentra el Centro de Cómputo principal. Al ser la DTT la encargada de manejar la red y dar soporte informático a toda la SUPERTEL, posee datos aproximados de los equipos que se encuentran en el edificio matriz, los cuales se describen a continuación: · Hardware de usuario (alrededor de 100 equipos de computación en toda la red del edificio matriz) · Flash memories · Discos duros externos · Impresoras, Escáneres, Teléfonos IP · Servidores físicos: Servidores RISC, Servidores Intel Esta Dirección tiene un área de desarrollo de software que maneja varias aplicaciones creadas por sus funcionarios, por lo que se tiene una variedad de software que administrar, además de las diversas herramientas de software adquirido por la Institución, por lo que se consideran como activos de software a: · OnBase Server, OnBase usuario final · Auto Audit · Cliente Lotus Notes, Sametime, Correo electrónico, Lotus Mobile · Evolution, Only Control · Viáticos · Infracciones y Sanciones, Patrocinio Judicial, LEGALTEL, Reportes Sala Ciudadano · Firma electrónica · Portal de telecomunicaciones · Sondas RNI · ICS, SADEQ, SIRA-TV, Inspecciones, Registro Mediciones SMA, SACER, SAMM, SIETEL, SIGNVERIF 101 · Proyecto SICOEIR (Sistema de Control del EIR – Equipment Identity Register), con sus módulos: Activaciones en línea, Arribo Internacional, Ensambladores, Importadores, Lista de Positivos y Depuración, Listas Negativas Ecuador-Colombia-Perú-Bolivia- Organismos Gubernamentales-CNT-SUPERTEL, Puntos de Venta y Regalos y Cesiones · Control documental · Mail Gateway · Virtualización Intel, Virtualización RISC · Antivirus · Consolas · Servidores de aplicación: APACHE, Internet Information Server, ORACLE App. Server, WEBLOGIC · Plataforma de inteligencia de negocios · Rational Composer · Control Remoto, Help Desk En activos de servicios la Dirección trabaja con: · Videoconferencia · Noticiero digital · VPN · Intranet, Página Web institucional, Internet · Red SAN · Red Inalámbrica · Comunicación regional · Switching y Routing. · NAC · Seguridad de Servidores, Seguridad Perimetral · Telefonía · Cableado estructurado · DNS, DHCP, NTP · LDAP (Active Directory) · Citrix 102 · Centro de cómputo · Servicios de aire acondicionado para los equipos del Centro de Cómputo · Servicios con los que cuenta todo el edificio: iluminación, sistema contra incendios, agua potable La DTT tiene a cargo 80 servicios clasificados en los diferentes tipos de activos, los cuales se describen brevemente; se debe aclarar que se tomarán los servicios considerados más importantes, dentro de cada tipo de activo, para mostrar cómo se realiza la evaluación del riesgo. Activos de información Nombre del servicio: ORACLE Descripción Técnica: Administración del motor ORACLE para almacenamiento y manejo de información de diferentes aplicaciones que funcionan bajo esta plataforma. Nombre del servicio: Lotus DOMINO Descripción Técnica: Esta plataforma tiene como objetivo la colaboración en una empresa, donde no solo se implementan bienes como el correo electrónico, sino que también se puede programar en la plataforma e implementar aplicaciones de terceros. En la actualidad se encuentra dividido en clústeres por servicios, las aplicaciones de terceros en un servidor y mensajería instantánea en otro servidor. El workflow está almacenado en clústeres en dos servidores, para tener alta redundancia y balanceo de carga. El servicio Sametime también se encuentra trabajando en dos servidores debido a la carga y la demanda que requiere el servicio, el correo electrónico está únicamente en un servidor. Nombre del servicio: MS SQL Server Descripción Técnica: SQL Server es el administrador de bases de datos, información, tablas, etc., propio de Microsoft, tanto para aplicaciones en Producción y Desarrollo. 103 Nombre del servicio: Recursos compartidos Descripción técnica: Este servicio también se conoce como File Server, que consiste en tener archivos a disposición en una red para cualquier tipo de usuario; al manejarse con Windows Server 2003, permitía que usuarios hereden permisos de las carpetas a los cuales no estaban autorizados. Ya se tienen establecidas nuevas políticas de seguridad para este servicio, donde se ha definido cómo se manejará el servicio en los nuevos equipos que se adquirieron para el Centro de Cómputo. Se tiene planificada una depuración de la información que se encuentra en los servidores, pero la misma debe ser efectuada por los usuarios, no por parte de la DTT, para lo cual se notificará y dará un plazo para realizarlo. Se tendrá respaldada también parte de la información. Nombre del servicio: Almacenamiento (Storage) Descripción técnica: Administración de almacenamiento en línea e histórico tanto de aplicaciones en ambiente de producción como de desarrollo. Para Storage se tienen equipos con una gran cantidad de almacenamiento en discos, que permiten asignar porciones de estos discos a los equipos de acuerdo a los requerimientos que se tengan dependiendo de la plataforma; este equipo también dispone de una consola cliente para administración. Nombre del servicio: Backups Descripción técnica: Administración de los sistemas de respaldo de la información contenida en servidores institucionales. La Institución cuenta actualmente con una VTL (Virtual Tape Library) para realizar backups mediante un software que permite acceder a discos lógicos en donde se respalda la información. Este servicio se maneja de la misma manera para todas las delegaciones, a excepción de la Intendencia Sur. Se cuenta con alarmas para verificar cuando un disco lógico ya no tiene espacio o ya puede ser reutilizado, o si hay algún problema en algún disco. Se están respaldando actualmente el File Server y las bases de datos. La VTL física se dividió en cintas lógicas, actualmente no se tienen backups por lo que, en caso de alguna pérdida del Centro de Cómputo, no se tiene un punto de partida. 104 La información considerada más crítica se está migrando hacia Cuenca. Actualmente se manejan dos formas de realizar el backup: un incremental diario y un full backup mensual; el primero obtiene un respaldo de toda la información de las carpetas a las que se apunta hasta ese momento (full backup). La herramienta ingresa a cada carpeta y ve si algún archivo sufrió algún cambio, si es así guarda ese archivo modificado, sino no lo hace. Se respaldan las carpetas consideradas críticas o que se ha pedido que se respalde. La DTT se encarga de monitorear que la información se esté respaldando y el etiquetado de los discos lógicos. Se tienen cintas estándar de diferentes capacidades con nomenclaturas definidas y si se definen cintas de diferente capacidad se deberá definir también la nomenclatura. Activos físicos Nombre del servicio: Hardware de usuario Descripción técnica: Consiste en el mantenimiento técnico de los equipos de usuario final para los funcionarios de la SUPERTEL, incluyendo los dispositivos periféricos y medios removibles; este servicio se brinda a los funcionarios del edificio matriz, pero en caso de requerirlo también se asiste a la Intendencia Regional Norte. Nombre del servicio: Servidores INTEL, Servidores RISC Descripción técnica: Administración de sistemas operativos y hardware de servidores con base Intel y administración de sistemas operativos y hardware de servidores con base RISC. Más información sobre servidores se encuentra en la sección Descripción de Servidores (pág. 83). Activos de software Nombre del servicio: OnBase Server Descripción técnica: Es una plataforma de gestión de documentos electrónicos o digitalizados. 105 Este servidor contiene de manera lógica los archivos electrónicos, a nivel de directorios. Permite hacer búsquedas, digitalizar los documentos e indexarlos (palabras claves de cada documento), con lo cual cada documento corresponde a un grupo de documentos con palabras clave. Utiliza SQL como motor de base de datos y además utiliza File Directory (directorio propio de Windows) para guardar los documentos. Se pueden definir volúmenes de información, colas de escaneo, colas de impresión. Se pueden tener 100 usuarios concurrentes con la aplicación de OnBase. Se optó por instalar OnBase en Citrix por tema de licencias, de esta forma virtualmente se puede dar acceso a los usuarios que requieran de este servicio. Nombre del servicio: OnBase Usuario Final Descripción técnica: Software que permite el ingreso y búsqueda de los documentos electrónicos. Permite la digitalización y captura de documentos y es la base fundamental del sistema de Manejo de Contenido Empresarial. Nombre del servicio: Auto Audit Descripción Técnica: Sistema de seguimiento de recomendaciones de Auditoría. Auto Audit viene incorporado con el sistema Issue Track, ésta es una versión de escritorio cliente – servidor, mientras que el Issue Track es un sistema web este sistema es de un proveedor externo. Cuenta con todos los exámenes de auditoría que se realizan: papeles de trabajo, hallazgos, y dentro de éstos están las recomendaciones. Las recomendaciones dicen lo que un funcionario está destinado a hacer y se puede dar un seguimiento dentro de la auditoría interna, y obtener reportes. La función de la DTT es dar soporte en la creación de usuarios, envío de correos automáticos, configuraciones de instalación, capacitación, etc. La información ingresada se encuentra en la base de datos SQL Server. Nombre del servicio: Cliente Lotus Notes Descripción técnica: Aplicación de escritorio para el área de trabajo. La seguridad que se tiene en esta aplicación tiene que ver tanto con la seguridad propia de la plataforma, como de los niveles de seguridad que dan las aplicaciones por sí mismas. 106 Plataforma DOMINO: es una plataforma completa, donde se tienen integrados varios servidores para: aplicaciones, web, LDAP, POP3, IMAP, SMTP, de acceso remoto, etc., que permite realizar diferentes tareas dentro de esta plataforma. Uno de los más importantes es el servidor LDAP, que se encarga del almacenamiento de usuarios y sus credenciales, lo que funciona como un primer nivel de seguridad. DOMINO implementa otro nivel de seguridad por medio del archivo ID, que es en el que se configura la información de cada usuario junto con su contraseña y permite el acceso por medio de un Cliente Lotus, aún no se ha podido romper el cifrado de este archivo ID, es decir que no ha sido vulnerado; es importante considerar el nivel de seguridad que le dé el usuario a su archivo. Si se quiere acceder a los servidores mediante web, se utiliza otra contraseña diferente a la del archivo ID, que es manejada por el servidor LDAP, es decir que en el servidor se manejan dos contraseñas: la de acceso web y la del archivo ID. Además, la plataforma DOMINO implementa sobre todas sus aplicaciones siete diferentes niveles de seguridad pre-configurados; es decir que, al crear una nueva aplicación, ésta tendrá los siete niveles de seguridad por defecto, que son: · Administrador: Tiene control total de las aplicaciones · Diseñador: Además de leer y escribir documentos, pueden modificar elementos de diseño de la aplicación · Editor: Puede leer y escribir documentos · Autor: Puede modificar documentos que ha creado, y puede leer los demás documentos · Lector: Solamente puede leer documentos · Depositador: Puede colocar documentos, pero no verlos · No Access: sin acceso Cada tipo de acceso tiene atributos que se van activando por defecto para activar o desactivar las ciertas acciones, es decir que se puede configurar el nivel de seguridad y los atributos que tendrá la aplicación. Para otras aplicaciones se definen tipos de usuarios, entre los que están administrador, usuarios por defecto o usuarios comunes, por ejemplo, el usuario “Anonimous”, este último se utiliza para manejar los accesos de aplicaciones web y es asignado para que un usuario 107 ingrese sin autenticarse, generalmente se utiliza para aplicaciones publicadas que serán accedidas desde el exterior. Otra de las formas para implementar seguridad por parte de la plataforma DOMINO es la utilización de cifrado, que se implementa en cada aplicación y con el nivel que se requiera, es decir usar niveles de cifrado fuerte, mediana o básica, y tiene que ver con la forma en la que se envía la información a través del canal de comunicación; se puede aplicar tanto a aplicaciones web como a aplicaciones locales. Se decidió trabajar con Lotus Notes porque es una plataforma documental, y no hay muchas plataformas que compitan con esta en la parte documental, ya que esta plataforma desde su inicio trabajó en la parte documental, a diferencia de otras que están iniciando un desarrollo en este aspecto; esto les da una considerable ventaja frente a otras herramientas. Los servidores en los que se encuentran instaladas las aplicaciones cuentan con archivos de configuración en los que se define si tienen servidores réplica y cuáles son, para que en el caso de que falle el servidor, el cliente tenga la opción de conectarse a uno de sus réplicas; pero un inconveniente que se presenta es que el usuario mismo es el que tiene que realizar la conexión al servidor principal cuando este ya esté funcionando correctamente, puesto que se queda conectado a la réplica. Nombre del servicio: Sametime Descripción técnica: Aplicación Cliente/Servidor y aplicación middleware que provee en tiempo real comunicación unificada y colaboración para empresas. Estas capacidades incluyen información presente, mensajería instantánea, conferencia web, colaboración en la comunidad y capacidades de telefonía e integración. Incluye ubicación de la localidad, emoticones, e historial de chat, conversaciones en grupo y múltiples, conferencia Web. Nombre del servicio: Correo Electrónico Institucional Descripción técnica: Provee “Enterprise-Grade E-mail”, capacidades de colaboración, y plataforma de aplicaciones personalizadas al cliente, con lo que se tiene un incremento de colaboración en la organización, correo vía web, correo en escritorio, en celulares, manejo de agenda, calendario, tareas. 108 Nombre del Servicio: Lotus Mobile Descripción técnica: Es una aplicación para correo electrónico sobre teléfonos celulares, una vez descargada la aplicación ésta puede ser instalada en dispositivos móviles, ipads, equipos móviles en general, con lo cual viene cargado un certificado para que funcione con IOS, Android y BlackBerry a partir del Z10. Nombre del servicio: Evolution Descripción técnica: Es un sistema que va de la mano con el sistema Only Control; el momento que Only Control envía la información que recolectó, se genera una especie de base de datos que contiene los registros individuales de cada funcionario, elaborando una planilla, que a su vez sirve para elaborar los roles de pago de cada usuario. Esta base de datos se almacena en el servidor de Citrix; este sistema tiene un software que es manejado por el funcionario nombrado como administrador del mismo. Nombre del servicio: Only Control Descripción técnica: Es un sistema que trabaja junto con el sistema Evolution, y se encarga de la detección de huella digital, es decir el sistema biométrico para el control de asistencia, por lo que envía la información a una base de datos, en donde se puede ver la información individual de cada usuario. Este sistema tiene una interfaz de usuario que puede ser manejado por el usuario nombrado como administrador de este sistema, que para facilidad de otras actividades es un funcionario de la Dirección de Talento Humano. La DTT se encarga de supervisar el correcto funcionamiento ininterrumpido de este sistema, o que esté enlazado correctamente con el sistema Evolution; el mantenimiento de este sistema lo hace la empresa proveedora de esta solución. Nombre del servicio: Viáticos Descripción técnica: Esta aplicación permite el seguimiento y control en la solicitud de viáticos e informe de comisión de servicios según las normativas vigentes. Fue desarrollada en base a una plantilla, es decir modelos predefinidos con los que cuenta la plataforma DOMINO a través de la herramienta Lotus 109 Workflow, la que a su vez necesita de cuatro aplicaciones más: base de organización, base de diseño, base del proceso y la aplicación como tal. Al usar estas plantillas, Lotus Workflow ya establece los niveles de seguridad, en donde se manejan grupos propios para la administración y necesariamente se deben utilizar los roles que vienen predefinidos, los cuales a su vez ya tiene configurados cierta cantidad de atributos, pero que sí se pueden modificar como desarrolladores. Esta es la diferencia entre esta aplicación y las aplicaciones de Control Documental y Help Desk, las cuales fueron desarrolladas mediante líneas de programación. Nombre del servicio: Sistema de Infracciones y Sanciones Descripción técnica: El sistema de Infracciones y Sanciones sigue un proceso en el cual, se recibe como archivo de entrada un informe técnico, y dependiendo de la gravedad del suceso se generan notificaciones, avisos, o una infracción, es decir que puede existir una infracción y posteriormente convertirse en sanción, esto de acuerdo al criterio de los funcionarios de la unidad jurídica, y se puede hacer un seguimiento de todos estos procesos, además de que en caso de existir multas interviene la parte de coactivas. Se tienen varios tipos de usuarios finales: funcionarios técnicos, jurídicos y de cobranzas, y dependiendo de los roles que tengan los usuarios, pueden ver las pantallas de los informes técnicos o pueden acceder a pantallas jurídicas o de coactivas. Por otro lado se tiene usuarios administradores globales, que pueden acceder a todo el sistema (pantallas de administración para calendarios, creación de usuarios, asignación de jurisdicciones, cambio de clave de otros usuarios, etc.). El sistema está desarrollado en Visual Basic 6, pero funciona correctamente. Se desarrolló un nuevo módulo para reportería y se realizan capacitaciones a cargo de la DTT (además se da mantenimiento al sistema y la base de datos). La autenticación en el sistema se hace en dos fases, al momento de la instalación se usan las credenciales de Windows (que debe pertenecer al grupo de Active Directory llamado Sanciones), si no pertenece a ese grupo no se puede autenticar en la máquina; no se tiene un control de acceso más estricto en cuanto a que otro usuario que también pertenezca a ese grupo se pueda autenticar en el sistema (con 110 sus credenciales del sistema) desde la máquina de otro funcionario que también pertenezca. Nombre del servicio: Sistema Informático de Control de Patrocinio Descripción Técnica: Permite al Patrocinio Judicial de la Superintendencia de Telecomunicaciones, llevar a cabo una gestión práctica de los documentos inherentes a los procesos judiciales para facilitar la presentación de escritos y el archivado de cada proceso judicial. Esta aplicación permite generar formularios, colocando campos para ingresar la información que se desee con respecto al tema. Nombre del servicio: LEGALTEL Descripción Técnica: Administración de sistema informático que permite consultas de aspectos legales de Telecomunicaciones. Este sistema es hecho por proveedor externo, contiene una base de datos donde se buscan resoluciones de temas de telecomunicaciones, que sirven a los funcionarios técnicos para tomar decisiones sobre si una empresa está incurriendo en alguna falta; para el caso de Infracciones y Sanciones, la parte jurídica lo usa para saber qué ley es la que tienen que aplicar. Cada usuario tiene su usuario y contraseña y tienen una seguridad para que no se instale dos veces la misma licencia en una máquina. El soporte está a cargo la DTT, para actualizar el software mediante la creación de una carpeta compartida donde se cargan todas las nuevas actualizaciones. Nombre del servicio: Reportes Sala de Servicio al Ciudadano Descripción técnica: El Desarrollo e Implementación de una Herramienta Informática para la Sala de Servicio al Ciudadano, tiene por objetivo implementar un servicio de reportaría web que permita automatizar los procesos de extracción y publicación de datos estadísticos e informativos concernientes a los servicios de Información y Reclamos de la Superintendencia de Telecomunicaciones. Nombre del Servicio: Firma Electrónica Descripción técnica: La firma electrónica es un archivo certificado que permite abalizar un documento digital, con la misma validez que una firma física en papel, jurídicamente reconocida; este archivo se encarga de insertar la firma en un documento digital. El uso de las Firmas Electrónicas es para los archivos creados 111 en el sistema Lotus, el momento en el que se crea el documento en PDF con el programa PDF Creator, se asigna a ese documento digital la firma electrónica, por lo que, al revisar un documento en el sistema, aparece el formato que está en el sistema con la forma digital, esa es la seguridad que se maneja con los archivos digitales, y es como se validan los archivos en la SUPERTEL. Nombre del Servicio: Portal de Telecomunicaciones Descripción técnica: El portal permite tener una interacción directa con el usuario y la plataforma, contrario a la página web la cual es estática. La idea fue poner un portal de servicios en donde al ingresar el usuario pueda interactuar con todos los servicios que tenga la SUPERTEL, además se tiene información técnica, estadísticas y la posibilidad de hacer preguntas, siendo esto muy útil para el usuario final. También se tienen las aplicaciones del portal como son: homologaciones, consulta de documentos y certificados de no adeudar; estas aplicaciones son para los usuarios externos, los mismos que podrán ingresar al portal y hacer desde la Web sus requerimientos. Nombre del servicio: Sondas RNI Descripción técnica: Sistema de Monitorización de Sondas de Radiación No Ionizante. Es un aplicativo desarrollado en PHP que obtiene toda la información de antenas ubicadas en cada provincia, y se va almacenando la información en una base de datos; mediante el aplicativo se puede observar una gráfica que representa la monitorización de las ondas que emiten las estaciones de telefonía celular (servicio SMA), las cuales deben estar dentro de un rango definido por ley, en caso de que sobrepase el límite permitido se procede a realizar una inspección. Nombre del Servicio: ICS Descripción técnica: Solución comercial para la generación de estudios de ingeniería de propagación. Este sistema se alimenta de la información que se carga en SIRA-TV e información proveniente de otro sistema llamado SIGER que le pertenece a la SENATEL (servicio fijo, móvil, modulación de banda ancha, enlaces 112 radioeléctricos, entre otros). La información proveniente de los sistemas mencionados anteriormente se reparte entre otras aplicaciones que necesitan de esta información para hacer el control de las telecomunicaciones. El ICS Manager es una aplicación que permite simular coberturas, para verificar que los concesionarios cumplan con las coberturas que estipularon; o también se puede ver con las simulaciones los lugares en los que se tendrá defectos de las coberturas o que no llega la señal como debería. Solamente ayuda a ver los niveles de cobertura, no es tan potente como para realizar actividades de control. Nombre del Servicio: SADEQ Descripción técnica: SADEQ (Sistema de administración de equipos) es un sistema de control de salida de equipos de las bodegas de las unidades regionales. Cada unidad regional de la SUPERTEL tiene sus equipos: analizadores, antenas, transformadores, etc., por lo tanto, estos equipos se prestan para que se realice el control técnico en campo, como comisión de servicios fuera de la provincia o dentro de la misma, como inspección. Por lo tanto, esta herramienta lo que hace es agrupar por regional todos los equipos que contienen y hacer un préstamo normal, es decir quién es el funcionario que se va, cuándo se va, cuándo regresa, un cronograma de actividades donde consta qué equipos se van a llevar, siendo semejante a una factura, ésta es una primera parte la de los préstamos. La segunda parte es la devolución de los préstamos, registrar equipos nuevos, enviarlos a mantenimiento. De la misma manera se puede ver los reportes de cuentas veces el equipo ha sido prestado. Esta aplicación se conecta al Oracle APP Server. Nombre del Servicio: SIRA-TV Descripción técnica: Solución que permite el registro y seguimiento de los concesionarios de servicios de Radiodifusión y TV. La administración de este sistema pasó a la SENATEL, y lo que actualmente hace la SUPERTEL es una ligera absorción de la información. La SENATEL hizo el levantamiento de su servidor para SIRA-TV, así como de la base de datos, y se comparten los archivos de backup que se guardan cada día en el servidor por medio de un servidor SFTP, con lo cual se logra simular que se tiene el sistema funcionando de manera local, pero con la 113 diferencia de que la información que se carga en el sistema en la SUPERTEL tiene un día de retraso. La información que se carga en el SIRA-TV permite que otros sistemas que necesitan dicha información la absorban y puedan cumplirse las funciones de control que tiene la Institución. Nombre del Servicio: Inspecciones Descripción técnica: Aplicación que permite realizar el seguimiento de una inspección de forma automática mediante una orden de trabajo y la emisión de los respectivos informes de inspección de los servicios técnicos de la institución. Permite la Integración con el directorio institucional, para un ágil movimiento de subrogaciones, despliegue de cargos, interacción con aplicación de viáticos, registro de informes, inspecciones, guías de remisión, registro de aprobación de imprevistos y planificados, reportes consolidados de inspecciones finalizadas. Este sistema solamente cuenta con autenticación de los usuarios como mecanismo de seguridad, no se ha aplicado cifrado, como en la mayoría de aplicaciones que son internas de la SUPERTEL; para incrementar la seguridad se podría aplicar un certificado de seguridad que permita una conexión HTTPS. Nombre del Servicio: Registro de Mediciones SMA (Servicio móvil avanzado) Descripción técnica: El objetivo de este servicio es poner las mediciones de SMA que se hagan dentro de la base de datos, donde se generan formularios y se ingresar los campos requeridos; esta información se extrae y se puede observar en estadísticas de las mediciones por zonas. Se hace un mantenimiento a los formularios de: STM1 (llamadas establecidas on-net), STM7 (tasa de mensajes cortos recibidos por el destinatario final tiempo promedio de recepción de SMS), STM9 (porcentaje de cobertura en zonas urbanas y rurales), STM10 (sitios con llamadas caídas), STM11 (porcentaje de cobertura en carreteras), STM 12 (calidad de conversación). Nombre del Servicio: SACER Descripción técnica: El sistema SACER (Sistema automático de control del espectro radioeléctrico) es el núcleo de control de la SUPERTEL, éste si necesita toda la información respecto al SIGER y al SIRA-TV porque sin esta información no 114 se podría hacer el control, ya que este sistema necesita la lista de frecuencias obtenidas de estos dos sistemas de información. Con este sistema se monitorea y se hace el control del espectro; hasta el momento existen 28 estaciones de monitoreo, 23 fijas y 5 móviles. La unidad central del sistema SACER se encuentra en la matriz de la SUPERTEL, pero también existen otros centros de control en las diferentes delegaciones, para que cada delegación tenga información de su delegación, pero en la matriz se puede tener toda la información y su transmisión se maneja mediante FTP. El SACER tiene dos servicios propios del sistema, el cual envía archivos de mediciones y también envía archivos de resultados ya sea para cada uno de los centros regionales como también para el centro nacional de control. Cada uno de las personas que ocupa el sistema SACER posee carpetas temporales y de ahí se pasa la información a otra base de datos; en caso de una falencia del servidor del SACER donde está la base de datos, se tiene un disco con 2Tb de espacio, que se llenó por completo por la información recaudada sea o no necesaria tenerla. Nombre del Servicio: SAMM Descripción técnica: SAMM (Sistema autónomo de medición del servicio móvil avanzado) es una solución comercial para medición de calidad de servicios de telecomunicaciones. Tiene un servidor de FTP y un servidor de Base de Datos que están conectados a la nube, desde ahí se conectan 64 RTU, en cada RTU se tienen cuatro teléfonos, básicamente los RTU son laptops que se incorporan vía USB a los teléfonos; el sistema operativo es Windows, cada teléfono se asigna a una operadora (CNT, Movistar, Claro), y el otro teléfono es para recopilar los datos y enviar vía FTP la información al servidor, por lo tanto en el servidor FTP se tienen archivos de entrada y de salida. En el servidor de Base de Datos los técnicos programan que cierto RTU ubicado en alguna ciudad realice mediciones con ciertos requerimientos técnicos, especificando la hora en la que se realizarán y así se emiten datos, aproximadamente se tienen 5 TB y solo se guarda lo que se generó en los últimos seis meses, con esto se logra hacer el control de calidad de las operadoras. 115 La dirección encargada de estas mediciones es la Dirección de Servicios de Telecomunicaciones, los cuales están a cargo de telefonía móvil avanzada, logrando automatizar las mediciones a las regionales. Nombre del Servicio: SIETEL Descripción técnica: SIETEL es un sistema que permite hacer registro de información de varios servicios de telecomunicaciones como son importadores, cibercafés, ISP, por lo tanto tienen la información de todos estos servicios; lo que se hacía anteriormente es que cada empresa tenía la obligación de traer la información a la SUPERTEL, y un usuario recogía esa información la ingresaba y generaba estadísticas para enviar a la SENATEL, entonces si el usuario no se encontraba o el computador se dañaba, la información se perdía. Es por esta razón que se pensó en hacer una base de datos para que todos los servicios funcionen dentro de la misma, después obligaron a las empresas a que ingresen información a través del sistema SIETEL. Una vez ingresada la información, SIETEL recoge esta información y genera siete formularios, siendo éstos los formularios que pide CONATEL para sus actividades, y de igual forma para los demás servicios. En la actualidad la SENATEL se está conectada directamente con el servidor de la SUPERTEL. Nombre del Servicio: SIGNVERIF Descripción técnica: Es un sistema desarrollado que sirve para que las operadoras envíen documentación específica en un día y hora planificados, esto se hizo con la disposición de que la documentación que se envíe se haga con la firma electrónica, y este sistema verificará cuándo fue firmado para que no haya retrasos. Este sistema recopila información enviada y verifica la firma, además obtiene un resumen que indica si el documento y su firma son válidos, con la fecha que se indica y con el formato para la firma electrónica del Banco Central, y así el técnico puede hacer un informe con la información que ingresó. Nombre del servicio: Proyecto SICOEIR (Sistema de Control del EIR – Equipment Identity Register) 116 Módulo SICOEIR - Activaciones en línea Descripción técnica: Servicio de autorización por parte la Superintendencia de Telecomunicaciones hacia las operadoras, el cual verifica la validez y autoriza la activación de los terminales móviles en el Ecuador. Activaciones en línea es un servicio web, para controlar las activaciones de las operadoras. Antes de que una operadora haga la activación de una línea nueva, la SUPERTEL por medio de este módulo, verifica con un análisis de la base de datos de listas negativas, pre-positivas y positivas, y pueda autorizar o denegar la activación. En cuanto a seguridad se tiene una primera capa a nivel de red, para que a la base de datos puedan acceder los servidores de aplicaciones y las máquinas de los desarrolladores, luego se tiene seguridad a nivel del sistema operativo y finalmente la seguridad propia de la base de datos. Módulo SICOEIR – Arribo Internacional Descripción técnica: Módulo que permite registrar terminarles ingresadas vía Arribo Internacional. Este servicio tiene dos formas de utilizarse, la primera es como un servicio web publicado al exterior al cual se conectan las operadoras mediante un aplicativo, y sirve para registrar los teléfonos que vienen del exterior, debido a los nuevos controles que deben hacer a los dispositivos móviles, con lo cual se hacen algunas validaciones para que el registro del teléfono sea totalmente consistente. El otro tipo de arribo internacional es en batch (procesamiento en lotes), en el cual las operadoras dan a un servidor SFTP archivos que contienen toda la información necesaria para el registro de los dispositivos, este aplicativo corre una vez por semana de forma automática y se hace su respectivo procesamiento. Es un aplicativo de tipo empresarial que se encuentra sobre un JBoss en Linux. Módulo SICOEIR – Ensambladores Descripción técnica: Servicio de carga para la entrega de la información por parte de los ensambladores nacionales de los terminales móviles previo a la comercialización de los terminales móviles. El módulo de Ensambladores hace un procesamiento en batch (procesamiento en lotes) de archivos recibidos por SFTP; sirve para registrar los dispositivos móviles que son ensamblados en el país, cada 117 uno de estos dispositivos tiene un IMEI que es registrado para poder ser comercializado posteriormente. La seguridad que se maneja para este módulo es la autenticación y la utilización de SFTP, pero además los usuarios solamente pueden guardar su información en su respectiva carpeta, y no pueden ver ni descargar información de las carpetas de otros usuarios, es decir solamente permisos de escritura; además se cuenta con una carpeta de respaldo donde, una vez que se procesan los archivos, se guardan en una carpeta a la que los usuarios no tienen ningún permiso de acceso, y también se tiene una carpeta de respuesta en donde se colocan archivos de respuestas a los usuarios, los mismos que tiene permisos solamente de lectura. Módulo SICOEIR - Importadores Descripción técnica: Página web, disponible para los importadores de dispositivos móviles autorizados por la SENATEL para el ingreso del detalle de los IMEI de las importaciones. Es una página web, en donde los usuarios suben archivos, y éstos son preprocesados en línea, respondiendo en ese momento si hay algún problema, y luego pasan a la base de datos para ser procesados; para acceder a ese servicio los usuarios deben autenticarse, por lo que se tiene una tabla en la base de datos que contiene las credenciales de los mismos. Además de las capas de seguridad mencionadas en Activaciones en línea, se tiene seguridad para este módulo por medio de autenticación, y seguridad a nivel de la sesión web, donde se tiene un tiempo de caducidad, para que en caso de que se deje abierta una sesión, otras personas no puedan utilizar esa sesión. Se debe mencionar que se tiene una compartición de la base de datos de la SUPERTEL con la SENAE, y viceversa, porque la SENAE es parte del proceso que realizan los importadores, esto se realiza por medio de un enlace dedicado directamente dirigido a la base de datos. Este sería el módulo más crítico a ser accedido o dañado. Módulo SICOEIR - Lista de Positivos y Depuración Descripción técnica: SICOEIR o “Sistema de control del EIR” es la base de datos de todos los teléfonos que están activos en el Ecuador en cada una de las 118 operadoras. En primer lugar las operadoras depositan archivos en un servidor SFTP, este servidor almacena toda la información que envían las operadoras, es decir información de: activaciones, portaciones, inactivaciones y CDR; estas cuatro cosas se depositan en carpetas específicas y se ejecuta un proceso con la base de datos conectándose al SFTP para ver los archivos que se generan y procesarlos, cada proceso tiene su lógica, por ejemplo, el de activaciones verifica que el equipo esté homologado, que no se encuentre en lista de negativos, de esta forma ubicarlo y obtener reportes de las inconsistencias que se presenten, en cambio aportaciones lo que hace es desactivar dupletas que se encuentren en positivos o en depuración. Todo aquello que opera con normalidad se almacena en lista de positivos, en cambio todo aquello que se encuentra como duplicado o no homologado se almacena en lista de negativos. Se debe tomar en cuenta que todos los equipos entran a lista de depuración, es decir si un teléfono ha sido ingresado recientemente esta información genera un archivo y si este archivo tiene alguna inconsistencia se envían a la lista de depuración, pero el equipo sigue operando normalmente, y se analiza bajo qué condiciones los equipos se bloquean, por ejemplo, si existen teléfonos duplicados (IMEI), se bloquean el o los equipos que tengan el mismo número de IMEI. Actualmente este módulo solo saca reportes. CDR registra cuántas llamadas se hacen por día, enviando el registro del número de teléfono, entonces los CDR sirven para detectar cambios en las dupletas, enviando todo el tráfico generado en ese día. Lo que se hace es tomar los últimos estados de las dupletas de cada día, esto para comparar con la lista de positivos, y así verificar que en realidad se encuentre en positivos o en depuración, pero si se nota algún cambio de chip o que el chip fue usado con otro teléfono pasa a un proceso de seguimiento de cinco días, analizando si el usuario sigue haciendo cambios de la SIM al teléfono original, generando procesos de regularización. Todos los reportes se obtienen cada semana, y así sigue operando la base de datos. CDR todavía se encuentra en proceso de pruebas, no está en producción, pero todos los demás módulos ya están en. Estos módulos han ido evolucionando teniendo como resultados diferentes versiones, antes se compartía la información vía correo electrónico con las 119 operadoras, es decir por cada robo que había en el país se notificaba por correo electrónico interno de la institución haciendo que toda la información que llegaba se dirija directamente a la base de datos para guardar y confirmar la información de los equipos. Actualmente este proyecto se encuentra en la versión 3.0. Este proyecto está abierto para que se pueda extender, pero para esto se necesita de la petición de las autoridades dependiendo de las nuevas necesidades. Módulo SICOEIR - Listas Negativas Ecuador-Colombia-Perú-BoliviaOrganismos Gubernamentales-CNT-SUPERTEL Descripción técnica: Sistema que permite llevar un control y monitoreo del bloqueo efectivo de terminales robados y liberados que notifican los usuarios a través de las operadoras del servicio móvil avanzado en Ecuador, Colombia, Perú y Bolivia, además se consideran los organismos gubernamentales en Ecuador como SENAE y ECU911. Se tienen varios clientes o módulos siendo éstos: operadoras, SUPERTEL, países, organismos gubernamentales, que se comunican directamente con la lista de negativos, siendo éstos los más importantes, por tanto, el sistema enlaza todos estos módulos a la lista de negativos (base de datos). El módulo de la SUPERTEL puede interactuar con los otros módulos. El objetivo del SICOEIR - Lista de negativos es que todos los módulos puedan bloquear celulares, teniendo la conexión con la base de datos; la seguridad que se da es a nivel de red. A nivel de aplicación, sí se puede dar cierto nivel de seguridad, esto se lo puede hacer en el código a implementar, mediante la plataforma de Oracle, se puede interactuar con un bróker que solo es usado por las operadoras, siendo éste un bus empresarial, el cual se encarga de hacer notificaciones a la base de datos con los bloqueos válidos. Para que exista comunicación entre la base y el bróker se definen colas (vías) de ida y de regreso para cada una de las operadoras existentes. Cada operadora tiene configurado un canal de comunicación único para esa operadora. También se hace validación de XML, es decir la estructura del mensaje, si una tercera persona mal intencionada quiere acceder a la información o enviar una gran cantidad de datos para que la base se congestione, se tiene a XML que verifica 120 la estructura de la información y no deja pasar información innecesaria, filtrando solo la información útil. Se puede tener un segundo nivel de validación en la base de datos, verificando que la información ingresada en los campos esté correcta. De esta forma se hace validación de estructura, validación interna, y por último se tendría la información necesaria para ser procesada y envío de mensajes de error informando que la información es incorrecta o que no tiene la estructura adecuada. Una vez que reporta el bloqueo de un celular y ya se encuentra en negativos, éste tendrá un enlace a positivos con avisos de que un número IMEI se encuentra en negativos; así también se envían mensajes a los prepositivos para la liberación de números en el caso de que se compruebe que no deben estar en negativos. Este tipo de seguridad es el que se da a nivel de datos. Por seguridad cada usuario tiene su usuario y contraseña para acceder a la información o para hacer registro de nueva información. Un sistema solo se puede conectar con otro sistema para el envío de información. En la lista de negativos no existen publicaciones a Internet, la transferencia se hace por el bróker, Oracle y servidor SFTP. El SFTP se utiliza para interactuar con los países enviándoles información, esto se hace vía web. Cada desarrollador tiene su propio back-up de su aplicativo. Actualmente no se da alta disponibilidad de equipos para guardar información extra, es por ello que solo se saca respaldos de información mas no de la aplicación y código fuente de las mismas, pudiendo producir pérdidas de información. Módulo SICOEIR - Puntos de Venta Descripción técnica: Servicio de carga para la entrega de la información por parte de los puntos de venta nacionales de los terminales móviles previo a la comercialización de los terminales móviles. También es un procesamiento en batch de archivos, al igual que ensambladores. Es un módulo temporal que se utiliza para subir la información de lo que tienen en perchas y en bodegas en los puntos de venta de los dispositivos móviles que ya están en el país. En lo referente a seguridad manejan los mismos parámetros descritos en el módulo de ensambladores. 121 Módulo SICOEIR - Regalos y Cesiones Descripción técnica: Proceso que permite realizar transferencias o cesiones (cambios) de terminales nuevos o usados entre personas. Lo que hace este módulo es recibir información de las operadoras para procesar el IMEI (identificador de un celular), y determinar si puede ser cedido a otra persona, para esto se hace una validación de que el IMEI del celular pueda ser regalado o cedido, es decir que no esté notificado como robado o que esté correctamente homologado. Éste es un servicio web que es consumido por las operadoras; en primer lugar se valida la información que ingresa la operadora para verificar que el usuario esté correctamente autenticado en el sistema, luego se hacen validaciones con la base de datos que almacena esta información para controlar el terminal que será regalado. De igual forma, la información que se procesa dentro de este módulo es monitoreada para saber cómo y para qué fue la interacción del usuario con el módulo, es decir un registro de actividades. Este módulo está en fase de pruebas por parte de las operadores, las cual aún no han iniciado, ya que las operadoras deben dar una aceptación de la funcionalidad del módulo, y esto se tiene que formalizar mediante algunas actividades, entre las cuales están las pruebas, por lo que mientras no se realicen, el módulo no puede pasar a producción. Nombre del servicio: Control Documental Descripción técnica: Este sistema es una aplicación que permite el envío y recepción de memos, oficios, circulares, entre las unidades administrativas de la SUPERTEL y la recepción de trámites externos interinstitucionales; está dentro de la plataforma DOMINO, ya que Lotus en sí es una plataforma documental. Como se mencionó antes, se tiene otro nivel de seguridad por parte de la aplicación, que a su vez manejan roles para ayudar a personalizar los niveles de seguridad, entonces sobre los documentos se manejan campos lectores y autores; con lo cual, si se activa un campo como lector, se podrá habilitar o no la lectura de un trámite para una persona, y si se activa el campo autor, se define como autor o no de un documento a una persona para que se apliquen los otros 7 niveles de seguridad, haciendo completa la seguridad que se implementa en Lotus. Pero se debe tomar en cuenta también cómo el usuario solicite sus niveles de seguridad al 122 momento de implementarlos; entre los roles que se han definido están los roles de súper-usuario, administrador, documentos confidenciales y documentos normales. Nombre del Servicio: Mail Gateway Descripción técnica: Administración de sonda de filtrado de correos entrantes y salientes para análisis de virus en su contenido. Se tiene una banda de zona desmilitarizada, que pone al frente entidades físicas que son las primeras en reaccionar en caso de que haya alguno. En el momento que llegue un mail masivo o con contenido no apropiado, se filtra, ésta es la funcionalidad del todos los mail gateway, por esto detectan, y en base a la administración que se haga, se puede recibir avisos positivos de ataques, haciendo que esto sea una mejor práctica. El mail Gateway pueden ser capas implementadas por medio de equipos o software. Nombre del Servicio: Antivirus Descripción técnica: Servicio de Protección antivirus para estaciones de trabajo y servidores Windows y Linux. Además de la seguridad brindada por firewalls, el antivirus es un sistema de seguridad que está instalado en cada máquina y en los servidores para prevenir los ataques de los virus más comunes que están en la red. Nombre del Servicio: Consolas Descripción técnica: Administración de consolas de Blade Center y Pi series tanto de centro de cómputo principal como alterno. Se maneja dos plataformas de hardware: la primera es la plataforma X86 que pertenece a la línea de servidores Intel, la segunda es la plataforma Power para los procesadores RISC; cada plataforma tiene sus consolas de administración; todos los servidores son virtualizados, no se tienen servicios o aplicaciones que trabajen sobre servidores físicos, es decir que sobre estas plataformas se ha creado una capa virtual, para los servidores Intel esta capa está sobre VMWare, y para la línea Power la capa virtual se hace sobre PowerVM, entonces estos sistemas son los que permiten virtualizar el hardware. Entonces para la administración de VMWare se tienen varias consolas: una que funciona como administrador de VMWare, y otra consola para la administración 123 de los chasis, esta consola es a nivel físico, además físicamente se trabaja con una tecnología Blade, conformado por los Blade Center y los servidores Blade. Adicionalmente se tiene una consola para la administración de la capa de virtualización. En la parte de PowerVM, se tiene equipos de diferente tecnología de grandes tamaños, que son particionados y que se maneja y administran mediante una consola HMC. Adicionalmente se tiene racks para Storage, es decir se tienen equipos que tienen una gran cantidad de almacenamiento en discos que permiten asignar porciones de estos discos a los equipos de acuerdo a los requerimientos que se tengan dependiendo de la plataforma; este equipo también dispone de una consola cliente para administración. En cuanto a seguridad de estas consolas, se trabaja con autenticación de usuario y contraseña, no se están manejando perfiles, los accesos a las consolas están en el mismo segmento de red que los servidores (esto posiblemente debido a que el firewall no puede manejar más de 2 segmentos de red), pero se está tratando de segmentar la red para separar esto. Nombre del Servicio: APACHE Descripción técnica: Administración de servidores web Apache utilizados sobre múltiples plataformas con soporte para JAVA y PHP. Éste es un servidor de aplicaciones de Linux, pero no para aplicaciones empresariales, sino que es más utilizado para aplicaciones web; se tienen servidores Apache en Windows y en Linux, el de Windows está alojado en un servlet, otro Apache se encuentra instalado en un Cast-Server (que es un servidor para autenticación por medio de Single SignOn) y este se conecta al servidor de Lotus para obtener los usuarios y contraseñas. Nombre del Servicio: Internet Information Server Descripción técnica: Internet Information Service o IIS es un servidor web y un conjunto de servicios para el sistema operativo Microsoft Windows, integrado en otros sistemas operativos de Microsoft destinados a ofrecer servicios. Sirve para correr aplicaciones desarrolladas con Visual Studio. Tiene el mismo esquema de seguridad que la página web porque se encuentra publicado al exterior y está ubicado en una zona desmilitarizada. La 124 seguridad que generalmente se utiliza en las aplicaciones es una autenticación básica. Nombre del Servicio: Oracle App. Server Descripción técnica: El Oracle App. Server 10 se encuentra en un servidor 0.34, en el cual se encuentran todas las aplicaciones desarrolladas, se encuentran atadas a los servidores APEX (herramientas de desarrollo que son instaladas en plataformas Oracle) que se instalan sobre bases de datos Oracle, por esto existen APEX instalados sobre 10G, 11G, todos ellos tienen un componente que se llama Listener para que puedan salir por el App Server. El tipo de seguridad que se le da es únicamente el de autenticación para las personas que ingresen usando la IP pública. Nombre del Servicio: WEBLOGIC Descripción técnica: Servidor de aplicaciones Java EE y también un servidor web HTTP. Es un producto de ORACLE. Este servidor maneja aplicaciones empresariales, permite la creación de servidores virtuales para cada aplicación que necesite, tanto para ambiente de producción como ambiente de pruebas. Maneja certificados de seguridad para conectarse usando el protocolo HTTPS como mecanismo de seguridad. También se pueden configurar las conexiones a las diferentes bases de datos. Nombre del servicio: Plataforma de Inteligencia de Negocios Descripción técnica: Es un conjunto de herramientas que permiten elaborar reportes estadísticos que permitan tomar decisiones; se compone de varias herramientas, que permiten que la información contenida en las bases de datos o archivos u otras fuentes de información se consolide y agrupe; tiene una estructura en estrella a la que se conectan otra herramienta para poder obtener la información, como tableros de mando, reportadores, etc. La plataforma de Inteligencia de negocios está formada por: ETL que es el transformador, el repositorio que está en una base de datos (ORACLE), y las diferentes herramientas que permiten extraer la información para verlas en una 125 forma estadística. Sirve para ver información procesada orientada a la toma de decisiones, y depende mucho de haber decidido cómo se quiere ver la información. Nombre del servicio: Rational Composer Descripción técnica: Herramienta para administración de requerimientos de software durante el ciclo de desarrollo de software, está contenida dentro de una plataforma Jazz Team Server, que es una plataforma más grande y permite manejar documentación técnica o de desarrollo de proyectos de software. Esta herramienta es adquirida y se está utilizando para administrar documentos de requisitos de los proyectos, diagramas de casos de uso, diagramas de arquitectura, registros para los diferentes desarrollos de software, para lo cual se dispone de plantillas. Cada desarrollador puede ingresar con sus credenciales y coloca los documentos que correspondan. Sirve para que exista una comunicación entre el requirente y el desarrollador; el requirente coloca un documento de requisito, con lo que se inicia un flujo de aprobación, y si se aprueba se ve las personas que lo aprobaron, teniendo una integración total del requisito. Además, se está subiendo información técnica de los proyectos que ya se han levantado. Nombre del Servicio: Control Remoto Descripción técnica: Administración de software que permite el control remoto de equipos dentro de la intranet. Este servicio se brinda a través del software Tivolli, que permite conectarse remotamente a los equipos de diferentes usuarios en las diferentes delegaciones. Nombre del Servicio: HELP DESK Descripción técnica: Aplicación que permite atender los requerimientos a todo el personal de la Institución. Esta aplicación es bastante sencilla, y al igual que las demás aplicaciones en la plataforma DOMINO viene con los diferentes niveles y roles predefinidos para configurar la seguridad de la misma. Principalmente se cuenta con un rol administrador asignado a todo el grupo DTT y un rol Default que se asigna a los demás usuarios. 126 Activos de servicios Nombre del servicio: Videoconferencia Descripción técnica: Administración del servicio de comunicación visual y colaboración, utilizado para reuniones y capacitaciones institucionales, minimizando el factor de ubicación física de los participantes. Se pueden hacer videoconferencias de dos formas, la primera es una comunicación punto a punto, y la segunda es punto-multipunto, en las que participan tres o más usuarios; actualmente se utiliza un equipo llamado Lifesize que provee administración vía software y manejo por hardware. Este dispositivo se encuentra directamente conectado a uno de los switches de core, y permite la creación de múltiples salas, y cada sala puede tener hasta 16 conexiones, permitiendo tener varias sesiones simultáneas en diferentes salas. Nombre del servicio: Noticiero Digital Descripción técnica: Está concebido para tener un informativo híbrido de las actividades que llevan a cabo cada uno de los órganos administrativos, para usuarios internos y externos, es un servidor web que se usa para manejar contenidos. Para publicar este noticiero se necesita que el servidor de Internet esté instalado en un equipo local; de esta misma forma se maneja este servicio en las demás Delegaciones Regionales, mostrándose el mismo contenido y optimizando el tráfico WAN; se pueden realizar cambios remotamente. Nombre del Servicio: VPN Descripción técnica: La VPN es un esquema de conexión segura, que se puede hacer usando diferentes protocolos, para la SUPERTEL se hace mediante uno de los firewalls perimetrales y con el protocolo IPSec, la autenticación de usuario se hace a través de Active Directory. Por lo general es usada por los directores y por los funcionarios que por su trabajo deben estar movilizándose. Solamente se tiene VPN client-to-side, es decir de la PC (por ejemplo, desde la casa) a mi estación de trabajo (PC en la oficina). 127 Nombre del Servicio: Intranet Descripción técnica: Es la red interna de la institución, por lo que debe estar siempre levantado el servicio. Nombre del Servicio: Página Web Institucional Descripción técnica: Se realiza una administración del servicio web, es decir, verificar que la página se encuentre funcionando; no se realiza una administración de contenido ni de la forma en cómo se implementa la seguridad para este servicio, de lo cual se encarga la Dirección de Imagen y Comunicación (DIC). Se realiza un respaldo semanal de las bases de datos necesarias, no se tiene un respaldo además del colocado en el mismo servidor, por lo que en caso de algún incidente se puede perder la información. Como la página fue desarrollada en Jumla, tiene algunos plugins que ayudan en la administración y una seguridad básica, por lo que la mayor seguridad que se le puede dar es a nivel de infraestructura. Nombre del Servicio: Internet Descripción técnica: Este servicio se encuentra centralizado y es desde la matriz donde se distribuye a nivel nacional. Se tienen dos salidas de Internet, donde se tienen publicados varios servicios (web, correo, entre otros), todo esto se controla a nivel de Firewall donde hay un filtro de contenido, el cual no es muy eficiente ya que hay que depurar y mejorar para que su funcionamiento sea más óptimo, actualmente el firewall solo tiene un funcionamiento mínimo. Nombre del Servicio: Red SAN Descripción técnica: Es la red que se utiliza para los storage, siendo esta red de fibra óptica, la cual corre a 8Gb, permitiendo conectar los storage con los servidores, para poder transportar toda la información de almacenamiento, un servidor se conecta mediante canales de fibra al almacenamiento. En la actualidad se tienen dos almacenamientos activos DS5300 IBM y el BNX Cisco y uno nuevo store waze V7000 IBM. Todos estos confluyen a dos Switches Cisco para mantener alta disponibilidad; los hosts tienen tarjetas especiales (tarjetas de canal de fibra), las conexiones a estos almacenamientos son diferentes a las conexiones con tarjetas de red, es decir por un lado se conecta a los almacenamientos (WWN - 128 Word Wide Name) y por otro lado se trabaja con el networking (TCP/IP). En el lado del almacenamiento entran todos los servidores. La administración es muy parecida a la que se hace con el networking, es decir, la administración que se da a un switch (puertos, disponibilidad, licenciamiento, etc.), con la diferencia de que no pasa a redes TCP/IP sino a redes de datos WWN. Las licencias se adquieren por puertos, la SUPERTEL tienen licenciados 24 puertos por cada switch, si se necesitaran más puertos se deben comprar licencias adicionales. Por otro lado, existen puertos de conexión a nivel de administración de los storage, cada storage maneja puertos de conexión llamados storage partition, este licenciamiento permite que un host se conecte a un almacenamiento, por lo tanto, se debe administrar el almacenamiento y el switch, las vigencias de estas licencias son perpetuas. Se tiene alta disponibilidad en los switches, por esto todas las conexiones son redundantes, si uno de los switches se ha quedado sin funcionamiento, no se pierde la conexión con los equipos de almacenamiento, siendo esto una gran ventaja ya que no se perdería la conexión con la información en situaciones críticas. No se contaba con documentación que detalle las conexiones, por lo que se llamó al proveedor para saber cuántos puertos están utilizados, cómo está hecha la conexión, cuántas VLAN estaban creadas y qué equipos correspondían a estas VLAN. Para hacer la configuración de las VLAN, se crean las mismas y luego se asignan los equipos que pertenecen a cada una. La administración está a cargo del área de Servidores con personal de la DTT, pero con apoyo de los proveedores, porque no se tiene la suficiente preparación para hacerlo en la DTT, así como también por falta de equipo humano se prefiere llamar a los proveedores. La adquisición de la Red SAN no contemplaba horas de soporte, solo se cuenta con garantía de los equipos. Nombre del Servicio: Red Inalámbrica Descripción técnica: Este servicio se brinda con el equipo Wireless LAN Controler (WLC), que es un dispositivo CISCO que permite administrar de manera centralizada y única los Access Points, permitiendo configurar dichos equipos y además regular su potencia de funcionamiento para evitar interferencias entre ellos; facilita también la configuración de varias subredes en todos los Access Points para 129 que los usuarios tengan movilidad total por el edificio y sus dependencias, para una mejor administración se tiene configurada la asignación dinámica de direcciones IP con el servidor DHCP. Si este equipo deja de funcionar se perdería en control de ciertas características de los AP, pero no sería crítico ya que los AP quedan configurados y funcionarían independientemente. Nombre del Servicio: Comunicación Regional Descripción técnica: Se dispone de una red WAN contratada a Punto Net, en esta red se dispone de la conectividad de todas las regionales, siendo estas Costa, Calderón, Sur, etc., en total siete, y también constan 30 estaciones de control del sistema SACER. El sistema SACER hace mediciones del espectro radioeléctrico, las cuales son enviadas a la matriz haciendo que esta información sea centralizada. Esta WAN es una red IP MPLS, con las regionales se tienen levantadas, a más del canal IP MPLS, VPN, es decir una red privada para la SUPERTEL (no existe tráfico mezclado). Se tiene cifrado MD5 a nivel del canal de comunicaciones, es decir que a más de la protección IP MPLS también se encripta la información dando más seguridad al medio de comunicación. Nombre del Servicio: Switching y Routing Descripción técnica: Administración de infraestructura de LAN y WAN. Administración de tarjetería de voz contra PSTN. Se tienen switches de piso que forman la capa de acceso; a más del cableado horizontal se tiene el cableado vertical limitado a la capacidad de transmisión de los dispositivos activos (switches). Las máquinas que se tienen actualmente solo llegan a una velocidad de 100Mbps y los equipos de switching y routing con los que se cuenta tienen una velocidad de 1Gbps, siendo esta mayor a lo que realmente se usa a nivel LAN. Actualmente se cuenta con cableado de cobre y fibra para tener redundancia, pero existe una problemática en los switches a donde llegan esos equipos, por esto se tiene levantado un protocolo Spanning Tree, es decir un canal se encuentra activo y otro se encuentra en reposo para que, si un enlace se cae, el otro subirá inmediatamente. Nombre del Servicio: NAC 130 Descripción técnica: Control de acceso para usuarios de servicios VPN. Realiza un control de acceso para que las máquinas que se autentican en la VPN, lo hagan después de haber cumplido con las condiciones que se hayan configurado en el NAC. Se ha visto que se debe optimizar su uso. La autenticación se hace mediante Active Directory. Se busca estandarizar elementos a utilizar como: sistema operativo, parches, navegadores, por medio de políticas de seguridad. Nombre del Servicio: Seguridad de Servidores Descripción técnica: Administración de firewalls, seguridad en el segmento de servidores institucionales, políticas de Active Directory, políticas de acceso, cuentas de usuario y demás relacionadas. Cada componente tiene su nivel de seguridad. Los firewalls que existen protegen segmentos de red que necesitan de seguridad, empezando por el sitio físico donde se encuentra el servidor, es decir que este servidor esté conectado a una energía regulada, que el servidor no se apague en caso de un corte de energía, que el servidor tenga buenas condiciones ambientales, limpieza, además del mantenimiento en software para que no se produzcan errores. El mantenimiento lo hacen agentes externos (proveedores). Nombre del Servicio: Seguridad Perimetral Descripción técnica: Administración de seguridad perimetral. Incluyen los accesos corporativos a Internet y el análisis de contenidos del tráfico desde y hacia Internet. Firewalls: Se tienen cuatro firewalls que actualmente trabajan de forma independiente, colocados de modo que hay dos firewalls internos y dos externos, ya que es una buena práctica tener un segmento de firewalls externo y otro segmento interno. Los dos firewalls externos proveen la salida a Internet, de modo que funcione cuando el primero se caiga, pero además el segundo firewall tiene conexión a empresas externas que trabajan junto con la SUPERTEL para brindarles algún servicio, como son: Otecel, Conecel, CNT, ECU911, entre otras, y que se conoce como la Extranet. Cada firewall tiene una doble conexión hacia Internet, que funcionan en modo activo-pasivo, además de la conexión entre los dos firewalls. 131 De forma adicional, en el primer firewall se conecta un módulo llamado CSC (Content Security and Control Security Services), que hace un filtrado web, en donde se administran algunas políticas de seguridad en cuanto al contenido al que pueden acceder los usuarios de la red. Existen otros dos equipos que también filtra el contenido web, conocido como Iron Port o WSA (Web Security Appliance), que también se supone que están conectados en redundancia, estos equipos funcionan si están conectados a la red de los usuarios, pero colocados después de los firewalls y antes de llegar a los usuarios. Se cuenta también con equipos ESA (Email Security Appliance) para filtrar spam en el correo electrónico. Tanto el WSA como el ESA funcionan descargándose diariamente actualizaciones del fabricante, en el caso del ESA bloquea páginas que producen spam, mientras que el WSA bloquea páginas de acuerdo a categorías en las que se han pre-clasificado las mismas, con esto se busca mejorar la productividad. Estos equipos trabajan adquiriendo una licencia, por lo que el momento que se acaba el periodo de validez de la licencia, dejarán de descargarse las actualizaciones de contenido que deben bloquear y solamente funcionará con los bloqueos que se tenían hasta ese momento. Como administradores se hace la verificación de la descarga de actualizaciones y también añadir excepciones a páginas que se necesite acceder, pero con control de acceso de acuerdo a la IP del equipo de usuario, aunque también se podría configurar para que trabaje integrado con Active Directory. Los firewalls externos están filtrando el tráfico a nivel de Internet de las dependencias externas. Ahora solo existe protección hasta la capa 4, las aplicaciones pueden estar expuestas a que se tengan ataques. Nombre del Servicio: Telefonía Descripción técnica: Sistema de telefonía fija y móvil para comunicación de voz, tanto en el edificio matriz como en las Intendencias Regionales y usuarios con alta movilidad. Para la telefonía básica existe la central telefónica junto con los teléfonos (extensiones para proveer el marcado). Cada uno de los teléfonos serán registrados en la central mediante la MAC del equipo y el código de equipo. Si el teléfono es inalámbrico, cada uno de los Access Points tiene que tener el registro del teléfono para que cuando haya 132 desplazamiento la cobertura no se pierda. Toda conexión para una llamada tiene que pasar por la central telefónica; una vez ya establecida la comunicación, la conexión deja de pasar por la central telefónica, utilizando el Protocolo Real Time. La comunicación entre teléfono y central tiene el protocolo SIP (tono de marcado, tono de ocupado, pantalla, etc.). Para las llamadas hacia fuera de la institución, la central interviene en toda la comunicación mediante un equipo Gateway de voz, siendo este el Router. Todas las llamadas de las demás delegaciones o intendencias se conectan a la matriz y salen hacia su destino. Las centrales de las regionales están configuradas con el protocolo SRST (Survivable Remote Site Telephony), si se llegara a perder la comunicación o caída del enlace con la central (matriz), las demás centrales empezarán a funcionar como centrales autónomas. Si la central telefónica no funcionara ya no se podrían hacer llamadas, es decir que al momento de levantar el teléfono no existiría ni tono para marcado. Esto se gestiona por número de licencias de telefonía. Nombre del servicio: Cableado Estructurado Descripción técnica: Administración de infraestructura de cableado estructurado para el edificio matriz de la SUPERTEL. Nombre del Servicio: DNS, DHCP, NTP Descripción técnica: Administración de servidores de Nombres de dominio, sincronización de tiempo y asignación dinámica de direccionamiento IP. DNS es un servicio de resolución de nombres, donde se crean zonas e ingresan los hosts. DHCP provee direccionamiento para los hosts, pero se espera mejorar en la administración de este servicio, ya que algunas máquinas de usuario tienen direccionamiento estático y otras tienen direccionamiento dinámico, por lo que se busca administrar de forma uniforme la asignación del direccionamiento. Nombre del Servicio: LDAP Descripción técnica: LDAP es el nombre estándar que se maneja para el protocolo con el que se crea, maneja, activa o elimina cuentas de usuarios, estas funciones las hace Active Directory. Pero existen otros LDAP para otros sistemas, por lo que se tiene usuarios internos y externos (que son los que hacen uso de aplicaciones de la DTT y cuya información se almacena en repositorios). Está 133 instalado a nivel de todas las dependencias. Se busca mantener una única fuente de identidad, lo que también se conoce como single sign-on, para que con la misma autenticación se pueda acceder a varios servicios, pero se debe mencionar que se tiene otro LDAP para el uso del correo electrónico interno (Institucional). Nombre del servicio: Citrix Descripción técnica: Citrix es un servicio de virtualización, por el cual se pueden acceder a los servicios de la institución. Tiene dos servidores físicos que permiten balancear la carga de trabajo y que están interconectados entre ellos, y un tercer servidor virtual que es la interfaz web. En la interfaz web se publican una cantidad de aplicaciones, a las cuales acceden determinados usuarios. Cuando el usuario interactúa con el navegador (interfaz web), se muestra una interfaz para autenticación, que se valida mediante Active Directory, una vez autenticado, el usuario ve solamente las aplicaciones publicadas y autorizadas para su uso. Cabe recalcar que en Citrix se pueden publicar aplicaciones que sean multitarea, no multiusuario. El servidor empieza a ejecutar el programa y muestra pantallas, es decir una virtualización, por lo que es más rápido y liviano. Una de los mecanismos que Citrix usa para dar seguridad es la restricción de las aplicaciones que son accesibles para cada usuario. Para la publicación de aplicaciones, se ingresa a Citrix como administrador, en el servidor físico, previo a aprobación respectiva, se procede a instalar dicho software con su procedimiento normal; una vez instalado, el administrador se dirige a la consola de Citrix, donde se hace un reconocimiento de los programas que se desean publicar, y se agrega a la base de programas disponibles, en la consola se tiene la opción de seleccionar a quién se va a publicar la aplicación, por lo que se conecta con Active Directory y se busca al usuario; otra forma es que el administrador ingrese directamente al Active Directory y se agrega al usuario en el grupo de publicaciones Citrix. Existe un servidor Citrix de contingencia que se encuentra en la Delegación Regional Sur (Cuenca). Nombre del servicio: Centro de cómputo Descripción técnica: Administra la infraestructura instalada en los centros de cómputo tanto principal como alterno. Se incluye controles de acceso, climatización, sistema contra incendios, y demás. 134 Nombre del servicio: Centro de UPS Descripción técnica: Administración de energía regulada. Los activos descritos son los que permiten el desempeño correcto de las responsabilidades a cargo de la DTT, por lo que con la gestión de los riesgos presentes y la consideración de riesgos que puedan presentarse en el futuro, son importantes para el cumplimiento de los objetivos que se ha propuesto la Dirección. Al momento de realizar el análisis de riesgos en la Seguridad de la Información se tomarán los servicios considerados más importantes, dentro de cada tipo de activo, para mostrar cómo se realiza la evaluación del riesgo. Identificación de las amenazas Para realizar la identificación de las diferentes amenazas en los activos a cargo de la DTT, se ha tomado en consideración la naturaleza del origen de las amenazas, las cuales pueden clasificarse como ambientales (E) o humanas, y dentro de las amenazas humanas, éstas pueden ser accidentales (A) o deliberadas (D); esta clasificación de las amenazas se muestra en la Tabla 2.8. Identificación de amenazas. Identificación de los controles existente En esta parte del desarrollo del sistema, se considera la identificación de controles existentes mediante las descripciones técnicas de cada servicio a cargo de la DTT; esta recopilación de información se realizó durante el periodo en el cual se cumplieron actividades que implicaban la manipulación de los servicios, adicional a las entrevistas realizadas a cada uno de los funcionarios a cargo de los diferentes servicios. Tabla 2.8. Identificación de amenazas [2, p. 42] Tipo Daño físico Eventos naturales Pérdida de los servicios esenciales Amenazas Fuego Destrucción del equipo o los medios Fenómenos volcánicos Fenómenos sísmicos Fenómenos climáticos Falla en el sistema de suministro de agua o de aire acondicionado Pérdida de suministro de energía Origen A,D, E A, D, E E E E A, D A, D, E 135 Perturbación debida a la radiación Compromiso de la información Fallas técnicas Acciones no autorizadas Compromiso de las funciones Falla en el equipo de telecomunicaciones Falla en el sistema de alimentación ininterrumpida (UPS) A, E A, D, E Radiación térmica A, D, E Espionaje remoto Escucha encubierta Hurto de medios o documentos Hurto de equipo Divulgación Datos provenientes de fuentes no confiables Manipulación con hardware Manipulación con software Detección de la ubicación Falta de respaldos Falla en la conexión entre servidores Falla del equipo Mal funcionamiento del equipo Saturación del sistema de información Mal funcionamiento del software Incumplimiento en el mantenimiento del sistema de información Uso no autorizado del equipo Uso de software falso, copiado o desactualizado Corrupción de los datos Procesamiento ilegal de los datos Error en el uso Abuso de derechos Falsificación de derechos Negación de acciones Incumplimiento en la disponibilidad del personal D D D D A, D A, D D A, D D A, D A,E A A A, D A A, D D A, D D D A A,D D D A, D, E En el periodo en el que se constató el funcionamiento de la DTT, se pudo observar que si existen prácticas de seguridad, relacionadas con ciertos controles descritos en la Norma NTE INEN-ISO/IEC 27002:2009, por lo que se puede considerar que se cumple con algunos controles de esta norma, los cuales se describen en la sección 3.2.5 (Identificación de los controles de la Norma NTE INEN-ISO/IEC 27002:2009 para la DTT), para una mejor relación con el tratamiento de los riesgos en la seguridad de la información. Identificación de las vulnerabilidades La información acerca de los diferentes servicios de la Dirección se obtuvo de las entrevistas realizadas a cada uno de los funcionarios a cargo de los diferentes servicios, y de lo que se pudo constatar acerca del funcionamiento de los mismos, lo que permitió que se puedan determinar las diferentes vulnerabilidades que pueden presentarse en los servicios a cargo de la DTT, considerando los tipos de amenazas a los que pertenecen. Estas vulnerabilidades se presentan en la Tabla 2.9. 136 Identificación de las consecuencias Como se muestra en la Tabla 2.9, donde se detallan las vulnerabilidades que pueden presentarse en los servicios a cargo de la DTT, también se detallan las consecuencias para estas vulnerabilidades; estas consecuencias también toman el nombre de impactos causados por las vulnerabilidades en la seguridad de la información. 2.4.2.1.2. Estimación del riesgo Metodologías para la estimación del riesgo Las metodologías para la estimación del riesgo pueden ser cuantitativas, cualitativas o una combinación de las anteriores, como se describe en la Norma 27005 [2]. Para este análisis se emplea una metodología cualitativa, que permite ver de forma menos compleja el nivel de los riesgos en la seguridad de la información, haciendo que sea de fácil comprensión para el personal pertinente. Valoración de las consecuencias Se entiende como valoración de las consecuencias a la valoración de los impactos que se tienen como resultado del aprovechamiento de una vulnerabilidad, es decir de la ocurrencia de una amenaza. Para la valoración de las diferentes vulnerabilidades e impactos de los servicios de la DTT, se han considerado varios incidentes en la seguridad de la información en base a los que se han calificado cualitativamente los riesgos encontrados, esta información se presenta en las diferentes tablas de cada servicio. Valoración de los incidentes Esta valoración se la realiza en base a entrevistas realizadas a cada funcionario a cargo de los servicios existentes en la DTT, y a las experiencias adquiridas en el periodo de estadía en esta Dirección, en donde se constató varios escenarios del incidente que causaban que ciertos servicios presenten vulnerabilidades. No se otorga ningún valor cualitativo o cuantitativo para los incidentes, pero se toman en cuenta para determinar un valor en la probabilidad de ocurrencia de una vulnerabilidad y a su impacto de acuerdo al tiempo sin funcionamiento de un servicio y la pérdida de información que pueda producirse. 137 Nivel de estimación del riesgo Para realizar la estimación del riesgo se han asignado valores a la probabilidad de ocurrencia de una amenaza y a los impactos que se pueden producir en cada uno de los servicios. Se ha utilizado un enfoque para la estimación del riesgo de la seguridad de la información en base al ANEXO E.2.2: Clasificación de las amenazas de [2] mediante las medidas del riesgo, en donde se realiza una descripción de la amenaza. Se evalúa la probabilidad de ocurrencia de una amenaza y el impacto que puede producirse en cada servicio; la valoración se realiza mediante los criterios establecidos en la sección 2.4.1.1 (Criterios básicos). Luego se procede a calcular la medida del riesgo multiplicando la probabilidad de ocurrencia de una amenaza con el impacto, para finalmente realizar la clasificación de las amenazas de acuerdo al criterio de evaluación de riesgo que establece el nivel del riesgo. Accidentes de los funcionarios al producirse el evento. Ecuador se encuentra ubicado en un área volcánica con riesgos de erupción, por lo que los funcionarios deben saber cómo reaccionar ante estos eventos. No se ha realizado una capacitación a los funcionarios sobre planes de evacuación en caso de que se produzcan sismos. Climáticos Sísmicos Volcánicos Desestabilización de la red de energía eléctrica en el sector del edificio matriz Filtración de agua en la estructura del edificio Accidentes de los funcionarios al producirse el evento. Existen equipos que ya pasaron su tiempo de vida útil y no se ha gestionado oportunamente su renovación No realizar la renovación oportuna de equipos Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico No asegurar correctamente la ubicación de los equipos La ubicación de algunos equipos, tanto de comunicaciones como del área de trabajo, puede no ser la adecuada o no estar asegurada. Al presentarse lluvias fuertes o de larga duración se pueden producir filtraciones en la estructura del edificio, por la existencia de fallas en la misma. La desestabilización de la red de energía eléctrica se puede producir a causa de lluvias fuertes con presencia de tormentas eléctricas. El equipo se vuelve obsoleto No se realiza el mantenimiento adecuado del dispositivo biométrico para control de acceso colocado en la entrada al Centro de Cómputo Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo Destrucción del equipo No se ha planificado un mantenimiento periódico del Sistema contra Incendios Fuego Los equipos sensibles a variaciones de voltaje sufren daños. Daño en los equipos Daños físicos en los equipos Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio No se realiza un mantenimiento periódico del Sistema Contra incendios Impacto Descripción Vulnerabilidad Amenaza Se podrían producir variaciones de voltaje que provoquen daños en los equipos que interrumpan el funcionamiento de ciertos servicios Los equipos sufren daños al entrar en contacto con el agua. En caso de producirse un sismo, algunos equipos pueden sufrir daños físicos. Las personas que se encuentren en el edificio pueden sufrir accidentes al no saber cómo deben actuar en caso de emergencia. Las personas que se encuentren en el edificio pueden sufrir accidentes al no saber cómo deben actuar en caso de emergencia. Destrucción de la edificación y pérdida de la información de los equipos de networking, de almacenamiento y equipos del área de trabajo, debido a que los respaldos de la información se guardan en el mismo Centro de Cómputo principal Al no tener una correcta verificación del personal que ingresa al Centro de Cómputo se podrían manipular los equipos de forma inadecuada alterando el funcionamiento de la red El equipo no cumple con las características y funciones necesarias para que los servicios trabajen correctamente Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 138 Falla en el sistema de alimentación ininterrumpida (UPS) Falla en el equipo de telecomunicaciones Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) No se ha planificado la renovación oportuna del banco de baterías, ni se realiza un mantenimiento continuo del sistema de UPS. Falla del sistema de Alimentación ininterrumpida (UPS) El equipo no trabaja adecuadamente Existen equipos que no pueden ser administrados debido a que no se cuenta con un registro de configuraciones anteriores. Conexión deficiente de los cables Monitoreo inadecuado de los enlaces WAN Mal funcionamiento de los servicios de la red No se ha planificado un mantenimiento del cableado estructurado, debido a que no se utilizan cables en correcto estado y no se tiene el correcto etiquetado, que permite identificar los puntos utilizados en la red. Al producirse cambios de personal, no se han dejado debidamente documentados algunos procedimientos que se realizan para el monitoreo del estado de los enlaces. Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) En caso de fallas de servicio de energía eléctrica no se tiene una correcta convergencia entre el sistema eléctrico y el sistema de alimentación ininterrumpida (UPS) No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Los equipos sensibles a variaciones de voltaje sufren daños. No se tiene una correcta instalación del Sistema Eléctrico en el edificio, debido a crecimiento de la red energética no planificado. No tener correctas instalaciones eléctricas Pérdida de suministro de energía Daño de los equipos en el Centro de Cómputo No se realiza mantenimiento de los Sistemas de Aire Acondicionado y ni la renovación oportuna de equipos Mal mantenimiento de los sistemas de Aire Acondicionado Impacto Falla en el sistema de suministro de agua y aire acondicionado Descripción Vulnerabilidad Amenaza Los equipos suspenden su funcionamiento debido a la falta de suministro de energía eléctrica. Al no configurar correctamente varios parámetros de los equipos, se pueden presentar incidentes de seguridad de la información debido a las restricciones no establecidas. No se puede acceder a la información o tomar medidas correctivas en tiempos óptimos. Se puede producir un uso deficiente del enlace o no se tenga conectividad a una parte de la red. Los UPS no entrar en funcionamiento inmediatamente después de que se produzca un corte de energía eléctrica. Con el aumento del número de funcionarios en el edificio se han incrementado los puntos de tomas eléctricas sin una correcta planificación e instalación. Los equipos suspenden su funcionamiento como prevención al sobrecalentamiento por lo que dejan de funcionar los servicios Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 139 Escucha encubierta Espionaje remoto Amenaza No se han planificado procedimientos para realizar el monitoreo del estado de los enlaces WAN. La información contenida en Bases de Datos no utiliza algoritmos de cifrado No encriptar la información No se tiene un procedimiento adecuado para renovación y manejo de contraseñas. Robo y modificación de información Robo de información Al no encriptar la información un atacante que se encuentra interviniendo en los enlaces puede ver la información en texto claro, almacenarla y llegar hacer mal uso de la misma Se puede acceder a la información que se transmite por los enlaces de la SUPERTEL debido a que no se tienen mecanismos de protección de la información que se está enviando. (Ej. cifrado) Los administradores de los servidores manejan las contraseñas de administración de los mismos, que en caso de que se difundan estas contraseñas, se podría manipular la información contenida de forma no autorizada. Para las estaciones de trabajo, los funcionarios no tienen una administración adecuada de sus contraseñas. Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) No se tiene una planificación de monitoreos periódicos a los enlaces WAN Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Al no realizar mantenimientos de los enlaces se pueden producir ataques en donde se acceda a la información de forma no autorizada y pudiendo hacer mal uso de la misma Robo o pérdida de la información Al producirse cambios de personal, no se han dejado debidamente documentados algunos procedimientos que se realizan para el monitoreo del estado de los enlaces. El atacante obtiene información de forma no autorizada, y puede almacenarla para usarla inadecuadamente en el futuro Robo o Modificación de la información ingresada Los firewalls no trabajan adecuadamente Al no configurar correctamente varios parámetros de los firewalls, se pueden presentar incidentes de seguridad de la información debido a las restricciones no establecidas El atacante obtiene información de forma no autorizada, realizando modificaciones en los sistemas a los que accede y provocando pérdidas de información Descripción Usuarios no autorizados podrían acceder al contenido del servidor SFTP, y saturarlo con información basura Algunos parámetros de configuración de los firewalls no pueden ser administrador debido a que no se cuenta con un registro de configuraciones anteriores Robo o modificación de la información Un atacante puede intentar suplantar la página Web de la Institución, o acceder a información muy sensible al no usar un protocolo HTTPS (HyperText Transfer Protocol Secure) Falta de certificado de seguridad para las Páginas Web Administración incorrecta de los parámetros de funcionamiento de los firewalls No monitorear adecuadamente los accesos al servidor SFTP de forma externa No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Impacto Descripción Vulnerabilidad Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 140 Datos provenientes de fuentes no confiables Divulgación Hurto de equipo Mal manejo de la compartición de la información No deshabilitar puertos no utilizados en equipos de conectividad Falta de control de acceso a las carpetas compartidas Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Administración inadecuada de los equipos del área de trabajo disponibles para su uso Existen carpetas compartidas para las cuales se han configurado permisos de acceso a usuarios que no deberían acceder a las mismas. No se aplican políticas para restringir la compartición de archivos o documentos, de acuerdo a la importancia de los mismos Acceso no autorizado a la información en los equipos de la red Acceso indebido a las carpetas compartidas por parte de usuarios no autorizados Divulgación no autorizada de información No se tiene un procedimiento adecuado para renovación y manejo de contraseñas. No se han definido procedimientos para bloqueo de puertos no utilizados en los equipos de conectividad. Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Error en la disponibilidad de los equipos Acceso no autorizado a ciertos documentos Los firewalls no trabajan adecuadamente Algunos parámetros de configuración de los firewalls no pueden ser administrador debido a que no se cuenta con un registro de configuraciones anteriores Escucha encubierta No se aplican políticas para restringir la compartición de archivos o documentos, de acuerdo a la importancia de los mismos No se lleva un registro permanente de los equipos para el área de trabajo que son prestados a diferentes funcionarios por parte de la DTT, ni una correcta planificación para la renovación de estos equipos. Acceso no autorizado al servidor SFTP Existen usuarios que tienen permisos para acceder al servidor SFTP sin que se justifiquen estos permisos. Asignación errada de derechos de acceso al servidor SFTP Administración incorrecta de los parámetros de funcionamiento de los firewalls Mal manejo de la compartición de la información Impacto Descripción Vulnerabilidad Amenaza Los administradores de los servidores manejan las contraseñas de administración de los mismos, que en caso de que se difundan estas contraseñas, se podría manipular la información contenida de forma no autorizada. Para las estaciones de trabajo, los funcionarios no tienen una administración adecuada de sus contraseñas. Existen fallas en la asignación de derechos de acceso que permiten que usuarios no autorizados accedan a información que no les compete. Los funcionarios pueden acceder a información para la cual no están autorizados y divulgarla indebidamente. Un atacante puede ingresar información basura usando puertos que no se han bloqueado para acceder a los servidores o a las configuraciones de los equipos de conectividad Para la reutilización de equipos o asignación de equipos nuevos a funcionarios, no se tiene una correcta administración de la información de los equipos disponibles Se podría acceder al servidor de forma no autorizada y copiar, modificar o eliminar la información que contiene Al no configurar correctamente varios parámetros de los firewalls, se pueden presentar incidentes de seguridad de la información debido a las restricciones no establecidas Los funcionarios podrían ingresar a archivos para los cuales no están autorizados y hacer mal uso de la información. Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 141 Manipulación con software Manipulación con hardware Datos provenientes de fuentes no confiables Amenaza Al tener servidores que contienen varias aplicaciones, se necesitan varios administradores que pueden hacer modificaciones no intencionales. No tener soporte por parte del proveedor del software Tener administradores de segundo nivel que puedan hacer cambios no autorizados El software no funciona correctamente Algunas aplicaciones necesitan ser configuradas y administradas por el proveedor de software para realizar modificaciones, considerando además documentar todos los procedimientos realizados. En el caso de los sistemas más antiguos no se cuenta con este soporte. Modificación o Eliminación de Información en la Base de Datos o el sistema Ingreso de usuarios no autorizados al sistema Manipulación no autorizada de los equipos expuestos No se han definido procedimientos para el mantenimiento de equipos de conectividad fuera del Centro de Cómputo No se hace una verificación periódica de la seguridad de los switches de acceso en cada piso Autorizar la administración de un software a un funcionario que no está capacitado Modificación de la información Las aplicaciones que salen por la Web pueden ser suplantadas o accedidas por un atacante, pudiendo introducir información basura Falta de certificado de seguridad para las Páginas Web Asignación errada de derechos de acceso El equipo no puede conectarse a la red inalámbrica Para que los equipos accedan a las redes inalámbricas y telefonía IP se debe registrar la dirección MAC de los mismos, pero actualmente no se tiene una correcta administración de estos registros. Mala administración de los registros de direcciones MAC de los equipos para acceso a la red inalámbrica y telefonía IP Impacto Descripción Vulnerabilidad Existen usuarios que tienen permisos para acceder a ciertos servidores sin que se justifiquen estos permisos, pudiendo introducir datos no confiables a los sistemas contenidos en los servidores Al no tener una correcta administración de los niveles de acceso, ciertos funcionarios pueden acceder a ciertas funcionalidades de administración de los equipos, que pueden provocar modificaciones accidentales o intencionales de la información Ciertas características de los sistemas no funcionan correctamente debido a que no se instalan las actualizaciones necesarias, o no se han realizado las configuraciones correctas para sistemas o equipos Al no verificar que los equipos de conectividad fuera del Centro de Cómputo estén protegidos, éstos pueden ser manipulados de forma inadecuada, causando daños en la red. El atacante obtiene información de forma no autorizada, realizando modificaciones en los sistemas a los que accede y provocando pérdidas de información Al no tener una correcta administración de las direcciones MAC de los equipos, se dificulta que acceda a los servicios de red inalámbrica y telefonía IP. Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 142 Falta de respaldos Manipulación con software Amenaza No se tiene una planificación oportuna para el proceso de renovación del dominio de la página web institucional Al tener aplicaciones que trabajan con grandes cantidades de información podrían no trabajar correctamente o saturarse. No se ha planificado mantenimiento preventivo periódico para las bases de datos Falta de planificación sobre la capacidad de procesamiento de la información Falta de mantenimiento de las bases de datos Daño en la Base de Datos Se consumen todos los recursos de procesamiento de los equipos Se podría producir la suplantación de la página web Los firewalls no trabajan adecuadamente Algunos parámetros de configuración de los firewalls no pueden ser administrador debido a que no se cuenta con un registro de configuraciones anteriores No realizar la renovación oportuna del dominio de la página web Mala disponibilidad del servicio No se han planificado monitoreos periódicos del funcionamiento adecuado de los servicios y sistemas a cargo de la DTT. Distribución incorrecta de información para usuarios No se verifica el estado de los enlaces con las bases de datos, ya que existen tanto para la información contenida en las carpetas compartidas, como la de aplicaciones que muestran información estadística que debe ser actualizada constantemente No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Administración incorrecta de los parámetros de funcionamiento de los firewalls Falla de autenticación de los usuarios mediante Active Directory Se puede modificar el acceso a una cuenta de un usuario de forma accidental o intencional y no se realiza la verificación de eliminación de cuentas no utilizadas Administración inadecuada de las cuentas de usuario en Active Directory Impacto Descripción Vulnerabilidad Existen sistemas en donde se ingresa gran cantidad de información y que al ser procesada agota los recursos del equipo afectando al funcionamiento de otros servicios. Se podrían producir daños en la base de datos debido al mal funcionamiento del software que la administra, o daños en los equipos que las contiene Al perder el dominio asignado a la página web de la Institución, un atacante podría aprovechar la utilización de este nombre y engañar a los usuarios externos para que ingresen información Al no configurar correctamente varios parámetros de los firewalls, se pueden presentar incidentes de seguridad de la información debido a las restricciones no establecidas Podrían presentarse problemas tanto en la red como en los propios servicios y sistemas que impiden el funcionamiento de los mismos, por lo que no tienen buena disponibilidad La única forma de acceder a los recursos de la red institucional es a través de la autenticación de cada usuario mediante el servicio LDAP, en caso de que se tenga algún problema de la configuración de la cuenta de un usuario, éste no podrá acceder a la red La información colocada en la página Web de la SUPERTEL es pública, por lo cual debería ser constantemente verificada y administrada, para que las personas que requieran de esta información cuenten con información correcta. Para el caso de las carpetas compartidas, los funcionarios requieren que los archivos siempre estén actualizados. Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 143 Falla en la conexión entre servidores Falta de respaldos Amenaza Se pueden producir problemas en los enlaces hacia los servidores que impidan acceder a los diferentes servicios por falta de monitoreo. Puede presentarse algún problema en la red que impida la conexión con los servidores en las diferentes aplicaciones. No se realiza un monitoreo periódico de los enlaces de la red institucional (LAN) Pérdida de conexión con los servidores (de bases de datos, carpetas compartidas, correo electrónico, entre otros) La información podrían necesitar mayor capacidad de almacenamiento en el sistema de backups que la planificada. No se dimensione correctamente el espacio necesario para respaldar la información No todos los desarrollos de aplicativos o sistemas son documentados es su totalidad, haciendo que no se tenga certeza de alguna modificación importante que se haya realizado, dificultando futuras modificaciones. Pérdida parcial de la información El software no cumple correctamente con sus funcionalidades No se han establecido políticas de respaldo de los sistemas desarrollados en la DTT, por lo que muchos sistemas no cuentan con la documentación necesaria para su administración o modificaciones. No tener respaldado el código fuente del desarrollo de software dentro de la DTT Debido al mal funcionamiento de los archivos de respaldo, la información que contenían los mismos podría perderse Se realizan respaldos de los servicios considerados críticos y no de todos los servicios, debido a que no se tiene suficiente espacio de almacenamiento para toda la información que se genera, por lo que se podría perder información de los servicios menos críticos En caso de que se deban reiniciar los equipos, se tendrían que realizar nuevamente las configuraciones en los mismos, interfiriendo en el desempeño de la red y prestación de los servicios No ha sido posible realizar el traslado de la información respaldada los equipos del Centro de Cómputo principal hacia otra localidad, por lo que se tiene un alto riesgo de pérdida de la información respaldada Descripción Existen sistemas a los que se ingresa gran cantidad de información posiblemente mayor a la planificada, por lo cual el espacio asignado para almacenamiento de esta información no es suficiente, y podría producirse la pérdida de información de estos sistemas. Pérdida de la información de los archivos de respaldos Pérdida de información de la configuración de los equipos Los archivos de respaldos deberían almacenarse en bancos de cintas físicas (VTL) en un espacio fuera del edificio matriz Las configuraciones realizadas en los equipos pueden ser almacenadas en archivos que deberían ser respaldados No se tiene una planificación para realizar el respaldo de la información periódicamente No respaldar la información generada de forma periódica No respaldar la información de configuración de los servidores y equipos de conectividad Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal Pérdida de la información contenida en los archivos de respaldo Los archivos administrados por el sistema de backups podrían no funcionar correctamente Falla de los archivos de respaldo Pérdida de la información generada en los servicios Impacto Descripción Vulnerabilidad Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 144 Mal funcionamiento del equipo Falla del equipo Falla en la conexión entre servidores Amenaza No se han planificado procedimientos para realizar el monitoreo del estado de los enlaces WAN. No se tiene una planificación de monitoreos periódicos a los enlaces WAN Daño del equipo Daño de los equipos del Centro de Cómputo El equipo no trabaja adecuadamente Error en la disponibilidad de los equipos No se planifica realizar un mantenimiento periódico de los equipos para el área de trabajo Se tiene que realizar contrataciones no planificadas para realizar mantenimiento de equipos en el Centro de Cómputo que ya no tienen garantía Existen equipos que no pueden ser administrados debido a que no se cuenta con un registro de configuraciones anteriores. No se lleva un registro permanente de los equipos para el área de trabajo que son prestados a diferentes funcionarios por parte de la DTT, ni una correcta planificación para la renovación de estos equipos. No se planifica realizar un mantenimiento periódico de los equipos para el área de trabajo Administración inadecuada de los equipos del área de trabajo disponibles para su uso No realizar mantenimiento preventivo de los equipos del área de trabajo Daño del equipo Mala disponibilidad del servicio Falla en la conexión a los servidores de réplica Impacto No se han planificado monitoreos periódicos del funcionamiento adecuado de los servicios y sistemas a cargo de la DTT. No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT No realizar mantenimiento preventivo de los equipos del área de trabajo No realizar mantenimiento técnico de equipos en el Centro de Cómputo Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Descripción Vulnerabilidad Muchos de los equipos del área de trabajo presentan fallas por falta de mantenimiento, lo que puede producir que el equipo se dañe. Para la reutilización de equipos o asignación de equipos nuevos a funcionarios, no se tiene una correcta administración de la información de los equipos disponibles Al no configurar correctamente varios parámetros de los equipos, se pueden presentar incidentes de seguridad de la información debido a las restricciones no establecidas. Los equipos del Centro de Cómputo que no cuentan con garantía, podrían presentan fallas por falta de mantenimiento, lo que puede producir que el equipo se dañe. Muchos de los equipos del área de trabajo presentan fallas por falta de mantenimiento, lo que puede producir que el equipo se dañe. Podrían presentarse problemas tanto en la red como en los propios servicios y sistemas que impiden el funcionamiento de los mismos, por lo que no tienen buena disponibilidad En caso de que falle el servidor al cual está conectado el servicio o la aplicación, y no se puede establecer la conexión al servidor de réplica de ese servicio o aplicativo, no se podrá hacer uso de los mismos. Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 145 Mal funcionamiento del software Falta de mantenimiento de las bases de datos Falta de planificación sobre la capacidad de procesamiento de la información No se ha planificado una renovación oportuna de licencias (Antivirus, Windows, etc.) No tener respaldado el código fuente del desarrollo de software dentro de la DTT No se ha planificado mantenimiento preventivo periódico para las bases de datos Daño en la Base de Datos El software se vuelve obsoleto Algunas aplicaciones no pueden modificarse debido a limitaciones en las características de la versión del software que se utiliza El software no cumple correctamente con sus funcionalidades No se han establecido políticas de respaldo de los sistemas desarrollados en la DTT, por lo que muchos sistemas no cuentan con la documentación necesaria para su administración o modificaciones. Se consumen todos los recursos de procesamiento de los equipos Mala disponibilidad del servicio No se han planificado monitoreos periódicos del funcionamiento adecuado de los servicios y sistemas a cargo de la DTT. Al tener aplicaciones que trabajan con grandes cantidades de información podrían no trabajar correctamente o saturarse. Se consumen todos los recursos de procesamiento de los equipos Falta de capacidad de almacenamiento en los servidores Daño de los equipos del Centro de Cómputo Impacto Al tener aplicaciones que trabajan con grandes cantidades de información podrían no trabajar correctamente o saturarse. No se tiene una planificación adecuada de la capacidad de almacenamiento, tanto para sistemas en desarrollo como para el crecimiento de sistemas en funcionamiento. Falta de planificación de la capacidad de almacenamiento en los servidores Falta de planificación sobre la capacidad de procesamiento de la información No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Se tiene que realizar contrataciones no planificadas para realizar mantenimiento de equipos en el Centro de Cómputo que ya no tienen garantía No realizar mantenimiento técnico de equipos en el Centro de Cómputo Mal funcionamiento del equipo Saturación del sistema de información Descripción Vulnerabilidad Amenaza Se podrían producir daños en la base de datos debido al mal funcionamiento del software que la administra, o daños en los equipos que las contiene Al no actualizar la licencia del software, se pueden presentar limitaciones en sus funciones, impidiendo su utilización No todos los desarrollos de aplicativos o sistemas son documentados es su totalidad, haciendo que no se tenga certeza de alguna modificación importante que se haya realizado, dificultando futuras modificaciones. Existen sistemas en donde se ingresa gran cantidad de información y que al ser procesada agota los recursos del equipo afectando al funcionamiento de otros servicios. Podrían presentarse problemas tanto en la red como en los propios servicios y sistemas que impiden el funcionamiento de los mismos, por lo que no tienen buena disponibilidad Los equipos del Centro de Cómputo que no cuentan con garantía, podrían presentan fallas por falta de mantenimiento, lo que puede producir que el equipo se dañe. Actualmente no se cuenta con la capacidad suficiente para almacenar la información de todos los servicios de la DTT, por lo que no se podría almacenar la información nueva que vaya ingresando a los servidores. Existen sistemas en donde se ingresa gran cantidad de información y que al ser procesada agota los recursos del equipo afectando al funcionamiento de otros servicios. Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 146 Uso del software falso, copiado o desactualizado Incumplimiento en el mantenimiento del sistema de información Distribución incorrecta de información para usuarios Se podría producir la suplantación de la página web Limitación en la instalación de herramientas No se verifica el estado de los enlaces con las bases de datos, ya que existen tanto para la información contenida en las carpetas compartidas, como la de aplicaciones que muestran información estadística que debe ser actualizada constantemente No se ha revisado la planificación que defina el tipo de direccionamiento IP que se utilizará en la red (estático, dinámico y VLAN) Al producirse cambios de personal, no se han dejado debidamente documentados algunos procedimientos que se realizan para el monitoreo del estado de los enlaces. No se tiene una planificación oportuna para el proceso de renovación del dominio de la página web institucional Existe software con un número de licencias limitadas que no cuenta con un registro de las licencias ya utilizadas, así como no se tiene un inventario actualizado del software disponible para la Institución. No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Falta de mantenimiento del direccionamiento IP (DHCP) No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN No realizar la renovación oportuna del dominio de la página web No actualizar el inventario de software Daño del equipo No se planifica realizar un mantenimiento periódico de los equipos para el área de trabajo No realizar mantenimiento preventivo de los equipos del área de trabajo Monitoreo inadecuado de los enlaces WAN Funcionamiento incorrecto del DHCP Generación de información incorrecta Podrían presentarse problemas no previstos en el funcionamiento de ciertas aplicaciones nuevas en el momento que entran en funcionamiento Software nuevo o inmaduro Mal funcionamiento del software Impacto Descripción Vulnerabilidad Amenaza No se tiene datos exactos sobre la disponibilidad del software para nuevas instalaciones del mismo Al perder el dominio asignado a la página web de la Institución, un atacante podría aprovechar la utilización de este nombre y engañar a los usuarios externos para que ingresen información No se puede acceder a la información o tomar medidas correctivas en tiempos óptimos. La información colocada en la página Web de la SUPERTEL es pública, por lo cual debería ser constantemente verificada y administrada, para que las personas que requieran de esta información cuenten con información correcta. Para el caso de las carpetas compartidas, los funcionarios requieren que los archivos siempre estén actualizados. No se ha administrado ni registrado el direccionamiento IP con el que se trabaja en el edificio matriz por lo que se presentan problemas como la duplicación de direcciones IP Muchos de los equipos del área de trabajo presentan fallas por falta de mantenimiento, lo que puede producir que el equipo se dañe. Si un sistema nuevo entra en funcionamiento y se presentan errores, la información que este sistema genere puede ser incorrecta, comprometiendo dicha información Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 147 El software no cumple correctamente con sus funcionalidades Distribución incorrecta de información para usuarios Existen equipos que no pueden ser administrados debido a que no se cuenta con un registro de configuraciones anteriores. No se han establecido políticas de respaldo de los sistemas desarrollados en la DTT, por lo que muchos sistemas no cuentan con la documentación necesaria para su administración o modificaciones. No se verifica el estado de los enlaces con las bases de datos, ya que existen tanto para la información contenida en las carpetas compartidas, como la de aplicaciones que muestran información estadística que debe ser actualizada constantemente No se tiene un procedimiento adecuado para renovación y manejo de contraseñas. Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones No tener respaldado el código fuente del desarrollo de software dentro de la DTT No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Error en el uso El equipo no trabaja adecuadamente No se han planificado procedimientos para realizar el monitoreo del estado de los enlaces WAN. No se tiene una planificación de monitoreos periódicos a los enlaces WAN Procesamiento ilegal de los datos Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Robo de información Daño en la Base de Datos No se ha planificado mantenimiento preventivo periódico para las bases de datos Falta de mantenimiento de las bases de datos Impacto Uso del software falso, copiado o desactualizado Descripción Vulnerabilidad Amenaza La información colocada en la página Web de la SUPERTEL es pública, por lo cual debería ser constantemente verificada y administrada, para que las personas que requieran de esta información cuenten con información correcta. Para el caso de las carpetas compartidas, los funcionarios requieren que los archivos siempre estén actualizados. Los administradores de los servidores manejan las contraseñas de administración de los mismos, que en caso de que se difundan estas contraseñas, se podría manipular la información contenida de forma no autorizada. Para las estaciones de trabajo, los funcionarios no tienen una administración adecuada de sus contraseñas. No todos los desarrollos de aplicativos o sistemas son documentados es su totalidad, haciendo que no se tenga certeza de alguna modificación importante que se haya realizado, dificultando futuras modificaciones. Al no configurar correctamente varios parámetros de los equipos, se pueden presentar incidentes de seguridad de la información debido a las restricciones no establecidas. Se podrían producir daños en la base de datos debido al mal funcionamiento del software que la administra, o daños en los equipos que las contiene Se puede acceder a la información que se transmite por los enlaces de la SUPERTEL debido a que no se tienen mecanismos de protección de la información que se está enviando. (Ej. Cifrado) Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 148 Abuso de derechos Error en el uso Amenaza Mal funcionamiento del equipo y del software instalado El funcionario podría tomar acciones que comprometan la seguridad de la información En las estaciones de trabajo no se utiliza adecuadamente el software y el hardware por falta de capacitación sobre buenas prácticas en el manejo de los mismos. No se ha capacitado a los funcionarios de la Institución en aspectos básicos de la seguridad de la información. Uso incorrecto de Software o Hardware Falta de conciencia acerca de la seguridad Asignación errada de derechos de acceso al servidor SFTP Acceso no autorizado al servidor SFTP Acceso indebido a las carpetas compartidas por parte de usuarios no autorizados Pérdida de Información de la configuración de los equipos Las configuraciones realizadas en los equipos de conectividad no son documentadas de acuerdo a los cambios que se realicen. No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Existen carpetas compartidas para las cuales se han configurado permisos de acceso a usuarios que no deberían acceder a las mismas. Existen usuarios que tienen permisos para acceder al servidor SFTP sin que se justifiquen estos permisos. No se cuenten con el número de licencias de antivirus para todos los funcionarios No se ha hecho un inventario del número de licencias necesarias para instalación del antivirus en todos los equipos de trabajo. Mal dimensionamiento del número de usuarios del antivirus Falta de control de acceso a las carpetas compartidas Los firewalls no trabajan adecuadamente Algunos parámetros de configuración de los firewalls no pueden ser administrador debido a que no se cuenta con un registro de configuraciones anteriores Administración incorrecta de los parámetros de funcionamiento de los firewalls Impacto Descripción Vulnerabilidad No se tiene una cultura de utilización de equipos del área de trabajo que permita un correcto uso de los mismos, por lo que frecuentemente se presentan problemas en el funcionamiento de los mismos. Al no establecer buenas prácticas para la seguridad de la información, las acciones que toman los funcionarios acerca de la manipulación de la información no siempre son las correctas, pudiendo comprometer la misma. Existen fallas en la asignación de derechos de acceso que permiten que usuarios no autorizados accedan a información que no les compete. Se podría acceder al servidor de forma no autorizada y copiar, modificar o eliminar la información que contiene En caso de nuevas configuraciones o de que se presenten fallas no se puede consultar la información de lo anteriormente configurado. Al no configurar correctamente varios parámetros de los firewalls, se pueden presentar incidentes de seguridad de la información debido a las restricciones no establecidas No se ha realizado una actualización del registro del número de equipos en donde está instalado el antivirus, por lo que no se pueden proporcionar licencias para nuevas instalaciones. Descripción Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 149 Incumplimiento en la disponibilidad del personal Falsificación de derechos Abuso de derechos Amenaza Ausencia en el Personal Los servicios pueden necesitar soporte técnico o informático y el funcionario a cargo no está disponible Algún usuario puede ingresar a una aplicación o servicio para el cual no está autorizado y realizar modificaciones. No se tiene un procedimiento adecuado para renovación y manejo de contraseñas. Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) No se cuenta con procedimientos que consideren los riesgos en la seguridad de la información para la DTT No se tiene un procedimiento adecuado para renovación y manejo de contraseñas. Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Ausencia de procedimientos de identificación y valoración de riesgos Descripción Vulnerabilidad Por la falta de conocimiento acerca de los riesgos en la seguridad de la información que pueden presentarse, los funcionarios muy a menudo toman decisiones que pueden comprometer la información Los administradores de los servidores manejan las contraseñas de administración de los mismos, que en caso de que se difundan estas contraseñas, se podría manipular la información contenida de forma no autorizada. Para las estaciones de trabajo, los funcionarios no tienen una administración adecuada de sus contraseñas. Se pueden presentar riesgos en la seguridad de la información que en la DTT no saben cómo tratarlos adecuadamente. Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) No se puede dar soporte informático oportuno en el servicio Acceso no autorizado al servicio o aplicación Los administradores de los servidores manejan las contraseñas de administración de los mismos, que en caso de que se difundan estas contraseñas, se podría manipular la información contenida de forma no autorizada. Para las estaciones de trabajo, los funcionarios no tienen una administración adecuada de sus contraseñas. Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Se presentan situaciones en las que el personal encargado del soporte a los diferentes servicios de la DTT no se encuentran disponibles, retrasando la solución a los inconvenientes que se presentan en los mismos de forma oportuna. En los sistemas que no utilizan como mecanismos de seguridad la autenticación para su uso, se tiene un alto riesgo de acceso ilegal a los mismos, pudiendo modificarse o eliminarse la información. Descripción Impacto Tabla 2.9. Identificación de vulnerabilidades en la DTT y sus impactos 150 151 2.4.2.2. Evaluación del Riesgo En esta etapa de la gestión del riesgo en la seguridad de la información, se realiza la comparación de los niveles del riesgo frente a los criterios para la evaluación del riesgo y los criterios de aceptación del riesgo, los resultados que se obtienen reflejan la criticidad de los riesgos de acuerdo a cada servicio de la DTT, planteando el tratamiento adecuado para los mismos. La Figura 2.9 representa una esquematización del proceso para obtener el nivel del riesgo asignado a cada uno de los servicios, mediante el análisis de las vulnerabilidades e impactos, contenidos en la Tabla 2.9 y con las tablas elaboradas para cada uno de los servicios analizados. En esta fase de evaluación del riesgo se utilizan los criterios definidos en la sección 2.4.1.1 Criterios básicos, incluyendo el criterio de evaluación de riesgos definido en la sección 2.4.1.1.4 Criterios de evaluación de riesgo (pág. 93), para obtener un valor cualitativo del riesgo, que puede ser Bajo(1-4), Medio(6-12), Alto(16-27) y Muy alto(32-64). Figura 2.9. Esquema para la valoración de riegos en la seguridad de la información Se presenta la evaluación del riesgo de varios servicios, clasificados de acuerdo a los tipos de activos: activos de información, físicos, de software y de 152 servicios, mostrados dentro de la sección 2.4.2.1.1 (Identificación del riesgo); este análisis servirá de ejemplo para realizar la evaluación del riesgo de cualquier servicio dentro de cada tipo de activo. Finalmente se obtuvo una tabla que detalla las vulnerabilidades que afectan al servicio, las valoraciones de cada criterio básico y el nivel de riesgo total que se produce; lo que permite pasar a la fase de tratamiento de los riesgos. Para una rápida comprensión de la evaluación del riesgo de cada vulnerabilidad planteada para los servicios de la DTT, se muestra un ejemplo de cómo se obtuvo la valoración del riesgo de un par de vulnerabilidades del servicio ORACLE, mostradas en la Tabla 2.10 : Vulnerabilidad: No se realiza un mantenimiento periódico del Sistema Contra incendios Impacto: Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Criterio de probabilidad de ocurrencia: Poco probable = 1 Impacto de acuerdo al tiempo sin funcionamiento del servicio: Muy grave = 4 Pérdida de inf. por caída del servicio: Muy grave = 4 Total criterio de evaluación del riesgo: 1*4*4 = 16 = Alto Vulnerabilidad: Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Impacto: El equipo no trabaja adecuadamente Criterio de probabilidad de ocurrencia: Probable = 2 Impacto de acuerdo al tiempo sin funcionamiento del servicio: Medio = 2 Pérdida de inf. por caída del servicio: Pequeño = 1 Total criterio de evaluación del riesgo: 2*2*1 = 4 = Bajo A continuación, se muestran las tablas de valoración de los riesgos de los servicios a cargo de la DTT que están continuamente en funcionamiento. Eventos naturales Eventos naturales Daño físico Tipo de amenaza Fuego Climáticos Climáticos Sísmicos Volcánicos Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo No se realiza un mantenimiento periódico del Sistema Contra incendios Destrucción del equipo Vulnerabilidades 1 Poco Probable Poco Probable Daño en los equipos Los equipos sensibles a variaciones de voltaje sufren daños. 1 1 1 1 1 Poco Probable Poco Probable Poco Probable Poco Probable Accidentes de los funcionarios al producirse el evento. Accidentes de los funcionarios al producirse el evento. Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo Impacto Probabilidad de ocurrencia Grave Muy grave Muy grave Muy grave Pequeño Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.10. Valoración del riesgo servicio Oracle Amenaza 2.4.2.2.1. Activos de Información 3 4 4 4 1 4 Medio Medio Muy grave Muy grave Pequeño Muy grave Pérdida de inf. por caída del servicio 2 2 4 4 1 4 6 8 16 16 1 16 Total Criterios Evaluación de Riesgo Moderado Moderado Alto Alto Bajo Alto Nivel Riesgo 153 Pérdida de servicios esenciales Tipo de amenaza Falla en el sistema de alimentación ininterrumpida (UPS) Falla en el equipo de telecomunicaciones Pérdida de suministro de energía Mal mantenimiento de los sistemas de Aire Acondicionado Falla en el sistema en el suministro de agua y aire acondicionado Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) No tener correctas instalaciones eléctricas No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Vulnerabilidades Amenaza Falla del sistema de Alimentación ininterrumpida (UPS) Altamente Probable Probable Altamente Probable Monitoreo inadecuado de los enlaces WAN El equipo no trabaja adecuadamente Altamente Probable Poco Probable Probable Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) Los equipos sensibles a variaciones de voltaje sufren daños. Daño de los equipos en el Centro de Cómputo Impacto Probabilidad de ocurrencia 4 2 4 4 1 2 Grave Medio Grave Grave Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.10. Valoración del riesgo servicio Oracle 3 2 3 3 3 3 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 12 4 12 12 3 6 Total Criterios Evaluación de Riesgo Moderado Bajo Moderado Moderado Bajo Moderado Nivel Riesgo 154 Compromiso de la información Pérdida de servicios esenciales Tipo de amenaza Divulgación Escucha encubierta Espionaje remoto Amenaza Administración incorrecta de los parámetros de funcionamiento de los firewalls No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No se tiene una planificación de monitoreos periódicos a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los firewalls Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Vulnerabilidades Altamente Probable Probable Poco Probable Los firewalls no trabajan adecuadamente Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Poco Probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Robo de información Altamente Probable Probable Monitoreo inadecuado de los enlaces WAN Los firewalls no trabajan adecuadamente Impacto Probabilidad de ocurrencia 1 2 4 1 4 2 Medio Medio Grave Medio Grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.10. Valoración del riesgo servicio Oracle 2 2 3 2 3 2 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 2 4 12 2 12 4 Total Criterios Evaluación de Riesgo Bajo Bajo Moderado Bajo Moderado Bajo Nivel Riesgo 155 Compromiso de la información Tipo de amenaza Manipulación con software Falla en la conexión entre servidores Falta de respaldos No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Administración incorrecta de los parámetros de funcionamiento de los firewalls Falta de planificación sobre la capacidad de procesamiento de la información Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal No se dimensione correctamente el espacio necesario para respaldar la información No se tiene una planificación de monitoreos periódicos a los enlaces WAN Falta de mantenimiento de las bases de datos Vulnerabilidades Amenaza Probable Probable Pérdida parcial de la información Falla en la conexión a los servidores de réplica Muy Probable Pérdida de la información de los archivos de respaldos Poco Probable Probable Se consumen todos los recursos de procesamiento de los equipos Daño en la Base de Datos Probable Probable Los firewalls no trabajan adecuadamente Mala disponibilidad del servicio Impacto Probabilidad de ocurrencia 2 2 3 1 2 2 2 Medio Medio Muy grave Grave Medio Medio Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.10. Valoración del riesgo servicio Oracle 2 2 4 3 2 2 2 Pequeño Pequeño Muy grave Medio Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 4 2 1 1 1 4 4 48 6 4 4 4 Total Criterios Evaluación de Riesgo Bajo Bajo Muy alto Moderado Bajo Bajo Bajo Nivel Riesgo 156 Fallas técnicas Falla en la conexión entre servidores Compromiso de la información Mal funcionamiento del software Saturación del sistema de información Mal funcionamiento del equipo Falla del equipo Amenaza Tipo de amenaza No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT No realizar mantenimiento técnico de equipos en el Centro de Cómputo Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones No realizar mantenimiento técnico de equipos en el Centro de Cómputo Falta de planificación de la capacidad de almacenamiento en los servidores No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Falta de mantenimiento de las bases de datos Vulnerabilidades 2 1 Probable Poco Probable Mala disponibilidad del servicio Daño en la Base de Datos 2 1 Probable Poco Probable 2 1 2 Falta de capacidad de almacenamiento en los servidores Daño de los equipos del Centro de Cómputo Probable Poco Probable Daño de los equipos del Centro de Cómputo El equipo no trabaja adecuadamente Probable Mala disponibilidad del servicio Impacto Probabilidad de ocurrencia Grave Grave Medio Grave Medio Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.10. Valoración del riesgo servicio Oracle 3 3 2 3 2 3 3 Medio Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 2 1 1 1 1 1 1 6 6 4 3 4 3 6 Total Criterios Evaluación de Riesgo Moderado Moderado Bajo Bajo Bajo Bajo Moderado Nivel Riesgo 157 Compromiso de funciones Acciones no autorizadas Fallas técnicas Tipo de amenaza Error en el uso No se tiene una planificación de monitoreos periódicos a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Administración incorrecta de los parámetros de funcionamiento de los firewalls Probable Probable Poco Probable Probable El equipo no trabaja adecuadamente Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Los firewalls no trabajan adecuadamente Poco Probable Altamente Probable Falla en la conexión a los servidores de réplica Daño en la Base de Datos Falta de mantenimiento de las bases de datos Procesamiento ilegal de los datos Monitoreo inadecuado de los enlaces WAN No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Incumplimiento en el mantenimiento del sistema de información Uso del software falso o copiado o desactualizado Impacto Vulnerabilidades Amenaza Probabilidad de ocurrencia 2 1 2 2 1 4 Medio Medio Medio Medio Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.10. Valoración del riesgo servicio Oracle 2 2 2 2 3 3 Pequeño Pequeño Pequeño Pequeño Medio Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 2 1 4 2 4 4 6 12 Total Criterios Evaluación de Riesgo Bajo Bajo Bajo Bajo Moderado Moderado Nivel Riesgo 158 Poco Probable Poco Probable Poco Probable 1 1 1 Medio Medio Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 2 2 Impacto Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Vulnerabilidades No se realiza un mantenimiento periódico del Sistema Contra incendios Fuego Daño físico Probabilidad de ocurrencia Poco Probable 1 Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 4 Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Muy grave Pérdida de inf. por caída del servicio Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos El funcionario podría tomar acciones que comprometan la seguridad de la información Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Impacto Amenaza Falsificación de derechos Abuso de derechos Falta de conciencia acerca de la seguridad Error en el uso Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Vulnerabilidades Amenaza Tipo de amenaza Compromiso de funciones Tipo de amenaza Probabilidad de ocurrencia Tabla 2.10. Valoración del riesgo servicio Oracle 4 1 1 1 16 Total Criterios Evaluación de Riesgo 2 2 2 Total Criterios Evaluación de Riesgo Alto Nivel Riesgo Bajo Bajo Bajo Nivel Riesgo 159 Pérdida de servicios esenciales Eventos naturales Daño físico Tipo de amenaza Falla en el sistema en el suministro de agua y aire acondicionado Pérdida de suministro de energía Climáticos Sísmicos Volcánicos Destrucción del equipo Amenaza Daño de los equipos en el Centro de Cómputo Los equipos sensibles a variaciones de voltaje sufren daños. Mal mantenimiento de los sistemas de Aire Acondicionado No tener correctas instalaciones eléctricas Poco Probable Probable Poco Probable 1 2 1 1 Poco Probable Daño en los equipos Los equipos sensibles a variaciones de voltaje sufren daños. 1 Poco Probable Accidentes de los funcionarios al producirse el evento. 1 1 Poco Probable Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo Accidentes de los funcionarios al producirse el evento. Poco Probable Impacto Vulnerabilidades Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Probabilidad de ocurrencia Grave Grave Grave Muy grave Muy grave Muy grave Pequeño Impacto de acuerdo al tiempo sin funcionamiento del servicio 3 3 3 4 4 4 1 Pequeño Pequeño Medio Medio Muy grave Muy grave Pequeño Pérdida de inf. por caída del servicio Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos 1 1 2 2 4 4 1 3 6 6 8 16 16 1 Total Criterios Evaluación de Riesgo Bajo Moderado Moderado Moderado Alto Alto Bajo Nivel Riesgo 160 Compromiso de la información Pérdida de servicios esenciales Tipo de amenaza Espionaje remoto Falla en el sistema de alimentación ininterrumpida (UPS) Falla en el equipo de telecomunicaciones Pérdida de suministro de energía Amenaza Administración incorrecta de los parámetros de funcionamiento de los firewalls No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Vulnerabilidades Monitoreo inadecuado de los enlaces WAN Los firewalls no trabajan adecuadamente Falla del sistema de Alimentación ininterrumpida (UPS) El equipo no trabaja adecuadamente Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) Impacto Altamente Probable Probable Altamente Probable Probable Altamente Probable Probabilidad de ocurrencia 4 2 4 2 4 Medio Medio Muy grave Pequeño Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 2 4 1 3 Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos 1 1 1 1 1 8 4 16 2 12 Total Criterios Evaluación de Riesgo Moderado Bajo Alto Bajo Moderado Nivel Riesgo 161 Compromiso de la información Tipo de amenaza Divulgación Escucha encubierta Amenaza Falta de control de acceso a las carpetas compartidas Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Probable Probable Probable Acceso no autorizado a ciertos documentos Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso indebido a las carpetas compartidas por parte de usuarios no autorizados Probable Los firewalls no trabajan adecuadamente Poco Probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Robo de información Probable Impacto Vulnerabilidades No se tiene una planificación de monitoreos periódicos a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los firewalls Mal manejo de la compartición de la información Probabilidad de ocurrencia 2 2 2 2 1 2 Medio Grave Grave Medio Muy grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 3 3 2 4 3 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos 1 1 1 1 1 1 4 6 6 4 4 6 Total Criterios Evaluación de Riesgo Bajo Moderado Moderado Bajo Bajo Moderado Nivel Riesgo 162 Compromiso de la información Tipo de amenaza Manipulación con software Divulgación Amenaza Probable Los firewalls no trabajan adecuadamente 2 Probable Probable 2 Probable Mala disponibilidad del servicio 2 Probable 2 2 1 2 Probable Poco Probable Divulgación no autorizada de información Ingreso de usuarios no autorizados al sistema Modificación o Eliminación de Información en la Base de Datos o el sistema Falla de autenticación de los usuarios mediante Active Directory Mal manejo de la compartición de la información Asignación errada de derechos de acceso Tener administradores de segundo nivel que puedan hacer cambios no autorizados Administración inadecuada de las cuentas de usuario en Active Directory No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Administración incorrecta de los parámetros de funcionamiento de los firewalls Distribución incorrecta de información para usuarios Impacto Vulnerabilidades Probabilidad de ocurrencia Medio Grave Medio Medio Grave Medio Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 3 2 2 3 2 3 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos 1 1 1 1 1 1 1 4 6 2 4 6 4 6 Total Criterios Evaluación de Riesgo Bajo Moderado Bajo Bajo Moderado Bajo Moderado Nivel Riesgo 163 Fallas técnicas Compromiso de la información Tipo de amenaza No se tiene una planificación de monitoreos periódicos a los enlaces WAN No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Falla en la conexión entre servidores Falla del equipo Mal funcionamiento del software Falta de planificación sobre la capacidad de procesamiento de la información No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Pérdida de la información de los archivos de respaldos Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal Falta de respaldos Saturación del sistema de información Se consumen todos los recursos de procesamiento de los equipos Falta de planificación sobre la capacidad de procesamiento de la información Manipulación con software Mala disponibilidad del servicio Se consumen todos los recursos de procesamiento de los equipos El equipo no trabaja adecuadamente Mala disponibilidad del servicio Falla en la conexión a los servidores de réplica Impacto Vulnerabilidades Amenaza Probable Probable Probable Probable Probable Altamente Probable Probable Probabilidad de ocurrencia 2 2 2 2 2 4 2 Grave Grave Medio Grave Grave Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 3 3 2 3 3 3 3 Pequeño Pequeño Pequeño Pequeño Pequeño Grave Pequeño Pérdida de inf. por caída del servicio Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos 1 1 1 1 1 3 1 6 6 4 6 6 36 6 Total Criterios Evaluación de Riesgo Moderado Moderado Bajo Moderado Moderado Muy alto Moderado Nivel Riesgo 164 Compromiso de funciones Fallas técnicas Tipo de amenaza No se tiene una planificación de monitoreos periódicos a los enlaces WAN Incumplimiento en el mantenimiento del sistema de información Procesamiento ilegal de los datos Error en el uso No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Vulnerabilidades Amenaza Poco Probable Probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Probable Probable Altamente Probable Poco Probable Distribución incorrecta de información para usuarios El equipo no trabaja adecuadamente Falla en la conexión a los servidores de réplica Monitoreo inadecuado de los enlaces WAN Distribución incorrecta de información para usuarios Impacto Probabilidad de ocurrencia 2 1 2 2 4 1 Grave Medio Medio Grave Medio Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 3 2 2 3 2 2 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos 1 1 1 1 1 1 6 2 4 6 8 2 Total Criterios Evaluación de Riesgo Moderado Bajo Bajo Moderado Moderado Bajo Nivel Riesgo 165 Compromiso de funciones Tipo de amenaza Falsificación de derechos Abuso de derechos Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Ausencia de procedimientos de identificación y valoración de riesgos Acceso no autorizado al servicio o aplicación Se pueden presentar riesgos en la seguridad de la información que en la DTT no saben cómo tratarlos adecuadamente. Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Probable Probable Muy probable Probable Probable Acceso indebido a las carpetas compartidas por parte de usuarios no autorizados Falta de control de acceso a las carpetas compartidas Probable Altamente Probable Error en el uso El funcionario podría tomar acciones que comprometan la seguridad de la información Los firewalls no trabajan adecuadamente Administración incorrecta de los parámetros de funcionamiento de los firewalls Falta de conciencia acerca de la seguridad Impacto Vulnerabilidades Amenaza Probabilidad de ocurrencia 2 2 3 2 2 4 2 Pequeño Grave Muy grave Grave Medio Medio Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 1 3 4 3 2 2 2 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos 1 1 1 1 1 1 1 2 6 12 6 4 8 4 Total Criterios Evaluación de Riesgo Bajo Moderado Moderado Moderado Bajo Moderado Bajo Nivel Riesgo 166 Eventos naturales Daño físico Tipo de amenaza No se realiza un mantenimiento periódico del Sistema Contra incendios Fuego Volcánicos Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo Vulnerabilidades Amenaza Destrucción del equipo No se puede dar soporte informático oportuno en el servicio Impacto Probable 2 Muy grave 4 Pequeño Pérdida de inf. por caída del servicio Accidentes de los funcionarios al producirse el evento. Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo Impacto Poco Probable Poco Probable Poco Probable Criterio de probabilidad de ocurrencia 1 1 1 Muy grave Pequeño Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 4 1 4 Muy grave Pequeño Muy grave Pérdida de inf. por caída del servicio Tabla 2.12. Valoración del riesgo activos Servidores RISC e Intel Ausencia en el Personal Incumplimiento en la disponibilidad del personal Compromiso de funciones 2.4.2.2.2. Activos Físicos Vulnerabilidades Amenaza Tipo de amenaza Probabilidad de ocurrencia Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.11. Valoración del riesgo servicio Recursos Compartidos 4 1 4 1 16 1 16 Total Criterios Evaluación del Riesgo 8 Total Criterios Evaluación de Riesgo Alto Bajo Alto Nivel del riesgo Moderado Nivel Riesgo 167 Pérdida de servicios esenciales Eventos naturales Tipo de amenaza Falla en el Sistema de Alimentación Ininterrumpida (UPS) Pérdida de suministro de energía Falla en el sistema de suministro de agua y aire acondicionado Climáticos Sísmicos Amenaza Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) Falla del sistema de Alimentación ininterrumpida (UPS) Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) Altamente Probable Altamente Probable Poco Probable Los equipos sensibles a variaciones de voltaje sufren daños. No tener correctas instalaciones eléctricas No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. Probable Daño de los equipos en el Centro de Cómputo Poco Probable 4 4 1 2 1 1 Poco Probable Daño en los equipos Los equipos sensibles a variaciones de voltaje sufren daños. 1 1 Poco Probable Poco Probable Daños físicos en los equipos Accidentes de los funcionarios al producirse el evento. Impacto Mal mantenimiento de los sistemas de Aire Acondicionado Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico No asegurar correctamente la ubicación de los equipos Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Vulnerabilidades Criterio de probabilidad de ocurrencia Grave Grave Grave Grave Grave Muy grave Muy grave Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 3 3 3 3 3 4 4 4 Pequeño Pequeño Pequeño Pequeño Medio Medio Medio Muy grave Pérdida de inf. por caída del servicio Tabla 2.12. Valoración del riesgo activos Servidores RISC e Intel 1 1 1 1 2 2 2 4 12 12 3 6 6 8 8 16 Total Criterios Evaluación del Riesgo Moderado Moderado Bajo Moderado Moderado Moderado Moderado Alto Nivel del riesgo 168 Compromiso de funciones Fallas técnicas Falta de respaldos Pérdida de servicios esenciales Error en el uso Incumplimiento en el mantenimiento del sistema de información Mal funcionamiento del equipo Falla del equipo Amenaza Tipo de amenaza Falta de conciencia acerca de la seguridad Mal funcionamiento del equipo y del software instalado El funcionario podría tomar acciones que comprometan la seguridad de la información Pérdida de Información de la configuración de los equipos No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Uso incorrecto de Software o Hardware Daño o pérdida de información Daño de los equipos del Centro de Cómputo Daño de los equipos del Centro de Cómputo Pérdida de la información de los archivos de respaldos Impacto No realizar mantenimiento preventivo Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal No realizar mantenimiento técnico de equipos en el Centro de Cómputo No realizar mantenimiento técnico de equipos en el Centro de Cómputo Vulnerabilidades Poco Probable Poco Probable Poco Probable Probable Poco Probable Poco Probable Altamente Probable Criterio de probabilidad de ocurrencia 1 1 1 2 1 1 4 Medio Medio Medio Grave Grave Grave Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 2 2 3 3 3 4 Pequeño Pequeño Pequeño Medio Pequeño Pequeño Muy grave Pérdida de inf. por caída del servicio Tabla 2.12. Valoración del riesgo activos Servidores RISC e Intel 1 1 1 2 1 1 4 2 2 2 12 3 3 64 Total Criterios Evaluación del Riesgo Bajo Bajo Bajo Moderado Bajo Bajo Muy alto Nivel del riesgo 169 Pérdida de servicios esenciales Eventos naturales Daño físico Tipo de amenaza Fuego Falla en el sistema de suministro de agua y aire acondicionado Climáticos Sísmicos Volcánicos Mal mantenimiento de los sistemas de Aire Acondicionado Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo No se realiza un mantenimiento periódico del Sistema Contra incendios Destrucción del equipo Vulnerabilidades Poco Probable Daño en los equipos Daño de los equipos en el Centro de Cómputo Probable Poco Probable Poco Probable Accidentes de los funcionarios al producirse el evento. Los equipos sensibles a variaciones de voltaje sufren daños. Poco Probable Poco Probable Poco Probable Accidentes de los funcionarios al producirse el evento. Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo Impacto Criterio de probabilidad de ocurrencia 2 1 1 1 1 1 1 Grave Grave Muy grave Muy grave Muy grave Pequeño Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.13. Valoración del riesgo Proyecto SICOEIR Amenaza 2.4.2.2.3. Activos de Software 3 3 4 4 4 1 4 Pequeño Medio Medio Muy grave Muy grave Pequeño Muy grave Pérdida de inf. por caída del servicio 1 2 2 4 4 1 4 6 6 8 16 16 1 16 Total Criterio Evaluación del Riesgo Moderado Moderado Moderado Alto Alto Bajo Alto Nivel del riesgo 170 Compromiso de la información Pérdida de servicios esenciales Tipo de amenaza Espionaje remoto Falla en el sistema de alimentación ininterrumpida (UPS) Falla en el equipo de telecomunicaciones Pérdida de suministro de energía Amenaza Falta de certificado de seguridad para las Páginas Web Administración incorrecta de los parámetros de funcionamiento de los firewalls No monitorear adecuadamente los accesos al servidor SFTP de forma externa Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) Probable Poco Probable Robo o Modificación de la información ingresada Probable Altamente Probable Poco Probable Los firewalls no trabajan adecuadamente Robo o modificación de la información Falla del sistema de Alimentación ininterrumpida (UPS) El equipo no trabaja adecuadamente Altamente Probable Los equipos sensibles a variaciones de voltaje sufren daños. No tener correctas instalaciones eléctricas Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) Poco Probable Impacto Vulnerabilidades No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Criterio de probabilidad de ocurrencia 1 2 2 4 1 4 1 Medio Grave Medio Grave Medio Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.13. Valoración del riesgo Proyecto SICOEIR 2 3 2 3 2 3 3 Medio Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 2 1 1 1 1 1 1 4 6 4 12 2 12 3 Total Criterio Evaluación del Riesgo Bajo Moderado Bajo Moderado Bajo Moderado Bajo Nivel del riesgo 171 Compromiso de la información Tipo de amenaza Datos provenientes de fuentes no confiables Divulgación Escucha encubierta Amenaza Falta de certificado de seguridad para las Páginas Web Falla en la conexión a los servidores de réplica Poco probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Probable Probable Los firewalls no trabajan adecuadamente Modificación de la información Poco Probable Acceso no autorizado al servidor SFTP Muy probable Probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No se tiene una planificación de monitoreos periódicos a los enlaces WAN No encriptar la información Asignación errada de derechos de acceso al servidor SFTP Administración incorrecta de los parámetros de funcionamiento de los firewalls Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Robo y modificación de información Poco probable Impacto Vulnerabilidades Criterio de probabilidad de ocurrencia 2 1 2 1 3 2 1 Medio Medio Grave Grave Grave Grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.13. Valoración del riesgo Proyecto SICOEIR 2 2 3 3 3 3 2 Pequeño Medio Pequeño Medio Grave Pequeño Medio Pérdida de inf. por caída del servicio 1 2 1 2 3 1 2 4 4 6 6 27 6 4 Total Criterio Evaluación del Riesgo Bajo Bajo Moderado Moderado Alto Moderado Bajo Nivel del riesgo 172 Compromiso de la información Tipo de amenaza Falta de respaldos Manipulación con software Amenaza Tener administradores de segundo nivel que puedan hacer cambios no autorizados No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Administración incorrecta de los parámetros de funcionamiento de los firewalls No realizar la renovación oportuna del dominio de la página web Falta de planificación sobre la capacidad de procesamiento de la información Falta de mantenimiento de las bases de datos Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal Vulnerabilidades Altamente Probable 1 Poco probable Daño en la Base de Datos Pérdida de la información de los archivos de respaldos 2 Probable Se consumen todos los recursos de procesamiento de los equipos 4 2 Probable Se podría producir la suplantación de la página web 2 2 Probable Probable Distribución incorrecta de información para usuarios 1 Los firewalls no trabajan adecuadamente Poco Probable Modificación o Eliminación de Información en la Base de Datos o el sistema Impacto Criterio de probabilidad de ocurrencia Muy grave Muy grave Grave Grave Grave Pequeño Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.13. Valoración del riesgo Proyecto SICOEIR 4 4 3 3 3 1 3 Muy grave Muy grave Medio Grave Pequeño Pequeño Medio Pérdida de inf. por caída del servicio 4 4 2 3 1 1 2 64 16 12 18 6 2 6 Total Criterio Evaluación del Riesgo Muy alto Alto Moderado Alto Moderado Bajo Moderado Nivel del riesgo 173 Fallas técnicas Compromiso de la información Tipo de amenaza Mal funcionamiento del software Saturación del sistema de información Mal funcionamiento del equipo Falla del equipo Falla en la conexión entre servidores Falta de respaldos Amenaza No tener respaldado el código fuente del desarrollo de software dentro de la DTT No se tiene una planificación de monitoreos periódicos a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones No realizar mantenimiento técnico de equipos en el Centro de Cómputo Falta de planificación de la capacidad de almacenamiento en los servidores Falta de planificación sobre la capacidad de procesamiento de la información No tener respaldado el código fuente del desarrollo de software dentro de la DTT Vulnerabilidades El software no cumple correctamente con sus funcionalidades Se consumen todos los recursos de procesamiento de los equipos Falta de capacidad de almacenamiento en los servidores Daño de los equipos del Centro de Cómputo El equipo no trabaja adecuadamente Falla en la conexión a los servidores de réplica El software no cumple correctamente con sus funcionalidades Impacto Probable Probable Probable Probable Poco Probable Probable Probable Criterio de probabilidad de ocurrencia 2 2 2 2 1 2 2 Medio Grave Grave Muy grave Medio Grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.13. Valoración del riesgo Proyecto SICOEIR 2 3 3 4 2 3 2 Pequeño Medio Medio Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 2 2 1 1 1 1 4 12 12 8 2 6 4 Total Criterio Evaluación del Riesgo Bajo Moderado Moderado Moderado Bajo Moderado Bajo Nivel del riesgo 174 Compromiso de funciones Fallas técnicas Tipo de amenaza Error en el uso Procesamiento ilegal de los datos Uso de software falso, copiado o desactualizado Incumplimiento en el mantenimiento del sistema de información Mal funcionamiento del software Amenaza Probable Distribución incorrecta de información para usuarios Se podría producir la suplantación de la página web No se tiene una planificación de monitoreos periódicos a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones El equipo no trabaja adecuadamente Falla en la conexión a los servidores de réplica Poco Probable Probable Poco probable Probable Generación de información incorrecta Daño en la Base de Datos Probable Daño en la Base de Datos Falta de mantenimiento de las bases de datos 1 Poco probable Se consumen todos los recursos de procesamiento de los equipos Falta de planificación sobre la capacidad de procesamiento de la información Falta de mantenimiento de las bases de datos Software nuevo o inmaduro No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) No realizar la renovación oportuna del dominio de la página web 1 2 1 2 2 2 2 Probable Impacto Vulnerabilidades Criterio de probabilidad de ocurrencia Medio Grave Muy grave Grave Pequeño Medio Muy grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.13. Valoración del riesgo Proyecto SICOEIR 2 3 4 3 1 2 4 3 Pequeño Pequeño Muy grave Grave Pequeño Pequeño Muy grave Medio Pérdida de inf. por caída del servicio 1 1 4 3 1 1 4 2 2 6 16 18 2 4 16 12 Total Criterio Evaluación del Riesgo Bajo Moderado Alto Alto Bajo Bajo Alto Moderado Nivel del riesgo 175 Compromiso de funciones Tipo de amenaza Error en el uso Amenaza Falta de conciencia acerca de la seguridad No tener respaldado el código fuente del desarrollo de software dentro de la DTT No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Administración incorrecta de los parámetros de funcionamiento de los firewalls No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Vulnerabilidades Probable Probable Poco probable Probable Probable Probable El software no cumple correctamente con sus funcionalidades Distribución incorrecta de información para usuarios Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Los firewalls no trabajan adecuadamente Pérdida de Información de la configuración de los equipos El funcionario podría tomar acciones que comprometan la seguridad de la información Impacto Criterio de probabilidad de ocurrencia 2 2 2 1 2 2 Grave Grave Grave Medio Pequeño Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.13. Valoración del riesgo Proyecto SICOEIR 3 3 3 2 1 2 Medio Pequeño Pequeño Medio Pequeño Pequeño Pérdida de inf. por caída del servicio 2 1 1 2 1 1 12 6 6 4 2 4 Total Criterio Evaluación del Riesgo Moderado Moderado Moderado Bajo Bajo Bajo Nivel del riesgo 176 Amenaza Fuego Daño físico Incumplimiento en la disponibilidad del personal Falsificación de derechos Abuso de derechos Amenaza Tipo de amenaza Compromiso de funciones Tipo de amenaza No se puede dar soporte informático oportuno en el servicio Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso no autorizado al servidor SFTP Impacto Probable Poco probable Poco probable Poco Probable 2 1 1 1 Muy grave Medio Medio Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 4 2 2 3 Pequeño Medio Medio Medio Pérdida de inf. por caída del servicio Criterio de probabilidad de ocurrencia Poco Probable Impacto Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Vulnerabilidades No se realiza un mantenimiento periódico del Sistema Contra incendios 1 Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 4 Muy grave Pérdida de inf. por caída del servicio Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel Ausencia en el Personal Asignación errada de derechos de acceso al servidor SFTP Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Vulnerabilidades Criterio de probabilidad de ocurrencia Tabla 2.13. Valoración del riesgo Proyecto SICOEIR 4 1 2 2 2 16 Total Criterio Evaluación del Riesgo 8 4 4 6 Total Criterio Evaluación del Riesgo Alto Nivel del riesgo Moderado Bajo Bajo Moderado Nivel del riesgo 177 Pérdida de servicios esenciales Eventos naturales Pérdida de suministro de energía Falla en el sistema de suministro de agua y aire acondicionado Climáticos Sísmicos No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. No tener correctas instalaciones eléctricas Mal mantenimiento de los sistemas de Aire Acondicionado Altamente Probable Poco Probable Los equipos sensibles a variaciones de voltaje sufren daños. Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) Probable Daño de los equipos en el Centro de Cómputo Poco Probable 4 1 2 1 1 Poco Probable Daño en los equipos Los equipos sensibles a variaciones de voltaje sufren daños. 1 Poco Probable Accidentes de los funcionarios al producirse el evento. 1 1 Poco Probable Poco Probable Accidentes de los funcionarios al producirse el evento. Daño físico Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo Destrucción del equipo Volcánicos Impacto Vulnerabilidades Amenaza Tipo de amenaza Criterio de probabilidad de ocurrencia Grave Grave Grave Grave Muy grave Muy grave Muy grave Pequeño Impacto de acuerdo al tiempo sin funcionamiento del servicio 3 3 3 3 4 4 4 1 Pequeño Pequeño Pequeño Medio Medio Muy grave Muy grave Pequeño Pérdida de inf. por caída del servicio Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel 1 1 1 2 2 4 4 1 12 3 6 6 8 16 16 1 Total Criterio Evaluación del Riesgo Moderado Bajo Moderado Moderado Moderado Alto Alto Bajo Nivel del riesgo 178 Compromiso de la información Pérdida de servicios esenciales Tipo de amenaza Escucha encubierta Administración incorrecta de los parámetros de funcionamiento de los firewalls Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Administración incorrecta de los parámetros de funcionamiento de los firewalls Mal manejo de la compartición de la información Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) Falla en el sistema de alimentación ininterrumpida (UPS) Espionaje remoto El equipo no trabaja adecuadamente Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Falla en el equipo de telecomunicaciones Probable Poco Probable Acceso no autorizado a ciertos documentos Poco probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Los firewalls no trabajan adecuadamente Probable Altamente Probable Poco Probable Los firewalls no trabajan adecuadamente Falla del sistema de Alimentación ininterrumpida (UPS) Impacto Vulnerabilidades Amenaza Criterio de probabilidad de ocurrencia 1 2 1 2 4 1 Medio Grave Medio Grave Grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 3 2 3 3 2 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel 1 1 1 1 1 1 2 6 2 6 12 2 Total Criterio Evaluación del Riesgo Bajo Moderado Bajo Moderado Moderado Bajo Nivel del riesgo 179 Compromiso de la información Tipo de amenaza Manipulación con software Divulgación Amenaza Mal manejo de la compartición de la información No tener soporte por parte del proveedor del software No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Administración incorrecta de los parámetros de funcionamiento de los firewalls Poco Probable Probable Los firewalls no trabajan adecuadamente Probable Distribución incorrecta de información para usuarios Mala disponibilidad del servicio Probable Poco Probable Poco Probable Poco probable El software no funciona correctamente Acceso no autorizado a ciertos documentos Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso indebido a las carpetas compartidas por parte de usuarios no autorizados Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Falta de control de acceso a las carpetas compartidas Impacto Vulnerabilidades Criterio de probabilidad de ocurrencia 2 1 2 2 1 1 1 Grave Medio Medio Grave Medio Medio Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 3 2 2 3 2 2 2 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel 1 1 1 1 1 1 1 6 2 4 6 2 2 2 Total Criterio Evaluación del Riesgo Moderado Bajo Bajo Moderado Bajo Bajo Bajo Nivel del riesgo 180 Compromiso de la información Tipo de amenaza Falla en la conexión entre servidores Falta de respaldos Pérdida de la información contenida en los archivos de respaldo Falla de los archivos de respaldo Probable Pérdida parcial de la información Probable Altamente Probable Pérdida de la información de los archivos de respaldos Mala disponibilidad del servicio Muy probable Probable Pérdida de información de la configuración de los equipos Pérdida de la información generada en los servicios Poco probable Daño en la Base de Datos Falta de mantenimiento de las bases de datos No respaldar la información generada de forma periódica No respaldar la información de configuración de los servidores y equipos de conectividad Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal No se dimensione correctamente el espacio necesario para respaldar la información No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Poco probable Se consumen todos los recursos de procesamiento de los equipos Falta de planificación sobre la capacidad de procesamiento de la información Manipulación con software Probable Impacto Vulnerabilidades Amenaza Criterio de probabilidad de ocurrencia 2 2 4 3 2 1 1 2 Muy grave Grave Muy grave Muy grave Medio Medio Medio Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 4 3 4 4 2 2 2 3 Pequeño Pequeño Muy grave Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel 1 1 4 1 1 1 1 1 8 6 64 12 4 2 2 6 Total Criterio Evaluación del Riesgo Moderado Moderado Muy alto Moderado Bajo Bajo Bajo Moderado Nivel del riesgo 181 Fallas técnicas Tipo de amenaza Incumplimiento en el mantenimiento del sistema de información Mal funcionamiento del software Saturación del sistema de información Falla del equipo Amenaza Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Falta de planificación de la capacidad de almacenamiento en los servidores Falta de planificación sobre la capacidad de procesamiento de la información No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Falta de planificación de la capacidad de almacenamiento en los servidores Falta de mantenimiento de las bases de datos No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Vulnerabilidades Probable Poco Probable Daño en la Base de Datos Distribución incorrecta de información para usuarios Probable Probable Falta de capacidad de almacenamiento en los servidores Mala disponibilidad del servicio Probable Probable Falta de capacidad de almacenamiento en los servidores Se consumen todos los recursos de procesamiento de los equipos Poco Probable El equipo no trabaja adecuadamente Impacto Criterio de probabilidad de ocurrencia 2 1 2 2 2 2 1 Medio Grave Medio Muy grave Medio Medio Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 3 2 4 2 2 2 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel 1 1 1 1 1 1 1 4 3 4 8 4 4 2 Total Criterio Evaluación del Riesgo Bajo Bajo Bajo Moderado Bajo Bajo Bajo Nivel del riesgo 182 Compromiso de funciones Error en el uso Falta de mantenimiento de las bases de datos Uso del software falso, copiado o desactualizado Fallas técnicas Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Administración incorrecta de los parámetros de funcionamiento de los firewalls No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Vulnerabilidades Amenaza Tipo de amenaza Probable Probable Probable Pérdida de Información de la configuración de los equipos Distribución incorrecta de información para usuarios Poco probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Los firewalls no trabajan adecuadamente Poco Probable Poco Probable El equipo no trabaja adecuadamente Daño en la Base de Datos Impacto Criterio de probabilidad de ocurrencia 2 2 2 1 1 1 Medio Grave Grave Medio Medio Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 3 3 2 2 3 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel 1 1 1 1 1 1 4 6 6 2 2 3 Total Criterio Evaluación del Riesgo Bajo Moderado Moderado Bajo Bajo Bajo Nivel del riesgo 183 Daño físico Tipo de amenaza Compromiso de funciones Tipo de amenaza Fuego Amenaza Falsificación de derechos Abuso de derechos Error en el uso Amenaza El funcionario podría tomar acciones que comprometan la seguridad de la información Acceso indebido a las carpetas compartidas por parte de usuarios no autorizados Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Impacto Poco probable Poco probable Poco Probable Poco Probable 1 1 1 1 Medio Medio Medio Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio Criterio de probabilidad de ocurrencia Poco Probable Impacto Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Vulnerabilidades No se realiza un mantenimiento periódico del Sistema Contra incendios 1 Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.15. Valoración del riesgo servicio Antivirus Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Falta de control de acceso a las carpetas compartidas Falta de conciencia acerca de la seguridad Vulnerabilidades Criterio de probabilidad de ocurrencia 4 2 2 2 2 Muy grave Pérdida de inf. por caída del servicio Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio Tabla 2.14. Valoración del riesgo servicios Virtualización RISC e Intel 4 1 1 1 1 16 Total Criterio Evaluación del Riesgo 2 2 2 2 Total Criterio Evaluación del Riesgo Alto Nivel del riesgo Bajo Bajo Bajo Bajo Nivel del riesgo 184 Pérdida de servicios esenciales Eventos naturales Daño físico Tipo de amenaza Pérdida de suministro de energía Falla en el sistema de suministro de agua y aire acondicionado Climáticos Sísmicos Volcánicos Destrucción del equipo Amenaza No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. No tener correctas instalaciones eléctricas Mal mantenimiento de los sistemas de Aire Acondicionado Altamente Probable Poco Probable Los equipos sensibles a variaciones de voltaje sufren daños. Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) Probable Daño de los equipos en el Centro de Cómputo Poco Probable 4 1 2 1 1 Poco Probable Daño en los equipos Los equipos sensibles a variaciones de voltaje sufren daños. 1 Poco Probable Accidentes de los funcionarios al producirse el evento. 1 1 Poco Probable Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo Accidentes de los funcionarios al producirse el evento. Poco Probable Impacto Vulnerabilidades Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Criterio de probabilidad de ocurrencia Grave Grave Grave Grave Muy grave Muy grave Muy grave Pequeño Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.15. Valoración del riesgo servicio Antivirus 3 3 3 3 4 4 4 1 Pequeño Pequeño Pequeño Medio Medio Muy grave Muy grave Pequeño Pérdida de inf. por caída del servicio 1 1 1 2 2 4 4 1 12 3 6 6 8 16 16 1 Total Criterio Evaluación del Riesgo Moderado Bajo Moderado Moderado Moderado Alto Alto Bajo Nivel del riesgo 185 Compromiso de la información Pérdida de servicios esenciales Tipo de amenaza Probable Probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Robo de información Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No se tiene una planificación de monitoreos periódicos a los enlaces WAN Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Manipulación con software Divulgación No tener soporte por parte del proveedor del software Asignación errada de derechos de acceso Probable Falla del sistema de Alimentación ininterrumpida (UPS) Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) Falla en el sistema de alimentación ininterrumpida (UPS) Escucha encubierta Altamente Probable El equipo no trabaja adecuadamente Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Falla en el equipo de telecomunicaciones Probable Probable El software no funciona correctamente Ingreso de usuarios no autorizados al sistema Muy probable Impacto Vulnerabilidades Amenaza Criterio de probabilidad de ocurrencia 2 2 2 2 2 4 3 Medio Muy grave Muy grave Grave Muy grave Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.15. Valoración del riesgo servicio Antivirus 2 4 4 3 4 3 3 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 1 4 8 8 6 8 12 9 Total Criterio Evaluación del Riesgo Bajo Moderado Moderado Moderado Moderado Moderado Moderado Nivel del riesgo 186 Fallas técnicas Compromiso de la información Tipo de amenaza Falla del equipo Falla en la conexión entre servidores Detección de la ubicación Manipulación con software Amenaza No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT No realizar mantenimiento preventivo de los equipos del área de trabajo Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones No se realiza un monitoreo periódico de los enlaces de la red institucional (LAN) Modificación o Eliminación de Información en la Base de Datos o el sistema Tener administradores de segundo nivel que puedan hacer cambios no autorizados No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Acceso no autorizado al Centro de Cómputo Mal funcionamiento del Control de acceso al Centro de Cómputo Muy probable 3 3 Muy probable Daño del equipo El equipo no trabaja adecuadamente 3 2 Muy probable Probable Pérdida de conexión con los servidores (de bases de datos, carpetas compartidas, correo electrónico, entre otros) 1 2 3 2 Mala disponibilidad del servicio Poco probable Probable Muy probable Probable Manipulación indebida de los equipos Manipulación indebida de los equipos Mala disponibilidad del servicio Impacto Vulnerabilidades Criterio de probabilidad de ocurrencia Grave Grave Grave Grave Medio Medio Grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.15. Valoración del riesgo servicio Antivirus 3 3 3 3 2 2 3 2 Pequeño Pequeño Pequeño Pequeño Pequeño Medio Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 2 1 1 9 9 9 6 2 8 9 4 Total Criterio Evaluación del Riesgo Moderado Moderado Moderado Moderado Bajo Moderado Moderado Bajo Nivel del riesgo 187 Compromiso de funciones Fallas técnicas Tipo de amenaza Error en el uso Incumplimiento en el mantenimiento del sistema de información Uso de software falso, copiado o desactualizado Procesamiento ilegal de los datos Mal funcionamiento del software Mal funcionamiento del equipo Amenaza El equipo no trabaja adecuadamente No se podrían solucionar problemas de forma rápida Muy probable Muy probable Altamente Probable Limitación en la instalación de herramientas No actualizar el inventario de software Ausencia de mecanismos de monitoreo Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Muy probable Daño del equipo Probable Muy probable Mala disponibilidad del servicio El software se vuelve obsoleto Muy probable Daño del equipo Impacto No realizar mantenimiento preventivo de los equipos del área de trabajo No realizar mantenimiento preventivo de los equipos del área de trabajo No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT No se ha planificado una renovación oportuna de licencias (Antivirus, Windows, etc.) Vulnerabilidades Criterio de probabilidad de ocurrencia 3 3 4 3 2 3 3 Grave Medio Grave Grave Grave Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.15. Valoración del riesgo servicio Antivirus 3 2 3 3 3 3 3 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 1 9 6 12 9 6 9 9 Total Criterio Evaluación del Riesgo Moderado Moderado Moderado Moderado Moderado Moderado Moderado Nivel del riesgo 188 Compromiso de funciones Compromiso de funciones Tipo de amenaza Incumplimiento en la disponibilidad del personal Falsificación de derechos Abuso de derechos Error en el uso Amenaza Ausencia en el Personal Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Falta de conciencia acerca de la seguridad No se puede dar soporte informático oportuno en el servicio Probable Probable 2 2 2 3 Muy probable Probable 4 3 2 Altamente Probable El equipo no se encuentra protegido adecuadamente contra virus No se cuenten con el número de licencias de antivirus para todos los funcionarios El funcionario podría tomar acciones que comprometan la seguridad de la información Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Muy probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No verificar la actualización de la versión del antivirus en los equipos de usuario final Mal dimensionamiento del número de usuarios del antivirus Probable Impacto Vulnerabilidades Criterio de probabilidad de ocurrencia Muy grave Muy grave Muy grave Medio Grave Grave Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.15. Valoración del riesgo servicio Antivirus 4 4 4 2 3 3 4 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 1 8 8 8 6 12 9 8 Total Criterio Evaluación del Riesgo Moderado Moderado Moderado Moderado Moderado Moderado Moderado Nivel del riesgo 189 Pérdida de servicios esenciales Eventos naturales Daño físico Tipo de amenaza Fuego Falla en el sistema de suministro de agua y aire acondicionado Climáticos Sísmicos Volcánicos Mal mantenimiento de los sistemas de Aire Acondicionado Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo No se realiza un mantenimiento periódico del Sistema Contra incendios Destrucción del equipo Vulnerabilidades Daño de los equipos en el Centro de Cómputo Probable Poco Probable 2 1 1 Poco Probable Daño en los equipos Los equipos sensibles a variaciones de voltaje sufren daños. 1 Poco Probable Accidentes de los funcionarios al producirse el evento. 1 1 1 Poco Probable Poco Probable Poco Probable Accidentes de los funcionarios al producirse el evento. Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo Impacto Criterio de probabilidad de ocurrencia Grave Grave Muy grave Muy grave Muy grave Pequeño Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 3 3 4 4 4 1 4 Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP Amenaza 2.4.2.2.4. Activos de Servicios Pequeño Medio Medio Muy grave Muy grave Pequeño Muy grave Pérdida de inf. por caída del servicio 1 2 2 4 4 1 4 6 6 8 16 16 1 16 Total Criterio Evaluación del Riesgo Moderado Moderado Moderado Alto Alto Bajo Alto Nivel del riesgo 190 Compromiso de la información Pérdida de servicios esenciales Tipo de amenaza Escucha encubierta Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Los firewalls no trabajan adecuadamente Administración incorrecta de los parámetros de funcionamiento de los firewalls Espionaje remoto Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Falla del sistema de Alimentación ininterrumpida (UPS) Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) El equipo no trabaja adecuadamente Mal funcionamiento de los servicios de la red Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) Probable Probable Altamente Probable Probable Probable Altamente Probable Los equipos sensibles a variaciones de voltaje sufren daños. No tener correctas instalaciones eléctricas No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. Conexión deficiente de los cables Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Poco Probable Impacto Vulnerabilidades Falla en el sistema de alimentación ininterrumpida (UPS) Falla en el equipo de telecomunicaciones Pérdida de suministro de energía Amenaza Criterio de probabilidad de ocurrencia 2 2 4 2 2 4 1 Medio Medio Grave Medio Medio Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 2 3 2 2 3 3 Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 1 4 4 12 4 4 12 3 Total Criterio Evaluación del Riesgo Bajo Bajo Moderado Bajo Bajo Moderado Bajo Nivel del riesgo 191 Compromiso de la información Tipo de amenaza Manipulación con software Datos provenientes de fuentes no confiables Divulgación Hurto de equipo Escucha encubierta Amenaza No deshabilitar puertos no utilizados en equipos de conectividad Mala administración de los registros de direcciones MAC de los equipos para acceso a la red inalámbrica y telefonía IP Tener administradores de segundo nivel que puedan hacer cambios no autorizados Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No se tiene una planificación de monitoreos periódicos a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los firewalls Administración inadecuada de los equipos del área de trabajo disponibles para su uso Vulnerabilidades Probable Probable El equipo no puede conectarse a la red inalámbrica Modificación o Eliminación de Información en la Base de Datos o el sistema Muy probable Probable Probable Error en la disponibilidad de los equipos Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso no autorizado a la información en los equipos de la red Probable Muy probable Los firewalls no trabajan adecuadamente Robo de información Impacto Criterio de probabilidad de ocurrencia 2 2 3 2 2 2 3 Medio Medio Pequeño Medio Muy grave Medio Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 2 1 2 4 2 3 Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 1 4 4 3 4 8 4 9 Total Criterio Evaluación del Riesgo Bajo Bajo Bajo Bajo Moderado Bajo Moderado Nivel del riesgo 192 Compromiso de la información Tipo de amenaza Falla en la conexión entre servidores Falta de respaldos Manipulación con software Amenaza Pérdida de conexión con los servidores (de bases de datos, carpetas compartidas, correo electrónico, entre otros) No se tiene una planificación de monitoreos periódicos a los enlaces WAN No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Probable Muy probable Pérdida de información de la configuración de los equipos Mala disponibilidad del servicio Muy probable Mala disponibilidad del servicio Muy probable Probable Los firewalls no trabajan adecuadamente Falla en la conexión a los servidores de réplica Probable Falla de autenticación de los usuarios mediante Active Directory Administración inadecuada de las cuentas de usuario en Active Directory Administración incorrecta de los parámetros de funcionamiento de los firewalls No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT No respaldar la información de configuración de los servidores y equipos de conectividad No se realiza un monitoreo periódico de los enlaces de la red institucional (LAN) Probable Impacto Vulnerabilidades Criterio de probabilidad de ocurrencia 2 3 3 3 2 2 2 Medio Grave Grave Grave Medio Medio Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 3 3 3 2 2 3 Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP Pequeño Pequeño Pequeño Medio Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 2 1 1 1 4 9 9 18 4 4 6 Total Criterio Evaluación del Riesgo Bajo Moderado Moderado Alto Bajo Bajo Moderado Nivel del riesgo 193 Compromiso de funciones Fallas técnicas Tipo de amenaza Error en el uso Procesamiento ilegal de los datos Incumplimiento en el mantenimiento del sistema de información Mal funcionamiento del software Mal funcionamiento del equipo Falla del equipo Amenaza Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Administración inadecuada de los equipos del área de trabajo disponibles para su uso No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Falta de mantenimiento del direccionamiento IP (DHCP) No realizar la renovación oportuna del dominio de la página web No se tiene una planificación de monitoreos periódicos a los enlaces WAN Vulnerabilidades Probable Muy probable Se podría producir la suplantación de la página web Falla en la conexión a los servidores de réplica Probable Muy probable Funcionamiento incorrecto del DHCP El equipo no trabaja adecuadamente Probable Probable Error en la disponibilidad de los equipos Mala disponibilidad del servicio Probable El equipo no trabaja adecuadamente Impacto Criterio de probabilidad de ocurrencia 2 3 2 3 2 2 2 Medio Grave Grave Muy grave Medio Muy grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 3 3 4 2 4 2 Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP Pequeño Pequeño Medio Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 2 1 1 1 1 4 9 12 12 4 8 4 Total Criterio Evaluación del Riesgo Bajo Moderado Moderado Moderado Bajo Moderado Bajo Nivel del riesgo 194 Compromiso de funciones Tipo de amenaza Abuso de derechos Error en el uso Amenaza Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Falta de conciencia acerca de la seguridad Uso incorrecto de Software o Hardware Mal funcionamiento del equipo y del software instalado El funcionario podría tomar acciones que comprometan la seguridad de la información Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Pérdida de Información de la configuración de los equipos Probable Probable Probable Muy probable Probable Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Los firewalls no trabajan adecuadamente Probable Impacto Vulnerabilidades Administración incorrecta de los parámetros de funcionamiento de los firewalls No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Criterio de probabilidad de ocurrencia 2 2 2 3 2 2 Medio Medio Grave Muy grave Medio Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 2 3 4 2 2 Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 4 4 6 12 4 4 Total Criterio Evaluación del Riesgo Bajo Bajo Moderado Moderado Bajo Bajo Nivel del riesgo 195 Probable 2 2 2 Muy grave Grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 4 3 2 Impacto Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Vulnerabilidades No se realiza un mantenimiento periódico del Sistema Contra incendios Fuego Daño físico Probabilidad de ocurrencia Poco Probable 1 Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 4 Tabla 2.17. Valoración del riesgo servicio Switching y Routing No se puede dar soporte informático oportuno en el servicio Acceso no autorizado al servicio o aplicación Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) Ausencia en el Personal Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Probable Probable Impacto Vulnerabilidades Amenaza Incumplimiento en la disponibilidad del personal Falsificación de derechos Amenaza Tipo de amenaza Compromiso de funciones Tipo de amenaza Criterio de probabilidad de ocurrencia Tabla 2.16. Valoración del riesgo servicios DNS, DHCP, NTP Muy grave Pérdida de inf. por caída del servicio Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 4 1 1 1 16 Total Criterios Evaluación de Riesgo 8 6 4 Total Criterio Evaluación del Riesgo Alto Nivel del Riesgo Moderado Moderado Bajo Nivel del riesgo 196 Pérdida de servicios esenciales Eventos naturales Daño físico Tipo de amenaza Falla en el sistema en el suministro de agua y aire acondicionado Pérdida de suministro de energía Climáticos Sísmicos Volcánicos Destrucción del equipo Amenaza Daño de los equipos en el Centro de Cómputo Los equipos sensibles a variaciones de voltaje sufren daños. Mal mantenimiento de los sistemas de Aire Acondicionado No tener correctas instalaciones eléctricas Poco Probable Probable Poco Probable 1 Poco Probable Daño en los equipos Los equipos sensibles a variaciones de voltaje sufren daños. 1 Poco Probable Accidentes de los funcionarios al producirse el evento. 1 2 1 1 Poco Probable Accidentes de los funcionarios al producirse el evento. 1 1 Poco Probable Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo El equipo se vuelve obsoleto Poco Probable Impacto Vulnerabilidades No realizar la renovación oportuna de equipos Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Probabilidad de ocurrencia Grave Grave Grave Muy grave Muy grave Muy grave Medio Pequeño Impacto de acuerdo al tiempo sin funcionamiento del servicio 3 3 3 4 4 4 2 1 Tabla 2.17. Valoración del riesgo servicio Switching y Routing Pequeño Pequeño Medio Medio Muy grave Muy grave Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 2 2 4 4 1 1 3 6 6 8 16 16 2 1 Total Criterios Evaluación de Riesgo Bajo Moderado Moderado Moderado Alto Alto Bajo Bajo Nivel del Riesgo 197 Compromiso de la información Pérdida de servicios esenciales Tipo de amenaza Espionaje remoto Falla en el sistema de alimentación ininterrumpida (UPS) Falla en el equipo de telecomunicaciones Pérdida de suministro de energía Amenaza Monitoreo inadecuado de los enlaces WAN No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Muy probable Altamente Probable Probable El equipo no trabaja adecuadamente Falla del sistema de Alimentación ininterrumpida (UPS) Muy probable Probable Mal funcionamiento de los servicios de la red Monitoreo inadecuado de los enlaces WAN Altamente Probable Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) Impacto Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. Conexión deficiente de los cables No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Vulnerabilidades Probabilidad de ocurrencia 3 4 2 3 2 4 Muy grave Grave Medio Muy grave Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 4 3 2 4 3 3 Tabla 2.17. Valoración del riesgo servicio Switching y Routing Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 12 12 4 12 6 12 Total Criterios Evaluación de Riesgo Moderado Moderado Bajo Moderado Moderado Moderado Nivel del Riesgo 198 Compromiso de la información Tipo de amenaza Manipulación con software No se hace una verificación periódica de la seguridad de los switches de acceso en cada piso Tener administradores de segundo nivel que puedan hacer cambios no autorizados Datos provenientes de fuentes no confiables Manipulación con hardware No deshabilitar puertos no utilizados en equipos de conectividad Divulgación Robo de información No se tiene una planificación de monitoreos periódicos a los enlaces WAN Escucha encubierta Altamente Probable Probable Modificación o Eliminación de Información en la Base de Datos o el sistema Altamente Probable Probable Muy probable Probable Manipulación no autorizada de los equipos expuestos Acceso no autorizado a la información en los equipos de la red Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Impacto Vulnerabilidades Amenaza Probabilidad de ocurrencia 2 4 4 2 3 2 Medio Medio Medio Medio Grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 2 2 2 3 2 Tabla 2.17. Valoración del riesgo servicio Switching y Routing Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 4 8 8 4 9 4 Total Criterios Evaluación de Riesgo Bajo Moderado Moderado Bajo Moderado Bajo Nivel del Riesgo 199 Fallas técnicas Compromiso de la información Tipo de amenaza Falla del equipo Falla en la conexión entre servidores Falta de respaldos Manipulación con software Amenaza No se tiene una planificación de monitoreos periódicos a los enlaces WAN No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT No realizar mantenimiento técnico de equipos en el Centro de Cómputo No se realiza un monitoreo periódico de los enlaces de la red institucional (LAN) No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT No respaldar la información de configuración de los servidores y equipos de conectividad Vulnerabilidades Muy probable Probable Poco Probable Falla en la conexión a los servidores de réplica Mala disponibilidad del servicio Daño de los equipos del Centro de Cómputo Probable Probable Pérdida de información de la configuración de los equipos Pérdida de conexión con los servidores (de bases de datos, carpetas compartidas, correo electrónico, entre otros) Probable Mala disponibilidad del servicio Impacto Probabilidad de ocurrencia 1 2 3 2 2 2 Muy grave Grave Grave Medio Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 4 3 3 2 3 3 Tabla 2.17. Valoración del riesgo servicio Switching y Routing Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 4 6 9 4 6 6 Total Criterios Evaluación de Riesgo Bajo Moderado Moderado Bajo Moderado Moderado Nivel del Riesgo 200 Procesamiento ilegal de los datos Error en el uso Compromiso de funciones Incumplimiento en el mantenimiento del sistema de información Mal funcionamiento del software Mal funcionamiento del equipo Falla del equipo Amenaza Acciones no autorizadas Fallas técnicas Tipo de amenaza No se tiene una planificación de monitoreos periódicos a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Falta de mantenimiento del direccionamiento IP (DHCP) Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones No realizar mantenimiento técnico de equipos en el Centro de Cómputo No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Vulnerabilidades El equipo no trabaja adecuadamente Falla en la conexión a los servidores de réplica Funcionamiento incorrecto del DHCP Mala disponibilidad del servicio Daño de los equipos del Centro de Cómputo El equipo no trabaja adecuadamente Impacto Probable Muy probable Muy probable Probable Poco Probable Probable Probabilidad de ocurrencia 2 3 3 2 1 2 Medio Grave Muy grave Grave Muy grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 3 4 3 4 2 Tabla 2.17. Valoración del riesgo servicio Switching y Routing Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 4 9 12 6 4 4 Total Criterios Evaluación de Riesgo Bajo Moderado Moderado Moderado Bajo Bajo Nivel del Riesgo 201 Compromiso de funciones Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Falsificación de derechos Uso incorrecto de Software o Hardware No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Abuso de derechos Error en el uso Compromiso de funciones Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Falta de conciencia acerca de la seguridad Vulnerabilidades Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Amenaza Tipo de amenaza Mal funcionamiento del equipo y del software instalado Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Pérdida de Información de la configuración de los equipos El funcionario podría tomar acciones que comprometan la seguridad de la información Acceso no autorizado a la información (almacenada en servidores, consolas de administración, sistema de backups y en estaciones de trabajo) Impacto Probable Probable Poco Probable Muy probable Probable Probable Probabilidad de ocurrencia 2 2 1 3 2 2 Medio Medio Grave Grave Medio Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio 2 2 3 3 2 3 Tabla 2.17. Valoración del riesgo servicio Switching y Routing Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 4 4 3 9 4 6 Total Criterios Evaluación de Riesgo Bajo Bajo Bajo Moderado Bajo Moderado Nivel del Riesgo 202 Daño físico Tipo de amenaza Compromiso de funciones Tipo de amenaza No se realiza un mantenimiento periódico del Sistema Contra incendios Fuego No realizar la renovación oportuna de equipos Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo Vulnerabilidades Destrucción del equipo Probable Probable 2 2 Muy Grave Grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Pérdida de información almacenada en los equipos del edificio matriz en caso de producirse un incendio Mal funcionamiento del dispositivo biométrico del sistema de Control de acceso al Centro de Cómputo El equipo se vuelve obsoleto Impacto Probable Poco Probable Poco Probable Probabilidad de ocurrencia 2 1 1 Muy grave Pequeño Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.18. Valoración del riesgo servicio Telefonía IP No se puede dar soporte informático oportuno en el servicio Acceso no autorizado al servicio o aplicación Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) Ausencia en el Personal Impacto Vulnerabilidades Amenaza Incumplimiento en la disponibilidad del personal Falsificación de derechos Amenaza Probabilidad de ocurrencia 4 1 4 4 3 Tabla 2.17. Valoración del riesgo servicio Switching y Routing Pequeño Pequeño Muy grave Pérdida de inf. por caída del servicio Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 4 1 1 8 1 16 Total Criterios Evaluación de Riesgo 8 6 Total Criterios Evaluación de Riesgo Moderado Bajo Alto Nivel del Riesgo Moderado Moderado Nivel del Riesgo 203 Pérdida de servicios esenciales Eventos naturales Tipo de amenaza Falla en el equipo de telecomunicaciones Pérdida de suministro de energía Falla en el sistema en el suministro de agua y aire acondicionado Climáticos Sísmicos Volcánicos Amenaza Mal funcionamiento de los servicios de la red Mal funcionamiento del sistema de alimentación ininterrumpida (UPS) No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. Conexión deficiente de los cables Poco Probable Los equipos sensibles a variaciones de voltaje sufren daños. No tener correctas instalaciones eléctricas Muy probable Altamente Probable Probable Daño de los equipos en el Centro de Cómputo Poco Probable 3 4 1 2 1 1 Poco Probable Daño en los equipos Los equipos sensibles a variaciones de voltaje sufren daños. 1 Poco Probable Accidentes de los funcionarios al producirse el evento. 1 Poco Probable Accidentes de los funcionarios al producirse el evento. Impacto Mal mantenimiento de los sistemas de Aire Acondicionado Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Vulnerabilidades Probabilidad de ocurrencia Pequeño Grave Grave Grave Grave Muy grave Muy grave Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.18. Valoración del riesgo servicio Telefonía IP 1 3 3 3 3 4 4 4 Pequeño Pequeño Pequeño Pequeño Medio Medio Muy grave Muy grave Pérdida de inf. por caída del servicio 1 1 1 1 2 2 4 4 3 12 3 6 6 8 16 16 Total Criterios Evaluación de Riesgo Bajo Moderado Bajo Moderado Moderado Moderado Alto Alto Nivel del Riesgo 204 Compromiso de la información Pérdida de servicios esenciales Tipo de amenaza Manipulación con software Datos provenientes de fuentes no confiables Hurto de equipo Administración inadecuada de los equipos del área de trabajo disponibles para su uso Mala administración de los registros de direcciones MAC de los equipos para acceso a la red inalámbrica y telefonía IP No deshabilitar puertos no utilizados en equipos de conectividad Administración inadecuada de las cuentas de usuario en Active Directory No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) Mala disponibilidad del servicio 3 2 Probable Muy probable 2 3 4 4 2 Probable Muy probable El equipo no puede conectarse a la red inalámbrica Acceso no autorizado a la información en los equipos de la red Falla de autenticación de los usuarios mediante Active Directory Altamente Probable Altamente Probable Probable Error en la disponibilidad de los equipos Falla del sistema de Alimentación ininterrumpida (UPS) El equipo no trabaja adecuadamente Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Falla en el equipo de telecomunicaciones Falla en el sistema de alimentación ininterrumpida (UPS) Impacto Vulnerabilidades Amenaza Probabilidad de ocurrencia Medio Grave Pequeño Medio Muy grave Grave Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.18. Valoración del riesgo servicio Telefonía IP 2 3 1 2 4 3 2 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 1 6 6 2 6 16 12 4 Total Criterios Evaluación de Riesgo Moderado Moderado Bajo Moderado Alto Moderado Bajo Nivel del Riesgo 205 Fallas técnicas Falla en la conexión entre servidores Compromiso de la información Mal funcionamiento del software Mal funcionamiento del equipo Falla del equipo Amenaza Tipo de amenaza Probable Daño del equipo Muy probable Altamente Probable Error en la disponibilidad de los equipos Mala disponibilidad del servicio Probable Probable Daño del equipo El equipo no trabaja adecuadamente Muy probable Pérdida de conexión con los servidores (de bases de datos, carpetas compartidas, correo electrónico, entre otros) No se realiza un monitoreo periódico de los enlaces de la red institucional (LAN) Mala disponibilidad del servicio Probable Impacto Vulnerabilidades No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT No realizar mantenimiento preventivo de los equipos del área de trabajo Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Administración inadecuada de los equipos del área de trabajo disponibles para su uso No realizar mantenimiento preventivo de los equipos del área de trabajo No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Probabilidad de ocurrencia 3 2 4 2 2 3 2 Medio Muy grave Muy grave Medio Muy grave Medio Medio Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.18. Valoración del riesgo servicio Telefonía IP 2 4 4 2 4 2 2 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 1 6 8 16 4 8 6 4 Total Criterios Evaluación de Riesgo Moderado Moderado Alto Bajo Moderado Moderado Bajo Nivel del Riesgo 206 Fallas técnicas Compromiso de funciones Incumplimiento en el mantenimiento del sistema de información Incumplimiento en la disponibilidad del personal Error en el uso Amenaza Tipo de amenaza Ausencia en el Personal Falta de conciencia acerca de la seguridad Uso incorrecto de Software o Hardware No realizar mantenimiento preventivo de los equipos del área de trabajo Falta de mantenimiento del direccionamiento IP (DHCP) Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Vulnerabilidades Probable Pérdida de Información de la configuración de los equipos No se puede dar soporte informático oportuno en el servicio Probable Muy probable Muy probable Probable El equipo no trabaja adecuadamente Mal funcionamiento del equipo y del software instalado El funcionario podría tomar acciones que comprometan la seguridad de la información Probable Probable Funcionamiento incorrecto del DHCP Daño del equipo Impacto Probabilidad de ocurrencia 2 3 3 2 2 2 2 Muy Grave Muy grave Medio Medio Medio Medio Muy grave Impacto de acuerdo al tiempo sin funcionamiento del servicio Tabla 2.18. Valoración del riesgo servicio Telefonía IP 4 4 2 2 2 2 4 Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pequeño Pérdida de inf. por caída del servicio 1 1 1 1 1 1 1 8 12 6 4 4 4 8 Total Criterios Evaluación de Riesgo Moderado Moderado Moderado Bajo Bajo Bajo Moderado Nivel del Riesgo 207 208 3.CAPÍTULO 3 TRATAMIENTO DE LOS RIESGOS PRESENTES EN LA DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES 3.1. INTRODUCCIÓN El presente capítulo describirá el tratamiento a los Riesgos en la Seguridad de la Información presentes en la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones (DTT), que se encontraron en base al Análisis de riesgos en la seguridad de la información descritos en el Capítulo 2 (Análisis de Riesgos en la Seguridad de la Información en la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones). Figura 3.1. Tratamiento de riesgos en la seguridad de la información 209 El tratamiento de estos Riesgos en la Seguridad de la Información se realiza en base a la aplicación de la Norma 27005 [2], en su sección 9: Tratamiento del riego de la seguridad de la información, y con la aplicación de los controles necesarios de la Norma 27002 [6]. En la Figura 3.1 se puede observar una esquematización de la fase de tratamiento del riesgo. 3.2. TRATAMIENTO DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN Para realizar el tratamiento de riesgos en la seguridad de la información, se analizan las cuatro opciones disponibles: reducción, retención, evitación y transferencia. 3.2.1. REDUCCIÓN DEL RIESGO Para la reducción de los riesgos en la DTT, se plantearán los controles necesarios, de acuerdo a la Norma 27002 [6], dependiendo de las vulnerabilidades encontradas en los servicios de la DTT analizados. 3.2.2. RETENCIÓN DEL RIESGO Dependiendo de la evaluación del riesgo, se puede tomar la decisión sobre la retención de riesgo. Si el nivel del riesgo satisface los niveles para su aceptación, no es necesario implementar controles adicionales y el riesgo se puede retener. Debido a que la DTT tiene restricciones de presupuesto para realizar sus actividades, no se puede determinar para qué riesgos se puede hacer una evitación, porque la determinación de los costos de implementación de los controles de seguridad considerados está fuera del alcance de este proyecto. 3.2.3. EVITACIÓN DEL RIESGO Para la evitación de un riesgo en particular, se deben evadir las actividades o acciones que den origen al mismo, principalmente en los casos en los que el riesgo se considera muy alto o los costos para implementar otras opciones de 210 tratamiento del riesgo exceden los beneficios, por lo que queda a consideración de la Dirección el realizar la evitación para los riesgos que considere necesario. 3.2.4. TRANSFERENCIA DEL RIESGO Dependiendo de la evaluación del riesgo, se pueden transferir los mismos a otra parte que pueda gestionarlos de manera más eficaz, para lo cual previamente se debe considerar que los riesgos pueden ser compartidos con partes externas, y además en el proceso de transferencia se pueden crear riesgos nuevos o modificar los riesgos existes, por lo cual puede ser necesario un tratamiento adicional para los mismos. Se puede realizar la transferencia del riesgo, en el caso de que un servicio de la DTT pase a formar parte de otra Dirección, en este caso, el manejo de la gestión del riesgo para ese servicio será transferido con sus controles y recomendaciones para minimizar el riesgo. 3.2.5. IDENTIFICACIÓN DE LOS CONTROLES DE LA NORMA NTE INENISO/IEC 27002:2009 PARA LA DTT En esta parte del desarrollo del sistema, se realiza la identificación de controles de la Norma 27002 [6], analizando su aplicabilidad en la DTT; esta recopilación de información se realizó durante el periodo en el cual se cumplieron actividades que implicaban la manipulación de los servicios, adicional a las entrevistas realizadas a cada uno de los funcionarios a cargo de los diferentes servicios. Dentro de la Norma 27002 [6] se tienen 11 categorías sobre controles de la seguridad de la información. Las categorías antes mencionadas son: a) Política de la seguridad b) Organización de la seguridad de la información c) Gestión de activos d) Seguridad de los recursos humanos e) Seguridad física y del entorno f) Gestión de operaciones y comunicaciones g) Control del acceso 211 h) Adquisición, desarrollo y mantenimiento de sistemas de información i) Gestión de los incidentes de la seguridad de la información j) Gestión de la continuidad del negocio k) Cumplimiento 3.2.5.1. Política de la seguridad 3.2.5.1.1. Documento de la política de la seguridad de la información “La dirección debería aprobar un documento de política de la seguridad de la información y lo debería publicar y comunicar a todos los empleados y partes externas pertinentes”. Actualmente la DTT está creando un documento que contenga la política de seguridad de la información, por lo que para la realización de este proyecto no se toman en cuenta políticas de seguridad debido a que no se encuentran definidas. 3.2.5.1.2. Revisión de la política de la seguridad de la información No se aplicará este control porque aún no se tiene un documento de la política de la seguridad de la información para que sea revisado. 3.2.5.2. Organización de la seguridad de la información En la DTT se tienen algunas prácticas de seguridad de la información, que son tomadas en cuenta en el cumplimiento de sus actividades, pero estas prácticas de seguridad no están formalizadas en ningún documento, por lo que se pueden considerar los siguientes controles de la Norma 27002 [6] como recomendaciones para la elaboración del documento de políticas de seguridad de la información. · Compromiso de la dirección con la seguridad de la información · Coordinación de la seguridad de la información · Asignación de responsabilidades para la seguridad de la información · Proceso de autorización para los servicios de procesamiento de la información · Acuerdos sobre confidencialidad · Contacto con las autoridades · Contactos con grupos de interés especiales 212 · Revisión independiente de la seguridad de la información · Identificación de los riesgos relacionados con las partes externas · Consideraciones de la seguridad cuando se trata con los clientes · Consideraciones de la seguridad en los acuerdos con terceras partes 3.2.5.3. Gestión de activos 3.2.5.3.1. Inventario de activos “Todos los activos deberían estar claramente identificados y se debería elaborar y mantener un inventario de todos los activos importantes”. Se tiene un inventario de los activos a cargo de cada funcionario de la DTT, los cuales se pueden clasificar de acuerdo a los tipos de activos: de información, físicos, de software, de servicios. Adicionalmente se pueden clasificar los activos considerando el personal y sus calificaciones, habilidades y experiencias, y la reputación e imagen de la organización, lo cual dependerá de la Dirección encargada de gestionar los Recursos Humanos. 3.2.5.3.2. Responsable de los activos “Toda la información y los activos asociado con los servicios de procesamiento de información deberían ser asignada a una parte de la organización que actúa como responsable”. Este control se cumple porque, para cada sistema y servicio a cargo de la DTT, se designa un funcionario responsable del mismo, que será el encargado de su administración. 3.2.5.3.3. Uso aceptable de los activos “Se deben identificar, documentar e implementar las reglas sobre el uso aceptable de la información y de los activos asociados con el procesamiento de la información”. Este control no se cumple en la DTT, por lo cual se deben establecer reglas para el uso aceptable de activos, por ejemplo, para el uso de correo electrónico y 213 de Internet, y para el uso de dispositivos móviles institucionales fuera de las instalaciones de la institución. 3.2.5.3.4. Directrices de clasificación “La información se debería clasificar en términos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la organización”. En la DTT se tienen diferentes capas de seguridad a nivel de servidores, debido a que se considera la sensibilidad e importancia de la información. 3.2.5.3.5. Etiquetado y manejo de la información “Se debería desarrollar e implementar un conjunto de procedimientos adecuados para el etiquetado y el manejo de la información de acuerdo al esquema de clasificación adoptado por la organización”. Una vez realizada la clasificación de la información según su nivel de importancia, se debe implementar un procedimiento de etiquetado, incluyendo procedimientos para cadena de custodia y registro de cualquier evento importante de la seguridad, y debe aplicarse a los activos de información en formatos físico y electrónico; los elementos a considerar incluyen: informes impresos, presentaciones en pantallas, medio grabados (cintas, discos, discos duros externos, etc.), mensajes electrónicos y transferencia de archivos. En la DTT se tiene etiquetado para la información contenida en las bases de datos y sus respectivos respaldos, pero en lo relacionado al almacenamiento de información contenida en carpetas compartidas no se tienen registros sobre el etiquetado usado. 3.2.5.4. Seguridad de los recursos humanos 3.2.5.4.1. Funciones y responsabilidades “Se deberían definir y documentar los funciones y responsabilidades de los empleados, contratistas y usuarios de terceras partes por la seguridad, de acuerdo con la política de la seguridad de la información de la organización”. 214 3.2.5.4.2. Términos y condiciones laborales “Como parte de su obligación contractual, los empleados, contratistas y usuarios de terceras partes deberían estar de acuerdo y firmar los términos y condiciones de su contrato laboral, el cual debe establecer sus responsabilidades y las de la organización con relación a la seguridad de la información”. Para el cumplimiento de estos controles (3.2.5.4.1 y 3.2.5.4.2), la Dirección de Talento Humano de la Institución es la encargada de hacer firmar al empleado un acuerdo de confidencialidad de la información, de acuerdo a los lineamientos de seguridad establecidos por esta Dirección. En lo relacionado a contratistas y usuarios de terceras partes, se contemplan cláusulas al momento de plantear los contratos relacionados a los proyectos que realiza la DTT, que hagan que se cumplan las funciones y responsabilidades de los participantes de dichos contratos en lo referente a la seguridad de la información. 3.2.5.4.3. Selección “Se deberían realizar revisiones para la verificación de antecedentes de los candidatos a ser empleados, contratistas o usuarios de terceras partes, de acuerdo con los reglamentos, la ética y las leyes pertinentes, y deben ser proporcionales a los requisitos del negocio, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos”. El cumplimiento de este control es de responsabilidad de la Dirección de Talento Humano de la Institución; además se debe considerar que para la adjudicación de contratos para nuevos proyectos dentro de la Institución, se utiliza el Portal de Compras Públicas. 3.2.5.4.4. Responsabilidades de la dirección “La dirección debería exigir que los empleados, contratistas y usuarios de terceras partes apliquen la seguridad según las políticas y los procedimientos establecidos por la organización”. Una vez que los empleados, contratistas y usuarios de terceras partes firman sus respectivos contratos, están obligados a cumplir con los lineamientos de seguridad ahí establecidos, y que en caso de incumplimiento contemplan 215 sanciones; la DTT se encarga de verificar el cumplimiento de los lineamientos de seguridad para sus proyectos y para los funcionarios de la misma. 3.2.5.4.5. Educación, formación y concienciación sobre la seguridad de la información “Todos los empleados de la organización y, cuando sea pertinente, los contratistas y los usuarios de terceras partes deberían recibir formación adecuada en concienciación y actualizaciones regulares sobre las políticas y los procedimientos de la organización, según sea pertinente para sus funciones laborales”. Dentro de la Institución no se han realizado capacitaciones al personal sobre la importancia de la seguridad de la información y las diferentes formas de implementar seguridad de la información en sus tareas. 3.2.5.4.6. Proceso disciplinario “Debería existir un proceso disciplinario formal para los empleados que hayan cometido alguna violación de la seguridad”. Lo relacionado con este control es tratado por la Dirección de Talento Humano de la Institución. 3.2.5.4.7. Responsabilidades en la terminación del contrato “Se deberían definir y asignar claramente las responsabilidades para llevar a cabo la terminación o el cambio de la contratación laboral”. La terminación de un contrato depende del tiempo de duración del mismo, y es de responsabilidad de la Dirección de Talento Humano y de los propios funcionarios. 3.2.5.4.8. Devolución de activos “Todos los empleados, contratistas o usuarios de terceras partes deberían devolver todos los activos pertenecientes a la organización que estén en su poder al finalizar su contratación laboral, contrato o acuerdo”. Al finalizar cualquier contrato dentro de la Dirección, el funcionario responsable de un activo debe entregar obligatoriamente dicho activo a un nuevo 216 responsable, con lo cual el Director realiza la verificación del traspaso de todos los activos a un nuevo funcionario. 3.2.5.4.9. Retiro de los derechos de acceso “Los derechos de acceso de todos los empleados, contratistas o usuarios de terceras partes a la información y a los servicios de procesamiento de información se deberían retirar al finalizar su contratación laboral, contrato o acuerdo o se deberían ajustar después del cambio”. Cuando un funcionario termina su relación laboral con la Institución, la Dirección de Talento Humano hace una petición formal de eliminación de las cuentas de usuario de ese funcionario al encargado de administrar dichas cuentas de usuario en la DTT. 3.2.5.5. Seguridad física y del entorno 3.2.5.5.1. Perímetro de la seguridad física “Se deberían utilizar perímetros de la seguridad (barreras tales como paredes, puertas de acceso controladas con tarjeta o mostradores de recepción atendidos) para proteger las áreas que contienen información y servicios de procesamiento de información”. Se tiene un perímetro de la seguridad física para proteger las áreas que contienen información y servicios de procesamiento de información, es decir, se cuenta con un Centro de Cómputo en el edificio Matriz donde están todos los equipos críticos de almacenamiento y procesamiento de la información y su acceso cuenta con una puerta de seguridad. 3.2.5.5.2. Controles de acceso físico “Las áreas seguras deberían estar protegidas con controles de acceso apropiados para asegurar que sólo se permite el acceso a personal autorizado”. Cualquier visitante que quiera ingresar a la Institución debe identificarse e indicar su propósito en la recepción del edificio. El Centro de Cómputo tiene como control de acceso físico un dispositivo biométrico que permite el acceso a personal autorizado, y control de acceso biométrico en toda la SUPERTEL. 217 3.2.5.5.3. Seguridad de oficinas, recintos e instalaciones “Se debería diseñar y aplicar la seguridad física para oficinas, recintos e instalaciones”. Se cumple este control ya que se tiene el Centro de Cómputo en una ubicación estratégica en el edificio Matriz de la SUPERTEL. 3.2.5.5.4. Protección contra amenazas externas y ambientales “Se deberían diseñar y aplicar protecciones físicas contra daño por incendio, inundación, terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial”. Como protección contra las amenazas externas y ambientales, se cuenta con un sistema de detección y control de incendios y sus respectivas señaléticas, para casos de emergencia y evacuación, pero no se tiene planificado realizar mantenimiento periódico al sistema contra incendios, ni se tiene un plan de capacitación al personal sobre cómo actuar ante desastres naturales. 3.2.5.5.5. Trabajo en áreas seguras “Se deberían diseñar y aplicar la protección física y las directrices para trabajar en áreas seguras”. Se cumple este control al tener restringido el acceso a las áreas seguras de interés para la DTT, que son el Centro de Cómputo, mediante un control de acceso biométrico y acceso restringido a los tableros de control de las baterías del sistema de alimentación ininterrumpida (UPS), mediante la vigilancia privada del edificio. 3.2.5.5.6. Áreas de carga, despacho y acceso público “Los puntos de acceso tales como las áreas de carga y despacho y otros puntos por donde pueda ingresar personal no autorizado a las instalaciones se deberían controlar y, si es posible, aislar de los servicios de procesamiento de información para evitar el acceso no autorizado”. En el edificio Matriz de la SUPERTEL, las áreas de carga, despacho y de acceso público están siempre vigiladas, y cuando se necesite ingresar alguna carga al edificio, se lo hace bajo supervisión. 218 3.2.5.5.7. Ubicación y protección de los equipos “Los equipos deberían estar ubicados o protegidos para reducir el riesgo debido a amenazas o peligros del entorno, y las oportunidades de acceso no autorizado”. Los equipos de almacenamiento y procesamiento de la información se encuentran debidamente instalados en el Centro de Cómputo del edificio matriz, protegidos contra el acceso no autorizado por un sistema de acceso biométrico. En lo relacionado a los equipos del área de trabajo, la DTT se encarga de dar recomendaciones sobre la ubicación de estos equipos, pero al final cada funcionario de la Institución es responsable de su área de trabajo, por lo que se considera que se pueden producir daños en los equipos del área de trabajo en el caso en el que se produzca algún desastre natural que afecte al edificio y el equipo no esté en una ubicación segura. 3.2.5.5.8. Servicios de suministro “Los equipos deberían estar protegidos contra fallas en el suministro de energía y otras anomalías causadas por fallas en los servicios de suministro”. Como servicios de suministro se cuenta con un sistema de alimentación ininterrumpida de energía (UPS) que permite el funcionamiento durante un periodo de tiempo definido de los equipos que soportan operaciones críticas para la Institución, un sistema de distribución de agua para abastecer al sistema contra incendios y al sistema de aire acondicionado para controlar la temperatura del Centro de Cómputo y cuarto de UPS, pero no se realizan mantenimientos preventivos periódicos para estos sistemas, lo que ha producido que estos sistemas presenten fallas. 3.2.5.5.9. Seguridad del cableado “El cableado de energía eléctrica y de telecomunicaciones que transporta datos o presta soporte a los servicios de información deberían estar protegidos contra interceptaciones o daños”. En cuanto a seguridad del cableado no se ha realizado una revisión y mantenimiento del sistema del cableado estructurado para telecomunicaciones ni del cableado de energía eléctrica desde su instalación hace varios años, por lo que 219 estos sistemas no están correctamente detallados ni reflejan cómo actualmente están administrados, por lo que se pueden presentar ciertos riesgos en la seguridad de la información. 3.2.5.5.10. Mantenimiento de los equipos “Los equipos deberían recibir mantenimiento adecuado para asegurar su continua disponibilidad e integridad”. Para el mantenimiento de los equipos, se realiza de acuerdo a los contratos de adquisición establecidos con los proveedores, y el mantenimiento de los mismos se realiza por el personal autorizado para estas tareas; por lo general se realiza en mantenimiento de los equipos en las mismas instalaciones de la SUPERTEL. No se llevan registros propios de la DTT sobre los mantenimientos preventivos o correctivos realizados en los equipos. 3.2.5.5.11. Seguridad de los equipos fuera de las instalaciones “Se debería suministrar seguridad para los equipos fuera de las instalaciones teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organización”. Se debe implantar un procedimiento para el traslado de los equipos fuera de las instalaciones de la Institución, considerando llevarlo como equipaje de mano todo el tiempo, inclusive en largos periodos de tiempo. Para el trabajo que se realiza en casa, se deben considerar medidas de seguridad como gabinetes de archivos con seguros, política de escritorio despejado, control de acceso a los computadores y comunicaciones seguras con la oficina. 3.2.5.5.12. Seguridad en la reutilización o eliminación de los equipos “Se deberían verificar todos los elementos del equipo que contengan medios de almacenamiento para asegurar que se haya eliminado cualquier software licenciado y datos sensibles o asegurar que se hayan sobrescrito de forma segura, antes de la eliminación”. Para la reutilización o eliminación de los equipos, se debe asegurar que se haya eliminado toda la información sensible o que se haya sobrescrito de forma segura, usando técnicas que no permitan la recuperación de la información original. 220 Una vez que la información de los equipos a darse de baja se encuentra respaldada, y se realiza el procedimiento de sobrescritura, los mismos serán entregados como donación. No se tiene un procedimiento formal en la DTT para estos procedimientos. 3.2.5.5.13. Retiro de activos de la propiedad “Ningún equipo, información ni software se deberían retirar sin autorización previa”. Para el retiro de activos del edificio matriz, se realiza el registro de los mismos incluyendo la persona encargada del retiro o devolución y las fechas en las cuales se realizan los retiros y las devoluciones, además se cuenta con códigos en los equipos de toda la SUPERTEL que permiten la identificación de los mismos. 3.2.5.6. Gestión de comunicaciones y operaciones 3.2.5.6.1. Documentación de los procedimientos de operación “Los procedimientos de operación se deberían documentar, mantener y estar disponibles para todos los usuarios que los necesiten”. Para sistemas o servicios existentes o nuevos dentro de la DTT, se deben documentar detalladamente los procedimientos para su operación, incluyendo: · Procedimientos para el encendido y apagado de computadores · Copias de respaldo · Mantenimiento de equipos · Manejo de medios, cuarto de equipos · Gestión de correo · Gestión de la seguridad · Documentación de fallas y condiciones excepcionales que se puedan presentar durante el funcionamiento del servicio · Procedimientos para el reinicio y recuperación del servicio en caso de fallas · Requisitos de programación, incluyendo interrelaciones con otros sistemas, hora de inicio y fin de sus funciones. Actualmente sí se realiza esta documentación para los proyecto de desarrollo de software de la DTT. 221 · Contactos de soporte en caso de dificultades técnicas u operativas inesperadas. Los datos de soporte técnico de los proveedores sí se documentan, pero no se documentan los procedimientos realizados. 3.2.5.6.2. Gestión del cambio “Se deberían controlar los cambios en los servicios y los sistemas de procesamiento de información”. Se realiza la gestión del cambio para controlar los cambios en los servicios pertenecientes al área de Desarrollo de Software, teniendo en cuenta la identificación y registro de las modificaciones significativas, planificación y pruebas de los cambios, evaluación de los impactos potenciales de tales modificaciones, procedimientos de aprobación formal para los cambios propuestos y comunicación de los detalles de los mismos a las personas implicadas. Para la mayoría de servicios de la DTT no se tienen procedimientos formales para control de cambios. 3.2.5.6.3. Distribución de funciones “Las funciones y las áreas de responsabilidad se deberían distribuir para reducir las oportunidades de modificación no autorizada o no intencional, o el uso inadecuado de los activos de la organización”. En lo que se refiere a distribución de funciones, la DTT internamente está estructurada funcionalmente porque trabaja en base a cuatro ejes fundamentales: soporte informático a funcionarios, desarrollo de software para la Institución, infraestructura de la red y gestión de proyectos, por lo que los funcionarios que trabajan en estas diferentes áreas tiene sus respectivas cuentas de acceso y permisos de modificación de las mismas, de acuerdo a sus obligaciones. Pero se tienen administradores de segundo nivel que pueden tener permisos de modificación sin que sea necesario o se han asignado derechos de acceso a funciones del sistema sin un análisis previo, y estos administradores podrían hacer modificaciones no autorizadas. 222 3.2.5.6.4. Separación de las instalaciones de desarrollo ensayo y operación “Las instalaciones de desarrollo, ensayo y operación deberían estar separadas para reducir los riesgos de acceso o cambios no autorizados en el sistema operativo”. Para la puesta en producción de los sistemas que se desarrollan en la DTT sí existe un proceso de pruebas previo a su funcionamiento, pero con un grado de separación insuficiente entre el ambiente de desarrollo, pruebas y producción, en donde los usuarios autorizados tienen definidos cuentas de acceso con las restricciones respectivas. 3.2.5.6.5. Prestación del servicio “Se deberían garantizar que los controles de la seguridad, las definiciones del servicio y los niveles de prestación del servicio incluidos en el acuerdo, sean implementados, mantenidos y operados por el tercero”. Para la prestación del servicio por terceras partes se establecen los contratos necesarios en donde se especifican los niveles de prestación del servicio que son constantemente monitoreados, tanto por los prestadores del servicio como por la DTT para garantizar su cumplimiento. 3.2.5.6.6. Monitoreo y revisión de los servicios por terceros “Los servicios, reportes y registros suministrados por terceras partes se deberían controlar y revisar con regularidad y las auditorías se deberían llevar a cabo a intervalos regulares”. Se podría mejorar este control documentando los procedimientos realizados de acuerdo a los niveles de prestación del servicio establecidos en los contratos de la DTT con los prestadores de servicio. 3.2.5.6.7. Gestión de los cambios en los servicios por terceras partes “Los cambios en la prestación de los servicios, incluyendo mantenimiento y mejora de las políticas existentes de la seguridad de la información, en los procedimientos y los controles se deberían gestionar teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, así como la reevaluación de los riesgos”. 223 En cuanto a la gestión de cambios en los servicios prestados por terceras partes, por lo general se realizan cuando la institución tiene la necesidad de implementar mejoras en los servicios actuales, desarrollos de nuevos sistemas o aplicaciones; en caso de que el proveedor del servicio plantee algún cambio en el mismo se deberá someter a un análisis previo a la aprobación de las autoridades de la institución. 3.2.5.6.8. Gestión de la capacidad “Se debería hacer seguimiento y adaptación del uso de los recursos, así como proyecciones de los requisitos de la capacidad futura para asegurar el desempeño requerido del sistema”. En la planificación anual de proyectos dentro de la DTT se realiza la planificación de la capacidad para almacenamiento y procesamiento de los servicios de la Dirección, pero existen algunos servicios para los que no se realiza un monitoreo periódico de estas capacidades. 3.2.5.6.9. Aceptación del sistema “Se deberían establecer criterios de aceptación para sistemas de información nuevos, actualizaciones y nuevas versiones y llevar a cabo los ensayos adecuados del sistema durante el desarrollo y antes de la aceptación”. Para la aceptación de un sistema se realizan procedimientos previos a la aceptación formal del mismo, entre los cuales se tiene la revisión por parte de los directores, en donde se establecen los requisitos y criterios para aceptación de sistemas nuevos que garanticen el correcto funcionamiento del mismo sin que afecte el funcionamiento o el desempeño de los sistemas existentes. Se considera que en esta fase de aceptación, dentro de la DTT, no se contemplan posibles situaciones o factores que causen vulnerabilidades no previstas al momento de que el sistema entre en la fase de pruebas o producción. 3.2.5.6.10. Controles contra códigos maliciosos “Se deberían implementar controles de detección, prevención y recuperación para proteger contra códigos maliciosos, así como procedimientos apropiados de concienciación de los usuarios”. 224 Se realiza un mínimo control contra códigos maliciosos, incluyendo la verificación de páginas web, suscripción a sitios web de verificación y/o listados de correo que suministran información sobre códigos maliciosos nuevos, lo que se realiza mediante el funcionamiento de los equipos de seguridad perimetral y un servidor de antivirus. 3.2.5.6.11. Controles contra códigos móviles “Cuando se autoriza la utilización de códigos móviles, la configuración debería asegurar que dichos códigos operan de acuerdo con la política de la seguridad claramente definida, y se debería evitar la ejecución de los códigos móviles no autorizados”. En el caso de la DTT, no se considera la utilización de códigos móviles, debido a que el área de desarrollo de software trabaja con plataformas definidas, las cuales se encuentran protegidas contra la utilización de estos códigos. 3.2.5.6.12. Respaldo de la información “Se deberían hacer copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada”. Se realiza un respaldo de la información de los servicios más importantes y parte de los demás servicios de la DTT, ya que no se tiene la capacidad suficiente para almacenar la información de todos los servicios. Los archivos de respaldos se almacenan en el mismo Centro de Cómputo del Edificio Matriz, por lo que en caso de un desastre que afecte al edificio se perderían; no se realizan pruebas periódicas del funcionamiento adecuado de los archivos de respaldo. No se tienen registros exactos de los archivos de respaldos con los que cuenta la Dirección ni se han establecido procedimientos formales de restauración, por lo cual se plantearán recomendaciones para mejorar este control. 3.2.5.6.13. Controles de las redes “Las redes se deberían mantener y controlar adecuadamente para protegerlas de las amenazas y mantener la seguridad de los sistemas y aplicaciones que usan la red, incluyendo la información en tránsito”. 225 En lo relacionado a controles de las redes, de lo cual se encarga el área de infraestructura de la DTT, se tiene un estricto control de acceso por cuenta de usuario a las interfaces de administración de los equipos de seguridad perimetral de la red, y para la administración de los equipos de telecomunicaciones se tienen configurados accesos solo para los usuarios autorizados. 3.2.5.6.14. Seguridad de los servicios de la red “En cualquier acuerdo sobre los servicios de la red se deberían identificar e incluir las características de la seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de la red, sin importar si los servicios se prestan en la organización o se contratan externamente”. Se proporciona seguridad de los servicios de la red mediante la autenticación para cada cuenta de los usuarios. Además, se tiene un control de conexión de red para bloquear la conexión hacia páginas consideradas como no apropiadas o que demanden un alto uso del ancho de banda de los enlaces disponibles. No se tienen planificaciones de monitoreos periódicos de los enlaces WAN que utiliza la Institución, además de que no se realizan actualizaciones en las configuraciones de los equipos de seguridad perimetral para protección contra nuevas amenazas externas. 3.2.5.6.15. Gestión de los medios removibles “Se deberían establecer procedimientos para la gestión de los medios removibles”. No se aplica dentro de la DTT. 3.2.5.6.16. Eliminación de los medios “Cuando ya no se requieren estos medios, su eliminación se debería hacer de forma segura y sin riesgo, utilizando los procedimientos formales”. Los controles pertinentes a la gestión de medios removibles y a la eliminación de los medios no son aplicados en la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones, por lo que se tiene un alto riesgo de pérdida o fuga de la información que se encuentra en estos medios. 226 3.2.5.6.17. Procedimientos para el manejo de la información “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Sí existen procedimientos para el manejo de la información dentro de la DTT, especialmente en lo relacionado a restricciones de acceso para evitar el acceso de personal no autorizado y se tiene un registro de la información a la que cada funcionario tiene acceso. Se plantearán recomendaciones para mejorar este control. 3.2.5.6.18. Seguridad de la documentación del sistema “La documentación del sistema debería estar protegida contra el acceso no autorizado”. Los administradores de los recursos de la red en la DTT revisan los permisos que los usuarios tienen para la documentación del sistema, la cual se almacena en servidores protegidos, pero no se tiene un procedimiento formal para realizar la renovación de contraseñas para evitar que usuarios no autorizados accedan a la información al conocer alguna contraseña de acceso. 3.2.5.6.19. Políticas y procedimientos para el intercambio de información “Se deberían establecer políticas, procedimientos y controles formales de intercambio para proteger la información mediante el uso de todo tipo de servicios de comunicación”. Dentro de la DTT no se han establecido políticas ni procedimientos formales para el intercambio de información, por lo que se toman las recomendaciones dadas por la Norma 27002 [6] para establecer estas políticas. Se deben realizar: · Procedimientos para intercambio de información que prevengan la interceptación, copiado, modificación, enrutamiento inadecuado y destrucción. · Procedimientos para detección y protección contra códigos maliciosos, que puedan ser transmitidos con el uso de comunicaciones electrónicas. · Procedimientos para protección de archivos adjuntos en comunicaciones electrónicas. 227 · Procedimientos para el uso de comunicaciones inalámbricas, considerando los riesgos particulares implicados. · Capacitar a los empleados, contratistas y cualquier otro usuario, de no comprometer a la organización a través de difamación, acoso, suplantación, etc. · Uso de técnicas criptográficas para el intercambio de información. · Procedimientos de retención y eliminación de correspondencia incluyendo mensajes, según la Secretaría Nacional de Administración Pública. · No dejar información sensible o crítica en dispositivos de impresión, como copiadoras e impresoras, que puedan permitir el acceso de personal no autorizado. · Inculcar al personal sobre precauciones adecuadas para no revelar información sensible. · Recordar al personal no registrar datos demográficos como direcciones de correo electrónico o información personal, para evitar su uso no autorizado. · Procedimientos adecuados que administren información almacenada en la memoria caché de las fotocopiadoras. · Concientizar al personal sobre la importancia de no tener conversaciones confidenciales en lugares públicos ni oficinas abiertas. 3.2.5.6.20. Acuerdos para el intercambio “Se deberían establecer acuerdos para el intercambio de la información y del software entre la organización y las partes externas”. En los documentos que se generan en el desarrollo de un proyecto dentro de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones deben constar las firmas de todas las personas responsables, tanto de esta Dirección como de otras direcciones de la Institución o de partes externas y contratistas, pero en general no se tiene establecido un acuerdo formal para el intercambio de información. 228 3.2.5.6.21. Medios físicos en tránsito “Los medios que contienen información se deberían proteger contra el acceso no autorizado, el uso inadecuado o la corrupción durante el transporte más allá de los límites físicos de la organización”. Cuando los medios físicos que contienen información deben someterse a un mantenimiento técnico, por lo general los proveedores de los equipos realizan estas tareas dentro de la Institución, por lo que no es necesario trasladar los equipos. La DTT se encarga del envío y recepción de equipos para videoconferencia y proyectores, ya que la administración de estos equipos está a cargo de esta dirección, para esta actividad se coordina la recepción de dichos equipos en las dependencias de la SUPERTEL que lo hayan solicitado dando como resultados actas de entrega recepción. Estos equipos no siempre tienen el embalaje adecuado para su envío, por lo que se podrían establecen procedimientos formales para el traslado de equipos fuera del edificio matriz. 3.2.5.6.22. Mensajería electrónica “La información contenida en la mensajería electrónica debería tener la protección adecuada”. En la Institución se cuenta con el correo electrónico institucional y sistema de mensajería instantánea (Sametime y Skype); el correo electrónico institucional cuenta con una autenticación propia e independiente de la que se realiza para ingresar a las cuentas de cada funcionario, con lo que se garantiza la protección contra acceso no autorizado, modificación o negación de servicios, además se tiene una conexión al servidor de backup en la Intendencia Regional Sur, que garantiza la recepción y almacenamiento de la información, con lo cual se tiene un alto grado de confiabilidad y disponibilidad de estos servicios. 3.2.5.6.23. Sistemas de información del negocio “Se deberían establecer, desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio”. 229 Para el manejo de los sistemas de información de la DTT se realizan actividades como: priorización de la información dependiendo del servicio correspondiente, restricciones de acceso a la información y administración de los sistemas sensibles para los usuarios autorizados, restricción de los servicios dependiendo de la autorización del uso de los mismos, pero no se realiza la retención ni copias de respaldo de la información contenida en varios sistemas. 3.2.5.6.24. Comercio electrónico “La información involucrada en el comercio electrónico que se transmite por las redes públicas debería estar protegida contra actividades fraudulentas, disputas por contratos y divulgación o modificación no autorizada”. Este control no es aplicable dentro de la DTT porque no se realizan actividades de comercio electrónico. 3.2.5.6.25. Transacciones en línea “La información involucrada en las transacciones en línea debería estar protegida para evitar transmisión incompleta, enrutamiento inadecuado, alteración, divulgación, duplicación o repetición no autorizada del mensaje”. Se realizan transacciones en línea cuando es necesaria la firma electrónica de los funcionarios implicados en este proceso, garantizando las credenciales de cada usuario y que se conserva la confidencialidad de dicha transacción. Se garantiza el almacenamiento de la información que se intercambia entre la institución y las empresas externas a la SUPERTEL (operadoras, ECU911, etc.), con el uso de servidores debidamente configurados para su protección contra el acceso público. 3.2.5.6.26. Información disponible al público “La integridad de la información que se pone a disposición en un sistema de acceso público debería estar protegida para evitar la modificación no autorizada”. Al ser la SUPERTEL una Institución del Estado, cierto tipo de información que se procesa está disponible al público; esta información proviene de diferentes sistemas que realizan una retroalimentación y entrada directa hacia los sistemas de procesamiento, para lo cual se garantiza que la información sea procesada 230 completamente, de forma exacta y oportuna, protegiendo la misma durante la recolección, procesamiento y almacenamiento. 3.2.5.6.27. Registro de auditorías “Se deberían elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de la seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso”. En la DTT no se han establecido procedimientos para llevar registros de auditorías, por lo que se deben plantear los mismos, considerando lo siguiente: · Identificación de usuario · Fecha, hora y detalles de eventos claves · Registro de los intentos aceptados y rechazados de acceso al sistema, así como el acceso a los datos y otros recursos · Cambios en la configuración del sistema · Uso de privilegios, direcciones y protocolos de red · Archivos a los que se ha tenido acceso y tipos de acceso · Activación y desactivación de los sistemas de protección, como sistemas de antivirus y de detección de intrusión 3.2.5.6.28. Monitoreo de uso del sistema “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Dentro de la DTT se realizan monitoreos para servicios que manejan información muy importante, pero no se tienen establecidos procedimientos formales para monitoreos periódicos de estos servicios ni de los demás servicios de la Dirección, en donde se especifiquen los aspectos a ser monitoreados. 3.2.5.6.29. Protección del registro de la información “El registro del servicio y la información se deberían proteger contra el acceso o la manipulación no autorizados”. 231 Se realiza una mínima protección del registro de la información en los sistemas desarrollados recientemente, donde se registran los cambios más importantes que se realizan en el proceso del desarrollo de nuevos sistemas, se pueden implementar acciones que mejoren estos controles. No se realizan monitoreos de ciertos servicios (más antiguos) a cargo de la DTT, por lo que se plantearán recomendaciones para este control. 3.2.5.6.30. Registros del administrador y del operador “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Dentro de la DTT no se han establecido procedimientos formales para el registro de las actividades realizadas por los administradores y operadores de los servicios de la Dirección. 3.2.5.6.31. Registro de fallas “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. La DTT no cuenta con un registro de fallas que se han presentado en los servicios a su cargo, por lo que se deberá establecer un procedimiento para registrar fallas considerando: · Revisión del registro de fallas para garantizar que se resolvieron satisfactoriamente, · Revisión de las medidas correctivas, garantizando que no se han puesto en peligro los controles y que la acción tomada está completamente autorizada. 3.2.5.6.32. Sincronización de relojes “Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de la organización o del dominio de la seguridad deberían estar sincronizados con una fuente de tiempo exacta y acordada”. Se tiene sincronización de relojes para los computadores y dispositivos de telecomunicaciones mediante un servidor local, que permite garantizar una fecha y hora para las actividades realizadas. 232 3.2.5.7. Control del acceso 3.2.5.7.1. Política de control de acceso “Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso”. En la DTT se tienen establecidas prácticas de seguridad para el control de acceso que definen: procedimientos para el manejo de computadores institucionales en lo referente a su registro y asignación, y pudiendo ser equipos de escritorio o laptops, creación de cuentas de usuario y los derechos de acceso que tendrán los mismos; estas políticas no se han establecido formalmente. 3.2.5.7.2. Registro de usuarios “Debería existir un procedimiento formal para el registro y cancelación de usuarios con el fin de conceder y revocar el acceso a todos los sistemas y servicios de información”. Se realiza un registro de usuarios en el servicio LDAP mediante Active Directory, que permite el manejo de todas las cuentas de usuario de la Institución, para lo cual se tiene definido el procedimiento respectivo para la creación o modificación de usuarios, de igual forma se realiza la creación de un perfil de usuario para la plataforma de correo electrónico, esto lo realizan los administradores de estos sistemas en la DTT. 3.2.5.7.3. Gestión de privilegios “Se debería restringir y controlar la asignación y el uso de privilegios”. Una vez creadas las cuentas de usuario por los funcionarios de la DTT encargados de esta tarea, se otorgan los derechos de acceso a los sistemas para los cuales cada funcionario de la Institución está autorizado, mediante un procedimiento formal de solicitud de estos derechos de acceso y registrando estos derechos de acceso asignados. 3.2.5.7.4. Gestión de contraseñas para usuarios “La asignación de contraseñas se debería controlar a través de un proceso formal de gestión”. 233 Al crear una cuenta de usuario, la contraseña asignada para esa cuenta es forzada a ser cambiada por el usuario correspondiente la primera vez que la usa, y para realizar cambios de contraseña por bloqueo de la cuenta se hace una solicitud formal a la DTT la cual verifica la identidad del usuario. No se ha establecido un documento que obligue a los funcionarios a mantener confidenciales las contraseñas personales y conservar las contraseñas de grupo únicamente entre los miembros de éste, además de que no se tiene como se tiene como buena práctica el no almacenar las contraseñas en sistemas de computador en formatos no protegidos. 3.2.5.7.5. Revisión de los derechos de acceso de los usuarios “La dirección debería establecer un procedimiento formal de revisión periódica de los derechos de acceso de los usuarios”. En cuanto a la revisión de los derechos de acceso de los usuarios, se hace la asignación de contraseñas temporales que cada usuario debe cambiar inmediatamente, y cualquier modificación de contraseñas se realiza mediante una petición haciendo uso del servicio de Help Desk. Además, el sistema se encuentra configurado para forzar a un cambio de contraseñas de todos los usuarios en un intervalo de tiempo definido y se tiene una limitada cantidad de intentos permitidos para inicio de sesión. Cuando es necesario se realiza una revisión y modificación de los derechos de acceso de los usuarios mediante la solicitud formal de estos cambios, que por lo general son cambios temporales. 3.2.5.7.6. Uso de contraseñas “Se debería exigir a los usuarios el cumplimiento de buenas prácticas de la seguridad en la selección y el uso de las contraseñas”. Una de las principales responsabilidades de los usuarios es el correcto uso de las contraseñas, las cuales se manejan de forma insegura por la mayor parte de funcionarios de la Institución, por lo que se debe capacitar a los funcionarios sobre la importancia del manejo de contraseñas y cómo establecer contraseñas robustas, complementando esto con el establecimiento de procedimientos formales para renovación de contraseñas. 234 3.2.5.7.7. Equipo de usuario desatendido “Los usuarios deberían asegurarse de que los equipos desatendidos tengan protección apropiada”. En caso de que se tengan computadores que no están en uso, estos están protegidos contra el acceso no autorizado por medio de una contraseña de bloqueo, los equipos de conectividad también están configurados para que bloqueen el acceso a los mismos después de un intervalo de tiempo de inactividad. 3.2.5.7.8. Política de escritorio despejado y pantalla despejada “Se debería adoptar una política de escritorio despejado para reportes y medios de almacenamiento removibles y una política de pantalla despejada para los servicios de procesamiento de información”. En la DTT se protege información almacenada en medios electrónicos o en papel asegurándola bajo llave en gabinetes, y cada funcionario asegura su documentación en su escritorio; no todos los funcionarios consideran dejar su pantalla despejada o bloqueada cuando dejan su área de trabajo. 3.2.5.7.9. Política de uso de los servicios en red “Los usuarios sólo deberían tener acceso a los servicios para cuyo uso están específicamente autorizados”. En la DTT se han establecido prácticas de seguridad para el uso de servicios en red, dentro de los cuales se definen procedimientos para solicitar la autorización de acceso a sistemas que administra esta Dirección y el uso de Internet mediante una conexión local o inalámbrica, para esto se utiliza la autenticación de las cuentas de usuario con sus debidas restricciones. Estas prácticas de seguridad no se han formalizado como políticas de seguridad. 3.2.5.7.10. Autenticación de usuarios para conexiones externas “Se deberían emplear métodos apropiados de autenticación para controlar el acceso de usuarios remotos”. Cuando es necesario el acceso a la red de la Institución usando conexiones externas, se lo realiza mediante un software para el manejo de VPN, en donde se debe realizar la autenticación de usuarios, para lo cual la DTT configura los 235 permisos de acceso necesarios. Actualmente no se ha realizado una actualización de los usuarios que sí deberían tener configurado el acceso a la red mediante VPN. 3.2.5.7.11. Identificación de los equipos en las redes “La identificación automática de los equipos se debería considerar un medio para autenticar conexiones de equipos y ubicaciones específicas”. La DTT realiza una identificación de los equipos dentro de la red institucional asignando un nombre de equipo único, la estructura de esta identificación dependerá de la dirección o delegación de la SUPERTEL a cuál pertenece, pero no se tiene un registro formal de los nombres de equipos asignados. 3.2.5.7.12. Protección de los puertos de configuración y diagnóstico remoto “El acceso lógico y físico a los puertos de configuración y de diagnóstico debería estar controlado”. Se efectúa una protección de acceso a los puertos que maneja la red institucional mediante equipos de seguridad perimetral, que restringen accesos a sistemas determinados; los puertos internos implementan como medida de seguridad la autenticación del usuario, pero no se realiza la desactivación de los puertos no utilizados en los switches de acceso. 3.2.5.7.13. Separación en las redes “En las redes se deberían separar los grupos de servicios de información, usuarios y sistemas de información”. La forma en la que se maneja la separación de la red para los diversos tipos de datos es mediante la división en VLAN, lo que permite aprovechar todas las capacidades de enrutamiento y conmutación de los equipos de telecomunicaciones. Para la administración de redes inalámbricas se utiliza un software Wireless LAN Controller (WLC) que permite la creación de perfiles de redes inalámbricas, con diferentes niveles de autorización y permisos de acceso de acuerdo a las funciones de cada usuario, y limitando el número de usuarios para cada perfil de red inalámbrica; además se tienen equipos de seguridad perimetral que protegen la red de ataques externos y firewalls internos que protegen el acceso a servidores y bases de datos. 236 3.2.5.7.14. Control de conexión a las redes “Para redes compartidas, especialmente aquellas que se extienden más allá de las fronteras de la organización, se debería restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control de acceso y los requisitos de aplicación del negocio”. Si bien se han establecido dentro de la DTT prácticas de seguridad para el control de acceso, entre las cuales se considera el control de conexión a las redes mediante permisos que se le otorgan a los usuarios, no se ha realizado una revisión de dichos permisos, con la finalidad de verificar que los usuarios accedan solamente a la información para la cual están autorizados. 3.2.5.7.15. Control del enrutamiento en la red “Se deberían implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso de las aplicaciones del negocio”. En la red institucional que administra la DTT se tiene un nivel de control del enrutamiento en la red por medio de puertas de enlace predeterminadas y servidores DNS, que permiten hacer la verificación de las direcciones fuente y destino que se empleen para el transporte de la información, además de las verificaciones de sitios web que realizan los equipos de seguridad perimetral. Para algunas aplicaciones web se debe considerar la utilización de certificados de seguridad para páginas web. 3.2.5.7.16. Procedimiento de registro de inicio seguro “El acceso a los sistemas operativos se debería controlar mediante un procedimiento de registro de inicio seguro”. Este control se aplica mediante el uso del servicio LDAP por medio de Active Directory, puesto que para acceder a cualquier servicio es necesaria la autenticación del usuario en el sistema operativo, considerando bloqueos de las cuentas de usuario cuando se excede un número de intentos fallidos de autenticación, y para el desbloqueo se debe hacer la petición formal a la DTT. 237 3.2.5.7.17. Identificación y autenticación de usuarios “Todos los usuarios deberían tener un identificador único (ID del usuario) para su uso personal, y se debería elegir una técnica apropiada de autenticación para comprobar la identidad declarada de un usuario”. Para la autenticación de usuarios internos, que les permitirá utilizar su equipo de trabajo, el administrador de red asignará como nombre de usuario la letra del primer nombre seguida del apellido, se explica mediante el siguiente ejemplo: Nombre de usuario: gflores Contraseña: 12345678 Para los administradores de la red, de bases de datos, de soporte técnico y programadores de sistemas, las contraseñas son creadas y administradas por ellos mismos, por lo que es su responsabilidad el manejo adecuado de dichas contraseñas. 3.2.5.7.18. Sistema de gestión de contraseñas “Los sistemas para la gestión de contraseñas deberían ser interactivos y deberían asegurar la calidad de las contraseñas”. La primera vez que un usuario ingrese a su cuenta deberá realizar un cambio de contraseña. El sistema de Active Directory permite configurar ciertos parámetros de seguridad para contraseñas, por lo que se lo utiliza como sistema de gestión de contraseñas para las cuentas de usuarios, pero se pueden establecer procedimientos formales que aseguren el correcto funcionamiento de este sistema. El sistema se encuentra configurado para forzar a un cambio de contraseñas de todos los usuarios en un intervalo de tiempo definido y se tiene una limitada cantidad de intentos permitidos para inicio de sesión. 3.2.5.7.19. Uso de las utilidades del sistema “Se debería restringir y controlar estrictamente el uso de programas utilitarios que pueden anular los controles del sistema y de la aplicación”. En lo referente al uso de las diferentes utilidades del sistema, se configuran restricciones para acciones como instalación o desinstalación de nuevo software, cambios en la configuración de red de los computadores institucionales, entre otras funcionalidades, que solo la cuenta de administrador puede modificar. 238 Se tiene un procedimiento para la identificación, autenticación y autorización de utilización de los diferentes sistemas y servicios que la DTT administra, pero estos procedimientos no se encuentran formalizados en un documento. 3.2.5.7.20. Tiempo de inactividad de la sesión “Las sesiones inactivas se deberían suspender después de un periodo definido de inactividad”. La DTT ha establecido que si se tiene un periodo de inactividad en los equipos del área de trabajo se bloquee el mismo, de igual forma con las conexiones a los terminales de los equipos de conectividad y para las sesiones en diversos sistemas, protegiendo contra accesos no autorizados. 3.2.5.7.21. Limitación del tiempo de conexión “Se deberían utilizar restricciones en los tiempos de conexión para brindar seguridad adicional para las aplicaciones de alto riesgo”. Para equipos de conectividad y almacenamiento se tienen definidos límites de tiempo de conexión en las sesiones y terminales de estos equipos, para restringir el acceso a los mismos, haciendo que estas sesiones terminen y se requiera un nuevo establecimiento de sesión. 3.2.5.7.22. Restricción del acceso a la información “Se debería restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso”. Para la restricción de acceso a la información se utilizan mecanismos de autenticación, tanto para el acceso de cuentas de usuario como para los diferentes sistemas y servicios de la DTT, para lo que también se definen los derechos de acceso de cada usuario. No se ha hecho una revisión de los derechos de acceso otorgados a los funcionarios en los sistemas para verificar su pertinencia. 3.2.5.7.23. Aislamiento de sistemas sensibles “Los sistemas sensibles deberían tener un entorno informático dedicado (aislados)”. 239 Los sistemas sensibles (sistemas que manejan información de gran importancia para el negocio) dentro de la DTT se han identificado y clasificado pero no se tiene una documentación detallada; se realizan pruebas en entornos aislados para los sistemas que están en desarrollo previo a ponerlos en producción, y una vez que el sistema entra en funcionamiento, en caso de producirse fallas, se las soluciona lo más rápido posible, aunque no se tienen definidos procedimientos para documentar estas fallas. 3.2.5.7.24. Computación y comunicaciones móviles “Se debería establecer una política formal y se deberían adoptar las medidas de la seguridad apropiadas para la protección contra los riesgos debidos al uso de dispositivos de computación y comunicaciones móviles”. En lo referente a computación y comunicaciones móviles, se registran por medio de la dirección MAC las laptops y dispositivos móviles para que puedan acceder a la red institucional, de la misma forma en estos equipos se realiza la autenticación de usuarios para el acceso a los servicios por medio del servicio LDAP. Se cuenta con un seguro de protección contra robos o daños en el hardware para laptops institucionales, pero no se hacen respaldos de la información contenida en estos dispositivos. No se ha establecido una política para el manejo de dispositivos de computación y comunicaciones móviles. 3.2.5.7.25. Trabajo remoto “Se deberían desarrollar e implementar políticas, planes operativos y procedimientos para las actividades de trabajo remoto”. El trabajo remoto dentro de la DTT está limitado al uso del servicio de VPN, que permite acceder a los sistemas para los cuales cada usuario está autorizado, pero no se lleva un registro de las actividades realizadas. Se debe capacitar al personal sobre la forma adecuada para realizar trabajo remoto. 3.2.5.8. Adquisición, desarrollo y mantenimiento de sistemas de información 240 3.2.5.8.1. Análisis y especificación de los requisitos de la seguridad “Las declaraciones sobre los requisitos del negocio para nuevos sistemas de información o mejoras a los sistemas existentes deberían especificar los requisitos para los controles de la seguridad”. En los proyectos que se realizan en la DTT se analizan y especifican los requisitos de seguridad, tanto para nuevos sistemas como para mejorar a los sistemas existentes, estos requisitos de seguridad se analizan en las fases iniciales de los proyectos a desarrollarse, ya que sería más costoso implementarlos una vez que se encuentren en funcionamiento. Para proyectos que se realizan en otras direcciones de la Institución, no siempre se hacen consideraciones sobre requisitos de seguridad, por lo que a la DTT solamente se le solicita recursos relacionados con el almacenamiento y procesamiento de información y en caso de que sea necesario, se solicitan permisos de acceso a sistemas o información 3.2.5.8.2. Validación de los datos de entrada “Se deberían validar los datos de entrada a las aplicaciones para asegurar que dichos datos son correctos y apropiados”. Para lograr un correcto procesamiento de la información en los sistemas a cargo de la DTT, se inicia con la validación de los datos que ingresan a las aplicaciones, especialmente las que son desarrolladas para la Institución y recolectan gran cantidad de información. Se hace una verificación de datos de ingreso del usuario a los sistemas, ingreso de datos completos y de la persona que colocó dicha información en el sistema. En caso de que se ingresen datos no válidos se realiza una notificación a los encargados de ingresar esa información para que se reenvíe de acuerdo a los parámetros establecidos. 3.2.5.8.3. Control de procesamiento interno “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. 241 Una vez que se validan los datos en la entrada de los sistemas a cargo de la DTT, la información se almacena en diferentes bases de datos y es procesada por diferentes sistemas de acuerdo al tipo de información. Los servidores encargados del procesamiento de información actualmente tienen la capacidad suficiente para realizar estas tareas y en caso de fallas, la información no sufre daños y se asegura que la misma es entregada en tiempos óptimos. No se realizan registros de las actividades implicadas en el procesamiento de la información, lo cual está relacionado con lo planteado en el control 3.2.5.6.27 Registro de auditorías. 3.2.5.8.4. Integridad del mensaje “Se deberían identificar los requisitos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones, así como identificar e implementar los controles adecuados”. De los sistemas de la DTT que manejan la información más sensible, no se realiza la verificación de la integridad del mensaje, por lo que plantea que se implemente este control, analizando los sistemas en los que sea necesario, y especialmente en los sistemas más críticos. 3.2.5.8.5. Validación de los datos de salida “Se deberían validar los datos de salida de una aplicación para asegurar que el procesamiento de la información almacenada es correcto y adecuado a las circunstancias”. La DTT se encarga de verificar que la información procesada se muestre en los diferentes servicios y hacia los diferentes usuarios, mediante los recursos de la red, mas no se encarga de verificar que esta información sea la correcta, a excepción de los servicios propios de la DTT, por ejemplo, la información generada en los módulos SICOEIR. 3.2.5.8.6. Política sobre el uso de controles criptográficos “Se debería desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información”. 242 Dentro la DTT no se tienen políticas que establezcan el uso de controles criptográficos. Para el desarrollo de políticas de uso de controles criptográficos se deben realizar las siguientes actividades: · Análisis de la dirección hacia el uso de controles criptográficos · Evaluación de riesgos que permita identificar el nivel requerido de protección, teniendo en cuenta el tipo, fortaleza y calidad del algoritmo de cifrado requerido · Cifrado de la información sensible que se transporte por medios móviles o removibles a través de las líneas de comunicación · Enfoque para la gestión de claves, considerando métodos para tratar la protección de claves criptográficas y la recuperación de la información cifrada en caso de pérdida o daño de las claves criptográficas · Funciones y responsabilidades: implementación de la política y la gestión de claves incluyendo su generación · Impacto de la utilización de la información cifrada sobre los controles que dependen de la inspección del contenido Con la aplicación de controles criptográficos se logra una mejora en la confidencialidad, integridad y no repudio de la información. 3.2.5.8.7. Gestión de claves “Se debería establecer la gestión de claves para apoyar el uso de técnicas criptográficas en la organización”. En la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones no se ha planteado la gestión de claves debido a que no se tiene una política sobre el uso de controles criptográficos. Las claves criptográficas deben tener protección contra modificación, pérdida, destrucción y divulgación no autorizada. Los sistemas para gestión de claves deben basarse en los siguientes lineamientos: · Generar claves para diferentes sistemas criptográficos · Generar y obtener certificados de claves públicas · Distribuir claves a los usuarios previstos, incluyendo la forma de activar y recibir claves · Almacenar las claves, incluyendo la forma en la que los usuarios autorizados tendrán acceso a ellas 243 · Procedimientos para actualizar o cambiar claves, así como para tratar las claves perdidas, revocación y destrucción de las mismas · Procedimientos para recuperación de claves que contemple la recuperación de información cifrada · Registros para auditorías 3.2.5.8.8. Control del software operativo “Se deberían establecer procedimientos para controlar la instalación de software en los sistemas operativos”. En lo referente al control de software que se encuentra en funcionamiento, se realizan diversas actualizaciones por parte del personal autorizado con autorización previa de la Dirección; en caso de la instalación de un software nuevo se hacen pruebas de capacidad de uso y análisis de la facilidad de uso, por lo cual también se capacita a los funcionarios sobre la utilización del mismo; además se conservan versiones anteriores de aplicaciones como medida preventiva ante fallas. Se debe conservar registros sobre las actualizaciones realizadas en los sistemas a cargo de la DTT. 3.2.5.8.9. Protección de los datos de prueba del sistema “Los datos de prueba deberían seleccionarse cuidadosamente, así como protegerse y controlarse”. Dentro de la DTT se realizan las pruebas necesarias a los sistemas nuevos o en desarrollo previo a que entren en funcionamiento, pero no se ha establecido un procedimiento formal sobre cómo se deben realizar estas pruebas, en donde se consideren los datos que se utilizarán para las mismas. 3.2.5.8.10. Control de acceso al código fuente de los programas “Se debería restringir el acceso al código fuente de los programas”. Los códigos fuente de los sistemas desarrollados dentro de la DTT están a cargo de cada funcionario que realiza el desarrollo, pero no se cuenta con una biblioteca de códigos fuente de los sistemas desarrollados, por lo que se recomienda establecer procedimientos para la documentación y almacenamiento de códigos fuente de programas en una biblioteca propia, considerando: 244 · No almacenar las bibliotecas fuente de programas en sistemas operativos · El personal de soporte debe tener acceso restringido a las bibliotecas fuente de programas · Actualización, mantenimiento y copiado de bibliotecas fuente, sujetos a un procedimiento de control de cambios · Listado de programas que se deben mantener en un entorno seguro. · Registros para auditorías 3.2.5.8.11. Procedimientos de control de cambios “Se debería controlar la implementación de cambios utilizando procedimientos formales de control de cambios”. Para los sistemas desarrollados por personal de la DTT o externo a la Institución se realizan procedimientos formales de control de cambios, los cuales son documentados y aprobados previa su ejecución por parte de los usuarios autorizados, se garantiza que los usuarios que realizaron los requerimientos aceptan los cambios antes de la implementación, y además se conservan versiones anteriores del sistema. En el caso de los sistemas más antiguos no se ha hecho un control de cambios, considerando la documentación sobre dichos cambios. 3.2.5.8.12. Revisión técnica de las aplicaciones después de los cambios en el sistema operativo “Cuando se cambian los sistemas operativos, las aplicaciones críticas para el negocio se deberían revisar y someter a prueba para asegurar que no hay impacto adverso en las operaciones ni en la seguridad de la organización”. En el caso de sistemas desarrollados por personal externo, se garantiza que en el plan y presupuesto de soporte anual se cubren revisiones y pruebas del sistema. La implementación de los cambios en los sistemas la mayoría de veces no es planificada con anterioridad y no se hace la socialización oportuna a todos los funcionarios para evitar perturbar los procesos que se realicen en los sistemas a modificarse. 245 3.2.5.8.13. Restricciones en los cambios a los paquetes de software “Se debería desalentar la realización de modificaciones a los paquetes de software, limitarlas a los cambios necesarios, y todos los cambios se deberían controlar estrictamente”. En los sistemas desarrollados por la DTT, sea por sus propios funcionarios o por proveedores externos, se tienen restricciones en los cambios del software en donde se define que solo el proveedor puede hacer dichos cambios, y también los funcionarios de la DTT solicitan la aprobación del Director para la realización de cambios en sistemas que se encuentre desarrollando. Para otros sistemas administrados por la Dirección, se realiza la autorización de cambios en paquetes de software, por lo cual los funcionarios de la Institución deben solicitar previa y formalmente la realización de estos cambios a los administradores respectivos. 3.2.5.8.14. Fuga de información “Se deberían evitar las oportunidades para que se produzca fuga de información”. Dentro de la DTT no se han establecido políticas formales que limiten el riesgo de fuga de información, por lo que se plantea la utilización de este control que considera: la exploración de medios y comunicaciones de salida para determinar información oculta, la reducción de la probabilidad de que se pueda deducir información a partir del comportamiento de las comunicaciones, monitoreo de actividades del personal y del sistema rigiéndose a la legislación o reglamentos existentes y el monitoreo del uso de los recursos en los sistemas de computador. 3.2.5.8.15. Desarrollo de software contratado externamente “La organización debería supervisar y monitorear el desarrollo de software contratado externamente”. En los casos en los que la DTT contrata a un proveedor de software para el desarrollo de algún proyecto, se establece un contrato que debe cumplirse estrictamente, en donde se consideran lineamientos como: acuerdos sobre licencias, propiedad de códigos y derecho de propiedad intelectual, certificación de la calidad, sanciones económicas en caso de incumplimientos, requisitos para la 246 calidad y funcionalidad de la seguridad del código y realización de pruebas antes de la instalación. 3.2.5.8.16. Control de las vulnerabilidades técnicas “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Dentro de la DTT no se realiza este control de vulnerabilidades técnicas, por lo cual se considera necesaria la utilización de este control, teniendo en cuenta como punto de partida el listado inicial de vulnerabilidades encontradas en los servicios a cargo de la DTT obtenido en el desarrollo de este proyecto, que realiza un análisis detallado de las vulnerabilidades encontradas y plantea el tratamiento para las mismas, con lo cual se logrará la minimización de riesgos en la seguridad de la información. Para la identificación de las vulnerabilidades técnicas se debe tomar en cuenta lo siguiente: · La dirección debe realizar el monitoreo de la vulnerabilidad, la evaluación de riesgos de la vulnerabilidad, el uso de parches, rastreo de activos y todas las responsabilidades de coordinación requeridas. · Identificar los recursos que se utilizarán para identificar las vulnerabilidades técnicas, y actualizarlos en función de los cambios en el inventario o cuando se encuentran recursos nuevos o útiles. · Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. · De acuerdo a la urgencia con la que se deba tratar la vulnerabilidad técnica, la acción a tomar dependerá de los procedimientos de respuesta ante incidentes de seguridad de la información. · Se deben evaluar los riesgos asociados a la instalación de nuevos parches. · En caso de no tener parches disponibles, se debe considerar: apagar los servicios o capacidades relacionadas con la vulnerabilidad, adaptar o agregar controles de acceso como firewalls en las fronteras 247 de la red, aumentar el monitoreo para detectar o prevenir ataques reales y crear conciencia sobre la vulnerabilidad. · 3.2.5.9. Conservar registros de auditorías para los procedimientos efectuados. Gestión de los incidentes de la seguridad de la información 3.2.5.9.1. Reportes sobre los eventos de seguridad de la información “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Se tiene reportes sobre eventos de seguridad de la información para los sistemas y servicios a cargo de la DTT cuando se tienen problemas en el funcionamiento de estos sistemas, los reportes se registran por medio del servicio de Help Desk o vía correo electrónico según sea el caso, para que sea resuelto por el personal de soporte técnico asignado o para que sea escalado a los administradores del sistema que presenta novedades. La mayoría de funcionarios de la Institución no han recibido una capacitación sobre eventos de seguridad que puedan comprometer de forma importante la seguridad de la información, por lo que la mayoría de reportes que se generan son para solución de problemas técnicos. 3.2.5.9.2. Reporte sobre las debilidades en la seguridad “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Se realizan reportes sobre debilidades en la seguridad de la información en sistemas desarrollados en la DTT para realizar las modificaciones necesarias en los mismos. Los reportes sobre debilidades en la seguridad de la información encontradas en sistemas administrados por la DTT se deben realizar mediante el servicio Help Desk. 248 3.2.5.9.3. Responsabilidades y procedimientos “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Dentro de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones se tienen asignadas responsabilidades para resolver problemas en los sistemas que administra, y se tienen procedimientos para la resolución de estos problemas, pero dichos procedimientos no se encuentran formalizados, por lo que se recomienda la formalización de los procedimientos para resolver incidentes en la seguridad de la información, considerando: · Manejar los diferentes tipos de incidentes como: fallas en el sistema de información y pérdida del servicio, códigos maliciosos, negación del servicio, errores producidos por datos incompletos o inexactos, violaciones de la confidencialidad o integridad y uso inadecuado de los sistemas de información. · Planes normales de contingencia, contando con el análisis y la identificación de la causa del incidente, la contención, planificación e implementación de la acción correctiva para evitar la recurrencia, la comunicación con los afectados o implicados en la recuperación del incidente y el reporte de la acción a la autoridad apropiada. · Recolectar y asegurar pistas para auditorías. · Las acciones para la recuperación de las violaciones de seguridad y corrección de fallas se deben controlar con procedimientos que garanticen que: el personal claramente identificado y autorizado tiene acceso a los sistemas de datos activos, todas las acciones de emergencia están documentadas en detalle, la acción de emergencia se reporta a la dirección y se revisa de manera ordenada, la integridad de los sistemas y controles se confirma con un mínimo de retraso. 3.2.5.9.4. Aprendizaje debido a los incidentes de seguridad de la información “Deberían existir mecanismos que permitan cuantificar y monitorear todos los tipos, volúmenes y costos de los incidentes de seguridad de la información”. Se debe utilizar la información que se obtiene de la evaluación de los incidentes de la seguridad de la información, para identificar los incidentes 249 recurrentes o de alto impacto, en el caso de la DTT, este aprendizaje no se ha realizado anteriormente, por lo cual el desarrollo de este proyecto sirve como punto de partida para la cuantificación y monitoreo de los incidentes en la seguridad de la información. 3.2.5.9.5. Recolección de evidencias “Cuando una acción de seguimiento contra una persona u organización después de un incidente de la seguridad de la información implica acciones legales (civiles o penales), la evidencia se debe recolectar, retener y presentar para cumplir con las reglas para la evidencia establecidas en la jurisdicción pertinente”. Dentro de la DTT no se han desarrollado procedimientos internos para recolección y presentación de evidencia con propósitos de acción disciplinaria dentro o fuera de la Institución, por lo que se recomienda el desarrollo de dichos procedimientos, considerando: · Si la evidencia se puede o no presentar en la corte · Protección consistente de la calidad y cabalidad de la evidencia La utilización de los procedimientos para la recolección de evidencias en los servicios a cargo de la DTT establecidos por este control se deberá realizar cuando así lo amerite, y debe ser aplicado al servicio específico que se vea implicado. 3.2.5.10. Gestión de la continuidad del negocio 3.2.5.10.1. Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio “Se debería desarrollar y mantener un proceso de gestión para la continuidad del negocio en toda la organización el cual trate los requisitos de la seguridad de la información necesarios para la continuidad del negocio de la organización”. Actualmente la DTT no cuenta con un proceso formalizado que realice la gestión para la continuidad del negocio, en donde se detallen los requisitos para la seguridad de la información que garanticen la continuidad del negocio; si bien se cuenta con respaldos de algunos servicios en los equipos de la Intendencia Regional Sur, no se ha establecido un procedimiento que determine qué servicios 250 deberían ser respaldados en ésta u otra ubicación para garantizar su funcionamiento continuo. Los procedimientos para la gestión de la continuidad del negocio deben considerar: · Comprensión de los riesgos que enfrenta la organización en términos de probabilidad y el impacto en el tiempo, incluyendo la identificación y priorización de los procesos críticos del negocio. · Identificación de todos los activos involucrados en los procesos críticos del negocio. · Compresión del impacto que puedan tener las interrupciones causadas por incidentes de la seguridad de la información, y establecer los objetivos del negocio para los servicios de procesamiento de la información. · Consideración de adquisición de pólizas de seguro adecuadas que puedan formar parte de todo el proceso de continuidad del negocio y de la gestión de riesgos operativos. · Identificación y consideración de la implementación de controles preventivos. · Identificación de recursos financieros, organizacionales, técnicos y ambientales suficientes para tratar los requisitos identificados de la seguridad de la información. · Garantizar la seguridad del personal y la protección de los servicios de procesamiento de información y de la propiedad de la organización. · Formulación y documentación de los planes de continuidad del negocio que abordan los requisitos de la seguridad de la información, acorde con la estrategia acordada de continuidad del negocio. · Prueba y actualización regular de los planes y procesos establecidos. · Garantizar que la gestión de la continuidad del negocio está incorporada en los procesos y la escritura de la organización; la responsabilidad por el proceso de gestión de la continuidad del negocio se debería asignar en un nivel apropiado en la organización. 251 3.2.5.10.2. Continuidad del negocio y evaluación de riesgos “Se deberían identificar los eventos que pueden ocasionar interrupciones en los procesos del negocio junto con la probabilidad y el impacto de dichas interrupciones, así como sus consecuencias para la seguridad de la información”. Los aspectos de la seguridad de la información en la continuidad del negocio se deben basar en la identificación de los eventos en la seguridad de la información, por lo cual se considera que el desarrollo de este proyecto sirve como un análisis inicial sobre las vulnerabilidades que pueden presentarse en los servicios a cargo de la DTT y sus respectivos impactos, haciendo una valoración de la probabilidad de ocurrencia de las mismas, del impacto de acuerdo al tiempo sin funcionamiento de un servicio y de la pérdida de información que pueda producirse. Dependiendo de los resultados de la evaluación de riesgos, se debe desarrollar una estrategia de continuidad del negocio para determinar el enfoque global para la continuidad del negocio. Una vez que se ha creado esta estrategia, la Dirección debe aprobarla y se debe crear y respaldar un plan para la implementación de esta estrategia. 3.2.5.10.3. Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información “Se deberían desarrollar e implementar planes para mantener o recuperar las operaciones y asegurar la disponibilidad de la información en el grado y la escala de tiempo requerido, después de la interrupción o la falla de los procesos críticos para el negocio”. La DTT no ha desarrollado planes de continuidad en donde se incluya la seguridad de la información, por lo que se plantea la creación de los mismos, teniendo en cuenta lo siguiente: · Identificar y acordar todas las responsabilidades y los procedimientos para la continuidad del negocio · Identificar la pérdida aceptable de información y servicios · Implementar los procedimientos que permitan recuperar y restaurar las operaciones del negocio y la disponibilidad de la información en las escalas de tiempo requeridas; es necesario atender una 252 evaluación de las dependencias internas y externas del negocio y de los contratos establecidos · Procedimientos operativos que se han de seguir en espera de la terminación de la recuperación y restauración · Documentación de procedimientos y procesos acordados · Formación apropiada del personal en los procedimientos y procesos acordados, incluyendo el manejo de la crisis · Pruebas y actualización de los planes Los planes de continuidad del negocio se deben almacenar en un lugar lejano, a suficiente distancia para escapar a cualquier daño por algún desastre en la sede principal y se debe garantizar que las copias de los planes de continuidad del negocio están actualizadas y protegidas de igual forma que en la sede principal. 3.2.5.10.4. Estructura para la planificación de la continuidad del negocio “Se debería mantener una sola estructura de los planes de continuidad del negocio, para asegurar que todos los planes son consistentes, y considerar los requisitos de la seguridad de la información de forma consistente, así como identificar las prioridades para pruebas y mantenimiento”. Dentro de la DTT no se han definido planes de continuidad del negocio, por lo que no se ha definido una sola estructura para los mismos. Estos planes de continuidad se deben considerar en la programación de gestión de cambios de la organización para garantizar el tratamiento adecuado de los aspectos de la continuidad del negocios, y se deben asignar a los funcionarios correspondientes para que sean responsables del mantenimiento de los planes de continuidad. La planificación de la continuidad del negocio debe considerar: · Las condiciones para la activación de los planes que describen el proceso a seguir (por ejemplo, la forma de evaluar la situación y quién se va a involucrar) antes de activar cada plan · Los procedimientos de emergencia que describen las acciones por realizar tras un incidente que ponga en peligro las operaciones del negocio · Los procedimientos de respaldo que describen las acciones por realizar para desplazar las actividades esenciales del negocio o los 253 servicios de soporte a lugares temporales alternos y para devolver la operatividad de los procesos del negocio en los plazos requeridos · Los procedimientos operativos temporales por seguir mientras se terminan la recuperación y la restauración · Los procedimientos de reanudación que describen las acciones por realizar para que las operaciones del negocio vuelvan a la normalidad · Una programación de mantenimiento que especifique cómo y cuándo se realizarán pruebas al plan y el proceso para el mantenimiento del plan · Actividades de concienciación, educación y formación diseñadas para comprender los procesos de continuidad del negocio y garantizar que los procesos siguen siendo eficaces · Las responsabilidades de las personas, que describan quién es responsable de la ejecución de cada componente del plan. Si se requiere, se deberían nombrar suplentes · Los activos y recursos críticos necesarios para ejecutar los procedimientos de emergencia, respaldo y reanudación 3.2.5.10.5. Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio “Los planes de continuidad del negocio se deberían someter a pruebas y revisiones periódicas para asegurar su actualización y su eficacia”. Una vez que la DTT cuente con planes para la continuidad del negocio, se deberán realizar pruebas, mantenimiento y reevaluación de los mismos, considerando lo siguiente: · La prueba sobre papel de varios escenarios (analizando las disposiciones de recuperación con ayuda de ejemplos de interrupciones) · Las simulaciones (particularmente para la formación del personal en sus funciones de gestión de crisis/post-incidentes) · Las pruebas de recuperación técnica (garantizando que los sistemas de información se pueden restaurar eficazmente) 254 · Las pruebas de recuperación en un lugar alterno (ejecutando procesos del negocio en paralelo con las operaciones de recuperación fuera de la sede principal) · Las pruebas de los recursos y servicios del proveedor (asegurando que los servicios y productos proporcionados externamente cumplirán el compromiso contraído) · Los ensayos completos (probando que la organización, el personal, el equipo, las instalaciones y los procesos pueden hacer frente a las interrupciones) 3.2.5.11. Cumplimiento 3.2.5.11.1. Identificación de la legislación aplicable “Todos los requisitos estatutarios, reglamentarios y contractuales pertinentes, así como el enfoque de la organización para cumplir estos requisitos se deberían definir explícitamente, documentar y mantener actualizados para cada sistema de información y para la organización”. La Institución tiene establecido su Estatuto Orgánico pro Procesos y Plan Operativo Anual, que define sus objetivos, por lo que los controles específicos y las responsabilidades individuales para cumplir estos requisitos se deberían definir y documentar de forma similar, que no solo serán aplicables a la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones, sino a toda la Institución por ser un organismo del Estado. 3.2.5.11.2. Derechos de propiedad intelectual (DPI) “Se deberían implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material con respecto al cual pueden existir derechos de propiedad intelectual y sobre el uso de productos de software patentados”. Dentro de la DTT se realizan procedimientos que aseguran que se adquiere software de forma legal y de fuentes confiables, y se mantiene un registro de los activos de software a cargo de cada funcionario de la DTT, pero no se tiene un registro de los derechos de propiedad intelectual de los sistemas desarrollados en la Dirección; para software adquirido institucionalmente se tienen documentación 255 sobre la propiedad de licencias y manuales, pero no se realiza un registro de los usuarios a los cuales se les ha instalado el software, para no exceder el número de usuarios permitido. Existen casos en los que se debe instalar software autorizado que no requiere licencia, pero no se cuenta con un registro de este software; no se han establecido políticas formales para las condiciones de licencias apropiadas ni para la trasferencia de software a otro responsables y en general no se cuenta con una política que establezca los derechos de propiedad intelectual que defina el uso legal del software y de los productos de información. Para la utilización de libros, artículos, informes u otros documentos que cuenten con derechos de copia, se realiza la compra autorizada de los mismos. 3.2.5.11.3. Protección de los registros de la organización “Los registros importantes se deberían proteger contra pérdida, destrucción y falsificación, de acuerdo con los requisitos estatutarios, reglamentarios, contractuales y del negocio”. En la DTT no se tiene un procedimiento formal para salvaguardar los registros importantes aparte de la digitalización de documentos físicos, por lo que se deberían cumplir los siguientes aspectos: · Se deberían publicar directrices sobre retención, almacenamiento, manipulación y eliminación de registros e información · Es conveniente publicar una programación de retención que identifique los registros y el periodo de tiempo de su retención · Se recomienda conservar un inventario de las fuentes de información clave · Se deberían implementar los controles apropiados para proteger los registros y la información contra pérdida, destrucción y falsificación 3.2.5.11.4. Protección de los datos y privacidad de la información personal “Se debería garantizar la protección de los datos y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes y, si se aplica, con las cláusulas del contrato”. 256 La información que se maneja en la institución es de carácter público, pero se debe considerar que si los funcionarios de la Institución almacenan información personal en los equipos del área de trabajo, son ellos los encargados de proteger la misma. Se recomienda establecer políticas que orienten a los funcionarios en la protección de su información personal dentro de la Institución. 3.2.5.11.5. Prevención del uso inadecuado de los servicios de procesamiento de información “Se debería disuadir a los usuarios de utilizar los servicios de procesamiento de información para propósitos no autorizados”. Los funcionarios de la Institución encargados de realizar tareas técnicas tienen una orientación sobre la importancia del uso adecuado de los servicios de procesamiento de la información, pero para otros funcionarios no se ha realizado una concienciación del uso adecuado de estos recursos. 3.2.5.11.6. Reglamentación de los controles criptográficos “Se deberían utilizar controles criptográficos que cumplan todos los acuerdos, las leyes y los reglamentos pertinentes”. La DTT no cuenta con una reglamentación para el uso de controles criptográficos; de acuerdo con lo que establece este control, se debe considerar lo siguiente: · Restricción de importaciones y/o exportaciones de hardware y software de computadores para la ejecución de funciones criptográficas · Restricción de importaciones y/o exportaciones de hardware y software de computadores diseñados para adicionarles funciones criptográficas · Restricciones al uso de cifrado · Métodos obligatorios o discrecionales de acceso por parte de las autoridades del país a la información cifrada mediante hardware o software para brindar confidencialidad al contenido 257 Se debería buscar asesoría legal para garantizar el cumplimiento con las leyes y los reglamentos nacionales. Antes de desplazar la información cifrada o los controles criptográficos a otros países, se debería tener asesoría legal 3.2.5.11.7. Cumplimiento con las políticas y las normas de la seguridad “Los directores deberían garantizar que todos los procedimientos de la seguridad dentro de sus áreas de responsabilidad se llevan a cabo correctamente para lograr el cumplimiento con las políticas y las normas de la seguridad”. Una vez que se establezcan los diferentes controles de la Norma 27002 [6] que serán necesarios para el tratamiento de las vulnerabilidades encontradas en los diferentes servicios de esta Dirección, el Director deberá verificar el cumplimiento de estos controles. Si se produjera algún incumplimiento. Se deberá: · Determinar la causa del incumplimiento · Evaluar la necesidad de acciones para garantizar que no se presenten incumplimientos · Determinar e implementar la acción correctiva apropiada · Revisar la acción correctiva que se ejecutó 3.2.5.11.8. Verificación del cumplimiento técnico “Los sistemas de información se deberían verificar periódicamente para determinar el cumplimiento con las normas de implementación de la seguridad”. El sistema de gestión de riesgos en la seguridad de la información que se desarrolla en este proyecto provee la evaluación de riesgos inicial en los servicios de la DTT, por lo que queda a consideración de la Dirección la aplicación de los controles recomendados y la verificación del cumplimiento de los mismos. En caso de que la DTT considere otras formas de verificar el cumplimiento técnico en sus sistemas y servicios, se deberá tener especial cuidado para que no se ponga en peligro este sistema de verificación de cumplimiento debido a la utilización del diseño que aquí se plantea. 258 3.2.5.11.9. Controles de auditoría de los sistemas de información “Los requisitos y las actividades de auditoría que implican verificaciones de los sistemas operativos se deberían planificar y acordar cuidadosamente para minimizar el riesgo de interrupciones de los procesos del negocio”. La Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones no cuenta con una planificación para el caso en el que se deban realizar verificaciones de sus sistemas y servicios para fines de auditoría, por lo que se deben contemplar los siguientes lineamientos para establecer estos procedimientos: · Los requisitos de auditoría se deberían acordar con la dirección correspondiente · Se debería acordar y controlar el alcance de las verificaciones. · Las verificaciones se deberían limitar al acceso de sólo lectura del software y los datos · El acceso diferente al de sólo lectura únicamente se debería permitir para copias aisladas de archivos del sistema que se puedan borrar al terminar la auditoría, o se debería dar protección adecuada, si existe la obligación de conservar dichos archivos según los requisitos de documentación de la auditoría · Los recursos para llevar a cabo las verificaciones se deberían identificar explícitamente y estar disponibles · Se deberían identificar y acordar los requisitos para el procesamiento especial o adicional · Todo acceso se debería monitorear y registrar para crear un rastreo para referencia; el uso de rastreos de referencia de tiempo se debería considerar para datos o sistemas críticos · Se recomienda documentar todos los procedimientos, requisitos y responsabilidades · La persona que realiza la auditoría debería ser independiente de las actividades auditadas 3.2.5.11.10. Protección de las herramientas de auditoría de los sistemas de información “Se debería proteger el acceso a las herramientas de auditoría de los sistemas de información para evitar su uso inadecuado o ponerlas en peligro”. 259 Una vez que la DTT establezca las actividades relacionadas a auditorías de sus sistemas y servicios, se deberá proteger la información y herramientas utilizadas para estas actividades, dando como recomendación, por ejemplo, separar de los sistemas operativos y de desarrollo del software o archivos de datos, y no mantenerse en librerías de cintas, salvo que se les proporcione un nivel adecuado de protección adicional. Existen varios controles que pueden ser aplicados a todas las actividades que realiza la Dirección, por lo que no solamente atacan a una vulnerabilidad, sino que sirve para mitigar todas las vulnerabilidades y son aplicables a todos los servicios. Estos controles son: · Recolección de evidencias · Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio · Continuidad del negocio y evaluación de riesgos · Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información · Estructura para la planificación de la continuidad del negocio · Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio · Identificación de la legislación aplicable · Protección de los registros de la organización · Cumplimiento con las políticas y las normas de la seguridad · Verificación del cumplimiento técnico · Protección de las herramientas de auditoría de los sistemas de información · Controles de auditoría de los sistemas de información 3.3. TRATAMIENTO DE LOS RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN PRESENTES EN LA DTT, APLICANDO LOS CONTROLES DE LA NORMA NTE INEN-ISO/IEC 27002:2009 260 Considerando las tablas de valoración de los riesgos de la sección 2.4.2.2 (Evaluación del riesgo), se procede a elaborar la Tabla 3.1 donde se detallan las vulnerabilidades encontradas en los servicios de la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones, con su respectivo nivel del riesgo y los controles necesarios para mitigar estas vulnerabilidades, tanto los controles existentes aplicados a cada vulnerabilidad como los controles que no son aplicados. En la Tabla 3.1 se colocó el número con el que se identifica cada control dentro de la Norma 27002 [6], lo que permite una identificación más rápida de los controles utilizados de acuerdo a la norma antes mencionada. Cabe mencionar que se plantean los controles necesarios para mitigar todas las vulnerabilidades que afecten a un servicio, pero se considera de mayor importancia la aplicación de controles para las vulnerabilidades que produzcan riesgos valorados como Muy Altos, Altos, Moderados y Bajos, porque se busca que el riesgo sea reducido o mitigado, todo esto de acuerdo a los criterios de aceptación del riesgo definidos en la sección 2.4.1.1.1 Criterios de aceptación del riesgo. En el capítulo 4 se detallarán las recomendaciones necesarias para cada control descrito en las tablas antes mencionadas. La seguridad de la información se logra implementando un conjunto apropiado de controles, incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados, donde sea necesario, para asegurar que se cumplen los objetivos específicos de la seguridad y del negocio una organización. Esto debería hacerse en conjunto con otros procesos de gestión del negocio. Sísmicos Volcánicos Moderado Alto Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico No asegurar correctamente la ubicación de los equipos Alto Moderado Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica No realizar la renovación oportuna de equipos Bajo Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo Fuego Bajo Alto No se realiza un mantenimiento periódico del Sistema Contra incendios Destrucción del equipo Nivel del Riesgo Vulnerabilidad Amenaza Servidores RISC e Intel TODOS LOS SERVICIOS TODOS LOS SERVICIOS Telefonía IP Switching y Routing TODOS LOS SERVICIOS TODOS LOS SERVICIOS Servicios Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Ubicación y protección de los equipos 9.2.1 Responsabilidades y procedimientos 13.2.1 Protección contra amenazas externas y ambientales 9.1.4 Responsabilidades y procedimientos 13.2.1 Protección contra amenazas externas y ambientales 9.1.4 Reporte sobre las debilidades en la seguridad 13.1.2 Medios físicos en tránsito 10.8.3 Responsabilidades y procedimientos 13.2.1 Responsabilidades y procedimientos 13.2.1 Servicio de suministro 9.2.2 Controles existentes Control de la vulnerabilidades técnicas 12.6.1 Registro de auditorías 10.10.1 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 261 Falla en el equipo de telecomunicaciones Pérdida de suministro de energía Falla en el sistema de suministro de agua y aire acondicionado Climáticos Amenaza No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Conexión deficiente de los cables Moderado Bajo Switching y Routing Moderado Switching y Routing Telefonía IP Oracle DNS, DHCP, NTP TODOS LOS SERVICIOS TODOS LOS SERVICIOS TODOS LOS SERVICIOS TODOS LOS SERVICIOS TODOS LOS SERVICIOS Servicios Moderado Bajo No tener correctas instalaciones eléctricas No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. Moderado Mal mantenimiento de los sistemas de Aire Acondicionado Moderado Moderado Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz Nivel del Riesgo Vulnerabilidad Seguridad de los servicios de red 10.6.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Seguridad del cableado 9.2.3 Responsabilidades y procedimientos 13.2.1 Responsabilidades y procedimientos 13.2.1 Servicio de suministro 9.2.2 Seguridad del cableado 9.2.3 Responsabilidades y procedimientos 13.2.1 Servicio de suministro 9.2.2 Responsabilidades y procedimientos 13.2.1 Responsabilidades y procedimientos 13.2.1 Protección contra amenazas externas y ambientales 9.1.4 Protección contra amenazas externas y ambientales 9.1.4 Controles existentes Documentación de los procedimientos de operación 10.1.1 Uso aceptable de los activos 7.1.3 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 262 Espionaje remoto Falla en el sistema de alimentación ininterrumpida (UPS) Falla en el equipo de telecomunicaciones Amenaza Moderado Bajo Falta de certificado de seguridad para las Páginas Web Bajo Bajo Moderado Nivel del Riesgo Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Vulnerabilidad SICOEIR TODOS LOS SERVICIOS Telefonía IP Switching y Routing DNS, DHCP, NTP Virtualización RISC e Intel SICOEIR Recursos Compartidos Antivirus Oracle Servicios Control del enrutamiento en la red 11.4.7 Seguridad de los servicios de red 10.6.2 Controles contra códigos maliciosos 10.4.1 Responsabilidades y procedimientos 13.2.1 Servicio de suministro 9.2.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Control del enrutamiento en la red 11.4.7 Protección del registro de la información 10.10.3 Gestión del cambio 10.1.2 Responsabilidades y procedimientos 13.2.1 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Control de la vulnerabilidades técnicas 12.6.1 Registros del administrador y del operador 10.10.4 Registro de auditorías 10.10.1 Reporte sobre los eventos de seguridad de la información 13.1.1 Reporte sobre las debilidades en la seguridad 13.1.2 Controles faltantes Controles existentes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 263 Espionaje remoto Amenaza No monitorear adecuadamente los accesos al servidor SFTP de forma externa Administración incorrecta de los parámetros de funcionamiento de los firewalls Falta de certificado de seguridad para las Páginas Web Vulnerabilidad Bajo Bajo Moderado Nivel del Riesgo SICOEIR DNS, DHCP, NTP Recursos Compartidos Oracle Virtualización RISC e Intel SICOEIR Servicios Reporte sobre los eventos de seguridad de la información 13.1.1 Restricción del acceso a la información 11.6.1 Control de conexión a las redes 11.4.6 Política de control de acceso 11.1.1 Monitoreo de uso del sistema 10.10.2 Controles contra códigos maliciosos 10.4.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Protección del registro de la información 10.10.3 Seguridad de los servicios de red 10.6.2 Gestión del cambio 10.1.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Controles existentes Fuga de información 12.5.4 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 264 Escucha encubierta Espionaje remoto Amenaza Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN No monitorear adecuadamente los accesos al servidor SFTP de forma externa Vulnerabilidad Bajo Moderado Moderado Nivel del Riesgo Sistema de gestión de contraseñas 11.5.3 Virtualización RISC e Intel Reporte sobre los eventos de seguridad de la información 13.1.1 Uso de contraseñas 11.3.1 Revisión de los derechos de acceso de los usuarios 11.2.4 Gestión de contraseñas para usuarios 11.2.3 Seguridad de la documentación del sistema 10.7.4 Procedimientos para el manejo de la información 10.7.3 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Seguridad de los servicios de red 10.6.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Controles existentes SICOEIR Oracle Antivirus Recursos Compartidos Switching y Routing Recursos Compartidos Oracle Servicios Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Registros del administrador y del operador 10.10.4 Registro de auditorías 10.10.1 Documentación de los procedimientos de operación 10.1.1 Uso aceptable de los activos 7.1.3 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 265 Escucha encubierta Amenaza Asignación errada de derechos de acceso al servidor SFTP No encriptar la información Moderado Alto Bajo Moderado Bajo Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No se tiene una planificación de monitoreos periódicos a los enlaces WAN Nivel del Riesgo Vulnerabilidad Monitoreo de uso del sistema 10.10.2 Antivirus SICOEIR SICOEIR Switching y Routing Recursos Compartidos Control de conexión a las redes 11.4.6 Política de control de acceso 11.1.1 Procedimientos para el manejo de la información 10.7.3 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Seguridad de los servicios de red 10.6.2 SICOEIR DNS, DHCP, NTP Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Controles existentes Switching y Routing Oracle DNS, DHCP, NTP Servicios Fuga de información 12.5.4 Control de la vulnerabilidades técnicas 12.6.1 Reglamentación de los controles criptográficos 15.1.6 Políticas y procedimientos para el intercambio de información 10.8.1 Control de la vulnerabilidades técnicas 12.6.1 Gestión de Claves 12.3.2 Política sobre el uso de controles criptográficos 12.3.1 Integridad del mensaje 12.2.3 Fuga de información 12.5.4 Control de la vulnerabilidades técnicas 12.6.1 Políticas y procedimientos para el intercambio de información 10.8.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 266 Escucha encubierta Amenaza Mal manejo de la compartición de la información Administración incorrecta de los parámetros de funcionamiento de los firewalls Asignación errada de derechos de acceso al servidor SFTP Vulnerabilidad Virtualización RISC e Intel Moderado Bajo Recursos Compartidos Bajo SICOEIR Virtualización RISC e Intel Servicios Oracle Recursos Compartidos DNS, DHCP, NTP Moderado Nivel del Riesgo Control de procesamiento interno 12.2.2 Análisis y especificación de los requisitos de la seguridad 12.1.1 Protección del registro de la información 10.10.3 Sistemas de información del negocio 10.8.5 Procedimientos para el manejo de la información 10.7.3 Responsabilidades y procedimientos 13.2.1 Etiquetado y manejo de la información 7.2.2 Fuga de información 12.5.4 Políticas y procedimientos para el intercambio de información 10.8.1 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Registro de fallas 10.10.5 Protección del registro de la información 10.10.3 Reporte sobre las debilidades en la seguridad 13.1.2 Registros del administrador y del operador 10.10.4 Controles faltantes Seguridad de los servicios de red 10.6.2 Gestión del cambio 10.1.2 Responsabilidades y procedimientos 13.2.1 Control de procesamiento interno 12.2.2 Restricción del acceso a la información 11.6.1 Controles existentes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 267 Divulgación Hurto de equipo Escucha encubierta Amenaza Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Administración inadecuada de los equipos del área de trabajo disponibles para su uso Mal manejo de la compartición de la información Vulnerabilidad Moderado Alto Moderado Nivel del Riesgo Antivirus Recursos Compartidos Telefonía IP DNS, DHCP, NTP Servicios Reporte sobre las debilidades en la seguridad 13.1.2 Sistema de gestión de contraseñas 11.5.3 Uso de contraseñas 11.3.1 Revisión de los derechos de acceso de los usuarios 11.2.4 Gestión de contraseñas para usuarios 11.2.3 Seguridad de la documentación del sistema 10.7.4 Responsabilidades y procedimientos 13.2.1 Procedimientos para el manejo de la información 10.7.3 Computación y comunicaciones móviles 11.7.1 Identificación de los equipos en las redes 11.4.3 Responsabilidades y procedimientos 13.2.1 Medios físicos en tránsito 10.8.3 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Controles existentes Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Registro de auditorías 10.10.1 Registros del administrador y del operador 10.10.4 Seguridad en la reutilización o eliminación de los equipos 9.2.6 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 268 Divulgación Amenaza Bajo Moderado Mal manejo de la compartición de la información Bajo Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Falta de control de acceso a las carpetas compartidas Nivel del Riesgo Vulnerabilidad Recursos Compartidos Virtualización RISC e Intel Recursos Compartidos Switching y Routing DNS, DHCP, NTP Virtualización RISC e Intel Oracle SICOEIR Servicios Procedimientos para el manejo de la información 10.7.3 Responsabilidades y procedimientos 13.2.1 Etiquetado y manejo de la información 7.2.2 Reporte sobre las debilidades en la seguridad 13.1.2 Restricción del acceso a la información 11.6.1 Control de conexión a las redes 11.4.6 Política de control de acceso 11.1.1 Monitoreo de uso del sistema 10.10.2 Sistemas de información del negocio 10.8.5 Procedimientos para el manejo de la información 10.7.3 Responsabilidades y procedimientos 13.2.1 Controles existentes Fuga de información 12.5.4 Control de la vulnerabilidades técnicas 12.6.1 Políticas y procedimientos para el intercambio de información 10.8.1 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Políticas y procedimientos para el intercambio de información 10.8.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 269 Datos provenientes de fuentes no confiables Mala administración de los registros de direcciones MAC de los equipos para acceso a la red inalámbrica y telefonía IP No deshabilitar puertos no utilizados en equipos de conectividad Bajo Mal manejo de la compartición de la información Divulgación DNS, DHCP, NTP Bajo Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Responsabilidades y procedimientos 13.2.1 Separación en las redes 11.4.5 Telefonía IP Telefonía IP Control de la vulnerabilidades técnicas 12.6.1 Reporte sobre las debilidades en la seguridad 13.1.2 DNS, DHCP, NTP Controles faltantes Fuga de información 12.5.4 Responsabilidades y procedimientos 13.2.1 Protección de los puertos de configuración y diagnóstico remoto 11.4.4 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Control de procesamiento interno 12.2.2 Análisis y especificación de los requisitos de la seguridad 12.1.1 Protección del registro de la información 10.10.3 Sistemas de información del negocio 10.8.5 Controles existentes Control del enrutamiento en la red 11.4.7 Switching y Routing Virtualización RISC e Intel Servicios Moderado Bajo Moderado Nivel del Riesgo Vulnerabilidad Amenaza Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 270 Moderado Falta de certificado de seguridad para las Páginas Web No se hace una verificación periódica de la seguridad de los switches de acceso en cada piso No tener soporte por parte del proveedor del software Datos provenientes de fuentes no confiables Manipulación con hardware Manipulación con software Moderado Bajo Vulnerabilidad Amenaza Nivel del Riesgo Antivirus Virtualización RISC e Intel Switching y Routing SICOEIR Servicios Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.2 (para sistemas antiguos) Responsabilidades y procedimientos 13.2.1 Control del software operativo 12.4.1 Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Monitoreo de uso del sistema 10.10.2 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Control del enrutamiento en la red 11.4.7 Seguridad de los servicios de red 10.6.2 Controles contra códigos maliciosos 10.4.1 Controles existentes Control de la vulnerabilidades técnicas 12.6.1 Documentación de los procedimientos de operación 10.1.1 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 271 Manipulación con software Amenaza Tener administradores de segundo nivel que puedan hacer cambios no autorizados Bajo Moderado Bajo Asignación errada de derechos de acceso Asignación errada de derechos de acceso Nivel del Riesgo Vulnerabilidad Restricción del acceso a la información 11.6.1 Control del enrutamiento en la red 11.4.7 Control de conexión a las redes 11.4.6 DNS, DHCP, NTP Switching y Routing Política de control de acceso 11.1.1 Protección del registro de la información 10.10.3 Procedimientos para el manejo de la información 10.7.3 Responsabilidades y procedimientos 13.2.1 Distribución de funciones 10.1.3 Restricción del acceso a la información 11.6.1 Control del enrutamiento en la red 11.4.7 Control de conexión a las redes 11.4.6 Política de control de acceso 11.1.1 Autenticación de usuarios para conexiones externas 11.4.2 Protección del registro de la información 10.10.3 Procedimientos para el manejo de la información 10.7.3 Distribución de funciones 10.1.3 Controles existentes Antivirus SICOEIR Recursos Compartidos Antivirus Recursos Compartidos Servicios Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Control de la vulnerabilidades técnicas 12.6.1 Políticas y procedimientos para el intercambio de información 10.8.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 272 Manipulación con software Amenaza Bajo Moderado No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Moderado Bajo Nivel del Riesgo No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Administración inadecuada de las cuentas de usuario en Active Directory Tener administradores de segundo nivel que puedan hacer cambios no autorizados Vulnerabilidad Antivirus Recursos Compartidos Virtualización RISC e Intel SICOEIR Recursos Compartidos Telefonía IP DNS, DHCP, NTP Recursos Compartidos Servicios Reporte sobre las debilidades en la seguridad 13.1.2 Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.2 Responsabilidades y procedimientos 13.2.1 Monitoreo de uso del sistema 10.10.2 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Control de procesamiento interno 12.2.2 Responsabilidades y procedimientos 13.2.1 Monitoreo de uso del sistema 10.10.2 Registro de auditorías 10.10.1 Políticas y procedimientos para el intercambio de información 10.8.1 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Registros del administrador y del operador 10.10.4 Reporte sobre los eventos de seguridad de la información 13.1.1 Reporte sobre las debilidades en la seguridad 13.1.2 Registro de auditorías 10.10.1 Controles faltantes Sistema de gestión de contraseñas 11.5.3 Responsabilidades y procedimientos 13.2.1 Gestión del cambio 10.1.2 Control de procesamiento interno 12.2.2 Controles existentes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 273 Manipulación con software Amenaza No realizar la renovación oportuna del dominio de la página web Administración incorrecta de los parámetros de funcionamiento de los firewalls No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Vulnerabilidad Alto Bajo Moderado Bajo Moderado Nivel del Riesgo SICOEIR DNS, DHCP, NTP Recursos Compartidos Oracle Virtualización RISC e Intel SICOEIR DNS, DHCP, NTP Virtualización RISC e Intel Telefonía IP Oracle Switching y Routing Servicios Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Controles contra códigos maliciosos 10.4.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Protección del registro de la información 10.10.3 Seguridad de los servicios de red 10.6.2 Gestión del cambio 10.1.2 Responsabilidades y procedimientos 13.2.1 Controles existentes Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 274 Falta de respaldos Falta de planificación sobre la capacidad de procesamiento de la información Manipulación con software Bajo No respaldar la información generada de forma periódica Virtualización RISC e Intel Virtualización RISC e Intel Virtualización RISC e Intel Bajo Bajo SICOEIR Oracle Virtualización RISC e Intel SICOEIR Alto Moderado Moderado Oracle Bajo Recursos Compartidos Servicios Nivel del Riesgo Falla de los archivos de respaldo Falta de mantenimiento de las bases de datos Vulnerabilidad Amenaza Computación y comunicaciones móviles 11.7.1 Responsabilidades y procedimientos 13.2.1 Respaldo de la información 10.5.1 Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Respaldo de la información 10.5.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Control de procesamiento interno 12.2.2 Responsabilidades y procedimientos 13.2.1 Monitoreo de uso del sistema 10.10.2 Reporte sobre las debilidades en la seguridad 13.1.2 Control de procesamiento interno 12.2.2 Análisis y especificación de los requisitos de la seguridad 12.1.1 (Fase inicial del proyecto) Gestión de la capacidad 10.3.1 Controles existentes Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 275 Falta de respaldos Amenaza Muy Alto Bajo No tener respaldado el código fuente del desarrollo de software dentro de la DTT Alto Moderado Nivel del Riesgo Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal No respaldar la información de configuración de los servidores y equipos de conectividad No respaldar la información generada de forma periódica Vulnerabilidad SICOEIR Virtualización RISC e Intel SICOEIR Servidores RISC e Intel Recursos Compartidos Oracle DNS, DHCP, NTP Switching y Routing Virtualización RISC e Intel Servicios Procedimientos de control de cambios 12.5.1 Control del software operativo 12.4.1 Protección del registro de la información 10.10.3 Respaldo de la información 10.5.1 Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Control de procesamiento interno 12.2.2 Respaldo de la información 10.5.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Respaldo de la información 10.5.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Controles existentes Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Uso aceptable de los activos 7.1.3 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Uso aceptable de los activos 7.1.3 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 276 Falla en la conexión entre servidores Falta de respaldos Amenaza No se tiene una planificación de monitoreos periódicos a los enlaces WAN No se realiza un monitoreo periódico de los enlaces de la red institucional (LAN) No se dimensione correctamente el espacio necesario para respaldar la información No tener respaldado el código fuente del desarrollo de software dentro de la DTT Vulnerabilidad Moderado Bajo Bajo Moderado Moderado Bajo Nivel del Riesgo Recursos Compartidos SICOEIR DNS, DHCP, NTP Switching y Routing Telefonía IP Oracle Switching y Routing DNS, DHCP, NTP Antivirus Virtualización RISC e Intel Oracle Servicios Control de la vulnerabilidades técnicas 12.6.1 Responsabilidades y procedimientos 13.2.1 Respaldo de la información 10.5.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Monitoreo de uso del sistema 10.10.2 Responsabilidades y procedimientos 13.2.1 Seguridad de los servicios de red 10.6.2 Reporte sobre las debilidades en la seguridad 13.1.2 Monitoreo de uso del sistema 10.10.2 Responsabilidades y procedimientos 13.2.1 Seguridad de los servicios de red 10.6.2 Reporte sobre las debilidades en la seguridad 13.1.2 Control de procesamiento interno 12.2.2 Análisis y especificación de los requisitos de seguridad 12.1.1 Fuga de información 12.5.4 Control de la vulnerabilidades técnicas 12.6.1 Políticas y procedimientos para el intercambio de información 10.8.1 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Control de acceso al código fuente de los programas 12.4.3 Reporte sobre las debilidades en la seguridad 13.1.2 (Servicios antiguos) Monitoreo de uso del sistema 10.10.2 Controles faltantes Controles existentes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 277 Falla en la conexión entre servidores Falla del equipo No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT No realizar mantenimiento técnico de equipos en el Centro de Cómputo No realizar mantenimiento preventivo de los equipos del área de trabajo Vulnerabilidad Amenaza Bajo Moderado Bajo Moderado Nivel del Riesgo Virtualización RISC e Intel Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Oracle Servidores RISC e Intel Switching y Routing Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Mantenimiento de los equipos 9.2.4 Responsabilidades y procedimientos 13.2.1 Responsabilidades y procedimientos 13.2.1 Mantenimiento de los equipos 9.2.4 Telefonía IP Antivirus DNS, DHCP, NTP Telefonía IP Switching y Routing Reporte sobre las debilidades en la seguridad 13.1.2 Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.2 Antivirus Monitoreo de uso del sistema 10.10.2 Controles existentes Recursos Compartidos Oracle Servicios Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Registro de auditorías 10.10.1 Políticas y procedimientos para el intercambio de información 10.8.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 278 Mal funcionamiento del equipo Falla del equipo Amenaza No realizar mantenimiento preventivo de los equipos del área de trabajo Administración inadecuada de los equipos del área de trabajo disponibles para su uso Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Vulnerabilidad Responsabilidades y procedimientos 13.2.1 Switching y Routing Moderado Alto Telefonía IP Antivirus Telefonía IP Moderado Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre los eventos de seguridad de la información 13.1.1 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Registros del administrador y del operador 10.10.4 Computación y comunicaciones móviles 11.7.1 Responsabilidades y procedimientos 13.2.1 Mantenimiento de los equipos 9.2.4 Registro de auditorías 10.10.1 Seguridad en la reutilización o eliminación de los equipos 9.2.6 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Controles faltantes Identificación de los equipos en las redes 11.4.3 Medios físicos en tránsito 10.8.3 Reporte sobre las debilidades en la seguridad 13.1.2 DNS, DHCP, NTP Telefonía IP Antivirus Control del enrutamiento en la red 11.4.7 Protección del registro de la información 10.10.3 Gestión del cambio 10.1.2 Controles existentes Virtualización RISC e Intel SICOEIR Recursos Compartidos Oracle Servicios DNS, DHCP, NTP Moderado Bajo Nivel del Riesgo Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 279 Mal funcionamiento del software Saturación del sistema de información Mal funcionamiento del equipo Amenaza No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Falta de planificación sobre la capacidad de procesamiento de la información Falta de planificación de la capacidad de almacenamiento en los servidores No realizar mantenimiento técnico de equipos en el Centro de Cómputo Vulnerabilidad Moderado Bajo Moderado Moderado Bajo Bajo Nivel del Riesgo Moderado Recursos Compartidos Oracle Virtualización RISC e Intel SICOEIR Recursos Compartidos SICOEIR Virtualización RISC e Intel Oracle Switching y Routing Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.2 Responsabilidades y procedimientos 13.2.1 Monitoreo de uso del sistema 10.10.2 Reporte sobre las debilidades en la seguridad 13.1.2 Control de procesamiento interno 12.2.2 Análisis y especificación de los requisitos de la seguridad 12.1.1 (Fase inicial del proyecto) Registro de auditorías 10.10.1 Políticas y procedimientos para el intercambio de información 10.8.1 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Control de la vulnerabilidades técnicas 12.6.1 Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Gestión de la capacidad 10.3.1 Registro de fallas 10.10.5 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Control de procesamiento interno 12.2.2 Análisis y especificación de los requisitos de seguridad 12.1.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Mantenimiento de los equipos 9.2.4 SICOEIR Oracle Servidores RISC e Intel Controles existentes Servicios Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 280 Mal funcionamiento del software Amenaza Falta de planificación sobre la capacidad de procesamiento de la información No tener respaldado el código fuente del desarrollo de software dentro de la DTT No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Vulnerabilidad Moderado Bajo Bajo Moderado Nivel del Riesgo SICOEIR SICOEIR Telefonía IP DNS, DHCP, NTP Switching y Routing Antivirus Virtualización RISC e Intel Servicios Reporte sobre las debilidades en la seguridad 13.1.2 Control de procesamiento interno 12.2.2 Análisis y especificación de los requisitos de la seguridad 12.1.1 (Fase inicial del proyecto) Responsabilidades y procedimientos 13.2.1 Gestión de la capacidad 10.3.1 Reporte sobre las debilidades en la seguridad 13.1.2 (Servicios antiguos) Procedimientos de control de cambios 12.5.1 Control del software operativo 12.4.1 Protección del registro de la información 10.10.3 Respaldo de la información 10.5.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Controles existentes Registro de fallas 10.10.5 Control de la vulnerabilidades técnicas 12.6.1 Control de acceso al código fuente de los programas 12.4.3 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Uso aceptable de los activos 7.1.3 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 281 Mal funcionamiento del software Amenaza Software nuevo o inmaduro Falta de mantenimiento de las bases de datos No se ha planificado una renovación oportuna de licencias (Antivirus, Windows, etc.) Falta de planificación sobre la capacidad de procesamiento de la información Vulnerabilidad SICOEIR Virtualización RISC e Intel Bajo Bajo SICOEIR Oracle Antivirus Servicios Alto Moderado Moderado Nivel del Riesgo Aislamiento de sistemas sensibles 11.6.2 Integridad del mensaje 12.2.3 Gestión de los cambios en los servicios por terceras partes 10.2.3 Registro de fallas 10.10.5 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Monitoreo y revisión de los servicios por terceros 10.2.2 Responsabilidades y procedimientos 13.2.1 Separación de las instalaciones de desarrollo ensayo y operación 10.1.4 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Control de procesamiento interno 12.2.2 Registros del administrador y del operador 10.10.4 Derechos de propiedad intelectual (DPI) 15.1.2 Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Monitoreo de uso del sistema 10.10.2 Control de la vulnerabilidades técnicas 12.6.1 Registro de auditorías 10.10.1 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Reporte sobre los eventos de seguridad de la información 13.1.1 Control del software operativo 12.4.1 Controles contra códigos maliciosos 10.4.1 Responsabilidades y procedimientos 13.2.1 Controles existentes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 282 No realizar mantenimiento preventivo de los equipos del área de trabajo Software nuevo o inmaduro Mal funcionamiento del software Incumplimiento en el mantenimiento del sistema de información Vulnerabilidad Amenaza Moderado Nivel del Riesgo Telefonía IP Antivirus Servicios Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Responsabilidades y procedimientos 13.2.1 Mantenimiento de los equipos 9.2.4 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Procedimientos de control de cambios 12.5.1 Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.2 Protección de los datos de prueba del sistema 12.4.2 Control del software operativo 12.4.1 Validación de los datos de salida 12.2.4 Análisis y especificación de los requisitos de seguridad 12.1.1 Aceptación del sistema 10.3.2 Controles existentes Control de la vulnerabilidades técnicas 12.6.1 Reglamentación de los controles criptográficos 15.1.6 Control de la vulnerabilidades técnicas 12.6.1 Gestión de Claves 12.3.2 Política sobre el uso de controles criptográficos 12.3.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 283 Incumplimiento en el mantenimiento del sistema de información Amenaza No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Falta de mantenimiento del direccionamiento IP (DHCP) Bajo No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Moderado Bajo Moderado Nivel del Riesgo Vulnerabilidad Recursos Compartidos Oracle Telefonía IP Switching y Routing DNS, DHCP, NTP Virtualización RISC e Intel SICOEIR Recursos Compartidos Servicios Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Seguridad de los servicios de red 10.6.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Registros del administrador y del operador 10.10.4 Registro de auditorías 10.10.1 Documentación de los procedimientos de operación 10.1.1 Uso aceptable de los activos 7.1.3 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Aislamiento de sistemas sensibles 11.6.2 Registro de fallas 10.10.5 Control del enrutamiento en la red 11.4.7 Reporte sobre los eventos de seguridad de la información 13.1.1 Registros del administrador y del operador 10.10.4 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Separación en las redes 11.4.5 Monitoreo de uso del sistema 10.10.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Control de procesamiento interno 12.2.2 Monitoreo de uso del sistema 10.10.2 Controles existentes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 284 Uso del software falso, copiado o desactualizado Incumplimiento en el mantenimiento del sistema de información Amenaza Falta de mantenimiento de las bases de datos No actualizar el inventario de software No realizar la renovación oportuna del dominio de la página web No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Vulnerabilidad SICOEIR Virtualización RISC e Intel Bajo Oracle Antivirus DNS, DHCP, NTP SICOEIR Servicios Alto Moderado Moderado Moderado Alto Nivel del Riesgo Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Control de procesamiento interno 12.2.2 Monitoreo de uso del sistema 10.10.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Control del software operativo 12.4.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Controles contra códigos maliciosos 10.4.1 Responsabilidades y procedimientos 13.2.1 Controles existentes Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Derechos de propiedad intelectual (DPI) 15.1.2 Control de la vulnerabilidades técnicas 12.6.1 Registros del administrador y del operador 10.10.4 Registro de auditorías 10.10.1 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 285 Error en el uso No se tiene una planificación de monitoreos periódicos a los enlaces WAN Procesamiento ilegal de los datos No tener respaldado el código fuente del desarrollo de software dentro de la DTT Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Vulnerabilidad Amenaza Bajo Bajo Moderado Moderado Oracle Bajo SICOEIR Telefonía IP Switching y Routing DNS, DHCP, NTP Virtualización RISC e Intel SICOEIR Recursos Compartidos Switching y Routing Antivirus Oracle DNS, DHCP, NTP SICOEIR Recursos Compartidos Servicios Nivel del Riesgo Control del software operativo 12.4.1 Protección del registro de la información 10.10.3 Respaldo de la información 10.5.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Control del enrutamiento en la red 11.4.7 Protección del registro de la información 10.10.3 Gestión del cambio 10.1.2 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Monitoreo de uso del sistema 10.10.2 Seguridad de los servicios de red 10.6.2 Controles existentes Registros del administrador y del operador 10.10.4 Uso aceptable de los activos 7.1.3 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Políticas y procedimientos para el intercambio de información 10.8.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 286 Error en el uso Amenaza Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) No tener respaldado el código fuente del desarrollo de software dentro de la DTT Vulnerabilidad Bajo Moderado Bajo Nivel del Riesgo DNS, DHCP, NTP Virtualización RISC e Intel SICOEIR Oracle Antivirus Recursos Compartidos Virtualización RISC e Intel SICOEIR Recursos Compartidos Servicios Sistema de gestión de contraseñas 11.5.3 Uso de contraseñas 11.3.1 Revisión de los derechos de acceso de los usuarios 11.2.4 Gestión de contraseñas para usuarios 11.2.3 Seguridad de la documentación del sistema 10.7.4 Responsabilidades y procedimientos 13.2.1 Procedimientos para el manejo de la información 10.7.3 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Control de procesamiento interno 12.2.2 Responsabilidades y procedimientos 13.2.1 Monitoreo de uso del sistema 10.10.2 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Control de acceso al código fuente de los programas 12.4.3 Registro de fallas 10.10.5 Procedimientos de control de cambios 12.5.1 Reporte sobre las debilidades en la seguridad 13.1.2 (Servicios antiguos) Controles faltantes Controles existentes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 287 Error en el uso Amenaza Moderado Bajo No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Bajo Mal dimensionamiento del número de usuarios del antivirus Administración incorrecta de los parámetros de funcionamiento de los firewalls Bajo Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Moderado Nivel del Riesgo Vulnerabilidad SICOEIR Telefonía IP Servidores RISC e Intel Antivirus DNS, DHCP, NTP Recursos Compartidos Oracle Reporte sobre las debilidades en la seguridad 13.1.2 Control del enrutamiento en la red 11.4.7 Protección del registro de la información 10.10.3 Responsabilidades y procedimientos 13.2.1 Gestión del cambio 10.1.2 Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Control del software operativo 12.4.1 Reporte sobre las debilidades en la seguridad 13.1.2 Protección del registro de la información 10.10.3 Seguridad de los servicios de red 10.6.2 Responsabilidades y procedimientos 13.2.1 Gestión del cambio 10.1.2 Virtualización RISC e Intel Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Controles existentes Switching y Routing Servicios Registros del administrador y del operador 10.10.4 Uso aceptable de los activos 7.1.3 Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Registro de fallas 10.10.5 Registros del administrador y del operador 10.10.4 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 288 Error en el uso Amenaza Uso incorrecto de Software o Hardware Moderado No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Bajo Moderado Nivel del Riesgo Vulnerabilidad Switching y Routing Servidores RISC e Intel Computación y comunicaciones móviles 11.7.1 Telefonía IP Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Protección de los datos de prueba del sistema 12.4.2 Control del software operativo 12.4.1 Identificación de los equipos en las redes 11.4.3 Medios físicos en tránsito 10.8.3 Separación de las instalaciones de desarrollo ensayo y operación 10.1.4 Responsabilidades y procedimientos 13.2.1 Controles existentes DNS, DHCP, NTP Switching y Routing DNS, DHCP, NTP Virtualización RISC e Intel SICOEIR Servicios Derechos de propiedad intelectual (DPI) 15.1.2 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Monitoreo y revisión de los servicios por terceros 10.2.2 Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 289 Vulnerabilidad Falta de conciencia acerca de la seguridad Falta de control de acceso a las carpetas compartidas Amenaza Error en el uso Abuso de derechos Bajo Bajo Moderado Nivel del Riesgo Recursos Compartidos DNS, DHCP, NTP Virtualización RISC e Intel Servidores RISC e Intel Oracle Fuga de información 12.5.4 Política de escritorio despejado y de pantalla despejada 11.3.3. Procedimientos para el manejo de la información 10.7.3 Registro de fallas 10.10.5 Políticas y procedimientos para el intercambio de información 10.8.1 Reglamentación de los controles criptográficos 15.1.6 Reporte sobre las debilidades en la seguridad 13.1.2 Responsabilidades y procedimientos 13.2.1 Prevención del uso inadecuado de los servicios de procesamiento de información 15.1.5 Protección de los datos y privacidad de la información personal 15.1.4 Reporte sobre los eventos de seguridad de la información 13.1.1 Análisis y especificación de los requisitos de seguridad 12.1.1 Derechos de propiedad intelectual (DPI) 15.1.2 Gestión de Claves 12.3.2 Equipo de usuario desatendido 11.3.2 Telefonía IP Computación y comunicaciones móviles 11.7.1 Política sobre el uso de controles criptográficos 12.3.1 Políticas y procedimientos para el intercambio de información 10.8.1 Educación, formación y concienciación sobre la seguridad de la información 8.2.2 Controles faltantes Uso de contraseñas 11.3.1 Protección del registro de la información 10.10.3 Sistemas de información del negocio 10.8.5 Acuerdos para el intercambio 10.8.3 Procedimientos para el manejo de la información 10.7.3 Controles existentes Switching y Routing Antivirus SICOEIR Recursos Compartidos Servicios Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 290 Abuso de derechos Amenaza Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Asignación errada de derechos de acceso al servidor SFTP Falta de control de acceso a las carpetas compartidas Vulnerabilidad Bajo Bajo Moderado Bajo Nivel del Riesgo Virtualización RISC e Intel SICOEIR Oracle SICOEIR Virtualización RISC e Intel Servicios Seguridad de la documentación del sistema 10.7.4 Responsabilidades y procedimientos 13.2.1 Procedimientos para el manejo de la información 10.7.3 Control de procesamiento interno 12.2.2 Restricción del acceso a la información 11.6.1 Control de conexión a las redes 11.4.6 Política de control de acceso 11.1.1 Responsabilidades y procedimientos 13.2.1 Procedimientos para el manejo de la información 10.7.3 Reporte sobre las debilidades en la seguridad 13.1.2 Restricción del acceso a la información 11.6.1 Control de conexión a las redes 11.4.6 Política de control de acceso 11.1.1 Monitoreo de uso del sistema 10.10.2 Sistemas de información del negocio 10.8.5 Controles existentes Control de la vulnerabilidades técnicas 12.6.1 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Políticas y procedimientos para el intercambio de información 10.8.1 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 291 Abuso de derechos Amenaza Ausencia de procedimientos de identificación y valoración de riesgos Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Vulnerabilidad Moderado Moderado Bajo Nivel del Riesgo Recursos Compartidos Responsabilidades y procedimientos 13.2.1 Antivirus Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Sistemas de información del negocio 10.8.5 Acuerdos para el intercambio 10.8.3 Procedimientos para el manejo de la información 10.7.3 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Sistema de gestión de contraseñas 11.5.3 Uso de contraseñas 11.3.1 Revisión de los derechos de acceso de los usuarios 11.2.4 Gestión de contraseñas para usuarios 11.2.3 Controles existentes Recursos Compartidos Switching y Routing DNS, DHCP, NTP Servicios Aprendizaje debido a los incidentes de la seguridad de la información 13.2.2 Control de la vulnerabilidades técnicas 12.6.1 Fuga de información 12.5.4 Integridad del mensaje 12.2.3 Registro de auditorías 10.10.1 Políticas y procedimientos para el intercambio de información 10.8.1 Educación, formación y concienciación sobre la seguridad de la información 8.2.2 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 292 Falsificación de derechos Amenaza Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Vulnerabilidad Bajo Bajo Moderado Nivel del Riesgo Sistema de gestión de contraseñas 11.5.3 Reporte sobre los eventos de seguridad de la información 13.1.1 Reporte sobre las debilidades en la seguridad 13.1.2 Virtualización RISC e Intel DNS, DHCP, NTP Switching y Routing Recursos Compartidos Uso de contraseñas 11.3.1 SICOEIR Política de control de acceso 11.1.1 Procedimientos para el manejo de la información 10.7.3 Responsabilidades y procedimientos 13.2.1 Revisión de los derechos de acceso de los usuarios 11.2.4 Gestión de contraseñas para usuarios 11.2.3 Seguridad de la documentación del sistema 10.7.4 Procedimientos para el manejo de la información 10.7.3 Controles existentes Oracle Antivirus Recursos Compartidos Servicios Control de la vulnerabilidades técnicas 12.6.1 Registro de fallas 10.10.5 Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 293 Incumplimiento en la disponibilidad del personal Falsificación de derechos Amenaza Ausencia en el Personal Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) Vulnerabilidad Moderado Moderado Nivel del Riesgo Telefonía IP Switching y Routing DNS, DHCP, NTP Antivirus SICOEIR Recursos Compartidos Switching y Routing DNS, DHCP, NTP Servicios Responsabilidades y procedimientos 13.2.1 Control del software operativo 12.4.1 Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 Restricción del acceso a la información 11.6.1 Sistema de gestión de contraseñas 11.5.3 Control de conexión a las redes 11.4.6 Controles existentes Control de la vulnerabilidades técnicas 12.6.1 Controles faltantes Tabla 3.1. Vulnerabilidades en los servicios y los controles a aplicar 294 295 4.CAPÍTULO 4 DISEÑO DEL SISTEMA PARA LA GESTIÓN DE LOS RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN PARA LA DIRECCIÓN NACIONAL DE DESARROLLO TECNOLÓGICO EN TELECOMUNICACIONES DE LA SUPERTEL 4.1. INTRODUCCIÓN Este capítulo recopilará la información detallada en los capítulos 2 y 3, acerca de las vulnerabilidades presentes en los servicios de la DTT, el nivel de riesgo presente en cada servicio, y los controles que se pueden aplicar para mitigar estos riesgos, con lo cual se realiza el Diseño del Sistema de Gestión de Riesgos en la Seguridad de la Información. Se presentan recomendaciones para la aplicación de los controles faltantes y para los controles que son utilizados en la DTT que pueden ser mejorados, con la finalidad de que la aplicación de los controles sea la adecuada y de acuerdo a la realidad de la DTT. En la Figura 4.1 se muestra el proceso de aplicación de los controles de la Norma 27002 [6] y las recomendaciones planteadas. Figura 4.1. Representación de la aplicación de controles a los servicios de la DTT 296 4.2. CONTROLES EXISTENTES EN LOS SERVICIOS DE LA DTT SEGÚN LA NORMA NTE INEN-ISO/IEC 27002:2009 En la Tabla 4.1. Controles aplicados en la DTT se muestran los controles aplicados en los sistemas y servicios de la DTT, de acuerdo a la Norma 27002 [6]. Tabla 4.1. Controles aplicados en la DTT Control Inventario de activos 7.1.1 Responsable de los activos 7.1.2 Directrices de clasificación 7.2.1 Funciones y responsabilidades 8.1.1 Selección 8.1.2 Términos y condiciones laborales 8.1.3 Responsabilidades de la dirección 8.2.1 Proceso disciplinario 8.2.3 Responsabilidades en la terminación del contrato 8.3.1 Devolución de activos 8.3.2 Descripción “Todos los activos deberían estar claramente identificados y se debería elaborar y mantener un inventario de todos los activos importantes”. “Toda la información y los activos asociado con los servicios de procesamiento de información deberían ser asignada a una parte de la organización que actúa como responsable”. “La información se debería clasificar en términos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la organización”. “Se deberían definir y documentar los funciones y responsabilidades de los empleados, contratistas y usuarios de terceras partes por la seguridad, de acuerdo con la política de la seguridad de la información de la organización”. “Se deberían realizar revisiones para la verificación de antecedentes de los candidatos a ser empleados, contratistas o usuarios de terceras partes, de acuerdo con los reglamentos, la ética y las leyes pertinentes, y deben ser proporcionales a los requisitos del negocio, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos”. “Como parte de su obligación contractual, los empleados, contratistas y usuarios de terceras partes deberían estar de acuerdo y firmar los términos y condiciones de su contrato laboral, el cual debe establecer sus responsabilidades y las de la organización con relación a la seguridad de la información”. “La dirección debería exigir que los empleados, contratistas y usuarios de terceras partes apliquen la seguridad según las políticas y los procedimientos establecidos por la organización”. “Debería existir un proceso disciplinario formal para los empleados que hayan cometido alguna violación de la seguridad”. “Se deberían definir y asignar claramente las responsabilidades para llevar a cabo la terminación o el cambio de la contratación laboral”. “Todos los empleados, contratistas o usuarios de terceras partes deberían devolver todos los activos pertenecientes a la organización que estén en su poder al finalizar su contratación laboral, contrato o acuerdo”. 297 Tabla 4.1. Controles aplicados en la DTT Control Retiro de los derechos de acceso 8.3.3 Perímetro de la seguridad física 9.1.1 Controles de acceso físico 9.1.2 Seguridad de oficinas, recintos e instalaciones 9.1.3 Trabajo en áreas seguras 9.1.5 Áreas de carga, despacho y acceso público 9.1.6 Retiro de los activos de la propiedad 9.2.7 Prestación del servicio 10.2.1 Mensajería electrónica 10.8.4 Transacciones en línea 10.9.2 Información disponible al público 10.9.3 Sincronización de relojes 10.10.6 Registro de usuarios 11.2.1 Gestión de privilegios 11.2.2 Procedimientos de registro de inicio seguro 11.5.1 Identificación y autenticación de usuarios 11.5.2 Descripción “Los derechos de acceso de todos los empleados, contratistas o usuarios de terceras partes a la información y a los servicios de procesamiento de información se deberían retirar al finalizar su contratación laboral, contrato o acuerdo o se deberían ajustar después del cambio”. “Se deberían utilizar perímetros de la seguridad (barreras tales como paredes, puertas de acceso controladas con tarjeta o mostradores de recepción atendidos) para proteger las áreas que contienen información y servicios de procesamiento de información”. “Las áreas seguras deberían estar protegidas con controles de acceso apropiados para asegurar que sólo se permite el acceso a personal autorizado”. “Se debería diseñar y aplicar la seguridad física para oficinas, recintos e instalaciones”. “Se deberían diseñar y aplicar la protección física y las directrices para trabajar en áreas seguras”. “Los puntos de acceso tales como las áreas de carga y despacho y otros puntos por donde pueda ingresar personal no autorizado a las instalaciones se deberían controlar y, si es posible, aislar de los servicios de procesamiento de información para evitar el acceso no autorizado”. “Ningún equipo, información ni software se deberían retirar sin autorización previa”. “Se deberían garantizar que los controles de la seguridad, las definiciones del servicio y los niveles de prestación del servicio incluidos en el acuerdo, sean implementados, mantenidos y operados por el tercero”. “La información contenida en la mensajería electrónica debería tener la protección adecuada”. “La información involucrada en las transacciones en línea debería estar protegida para evitar transmisión incompleta, enrutamiento inadecuado, alteración, divulgación, duplicación o repetición no autorizada del mensaje”. “La integridad de la información que se pone a disposición en un sistema de acceso público debería estar protegida para evitar la modificación no autorizada”. “Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de la organización o del dominio de la seguridad deberían estar sincronizados con una fuente de tiempo exacta y acordada”. “Debería existir un procedimiento formal para el registro y cancelación de usuarios con el fin de conceder y revocar el acceso a todos los sistemas y servicios de información”. “Se debería restringir y controlar la asignación y el uso de privilegios”. “El acceso a los sistemas operativos se debería controlar mediante un procedimiento de registro de inicio seguro”. “Todos los usuarios deberían tener un identificador único (ID del usuario) para su uso personal, y se debería elegir una técnica apropiada de autenticación para comprobar la identidad declarada de un usuario”. 298 Tabla 4.1. Controles aplicados en la DTT Control Uso de las utilidades del sistema 11.5.4 Tiempo de inactividad de la sesión 11.5.5 Limitación del tiempo de conexión 11.5.6 Trabajo remoto 11.7.2 Validación de los datos de entrada 12.2.1 Restricciones en los cambios a los paquetes de software 12.5.3 Desarrollo de software contratado externamente 12.5.5 Descripción “Se debería restringir y controlar estrictamente el uso de programas utilitarios que pueden anular los controles del sistema y de la aplicación”. “Las sesiones inactivas se deberían suspender después de un periodo definido de inactividad”. “Se deberían utilizar restricciones en los tiempos de conexión para brindar seguridad adicional para las aplicaciones de alto riesgo”. “Se deberían desarrollar e implementar políticas, planes operativos y procedimientos para las actividades de trabajo remoto”. “Se deberían validar los datos de entrada a las aplicaciones para asegurar que dichos datos son correctos y apropiados”. “Se debería desalentar la realización de modificaciones a los paquetes de software, limitarlas a los cambios necesarios, y todos los cambios se deberían controlar estrictamente”. “La organización debería supervisar y monitorear el desarrollo de software contratado externamente”. 4.3. RECOMENDACIONES PARA LOS CONTROLES A APLICAR EN LA DTT SEGÚN LA NORMA NTE INEN-ISO/IEC 27002:2009 En capítulos anteriores se realizaron varias etapas de la Gestión de Riesgos en la Seguridad de la Información, que van de acuerdo a la Norma NTE INENISO/IEC 27005:2012 [2], como son: Establecimiento del contexto y Valoración del riesgo de la seguridad de la información. Para la etapa de Tratamiento del riesgo de la seguridad de la información, se han establecido los controles necesarios para mitigar los riesgos de acuerdo a las vulnerabilidades, por lo que a continuación se presentan la Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT y Tabla 4.3. Recomendaciones para los controles faltantes que detallan recomendaciones adicionales para el mejoramiento de los controles existentes e implementación de controles faltantes de acuerdo a la Norma NTE INEN-ISO/IEC 27002:2009 [6], con lo cual se procederá a determinar la aceptación de cada riesgo de acuerdo a los criterios de aceptación de riesgos establecidos en la sección 2.4.1.1.1 (Criterios de aceptación del riesgo). Moderado Switching y Routing Bajo No realizar la renovación oportuna de equipos TODOS LOS SERVICIOS Bajo Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo Telefonía IP TODOS LOS SERVICIOS Alto No se realiza un mantenimiento periódico del Sistema Contra incendios Servicios Nivel del Riesgo Vulnerabilidad Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Medios físicos en tránsito 10.8.3 “Los medios que contienen información se deberían proteger contra el acceso no autorizado, el uso inadecuado o la corrupción durante el transporte más allá de los límites físicos de la organización”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Servicios de suministro 9.2.2 "Los equipos deberían estar protegidos contra fallas en el suministro de energía y otras anomalías causadas por fallas en los servicios de suministro”. Controles existentes Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Definir un procedimiento para el transporte adecuado de medios físicos fuera de la institución. El embalaje de equipos debe ser suficiente para proteger su contenido. Registrar la fecha y hora de entrada y salida de visitantes al Centro de Cómputo, las cuales deben ser supervisadas. Exigir a empleados, contratistas y usuarios de terceras partes la utilización de alguna forma de identificación visible. Los derechos de acceso al Centro de Cómputo se deberían revisar y actualizar con regularidad. Realizar inspecciones regulares al Centro de Cómputo para verificar sus condiciones ambientales. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías. Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías. Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas. Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 299 Alto Alto Falta de capacitación del personal sobre cómo reaccionar ante un evento sísmico Nivel del Riesgo Falta de capacitación del personal sobre cómo reaccionar ante una erupción volcánica No realizar la renovación oportuna de equipos Vulnerabilidad TODOS LOS SERVICIOS TODOS LOS SERVICIOS Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Protección contra amenazas externas y ambientales 9.1.4 “Se deberían diseñar y aplicar protecciones físicas contra daño por incendio, inundación, terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Hacer una planificación para mantenimiento del sistema contra incendios, y de la misma manera hacer un plan de capacitación del personal instruyendo al mismo sobre cómo actuar ante desastres naturales. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Hacer una planificación para mantenimiento del sistema contra incendios, y de la misma manera hacer un plan de capacitación del personal instruyendo al mismo sobre cómo actuar ante desastres naturales. Protección contra amenazas externas y ambientales 9.1.4 “Se deberían diseñar y aplicar protecciones físicas contra daño por incendio, inundación, terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías. Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías. Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas. Recomendaciones Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 300 Nivel del Riesgo Moderado Moderado Moderado Vulnerabilidad No asegurar correctamente la ubicación de los equipos Filtración de agua en la estructura del edificio Desestabilización de la red de energía eléctrica en el sector del edificio matriz TODOS LOS SERVICIOS TODOS LOS SERVICIOS Servidores RISC e Intel Servicios Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Hacer una planificación para mantenimiento del sistema contra incendios, y de la misma manera hacer un plan de capacitación del personal instruyendo al mismo sobre cómo actuar ante desastres naturales. Protección contra amenazas externas y ambientales 9.1.4 “Se deberían diseñar y aplicar protecciones físicas contra daño por incendio, inundación, terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial”. Hacer una planificación para mantenimiento del sistema contra incendios, y de la misma manera hacer un plan de capacitación del personal instruyendo al mismo sobre cómo actuar ante desastres naturales. Protección contra amenazas externas y ambientales 9.1.4 “Se deberían diseñar y aplicar protecciones físicas contra daño por incendio, inundación, terremoto, explosión, manifestaciones sociales y otras formas de desastre natural o artificial”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Inspeccionar regularmente la ubicación de los equipos, y dar recomendación para una mejor ubicación en caso de requerirse. Recomendaciones Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Ubicación y protección de los equipos 9.2.1 “Los equipos deberían estar ubicados o protegidos para reducir el riesgo debido a amenazas o peligros del entorno, y las oportunidades de acceso no autorizado”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 301 Moderado Bajo No tener correctas instalaciones eléctricas Nivel del Riesgo Mal mantenimiento de los sistemas de Aire Acondicionado Desestabilización de la red de energía eléctrica en el sector del edificio matriz Vulnerabilidad TODOS LOS SERVICIOS TODOS LOS SERVICIOS Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Seguridad del cableado 9.2.3 “El cableado de energía eléctrica y de telecomunicaciones que transporta datos o presta soporte a los servicios de información deberían estar protegidos contra interceptaciones o daños”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Servicios de suministro 9.2.2 "Los equipos deberían estar protegidos contra fallas en el suministro de energía y otras anomalías causadas por fallas en los servicios de suministro”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Registrar la fecha y hora de entrada y salida de visitantes al Centro de Cómputo, las cuales deben ser supervisadas Exigir a empleados, contratistas y usuarios de terceras partes la utilización de alguna forma de identificación visible Los derechos de acceso al Centro de Cómputo se deberían revisar y actualizar con regularidad Realizar inspecciones regulares al Centro de Cómputo para verificar sus condiciones ambientales Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Realizar un levantamiento del funcionamiento actual del sistema de cableado de telecomunicaciones Verificar el rotulado adecuado tanto de equipos como de cables para minimizar errores en el manejo Emplear un plano del cableado tanto eléctrico como de telecomunicaciones para reducir la posibilidad de errores Hacer reconocimientos técnicos e inspecciones físicas en busca de dispositivos no autorizados conectados al cableado Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 302 Bajo Moderado Telefonía IP DNS, DHCP, NTP Switching y Routing Conexión deficiente de los cables TODOS LOS SERVICIOS Moderado No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. Servicios Nivel del Riesgo Vulnerabilidad Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Seguridad del cableado 9.2.3 “El cableado de energía eléctrica y de telecomunicaciones que transporta datos o presta soporte a los servicios de información deberían estar protegidos contra interceptaciones o daños”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Servicios de suministro 9.2.2 "Los equipos deberían estar protegidos contra fallas en el suministro de energía y otras anomalías causadas por fallas en los servicios de suministro”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Registrar la fecha y hora de entrada y salida de visitantes al Centro de Cómputo, las cuales deben ser supervisadas Exigir a empleados, contratistas y usuarios de terceras partes la utilización de alguna forma de identificación visible Los derechos de acceso al Centro de Cómputo se deberían revisar y actualizar con regularidad Realizar inspecciones regulares al Centro de Cómputo para verificar sus condiciones ambientales Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Realizar un levantamiento del funcionamiento actual del sistema de cableado de telecomunicaciones Verificar el rotulado adecuado tanto de equipos como de cables para minimizar errores en el manejo Emplear un plano del cableado tanto eléctrico como de telecomunicaciones para reducir la posibilidad de errores Hacer reconocimientos técnicos e inspecciones físicas en busca de dispositivos no autorizados conectados al cableado Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 303 Nivel del Riesgo Moderado Bajo Vulnerabilidad No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones DNS, DHCP, NTP Virtualización RISC e Intel SICOEIR Recursos Compartidos Oracle Recursos Compartidos Switching y Routing Oracle Servicios Garantizar que los proveedores de servicio de red cumplen con los niveles de servicio y requisitos de gestión Ej.: Verificando que se cumplan los contratos establecidos Seguridad de los servicios de red 10.6.2 “En cualquier acuerdo sobre los servicios de la red se deberían identificar e incluir las características de la seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de la red, sin importar si los servicios se prestan en la organización o se contratan externamente”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Protección del registro de la información 10.10.3 “El registro del servicio y la información se deberían proteger contra el acceso o la manipulación no autorizados”. Establecer procedimientos formales para documentar y gestionar los cambios en los sistemas y servicios Gestión del cambio 10.1.2 “Se deberían controlar los cambios en los servicios y los sistemas de procesamiento de información”. Se debe hacer un levantamiento del funcionamiento actual de servicios más antiguos Ej.: Infracciones y Sanciones Establecer procedimientos detallando actividades que pueden realizarse para proteger la información contra acceso o manipulación no autorizada Ej.: definir usuarios para cada funcionario autorizado en los equipos principales del Centro de Cómputo, confirmando la validación de la información Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Monitorear y documentar el cumplimiento de las características de seguridad dadas por el proveedor de servicio de red siendo aplicable el derecho de auditorías Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 304 Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Vulnerabilidad Moderado Moderado Bajo Nivel del Riesgo TODOS LOS SERVICIOS Antivirus Telefonía IP Switching y Routing Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Servicios de suministro 9.2.2 "Los equipos deberían estar protegidos contra fallas en el suministro de energía y otras anomalías causadas por fallas en los servicios de suministro”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Registrar la fecha y hora de entrada y salida de visitantes al Centro de Cómputo, las cuales deben ser supervisadas Exigir a empleados, contratistas y usuarios de terceras partes la utilización de alguna forma de identificación visible Los derechos de acceso al Centro de Cómputo se deberían revisar y actualizar con regularidad Realizar inspecciones regulares al Centro de Cómputo para verificar sus condiciones ambientales Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Monitorear que las conexiones a las aplicaciones se realiza desde equipos de la institución o equipos autorizados Control del enrutamiento en la red 11.4.7 “Se deberían implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso de las aplicaciones del negocio”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 305 Falta de certificado de seguridad para las Páginas Web Vulnerabilidad Bajo Nivel del Riesgo SICOEIR Servicios Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Seguridad de los servicios de red 10.6.2 “En cualquier acuerdo sobre los servicios de la red se deberían identificar e incluir las características de la seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de la red, sin importar si los servicios se prestan en la organización o se contratan externamente”. Control del enrutamiento en la red 11.4.7 “Se deberían implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso de las aplicaciones del negocio”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Controles contra códigos maliciosos 10.4.1 “Se deberían implementar controles de detección, prevención y recuperación para proteger contra códigos maliciosos, así como procedimientos apropiados de concienciación de los usuarios”. Controles existentes Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Monitorear que las conexiones a las aplicaciones se realiza desde equipos de la institución o equipos autorizados Monitorear y documentar el cumplimiento de las características de seguridad dadas por el proveedor de servicio de red siendo aplicable el derecho de auditorías Justificar la instalación de software de fuentes no verificadas Llevar registros detallados del software adquirido institucionalmente y de las actualizaciones necesarias Preparar planes adecuados para asegurar la continuidad de los sistemas con el fin de recuperarse de ataques de códigos maliciosos Ej.: Reportes periódicos sobre el funcionamiento del software instalado en los equipos de usuario final Comprobar con regularidad que la suscripción a sitios web de verificación y/o listados de correo suministren información sobre los códigos maliciosos nuevos Garantizar que los proveedores de servicio de red cumplen con los niveles de servicio y requisitos de gestión Ej.: Verificando que se cumplan los contratos establecidos Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 306 Administración incorrecta de los parámetros de funcionamiento de los firewalls Falta de certificado de seguridad para las Páginas Web Vulnerabilidad Bajo Moderado Nivel del Riesgo DNS, DHCP, NTP Recursos Compartidos Oracle Virtualización RISC e Intel SICOEIR Servicios Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Protección del registro de la información 10.10.3 “El registro del servicio y la información se deberían proteger contra el acceso o la manipulación no autorizados”. Gestión del cambio 10.1.2 “Se deberían controlar los cambios en los servicios y los sistemas de procesamiento de información”. Seguridad de los servicios de red 10.6.2 “En cualquier acuerdo sobre los servicios de la red se deberían identificar e incluir las características de la seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de la red, sin importar si los servicios se prestan en la organización o se contratan externamente”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Se debe hace un levantamiento del funcionamiento actual de servicios más antiguos Ej.: Infracciones y Sanciones Establecer procedimientos detallando actividades que pueden realizarse para proteger la información contra acceso o manipulación no autorizada Ej.: definir usuarios para cada funcionario autorizado en los equipos principales del Centro de Cómputo, confirmando la validación de la información Monitorear y documentar el cumplimiento de las características de seguridad dadas por el proveedor de servicio de red siendo aplicable el derecho de auditorías Garantizar que los proveedores de servicio de red cumplen con los niveles de servicio y requisitos de gestión Ej.: Verificando que se cumplan los contratos establecidos Establecer procedimientos formales para documentar y gestionar los cambios en los sistemas y servicios Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 307 No monitorear adecuadamente los accesos al servidor SFTP de forma externa Administración incorrecta de los parámetros de funcionamiento de los firewalls Vulnerabilidad Bajo Nivel del Riesgo SICOEIR Servicios Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Política de control de acceso 11.1.1 “Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso”. Control de conexión a las redes 11.4.6 “Para redes compartidas, especialmente aquellas que se extienden más allá de las fronteras de la organización, se debería restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control de acceso y los requisitos de aplicación del negocio”. Controles contra códigos maliciosos 10.4.1 “Se deberían implementar controles de detección, prevención y recuperación para proteger contra códigos maliciosos, así como procedimientos apropiados de concienciación de los usuarios”. Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Realizar periódicamente revisiones a los controles en la conexión a las redes por parte del personal cargo de esta función Ej.: Revisar las reglas predefinidas en los firewalls Aplicar las políticas de seguridad de TI para el control de acceso Ej.: Elaborar un registro de usuarios Justificar la instalación de software de fuentes no verificadas Llevar registros detallados del software adquirido institucionalmente y de las actualizaciones necesarias Preparar planes adecuados para asegurar la continuidad de los sistemas con el fin de recuperarse de ataques de códigos maliciosos Ej.: Reportes periódicos sobre el funcionamiento del software instalado en los equipos de usuario final Comprobar con regularidad que la suscripción a sitios web de verificación y/o listados de correo suministren información sobre los códigos maliciosos nuevos Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas. Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 308 Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No monitorear adecuadamente los accesos al servidor SFTP de forma externa Vulnerabilidad Moderado Nivel del Riesgo SICOEIR Antivirus Recursos Compartidos Servicios Procedimientos para el manejo de la información 10.7.3 “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Restricción del acceso a la información 11.6.1 “Se debería restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Establecer procedimientos para manejar, procesar y almacenar correctamente la información, incluyendo: - Manejo y etiquetado de los medios de almacenamiento de acuerdo a su clasificación - Restricciones de acceso - Registro formal de los receptores autorizados de información - Protección de los datos de la memoria temporal de equipos de procesamiento y almacenamiento de información que esperan su ejecución Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Documentar los derechos de acceso otorgados a los diferentes tipos de usuarios especificando la información a la que tendrá acceso Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 309 Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Vulnerabilidad Bajo Nivel del Riesgo Switching y Routing DNS, DHCP, NTP Oracle Virtualización RISC e Intel Servicios Responsabilidades y procedimientos 13.2.1 Sistema de gestión de contraseñas 11.5.3 “Los sistemas para la gestión de contraseñas deberían ser interactivos y deberían asegurar la calidad de las contraseñas”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Uso de contraseñas 11.3.1 “Se debería exigir a los usuarios el cumplimiento de buenas prácticas de la seguridad en la selección y el uso de las contraseñas”. Realizar un procedimiento formal de renovación de contraseñas para evitar que usuarios no autorizados accedan a la información al conocer alguna contraseña de acceso. Seguridad de la documentación del sistema 10.7.4 “La documentación del sistema debería estar protegida contra el acceso no autorizado”. Gestión de contraseñas para usuarios 11.2.3 “La asignación de contraseñas se debería controlar a través de un proceso formal de gestión”. Revisión de los derechos de acceso de los usuarios 11.2.4 “La dirección debería establecer un procedimiento formal de revisión periódica de los derechos de acceso de los usuarios”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Planificar mantenimiento periódico del software Active Directory para verificar la eliminación de registro de usuarios no existentes Exigir a los usuarios que eviten mantener registros de las contraseñas Seleccionar contraseñas con longitud mínima suficiente Ej.: Longitud mínima de ocho caracteres, entre mayúsculas símbolos y números No compartir las contraseñas de usuario individuales Los cambios en las cuentas privilegiadas se debería registrar para su revisión periódica Los derechos de acceso de los usuarios se debería revisar a intervalos regulares Capacitar a los funcionarios sobre la correcta gestión de contraseñas, tanto para equipos como para el acceso a un software Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 310 No se tiene una planificación de monitoreos periódicos a los enlaces WAN Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) Vulnerabilidad Bajo Moderado Nivel del Riesgo Recursos Compartidos Switching y Routing DNS, DHCP, NTP Antivirus SICOEIR Oracle Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Seguridad de los servicios de red 10.6.2 “En cualquier acuerdo sobre los servicios de la red se deberían identificar e incluir las características de la seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de la red, sin importar si los servicios se prestan en la organización o se contratan externamente”. Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Monitorear y documentar el cumplimiento de las características de seguridad dadas por el proveedor de servicio de red siendo aplicable el derecho de auditorías Garantizar que los proveedores de servicio de red cumplen con los niveles de servicio y requisitos de gestión Ej.: Verificando que se cumplan los contratos establecidos Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 311 Moderado Alto No encriptar la información Asignación errada de derechos de acceso al servidor SFTP Nivel del Riesgo Vulnerabilidad SICOEIR SICOEIR Servicios Política de control de acceso 11.1.1 “Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso”. Control de conexión a las redes 11.4.6 “Para redes compartidas, especialmente aquellas que se extienden más allá de las fronteras de la organización, se debería restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control de acceso y los requisitos de aplicación del negocio”. Procedimientos para el manejo de la información 10.7.3 “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes Realizar periódicamente revisiones a los controles en la conexión a las redes por parte del personal cargo de esta función Ej.: Revisar las reglas predefinidas en los firewalls Aplicar las políticas de seguridad de TI para el control de acceso Ej.: Elaborar un registro de usuarios Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Establecer procedimientos para manejar, procesar y almacenar correctamente la información, incluyendo: - Manejo y etiquetado de los medios de almacenamiento de acuerdo a su clasificación - Restricciones de acceso - Registro formal de los receptores autorizados de información - Protección de los datos de la memoria temporal de equipos de procesamiento y almacenamiento de información que esperan su ejecución Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 312 Mal manejo de la compartición de la información Asignación errada de derechos de acceso al servidor SFTP Vulnerabilidad Bajo Moderado Nivel del Riesgo Definir un procedimiento de etiquetado de la información incluyendo procedimientos para cadena de custodia y registro de eventos importantes de la seguridad Ej.: Etiquetar información contenida en discos duros externos, cintas, etc. Establecer procedimientos para manejar, procesar y almacenar correctamente la información, incluyendo: - Manejo y etiquetado de los medios de almacenamiento de acuerdo a su clasificación - Restricciones de acceso - Registro formal de los receptores autorizados de información - Protección de los datos de la memoria temporal de equipos de procesamiento y almacenamiento de información que esperan su ejecución Etiquetado y manejo de la información 7.2.2 “Se debería desarrollar e implementar un conjunto de procedimientos adecuados para el etiquetado y el manejo de la información de acuerdo al esquema de clasificación adoptado por la organización”. Procedimientos para el manejo de la información 10.7.3 “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Recursos Compartidos Virtualización RISC e Intel Creación de un registro de las actividades implicadas en el procesamiento de información interno Ej.: Escaneo de documentos para ingresarlos al Sistema de Control Documental Documentar los derechos de acceso otorgados a los diferentes tipos de usuarios especificando la información a la que tendrá acceso Recomendaciones Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Restricción del acceso a la información 11.6.1 “Se debería restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso”. Control de procesamiento interno 12.2.2 “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Servicios Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 313 Mal manejo de la compartición de la información Vulnerabilidad Nivel del Riesgo Servicios Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Control de procesamiento interno 12.2.2 “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. Análisis y especificación de los requisitos de la seguridad 12.1.1 “Las declaraciones sobre los requisitos del negocio para nuevos sistemas de información o mejoras a los sistemas existentes deberían especificar los requisitos para los controles de la seguridad”. Protección del registro de la información 10.10.3 “El registro del servicio y la información se deberían proteger contra el acceso o la manipulación no autorizados”. Sistemas de información del negocio 10.8.5 “Se deberían establecer, desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio”. Controles existentes Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Creación de un registro de las actividades implicadas en el procesamiento de información interno Ej.: Escaneo de documentos para ingresarlos al Sistema de Control Documental Establecer una política para gestionar la forma en que se comparte la información Ej.: Definir carpetas compartidas verificando usuarios que tengan acceso a las mismas Establecer restricciones de acceso a los servicios de acuerdo a diferentes categorías de personal previamente definidas Ej.: Verificar los funcionarios que tienen acceso a cada servicio Se debe hace un levantamiento del funcionamiento actual de servicios más antiguos Ej.: Infracciones y Sanciones Establecer procedimientos detallando actividades que pueden realizarse para proteger la información contra acceso o manipulación no autorizada Ej.: definir usuarios para cada funcionario autorizado en los equipos principales del Centro de Cómputo, confirmando la validación de la información Implementar procesos de análisis y especificación de requisitos de seguridad durante el desarrollo de proyectos, que permitan identificar controles necesarios para un correcto manejo de la seguridad de la información Ej.: Especificar los requisitos de seguridad, como puede ser definir nombres de usuarios y contraseñas para utilizar el sistema Para los proyectos de adquisición de software, se debe hacer el análisis previo de los requisitos de seguridad, antes del proceso formal de compra Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 314 Administración inadecuada de los equipos del área de trabajo disponibles para su uso Mal manejo de la compartición de la información Vulnerabilidad Moderado Alto Nivel del Riesgo DNS, DHCP, NTP Telefonía IP Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Medios físicos en tránsito 10.8.3 “Los medios que contienen información se deberían proteger contra el acceso no autorizado, el uso inadecuado o la corrupción durante el transporte más allá de los límites físicos de la organización”. Identificación de los equipos en las redes 11.4.3 “La identificación automática de los equipos se debería considerar un medio para autenticar conexiones de equipos y ubicaciones específicas”. Computación y comunicaciones móviles 11.7.1 “Se debería establecer una política formal y se deberían adoptar las medidas de la seguridad apropiadas para la protección contra los riesgos debidos al uso de dispositivos de computación y comunicaciones móviles”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Establecer un procedimiento para respaldar información contenida en laptops institucionales Establecer una política para el manejo de dispositivos de computación y comunicaciones móviles. Elaborar y mantener adecuadamente un registro de los nombres asignados a los equipos en la institución Definir un procedimiento para el transporte adecuado de medios físicos fuera de la institución El embalaje de equipos debe ser suficiente para proteger su contenido Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 315 Falta de control de acceso a las carpetas compartidas Vulnerabilidad Bajo Nivel del Riesgo Virtualización RISC e Intel Recursos Compartidos Servicios Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Política de control de acceso 11.1.1 “Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso”. Control de conexión a las redes 11.4.6 “Para redes compartidas, especialmente aquellas que se extienden más allá de las fronteras de la organización, se debería restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control de acceso y los requisitos de aplicación del negocio”. Sistemas de información del negocio 10.8.5 “Se deberían establecer, desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio”. Procedimientos para el manejo de la información 10.7.3 “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Controles existentes Realizar periódicamente revisiones a los controles en la conexión a las redes por parte del personal cargo de esta función Ej.: Revisar las reglas predefinidas en los firewalls Aplicar las políticas de seguridad de TI para el control de acceso Ej.: Elaborar un registro de usuarios Establecer procedimientos para manejar, procesar y almacenar correctamente la información, incluyendo: - Manejo y etiquetado de los medios de almacenamiento de acuerdo a su clasificación - Restricciones de acceso - Registro formal de los receptores autorizados de información - Protección de los datos de la memoria temporal de equipos de procesamiento y almacenamiento de información que esperan su ejecución Establecer una política para gestionar la forma en que se comparte la información Ej.: Definir carpetas compartidas verificando usuarios que tengan acceso a las mismas Establecer restricciones de acceso a los servicios de acuerdo a diferentes categorías de personal previamente definidas Ej.: Verificar los funcionarios que tienen acceso a cada servicio Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 316 No deshabilitar puertos no utilizados en equipos de conectividad Falta de control de acceso a las carpetas compartidas Vulnerabilidad Bajo Moderado Nivel del Riesgo DNS, DHCP, NTP Telefonía IP Switching y Routing Servicios Reporte sobre las debilidades en la seguridad 13.1.2 Protección de los puertos de configuración y diagnóstico remoto 11.4.4 “El acceso lógico y físico a los puertos de configuración y de diagnóstico debería estar controlado”. Control del enrutamiento en la red 11.4.7 “Se deberían implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso de las aplicaciones del negocio”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Restricción del acceso a la información 11.6.1 “Se debería restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Monitorear que las conexiones a las aplicaciones se realiza desde equipos de la institución o equipos autorizados Establecer un procedimiento para uso de puertos de configuración y diagnóstico remoto Ej.: Verificar que no se tengan conectados cables a estos puertos Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Documentar los derechos de acceso otorgados a los diferentes tipos de usuarios especificando la información a la que tendrá acceso Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 317 Mala administración de los registros de direcciones MAC de los equipos para acceso a la red inalámbrica y telefonía IP No deshabilitar puertos no utilizados en equipos de conectividad Vulnerabilidad Bajo Moderado Nivel del Riesgo DNS, DHCP, NTP Telefonía IP Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Separación en las redes 11.4.5 “En las redes se deberían separar los grupos de servicios de información, usuarios y sistemas de información”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Revisar periódicamente la planificación de direccionamiento tanto para la LAN como para las redes inalámbricas, para que se adapte a los requerimientos de acuerdo al número de usuarios. Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 318 Moderado Moderado No se hace una verificación periódica de la seguridad de los switches de acceso en cada piso No tener soporte por parte del proveedor del software Nivel del Riesgo Vulnerabilidad Antivirus Virtualización RISC e Intel Switching y Routing Servicios Control del software operativo 12.4.1 “Se deberían establecer procedimientos para controlar la instalación de software en los sistemas operativos”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Los sistemas en funcionamiento deben contener únicamente códigos ejecutables aprobados y no códigos en desarrollo. El software desarrollado solo se debe implementar después de las pruebas respectivas que consideren la capacidad de uso, seguridad efectos en otros sistemas y se debe garantizar que las bibliotecas fuente del programa estén actualizadas Se debe implantar una política de estrategia de restauración al estado anterior antes de implementar cambios Ej.: Guardar versiones de las diferentes etapas del desarrollo del sistema Conservar registros para auditoría de todas las actualizaciones de las bibliotecas de los programas operativos Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 319 Asignación errada de derechos de acceso No tener soporte por parte del proveedor del software Vulnerabilidad Bajo Nivel del Riesgo Antivirus Recursos Compartidos Servicios Distribución de funciones 10.1.3 “Las funciones y las áreas de responsabilidad se deberían distribuir para reducir las oportunidades de modificación no autorizada o no intencional, o el uso inadecuado de los activos de la organización”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.2 (para sistemas antiguos) “Cuando se cambian los sistemas operativos, las aplicaciones críticas para el negocio se deberían revisar y someter a prueba para asegurar que no hay impacto adverso en las operaciones ni en la seguridad de la organización”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Hacer una revisión de los derechos de acceso a los diferentes sistemas para los funcionarios que deban ser administradores de los mismos Establecer un procedimiento que defina qué funcionarios deben tener permisos de administrador de los diferentes sistemas y servicios Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Garantizar la notificación oportuna a los funcionarios respectivos sobre los cambios en el sistema en funcionamiento para permitir la realización de pruebas y revisiones apropiadas antes de la implementación Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 320 Asignación errada de derechos de acceso Vulnerabilidad Nivel del Riesgo Servicios Política de control de acceso 11.1.1 “Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso”. Autenticación de usuarios para conexiones externas 11.4.2 “Se deberían emplear métodos apropiados de autenticación para controlar el acceso de usuarios remotos”. Control de conexión a las redes 11.4.6 “Para redes compartidas, especialmente aquellas que se extienden más allá de las fronteras de la organización, se debería restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control de acceso y los requisitos de aplicación del negocio”. Protección del registro de la información 10.10.3 “El registro del servicio y la información se deberían proteger contra el acceso o la manipulación no autorizados”. Procedimientos para el manejo de la información 10.7.3 “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Controles existentes Realizar periódicamente revisiones a los controles en la conexión a las redes por parte del personal cargo de esta función Ej.: Revisar las reglas predefinidas en los firewalls Verificar y llevar un registro de los usuarios que tienen autorización para conexiones externas a la red de la institución mediante VPN Aplicar las políticas de seguridad de TI para el control de acceso Ej.: Elaborar un registro de usuarios Establecer procedimientos para manejar, procesar y almacenar correctamente la información, incluyendo: - Manejo y etiquetado de los medios de almacenamiento de acuerdo a su clasificación - Restricciones de acceso - Registro formal de los receptores autorizados de información - Protección de los datos de la memoria temporal de equipos de procesamiento y almacenamiento de información que esperan su ejecución Se debe hace un levantamiento del funcionamiento actual de servicios más antiguos Ej.: Infracciones y Sanciones Establecer procedimientos detallando actividades que pueden realizarse para proteger la información contra acceso o manipulación no autorizada Ej.: definir usuarios para cada funcionario autorizado en los equipos principales del Centro de Cómputo, confirmando la validación de la información Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 321 Tener administradores de segundo nivel que puedan hacer cambios no autorizados Asignación errada de derechos de acceso Vulnerabilidad Bajo Moderado Nivel del Riesgo Switching y Routing DNS, DHCP, NTP Antivirus SICOEIR Recursos Compartidos Servicios Protección del registro de la información 10.10.3 Procedimientos para el manejo de la información 10.7.3 “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Distribución de funciones 10.1.3 “Las funciones y las áreas de responsabilidad se deberían distribuir para reducir las oportunidades de modificación no autorizada o no intencional, o el uso inadecuado de los activos de la organización”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Control del enrutamiento en la red 11.4.7 “Se deberían implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso de las aplicaciones del negocio”. Restricción del acceso a la información 11.6.1 “Se debería restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso”. Controles existentes Establecer un procedimiento que defina qué funcionarios deben tener permisos de administrador de los diferentes sistemas y servicios Establecer procedimientos para manejar, procesar y almacenar correctamente la información, incluyendo: - Manejo y etiquetado de los medios de almacenamiento de acuerdo a su clasificación - Restricciones de acceso - Registro formal de los receptores autorizados de información - Protección de los datos de la memoria temporal de equipos de procesamiento y almacenamiento de información que esperan su ejecución Se debe hace un levantamiento del funcionamiento actual de servicios más antiguos Ej.: Infracciones y Sanciones Hacer una revisión de los derechos de acceso a los diferentes sistemas para los funcionarios que deban ser administradores de los mismos Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Documentar los derechos de acceso otorgados a los diferentes tipos de usuarios especificando la información a la que tendrá acceso Monitorear que las conexiones a las aplicaciones se realiza desde equipos de la institución o equipos autorizados Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 322 Tener administradores de segundo nivel que puedan hacer cambios no autorizados Vulnerabilidad Nivel del Riesgo Servicios Responsabilidades y procedimientos 13.2.1 Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Creación de un registro de las actividades implicadas en el procesamiento de información interno Ej.: Escaneo de documentos para ingresarlos al Sistema de Control Documental Documentar los derechos de acceso otorgados a los diferentes tipos de usuarios especificando la información a la que tendrá acceso Monitorear que las conexiones a las aplicaciones se realiza desde equipos de la institución o equipos autorizados Realizar periódicamente revisiones a los controles en la conexión a las redes por parte del personal cargo de esta función Ej.: Revisar las reglas predefinidas en los firewalls Aplicar las políticas de seguridad de TI para el control de acceso Ej.: Elaborar un registro de usuarios Establecer procedimientos detallando actividades que pueden realizarse para proteger la información contra acceso o manipulación no autorizada Ej.: definir usuarios para cada funcionario autorizado en los equipos principales del Centro de Cómputo, confirmando la validación de la información Protección del registro de la información 10.10.3 “El registro del servicio y la información se deberían proteger contra el acceso o la manipulación no autorizados”. Política de control de acceso 11.1.1 “Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso”. Control de conexión a las redes 11.4.6 “Para redes compartidas, especialmente aquellas que se extienden más allá de las fronteras de la organización, se debería restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control de acceso y los requisitos de aplicación del negocio”. Control del enrutamiento en la red 11.4.7 “Se deberían implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso de las aplicaciones del negocio”. Restricción del acceso a la información 11.6.1 “Se debería restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso”. Control de procesamiento interno 12.2.2 “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 323 Administración inadecuada de las cuentas de usuario en Active Directory Tener administradores de segundo nivel que puedan hacer cambios no autorizados Vulnerabilidad Bajo Moderado Nivel del Riesgo Recursos Compartidos Telefonía IP DNS, DHCP, NTP Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Gestión del cambio 10.1.2 “Se deberían controlar los cambios en los servicios y los sistemas de procesamiento de información”. Sistema de gestión de contraseñas 11.5.3 “Los sistemas para la gestión de contraseñas deberían ser interactivos y deberían asegurar la calidad de las contraseñas”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Planificar mantenimiento periódico del software Active Directory para verificar la eliminación de registro de usuarios no existentes Establecer procedimientos formales para documentar y gestionar los cambios en los sistemas y servicios Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 324 Nivel del Riesgo Bajo Moderado Vulnerabilidad No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Antivirus Recursos Compartidos Virtualización RISC e Intel SICOEIR Recursos Compartidos Servicios Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Control de procesamiento interno 12.2.2 “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Creación de un registro de las actividades implicadas en el procesamiento de información interno Ej.: Escaneo de documentos para ingresarlos al Sistema de Control Documental Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 325 No realizar la renovación oportuna del dominio de la página web No realizar un monitoreo periódico de la disponibilidad de los servicios y sistemas de la DTT Vulnerabilidad Alto Bajo Moderado Nivel del Riesgo SICOEIR DNS, DHCP, NTP Virtualización RISC e Intel Controles contra códigos maliciosos 10.4.1 “Se deberían implementar controles de detección, prevención y recuperación para proteger contra códigos maliciosos, así como procedimientos apropiados de concienciación de los usuarios”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Telefonía IP SICOEIR Llevar registros detallados del software adquirido institucionalmente y de las actualizaciones necesarias Preparar planes adecuados para asegurar la continuidad de los sistemas con el fin de recuperarse de ataques de códigos maliciosos Ej.: Reportes periódicos sobre el funcionamiento del software instalado en los equipos de usuario final Comprobar con regularidad que la suscripción a sitios web de verificación y/o listados de correo suministren información sobre los códigos maliciosos nuevos Justificar la instalación de software de fuentes no verificadas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Garantizar la notificación oportuna a los funcionarios respectivos sobre los cambios en el sistema en funcionamiento para permitir la realización de pruebas y revisiones apropiadas antes de la implementación Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.2 “Cuando se cambian los sistemas operativos, las aplicaciones críticas para el negocio se deberían revisar y someter a prueba para asegurar que no hay impacto adverso en las operaciones ni en la seguridad de la organización”. Switching y Routing Oracle Recomendaciones Controles existentes Servicios Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 326 Falta de planificación sobre la capacidad de procesamiento de la información No realizar la renovación oportuna del dominio de la página web Vulnerabilidad Moderado Nivel del Riesgo Virtualización RISC e Intel SICOEIR Servicios Análisis y especificación de los requisitos de la seguridad 12.1.1 (Fase inicial del proyecto) “Las declaraciones sobre los requisitos del negocio para nuevos sistemas de información o mejoras a los sistemas existentes deberían especificar los requisitos para los controles de la seguridad”. Gestión de la capacidad 10.3.1 “Se debería hacer seguimiento y adaptación del uso de los recursos, así como proyecciones de los requisitos de la capacidad futura para asegurar el desempeño requerido del sistema”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Gestionar la capacidad de almacenamiento y procesamiento de la información disponible actualmente Ej.: Elaborar un informe de la capacidad de almacenamiento utilizada Hacer un análisis sobre las necesidades futuras de capacidad de almacenamiento y procesamiento Implementar procesos de análisis y especificación de requisitos de seguridad durante el desarrollo de proyectos, que permitan identificar controles necesarios para un correcto manejo de la seguridad de la información Ej.: Especificar los requisitos de seguridad, como puede ser definir nombres de usuarios y contraseñas para utilizar el sistema Para los proyectos de adquisición de software, se debe hacer el análisis previo de los requisitos de seguridad, antes del proceso formal de compra Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 327 Falta de mantenimiento de las bases de datos Falta de planificación sobre la capacidad de procesamiento de la información Vulnerabilidad SICOEIR Oracle Moderado Recursos Compartidos SICOEIR Oracle Servicios Alto Bajo Nivel del Riesgo Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Control de procesamiento interno 12.2.2 “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Control de procesamiento interno 12.2.2 “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Creación de un registro de las actividades implicadas en el procesamiento de información interno Ej.: Escaneo de documentos para ingresarlos al Sistema de Control Documental Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Creación de un registro de las actividades implicadas en el procesamiento de información interno Ej.: Escaneo de documentos para ingresarlos al Sistema de Control Documental Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 328 Falla de los archivos de respaldo Falta de mantenimiento de las bases de datos Vulnerabilidad Bajo Bajo Nivel del Riesgo Virtualización RISC e Intel Virtualización RISC e Intel Servicios Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Respaldo de la información 10.5.1 “Se deberían hacer copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Hacer registros exactos y completos de las copias de respaldo y generar procedimientos documentados de restauración Ej.: Tener discos externos con las copias de las configuraciones de los equipos principales del Centro de Cómputo Planificar el almacenamiento de los archivos de respaldo en una ubicación diferente al Centro de Cómputo principal, considerando los mismos controles de seguridad que para el Centro de Cómputo principal para la protección física y ambiental Verificar con regularidad los procedimientos de restauración mediante los archivos de respaldo para garantizar su eficacia Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 329 No respaldar la información generada de forma periódica Falla de los archivos de respaldo Vulnerabilidad Bajo Nivel del Riesgo Virtualización RISC e Intel Servicios Hacer registros exactos y completos de las copias de respaldo y generar procedimientos documentados de restauración Ej.: Tener discos externos con las copias de las configuraciones de los equipos principales del Centro de Cómputo Planificar el almacenamiento de los archivos de respaldo en una ubicación diferente al Centro de Cómputo principal, considerando los mismos controles de seguridad que para el Centro de Cómputo principal para la protección física y ambiental Verificar con regularidad los procedimientos de restauración mediante los archivos de respaldo para garantizar su eficacia Respaldo de la información 10.5.1 “Se deberían hacer copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Establecer un procedimiento para respaldar información contenida en laptops institucionales Establecer una política para el manejo de dispositivos de computación y comunicaciones móviles. Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Computación y comunicaciones móviles 11.7.1 “Se debería establecer una política formal y se deberían adoptar las medidas de la seguridad apropiadas para la protección contra los riesgos debidos al uso de dispositivos de computación y comunicaciones móviles”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 330 Nivel del Riesgo Alto Moderado Muy Alto Vulnerabilidad No respaldar la información de configuración de los servidores y equipos de conectividad No respaldar la información de configuración de los servidores y equipos de conectividad Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal Servidores RISC e Intel Recursos Compartidos Oracle Switching y Routing Virtualización RISC e Intel DNS, DHCP, NTP Servicios Respaldo de la información 10.5.1 “Se deberían hacer copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Respaldo de la información 10.5.1 “Se deberían hacer copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Hacer registros exactos y completos de las copias de respaldo y generar procedimientos documentados de restauración Ej.: Tener discos externos con las copias de las configuraciones de los equipos principales del Centro de Cómputo Planificar el almacenamiento de los archivos de respaldo en una ubicación diferente al Centro de Cómputo principal, considerando los mismos controles de seguridad que para el Centro de Cómputo principal para la protección física y ambiental Verificar con regularidad los procedimientos de restauración mediante los archivos de respaldo para garantizar su eficacia Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Hacer registros exactos y completos de las copias de respaldo y generar procedimientos documentados de restauración Ej.: Tener discos externos con las copias de las configuraciones de los equipos principales del Centro de Cómputo Planificar el almacenamiento de los archivos de respaldo en una ubicación diferente al Centro de Cómputo principal, considerando los mismos controles de seguridad que para el Centro de Cómputo principal para la protección física y ambiental Verificar con regularidad los procedimientos de restauración mediante los archivos de respaldo para garantizar su eficacia Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 331 Bajo Muy Alto Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal No tener respaldado el código fuente del desarrollo de software dentro de la DTT Nivel del Riesgo Vulnerabilidad SICOEIR Virtualización RISC e Intel SICOEIR Servicios Protección del registro de la información 10.10.3 Planificar el almacenamiento de los archivos de respaldo en una ubicación diferente al Centro de Cómputo principal, considerando los mismos controles de seguridad que para el Centro de Cómputo principal para la protección física y ambiental Verificar con regularidad los procedimientos de restauración mediante los archivos de respaldo para garantizar su eficacia Se debe hace un levantamiento del funcionamiento actual de servicios más antiguos Ej.: Infracciones y Sanciones Hacer registros exactos y completos de las copias de respaldo y generar procedimientos documentados de restauración Ej.: Tener discos externos con las copias de las configuraciones de los equipos principales del Centro de Cómputo Respaldo de la información 10.5.1 “Se deberían hacer copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada”. Respaldo de la información 10.5.1 “Se deberían hacer copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Creación de un registro de las actividades implicadas en el procesamiento de información interno Ej.: Escaneo de documentos para ingresarlos al Sistema de Control Documental Recomendaciones Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Control de procesamiento interno 12.2.2 “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 332 No tener respaldado el código fuente del desarrollo de software dentro de la DTT Vulnerabilidad Nivel del Riesgo Servicios Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 (Servicios antiguos) “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Procedimientos de control de cambios 12.5.1 “Se debería controlar la implementación de cambios utilizando procedimientos formales de control de cambios”. Control del software operativo 12.4.1 “Se deberían establecer procedimientos para controlar la instalación de software en los sistemas operativos”. Protección del registro de la información 10.10.3 “El registro del servicio y la información se deberían proteger contra el acceso o la manipulación no autorizados”. Controles existentes Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Establecer procedimientos detallando actividades que pueden realizarse para proteger la información contra acceso o manipulación no autorizada Ej.: definir usuarios para cada funcionario autorizado en los equipos principales del Centro de Cómputo, confirmando la validación de la información Los sistemas en funcionamiento deben contener únicamente códigos ejecutables aprobados y no códigos en desarrollo. El software desarrollado solo se debe implementar después de las pruebas respectivas que consideren la capacidad de uso, seguridad efectos en otros sistemas y se debe garantizar que las bibliotecas fuente del programa estén actualizadas Se debe implantar una política de estrategia de restauración al estado anterior antes de implementar cambios Ej.: Guardar versiones de las diferentes etapas del desarrollo del sistema Conservar registros para auditoría de todas las actualizaciones de las bibliotecas de los programas operativos Identificación de todo el software, la información, las bases de datos y hardware que requieran mejora Garantizar que la documentación del sistema está actualizada al finalizar cada cambio y que la documentación antigua se archiva o elimina Ej.: Llevar un registro detallado de las actualizaciones Mantener un registro para auditoría de todos los cambios solicitados Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 333 No se dimensione correctamente el espacio necesario para respaldar la información No tener respaldado el código fuente del desarrollo de software dentro de la DTT Vulnerabilidad Moderado Nivel del Riesgo Virtualización RISC e Intel Servicios Análisis y especificación de los requisitos de seguridad 12.1.1 “Las declaraciones sobre los requisitos del negocio para nuevos sistemas de información o mejoras a los sistemas existentes deberían especificar los requisitos para los controles de la seguridad”. Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Respaldo de la información 10.5.1 “Se deberían hacer copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Respaldo de la información 10.5.1 “Se deberían hacer copias de respaldo de la información y del software, y se deben poner a prueba con regularidad de acuerdo con la política de respaldo acordada”. Controles existentes Planificar el almacenamiento de los archivos de respaldo en una ubicación diferente al Centro de Cómputo principal, considerando los mismos controles de seguridad que para el Centro de Cómputo principal para la protección física y ambiental Verificar con regularidad los procedimientos de restauración mediante los archivos de respaldo para garantizar su eficacia Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Implementar procesos de análisis y especificación de requisitos de seguridad durante el desarrollo de proyectos, que permitan identificar controles necesarios para un correcto manejo de la seguridad de la información Ej.: Especificar los requisitos de seguridad, como puede ser definir nombres de usuarios y contraseñas para utilizar el sistema Para los proyectos de adquisición de software, se debe hacer el análisis previo de los requisitos de seguridad, antes del proceso formal de compra Hacer registros exactos y completos de las copias de respaldo y generar procedimientos documentados de restauración Ej.: Tener discos externos con las copias de las configuraciones de los equipos principales del Centro de Cómputo Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 334 No se realiza un monitoreo periódico de los enlaces de la red institucional (LAN) Bajo No se dimensione correctamente el espacio necesario para respaldar la información Bajo Moderado Nivel del Riesgo Vulnerabilidad DNS, DHCP, NTP Telefonía IP Switching y Routing DNS, DHCP, NTP Antivirus Oracle Servicios Reporte sobre las debilidades en la seguridad 13.1.2 Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Seguridad de los servicios de red 10.6.2 “En cualquier acuerdo sobre los servicios de la red se deberían identificar e incluir las características de la seguridad, los niveles de servicio y los requisitos de gestión de todos los servicios de la red, sin importar si los servicios se prestan en la organización o se contratan externamente”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Monitorear y documentar el cumplimiento de las características de seguridad dadas por el proveedor de servicio de red siendo aplicable el derecho de auditorías Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Garantizar que los proveedores de servicio de red cumplen con los niveles de servicio y requisitos de gestión Ej.: Verificando que se cumplan los contratos establecidos Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Creación de un registro de las actividades implicadas en el procesamiento de información interno Ej.: Escaneo de documentos para ingresarlos al Sistema de Control Documental Control de procesamiento interno 12.2.2 “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 335 No realizar mantenimiento preventivo de los equipos del área de trabajo No se realiza un monitoreo periódico de los enlaces de la red institucional (LAN) Vulnerabilidad Moderado Nivel del Riesgo Telefonía IP Antivirus Servicios Reporte sobre las debilidades en la seguridad 13.1.2 Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Mantenimiento de los equipos 9.2.4 “Los equipos deberían recibir mantenimiento adecuado para asegurar su continua disponibilidad e integridad”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Conservar registro de todas las fallas reales o sospechadas y de todo el mantenimiento preventivo y correctivo Ej.: Designar un funcionario que registre las actividades de mantenimiento realizadas en los diferentes equipos. Verificar que el mantenimiento del sistema de acceso biométrico se realice periódicamente Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 336 No realizar mantenimiento técnico de equipos en el Centro de Cómputo No realizar mantenimiento preventivo de los equipos del área de trabajo Vulnerabilidad Bajo Bajo Nivel del Riesgo Switching y Routing Servidores RISC e Intel Oracle Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Mantenimiento de los equipos 9.2.4 “Los equipos deberían recibir mantenimiento adecuado para asegurar su continua disponibilidad e integridad”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Conservar registro de todas las fallas reales o sospechadas y de todo el mantenimiento preventivo y correctivo Ej.: Designar un funcionario que registre las actividades de mantenimiento realizadas en los diferentes equipos. Verificar que el mantenimiento del sistema de acceso biométrico se realice periódicamente Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 337 No se ha planificado una renovación oportuna de licencias (Antivirus, Windows, etc.) Falta de planificación de la capacidad de almacenamiento en los servidores Vulnerabilidad Moderado Bajo SICOEIR Moderado Antivirus DNS, DHCP, NTP Oracle Virtualización RISC e Intel Servicios Nivel del Riesgo Análisis y especificación de los requisitos de seguridad 12.1.1 “Las declaraciones sobre los requisitos del negocio para nuevos sistemas de información o mejoras a los sistemas existentes deberían especificar los requisitos para los controles de la seguridad”. Controles contra códigos maliciosos 10.4.1 “Se deberían implementar controles de detección, prevención y recuperación para proteger contra códigos maliciosos, así como procedimientos apropiados de concienciación de los usuarios”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Justificar la instalación de software de fuentes no verificadas Llevar registros detallados del software adquirido institucionalmente y de las actualizaciones necesarias Preparar planes adecuados para asegurar la continuidad de los sistemas con el fin de recuperarse de ataques de códigos maliciosos Ej.: Reportes periódicos sobre el funcionamiento del software instalado en los equipos de usuario final Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Creación de un registro de las actividades implicadas en el procesamiento de información interno Ej.: Escaneo de documentos para ingresarlos al Sistema de Control Documental Implementar procesos de análisis y especificación de requisitos de seguridad durante el desarrollo de proyectos, que permitan identificar controles necesarios para un correcto manejo de la seguridad de la información Ej.: Especificar los requisitos de seguridad, como puede ser definir nombres de usuarios y contraseñas para utilizar el sistema Para los proyectos de adquisición de software, se debe hacer el análisis previo de los requisitos de seguridad, antes del proceso formal de compra Control de procesamiento interno 12.2.2 “Se deberían incorporar verificaciones de validación en las aplicaciones para detectar cualquier daño o pérdida de la información por errores de procesamiento o actos deliberados”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 338 No se ha planificado una renovación oportuna de licencias (Antivirus, Windows, etc.) Vulnerabilidad Nivel del Riesgo Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Control del software operativo 12.4.1 “Se deberían establecer procedimientos para controlar la instalación de software en los sistemas operativos”. Comprobar con regularidad que la suscripción a sitios web de verificación y/o listados de correo suministren información sobre los códigos maliciosos nuevos Controles contra códigos maliciosos 10.4.1 “Se deberían implementar controles de detección, prevención y recuperación para proteger contra códigos maliciosos, así como procedimientos apropiados de concienciación de los usuarios”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Los sistemas en funcionamiento deben contener únicamente códigos ejecutables aprobados y no códigos en desarrollo. El software desarrollado solo se debe implementar después de las pruebas respectivas que consideren la capacidad de uso, seguridad efectos en otros sistemas y se debe garantizar que las bibliotecas fuente del programa estén actualizadas Se debe implantar una política de estrategia de restauración al estado anterior antes de implementar cambios Ej.: Guardar versiones de las diferentes etapas del desarrollo del sistema Conservar registros para auditoría de todas las actualizaciones de las bibliotecas de los programas operativos Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 339 Software nuevo o inmaduro No se ha planificado una renovación oportuna de licencias (Antivirus, Windows, etc.) Vulnerabilidad Bajo Nivel del Riesgo SICOEIR Servicios Aceptación del sistema 10.3.2 “Se deberían establecer criterios de aceptación para sistemas de información nuevos, actualizaciones y nuevas versiones y llevar a cabo los ensayos adecuados del sistema durante el desarrollo y antes de la aceptación”. Separación de las instalaciones de desarrollo ensayo y operación 10.1.4 “Las instalaciones de desarrollo, ensayo y operación deberían estar separadas para reducir los riesgos de acceso o cambios no autorizados en el sistema operativo”. Monitoreo y revisión de los servicios por terceros 10.2.2 “Los servicios, reportes y registros suministrados por terceras partes se deberían controlar y revisar con regularidad y las auditorías se deberían llevar a cabo a intervalos regulares”. Gestión de los cambios en los servicios por terceras partes 10.2.3 “Los cambios en la prestación de los servicios, incluyendo mantenimiento y mejora de las políticas existentes de la seguridad de la información, en los procedimientos y los controles se deberían gestionar teniendo en cuenta la importancia de los sistemas y procesos del negocio involucrados, así como la reevaluación de los riesgos”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Previo a la aceptación del sistema se deben definir los procedimientos de reinicio y recuperación por errores y establecer parámetros mínimos de seguridad Ej.: Almacenar diferentes versiones durante el desarrollo del sistema nuevo Verificar que la instalación del sistema nuevo no afectará de forma negativa a las sistemas existentes Ej.: Ejecutar el sistema nuevo en un entorno de pruebas Planificar capacitaciones sobre el funcionamiento o utilización de los sistemas nuevos Hacer una verificación del cumplimiento de las cláusulas acerca de cambios en los sistemas desarrollados estipulas en los contratos con terceras partes Documentar detalladamente los procedimientos realizados en los servicios, tanto por terceras partes como por la DTT y acordar reuniones periódicas para evaluar los mismos Crear un entorno de pruebas para que el software de desarrollo se ejecute en diferentes dominios o directorios que los sistemas que se encuentran operativos Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 340 Software nuevo o inmaduro Vulnerabilidad Nivel del Riesgo Servicios Recomendaciones Verificar el cumplimiento de todos los criterios de aceptación de los sistemas nuevos mediante pruebas de funcionamiento y operatividad de los mismos Implementar procesos de análisis y especificación de requisitos de seguridad durante el desarrollo de proyectos, que permitan identificar controles necesarios para un correcto manejo de la seguridad de la información Ej.: Especificar los requisitos de seguridad, como puede ser definir nombres de usuarios y contraseñas para utilizar el sistema Para los proyectos de adquisición de software, se debe hacer el análisis previo de los requisitos de seguridad, antes del proceso formal de compra Recomendar a otras direcciones de la Institución sobre la verificación de la actualización de información que debe estar disponible al público Los sistemas en funcionamiento deben contener únicamente códigos ejecutables aprobados y no códigos en desarrollo. El software desarrollado solo se debe implementar después de las pruebas respectivas que consideren la capacidad de uso, seguridad efectos en otros sistemas y se debe garantizar que las bibliotecas fuente del programa estén actualizadas Se debe implantar una política de estrategia de restauración al estado anterior antes de implementar cambios Ej.: Guardar versiones de las diferentes etapas del desarrollo del sistema Conservar registros para auditoría de todas las actualizaciones de las bibliotecas de los programas operativos Planificar la utilización de información de sistemas en funcionamiento en pruebas de los sistemas nuevos, con el fin de no modificar o eliminar información útil Controles existentes Aceptación del sistema 10.3.2 “Se deberían establecer criterios de aceptación para sistemas de información nuevos, actualizaciones y nuevas versiones y llevar a cabo los ensayos adecuados del sistema durante el desarrollo y antes de la aceptación”. Análisis y especificación de los requisitos de seguridad 12.1.1 “Las declaraciones sobre los requisitos del negocio para nuevos sistemas de información o mejoras a los sistemas existentes deberían especificar los requisitos para los controles de la seguridad”. Validación de los datos de salida 12.2.4 “Se deberían validar los datos de salida de una aplicación para asegurar que el procesamiento de la información almacenada es correcto y adecuado a las circunstancias”. Control del software operativo 12.4.1 “Se deberían establecer procedimientos para controlar la instalación de software en los sistemas operativos”. Protección de los datos de prueba del sistema 12.4.2 “Los datos de prueba deberían seleccionarse cuidadosamente, así como protegerse y controlarse”. Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 341 Software nuevo o inmaduro Vulnerabilidad Nivel del Riesgo Servicios Procedimientos de control de cambios 12.5.1 “Se debería controlar la implementación de cambios utilizando procedimientos formales de control de cambios”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Garantizar la notificación oportuna a los funcionarios respectivos sobre los cambios en el sistema en funcionamiento para permitir la realización de pruebas y revisiones apropiadas antes de la implementación Identificación de todo el software, la información, las bases de datos y hardware que requieran mejora Garantizar que la documentación del sistema está actualizada al finalizar cada cambio y que la documentación antigua se archiva o elimina Ej.: Llevar un registro detallado de las actualizaciones Mantener un registro para auditoría de todos los cambios solicitados Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.2 “Cuando se cambian los sistemas operativos, las aplicaciones críticas para el negocio se deberían revisar y someter a prueba para asegurar que no hay impacto adverso en las operaciones ni en la seguridad de la organización”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 342 Nivel del Riesgo Moderado Moderado Vulnerabilidad No realizar mantenimiento preventivo de los equipos del área de trabajo Falta de mantenimiento del direccionamiento IP (DHCP) Switching y Routing DNS, DHCP, NTP Telefonía IP Antivirus Servicios Monitoreo de uso del sistema 10.10.2 “Se deberían establecer procedimientos para el monitoreo de uso de los servicios de procesamiento de información, y los resultados de las actividades de monitoreo se deberían revisar con regularidad”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Mantenimiento de los equipos 9.2.4 “Los equipos deberían recibir mantenimiento adecuado para asegurar su continua disponibilidad e integridad”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Definir procedimientos para el monitoreo de uso de los diferentes sistemas a cargo de la DTT Ej.: Monitorear a los usuarios que ingresan a los sistemas Registrar acciones efectuadas usando cuentas privilegiadas, identificando cambios o intentos de cambio en configuraciones y controles de seguridad del sistema Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Conservar registro de todas las fallas reales o sospechadas y de todo el mantenimiento preventivo y correctivo Ej.: Designar un funcionario que registre las actividades de mantenimiento realizadas en los diferentes equipos. Verificar que el mantenimiento del sistema de acceso biométrico se realice periódicamente Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 343 Nivel del Riesgo Bajo Vulnerabilidad Falta de mantenimiento del direccionamiento IP (DHCP) Telefonía IP Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Revisar periódicamente la planificación de direccionamiento tanto para la LAN como para las redes inalámbricas, para que se adapte a los requerimientos de acuerdo al número de usuarios. Separación en las redes 11.4.5 “En las redes se deberían separar los grupos de servicios de información, usuarios y sistemas de información”. Control del enrutamiento en la red 11.4.7 “Se deberían implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso de las aplicaciones del negocio”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Monitorear que las conexiones a las aplicaciones se realiza desde equipos de la institución o equipos autorizados Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 344 No actualizar el inventario de software Vulnerabilidad Moderado Nivel del Riesgo Antivirus Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Control del software operativo 12.4.1 “Se deberían establecer procedimientos para controlar la instalación de software en los sistemas operativos”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los sistemas en funcionamiento deben contener únicamente códigos ejecutables aprobados y no códigos en desarrollo. El software desarrollado solo se debe implementar después de las pruebas respectivas que consideren la capacidad de uso, seguridad efectos en otros sistemas y se debe garantizar que las bibliotecas fuente del programa estén actualizadas Se debe implantar una política de estrategia de restauración al estado anterior antes de implementar cambios Ej.: Guardar versiones de las diferentes etapas del desarrollo del sistema Conservar registros para auditoría de todas las actualizaciones de las bibliotecas de los programas operativos Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 345 Mal dimensionamiento del número de usuarios del antivirus No actualizar el inventario de software Vulnerabilidad Moderado Nivel del Riesgo Antivirus Servicios Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Control del software operativo 12.4.1 “Se deberían establecer procedimientos para controlar la instalación de software en los sistemas operativos”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Los sistemas en funcionamiento deben contener únicamente códigos ejecutables aprobados y no códigos en desarrollo. El software desarrollado solo se debe implementar después de las pruebas respectivas que consideren la capacidad de uso, seguridad efectos en otros sistemas y se debe garantizar que las bibliotecas fuente del programa estén actualizadas Se debe implantar una política de estrategia de restauración al estado anterior antes de implementar cambios Ej.: Guardar versiones de las diferentes etapas del desarrollo del sistema Conservar registros para auditoría de todas las actualizaciones de las bibliotecas de los programas operativos Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 346 No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Mal dimensionamiento del número de usuarios del antivirus Vulnerabilidad Bajo Moderado Nivel del Riesgo Telefonía IP Servidores RISC e Intel Switching y Routing DNS, DHCP, NTP Virtualización RISC e Intel SICOEIR Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Control del enrutamiento en la red 11.4.7 “Se deberían implementar controles de enrutamiento en las redes con el fin de asegurar que las conexiones entre computadores y los flujos de información no incumplan la política de control de acceso de las aplicaciones del negocio”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Protección del registro de la información 10.10.3 “El registro del servicio y la información se deberían proteger contra el acceso o la manipulación no autorizados”. Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Monitorear que las conexiones a las aplicaciones se realiza desde equipos de la institución o equipos autorizados Se debe hace un levantamiento del funcionamiento actual de servicios más antiguos Ej.: Infracciones y Sanciones Establecer procedimientos detallando actividades que pueden realizarse para proteger la información contra acceso o manipulación no autorizada Ej.: definir usuarios para cada funcionario autorizado en los equipos principales del Centro de Cómputo, confirmando la validación de la información Establecer procedimientos formales para documentar y gestionar los cambios en los sistemas y servicios Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Gestión del cambio 10.1.2 “Se deberían controlar los cambios en los servicios y los sistemas de procesamiento de información”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 347 Uso incorrecto de Software o Hardware Vulnerabilidad Bajo Moderado Nivel del Riesgo Servidores RISC e Intel Switching y Routing Telefonía IP DNS, DHCP, NTP Servicios Control del software operativo 12.4.1 “Se deberían establecer procedimientos para controlar la instalación de software en los sistemas operativos”. Computación y comunicaciones móviles 11.7.1 “Se debería establecer una política formal y se deberían adoptar las medidas de la seguridad apropiadas para la protección contra los riesgos debidos al uso de dispositivos de computación y comunicaciones móviles”. Identificación de los equipos en las redes 11.4.3 “La identificación automática de los equipos se debería considerar un medio para autenticar conexiones de equipos y ubicaciones específicas”. Establecer un procedimiento para respaldar información contenida en laptops institucionales Los sistemas en funcionamiento deben contener únicamente códigos ejecutables aprobados y no códigos en desarrollo. El software desarrollado solo se debe implementar después de las pruebas respectivas que consideren la capacidad de uso, seguridad efectos en otros sistemas y se debe garantizar que las bibliotecas fuente del programa estén actualizadas Se debe implantar una política de estrategia de restauración al estado anterior antes de implementar cambios Ej.: Guardar versiones de las diferentes etapas del desarrollo del sistema Conservar registros para auditoría de todas las actualizaciones de las bibliotecas de los programas operativos Establecer una política para el manejo de dispositivos de computación y comunicaciones móviles. Elaborar y mantener adecuadamente un registro de los nombres asignados a los equipos en la institución Definir un procedimiento para el transporte adecuado de medios físicos fuera de la institución El embalaje de equipos debe ser suficiente para proteger su contenido Crear un entorno de pruebas para que el software de desarrollo se ejecute en diferentes dominios o directorios que los sistemas que se encuentran operativos Separación de las instalaciones de desarrollo ensayo y operación 10.1.4 “Las instalaciones de desarrollo, ensayo y operación deberían estar separadas para reducir los riesgos de acceso o cambios no autorizados en el sistema operativo”. Medios físicos en tránsito 10.8.3 “Los medios que contienen información se deberían proteger contra el acceso no autorizado, el uso inadecuado o la corrupción durante el transporte más allá de los límites físicos de la organización”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 348 Falta de conciencia acerca de la seguridad Uso incorrecto de Software o Hardware Vulnerabilidad Moderado Nivel del Riesgo Telefonía IP Switching y Routing Antivirus SICOEIR Recursos Compartidos Servicios Acuerdos para el intercambio 10.8.3 Procedimientos para el manejo de la información 10.7.3 “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Protección de los datos de prueba del sistema 12.4.2 “Los datos de prueba deberían seleccionarse cuidadosamente, así como protegerse y controlarse”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes El embalaje de equipos debe ser suficiente para proteger su contenido Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Establecer procedimientos para manejar, procesar y almacenar correctamente la información, incluyendo: - Manejo y etiquetado de los medios de almacenamiento de acuerdo a su clasificación - Restricciones de acceso - Registro formal de los receptores autorizados de información - Protección de los datos de la memoria temporal de equipos de procesamiento y almacenamiento de información que esperan su ejecución Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Planificar la utilización de información de sistemas en funcionamiento en pruebas de los sistemas nuevos, con el fin de no modificar o eliminar información útil Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 349 Nivel del Riesgo Bajo Vulnerabilidad Falta de conciencia acerca de la seguridad DNS, DHCP, NTP Virtualización RISC e Intel Servidores RISC e Intel Servicios Equipo de usuario desatendido 11.3.2 “Los usuarios deberían asegurarse de que los equipos desatendidos tengan protección apropiada”. Uso de contraseñas 11.3.1 “Se debería exigir a los usuarios el cumplimiento de buenas prácticas de la seguridad en la selección y el uso de las contraseñas”. Protección del registro de la información 10.10.3 “El registro del servicio y la información se deberían proteger contra el acceso o la manipulación no autorizados”. Sistemas de información del negocio 10.8.5 “Se deberían establecer, desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio”. Definir un procedimiento para el transporte adecuado de medios físicos fuera de la institución Acuerdos para el intercambio 10.8.3 “Los medios que contienen información se deberían proteger contra el acceso no autorizado, el uso inadecuado o la corrupción durante el transporte más allá de los límites físicos de la organización”. Exigir a los usuarios el uso de mecanismos de bloqueo para momentos que el equipo no está siendo utilizado Establecer una política para gestionar la forma en que se comparte la información Ej.: Definir carpetas compartidas verificando usuarios que tengan acceso a las mismas Establecer restricciones de acceso a los servicios de acuerdo a diferentes categorías de personal previamente definidas Ej.: Verificar los funcionarios que tienen acceso a cada servicio Se debe hace un levantamiento del funcionamiento actual de servicios más antiguos Ej.: Infracciones y Sanciones Establecer procedimientos detallando actividades que pueden realizarse para proteger la información contra acceso o manipulación no autorizada Ej.: definir usuarios para cada funcionario autorizado en los equipos principales del Centro de Cómputo, confirmando la validación de la información Exigir a los usuarios que eviten mantener registros de las contraseñas Seleccionar contraseñas con longitud mínima suficiente Ej.: Longitud mínima de ocho caracteres, entre mayúsculas símbolos y números No compartir las contraseñas de usuario individuales Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 350 Falta de conciencia acerca de la seguridad Vulnerabilidad Nivel del Riesgo Servicios Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Análisis y especificación de los requisitos de seguridad 12.1.1 “Las declaraciones sobre los requisitos del negocio para nuevos sistemas de información o mejoras a los sistemas existentes deberían especificar los requisitos para los controles de la seguridad”. Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Implementar procesos de análisis y especificación de requisitos de seguridad durante el desarrollo de proyectos, que permitan identificar controles necesarios para un correcto manejo de la seguridad de la información Ej.: Especificar los requisitos de seguridad, como puede ser definir nombres de usuarios y contraseñas para utilizar el sistema Para los proyectos de adquisición de software, se debe hacer el análisis previo de los requisitos de seguridad, antes del proceso formal de compra Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Establecer un procedimiento para respaldar información contenida en laptops institucionales Establecer una política para el manejo de dispositivos de computación y comunicaciones móviles. Establecer una política de escritorio despejado y pantalla despejada para asegurar los medios de almacenamiento y las sesiones de computadores y terminales Ej.: Exigir el bloqueo del equipo si no está en uso Política de escritorio despejado y de pantalla despejada 11.3.3 “Se debería adoptar una política de escritorio despejado para reportes y medios de almacenamiento removibles y una política de pantalla despejada para los servicios de procesamiento de información”. Computación y comunicaciones móviles 11.7.1 “Se debería establecer una política formal y se deberían adoptar las medidas de la seguridad apropiadas para la protección contra los riesgos debidos al uso de dispositivos de computación y comunicaciones móviles”. Recomendaciones Controles existentes Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 351 Ausencia de procedimientos de identificación y valoración de riesgos Falta de conciencia acerca de la seguridad Vulnerabilidad Moderado Nivel del Riesgo Recursos Compartidos Servicios Sistemas de información del negocio 10.8.5 Acuerdos para el intercambio 10.8.3 “Los medios que contienen información se deberían proteger contra el acceso no autorizado, el uso inadecuado o la corrupción durante el transporte más allá de los límites físicos de la organización”. Procedimientos para el manejo de la información 10.7.3 “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Definir un procedimiento para el transporte adecuado de medios físicos fuera de la institución Establecer una política para gestionar la forma en que se comparte la información Ej.: Definir carpetas compartidas verificando usuarios que tengan acceso a las mismas El embalaje de equipos debe ser suficiente para proteger su contenido Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Establecer procedimientos para manejar, procesar y almacenar correctamente la información, incluyendo: - Manejo y etiquetado de los medios de almacenamiento de acuerdo a su clasificación - Restricciones de acceso - Registro formal de los receptores autorizados de información - Protección de los datos de la memoria temporal de equipos de procesamiento y almacenamiento de información que esperan su ejecución Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 352 Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) Ausencia de procedimientos de identificación y valoración de riesgos Vulnerabilidad Moderado Nivel del Riesgo Switching y Routing DNS, DHCP, NTP Servicios Procedimientos para el manejo de la información 10.7.3 “Se deberían establecer procedimientos para el manejo y almacenamiento de la información con el fin de proteger dicha información contra divulgación no autorizada o uso inadecuado”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Sistemas de información del negocio 10.8.5 “Se deberían establecer, desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de información del negocio”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Establecer procedimientos para manejar, procesar y almacenar correctamente la información, incluyendo: - Manejo y etiquetado de los medios de almacenamiento de acuerdo a su clasificación - Restricciones de acceso - Registro formal de los receptores autorizados de información - Protección de los datos de la memoria temporal de equipos de procesamiento y almacenamiento de información que esperan su ejecución Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Establecer restricciones de acceso a los servicios de acuerdo a diferentes categorías de personal previamente definidas Ej.: Verificar los funcionarios que tienen acceso a cada servicio Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 353 Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) Vulnerabilidad Bajo Nivel del Riesgo Recursos Compartidos Servicios Responsabilidades y procedimientos 13.2.1 Reporte sobre las debilidades en la seguridad 13.1.2 “Se debería exigir a todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información que observen y reporten todas las debilidades observadas o sospechadas en los sistemas o servicios”. Reporte sobre los eventos de seguridad de la información 13.1.1 “Los eventos de seguridad de la información se deberían informar a través de los canales de gestión apropiados tan pronto como sea posible”. Política de control de acceso 11.1.1 “Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso”. Control de conexión a las redes 11.4.6 “Para redes compartidas, especialmente aquellas que se extienden más allá de las fronteras de la organización, se debería restringir la capacidad de los usuarios para conectarse a la red, de acuerdo con la política de control de acceso y los requisitos de aplicación del negocio”. Sistema de gestión de contraseñas 11.5.3 “Los sistemas para la gestión de contraseñas deberían ser interactivos y deberían asegurar la calidad de las contraseñas”. Restricción del acceso a la información 11.6.1 “Se debería restringir el acceso a la información y a las funciones del sistema de aplicación por parte de los usuarios y del personal de soporte, de acuerdo con la política definida de control de acceso”. Controles existentes Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Los funcionarios deben tomar nota de los mensajes importantes al presentarse un evento de seguridad de información (mensajes en la pantalla, comportamiento extraño). Capacitación adecuada a los funcionarios para generar los reportes de soporte informático Documentar los derechos de acceso otorgados a los diferentes tipos de usuarios especificando la información a la que tendrá acceso Planificar mantenimiento periódico del software Active Directory para verificar la eliminación de registro de usuarios no existentes Realizar periódicamente revisiones a los controles en la conexión a las redes por parte del personal cargo de esta función Ej.: Revisar las reglas predefinidas en los firewalls Aplicar las políticas de seguridad de TI para el control de acceso Ej.: Elaborar un registro de usuarios Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 354 Ausencia en el Personal Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) Vulnerabilidad Moderado Nivel del Riesgo Telefonía IP Switching y Routing DNS, DHCP, NTP Antivirus SICOEIR Recursos Compartidos Servicios Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Control del software operativo 12.4.1 “Se deberían establecer procedimientos para controlar la instalación de software en los sistemas operativos”. Responsabilidades y procedimientos 13.2.1 “Se deberían establecer las responsabilidades y los procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información”. Controles existentes Los sistemas en funcionamiento deben contener únicamente códigos ejecutables aprobados y no códigos en desarrollo. El software desarrollado solo se debe implementar después de las pruebas respectivas que consideren la capacidad de uso, seguridad efectos en otros sistemas y se debe garantizar que las bibliotecas fuente del programa estén actualizadas Se debe implantar una política de estrategia de restauración al estado anterior antes de implementar cambios Ej.: Guardar versiones de las diferentes etapas del desarrollo del sistema Conservar registros para auditoría de todas las actualizaciones de las bibliotecas de los programas operativos Definir directrices para establecer responsabilidades y procedimientos de gestión para los incidentes de la seguridad de la información, considerando la sección 3.2.5.9.3 Ej.: Recolectar y asegurar pistas para auditorías Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Las acciones tomadas para la recuperación de las violaciones de seguridad y corrección del fallas de los sistemas debe estar completamente detalladas y controladas Recomendaciones Tabla 4.2. Recomendaciones para los controles existentes en los servicios de la DTT 355 Moderado Moderado No asegurar correctamente la ubicación de los equipos Mal mantenimiento de los sistemas de Aire Acondicionado TODOS LOS SERVICIOS Servidores RISC e Intel Telefonía IP Moderado TODOS LOS SERVICIOS Switching y Routing Bajo Mal mantenimiento del sistema de Control de acceso al Centro de Cómputo TODOS LOS SERVICIOS Servicios Bajo Alto No se realiza un mantenimiento periódico del Sistema Contra incendios No realizar la renovación oportuna de equipos Nivel del Riesgo Vulnerabilidad Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registro de auditorías 10.10.1 “Se deberían elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de la seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Controles faltantes Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Definir periodos de tiempo para el almacenamiento de registros que sirven para auditoría considerando la información definida en la sección 3.2.5.6.27 Ej.: Registrar la fecha y hora de eventos claves. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Recomendaciones Tabla 4.3. Recomendaciones para los controles faltantes en la DTT La Tabla 4.3 muestra las recomendaciones para los controles faltantes en los servicios de la DTT, de acuerdo [6]. 356 Moderado No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Moderado Bajo Switching y Routing Moderado No revisar periódicamente la conexión entre el sistema de UPS y la red de energía eléctrica en el edificio. Conexión deficiente de los cables TODOS LOS SERVICIOS Bajo Switching y Routing Recursos Compartidos Oracle Telefonía IP DNS, DHCP, NTP TODOS LOS SERVICIOS No tener correctas instalaciones eléctricas Servicios Nivel del Riesgo Vulnerabilidad Documentación de los procedimientos de operación 10.1.1 “Los procedimientos de operación se deberían documentar, mantener y estar disponibles para todos los usuarios que los necesiten”. Uso aceptable de los activos 7.1.3 “Se deben identificar, documentar e implementar las reglas sobre el uso aceptable de la información y de los activos asociados con el procesamiento de la información”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Establecer reglas para la identificación y documentación de los activos asociados al procesamiento de la información a cargo de la DTT. Ej.: Asignar una identificación para los equipos en la red. Establecer políticas para uso de correo electrónico, de Internet y de dispositivos móviles fuera de las instalaciones de la institución. Ej.: Evitar el uso de correo institucional para asuntos personales. Revisar los aspectos necesarios para la documentación de los procedimientos de operación de los servicios de acuerdo a lo definido en la descripción de los controles para el tratamiento de los riesgos sección 3.2.5.6.1 Ej.: Mantener un listado de contactos de soporte en caso de dificultades técnicas inesperadas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 357 Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones No se tiene una documentación de los monitoreos que se realizan a los enlaces WAN Vulnerabilidad Bajo Nivel del Riesgo SICOEIR Recursos Compartidos Oracle Servicios Definir periodos de tiempo para el almacenamiento de registros que sirven para auditoría considerando la información definida en la sección 3.2.5.6.27 Ej.: Registrar la fecha y hora de eventos claves. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Documentación de los procedimientos de operación 10.1.1 “Los procedimientos de operación se deberían documentar, mantener y estar disponibles para todos los usuarios que los necesiten”. Registro de auditorías 10.10.1 “Se deberían elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de la seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso”. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Documentar los procedimientos para realizar mantenimiento de equipos físicos Ej.: Tener un registro del mantenimiento realizado a los equipos. Documentar los procedimientos para realizar copias de respaldo previo al mantenimiento de un equipo. Ej.: Pedir a los usuarios que respalden su información en una ubicación segura. Elaborar un documento detallado de contactos de soporte de los proveedores para dificultades técnicas u operativas inesperadas. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 358 Moderado Bajo Falta de certificado de seguridad para las Páginas Web Moderado Bajo Nivel del Riesgo Mal mantenimiento de los Sistemas de Alimentación Ininterrumpida (UPS) Administración incorrecta de los parámetros de funcionamiento de los equipos de telecomunicaciones Vulnerabilidad SICOEIR TODOS LOS SERVICIOS Antivirus Telefonía IP Switching y Routing DNS, DHCP, NTP Virtualización RISC e Intel Servicios Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Recomendaciones Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 359 No monitorear adecuadamente los accesos al servidor SFTP de forma externa Administración incorrecta de los parámetros de funcionamiento de los firewalls Vulnerabilidad Bajo Moderado Bajo Nivel del Riesgo Oracle SICOEIR Virtualización RISC e Intel SICOEIR DNS, DHCP, NTP Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Recursos Compartidos Controles faltantes Servicios Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Recomendaciones Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 360 No se tiene una planificación de monitoreos periódicos a los enlaces WAN Mal manejo de contraseñas (de servidores, consolas de administración, sistema de backups y estaciones de trabajo) No monitorear adecuadamente los accesos al servidor SFTP de forma externa Vulnerabilidad Bajo Moderado Bajo Moderado Nivel del Riesgo Switching y Routing DNS, DHCP, NTP Virtualización RISC e Intel SICOEIR Oracle Antivirus Recursos Compartidos Recursos Compartidos ORACLE SICOEIR Antivirus DNS, DHCP, NTP Switching y Routing Servicios Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Políticas y procedimientos para el intercambio de información 10.8.1 “Se deberían establecer políticas, procedimientos y controles formales de intercambio para proteger la información mediante el uso de todo tipo de servicios de comunicación”. Establecer políticas y procedimientos para el intercambio de información de acuerdo a lo recomendado en la sección 3.2.5.6.19 de la descripción de los controles para el tratamiento de los riesgos. Ej.: No dejar información sensible o crítica en copiadoras o impresoras. Capacitar al personal sobre la importancia de la privacidad de conversaciones confidenciales. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 361 Alto Moderado Asignación errada de derechos de acceso al servidor SFTP Nivel del Riesgo No encriptar la información No se tiene una planificación de monitoreos periódicos a los enlaces WAN Vulnerabilidad SICOEIR SICOEIR Servicios Políticas y procedimientos para el intercambio de información 10.8.1 “Se deberían establecer políticas, procedimientos y controles formales de intercambio para proteger la información mediante el uso de todo tipo de servicios de comunicación”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Integridad del mensaje 12.2.3 “Se deberían identificar los requisitos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones, así como identificar e implementar los controles adecuados”. Política sobre el uso de controles criptográficos 12.3.1 “Se debería desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información”. Gestión de Claves 12.3.2 “Se debería establecer la gestión de claves para apoyar el uso de técnicas criptográficas en la organización”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Reglamentación de los controles criptográficos 15.1.6 “Se deberían utilizar controles criptográficos que cumplan todos los acuerdos, las leyes y los reglamentos pertinentes”. Controles faltantes Establecer políticas y procedimientos para el intercambio de información de acuerdo a lo recomendado en la sección 3.2.5.6.19 de la descripción de los controles para el tratamiento de los riesgos. Ej.: No dejar información sensible o crítica en copiadoras o impresoras. Capacitar al personal sobre la importancia de la privacidad de conversaciones confidenciales. Establecer un procedimiento para el uso de controles criptográficos tomando en cuenta las recomendaciones detalladas en la sección 3.2.5.11.6 Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Definir la gestión de claves en base a sección 3.2.5.8.7 Ej.: Almacenar las claves, incluyendo la forma en la que los usuarios autorizados tendrán acceso a ellas. Definir políticas para el uso de controles criptográficos con base en la sección 3.2.5.8.6 Ej.: Identificar el tipo de algoritmo de cifrado requerido. Definir directrices de seguridad que permitan identificar los mensajes que requieren integridad. Ej.: Usar controles criptográficos para asegurar la integridad del mensaje. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Recomendaciones Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 362 Mal manejo de la compartición de la información Asignación errada de derechos de acceso al servidor SFTP Vulnerabilidad Bajo Moderado Nivel del Riesgo Virtualización RISC e Intel Recursos Compartidos Servicios Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Establecer políticas y procedimientos para el intercambio de información de acuerdo a lo recomendado en la sección 3.2.5.6.19 de la descripción de los controles para el tratamiento de los riesgos. Ej.: No dejar información sensible o crítica en copiadoras o impresoras. Capacitar al personal sobre la importancia de la privacidad de conversaciones confidenciales. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Políticas y procedimientos para el intercambio de información 10.8.1 “Se deberían establecer políticas, procedimientos y controles formales de intercambio para proteger la información mediante el uso de todo tipo de servicios de comunicación”. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 363 Falta de control de acceso a las carpetas compartidas Administración inadecuada de los equipos del área de trabajo disponibles para su uso Mal manejo de la compartición de la información Vulnerabilidad Bajo Alto Moderado Nivel del Riesgo Virtualización RISC e Intel Recursos Compartidos Telefonía IP DNS, DHCP, NTP Servicios Establecer un procedimiento para la eliminación de los equipos Ej.: Formatear el equipo a eliminar. Evaluar si los equipos deben ser destruidos físicamente o reparados previo a su eliminación. Verificar que se cumplan con la eliminación de toda la información sensible de los equipos a ser dados de baja. Definir periodos de tiempo para el almacenamiento de registros que sirven para auditoría considerando la información definida en la sección 3.2.5.6.27 Ej.: Registrar la fecha y hora de eventos claves. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Seguridad en la reutilización o eliminación de los equipos 9.2.6 “Se deberían verificar todos los elementos del equipo que contengan medios de almacenamiento para asegurar que se haya eliminado cualquier software licenciado y datos sensibles o asegurar que se hayan sobrescrito de forma segura, antes de la eliminación”. Registro de auditorías 10.10.1 “Se deberían elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de la seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso”. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Establecer políticas y procedimientos para el intercambio de información de acuerdo a lo recomendado en la sección 3.2.5.6.19 de la descripción de los controles para el tratamiento de los riesgos. Ej.: No dejar información sensible o crítica en copiadoras o impresoras. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Políticas y procedimientos para el intercambio de información 10.8.1 “Se deberían establecer políticas, procedimientos y controles formales de intercambio para proteger la información mediante el uso de todo tipo de servicios de comunicación”. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 364 Mala administración de los registros de direcciones MAC de los equipos para acceso a la red inalámbrica y telefonía IP No deshabilitar puertos no utilizados en equipos de conectividad Falta de control de acceso a las carpetas compartidas Vulnerabilidad Telefonía IP Bajo Moderado Telefonía IP DNS, DHCP, NTP Switching y Routing Servicios DNS, DHCP, NTP Bajo Moderado Nivel del Riesgo Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Capacitar al personal sobre la importancia de la privacidad de conversaciones confidenciales. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Políticas y procedimientos para el intercambio de información 10.8.1 Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 365 No tener soporte por parte del proveedor del software Mala administración de los registros de direcciones MAC de los equipos para acceso a la red inalámbrica y telefonía IP No se hace una verificación periódica de la seguridad de los switches de acceso en cada piso Vulnerabilidad Moderado Moderado Nivel del Riesgo Antivirus Virtualización RISC e Intel Switching y Routing Servicios Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Revisar los aspectos necesarios para la documentación de los procedimientos de operación de los servicios de acuerdo a lo definido en la descripción de los controles para el tratamiento de los riesgos sección 3.2.5.6.1 Ej.: Mantener un listado de contactos de soporte en caso de dificultades técnicas inesperadas. Documentar los procedimientos para realizar mantenimiento de equipos físicos Ej.: Tener un registro del mantenimiento realizado a los equipos. Documentar los procedimientos para realizar copias de respaldo previo al mantenimiento de un equipo. Ej.: Pedir a los usuarios que respalden su información en una ubicación segura. Elaborar un documento detallado de contactos de soporte de los proveedores para dificultades técnicas u operativas inesperadas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Documentación de los procedimientos de operación 10.1.1 “Los procedimientos de operación se deberían documentar, mantener y estar disponibles para todos los usuarios que los necesiten”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Recomendaciones Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 366 Bajo Moderado Bajo Asignación errada de derechos de acceso Tener administradores de segundo nivel que puedan hacer cambios no autorizados Nivel del Riesgo Vulnerabilidad Switching y Routing DNS, DHCP, NTP Antivirus SICOEIR Recursos Compartidos Antivirus Recursos Compartidos Servicios Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Políticas y procedimientos para el intercambio de información 10.8.1 “Se deberían establecer políticas, procedimientos y controles formales de intercambio para proteger la información mediante el uso de todo tipo de servicios de comunicación”. Controles faltantes Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Establecer políticas y procedimientos para el intercambio de información de acuerdo a lo recomendado en la sección 3.2.5.6.19 de la descripción de los controles para el tratamiento de los riesgos. Ej.: No dejar información sensible o crítica en copiadoras o impresoras. Capacitar al personal sobre la importancia de la privacidad de conversaciones confidenciales. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Recomendaciones Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 367 No realizar la renovación oportuna del dominio de la página web No verificar la actualización de la información entregada (tanto en carpetas compartidas como la colocada en la web) Administración inadecuada de las cuentas de usuario en Active Directory Vulnerabilidad SICOEIR DNS, DHCP, NTP Moderado Virtualización RISC e Intel SICOEIR Recursos Compartidos Telefonía IP Alto Bajo Moderado Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Bajo DNS, DHCP, NTP Recursos Compartidos Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Definir periodos de tiempo para el almacenamiento de registros que sirven para auditoría considerando la información definida en la sección 3.2.5.6.27 Ej.: Registrar la fecha y hora de eventos claves. Registro de auditorías 10.10.1 “Se deberían elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de la seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso”. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Recomendaciones Controles faltantes Servicios Nivel del Riesgo Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 368 No respaldar la información generada de forma periódica Falla de los archivos de respaldo Falta de mantenimiento de las bases de datos Falta de planificación sobre la capacidad de procesamiento de la información Falta de planificación sobre la capacidad de procesamiento de la información Vulnerabilidad Bajo Virtualización RISC e Intel Virtualización RISC e Intel Bajo Bajo Virtualización RISC e Intel Alto Oracle SICOEIR Moderado Moderado Virtualización RISC e Intel Bajo Servicios Oracle Recursos Compartidos SICOEIR Nivel del Riesgo Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Controles faltantes Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Recomendaciones Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 369 Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal No respaldar la información de configuración de los servidores y equipos de conectividad No respaldar la información generada de forma periódica Vulnerabilidad Muy Alto Moderado Alto Nivel del Riesgo Oracle Switching y Routing Virtualización RISC e Intel DNS, DHCP, NTP Servicios Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Uso aceptable de los activos 7.1.3 “Se deben identificar, documentar e implementar las reglas sobre el uso aceptable de la información y de los activos asociados con el procesamiento de la información”. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Establecer reglas para la identificación y documentación de los activos asociados al procesamiento de la información a cargo de la DTT. Ej.: Asignar una identificación para los equipos en la red. Establecer políticas para uso de correo electrónico, de Internet y de dispositivos móviles fuera de las instalaciones de la institución. Ej.: Evitar el uso de correo institucional para asuntos personales. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 370 Nivel del Riesgo Muy Alto Bajo Vulnerabilidad Tener archivos de respaldos en los mismos equipos del Centro de Cómputo principal No tener respaldado el código fuente del desarrollo de software dentro de la DTT Switching y Routing SICOEIR Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Control de acceso al código fuente de los programas 12.4.3 “Se debería restringir el acceso al código fuente de los programas”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Uso aceptable de los activos 7.1.3 “Se deben identificar, documentar e implementar las reglas sobre el uso aceptable de la información y de los activos asociados con el procesamiento de la información”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Recursos Compartidos Servidores RISC e Intel SICOEIR Virtualización RISC e Intel Recomendaciones Establecer reglas para la identificación y documentación de los activos asociados al procesamiento de la información a cargo de la DTT. Ej.: Asignar una identificación para los equipos en la red. Establecer políticas para uso de correo electrónico, de Internet y de dispositivos móviles fuera de las instalaciones de la institución. Ej.: Evitar el uso de correo institucional para asuntos personales. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Elaborar un procedimiento de respaldo del código fuente de los programas desarrollados. Ej.: Actualización, mantenimiento y copiado de bibliotecas fuente, sujetos a un procedimiento de control de cambios. Definir el personal autorizado al acceso y modificación de los código fuente de los programas. Controles faltantes Servicios Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 371 No realizar mantenimiento técnico de equipos en el Centro de Cómputo No realizar mantenimiento preventivo de los equipos del área de trabajo No se realiza un monitoreo periódico de los enlaces de la red institucional (LAN) No se dimensione correctamente el espacio necesario para respaldar la información Vulnerabilidad Moderado Bajo Moderado Bajo Moderado Oracle Servidores RISC e Intel Switching y Routing SICOEIR Antivirus Telefonía IP Antivirus DNS, DHCP, NTP Telefonía IP Switching y Routing DNS, DHCP, NTP Antivirus Virtualización RISC e Intel Oracle Bajo Moderado Servicios Nivel del Riesgo Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 372 Software nuevo o inmaduro No se ha planificado una renovación oportuna de licencias (Antivirus, Windows, etc.) Falta de planificación de la capacidad de almacenamiento en los servidores Vulnerabilidad Bajo Moderado Bajo SICOEIR Moderado SICOEIR Antivirus DNS, DHCP, NTP Virtualización RISC e Intel Oracle Servicios Nivel del Riesgo Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Derechos de propiedad intelectual (DPI) 15.1.2 “Se deberían implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material con respecto al cual pueden existir derechos de propiedad intelectual y sobre el uso de productos de software patentados”. Registro de auditorías 10.10.1 “Se deberían elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de la seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registrar detalladamente los sistemas desarrollados por funcionarios de la DTT y sus respectivos derechos de propiedad intelectual. Establecer procedimientos que permitan registrar el número de usuarios permitidos a los cuales se les ha instalado software licenciado. Registrar el software instalado en los equipos de área de trabajo que es autorizado pero no requiere licencia. Crear una política que establezca los derechos de propiedad intelectual que defina el uso legal del software y de los productos de información. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Definir periodos de tiempo para el almacenamiento de registros que sirven para auditoría considerando la información definida en la sección 3.2.5.6.27 Ej.: Registrar la fecha y hora de eventos claves. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 373 Falta de mantenimiento del direccionamiento IP (DHCP) Software nuevo o inmaduro Vulnerabilidad Bajo Moderado Nivel del Riesgo Telefonía IP Switching y Routing DNS, DHCP, NTP Servicios Aislamiento de sistemas sensibles 11.6.2 “Los sistemas sensibles deberían tener un entorno informático dedicado (aislados)”. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Aislamiento de sistemas sensibles 11.6.2 Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Identificar, clasificar y documentar los sistemas sensibles a cargo de la DTT. Establecer un procedimiento para el uso de controles criptográficos tomando en cuenta las recomendaciones detalladas en la sección 3.2.5.11.6 Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Definir la gestión de claves en base a sección 3.2.5.8.7 Ej.: Almacenar las claves, incluyendo la forma en la que los usuarios autorizados tendrán acceso a ellas. Definir políticas para el uso de controles criptográficos con base en la sección 3.2.5.8.6 Ej.: Identificar el tipo de algoritmo de cifrado requerido. Definir directrices de seguridad que permitan identificar los mensajes que requieren integridad. Ej.: Usar controles criptográficos para asegurar la integridad del mensaje. Identificar, clasificar y documentar los sistemas sensibles a cargo de la DTT. Implementar entornos de aislamiento para sistemas sensibles (sistemas que manejen grandes cantidades de información, ej.: SICOEIR) que estén siendo desarrollados o que lleguen a ser críticos. Integridad del mensaje 12.2.3 “Se deberían identificar los requisitos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones, así como identificar e implementar los controles adecuados”. Política sobre el uso de controles criptográficos 12.3.1 “Se debería desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información”. Gestión de Claves 12.3.2 “Se debería establecer la gestión de claves para apoyar el uso de técnicas criptográficas en la organización”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Reglamentación de los controles criptográficos 15.1.6 “Se deberían utilizar controles criptográficos que cumplan todos los acuerdos, las leyes y los reglamentos pertinentes”. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 374 No actualizar el inventario de software Falta de mantenimiento del direccionamiento IP (DHCP) Vulnerabilidad Moderado Nivel del Riesgo Antivirus Servicios Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Definir periodos de tiempo para el almacenamiento de registros que sirven para auditoría considerando la información definida en la sección 3.2.5.6.27 Ej.: Registrar la fecha y hora de eventos claves. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Implementar entornos de aislamiento para sistemas sensibles (sistemas que manejen grandes cantidades de información, Ej.: SICOEIR) que estén siendo desarrollados o que lleguen a ser críticos. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Recomendaciones Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registro de auditorías 10.10.1 “Se deberían elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de la seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso”. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Aislamiento de sistemas sensibles 11.6.2 “Los sistemas sensibles deberían tener un entorno informático dedicado (aislados)”. Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 375 No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Moderado Bajo Switching y Routing DNS, DHCP, NTP Virtualización RISC e Intel SICOEIR Telefonía IP Servidores RISC e Intel Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Registros del administrador y del operador 10.10.4 “Se deberían registrar las actividades tanto del operador como del administrador del sistema”. Uso aceptable de los activos 7.1.3 “Se deben identificar, documentar e implementar las reglas sobre el uso aceptable de la información y de los activos asociados con el procesamiento de la información”. Mal dimensionamiento del número de usuarios del antivirus Establecer reglas para la identificación y documentación de los activos asociados al procesamiento de la información a cargo de la DTT. Ej.: Asignar una identificación para los equipos en la red. Establecer políticas para uso de correo electrónico, de Internet y de dispositivos móviles fuera de las instalaciones de la institución. Ej.: Evitar el uso de correo institucional para asuntos personales. Registrar las actividades realizadas por los operadores y administradores de los sistemas incluyendo: - La hora en que ocurrió el evento - Información sobre el evento - La cuenta del administrador u operador involucrada. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. No actualizar el inventario de software Antivirus Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Derechos de propiedad intelectual (DPI) 15.1.2 “Se deberían implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material con respecto al cual pueden existir derechos de propiedad intelectual y sobre el uso de productos de software patentados”. Moderado Registrar detalladamente los sistemas desarrollados por funcionarios de la DTT y sus respectivos derechos de propiedad intelectual. Establecer procedimientos que permitan registrar el número de usuarios permitidos a los cuales se les ha instalado software licenciado. Registrar el software instalado en los equipos de área de trabajo que es autorizado pero no requiere licencia. Crear una política que establezca los derechos de propiedad intelectual que defina el uso legal del software y de los productos de información. Servicios Recomendaciones Nivel del Riesgo Controles faltantes Vulnerabilidad Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 376 Falta de conciencia acerca de la seguridad Uso incorrecto de Software o Hardware No llevar registro de las modificaciones en las configuraciones realizadas en los equipos de conectividad Vulnerabilidad Moderado Bajo Moderado Nivel del Riesgo Switching y Routing SICOEIR Switching y Routing Servidores RISC e Intel DNS, DHCP, NTP Telefonía IP Servicios Capacitar al personal sobre la importancia de la seguridad de la información y las diferentes formas de implementar seguridad. Derechos de propiedad intelectual (DPI) 15.1.2 “Se deberían implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material con respecto al cual pueden existir derechos de propiedad intelectual y sobre el uso de productos de software patentados”. Educación, formación y concienciación sobre la seguridad de la información 8.2.2 “Todos los empleados de la organización y, cuando sea pertinente, los contratistas y los usuarios de terceras partes deberían recibir formación adecuada en concienciación y actualizaciones regulares sobre las políticas y los procedimientos de la organización, según sea pertinente para sus funciones laborales”. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Documentar detalladamente los procedimientos realizados en los servicios, tanto por terceras partes como por la DTT y acordar reuniones periódicas para evaluar los mismos. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Recomendaciones Registrar detalladamente los sistemas desarrollados por funcionarios de la DTT y sus respectivos derechos de propiedad intelectual. Establecer procedimientos que permitan registrar el número de usuarios permitidos a los cuales se les ha instalado software licenciado. Registrar el software instalado en los equipos de área de trabajo que es autorizado pero no requiere licencia. Crear una política que establezca los derechos de propiedad intelectual que defina el uso legal del software y de los productos de información. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Monitoreo y revisión de los servicios por terceros 10.2.2 Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 377 Falta de conciencia acerca de la seguridad Vulnerabilidad Bajo Moderado Nivel del Riesgo DNS, DHCP, NTP Oracle Virtualización RISC e Intel Servidores RISC e Intel Telefonía IP Derechos de propiedad intelectual (DPI) 15.1.2 “Se deberían implementar procedimientos apropiados para asegurar el cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material con respecto al cual pueden existir derechos de propiedad intelectual y sobre el uso de productos de software patentados”. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Política sobre el uso de controles criptográficos 12.3.1 “Se debería desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información”. Gestión de Claves 12.3.2 “Se debería establecer la gestión de claves para apoyar el uso de técnicas criptográficas en la organización”. Políticas y procedimientos para el intercambio de información 10.8.1 “Se deberían establecer políticas, procedimientos y controles formales de intercambio para proteger la información mediante el uso de todo tipo de servicios de comunicación”. Recursos Compartidos Antivirus Controles faltantes Servicios Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución. Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Registrar detalladamente los sistemas desarrollados por funcionarios de la DTT y sus respectivos derechos de propiedad intelectual. Establecer procedimientos que permitan registrar el número de usuarios permitidos a los cuales se les ha instalado software licenciado. Registrar el software instalado en los equipos de área de trabajo que es autorizado pero no requiere licencia. Definir la gestión de claves en base a sección 3.2.5.8.7 Ej.: Almacenar las claves, incluyendo la forma en la que los usuarios autorizados tendrán acceso a ellas. Definir políticas para el uso de controles criptográficos con base en la sección 3.2.5.8.6 Ej.: Identificar el tipo de algoritmo de cifrado requerido. Establecer políticas y procedimientos para el intercambio de información de acuerdo a lo recomendado en la sección 3.2.5.6.19 de la descripción de los controles para el tratamiento de los riesgos. Ej.: No dejar información sensible o crítica en copiadoras o impresoras. Capacitar al personal sobre la importancia de la privacidad de conversaciones confidenciales. Recomendaciones Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 378 Ausencia de procedimientos de identificación y valoración de riesgos Falta de conciencia acerca de la seguridad Vulnerabilidad Moderado Nivel del Riesgo Recursos Compartidos Servicios Establecer políticas que orienten a los funcionarios en la protección de su información personal dentro de la Institución. Planificar capacitaciones a los funcionarios de la institución sobre el manejo apropiado de los sistemas, para un uso adecuado de los servicios de procesamiento de información. Establecer un procedimiento para el uso de controles criptográficos tomando en cuenta las recomendaciones detalladas en la sección 3.2.5.11.6 Capacitar al personal sobre la importancia de la seguridad de la información y las diferentes formas de implementar seguridad. Protección de los datos y privacidad de la información personal 15.1.4 “Se debería garantizar la protección de los datos y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes y, si se aplica, con las cláusulas del contrato”. Prevención del uso inadecuado de los servicios de procesamiento de información 15.1.5 “Se debería disuadir a los usuarios de utilizar los servicios de procesamiento de información para propósitos no autorizados”. Reglamentación de los controles criptográficos 15.1.6 “Se deberían utilizar controles criptográficos que cumplan todos los acuerdos, las leyes y los reglamentos pertinentes”. Educación, formación y concienciación sobre la seguridad de la información 8.2.2 “Todos los empleados de la organización y, cuando sea pertinente, los contratistas y los usuarios de terceras partes deberían recibir formación adecuada en concienciación y actualizaciones regulares sobre las políticas y los procedimientos de la organización, según sea pertinente para sus funciones laborales”. Establecer políticas y procedimientos para el intercambio de información de acuerdo a lo recomendado en la sección 3.2.5.6.19 de la descripción de los controles para el tratamiento de los riesgos. Ej.: No dejar información sensible o crítica en copiadoras o impresoras. Capacitar al personal sobre la importancia de la privacidad de conversaciones confidenciales. Crear una política que establezca los derechos de propiedad intelectual que defina el uso legal del software y de los productos de información. Derechos de propiedad intelectual (DPI) 15.1.2 Políticas y procedimientos para el intercambio de información 10.8.1 “Se deberían establecer políticas, procedimientos y controles formales de intercambio para proteger la información mediante el uso de todo tipo de servicios de comunicación”. Políticas y procedimientos para el intercambio de información 10.8.1 Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 379 Ausencia de procedimientos de identificación y valoración de riesgos Vulnerabilidad Nivel del Riesgo Servicios Definir directrices de seguridad que permitan identificar los mensajes que requieren integridad. Ej.: Usar controles criptográficos para asegurar la integridad del mensaje. Integridad del mensaje 12.2.3 “Se deberían identificar los requisitos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones, así como identificar e implementar los controles adecuados”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Aprendizaje debido a los incidentes de la seguridad de la información 13.2.2 “Deberían existir mecanismos que permitan cuantificar y monitorear todos los tipos, volúmenes y costos de los incidentes de seguridad de la información”. Fuga de información 12.5.4 “Se deberían evitar las oportunidades para que se produzca fuga de información”. Definir periodos de tiempo para el almacenamiento de registros que sirven para auditoría considerando la información definida en la sección 3.2.5.6.27 Ej.: Registrar la fecha y hora de eventos claves. Registro de auditorías 10.10.1 “Se deberían elaborar y mantener durante un periodo acordado las grabaciones de los registros para auditoría de las actividades de los usuarios, las excepciones y los eventos de la seguridad de la información con el fin de facilitar las investigaciones futuras y el monitoreo del control de acceso”. Planificar un monitoreo y gestión de riesgos periódico dentro de la DTT para lo cual se puede utilizar el sistema desarrollado en este proyecto. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Establecer un procedimiento para identificar los mecanismos de posibles fugas de información con los recursos actuales de la institución Ej.: Revisar los permiso de acceso a la información que tienen los usuarios. Planificar monitoreos periódicos de medios removibles que contengan información sensible. Realizar un monitoreo periódico de las actividades del personal en cuanto al uso a los recursos en los sistemas de computador. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 380 Ausencia en el Personal Mal manejo de cuentas de usuario para la autenticación de usuarios en el sistema LDAP (Active Directory) Vulnerabilidad Moderado Bajo Moderado Nivel del Riesgo Telefonía IP Switching y Routing DNS, DHCP, NTP Antivirus SICOEIR Recursos Compartidos Recursos Compartidos Switching y Routing DNS, DHCP, NTP Servicios Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Registrar y analizar las fallas que se presentan en los diferentes servicios a cargo de la DTT, garantizando que se resuelven correctamente. Registro de fallas 10.10.5 “Las fallas se deberían registrar y analizar, y se deberían tomar las acciones adecuadas”. Control de la vulnerabilidades técnicas 12.6.1 “Se debería obtener información oportuna sobre las vulnerabilidades técnicas de los sistemas de información que están en uso, evaluar la exposición de la organización a dichas vulnerabilidades y tomar las acciones apropiadas para tratar los riesgos asociados”. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Realizar la identificación de las vulnerabilidades técnicas en los servicios a cargo de la DTT tomando en consideración los lineamientos de la sección 3.2.5.8.16 Ej.: Estructurar una línea de tiempo para reacción ante la presencia de vulnerabilidades técnicas. Recomendaciones Controles faltantes Tabla 4.3. Recomendaciones para los controles faltantes en la DTT 381 382 La identificación y la comunicación de los riesgos en la seguridad de la información se realiza mediante la presentación de las tablas de recomendaciones para los controles a aplicarse que permiten la mitigación de los riesgos, considerando la sugerencia de tratar las vulnerabilidades valoradas como Muy Altas, Altas, Moderadas y Bajas para su reducción, de acuerdo a los criterios de aceptación del riesgo definidos en la sección 2.4.1.1.1 Criterios de aceptación del riesgo, con lo cual finaliza el desarrollo de este proyecto. Para la fase de aceptación del riesgo es necesaria la aplicación de los controles planteados para las diferentes vulnerabilidades por parte de la dirección y el continuo monitoreo y revisión de los riesgos residuales, hasta llegar a un nivel del riesgo aceptado de acuerdo a los criterios de aceptación del riesgo establecidos. 4.4. FUNCIONAMIENTO DE GOBIERNO DE TI ENFOCADO A LA GESTIÓN DE RIESGOS EN LA SEGURIDAD DE LA INFORMACIÓN Al hablar de Gobierno de TI, se está asegurando que se evalúan las necesidades, condiciones y opciones de las partes interesadas para determinar si se alcanzan las metas y objetivos acordados. Las metas relacionadas con las TI y los procesos de COBT 5 [4] referentes a seguridad de la información se relacionan entre sí, y estas relaciones pueden ser definidas como Primarias cuando hay una relación importante, y cuando todavía hay un vínculo fuerte, pero menos importante se define como Secundaria. A continuación, se describen los dominios en donde se clasifican los procesos relacionados a la seguridad de la información y a la gestión de riesgos en la seguridad de la información que tienen que ver con el Gobierno de TI y la Gestión de TI, los procesos mencionados anteriormente son: · EDM 03, Asegurar la optimización del riesgo · APO 12, Gestionar el riesgo · APO 13 Gestionar la seguridad · DSS 05, Gestionar los servicios de seguridad 383 4.4.1. PROCESOS RELACIONADOS AL GOBIERNO DE TI 4.4.1.1. Dominio Evaluación-Orientación-Supervisión (EDM) Dentro de este dominio se considera el proceso EDM 03 (Asegurar la optimización del riesgo), que es uno de los cinco procesos que existen en Gobierno de TI [4] y define prácticas de evaluación, orientación y supervisión (EDM en sus siglas en inglés). El proceso EDM03 y la relación con los objetivos de TI se representa en la Figura 4.2. 4.4.2. PROCESOS RELACIONADOS A LA GESTIÓN DE TI La Gestión de TI se encarga de analizar el uso de medios (recursos, personas, procesos, prácticas, etc.) para conseguir un fin identificado. Es la parte fundamental para el cual, el grupo que gobierna, consigue un resultado u objetivo. La gestión es responsable de la ejecución y correcto funcionamiento de las TI para la dirección establecida, dentro de la institución, llámese este grupo que gobierna. La gestión es la parte fundamental de las actividades operacionales de planificación, construcción, organización y control, que se alinean con la dirección que establece el grupo que gobierna y la información sobre dichas actividades. La Gestión de Riesgos es uno de los objetivos de Gobierno de TI, para lo cual se requiere reconocer un riesgo, evaluar su impacto y probabilidad, y desarrollar estrategias, como se plantea en la Norma 27005 [2]. Las actividades antes mencionadas se realizan en el desarrollo de este proyecto en las secciones: 2.4 (Análisis de Riesgos en la Seguridad de la Información en la Dirección Nacional de Desarrollo Tecnológico en Telecomunicaciones), 3.3 (Tratamiento de los Riesgos en la Seguridad de la Información presentes en la DTT aplicando los controles de la norma NTE INENISO/IEC 27002:2009) y 4.3 (Recomendaciones para los controles a aplicar en la DTT según la norma NTE INEN-ISO/IEC 27002:2009) Con esto se llega a la reducción de los riesgos Muy Altos, Altos y Moderados, y a la retención de los riesgos Bajos, de acuerdo a lo establecido en los criterios de aceptación del riesgo definidos en la sección 2.4.1.1.1. (Criterios de aceptación del riesgo). 384 4.4.2.1. Dominio Alinear-Planificar-Organizar (APO) Dominio basado en la estrategia, objetivos y metas institucionales, para dar respuestas óptimas a las Tecnologías de Información. También la visión estratégica necesita un correcto análisis que permita: ser planeada, comunicada y administrada desde diferentes perspectivas, optimizando así la Gestión de TI, el portafolio de proyectos, proveedores, el presupuesto asignado, el talento humano, los riegos y la calidad, entre lo más relevante. Los procesos tomados de este dominio son el APO12 y APO13. El proceso APO12 y la relación con los objetivos de TI se representa en la Figura 4.3 y el proceso APO13 y la relación con los objetivos de TI se representa en la Figura 4.4. 4.4.2.2. Dominio Entregar, Dar Servicio y Soporte (DSS) Se refiere a la entrega de los servicios requeridos, el mantenimiento y soporte técnico necesario, también toma en cuenta las actividades operativas requeridas para mantener los servicios funcionando, identificar y solventar las incidencias y problemas relacionados a estos, así como gestionar la continuidad y seguridad de mencionados servicios. Dentro de este dominio se considera el proceso DSS05 representado en la Figura 4.5. Lo que se busca al implantar un Gobierno de TI, es crear una metodología de trabajo para las buenas practicas institucionales, logrando un mejor rendimiento y un crecimiento empresarial sustancial. Gobierno de TI se puede aplicar a toda una empresa o a una parte de la empresa (es decir a una Dirección), este proyecto está dirigido a la DTT, enfocado en la parte de Gestión de Riesgos de la Seguridad de la información. Con el análisis de las posibles vulnerabilidades de cada uno de los servicios de la DTT y tratamiento de las mismas, se puede hacer una correcta gestión del riesgo en la seguridad de la información, de esta manera se minimizan los riesgos existentes y las probabilidades de nuevos riesgos, logrando un mejor desempeño en la institución. La norma 27005 [2] realiza la gestión de riesgos en la seguridad de la información en sus fases: Establecimiento del contexto, Análisis del riesgo, Evaluación del riesgo, Tratamiento del riesgo, descritas en la sección 1.5 (ANÁLISIS DE LA NORMA NTE INEN-ISO/IEC 27005:2012). Figura 4.2. Proceso EDM03 y sus objetivos relacionados con Ti 385 385 Figura 4.3. Proceso APO12 y sus objetivos relacionados con TI 386 386 Figura 4.4. Proceso APO13 y sus objetivos relacionados con TI 387 Figura 4.5. Proceso DSS05 y sus objetivos relacionados con TI 388 388 389 Una vez que se establezcan las políticas y procedimientos de seguridad, recomendadas para el cumplimiento de ciertos controles en la sección 4.3 (Recomendaciones para los controles a aplicar en la DTT según la norma NTE INEN-ISO/IEC 27002:2009), éstos se deben cumplir en su totalidad, con la finalidad de que todos los funcionarios de la institución tengan una metodología de trabajo correcta, haciendo que el funcionamiento de estas políticas sea eficaz. Para el cumplimiento de todas estas normativas se considera que es necesaria la creación de un área que estará encargada de: · Cumplimiento del negocio, de las leyes y regulaciones externas relacionadas a la seguridad de la información, riesgos de negocio relacionados con las TI gestionadas y transparencia de los costes, beneficios y riesgos de las TI · Infraestructura de procesamiento y aplicaciones, y disponibilidad de información útil y relevante para la toma de decisiones · Entrega de servicios de TI de acuerdo a los requisitos del negocio y uso adecuado de aplicaciones, información y soluciones tecnológicas Una vez creada el área que se encargará de verificar el cumplimiento de las políticas y procedimientos, el Director de la DTT deberá hacer un análisis periódico, para saber cómo fueron atendidos todos los requerimientos del personal de la Institución, y se obtendrá como resultado la eficacia o deficiencia de los dominios de TI con los que se está trabajando. Después de haber hecho la gestión de riesgos en la seguridad de la información, de haber analizado cada uno de los servicios con sus posibles vulnerabilidades, y de haber propuesto un tratamiento a dichos riesgos mediante la aplicación de controles de la Norma 27002 [6], lo que se deberá hacer es una nueva evaluación de los riesgos analizados para verificar la eficacia de los controles aplicados, y confirmar que se hayan producido mejoras que aseguren una óptima metodología de trabajo. 390 5.CAPÍTULO 5 CONCLUSIONES Y RECOMENDACIONES 5.1. CONCLUSIONES · Gobierno de TI es una metodología de trabajo para las buenas prácticas institucionales, para lo cual COBIT 5 planteas procesos que ayudan a evaluar las necesidades, condiciones y otras opciones que le permitan alcanzar a la DTT sus metas y objetivos de TI. · COBIT 5 enuncia, dentro de todos sus procesos, cuatro procesos relacionados a seguridad de la información y a la gestión de riesgos en la seguridad de la información que son: EDM03 (Asegurar la optimización del riesgo), APO12 (Gestionar el riesgo), APO13 (Gestionar la seguridad) y DSS05 (Gestionar los servicios de seguridad), logrado un mejor rendimiento empresarial. · El diseño de este Sistema de Gestión de Riesgos en la Seguridad de la Información para la DTT toma como referencia lo relacionado a seguridad de la información de COBIT 5, en donde se recomienda la utilización de las normas 27000, por lo que se trabaja específicamente con la norma NTE INEN-ISO/IEC 27005:2012, que trata la Gestión del Riesgo en la Seguridad de la Información. · Este Sistema de Gestión de Riesgos en la Seguridad de la Información, basado en la Norma NTE INEN-ISO/IEC 27005: 2012 , ayuda a la DTT en lo relacionado a la seguridad de la información, ya que al ser parte de una Institución del Estado debe cumplir con los máximos estándares de Seguridad en la Información. · Las Normas NTE INEN-ISO/IEC 27001:2011 y NTE INEN-ISO/IEC 27002:2009 son importantes porque ayudan a la comprensión de la Norma NTE INEN-ISO/IEC 27005:2012, proporcionando conceptos, modelos, procesos y terminologías usadas en este conjunto de normas. 391 · La norma NTE INEN-ISO/IEC 27001:2011 trabaja con todo lo relacionado a un Sistema de Gestión de Seguridad de la Información (SGSI), y por medio de esta norma se certifican los SGSI de las organizaciones por auditores externos; dentro de esta norma se plantea la Gestión del Riesgo en la Seguridad de la Información, que es tratada de forma específica en la Norma NTE INEN-ISO/IEC 27005:2012 y es el objetivo de este proyecto. · La norma 27002 da directrices para la minimización de riesgos de acuerdo al análisis de las vulnerabilidades encontradas en los diferentes servicios de la DTT, planteando controles que garanticen minimizar los riesgos hasta un nivel aceptable. · La Norma NTE INEN-ISO/IEC 27005: 2012 es una guía para la gestión de riesgos en la seguridad de la información mediante los procesos de: establecimiento del contexto, valoración del riesgo, tratamiento del riesgo y aceptación del riesgo, que forma parte de la fase Planificar del SGSI de la Norma NTE INEN-ISO/IEC 27001:2011. · La clasificación de activos se realizó de acuerdo a lo establecido en la Norma NTE INEN-ISO/IEC 27002:2009, que plantea activos: de información, físicos, de software y de servicios, que permite hacer un análisis más adecuado para cada tipo de servicio, ya que tendrán vulnerabilidades relacionadas entre sí. · Se hace una descripción detallada del Centro de Cómputo principal de la SUPERTEL en la sección 2.2.1.3, porque es donde se encuentran todos los equipos principales de comunicaciones y resguardo de la información, y a su vez tiene conexiones a las demás dependencias de la Institución. Este Centro de Cómputo es administrado por un funcionario de la DTT. · Para el establecimiento del contexto se analizaron todos los activos, previamente clasificados, utilizando un enfoque cualitativo, y usando una matriz que se forma de combinar la probabilidad de que ocurra una amenaza con la magnitud del daño de dicha amenaza, para lo cual se asignó un valor numérico que permita obtener resultados más aproximados a la realidad. 392 · La norma NTE INEN-ISO/IEC 27005:2012 contiene anexos que facilitan el proceso de gestión de los riesgos en la seguridad de la información, ya que detalla la información que se necesita para este proceso y permite organizar la información de forma que sea más comprensible y objetiva para cada etapa de la gestión del riesgo en la seguridad de la información. · Para la valoración del riesgo se establecieron diferentes criterios básicos que son: criterios de probabilidad de ocurrencia de las vulnerabilidades, criterios de impacto de acuerdo al tiempo que el servicio se encuentra sin funcionamiento y de acuerdo a la pérdida de información que pueda producirse por la caída del servicio, criterios de evaluación del riesgo y criterios de aceptación del riesgo, los cuales permiten realizar la evaluación de riesgos. · Para establecer qué criterios básicos son los necesarios para realizar la evaluación de riesgos, se consideraron aspectos como: la probabilidad de que se presente una vulnerabilidad porque permite definir con qué frecuencia se verá afectado un servicio por esa vulnerabilidad, el tiempo sin funcionamiento de un servicio y el porcentaje de pérdida de información que pueda darse en un servicio si deja de funcionar, porque permiten establecer la rapidez con la que deberán actuar los controles. · La definición de los diferentes niveles de probabilidad de ocurrencia de vulnerabilidades, tiempos sin funcionamiento de los servicios y porcentaje de pérdida de información en caso de caída de servicios se realizó considerando los procedimientos que se manejan en la DTT y la información recolectada de cada uno de los servicios por medio de entrevistas a cada funcionario de esta Dirección. · Las metodologías para la estimación del riesgo pueden ser cuantitativas, cualitativas o una combinación de las anteriores, para nuestro análisis se empleó una metodología cualitativa que permite ver de forma menos compleja el nivel de los riesgos en la seguridad de la información, haciendo que sea de fácil comprensión para el personal pertinente. 393 · La Norma NTE INEN-ISO/IEC 27005:2012 establece cuatro formas de tratamiento del riesgo en la seguridad de la información: reducción del riesgo, retención del riesgo, evitación del riesgo y transferencia del riesgo; en el desarrollo de este proyecto se realiza la reducción y retención de los riesgos, no se plantea la evitación de riesgos, debido a que esta actividad implica análisis de costos, lo cual está fuera del alcance de este proyecto; en caso de plantearse la trasferencia de riesgos, se lo hará considerando los controles necesarios para minimizar las vulnerabilidades de dicho servicio. · Se plantean los controles necesarios para mitigar todas las vulnerabilidades que afecten a un servicio, pero se considera de mayor importancia la aplicación de controles para las vulnerabilidades que produzcan riesgos valorados como Muy Altos, Altos, Moderados y Bajos, porque se busca que el riesgo sea reducido o mitigado, de acuerdo a los criterios de aceptación del riesgo. · De acuerdo a los controles planteados en la Norma NTE INEN-ISO/IEC 27002:2009 y del análisis realizado a la situación actual de la DTT, se clasificaron estos controles en: controles existentes en los servicios de la DTT, que en algunos casos necesitan mejorarse, y controles faltantes que no existen en la DTT pero que son necesarios para el tratamiento de los riesgos en la seguridad de la información. · Las recomendaciones planteadas en el capítulo 4 orientan en la aplicación de los controles faltantes y mejora de controles que actualmente son utilizados en la DTT, con la finalidad de que la aplicación de los controles sea la adecuada y de acuerdo a la realidad de la DTT, y que se tenga la mayor mitigación posible de los riesgos. 5.2. RECOMENDACIONES · Al tener Centros de Cómputo de respaldo, se recomienda que se planifique contar con capacidad de almacenamiento similar a la del Centro de Cómputo principal para el respaldo de todos los servicios, 394 en un lugar alejado de la ubicación del Centro de Cómputo principal, para evitar que los servicios queden sin funcionamiento por un tiempo considerable. · En la etapa de planificación de procesos y proyectos se deben considerar aspectos relacionados con la seguridad de la información que serán necesarios para evitar riesgos en la seguridad de la información, permitiendo que en el desarrollo de estos proyecto la presencia de riesgos en la seguridad de la información sea la mínima. · Para los módulos desarrollados en el proyecto SICOEIR, se debe establecer una priorización que permita tener mayor control, tanto de la información que ingresa como la que sale, para definir de mejor manera los controles que serán necesarios para mitigar los riesgos que puedan presentarse en estos módulos. · Se observa la necesidad de aplicar inmediatamente los controles propuestos para las vulnerabilidades relacionadas al mantenimiento de los servicios de apoyo del Centro de Cómputo, puesto que es de suma importancia que su funcionamiento sea el más adecuado. · Se debe verificar el cumplimiento de controles relacionadas al control de acceso, principalmente al Centro de Cómputo, considerando actividades como registro de personal ajeno a la institución que ingresa al Centro de Cómputo, las actividades que se realicen, entre otros. · Se recomienda una administración adecuada de la información que manejan de funcionarios que salen de la institución, con el propósito de que la información quede organizada de la mejor manera posible y que facilite su utilización. · Las capacitaciones a los funcionarios de la Institución que se platean como necesarias para la Gestión de Riesgos en la Seguridad de la Información, deben ser aplicadas y evaluadas periódicamente, para garantizar que el personal crea conciencia sobre aspectos de seguridad. 395 REFERENCIAS BIBLIOGRÁFICAS [1] W. Stallings, Network Security Essentials, Aplications and Standards, Prentice Hall, 2011. [2] INEN-ISO/IEC, NTE INEN-ISO/IEC 27005:2012 - TECNOLOGÍA DE LA INFORMACIÓN-TÉCNICAS DE SEGURIDAD-GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN, Quito, 2012. [3] A. S. Tanenbaum, Redes de Computadoras, Prentice Hall, 2003. [4] ISACA, COBIT 5, Un Marco de Negocio para el Gobierno y la Gestión de las TI de la Empresa, Rolling Meadows, 2012. [5] INEN-ISO/IEC, NTE INEN-ISO/IEC 27001:2011 - TECNOLOGÍA DE LA INFORMACIÓN-TÉCNICAS DE SEGURIDAD-SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI)-REQUISITOS, Quito, 2011. [6] INEN ISO/IEC, NTE INEN-ISO/IEC 27002:2009 - TECNOLOGÍA DE LA INFORMACIÓN-TÉCNICAS DE LA SEGURIDAD-CÓDIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN, Quito, 2009. [7] NIST, «System Security Engineering,» [En línea]. Available: http://csrc.nist.gov/publications/drafts/800-160/sp800_160_draft.pdf. [Último acceso: Julio 2014]. [8] IEC/FDIS, «Risk management - Risk assessment techniques IEC/FDIS 31010,» 2009. [En línea]. Available: http://www.previ.be/pdf/31010_FDIS.pdf. [Último acceso: Julio 2014]. [9] Superintendencia de Banca, Seguros y AFP - República del Perú, «Basilea II y Basilea III,» [En línea]. Available: http://www.sbs.gob.pe/0/modulos/JER/JER_Interna.aspx?PFL=0&JER=1075. [Último acceso: Julio 2014]. [10] Security Standars Council, «PCI DSS Data Security Standards,» [En línea]. Available: https://www.pcisecuritystandards.org/security_standards/. [Último acceso: Julio 2014]. 396 [11] SUPERTEL, «ESTATUTO ORGÁNICO DE GESTIÓN ORGANIZACIONAL POR PROCESOS,» Quito, 2013. [12] SUPERTEL, [En línea]. Available: www.supertel.gob.ec/intranet. [Último acceso: Junio 2014]. [13] SUPERTEL, «PLAN OPERATIVO ANUAL 2014,» Quito, 2014. [14] SUPERTEL, «“INFORME DE RESULTADOS DE LA EVALUACIÓN REALIZADA AL MODELO DE GOBIERNO DE TI ACTUAL DE LA DTT",» Quito, 2013.
