-i- http:// bibdigital.epn.edu .ec/ handle/15000/93 10 ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN GESTIÓN DE LAS COMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN JOSEPH ALEXANDER GUAMÁN SEIS [email protected] DIRECTOR: ING. DIANA CECILIA YACCHIREMA VARGAS [email protected] Quito, Abril del 2015 -ii- DECLARACIÓN Yo, Joseph Alexander Guamán Seis, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentada para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedo mi derecho de propiedad intelectual correspondiente a éste trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normativa institucional vigente. Joseph Alexander Guamán Seis -iii- CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Joseph Alexander Guamán Seis, bajo mi supervisión. Ing. Diana Yacchirema DIRECTOR -iv- AGRADECIMIENTO Agradezco a Dios por bendecirme cada día de mi vida y permitirme cumplir este objetivo. A la Escuela Politécnica Nacional, a sus autoridades, profesores y facilitadores que compartieron su conocimiento y experiencias que fue de gran utilidad en la carrera, un agradecimiento muy especial a la Ingeniera Diana Yacchirema y al Doctor Enrique Mafla por sus lineamientos, predisposición, paciencia y guía para la elaboración de este proyecto. A la Armada del Ecuador, en especial a la Dirección de Tecnologías de la Información y Comunicaciones por el apoyo brindado en la consecución de este trabajo. A mi familia por la paciencia e impulso en la culminación de este sueño. -v- DEDICATORIA El presente trabajo lo dedico a mi Madre quien descansa en la paz del Señor desde el año 1976 junto a mis abuelitas Margarita y Petrona. A mi padre Rosendo, mis tíos, mis hermanas, mis sobrinos, mis primos y todos mis seres queridos que los llevo en mi corazón. A mi adorada hija Dafna Jordana quien me prestó el tiempo que le pertenecía y me motivó siempre con sus notitas “no te rindas”, “tu puedes” ¡Gracias mi muñeca de oro!, a Aníbal Sebastián y Franz Alexander que son mi inspiración y a todas aquellas personas que de una u otra forma colaboraron en la realización de este gran sueño hecho realidad. Joseph -vi- CONTENIDO CAPÍTULO 1. EL PROBLEMA .............................................................................. 1 1.1. DEFINICIÓN DEL PROBLEMA................................................................... 2 1.2. OBJETIVO DE LA INVESTIGACIÓN ........................................................... 3 1.2.1. OBJETIVO GENERAL ........................................................................... 3 1.2.2. OBJETIVOS ESPECÍFICOS .................................................................. 3 1.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ................... 4 1.4. ALCANCE Y LIMITACIONES...................................................................... 5 CAPITULO 2. MARCO TEÓRICO ......................................................................... 7 2.1. ANTECEDENTES DE LA INVESTIGACIÓN ............................................... 7 2.2. BASES TEÓRICAS ..................................................................................... 8 2.2.1. SEGURIDAD INFORMÁTICA ............................................................... 8 2.2.2. SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS ......................... 10 2.2.3. PROPIEDADES DE LA SEGURIDAD INFORMÁTICA ....................... 11 2.2.4. OBJETIVOS DE LA SEGURIDAD ...................................................... 12 2.2.5. TÉRMINOS DE RIESGO .................................................................... 14 2.2.6. FACTORES DE RIESGO ................................................................... 14 2.2.7. ANÁLISIS DEL RIESGO Y SU EVALUACIÓN ................................... 17 2.3. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ......... 19 2.3.1. ISO/IEC 27001:2005 ............................................................................ 19 2.3.2. HERRAMIENTAS PARA EL ANÁLISIS DE RIESGO ......................... 23 2.4. BASES LEGALES ..................................................................................... 26 2.4.1. ESTÁNDARES INTERNACIONALES .................................................. 26 2.4.2. LEYES NACIONALES ........................................................................ 27 2.4.3 NORMATIVA INTERNA ....................................................................... 27 2.5. SISTEMA DE VARIABLES........................................................................ 27 -vii- 2.5.1. ANÁLISIS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ............................................................................................. 30 CAPÍTULO 3. DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES ......................................... 33 3.1. ALCANCE DEL DISEÑO DEL SGSI ......................................................... 33 3.2. DISEÑO DE LA INVESTIGACIÓN ............................................................ 34 3.2.1. FASE I DIAGNÓSTICO ......................................................................... 35 3.2.2. POBLACIÓN Y MUESTRA .................................................................... 35 3.2.3. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS........ 37 3.2.4. VALIDEZ DEL INSTRUMENTO ............................................................. 39 3.2.5. CONFIABILIDAD DEL INSTRUMENTO ................................................ 40 3.2.6. TÉCNICAS DE ANÁLISIS DE LOS DATOS .......................................... 42 3.2.7. RESULTADOS ....................................................................................... 42 3.2.8 OBSERVACIÓN DIRECTA ..................................................................... 72 3.2.9 CONCLUSIONES DEL DIAGNÓSTICO ................................................. 76 3.2.10 RECOMENDACIONES DEL DIAGNÓSTICO ....................................... 78 3.3 FASE II FACTIBILIDAD ............................................................................. 79 3.3.1 FACTIBILIDAD OPERATIVA ............................................................... 80 3.3.2 FACTIBILIDAD TÉCNICA .................................................................... 81 3.3.3 FACTIBILIDAD ECONÓMICA ............................................................. 82 3.4 FASE III ESTABLECIMIENTO DEL DISEÑO DEL SGSI .......................... 83 3.4.1 DISEÑO DEL SGSI.............................................................................. 83 CAPÍTULO 4. APLICACIÓN DEL DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES. ...... 86 4.1 DESCRIPCIÓN DE LA PROPUESTA ........................................................ 86 4.3 ALCANCE DEL DISEÑO DEL SGSI. ......................................................... 87 4.3 POLÍTICA DE UN SGSI ............................................................................. 91 -viii- 4.4 ENFOQUE DE EVALUACIÓN DE RIESGO .............................................. 93 4.5 IDENTIFICACIÓN DEL RIESGO ............................................................... 94 4.5.1 IDENTIFICACIÓN DE LOS ACTIVOS ................................................. 94 4.5.2 IDENTIFICACIÓN DE AMENAZAS ..................................................... 97 4.5.3 IDENTIFICACIÓN DE VULNERABILIDADES.................................... 110 4.5.4 CÁLCULO DE AMENAZAS Y VULNERABILIDADES ....................... 118 4.6 ANÁLISIS DEL RIESGO, VALORACIÓN Y EVALUACIÓN ................... 136 4.7 IDENTIFICAR Y EVALUAR LAS OPCIONES PARA EL TRATAMIENTO DEL RIESGO .................................................................................................. 148 4.8 SELECCIONAR LOS OBJETIVOS DE CONTROL Y CONTROLES PARA EL TRATAMIENTO DEL RIESGO .................................................................. 149 4.9 OBTENER LA APROBACIÓN, POR PARTE DE LA DIRECCIÓN, DE LOS RIESGOS RESIDUALES PROPUESTOS. ..................................................... 152 4.10 OBTENER LA AUTORIZACIÓN DE LA DIRECCIÓN PARA IMPLEMENTAR Y OPERAR EL SGSI. ........................................................... 154 4.11 DECLARACIÓN DE APLICABILIDAD .................................................... 156 4.12 FACTIBILIDAD ....................................................................................... 161 4.12.1 FACTIBILIDAD OPERATIVA ........................................................... 161 4.12.2 FACTIBILIDAD TÉCNICA ................................................................ 164 4.12.3 FACTIBILIDAD ECONÓMICA ......................................................... 170 CAPÍTULO 5. CONCLUSIONES Y RECOMENDACIONES.............................. 184 5.1 CONCLUSIONES .................................................................................... 184 5.2 RECOMENDACIONES ............................................................................ 186 REFERENCIAS BIBLIOGRAFÍCAS ................................................................... 188 ANEXOS ............................................................................................................ 192 -ix- ANEXO A. ESTRUCTURA ORGANIZACIONAL DE LA DIRTIC ANEXO B. ESTRUCTURA ORGANIZACIONAL DEL CETEIN ANEXO C. INSTRUMENTO DE RECOLECCIÓN DE DATOS ANEXO D. FORMATO PARA LA REVISIÓN Y VALIDACIÓN DEL INSTRUMENTO DE RECOLECCIÓN DE DATOS ANEXO E. CÁLCULO DE LA CONFIABILIDAD. MÉTODO ALPHA DE CROMBACH ANEXO F. TABLA A1.1 OBJETIVOS DE CONTROL Y CONTROLES DE LA NORMA ISO/IEC 27001:2005 ANEXO G. LOCALIZACIÓN DE LA DIRTIC Y CETEIN ANEXO H. POLITÍCA DE SEGURIDAD DE LA INFORMACIÓN DE LA DIRTIC ANEXO I. VERIFICACIÓN DE LAS VULNERABILIDADES ANEXO J. PROCEDIMIENTOS CORRESPONDIENTES A LOS CONTROLES 6.3.1, A9.3.1 y A.9.5.4 ANEXO K. CRONOGRAMA DE IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN -x- ÍNDICE DE FIGURAS Figura 1. Historia de ISO 27001. .......................................................................... 20 Figura 2. Familia de estándares de la ISO 27000. ............................................... 21 Figura 3. Modelo de PHVA aplicado a los procesos del SGSI. ISO/IEC 27001:2005. ......................................................................................................... 22 Figura 4: Enfoque a procesos del ISO 27001:2005 .............................................. 23 Figura 5. Metodología de las elipses de Dirección de Tecnologías de la Información y Comunicaciones. ........................................................................... 90 Figura 6. Diagrama Físico de red de la Dirección de Tecnologías de la Información y Comunicaciones. ........................................................................... 91 -xi- ÍNDICE DE GRÁFICOS Gráfico 1. Porcentajes de las respuestas dadas a las preguntas sobre Políticas de Seguridad. ............................................................................................................ 44 Gráfico 2. Porcentajes de las respuestas dadas a las preguntas sobre Organización de la Seguridad de la Información. ................................................. 47 Gráfico 3. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Activos. ................................................................................................................. 49 Gráfico 4. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad de Recursos Humanos. ........................................................................................ 52 Gráfico 5. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad Física y Ambiental. ............................................................................................... 55 Gráfico 6. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Comunicaciones y Operaciones. .......................................................................... 59 Gráfico 7. Porcentajes de las respuestas dadas a las preguntas sobre Control de Accesos. ............................................................................................................... 62 Gráfico 8. Porcentajes de las respuestas dadas a las preguntas sobre Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. ................................... 65 Gráfico 9. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Incidente de Seguridad de la Información. ........................................................... 67 Gráfico 10. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Continuidad del Negocio. ..................................................................................... 69 Gráfico 11. Porcentajes de las respuestas dadas a las preguntas sobre Cumplimiento. ...................................................................................................... 71 -xii- ÍNDICE DE TABLAS Tabla 1. Operacionalización de las Variables....................................................... 28 Tabla 2. Descripción de la Población de la DIRTIC. ............................................ 36 Tabla 3. Criterios de Confiabilidad. ..................................................................... 42 Tabla 4. Resultados de las respuestas dadas a las preguntas sobre la dimensión Políticas de Seguridad. ........................................................................................ 44 Tabla 5. Resultados de las respuestas dadas a las preguntas sobre la dimensión de la Organización de la Seguridad de la Información. ........................................ 46 Tabla 6. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Activos. .............................................................................................. 49 Tabla 7. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad de Recursos Humanos........................................................................ 51 Tabla 8. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad Física y Ambiental. .............................................................................. 54 Tabla 9. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Comunicaciones y Operaciones......................................................... 58 Tabla 10. Resultados de las respuestas dadas a las preguntas sobre la dimensión Control de Accesos. ............................................................................................. 62 Tabla 11. Resultados de las respuestas dadas a las preguntas sobre la dimensión Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. ............... 65 Tabla 12. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Incidente de Seguridad de la Información. ......................................... 67 Tabla 13. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Continuidad del Negocio. ................................................................... 69 Tabla 14. Resultados de las respuestas dadas a las preguntas sobre la dimensión Cumplimiento. ...................................................................................................... 70 Tabla 15. Observación directa............................................................................. 73 Tabla 16. Activos Primarios clasificados. ............................................................. 95 Tabla 17. Amenazas definidas. ............................................................................ 97 -xiii- Tabla 18. Cruce de las amenazas Vs. Activos. ................................................. 105 Tabla 19. Vulnerabilidades clasificadas. ........................................................... 110 Tabla 20. Resumen de las vulnerabilidades para la Dirección de Tecnologías de la Información y Comunicaciones. ......................................................................... 118 Tabla 21. Cruce de las Amenazas y las Vulnerabilidades de la Sala de Servidores (Activo 2.32). ...................................................................................................... 119 Tabla 22. Vulnerabilidades potenciales que pueden afectar la Sala de Servidores (Activo 2.32). ...................................................................................................... 120 Tabla 23. Amenazas vs. Vulnerabilidades verificadas para la Sala de Servidores (Activo 2.32). ...................................................................................................... 121 Tabla 24. Cruce de las Amenazas y las Vulnerabilidades Software y Aplicaciones. (Activo 7.1) ................................................................................... 122 Tabla 25. Vulnerabilidades Potenciales que pueden afectar Software y Aplicaciones. (Activo 7.1) ................................................................................... 122 Tabla 26. Amenazas Vs. Vulnerabilidades verificadas Software y Aplicaciones. (Activo 7.1) ......................................................................................................... 124 Tabla 27. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S1 (Activo 4.3). ........................................................................................................ 125 Tabla 28. Vulnerabilidades Potenciales del Servidor Windows S1 (Activo 4.3). 126 Tabla 29. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S1 (Activo 4.3). ........................................................................................................ 127 Tabla 30. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S4 (Activo 4.3). ........................................................................................................ 129 Tabla 31. Vulnerabilidades Potenciales del Servidor Windows S4 (Activo 4.3).. 130 Tabla 32. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S4 (Activo 4.3). ........................................................................................................ 131 Tabla 33. Cruce de las Amenazas y las vulnerabilidades Firewall (Activo 5.3). 133 Tabla 34. Vulnerabilidades Potenciales del Firewall (Activo 5.3). ..................... 133 Tabla 35. Amenazas vs. Vulnerabilidades verificadas Firewall (Activo 5.3). ..... 135 Tabla 38. Resumen efectos de las amenazas para la Sala de Servidores. ....... 139 Tabla 39. Niveles particulares de riesgo Software y Aplicaciones. Activo 7.1 .... 140 Tabla 40. Resumen efectos de las amenazas para Software y Aplicaciones. Activo 7.1............................................................................................................ 141 -xiv- Tabla 41. Niveles particulares de riesgo para el Servidor Windows S1 (Activo 4.3) ........................................................................................................................... 142 Tabla 42. Resumen efectos de las amenazas Servidor Windows S1 (Activo 4.3). ........................................................................................................................... 143 Tabla 43. Niveles particulares de riesgo para el Servidor Windows S4 (Activo 4.3). ........................................................................................................................... 144 Tabla 44. Resumen efectos de las amenazas Servidor Windows S4 (Activo 4.3). ........................................................................................................................... 146 Tabla 45. Niveles particulares de riesgo para el Firewall (Activo 5.3). .............. 146 Tabla 46. Resumen efectos de las amenazas Firewall (Activo 5.3). ................. 148 Tabla 47. Plan de tratamiento del riesgo. .......................................................... 150 Tabla 48. Declaración de aplicabilidad del Sistema de Gestión de Seguridad de la Información......................................................................................................... 156 Tabla 49. Perfiles del personal del Dpto. Normalización y Seguridad Telemática de la DIRTIC....................................................................................................... 164 Tabla 50. Equipamiento necesario de la DIRTIC. ............................................. 167 Tabla 51. Salario del Dpto. Normalización y Seguridad Telemática de la DIRTIC. ........................................................................................................................... 171 Tabla 52. Recursos consumibles del Dpto. Normalización y Seguridad Telemática de la DIRTIC....................................................................................................... 172 Tabla 53. Recursos Tecnológicos del Dpto. Normalización y Seguridad Telemática de la DIRTIC. ................................................................................. 172 Tabla 54. Consumo de energía de los quipos informáticos del Dpto. Normalización y Seguridad Telemática de la DIRTIC. ..................................... 174 Tabla 55. Costo Total del Diseño. ..................................................................... 174 Tabla 56. Tasa de Descuento. .......................................................................... 179 Tabla 57. Depreciación anual de Equipos Informáticos. ................................... 179 Tabla 58. Ingresos anuales durante los 3 años. ................................................ 181 Tabla 59. Flujo de Caja del Proyecto. ............................................................... 182 Tabla 60. Resultados de los Índices de Evaluación. ......................................... 183 -xv- RESUMEN El presente trabajo de tesis tiene como objetivo principal Diseñar un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, que incorpore estándares internacionales ajustados al campo militar y nuevas tecnologías de la información y comunicaciones con el fin de contribuir a la modernización de las Instituciones Militares, tomando como caso de estudio en la Armada del Ecuador a la Dirección de Tecnologías de la Información y Comunicaciones. Se desarrolló bajo la modalidad de estudios de proyecto apoyado tanto en una investigación de campo como en la investigación monográfica documental que permitió la elaboración y desarrollo de una propuesta de un modelo operativo viable para solventar los problemas de seguridad de la información de las Instituciones Militares y de la Dirección de Tecnologías de la Información y Comunicaciones. La metodología utilizada se sustentó en tres fases fundamentales, la primera el estudio diagnóstico, la segunda la factibilidad; y la tercera el diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Norma ISO 27001:2005 y usando una combinación de metodologías para la evaluación de los riesgos que ayude a la toma de decisión sobre las opciones de tratamiento de riesgo adecuado. Este estudio consta de cinco capítulos en los cuales se desarrolla cada tema que permite obtener, aplicar y conocer los resultados de la propuesta del diseño: el Capítulo 1, conformado por el problema, en el cual se desarrolló el planteamiento del problema, objetivos de la investigación, justificación e importancia, alcance y -xvi- limitaciones del objeto de estudio. Capítulo 2, denominado Marco Teórico, que contiene los antecedentes de investigación, bases teóricas, bases legales y sistema de variables. Capítulo 3, Diseño de Un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, contiene la naturaleza y diseño de la investigación con la descripción de las fases del proyecto. Capítulo 4, Aplicación de un Diseño de Un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, el cual muestra la justificación, objetivos y descripción de la propuesta. Capítulo 5, se exponen las conclusiones y recomendaciones de la investigación. Finalmente, se presentan las referencias bibliográficas y los anexos correspondientes. -1- CAPÍTULO 1. EL PROBLEMA El uso inadecuado de los recursos tecnológicos en Instituciones Militares, hace que tengan serios problemas de seguridad, esto deriva del aumento desmesurado de los índices de delitos informáticos. (Interfutura, 2012). Alexander Cuenca, especialista de seguridad informática y protección de datos, expresa que las denuncias presentadas por delitos informáticos la mayoría de tipos penales se concentra en el hurto, usurpación de claves, estafa y falsificación electrónica, además existen bandas especializadas en estos ilícitos y le sacan provecho, sobre todo, monetario, en el país operarían piratas informáticos del Perú y Colombia y en Pichincha hay más denuncias, comparando con Guayas: en 2012, en la primera hubo 1.150, y en la segunda provincia 693. En la actualidad, uno de los temas de mayor importancia y trascendencia de toda la sociedad, es la seguridad y resguardo de la información, más aun las Instituciones Militares que tienen información secreta y clasificada. En un caso puntual y real, el grupo de activistas informáticos Anonymus atacó en el 2011, las bases de datos de la Policía Nacional, según datos proporcionados por seguridadydefensa.com.ec, esta agrupación publicó la información personal de más de 45000 policías en la operación denominada Cóndor Libre.(Infobae, 2011). -2- Se ha demostrado en la actualidad, que la filtración de documentos e información confidencial de Instituciones Militares ha provocado problemas muy serios, un ejemplo de esto son los casos Snowden y Assange. Se ve la necesidad urgente de un sistema de seguridad para precautelar información tan sensible como es la de las Instituciones Militares (El Comercio, 2013), (AFP/ Ben Stansall, 2013). 1.1. DEFINICIÓN DEL PROBLEMA Las Instituciones Militares conformadas por la Fuerza Terrestre, Armada del Ecuador y Fuerza Aérea, manejan información calificada que se utiliza a través del Sistema de Comunicaciones, la cual necesita ser protegida. La Armada del Ecuador posee el Sistema de Comunicaciones Navales (SCN)1, que es una infraestructura informática que interconecta a los repartos navales y militares de las Fuerzas Armadas, que se utilizada para trasmitir información (voz, datos y video), servicios automatizados y sistemas corporativos. (D.G.P. COGMAR-INF-002-2010-O, 2010). La utilización de los servicios y sistemas corporativos a través del Sistema de Comunicaciones Navales y el acceso indebido a la información en determinadas redes locales, requieren la implementación de seguridades para el uso de estos servicios por los usuarios de los repartos navales. Se ha detectado accesos indebidos a las redes administrativas debido a los diferentes puntos de internet que existen en las instituciones Militares, también se 1 D.G.P. COGMAR-INF-002-2010-O; 12-JUL-2010. Directiva de Seguridad de la Información. Es una infraestructura de intranet que utiliza las Fuerzas Armadas. -3- ha detectado la falta de implementación de políticas de seguridad así como el limitado personal especializado existente para implementar tales políticas. Es necesario realizar el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, que minimicen los riesgos físicos y lógicos de la información que se transmite, procesa, almacena y distribuye a través del Sistema de Comunicaciones, para la utilización de los servicios y sistemas por los usuarios de los repartos militares y navales. Para el diseño se utilizará las normas ISO/IEC 27001:2005, que permita aplicar controles, con la finalidad de garantizar la confidencialidad, integridad y disponibilidad de la información. (INEN, 2009) 1.2. OBJETIVO DE LA INVESTIGACIÓN 1.2.1. OBJETIVO GENERAL Diseñar un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, que incorpore estándares internacionales ajustados al campo militar y nuevas tecnologías de la información y comunicaciones con el fin de contribuir a la modernización de las Instituciones Militares. 1.2.2. OBJETIVOS ESPECÍFICOS · Evaluar los riesgos de seguridad de la información en las Instituciones Militares · Analizar los requerimientos de seguridad de la información. -4- · Diseñar un Sistema de Gestión de Seguridad de Información para Instituciones Militares. 1.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN El crecimiento acelerado de la tecnología, ha generado graves problemas de vulnerabilidad en las organizaciones, con riesgos e inseguridad así como fraudes informáticos, espionaje, sabotaje, virus informático y ataques de intrusión o negación de servicios. Este tipo de vulnerabilidades ha provocado que en las instituciones militares, se tomen medidas preventivas de seguridad para evitar que la información sea robada o alteradas por terceros con la finalidad de minimizar las amenazas y tratar de mantener la confidencialidad, integridad y disponibilidad de la información. Las Instituciones Militares necesitan el Diseño de un Sistema de Gestión de Seguridad de la Información, que afirme la obtención, procesamiento, almacenamiento y difusión de la información segura a través del Sistema de Comunicaciones y contribuya a su empleo eficaz y eficiente en el cumplimiento de los Objetivos Estratégicos Institucionales.(PDETIC, 2012) En la Armada del Ecuador existe la D.G.P. COGMAR-INF-002-2010-O; 12-JUL2010. Directiva de Seguridad de la Información, en la cual establece las Políticas de Seguridad de la Información para la Armada, como las normas básicas de Seguridad de la Información que deben ser acatadas por los repartos Navales. -5- El Diseño del Sistema de Seguridad del Información establecerá nuevas políticas de seguridad, reglas, planes y acciones para asegurar la información y mejorar la gestión de la seguridad, socializando en los miembros de la Institución la importancia y sensibilidad de la información y la seguridad. 1.4. ALCANCE Y LIMITACIONES El presente proyecto, permitirá efectuar el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, basado en la norma ISO/IEC 27001:2005 para los sistemas de información, se realizará en la Armada del Ecuador, tomando como caso de estudio la Dirección de Tecnologías de la Información y Comunicaciones. Se realizará la evaluación de los riesgos de seguridad de la información en las instituciones militares, para determinar la necesidad de realizar el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, mediante el análisis general de la situación actual de la seguridad de la información para los sistemas de información en la Dirección de Tecnologías de la Información y Comunicaciones. Se analizarán los requerimientos de seguridad de la información mediante la verificación de la factibilidad operativa, técnica y económica para el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, determinando la viabilidad del proyecto y una inversión adecuada para la institución. Finalmente se realizará el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, como un caso de estudio la Dirección de Tecnologías de la Información y Comunicaciones. -6- Al realizar el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares permitirá que los riesgos de la seguridad de la información sean asumidos, gestionados y minimizados por la Institución de una forma evaluada, documentada y estructurada. Debido a la estructura organizacional de las Fuerzas Armadas, el ámbito de aplicación del presente trabajo, alcanza a repartos militares donde existe una relación jerárquica militar o de subordinación, la metodología que en él se propone se centra en la Dirección de Tecnologías de la Información y Comunicaciones, subordinada a la Armada del Ecuador, en la que aportará aspectos metodológicos, lineamientos y políticas de seguridad de la información para la institución. En cuanto a las limitaciones es importante tomar en cuenta que los aspectos que conforman la confidencialidad de la información en las Instituciones Militares, son un factor importante en el desarrollo de la investigación y es por eso que la información mostrada de la Armada del Ecuador y de la Dirección de Tecnologías de la Información y Comunicaciones es referencial y solo para efectos académicos respectivos, en vista que la información militar2 es secreta y confidencial. Para la implementación, operación, revisión, mantenimiento y mejora del Sistema de Gestión de Seguridad de la Información para Instituciones Militares sólo se especificará los lineamientos generales. 2 (COMACO) Manual de Elaboración de Documentación de las Fuerzas Armadas. -7- CAPITULO 2. MARCO TEÓRICO 2.1. ANTECEDENTES DE LA INVESTIGACIÓN La seguridad de la información es un factor de gran importancia para las instituciones militares ya que les proporciona integridad, confiabilidad y disponibilidad de los datos e información que se transmite por medio del Sistema de Comunicaciones. (D.G.P. COGMAR-INF-002-2010-O, 2010). El presente trabajo de investigación aportará a la Dirección de Tecnologías de la Información y Comunicaciones así como a las Instituciones Militares una guía metodológica para la gestión de riesgos en seguridad de información, con la posibilidad de mejorar sus esfuerzos en la administración de TI mediante la inclusión de controles de seguridad. Esta guía una serie de lineamientos básicos para la evaluación de seguridad en un sistema, con el objeto de articular diversos conceptos y técnicas para la identificación y valoración de riesgos. (Santos, 2001). La guía metodológica permitirá determinar que las Instituciones Militares cuenten con registros acerca de los incidentes de seguridad, lo que facilita la labor de determinar el impacto de los riesgos en términos económicos, necesitando considerarse en la mayoría de los casos una serie matrices de impacto de los riesgos en términos cualitativos. -8- Es fundamental que las Instituciones militares registren los incidentes de seguridad con el fin de dar mayor confiabilidad y mejorar los resultados en el ciclo de vida del análisis de riesgos. 2.2. BASES TEÓRICAS El presente trabajo tiene como objeto establecer el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, basado en el estándar (ISO/IEC 27001:2005, 2005). Se trabajará en base a los conceptos establecidos que son: Seguridad Informática, Seguridad en los Sistemas Informáticos, Propiedades de la Seguridad Informática, Objetivos de la Seguridad, Términos de Riesgos, Factores de Riesgos, Análisis del Riesgo y su Evaluación, Medidas de Seguridad, Estandarización y Seguridad de las Tecnología de Información, Sistema de Gestión de Seguridad de la Información, y Herramientas para el Análisis de Riesgo. 2.2.1. SEGURIDAD INFORMÁTICA (Alexander, 2007), Define a la seguridad como aquellas reglas técnicas y actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial, por esta razón la información es el elemento principal a proteger, resguardar y recuperar en las Instituciones Militares. Es necesario considerar otras definiciones importantes al momento de hablar de seguridad informática, estas son: -9- Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Cualquier cosa que tenga valor para la organización. Amenaza: Es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Impacto: Consecuencia de la materialización de una amenaza. Riesgo: Posibilidad de que se produzca un impacto determinado en un activo, en un dominio o en toda la organización. Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un activo. Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la normal operación de un negocio. Un riesgo y una vulnerabilidad se podrían englobar en un mismo concepto, una definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo que la vulnerabilidad está ligada a una amenaza y el riesgo a un impacto. -10- En el área de informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet como instrumento de comunicación y colaboración, los riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de negación de servicio y amenazas combinadas; es decir, la integración de herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar los recursos informáticos. Para los ataques de negación de servicio, el equipo de cómputo ya no es un blanco, es el medio a través del cual es posible afectar todo el entorno de red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web Site de la institución. Los riesgos están en la red y en menor grado en la computadora. En las Instituciones Militares se protegerá la información que se trasmite a través del Sistema de Comunicaciones para la utilización de los Sistemas Informáticos por parte de los usuarios de los Repartos Militares. 2.2.2. SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS La alta informatización de la sociedad actual ha conllevado el aumento de los denominados delitos informáticos, por lo cual (Hernández E. , 2003)3, señalan que un sistema informático es seguro si se puede confiar en él y si se comporta de acuerdo a lo esperado. 3 Hernández, Enrique 2003. Seguridad y Privacidad en los Sistemas Informáticos -11- La seguridad en los sistemas informáticos es un conjunto de soluciones técnicas, métodos y planes con el objetivo de que la información que trata los sistemas informáticos sea protegida así como establecer un plan de seguridad en el cual se definan las necesidades y objetivos en cuestiones de seguridad. Es primordial indicar que la seguridad genera un costo y que la seguridad absoluta es imposible, por tal motivo se debe definir cuáles son los objetivos y a qué nivel de seguridad se quiere llegar, por lo tanto la seguridad en los sistemas informáticos de las instituciones militares se tiene que planificar haciendo un análisis del costo-beneficio. 2.2.3. PROPIEDADES DE LA SEGURIDAD INFORMÁTICA Se tomará en cuenta las definiciones hechas por (Alexander, 2007), sobre los atributos o propiedades principales que debe brindar un sistema de seguridad: · Confidencialidad: controlar quién puede leer la información (acceso) e impedir que información confidencial sea entregada a receptores no autorizados. Propiedad de que la información no está disponible o divulgada a individuos, entidades o procesos no autorizados. · Disponibilidad: asegurar que los sistemas trabajen prontamente con un buen desempeño y garantizar protección y recuperación del sistema en caso de ataque o desastre. Propiedad de estar accesible y utilizable bajo demanda de una entidad autorizada. -12- · Integridad: asegurar que la información recibida sea exactamente igual a la información enviada, es decir que no ha sido dañada por errores de transmisión o alterada intencionalmente en su contenido o en su secuencia. Propiedad de salvaguardar la exactitud y la totalidad de los activos. · Autenticidad: garantizar que la información no es una réplica de información vieja la cual se quiere hacer pasar por información fresca, y que efectivamente proviene de una fuente genuina. · Identificación y control de acceso: Verificar la identidad de las personas. Autorizar y controlar quién y cómo se accede a los datos y los recursos de un sistema. La confidencialidad y el control de acceso trabajan conjuntamente para proteger la información contra personas no autorizadas, mientras que permiten que los usuarios autorizados tengan acceso utilizando técnicas de identificación, usualmente por medio del nombre de usuario (username) más su contraseña (password). La integridad se garantiza por medio de bits de chequeo (checksums) que se añaden a la información y la autenticidad por medio de extractos (hash) y otros mecanismos. 2.2.4. OBJETIVOS DE LA SEGURIDAD La labor principal en seguridad informática es el aislamiento de los actos no deseables, y la prevención de aquellos que no se hayan considerado, de forma -13- que si se producen hagan el menor daño posible. Al respecto, (D.G.P. COGMARINF-002-2010-O, 2010)4, señala los objetivos que se deben llevar a cabo: · Identificación de los usuarios: Existen varias técnicas, entre las que se encuentran las contraseñas (passwords), o sistemas más sofisticados como reconocimientos del habla, huella dactilar o la retina del ojo. · Detección de intrusos en la red: Se debe detectar y actuar sobre cualquier acceso no autorizado a un sistema. El objetivo es la detección de intrusos en tiempo real, antes de que el sistema haya sido dañado seriamente. · Análisis de riesgo: Intenta cuantificar los beneficios obtenidos con la protección contra amenazas de seguridad. El riesgo es función de la frecuencia con la que se producen dichas amenazas, vulnerabilidad de la protección contra las mismas y las pérdidas potenciales que se produjesen en el caso de que se diese una. · Clasificación apropiada de los datos: En la gestión de seguridad llegan gran cantidad de datos provenientes de los últimos programas de control generados a partir de las actuaciones que llevan a cabo los usuarios en el sistema. Es importante para una buena supervisión de la seguridad, el clasificar los datos convenientemente, de tal forma que se ahorre tiempo en su análisis. · Control de las nuevas aplicaciones: Cuando se instala una nueva aplicación se debe comprobar que no introduzca nuevas brechas de seguridad especialmente si se ejecuta con permisos de root. 4 D.G.P. COGMAR-INF-002-2010-O; 12-JUL-2010. Directiva de Seguridad de la Información. Anexo “A”. Términos y definiciones -14- · Análisis de los accesos de los usuarios: Es necesario tener un control para poder detectar intentos de acceso no autorizados. 2.2.5. TÉRMINOS DE RIESGO La problemática en la seguridad de la información ha sido enfrentada con criterios tomados de otras disciplinas. Estos enfoques han dado lugar al uso de términos diferentes con significados no muy claros. (De Freitas, 2009), señala los siguientes casos: a) Valorización del riesgo: analizar las amenazas a un sistema de información, las vulnerabilidades del mismo y el impacto potencial si se concretan dichas amenazas. b) Evaluación del riesgo: evaluación del riesgo respecto algún criterio de seguridad, por ejemplo una norma. c) Análisis de riesgo: Identificación y valuación de los niveles de riesgo de activos, amenazas y vulnerabilidades. d) Gestión de riesgo: Determinación de la estrategia efectiva en costo, del tratamiento y procedimientos a aplicar a partir de los resultados de la valuación, por ejemplo: 1) Aceptarlos, 2) Minimizarlos, identificando, seleccionando e implementando contramedidas (salvaguardas) para su reducción a niveles aceptables, y 3) Transferirlos. 2.2.6. FACTORES DE RIESGO El riesgo es la combinación de una amenaza que aprovecha alguna vulnerabilidad de un activo para impactarlo y causarle daño. (Alexander, 2007), señalas los siguientes factores de riesgos: -15- Activos: cualquier bien que necesite protección, frente a posibles situaciones de pérdida de condiciones como son la Confidencialidad, Integridad o Disponibilidad. La confidencialidad es la propiedad de que la información no está disponible o divulgada a individuos, entidades o procesos no autorizados, la integridad es la propiedad de salvaguardar la exactitud y la totalidad de los activos y la disponibilidad es la propiedad de estar accesible y utilizable bajo demanda de una entidad autorizada. Un activo de información es algo a lo que una institución le asigna un valor y, por lo tanto, la organización debe proteger. Asimismo, los clasifica en las siguientes categorías: a) Activos de información (Datos, manuales de usuarios) b) Documentos de papel (contratos) c) Activos de software (aplicación, software de sistemas) d) Activos físicos (computadoras, medios magnéticos) e) Personal (Clientes, personal) f) Imagen de la institución y reputación g) servicios (comunicaciones) Como se observa, los activos de información son muy amplios es por eso que (Alexander, 2007), señala que se debe realizar un correcto análisis y una evaluación del riesgo y establecer adecuadamente el modelo ISO 27001:2005. -16- En las Instituciones Militares, el proceso de identificación y de tasación de activos debe realizarlo un grupo multidisciplinario compuesto por personas involucradas en los procesos y subprocesos que abarca el alcance del modelo. Los activos se consideran y categorizar por su criticidad en cuanto a lo que significan para las operaciones. El análisis tiende a establecer una cantidad de niveles que generalmente no baja de cinco y que en algunos casos puede llegar a diez. Vulnerabilidades: son los puntos débiles relacionados con los activos organizacionales, operacionales, físicos y de sistemas TI en las Instituciones. Los niveles de vulnerabilidad se pueden estimar en función de: severidad, dado por los recursos necesarios para aprovechar la vulnerabilidad y el efecto en el activo, y el grado de exposición, extensión del efecto básico, facilitando la explotación de otras vulnerabilidades del mismo activo y/o se extiende a otros activos. Las amenazas son acciones que pueden causar daño en un activo de las Instituciones Militares. Se las puede clasificar por fuerza mayor, deficiencias organizacionales, fallas humanas, fallas técnicas y actos deliberados. Los niveles de vulnerabilidad pueden estimarse de acuerdo a la capacidad y motivación del agente provocador, la concreción de una amenaza provoca un impacto en un activo, dicho impacto y la probabilidad de ocurrencia a lo largo del tiempo pueden usarse como medida del efecto de una amenaza. -17- 2.2.7. ANÁLISIS DEL RIESGO Y SU EVALUACIÓN El análisis del riesgo es la utilización sistemática de la información para identificar las fuentes y estimar el riesgo (NTE INEN, ISO/IEC 27002:2009, 2009)5. El objetivo del análisis del riesgo es identificar y calcular los riesgos basados en la identificación de los activos, y en el cálculo de las amenazas y vulnerabilidades. Los riesgos se calculan de la combinación de los valores de los activos, que expresan el impacto de pérdidas por confidencialidad, integridad y disponibilidad y del cálculo de la posibilidad de que amenazas y vulnerabilidades relacionadas se junten y causen un incidente. En las Instituciones Militares una vez efectuado el cálculo del riesgo por cada activo, en relación de su amenaza, se debe determinar cuáles son aquellas amenazas cuyos riesgos son los más significativos, este proceso se denomina evaluación del riesgo. Luego de analizar el riesgo, se debe iniciar un proceso de toma de decisiones con respecto a cómo se tratará el riesgo, la decisión está influenciada por dos factores: 1) El posible impacto si el riesgo se pone de manifiesto. 2) Qué tan frecuente puede suceder, estos factores dan una idea de la pérdida esperada si el riesgo ocurriera, si nada se hiciera para mitigar este riesgo. 5 NTE INEN - ISO/IEC 27002:2009. Tecnologías de la Información - Técnicas de Seguridad Código de Práctica para la Gestión de la Seguridad de la Información -18- Se debe seguir las siguientes estrategias para el tratamiento del riesgo: a) Reducción del riesgo: Para todos aquellos riesgos donde la opción de reducirlos se ha tomado, se deben implementar controles apropiados para poder reducirlos al nivel que se haya definido como aceptable. Estos controles pueden reducir el riesgo estimado en dos maneras: reduciendo la posibilidad de que la vulnerabilidad sea explotada por la amenaza y reduciendo el posible impacto si el riesgo ocurriese. b) Aceptar el riesgo: Muchas veces se presenta la situación en la cual la organización no encuentra controles para mitigar el riesgo, o en la cual la implantación de controles tiene un costo mayor que las consecuencias del riesgo. c) Transferencia del riesgo: la transferencia del riesgo es una opción cuando es difícil reducir o controlar el riesgo a un nivel aceptable, la alternativa de transferencia a una tercera parte es más económica ante estas circunstancias. Existen mecanismos para transferir los riesgos a otra organización; por ejemplo, utilizar una aseguradora o la utilización de terceros para manejar activos o procesos críticos, en la medida en que tengan capacidad de hacerlo. d) Evitar el riesgo: se entiende cualquier acción orientada a cambiar las actividades, o la manera de desempeñar una actividad comercial en particular, para así evitar la presencia del riesgo. El riesgo puede evitarse por medio de: no desarrollar ciertas actividades comerciales (por ejemplo: la no utilización de -19- Internet), mover los activos de un área de riesgo y decidir no procesar información particularmente sensitiva. 2.3. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN El modelo ISO 27001:20056 define a un SGSI como “la parte del sistema de gestión global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”. El modelo ISO 27001:2005 define a un Sistema de Gestión de Seguridad de la Información como “la parte del sistema de gestión global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”. ISO 27001:2005 define la seguridad de la información como la “preservación de la confidencialidad, integridad, no repudio y confiabilidad”. A continuación se hace referencia a la Norma ISO 27001:2005, la nueva familia 27000. 2.3.1. ISO/IEC 27001:2005 El origen es británico y en el año 2005, la Organización Internacional para la Normalización (ISO) la oficializó como norma. La Figura 1, muestra la historia de la ISO 27001 a lo largo del tiempo. 6 ISO/IEC 27001:2005. Estándar Internacional. Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de Seguridad de la Información - Requerimientos. -20- Figura 1. Historia de ISO 27001. Fuente: http://www.iso27000.es En Marzo de 2006, posteriormente a la publicación de la ISO 27001:2005, BSI publicó la BS 7799-3:2006, la cual está centrada en la gestión del riesgo de los sistemas de información y servirá como base a la ISO 27005. A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares, la cual se encuentra estructurada como se muestra en la Figura 2. ISO 27005: En fase de desarrollo publicada en el año 2008. Consiste en una guía para la gestión del riesgo de la seguridad de información y sirve de apoyo a la ISO 27001 y a la implantación de un SGSI. Se basa en la BS 7799-3:2006. -21- ISO 27000 SGSI “Fundamentos y vocabularios” ISO/IEC 27001:2006 Requerimientos ISO/IEC 27002:2007 (ISO 17799: 2005) ISO/IEC 27003 “Lineamientos para la Implementación” ISO/IEC 27004 Lineamientos “Métrica y Mediciones” ISO/IEC 27005 SGSI Lineamientos “Gestión del riesgo” Figura 2. Familia de estándares de la ISO 27000. Fuente: http://www.iso27000.es ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la acreditación de entidades de auditoria y certificación de los SGSI. Esta norma adopta un enfoque basado en procesos para establecer, implementar, operar, realizar seguimiento, revisar, mantener y mejorar el SGSI de una organización. Esta norma adopta el modelo “Planificar – Hacer – Verificar – Actuar” (PHVA), el cual es aplicado para estructurar todos los procesos del SGSI, la Figura 3, ilustra cómo un SGSI toma como entrada los requisitos y expectativas de seguridad de la información. (Alexander, 2007), señala que el modelo ISO 27001:2005 está diseñado bajo una óptica de enfoque a procesos. El SGSI está conceptualizado para funcionar en cualquier tipo de organización, operando bajo el enfoque de procesos. -22- Figura 3. Modelo de PHVA aplicado a los procesos del SGSI. ISO/IEC 27001:2005. Fuente: Alberto, A. (2007). En la Figura 4, se ilustra la presentación de los distintos componentes del modelo ISO 27001:2005, bajo la perspectiva de procesos, el modelo está concebido para que opere con base en insumos provenientes de clientes, proveedores, usuarios, accionistas, socios y otras partes interesadas. El modelo ISO 27001:2005, en su óptica de procesos, también permite que cada organización influencie el desempeño del modelo a través de consideraciones estratégicas, tales como objetivos y políticas. -23- Figura 4: Enfoque a procesos del ISO 27001:2005 Fuente: Alberto, A. (2007). 2.3.2. HERRAMIENTAS PARA EL ANÁLISIS DE RIESGO En el mercado existen varias herramientas propietarias y de libre acceso para realizar el análisis de riesgos como CRAMM, COBRA, RA2 Art of Risk, MAGERIT, OCTAVE, Threat and Risk Assesment Working Guide (Canadá), Guideline del NSW de Australia y El IT Baseline Protección Model del BSI Alemán. Herramientas propietarias. CRAMM: Producto de Insight Consulting, que puede usarse con ISO 27001 para el manejo de riesgo de negocios, para el análisis de riesgo se recolectan datos en reuniones y entrevistas con cuestionarios estructurados (ESPE, 2005). Tiene tres partes: 1) Valorización de activos, en escala de 1 a 10. -24- 2) Evaluación de amenazas y vulnerabilidades. Niveles de 1 a 5 para las amenazas, y de 1 a 3 para las vulnerabilidades. 3) Cálculo del riesgo, de 1 a 7 según una matriz. Más de 3000 contramedidas estructuradas en la base de datos y que pueden priorizarse. COBRA: (Análisis de Riesgo Objetivo y Bifuncional), desarrollada por C & A Systems en cooperación con instituciones financieras. Especialmente prevista para verificar el cumplimiento de las normas ISO 17799/27001, provee un completo análisis de riesgo, compatible con la mayoría de las metodologías conocidas cualitativas y cuantitativas. Lo forman varios programas: Risk Consultant, el principal, incluyen las bases de conocimiento que se personalizan y modifican con el Module Manager. RA2 Art of Risk: Producto de Aexis y Xisec trabaja con análisis cualitativo de riesgo basado en modelado estadístico. Desarrollado conforme la ISO 17799 y la ISO 27001, usa también los principios contenidos en la MICTS2. Permite seleccionar los controles ISO 17799 y producir evidencia a los auditores que se han llevado a cabo los pasos de la ISO 27001 para certificación. Produce directamente el SoA adecuado para la certificación ISO 27001. MAGERIT: Del Ministerio de las Administraciones Públicas (MAP) de España. La aplicación se puede ver en cuatro etapas: planificación, análisis de riesgos, gestión de riesgos y selección de salvaguardas. En la versión 2.0, la documentación consta de tres partes: 1) Método. Análisis y gestión de riesgos, proyectos. 2) Catálogo de Elementos. Amenazas y salvaguardas. 3) Guía de Técnicas. Tipo de análisis, diagramas, planificación de proyectos. -25- Herramientas de libre acceso. OCTAVE: Evaluación de factores operacionalmente críticos: amenazas, activos de sistemas y personal, y vulnerabilidades. Hay dos versiones: Octave y Octave-S (Small, pequeñas empresas); éste último para equipos pequeños de personal de seguridad. El Octave-S define una técnica de valuación basada en riesgos, desarrollada en 10 volúmenes. El proceso incluye tres fases: 1) Construcción de perfiles de amenazas en base a los activos 2) Identificación de la infraestructura de las vulnerabilidades. 3) Desarrollo de la estrategia y planes de seguridad. Threat and Risk Assesment Working Guide (Canadá): Considera vulnerabilidades de sistemas, personal, objetos y externas, con cinco niveles como resultado de tres niveles de severidad y tres de exposición. Trabaja con cinco niveles de amenazas, caracterizando los agentes de amenazas en tres niveles de capacidad y otros tres de motivación- incorpora los escenarios de amenazas, donde estipula analizar el impacto en función de la sensibilidad de los activos y tasa de vulnerabilidad, así como de la frecuencia de ocurrencia. No define bien los riesgos finales. Guideline del NSW de Australia: Tiene tres partes principales. 1) Revisión del proceso de gestión de riesgo, ejemplo de amenazas y vulnerabilidades y una guía para la selección de los controles de seguridad 2) Incluye una tabla que relaciona cada control de la norma ISO 17799:2000 con diferentes tipos de control: protección, prevención, detección, respuesta y recuperación 3) Tabla que relaciona cada control con los parámetros CIA: Confidencialidad, Integridad y Disponibilidad, Responsabilidad y Confiabilidad. así como también con la Autenticación, -26- El IT Baseline Protección Model del BSI Alemán: Permite establecer los riesgos en base a los activos, amenazas y contramedidas. No trabaja directamente con vulnerabilidades. Esta herramientas clasifica los activos en 35 tipos en 7 categorías; las amenazas en un total de 200 con cinco tipos: Fuerza mayor, Deficiencias organizacionales, Fallas humanas, Fallas técnicas y Actos deliberados; y, Contramedidas: Unos 600 de diferentes tipos. Además incluye una tabla de contramedidas vs. Amenazas. En relación a lo antes expuesto y para efecto de esta investigación en la cual se realizará el análisis de riesgo en las Instituciones Militares, utilizaremos las herramientas CRAMM y BSI Alemán. 2.4. BASES LEGALES Los planteamientos procedimientos y legales estándares se basaron que en establecen los lineamientos, los artículos que normas, tienen correspondencia con esta investigación. 2.4.1. ESTÁNDARES INTERNACIONALES ISO/IEC 27001:2005 – Tecnología de la Información – Técnicas de seguridad – Sistemas de Gestión de Seguridad de la Información. ISO/IEC 17799:2005 – Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información Organización Internacional de Estándares (ISO). -27- 2.4.2. LEYES NACIONALES NTE INEN - ISO/IEC 27002:2009 – Tecnologías de la Información– Técnicas de Seguridad – Código de Práctica para la Gestión de la Seguridad de la Información. 2.4.3 NORMATIVA INTERNA D.G.P. COGMAR-INF-002-2010-O – 12 de Julio del 2010 – Directiva General Permanente Seguridad de la Información. DIRTIC. 25 de Noviembre del 2010 – Dirección de Tecnologías de la Información y Comunicaciones – Estatuto Orgánico por Procesos. 2.5. SISTEMA DE VARIABLES (Hernández R. , 2003, pág. 143)7, Señala que variable “es una propiedad que puede variar y cuya variación es susceptible de medirse u observarse”, por tal razón las variables deben ser definidas de dos formas conceptual y operacionalmente. Una definición conceptual trata la variable con otros términos, para lo cual se deben definir las variables que se utilizan y puedan ser comprobadas o contextualizadas. 7 Hernández, Roberto. 2003. Metodología de la Investigación -28- Una definición operacional constituye el conjunto de procedimientos que describe las actividades que un observador debe realizar para recibir las impresiones sensoriales, las cuales indican la existencia de un concepto teórico en mayor o menor grado. En el presente trabajo la variable a definir es Sistema de Gestión de Seguridad de la Información, las mismas que se describe en la Tabla 1 operacionalmente basado en los objetivos de control de las normas ISO/IEC 27001:2005. Tabla 1. Operacionalización de las Variables. Fuente: Autor Dimensión Indicadores Ítems Sistema de Gestión de seguridad de la Información Políticas de Seguridad Documento de la política de seguridad de la información 1 Revisión de la política de Seguridad de la Información 2y3 Compromiso de la dirección para la seguridad de la información 4y5 Asignación de responsabilidades sobre seguridad de la información 6 Proceso de autorización para los recursos de procesamiento de la información 7 Acuerdos de confidencialidad 8 Organización de la Seguridad de la Información Sistema de Gestión de seguridad de la Información Gestión de activos Seguridad de recursos humanos Identificación de riesgos relacionados a partes externas. 9 y 10 Inventario de equipos 11 y 12 Propiedad de los activos 13 Directrices de clasificación 14 Selección 15 Proceso disciplinario 16 Toma de conciencia, educación y formación en la seguridad de la información 17 Instrumento CUESTIONARIO Y OBSERVACIÓN DIRECTA Variable -29- Devolución de los activos Perímetro de seguridad 20 Controles físicos de entrada Protección contra las externas y ambientales 21 - 25 amenazas Trabajo en áreas seguras 28 Ubicación y protección del equipo 29 Servicio de apoyo 30 Seguridad del cableado 31 Mantenimiento de equipos 32 Seguridad en la reutilización eliminación de equipos o Retiro de la propiedad Gestión de comunicaciones y operaciones Control de accesos Sistema de Gestión de seguridad de la Información Adquisición, desarrollo y mantenimiento de sistemas de información 26 y 27 Documentación operativos de 33 34 procedimientos 35 Gestión de cambio 36 Gestión de la capacidad 37 Controles contra código malicioso 38 y 39 Copia de seguridad de la información Control de red 40 -4142 43 Disposición de medios 44 y 45 Registro de auditoria 46 Registro de fallas 47 Sincronización de relojes 48 Política de control de acceso 49 Registro de usuarios 50 Gestión de contraseñas de usuario 51 Uso de contraseñas 52 Sesión inactiva 53 Restricción de acceso a la información 54 Análisis y especificación requisitos de seguridad 55 de los Validación de datos de entrada 56 Control de procesamiento interno 57 Validación de los datos de salida 58 Política sobre la utilización de controles criptográficos 59 CUESTIONARIO Y OBSERVACIÓN DIRECTA Seguridad física y ambiental 18 y 19 -30- Gestión de incidente de seguridad de la información Reporte de los eventos de seguridad de información 60 Reporte de debilidades de seguridad 61 Responsabilidades y procedimientos 62 Aprendizaje de los incidentes seguridad de la información Gestión de continuidad del negocio Cumplimiento de 63 Continuidad del negocio y evaluación de riesgo 64 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información 65 Identificación de la legislación aplicable 66 Derechos de propiedad intelectual (DPI) 67 Protección de organización la 68 Controles de las herramientas de auditoria de los sistemas de información 69 los registros de 2.5.1. ANÁLISIS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN A la presente fecha las Instituciones Militares cuentan con una Directiva de Seguridad de la Información(D.G.P. COGMAR-INF-002-2010-O, 2010), la cual ha sido difundida a nivel nacional y que se encuentra en un proceso lento de adopción. Existe una gran cantidad de problemas e incidentes relacionados al servicio, con la seguridad de la información en las Instituciones Militares se reducirá los riesgos de: fuga de información, acceso y modificación de información no autorizada de portales web, soporte técnico externo, presupuesto, garantías entre otros. -31- Es necesario definir un mapa de riesgos de los activos de información con el fin de tener un conocimiento real de los riesgos a los que están sometidos los activos de información para identificar las amenazas y vulnerabilidades y minimizar estas amenazas y vulnerabilidades garantizando la confidencialidad, disponibilidad e integridad de la información. Para conseguir un ambiente de Seguridad de la Información integral en estas instituciones, es fundamental trabajar en conjunto desde el Alto Mando hasta el menor componente operativo adoptando marcos de referencia que garanticen la correcta ejecución y control de los procesos relacionados a la gestión de tecnologías. Un correcto nivel de Seguridad de la Información en su contexto es el resultado del correcto uso y gestión de recursos relacionados con Infraestructura Tecnológica, Gestión de Personal, Telecomunicaciones, Seguridad Física, entre otros. Para implementar las Mejores Prácticas y Estándares Internacionales de Gestión de TI, Seguridad de la Información y Gestión de Riesgos, es necesario contar con un marco de referencia de gestión eficaz que proporcione un enfoque general consistente y que sea probable asegurar resultados exitosos al utilizar TI para apoyar la estrategia de las Instituciones Militares. En un clima de creciente regulación y preocupación sobre los riesgos relacionados a TI, las mejores prácticas ayudarán a minimizar los aspectos de cumplimiento y la preocupación de los auditores. -32- Se definirá las necesidades relacionadas a todo el proceso de gestión y control de TI. Esto permitirá garantizar la integración de los diferentes componentes de TI los cuales trabajando en conjunto se logrará mejorar el nivel de seguridad hacia los activos de información. -33- CAPÍTULO 3. DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES 3.1. ALCANCE DEL DISEÑO DEL SGSI El diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares permitirá realizar la aplicación de controles adecuados para reducir los riesgos de seguridad de la información e incorporar estándares internacionales ajustados al campo militar y nuevas tecnologías de la información y comunicaciones con el fin de contribuir a la modernización de las Instituciones Militares. Establecerá las reglas, planes y acciones para asegurar la información y mejorar la gestión actual con la cual se ejecuta la seguridad de la información en las Instituciones Militares, socializando en los miembros de la Institución Militar la importancia y sensibilidad de la información que se transmite a través del uso de los servicios del Sistema de Comunicaciones. Mejorará el control en los siguientes factores: revisión de privacidad y recolección de documentos, seguridad de los procesos físicos (personas confiables), verificación de posibles vulnerabilidades, identificación de sistemas y puertos, implantación de sistemas de seguridad de intrusos y cortafuegos, elaboración de políticas de seguridad, testeo de módems, seguridad inalámbrica. -34- Definirá los procesos y normativas Institucionales que garanticen la confidencialidad, disponibilidad e integridad de la información en todo su proceso, desde la generación, procesamiento y obtención de información, ligados a una política general de Gobierno de TI. Principales requerimientos funcionales a ser obtenidos a. Manejo integral de los activos de información basado en normativas internacionales. b. Conocimiento real de los riesgos a los que están sometidos los activos de información basados en un Sistema de Gestión de Riesgos de Activos de Información, Mapa de Gestión de Riesgos. c. Gestión y uso de los recursos de información basados en procesos ligados a garantizar la disponibilidad, confidencialidad e integridad de la información. d. Integración de todos los proyectos institucionales de tecnología en un marco que garantice la seguridad de la información. e. Conocimiento real del estado situacional en relación a las políticas relacionadas a la Gestión y Gobierno de TI. 3.2. DISEÑO DE LA INVESTIGACIÓN Para realizar el Diseño del Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, se describen a continuación las tres primeras -35- fases. La Fase I Diagnóstico, la Fase II de Factibilidad y la Fase III Diseño del proyecto que se refiere a cada uno de los aspectos que contiene la propuesta. 3.2.1. FASE I DIAGNÓSTICO En esta fase se realizará el análisis general de la situación actual de la seguridad de la información en las instituciones militares. Se desarrollaron las primeras etapas de la metodología de análisis de información, a través de la aplicación de una investigación de campo al personal que labora en la Dirección de Tecnologías de la Información y Comunicaciones. La dirección de Tecnologías de la Información y Comunicaciones se encuentra conformada por los siguientes Departamentos: Dirección, Subdirección, Departamento Administrativo Financiero, Departamento de Desarrollo y Gestión de Proyectos, Departamento de Comunicaciones, Departamento de Criptografía y Seguridad Telemática, Departamento de Control de Centros y el Centro de Tecnología de la Información y Comunicaciones. 3.2.2. POBLACIÓN Y MUESTRA (Hernández R. , 2003), define a una población o universo “puede estar referido a cualquier conjunto de elementos de los cuales pretenden indagar y conocer sus características, o una de ellas, y para el cual serán válidas las conclusiones obtenidas en la investigación”, y a la muestra como “un subconjunto de elementos que pertenecen al conjunto definido como población”. Para seleccionar la -36- población, es necesario considerar cuál será la unidad de análisis, lo que permitirá definir con qué elementos (personas) se va a trabajar. En el caso de la presente investigación la población que determinó la necesidad de realizar diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, se encuentra constituido por cincuenta y uno (51) empleados que laboran en la Dirección de Tecnologías de la Información y Comunicaciones, de acuerdo a lo que se ilustra en el Tabla 2. (Ary, 1996, pág. 54), señala que “…si la población posee pequeñas dimensiones, deben ser seleccionados en su totalidad, para así reducir el error en la muestra…”. Tomando como fundamento ésta definición, podemos determinar que la muestra es aquella representada por la totalidad de los individuos que permiten obtener información sobre el tema a investigar. Tabla 2. Descripción de la Población de la DIRTIC. Fuente: DIRTIC Cantidad Personas Departamento u Oficina DIRTIC Dirección 2 Subdirección 6 Departamento Administrativo Financiero 4 Departamento de Desarrollo y Gestión de Proyectos Informáticos 5 Departamento de Comunicaciones 5 Departamento de Criptografía y Seguridad Telemática 6 Departamento de Control de Centros 2 CETEIG Centro de Tecnología de la Información y Comunicaciones 21 Total 51 -37- De acuerdo a lo que se describe en la Tabla 2, se deduce que los sujetos de estudio de la presente investigación se encuentran conformado por cincuenta y uno (51) personas que laboran en la Dirección de Tecnologías de la Información y Comunicaciones y el Centro de Tecnología de la Información y Comunicaciones. 3.2.3. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS La técnica utilizada para obtener la información fue la encuesta, la misma permitió la recolección de información en forma directa a fin de diagnosticar como se encuentra la seguridad de la información en la Dirección de Tecnologías de la Información y Comunicaciones y el Centro de Tecnología de la Información y Comunicaciones.(Hernández R. , 2003, pág. 285), determina que una técnica es un procedimiento estandarizado que se ha utilizado con éxito en el ámbito de la ciencia. El instrumento de recolección de datos es un dispositivo de sustrato material que sirve para registrar los datos obtenidos a través de las diferentes fuentes. Así como un cuestionario consiste en “Un conjunto de preguntas respecto a una o más variables a medir relacionadas con los indicadores que se obtienen de la operacionalización de los objetivos específicos.” Para obtener la información se elaboró el instrumento en función de los objetivos definidos en el presente trabajo, con el propósito de interrogar a los sujetos de estudio, a través de un cuestionario estructurado con preguntas cerradas. -38- El cuestionario consta de sesenta y nueve (69) ítems de acuerdo a como se indica en el Anexo “C”, con opciones de respuestas en un formato de escala tipo Likert; Siempre (S), Casi Siempre (CS) Algunas veces (AV), Casi Nunca (CN) y Nunca (N), con el fin de diagnosticar cómo se encuentra la Seguridad de la Información en la Dirección de Tecnologías de la Información y Comunicaciones. Las preguntas cubren todos los aspectos de riesgos y amenazas a la confiabilidad, integridad y la disponibilidad de la información y están basadas en los requerimientos de la institución, pero para realizar un ordenamiento se tomó en cuenta los objetivos de control de la ISO 27001:2005: a) Políticas de seguridad b) Organización de la Seguridad de la Información c) Gestión de activos d) Seguridad de recursos humanos e) Seguridad física y Ambiental f) Gestión de comunicaciones y operaciones g) Control de Accesos h) Adquisición, desarrollo y mantenimiento de sistemas de información i) Gestión de incidente de seguridad de la información j) Gestión de continuidad del negocio y k) Cumplimiento. Por la naturaleza del estudio y en función de los datos que se requieren, se utilizó la técnica de observación directa, no participante y sistemática en la realidad, (Hernández R. , 2003), indica que “la observación consiste en el registro sistemático, válido y confiable de comportamiento”. -39- Cuando se habla de observación no participativa se refiere a que “el investigador asumirá un papel de espectador de los hechos, del conjunto de actividades y relaciones laborales que se producen cotidianamente”. Cuando se refiere al término sistemático, se refiere a que “se observa todo lo relativo a los antecedentes, forma, duración y frecuencia en que se originan los mismos”. 3.2.4. VALIDEZ DEL INSTRUMENTO (L Hurdado y Toro G.J., 2001), Define que “la validez es el grado en que la medición representa al concepto medido”, es un concepto del cual pueden tenerse diferentes tipos de evidencias relacionadas con el contenido, criterio y con el constructo”. La validez de contenido se refiere al grado en que un instrumento refleja un dominio específico de contenido de lo que se mide. La validez de criterio establece la validez de un instrumento de medición comparándola con algún criterio externo, que es un estándar con el que se juzga la validez del instrumento, considerándose que entre más se relacionen los resultados del instrumento de medición con el criterio, la validez del criterio será mayor. De igual manera, la validez de constructo se refiere al grado en que una medición se relaciona consistentemente con otras, de acuerdo con hipótesis derivadas teóricamente sobre esa variable, siendo un constructo una variable medida dentro de una teoría o esquema teórico. -40- Para determinar la validez del instrumento se utilizó la técnica de juicio de expertos, donde se eligieron cuatro especialistas, Ingenieros en Sistemas con títulos de Magíster, versados en el tema, quienes a través de un formato de validación como se ilustra en el Anexo D. Se realizó con la finalidad de modificar la redacción de los ítems, y determinar la existencia o no de ambigüedad en la redacción de los mismos, buscando la mayor claridad, congruencia y pertinencia posible. Finalmente luego de las correcciones y recomendaciones del caso se procedió a la elaboración del instrumento definitivo a ser aplicado a los sujetos de la muestra. 3.2.5. CONFIABILIDAD DEL INSTRUMENTO (Hernández R. , 2003, pág. 123), consideran que la confiabilidad de un instrumento de medición, es la “capacidad que tiene de registrar los mismos resultados en repetidas ocasiones, con una misma muestra y bajo las mismas condiciones”. La confiabilidad del instrumento se determinó previa aplicación de una prueba piloto a un grupo de diez (10) personas, tomados al azar perteneciente a la Dirección de Tecnologías de la Información y Comunicaciones y a los diferentes Departamentos. Los resultados obtenidos se procesaron estadísticamente mediante el método Alpha de Cronbach, determina que es el método que más se adapta en los casos de la medición de constructos a través de escalas, allí no existen respuestas -41- correctas ni incorrectas, el sujeto marca el valor de la escala que considera representa mejor su punto de vista. El coeficiente Alpha de Cronbach indica la capacidad que tiene el instrumento para arrojar resultados similares en repetidas ocasiones. Para determinar el resultado del coeficiente Alpha de Cronbach se emplea la siguiente fórmula: FÓRMULA Dónde: Es la sumatoria de la varianza por ítems, Es la varianza total y Es el número de preguntas o ítems. El índice de confiabilidad debe ser menor o igual a uno (1) para que el valor indicativo del instrumento posea un alto grado de consistencia interna, lo que indica la exactitud y objetividad en los resultados. (Hernández R. , 2003), Especifica que los criterios establecidos para el análisis del coeficiente de Alpha de Cronbach son los siguientes: -42- Tabla 3. Criterios de Confiabilidad. Fuente: Metodología de la Investigación, Hernández (2003). Valores de Alpha Criterios De –1 a 0 No es confiable De 0.01 a 0.49 Baja confiabilidad De 0.50 a 0. 75 Moderada confiabilidad De 0.76 a 0.89 Fuerte confiabilidad De 0.90 a 1.00 Alta confiabilidad Luego de aplicar el método Alpha de Cronbach como se indica en el Anexo E, se obtuvo una confiabilidad de 0,96 lo cual indica que es altamente confiable. 3.2.6. TÉCNICAS DE ANÁLISIS DE LOS DATOS Una vez que se ha obtenidos los resultados, producto de la aplicación del instrumento se procedió a su ordenación para analizarlos mediante la estadística descriptiva. (Hernández R. , 2003), señala como “el uso de bases estadísticas de frecuencias y porcentajes; complementados con cuadros y gráficos estadísticos con sus respectivos análisis” 3.2.7. RESULTADOS Se presenta los resultados de la aplicación del cuestionario dirigido al personal técnico de la Dirección de Tecnologías de la Información y Comunicaciones, fue tabulada manualmente, según las categorías de respuestas: S = Siempre, CS = Casi Siempre, AV = Algunas Veces, CN = Casi Nunca y N = Nunca, según lo establecido por escalamiento líkert el valor uno (1) es asignado a N (Nunca) y el máximo valor de cinco (5) a S (Siempre). -43- Para presentar los resultados se usaron los recursos de la estadística descriptiva que permitió el diseñó de los cuadros, donde se organizaron los datos recabados en distribuciones por frecuencias absolutas y luego a porcentajes, se representó gráficamente mediante diagramas de barras cada una de las preguntas del instrumento de recolección de datos. Con el objeto de visualizar en forma rápida los resultados se agruparon con relación a las dimensiones señaladas en la definición operacional de los aspectos a investigar y representados gráficamente de acuerdo a las alternativas seleccionadas. Posteriormente, se completó este proceso con un análisis e interpretación de los datos en función de la norma ISO/IEC 27001:2005 y las bases teóricas que sustentaron la investigación. Dimensión: Política de Seguridad. Esta dimensión contiene tres (3) ítems que permiten obtener información si en la Dirección de Tecnologías de la Información y Comunicaciones dan soporte a la gestión de la seguridad de la información de acuerdo a los requisitos de la institución militar, las leyes y reglamentos existentes. -44- Tabla 4. Resultados de las respuestas dadas a las preguntas sobre la dimensión Políticas de Seguridad. Fuente: Autor Ítems S % CS % AV % CN % N % 1 8 15,69 7 13,73 7 13,73 11 21,57 18 35,29 2 9 17,65 10 19,61 11 21,57 16 31,37 5 9,80 3 8 15,69 9 17,65 16 31,37 12 23,53 6 11,76 Gráfico 1. Porcentajes de las respuestas dadas a las preguntas sobre Políticas de Seguridad. Fuente: Autor De acuerdo a las respuestas emitidas de los sujetos en estudio y el análisis e interpretación de las mismas, se puede visualizar en el Tabla 4 y Gráfico 1 referido a la dimensión: Políticas de Seguridad, en el ítem 1: (¿Existe una preocupación dentro de la DIRTIC por la elaboración de un documento de políticas de seguridad de información con los procedimientos a seguir para cada uno de los riesgos más graves que tiene la información?) la mayor tendencia -45- porcentual se presentó en la alternativa nunca con un 35,29%, lo cual indica que no existe una preocupación por elaborar un documento de política de seguridad de la información. En el ítem 2, (¿Se toman acciones rápidas y correctivas cuando la información está en peligro?), un 31, 37% piensa que Casi Nunca lo hacen, esto refleja que no se tiene una consciencia de la importancia de tomar medidas para proteger la información. Igualmente, en el Ítem 3, (¿Se revisan periódicamente las medidas y procedimientos de seguridad para determinar si son efectivos?), la mayor tendencia con un 31,37% se presentó para las alternativas Algunas Veces, es evidente que no existe una política clara en referencia a la seguridad de la información. En conclusión, para poder dirigir y dar soporte a la gestión de la seguridad de la información de acuerdo con los requisitos de las instituciones Militares, se deben realizar dos documentos para considerar la seguridad de la información: el primero será un manual de política de seguridad de la información que representará el nivel político o estratégico de las Instituciones Militares, deberá ser elaborado por la Dirección de Tecnologías de la Información y Comunicaciones y aprobado por el mando, lo cual, definirá las grandes líneas a seguir y el nivel de compromiso de las instituciones Militares. El segundo documento será el plan de seguridad, como nivel de planeamiento táctico, el cual definirá el “Cómo”. Es decir, baja a un nivel más de detalle, para dar inicio al conjunto de acciones que se deberán cumplir. Es de destacar que una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para el Sistema de Gestión de Seguridad de la Información (SGSI). -46- Dimensión: Organización de la Seguridad de la Información Esta dimensión contiene siete (7) ítems que permiten obtener información sobre la forma de accesar, procesar, comunicar o gestionar la seguridad de la información tanto dentro de la Dirección de Tecnologías de la Información y Comunicaciones así como en los repartos de las instituciones militares. Tabla 5. Resultados de las respuestas dadas a las preguntas sobre la dimensión de la Organización de la Seguridad de la Información. Fuente: Autor Ítems S % CS % AV % CN % N % 4 11 21,57 16 31,37 5 9,80 10 19,61 9 17,65 5 5 9,80 19 37,25 15 29,41 9 17,65 3 5,88 6 5 9,80 2 3,92 14 27,45 22 43,14 8 15,69 7 22 43,14 13 25,49 4 7,84 6 11,76 6 11,76 8 6 11,76 10 19,61 18 35,29 7 13,73 10 19,61 9 4 7,84 16 31,37 16 31,37 7 13,73 8 15,69 10 20 39,22 10 19,61 7 13,73 6 11,76 8 15,69 En el Tabla 5 y Gráfico 2, se observan los resultados obtenidos en cuanto a la dimensión organización de la seguridad de la información, en el item 4 (¿El CETEIG y los jefes de los diferentes departamentos de la DIRTIC entienden, apoyan y llevan a cabo eficazmente políticas de seguridad de la información dentro la Institución?), el 31,37% respondió Casi Siempre y un 17,65 Nunca. En los ítem 5 (¿La DIRTIC se preocupa de que el personal tome conciencia sobre la importancia de la seguridad de la información y sus responsabilidades individuales para alcanzarla?) e ítem 6 (¿Se definen claramente todas las responsabilidades en torno a la seguridad de la información?) los resultados presentaron la mayor tendencia hacia Casi Siempre y Casi Nunca, lo que permite determinar que existe un compromiso demostrado, por parte de las autoridades militares y los diferentes jefes de departamentos, así como no existe el reconocimiento de las responsabilidades de seguridad de la información. -47- Gráfico 2. Porcentajes de las respuestas dadas a las preguntas sobre Organización de la Seguridad de la Información. Fuente: Autor En el ítem 7, (¿Se define e implementa un proceso de autorización para los recursos de procesamiento de la información?), el 43,14% opinó Siempre y un 25,49% Casi Siempre, lo que permite establecer que se tiene claramente definidos los proceso de autorización para cada nuevo recurso de procesamiento de la información. Seguidamente, el ítem 8 permite indagar sobre los acuerdos de confidencialidad o no divulgación de la información y el mayor porcentaje lo presentó la alternativa Algunas Veces con un 35,29%, es evidente que se deben identificar los requisitos para los acuerdos de no divulgación de la información para proteger la información de carácter institucional. -48- En el ítem 9 (¿Se tienen previstos mecanismos de seguridad para preservar la información de intervenciones externas?), el 31,37% manifestó que Casi Siempre y Algunas Veces, se puede determinar que están identificados los riesgos a la información de la Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares y en consecuencia están implementados los controles apropiados antes de otorgar el acceso a partes externas. En el ítem 10 (¿Se consideran todos los requisitos de seguridad identificados antes de dar el acceso al cliente o usuario a la información o posesiones de la DIRTIC?), el 39,22 % respondió que Siempre, mientras que el 19.61% piensa que Casi Siempre se tratan todos los requisitos de seguridad antes de dar el acceso al cliente o usuario de la información. En conclusión, existe una alta tendencia en todos los ítems hacia la alternativa Casi Siempre, los sujetos de estudios señalan que la Dirección de Tecnologías de la Información y Comunicaciones se llevan las políticas de seguridad de la información y están definidas claramente todas las responsabilidades individuales para alcanzarla. Igualmente, están definidos los requisitos para los acuerdos de confidencialidad de la información, y se consideran todos los requisitos de seguridad antes de dar acceso al cliente o usuario de la información externa a la Dirección de Tecnologías. Dimensión: Gestión de Activos. Este indicador contiene cuatro (4) ítems que permitieron obtener información referente si se mantiene la protección apropiada de los activos de la Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares. -49- Tabla 6. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Activos. Fuente: Autor Ítems S % CS % AV % CN % N % 11 21 41,18 7 13,73 10 19,61 10 19,61 3 5,88 12 19 37,25 11 21,57 5 9,80 7 13,73 9 17,65 13 5 9,80 24 47,06 8 15,69 8 15,69 6 11,76 14 10 19,61 19 37,25 10 19,61 9 17,65 3 5,88 Gráfico 3. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Activos. Fuente: Autor Los resultados obtenidos en la dimensión gestión de activos se expresados en el Tabla 6 y el Gráfico 3, en el ítem 11 (¿Se identifican los equipos de computación, tales como: laptops, computadoras de escritorio y otros, con el nombre de la DIRTIC, nombre del departamento u oficina, teléfono, serial del equipo, serial de -50- bienes institucionales, entre otross?), el 41.18% opinó Siempre y un 19,61% señaló Algunas Veces, esto refleja que todos los activos están identificados lo que ocasiona que los inventarios están actualizados. En el ítem 12 (¿Se realizan inventarios en cada oficina o unidad administrativa de los equipos informáticos y de comunicaciones, con el serial del equipo, software instalados, usuario asignado, ubicación, entre otros?), el 37,25% opino que Casi Siempre se realizan los inventarios. Igualmente, el ítem 13 (¿Se identifican todos los activos de información para conocer su contenido y a qué departamento pertenecen?), el 47,06% señaló que Casi Siempre. Es de destacar, que existen inventarios de equipos informáticos y los activos están identificados, en los diferentes departamentos y unidades administrativas de la Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares. El ítem 14 (¿Se dan directrices para clasificar la información de acuerdo con su valor, requisitos legales, sensibilidad y criticidad para la DIRTIC?), el 37,25% opinó que Casi Siempre se dan directrices, lo que refleja que la información está inventariada y clasificada y existe un procedimiento con un esquema de clasificación establecido para etiquetar los activos de información. En conclusión: La Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares cuenta con un departamento de activos fijos el cual es el encargado de realizar el inventario de todos los activos importantes, y que posee activos que están inventariados. Existe una metodología para realizar esta actividad donde cada activo de información está asociado con el lugar donde se procesa la información y que a su vez es el responsable por el mismo. -51- Dimensión: Seguridad de Recursos Humanos. Esta dimensión contiene cinco (5) ítems que permitieron obtener información si los empleados, contratistas y usuarios la Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares, están conscientes de las amenazas de la seguridad de la información a fin de reducir el riesgo del robo, fraude o mal uso de los recursos la Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares. Igualmente, al terminar o cambiar de lugar de trabajo se retiran o cambian de una manera ordenada. Tabla 7. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad de Recursos Humanos. Fuente: Autor Ítems S % CS % AV % CN % N % 15 19 37,25 3 5,882 8 15,69 9 17,65 12 23,53 16 14 27,45 11 21,57 7 13,73 14 27,45 5 9,804 17 16 31,37 13 25,49 4 7,843 10 19,61 8 15,69 18 10 19,61 18 35,29 14 27,45 6 11,76 3 5,882 19 22 43,14 8 15,69 3 5,882 9 17,65 9 17,65 En la Tabla 7 y Gráfico 4, se visualizan los resultados de la dimensión seguridad de recursos humanos. Al respecto, el ítem 15 (¿Se realiza una verificación de los antecedentes de los candidatos para ocupar cargos administrativos, contratistas y usuarios externos de acuerdo con las leyes, reglamentaciones y ética pertinentes a los requisitos de la DIRTIC, clasificación de información a ser ingresado y los riesgos percibidos? ), la mayor incidencia de respuesta la presentó la alternativa Siempre con un 37,25%, lo que permite inferir que se realiza una verificación de los documentos suministrados por el aspirante y sus antecedentes para poder optar al cargo de acuerdo con las responsabilidades que desempeñará. -52- Gráfico 4. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad de Recursos Humanos. Fuente: Autor En el ítem 16 (¿La DIRTIC aplica procesos disciplinarios a los usuarios que cometan un incumplimiento de seguridad?) y el ítem 17 (¿Se vigilan la moral y el comportamiento del personal que maneja los sistemas de información con el fin de mantener una buena imagen y evitar un posible fraude?), presentaron su mayores incidencia en la alternativa Siempre con un 27,45% y 31,37% respectivamente, lo que evidencia que existe un proceso disciplinario formal para los funcionarios que incurran en faltas que atente a la seguridad de la información, igualmente se realizan supervisiones al personal para evitar posibles fraudes. En referencia a la devolución de los activos, el ítem 18 (¿Se retiran los derechos de acceso a todos los empleados, contratistas y usuarios a la información y al recurso para el procesamiento de la información una vez terminado su empleo, contrato o acuerdo, o una vez realizado el cambio a otra dependencia?). -53- El ítem 19 (¿La DIRTIC se asegura de que los empleados, contratista y usuarios devuelvan todos los activos de la DIRTIC que posean una vez terminado su empleo, contrato o acuerdo?) coincidieron que la alternativa que más se ajustó fue Casi Siempre respectivamente, lo presentando que un demuestra 35,29% que se y Siempre encuentra con 43,14% establecido un procedimiento para la devolución de todos los activos la Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares y toman las debidas previsiones para retirar todos los derechos de accesos a la información. Dimensión: Seguridad Física y Ambiental. Esta dimensión contiene quince (15) ítems que permiten obtener información en relación al área de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de las oficinas, edificios y recursos, protección contra amenazas externas y del entorno, así como también a la seguridad de los equipos: ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software. En la Tabla 8 y Gráfico 5, muestra los resultados aportados por los sujetos de estudios en relación a la seguridad física y ambiental. En este sentido, los ítems 20 (¿En la DIRTIC se establecen adecuadamente los perímetros de seguridad (barreras tales cómo paredes, puertas de entradas controladas por tarjetas o puesto de recepción manual) a las áreas que contienen la información y las instalaciones de procesamiento de la información?). -54- Tabla 8. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad Física y Ambiental. Fuente: Autor Ítems S % CS % AV % CN % N % 20 13 25,49 17 33,33 8 15,69 6 11,76 7 13,73 21 16 31,37 9 17,65 9 17,65 10 19,61 7 13,73 22 24 47,06 6 11,76 9 17,65 9 17,65 3 5,88 23 18 35,29 4 7,84 12 23,53 9 17,65 8 15,69 24 16 31,37 13 25,49 6 11,76 10 19,61 6 11,76 25 20 39,22 5 9,80 9 17,65 9 17,65 8 15,69 26 25 49,02 6 11,76 6 11,76 11 21,57 3 5,88 27 2 3,92 19 37,25 21 41,18 4 7,84 5 9,80 28 33 64,71 5 9,80 4 7,84 7 13,73 2 3,92 29 5 9,80 25 49,02 10 19,61 8 15,69 3 5,88 30 27 52,94 6 11,76 13 25,49 3 5,88 2 3,92 31 1 1,96 28 54,90 15 29,41 1 1,96 6 11,76 32 26 50,98 9 17,65 4 7,84 9 17,65 3 5,88 33 0 0,00 25 49,02 19 37,25 5 9,80 2 3,92 34 1 1,96 22 43,14 16 31,37 9 17,65 3 5,88 En el ítem 21 (¿Se diseñan y aplican controles de entradas apropiados a las áreas de seguridad a fin de asegurar el permiso de acceso sólo al personal autorizado?, ítem 22 (¿Existe un procedimiento o control de admisión al edificio administrativo para aquellas personas que no posean carnet institucional, tal como los visitantes?) e ítem 23 (¿Se controla el ingreso a las oficinas después del horario normal de trabajo?), presentan una alta tendencia a la alternativa Siempre, lo que permite inferir que se encuentran establecidos los perímetros de seguridad para las áreas que contienen información crítica de la Dirección de Tecnologías y de las Instituciones Militares. En lo que respecta a los controles físicos de entrada, el ítem 24 (¿Se cierran con llave las puertas de los sitios neurálgicos en el edificio administrativo?) e ítem 25 (¿Se cierran con llaves las entradas de cada piso, así como las entradas externas al edificio administrativo?), las alternativas con mayor porcentajes se observan en Siempre con 31,37% y 39,22% respectivamente, lo que refleja que si se cumple y -55- se mantiene las puertas de entradas cerradas para impedir el paso de personal no autorizado sobre todo fuera del horario de oficina. Gráfico 5. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad Física y Ambiental. Fuente: Autor -56- En relación a la protección contra las amenazas externas y ambientales, se formularon las siguientes preguntas, ítem 26. ¿Se diseñan y aplican protección física a las oficinas contra el daño por fuego, inundación, sismo, explosión, disturbios, y las otras formas de desastre natural o hecho por el hombre? e ítem 27. ¿Se diseñan y aplican protección física a la información contra el daño por fuego, inundación, sismo, explosión, disturbios, y las otras formas de desastre natural o hecho por el hombre?, las respuestas estuvieron orientadas con un 49,02% y un 41,18% respectivamente a la alternativa Siempre y Algunas Veces, reflejando que la Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares ha considerado la protección física tanto a las oficinas como a la información contra los desastres naturales o provocados por el hombre. Para indagar sobre la ubicación y protección de los equipos, el ítem 28. ¿La DIRTIC toma medidas concretas para evitar el robo de equipos tales como laptops y otros componentes? y el ítem 29. ¿ Se toman previsiones de ubicar o proteger los equipos para reducir los riesgos de amenazas y peligros ambientales, y oportunidades para el acceso no autorizado?, los resultados indican una tendencia negativa hacia las alternativas Casi Siempre, esto demuestra que existe preocupación manifestadas la Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares por prevenir pérdidas, daños o robo de los activos de información. El ítem 30 (¿Se protegen los equipos contra fallas de energía y otras interrupciones eléctricas causadas por problemas en los servicios de apoyo?), la alternativa Siempre presentó un 52,94%, lo que permite inferir que conocen sobre las medidas que se deben considerar para proteger los equipos contra las fallas de energía u otras interrupciones eléctricas. El ítem 31 (¿Se protegen debidamente el cableado de energía eléctrica y de comunicaciones que transporta datos contra la interceptación o daños?), el -57- 54,90% respondió que Casi Siempre evidenciando la seguridad del cableado. El ítem 32 (¿Se realizan mantenimientos preventivos a los equipos a fin de asegurar su continua disponibilidad e integridad?), el 50,98% responde que Siempre se realizan mantenimientos a los equipos. El ítem 33 (¿Se toman las previsiones para que todos los dispositivos de almacenamiento de datos (Pendrive, CD, Disco duros, entre otros), sean eliminados o formateado completamente antes de su utilización?), el 49,02% se inclinó por la alternativa Casi Siempre evidenciando mejoras en la seguridad de la información cuando se reutilizan o eliminan equipos sin tomar las previsiones de remover toda la información existentes en el mismo. El ítem 34 (¿La DIRTIC da instrucciones claras y firmes a los usuarios para que prohíban el traslado o retiro de equipo, información o software sin autorización?), el 43,14 opinó que Casi Siempre evidenciando que existe una política de seguridad que controle el retiro de los activos de información de la DIRTIC. En conclusión, los resultados mostrados anteriormente demuestran que existen mejoras en la Dirección de Tecnologías de la Información y Comunicaciones y las instituciones militares garantizando la seguridad física tanto a las instalaciones como a los equipos. Dimensión: Gestión de Comunicaciones y Operaciones. Esta dimensión contiene catorce (14) ítems que permitieron obtener información sobre la forma de operación de los recursos de información. -58- Tabla 9. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Comunicaciones y Operaciones. Fuente: Autor Ítems S % CS % AV % 35 1 36 0 1,96 6 11,76 37 72,55 0,00 10 19,61 22 43,14 37 38 0 0,00 5 9,80 16 31,37 0 0,00 9 17,65 25 49,02 39 0 0,00 9 17,65 22 40 0 0,00 0 0,00 41 5 9,80 2 3,92 42 0 0,00 0 0,00 43 27 52,94 15 44 1 1,96 2 45 2 3,92 1 46 4 7,84 1 47 1 1,96 13 48 26 50,98 8 15,69 CN % N % 4 7,84 3 5,88 14 27,45 5 9,80 24 47,06 6 11,76 13 25,49 4 7,84 43,14 14 27,45 6 11,76 12 23,53 31 60,78 8 15,69 0 0,00 13 25,49 31 60,78 39 76,47 12 23,53 0 0,00 29,41 6 11,76 1 1,96 2 3,92 3,92 10 19,61 28 54,90 10 19,61 1,96 31 60,78 14 27,45 3 5,88 1,96 9 17,65 16 31,37 21 41,18 25,49 25 49,02 9 17,65 3 5,88 4 7,84 9 17,65 4 7,84 En la Tabla 9 y Gráfico 6, se observan los resultados obtenidos para la dimensión gestión de comunicaciones y operaciones. Para indagar sobre los procedimientos y responsabilidades de operación de la información, se emplearon los ítems 35 (¿Los procedimientos operativos son documentados, mantenidos y están disponibles a todos los usuarios que lo necesitan?) y 36 (¿Se controlan los cambios de los recursos y sistemas de procesamiento de la información?), los resultados encontrados son un 72,55% y 43,14% en la alternativa Algunas Veces respectivamente, lo que indica que no se realizan mayores esfuerzo por documentar los procedimientos, lo cual es negativo, ya que la documentación de los procedimientos permite el manteniendo de los mismos y si estos se encuentran disponibles a todos los usuarios que los necesiten, y se segregan adecuadamente los servicios y las responsabilidades se logra evitar el uso inadecuado de los mismos. -59- Gráfico 6. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Comunicaciones y Operaciones. Fuente: Autor En relación con la planificación y aceptación de los sistemas, el ítem 37, (¿Se realizan seguimientos, ajustes y proyecciones de los requisitos de la capacidad futura de la utilización de los recursos, para garantizar el desempeño del sistema requerido?), el 47.06% de los sujetos de estudios opinaron que Casi Nunca se realizan. Para obtener información sobre la protección contra el código malicioso y movible, se utilizaron los ítem 38 (¿Se implementan controles de detección, prevención y recuperación de la información, para la protección contra código malicioso o -60- virus?) y el ítem 39 (¿Se realizan procedimientos adecuados de toma de conciencia de los usuarios para la detección, prevención y recuperación para la protección contra código malicioso?), las respuestas permitieron concluir que los usuarios tiene poco conocimiento para detectar los códigos maliciosos y no existen procedimientos formales para adiestrarlos para que puedan evitarlos y así proteger la información. El ítem 40 (¿Se establecen procedimientos para controlar el intercambio de información a través de la utilización de toda clase de recursos de comunicación, por ejemplo el uso de teléfonos celulares y laptops por parte de personas ajenas a la DIRTIC?), el 60,78% opino que Casi Nunca, lo que indican que existe políticas y procedimientos de intercambio de información. En relación a las copias de seguridad, el ítem 41 (¿Se controla el acceso a las fotocopiadoras para evitar que se puedan hacer copias de cualquier documento?), el 60,78% opinó que Nunca se controla y el ítem 42 (¿Se realizan copias de seguridad de la información y software de acuerdo con la política de copia de seguridad emitida?), el 76,47% opinó que Algunas Veces, lo que permite inferir que no se realizan backups de la información y de los sistemas de información. El ítem 43 (¿Se gestionan y controlan adecuadamente la red de datos a fin de protegerla de las amenazas y mantener la seguridad para los sistemas y aplicaciones que utiliza la red, incluyendo la información en tránsito?), el 52,94% opinó que Siempre, lo que se deduce que se lleva una buena administración y control de la red, es decir, se implementan todas las medidas posibles para evitar amenazas y mantener la seguridad de los sistemas y aplicaciones que circula por ella. -61- En relación de manejo de medios de información, se utilizaron dos (02) ítem para recabar información, el ítem 44 (¿Se tiene el cuidado de no arrojar información confidencial o vital en las papeleras sin ser destruida previamente? y el ítem 45 (¿Se establecen procedimientos para el manejo y almacenamiento de la información a fin de protegerla contra su uso inadecuado o divulgación no autorizada?), donde la alternativa Casi Nunca con 54,90% y Algunas Veces con 60,78%, estos resultados señalan que no se toman todas las previsiones para la difusión, modificación, eliminación o destrucción de cualquier elemento capaz de almacenar información (dispositivo USB, CD, discos, cintas, papeles, entre otros tanto fijos como removibles). El ítem 46 (¿Se producen y mantienen los registros de auditorías cuando se detectan actividades de procesamiento de la información no autorizada, a fin de ayudar a futuras investigaciones y seguimiento de control de accesos?) y el ítem 47 (¿Se registran, analizan y se toman acciones apropiadas cuando se detectan fallas en las actividades y procesamiento de la información no autorizada?), presentaron una alta incidencia en la alternativa Nunca con un 41,18% y Algunas Veces 61,54% respectivamente, estos resultados confirman que no se llevan registros de auditorías de los eventos de seguridad que ocurren en los sistemas de información. El ítem 48 (¿Se sincronizan los relojes de todos los sistemas de procesamiento de la información pertinentes dentro de la DIRTIC con una fuente de tiempo exacta acordada?), el 50,98% opinó que Siempre se tiene una sincronización de toda la infraestructura de servidores. Dimensión: Control de Accesos. -62- Esta dimensión contiene seis (06) ítems que permitieron obtener información si se controlan que los usuarios autorizados, acceden únicamente a los recursos sobre los cuales tienen derecho y a ningún otro. Tabla 10. Resultados de las respuestas dadas a las preguntas sobre la dimensión Control de Accesos. Fuente: Autor Ítems S % CS % AV % CN % N % 49 22 43,14 13 25,49 6 11,76 6 11,76 4 7,84 50 1 1,96 10 19,61 31 60,78 5 9,80 4 7,84 51 28 54,90 10 19,61 1 1,96 8 15,69 4 7,84 52 20 39,22 16 31,37 5 9,80 4 7,84 6 11,76 53 1 1,96 1 1,96 16 31,37 28 54,90 5 9,80 54 21 41,18 17 33,33 5 9,80 4 7,84 4 7,84 Gráfico 7. Porcentajes de las respuestas dadas a las preguntas sobre Control de Accesos. Fuente: Autor -63- De acuerdo a las respuestas emitidas de los sujetos en estudio y el análisis e interpretación de las mismas, se puede visualizar en el Tabla 10 y Gráfico 7 referido a la dimensión control de accesos, en el ítem 49 (¿Se establecen, documentan y revisan las políticas de control de accesos a la información?), el 43,14% respondió que Siempre, lo cual nos permite inferir que existe una política de control de accesos. En relación a la gestión de acceso de usuarios, se emplearon dos preguntas para obtener información, el ítem 50 (¿Se realizan procedimientos formales de registros de usuarios para conceder y revocar el acceso a los sistemas y servicios de información?) y el ítem 51. ¿Se controla a través de un proceso de gestión formal la asignación de contraseñas de usuarios para prevenir el acceso no autorizado a los sistemas de información?), ambas respuestas muestran un alta incidencia por la alternativa Algunas Veces con un 60,78% y Siempre con un 54,90% respectivamente, lo que nos indica que existe un procedimiento formal de registro y revocación de usuarios y una adecuada administración de los privilegios y de las contraseñas de cada uno de los usuarios. En relación al indicador uso de contraseñas el ítem 52 (¿Se les motiva a los usuarios seguir buenas prácticas de seguridad para la selección y uso de sus contraseñas?), el 39,22% opino que Siempre, esto refleja que los usuarios tienen claro el uso de contraseñas, así como también evidencia que existen procedimientos formales para la selección y uso de contraseñas. El indicador sesión inactiva, el ítem 53 (¿Se activa automáticamente un protector de pantalla protegido con contraseña, cuando el usuario deja de utilizar un tiempo prudencial el computador?), el 54,90% opinó que Casi Nunca, lo que refleja una falla en la seguridad de la información en el momento que un empleado se levante de su puesto y transcurrido un periodo de tiempo prudencial no se apague la -64- sesión da oportunidad a que cualquier persona que no está autorizado trabaje en el computador, pueda obtener información, cambiarla y hasta borrarla. El ítem 54 (¿Se restringe de acuerdo con las políticas de control el acceso a la información y a las funciones del sistema de aplicación?) referido al indicador restricción de acceso a la información, el 33,33% respondió que Casi Nunca se hace, esto evidencia que se tiene una política de control de acceso definida. En conclusión, los resultados obtenidos muestran una inclinación hacia la alternativa Siempre. Es de destacar, que el control de acceso es una de las actividades más importantes de la arquitectura de seguridad de un sistema y para lograrlo debe existir una política de control de accesos documentada, periódicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo. Igualmente, se exige llevar un procedimiento de registro y revocación de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizando periódicas revisiones a intervalos regulares, empleando para todo ello procedimientos formalizados dentro de la Dirección de Tecnologías de la Información y Comunicaciones y las Instituciones Militares. Dimensión: Adquisición, Desarrollo y Mantenimiento de Sistema de Información. Esta dimensión contiene cinco (05) ítems que permiten averiguar si la seguridad es una parte integral de los sistemas de información y si se previenen los errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones. -65- Tabla 11. Resultados de las respuestas dadas a las preguntas sobre la dimensión Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. Fuente: Autor Ítems S S CS CS AV AV CN CN N N 55 12 23,53 19 37,25 3 5,88 13 25,49 4 7,84 56 24 47,06 10 19,61 5 9,80 8 15,69 4 7,84 57 23 45,10 13 25,49 7 13,73 3 5,88 5 9,80 58 14 27,45 13 25,49 7 13,73 12 23,53 5 9,80 59 16 31,37 18 35,29 6 11,76 8 15,69 3 5,88 Gráfico 8. Porcentajes de las respuestas dadas a las preguntas sobre Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. Fuente: Autor En la Tabla 11 y Grafico 8, muestra los resultados aportados por los sujetos de estudios en relación a la adquisición, desarrollo y mantenimiento de sistemas de información. En este sentido, el ítem 55 (¿Se realizan análisis y especificaciones de seguridad para los nuevos sistemas de información o para las mejoras de los sistemas existentes?), el 37,25% opino que Casi Siempre se especifican los requisitos de control de seguridad para los nuevos sistemas de información. -66- En relación al procesamiento correcto en las aplicaciones, se emplearon tres ítem para obtener información al respecto, el ítem 56 (¿Se realizan validaciones de los datos de entrada a las aplicaciones para asegurarse de que éstos sean correctos y apropiados?), ítem 57 (¿Se incorporan a las aplicaciones las comprobaciones de validación para detectar cualquier corrupción de la información a través de errores de procesamiento o actos deliberados?) y el ítem 58 (¿Se realizan validaciones a los datos de salida de una aplicación para asegurarse que el procedimiento de la información almacenada es correcto y apropiado a las circunstancias?), los resultados tienen una tendencia positiva Siempre, esto nos permite inferir que se realiza un correcto tratamiento de la información en las aplicaciones de la Dirección de Tecnologías de la Información y Comunicaciones así como de las instituciones militares, se adoptan las medidas para la validación en los datos de entrada, se tienen controles internos en el procesamiento de la información para verificar o detectar cualquier corrupción de la información a través de los procesos, tanto por error como intencionalmente. Y por último, existe una validación en la salida de datos, para asegurar que los datos procesados, y su posterior tratamiento o almacenamiento, sea apropiado a los requerimientos de la aplicación. En el ítem 59 (¿Se desarrollan e implementan políticas sobre la utilización de controles para la protección de confidencialidad, autenticidad o integridad de la información?), el 35,29% opinó que Casi Siempre se protegen la confidencialidad, autenticidad o integridad de la información. En conclusión, los resultados anteriores demuestran fortalecimiento de seguridad en la adquisición, desarrollo y mantenimiento de los sistemas de información. Dimensión: Gestión de Incidente de Seguridad de la Información -67- Esta dimensión contiene cuatro (04) ítems que permitieron obtener información. Tabla 12. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Incidente de Seguridad de la Información. Fuente: Autor Ítems S % CS % AV % CN % N % 60 20 39,22 11 61 1 1,96 25 21,57 9 17,65 4 7,843 7 13,73 49,02 15 29,41 7 13,73 3 5,882 62 4 7,84 0 0 29 56,86 16 31,37 2 3,922 63 3 5,88 3 5,88 20 39,22 17 33,33 8 15,69 Gráfico 9. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Incidente de Seguridad de la Información. Fuente: Autor Los resultados obtenidos en la dimensión gestión de incidentes de seguridad de la información se muestran en la Tabla 12 y Gráfico 9, para obtener información acerca de los reportes de eventos y debilidades de seguridad de la información se emplearon dos preguntas, el ítem 60 (¿Se reportan los eventos de seguridad de la -68- información a través de los canales de gestión apropiados tan rápidamente como sea posible?) y el ítem 61 (¿Se les solicita a todos los usuarios de los sistemas y servicios de información reportar cualquier debilidad en la seguridad de los sistemas o servicios, que haya sido observada o sospechada?), los mayores porcentajes de respuestas un 39,22% fueron para las alternativas Siempre y 49,02% Casi Siempre, esto refleja que existen procedimientos para los incidentes de seguridad. En relación a la gestión de los incidentes y mejoras de seguridad de la información, los ítem 62 (¿Se establecen las responsabilidades y procedimiento de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de información?) y 63 (¿Se establecen mecanismos que permitan cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los incidentes de seguridad de información?), los resultados señalan un 56,86% opinó que Algunas Veces se establecen responsabilidades y un 39,22% respondió que Algunas Veces se establecen mecanismos para cuantificar los incidentes de seguridad. En conclusión, existe una alta tendencia positiva en los resultados, los que demuestra que se están realizando una administración de los incidentes de seguridad de la información. Dimensión: Gestión de Continuidad del Negocio Esta dimensión contiene dos (02) ítems que tiene como objetivo contemplar todas las medidas tendientes a que los sistemas de información no hagan sufrir interrupciones sobre la actividad que realiza la DIRTIC. -69- Tabla 13. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de Continuidad del Negocio. Fuente: Autor Ítems S % CS % AV % CN % N % 64 5 9,804 65 0 0 0 0 16 31,37 22 43,14 8 15,69 4 7,843 20 39,22 21 41,18 6 11,76 Gráfico 10. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Continuidad del Negocio. Fuente: Autor Las respuestas visualizadas en la Tabla 13, Gráfico 10, permitieron evaluar en relación a la dimensión gestión de continuidad del negocio. En este sentido, el ítem 64 (¿Se identifican los eventos que pueden causar las interrupciones a los procesos de la DIRTIC, al mismo tiempo que la probabilidad e impacto de tales interrupciones y sus consecuencias para la seguridad de la información?), se observa una tendencia negativa siendo la alternativa Casi Nunca la que presenta -70- mayor puntuación con un 43,14%, esto refleja que no están identificados aquellos eventos que pueden causar interrupción del servicio. El ítem 65 (¿Se desarrollan e implementan planes para mantener y recuperar las operaciones y asegurar la disponibilidad de la información al nivel requerido y en los plazos requeridos, tras la interrupción o la falla de los procesos críticos de la DIRTIC?), el 41,18% opinó que Casi Nunca. Estos resultados evidencian que se tienen poco conocimiento para proteger los procesos de seguridad de la Dirección de Tecnologías de la Información y Comunicaciones así como de las instituciones militares, de los efectos de fallas significativas de los sistemas de información y asegurar su reanudación oportuna. Dimensión: Cumplimiento Esta dimensión contiene cuatro (04) ítems que permitieron obtener información si se evitan incumplimientos de cualquier ley, estatuto, obligación reglamentaria o contractual, así como también de cualquier requisito de seguridad. Tabla 14. Resultados de las respuestas dadas a las preguntas sobre la dimensión Cumplimiento. Fuente: Autor Ítems S % CS % AV % CN % N % 66 8 15,69 1 1,96 17 33,33 17 33,33 8 15,69 67 2 3,92 1 1,96 17 33,33 27 52,94 4 7,84 68 5 9,80 2 3,92 13 25,49 19 37,25 12 23,53 69 4 7,84 2 3,92 17 33,33 23 45,10 5 9,80 -71- Gráfico 11. Porcentajes de las respuestas dadas a las preguntas sobre Cumplimiento. Fuente: Autor En la Tabla 14 y el Gráfico 11, reflejan las respuestas emitas por los sujetos de estudio. En el ítem 66 (¿Se definen, documentan y se actualizan todos los requisitos legales, reglamentarios y contractuales para cada sistema de información de la DIRTIC?) y el ítem el 67 (¿Se implementa procedimientos apropiados para asegurarse del cumplimiento de los requisitos legales, reglamentarios y contractuales sobre el uso del material protegido por derechos de propiedad intelectual, y sobre el uso de productos de software reservados?), las respuestas dadas son negativas, con un 33,33% y un 52,94% respectivamente para la alternativa Casi Nunca. Estas respuestas permite inferir que no se consideran o no se identifica la legislación aplicable a los sistemas de información que tiene la Dirección de Tecnologías de la Información y Comunicaciones así como de las instituciones militares, lo que hace suponer que no está definido explícitamente y -72- documentando todo lo que guarde relación con los requisitos legales, derecho de la propiedad intelectual, el uso de productos de software reservados. En el ítem 68 (¿Se protegen los registros importantes contra pérdida, destrucción y falsificación, de acuerdo con los requisitos legales, estatutarios, reglamentarios y contractuales de la DIRTIC?), el 37,25% opinó que Casi Nunca y en el ítem 69 (¿Se planifican actividades de auditorías que involucren comprobaciones en los sistemas operativos y sistemas de información a fin de minimizar el riesgo de interrupción de los procesos de la DIRTIC?), el 45,10% señaló que Casi Nunca. Estos resultados evidencian, la poca importancia que se le presta a la protección de la información clasificada. 3.2.8 OBSERVACIÓN DIRECTA En lo que respecta a la observación directa, no participante y sistemática de la realidad objeto de estudio y tomando como guía la norma (ISO/IEC 27001:2005, 2005), en el Anexo F, se encuentra los objetivos de control y controles listados en la Tabla A.1. En este sentido, la norma señala que “están directamente derivados y alineados con aquellos listados en los capítulos 5 al 15 de la Norma (ISO /IEC 17779:2005, 2005), Las listas en la Tabla A.1 no son exhaustivas y una organización puede considerar que son necesarios objetivos de control y controles adicionales”. A continuación en la Tabla 15 se detallan las observaciones realizadas en relación a cada uno de los objetivos de control. -73- Tabla 15. Observación directa. Fuente: Autor Cláusulas A.5. Política de Seguridad A.6. Organización de la Seguridad de la información A.7. Gestión de activos Objetivo de control Controles Observación directa A.5.1. Política de Seguridad de la Información A.6.1. Organización Interna A.5.1.1. Documento de la política de seguridad de la Información A.6.1.1. Compromiso de la dirección para la seguridad de la información A.6.1.3. Asignación de responsabilidades sobre la seguridad de la información A.6.2. Partes externas A.6.2.1. Identificación de riesgos relacionaos a partes externas A.7.1. Responsabilidad por los activos A.7.1.1. Inventario de activos No existe un documento de política de seguridad de información Existe un reglamento y los lineamientos de Tecnología aprobados por la DIRTIC No están definidas claramente todas las responsabilidades de seguridad de la información No están identificados los riesgos a la información y recursos de procesamiento de la información Se tiene una mediana documentación de lo que debería ser un inventario de servicios de información y de hardware No están implementadas las reglas para la utilización aceptable de la información y los activos asociados con las instalaciones. No está clasificada la información de acuerdo con su valor, sensibilidad y criticidad para la DIRTIC. No se han desarrollados procedimientos para etiquetar la información No están documentadas las responsabilidades de seguridad de los empleados, contratistas y usuarios. Los empleados, contratistas y usuarios no firman acuerdos donde se establezcan responsabilidades por la seguridad de la información en la DIRTIC. No existe proceso disciplinario formal para los empleados que cometan un incumplimiento de seguridad No están definidas claramente las responsabilidades para llevar a cabo la terminación o cambio de empleo A.7.1.3. Utilización aceptable de los activos A.7.2. Clasificación de la información A.7.2.1 Directrices de clasificación A.7.2.2 Etiquetado y manejo de la información A.8. Seguridad de recurso humanos A.8.1. Antes del empleo A.8.1.1 Roles y responsabilidades A.8.1.3. Términos y condiciones de empleo A.8.2. Durante el empleo A.8.2.3 Proceso disciplinario A.8.3. Terminación o cambio de empleo A.8.3.1. Responsabilidades de la terminación -74- A.8.3.2 Devolución de los activos A.8.3.3. Retiro de los derechos de acceso A.9 Seguridad física y ambiental A.10 Gestión de comunicaciones y operaciones A.9.1 Áreas seguras A.9.1.1 Perímetros de seguridad A.9.2. Seguridad de los equipos A.9.2.2. Seguridad del cableado A.10.1 Procedimientos y responsabilidades de operación A.10.1.1. Documentación de procedimientos operativos A.10.3 Planificación y aceptación del sistema. A.10.3.1. Gestión de la capacidad A.10.4. Protección contra código malicioso y movible A.10.4.1. Controles contra código malicioso. A.10.5. Copia de Seguridad A.10.5.1 Copia de seguridad de la información. A.10.6 Gestión de seguridad de la red. A.10.6.1 Control de la red A.10.7 Manejo de medios removibles. A.10.7.2 Disposición de medios No se cumple en su totalidad la devolución de todos los activos de la DIRTIC una vez terminado la relación laboral. Se mantienen lazos de amistad y se observa que empleados que han sido cambiados de oficinas mantienen acceso a la información y recursos para el procesamiento de la información El cuarto de cableado principal y de servidores si presenta seguridad, la puerta principal es de aluminio y vidrio, las paredes son de cemento y el techo no está desprotegido Se observa que el cableado de energía eléctrica y de comunicaciones que transporta datos se encuentra protegido, no se violentan todas las normas del cableado estructurado, no está certificado. Se está realizando la documentación de los servidores y servicios que tienen en la DIRTIC, el personal desconoce de esta documentación, debe realizar adiestramiento. Se realiza los seguimientos de los requisitos de los nuevos sistemas. Existen antivirus en las estaciones de trabajo, pero los usuarios no tienen conciencia y bajan información no autorizada lo cual ponen en riesgo a los sistemas de información. Tienen respaldo y copias de seguridad de la información y software falta procedimientos. La DIRTIC, cuenta con un Administrador de red y una división de redes y comunicaciones, lo cual permite mejorar la administración y la seguridad de las redes. No existen procedimientos formales para eliminar cualquier elemento que contiene información. -75- A.10.7.3 Procedimiento de manejo de la información A.10.10 Seguimiento A.11 Control de accesos A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información A.11.1 Requisitos del negocio para el control de accesos. A.11.2 Gestión de accesos de usuarios A.10.10.1 Registro de auditoria A.10.10.5 Registro de fallas A.10.10.6 Sincronización de relojes A.11.1.1. Requisitos del negocio para el control de accesos. A.11.2.1 Registro de usuarios A.11.2.3 Gestión de contraseñas de usuario A.12.1 Requisitos de seguridad de los sistemas de información. A.12.1.1 Análisis y especificación de los requisitos de seguridad A.12.2 Procesamiento correcto en las aplicaciones A.12.2.1 Validación de datos de entrada A.12.2.2 Control de procesamiento interno A.12.2.4 Validación de los datos de salida A.13 Gestión de los incidentes de seguridad de la información A.13.1 Reportar los eventos y debilidades de seguridad de la información A.13.1.1 Reporte de los eventos de seguridad de información A.13.1.2 Reporte de debilidades de seguridad A.14 Gestión de continuidad del negocio. A.15 Cumplimiento A.14.1 Aspectos de seguridad de la información de la gestión de continuidad del negocio A.15.1 Cumplimiento de requisitos legales A.14.1.2 Continuidad del negocio y evaluación de riesgo A.14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información. A.15.1.1 Identificación de la legislación aplicable. A.15.1.2 Derechos de propiedad intelectual (DPI) No existen procedimiento para el manejo y almacenamiento de la información. No se auditan las logs que registran actividad y eventos de seguridad. Se monitorea levemente el uso de los sistemas. No existen Se sincronizan toda la plataforma de servidores Existe una política de control de acceso. Existe un procedimiento formal. Se lleva una administración formal de asignación de contraseñas. Se especifican los requisitos de control de seguridad en los sistemas de información Existen procedimientos de validación de datos de entrada elementales, pero no garantizan que los datos sean correctos. Existen comprobaciones de validación en los sistemas La información procesada por los sistemas de información es revisada continuamente. Existen registros de los incidentes de seguridad. Existe reporte de debilidades sospechadas a los sistemas. No están identificados los eventos de seguridad que causan interrupciones al servicio en la DIRTIC. No existen planes de contingencias para mantener y recuperar las operaciones en el menor tiempo posible. Falta documentación de los sistemas de información LA DIRTIC si presenta documentación técnica y tiene licencias de Software -76- A.15.1.3 Protección de los registros de la organización. A.15.3 Consideraciones de auditoria de los sistemas de información A.15.3.1 Controles de auditoria de los sistemas de información Los archivos de información de cada una de las oficinas presentan buena protección. No se planifican actividades de auditoria que involucren comprobaciones en los sistemas operativos. 3.2.9 CONCLUSIONES DEL DIAGNÓSTICO Tomando en consideración los objetivos de la investigación y el análisis e interpretación de las respuestas dadas por los sujetos de estudio en el instrumento aplicado y las observaciones hechas directamente en relación a los requerimientos de la institución y utilizando el numeral 4.2.1 de la norma, las conclusiones del estudio son las siguientes: a. Existe un documento de política de seguridad de la información pero no se encuentra aprobado por la Dirección, incumpliendo con el numeral 5) del literal 4.2.1 b) de la norma, el cual establece “Definir una política del SGSI acorde con las características de la actividad empresarial, la organización, su ubicación, sus activos y tecnología, que: sea aprobada por la Dirección” b. En referencia a la organización de la seguridad de la información no se llevan eficazmente las políticas de seguridad de la información y no están definidas claramente todas las responsabilidades individuales para alcanzarla, incumpliendo con el numeral 1) del literal 4.2.1 a) de la norma, el cual establece “incluya un marco para la fijación de objetivos y establezca una orientación general sobre las directrices y principios de actuación en relación con la seguridad de la información” c. No se encuentran establecidos los requisitos para los acuerdos de confidencialidad de la información, se consideran todos los requisitos de seguridad antes de dar acceso al cliente o usuario de la información externo a la DIRTIC e instituciones militares, incumpliendo con el numeral -77- 4) del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de estimación riesgos”. d. No están establecidos los perímetros de seguridad para las áreas que contienen información crítica de la DIRTIC, cumpliendo con el numeral 4) del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de estimación riesgos”. e. No se cumplen los procedimientos para permitir el acceso sólo al personal autorizado, incumpliendo con el numeral 5) del literal 4.2.1 b) de la norma, el cual establece “Definir una política del SGSI acorde con las características de la actividad empresarial, la organización, su ubicación, sus activos y tecnología, que: sea aprobada por la Dirección”. f. Se tiene poco conocimiento para proteger los procesos administrativos críticos de la DIRTIC de los efectos de fallas significativas de los sistemas de información y asegurar su reanudación oportuna, incumpliendo con el numeral 2) del literal 4.2.1 b) de la norma, el cual establece “tenga en cuenta los requisitos de la actividad empresarial, los requisitos legales o reglamentarios y las obligaciones de seguridad contractuales”. g. Se lleva una correcta administración y control de la red, es decir, se implementan todas las medidas posibles para evitar amenazas y mantener la seguridad de los sistemas y aplicaciones que circulan por ella, cumpliendo con el numeral 4) del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de estimación riesgos”. h. Se realizan copias de seguridad de la información y software que dispone la DIRTIC y se prueba periódicamente, cumpliendo con el numeral 4) del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de estimación riesgos”. i. Existen políticas de control de acceso a la información de la DIRTIC, pero debe ser revisado y documentado, cumpliendo con el numeral 4) del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de estimación riesgos”. -78- j. No se encuentran identificados los eventos que pueden causar interrupciones, sus efectos y consecuencias para la seguridad de la información de la DIRTIC, incumpliendo con el numeral 3) del literal 4.2.1 b) de la norma, el cual establece “esté alineada con el contexto de la estrategia de gestión de riesgos de la organización contexto en el que tendrá lugar la creación y el mantenimiento del SGSI”. 3.2.10 RECOMENDACIONES DEL DIAGNÓSTICO Los resultados de la investigación fueron analizados utilizando la norma ISO/IEC 27001:2005, de allí se presentan las siguientes recomendaciones: a. Completar y aprobar por la Dirección el documento de política de seguridad de la información y realizar el documento del plan de seguridad, como nivel de planeamiento. b. Publicar el documento de política de seguridad de la información e informar a toda la DIRTIC y las instituciones militares, de acuerdo a lo que se describe en la Tabla A.1 Objetivo de control y controles, literal A.5.1.1 de la norma. c. Determinar y revisar periódicamente la necesidad de establecer acuerdos de confidencialidad por las autoridades militares de la DIRTIC y las instituciones militares para que apoyen activamente la seguridad de la información y confidencialidad de la información, a través de un compromiso demostrado, con la asignación explícita de las responsabilidades de seguridad de la información, de acuerdo a lo que se describe en la Tabla A.1 literal A.6.1.5 de la norma. d. Utilizar perímetros de seguridad para proteger las áreas que contienen la información crítica de la DIRTIC de acuerdo a lo que se describe en la Tabla A.1 literal A.9.1.1 de la norma. -79- e. Definir políticas y procedimientos de funciones y responsabilidades para el control de accesos y seguridad del personal, de acuerdo a lo que se describe en la Tabla A.1 literal A.8.1.1 de la norma. f. Documentar y mantener los procedimientos de operación para asegurar la reanudación oportuna de los servicios, de acuerdo a lo que se describe en la Tabla A.1 literal A.10.1.1 de la norma. g. Asegurar la protección de la información en las redes frente a posibles amenazas y para mantener la seguridad de los sistemas y aplicaciones de la DIRTIC, de acuerdo a lo que se describe en la Tabla A.1 literal A.10.6.1 de la norma. h. Mantener la integridad y seguridad de la información de la DIRTIC, realizando las copias de seguridad de la información y software, de acuerdo a lo que se describe en la Tabla A.1 literal A.10.5.1 de la norma. i. Establecer, documentar y revisar una política de control de acceso a la información que dispone la DIRTIC, de acuerdo a lo que se describe en la Tabla A.1 literal A.11.1.1 de la norma. j. Identificar los eventos que pueden causar interrupciones en los procesos de negocios, así como sus efectos y consecuencias para la seguridad de la información que dispone la DIRTIC, de acuerdo a lo que se describe en la Tabla A.1 literal A.14.1.2 de la norma. 3.3 FASE II FACTIBILIDAD El estudio de factibilidad para determinar la viabilidad del Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, abarca la disponibilidad de los recursos necesarios para llevar a cabo los objetivos o metas señalados, la factibilidad se apoya en 3 aspectos básicos: operativa, técnica y económica. -80- 3.3.1 FACTIBILIDAD OPERATIVA La factibilidad operativa, se refiere a todos aquellos recursos donde interviene algún tipo de actividad o procesos, depende de los recursos humanos que participen durante la operación del proyecto, durante esta etapa se identifican todas aquellas actividades que son necesarias para lograr el objetivo y se evalúa y determina todo lo necesario para llevarla a cabo, siguiendo los siguientes pasos: a. Establecer el compromiso y el reconocimiento de la Dirección sobre las responsabilidades de seguridad de la información. b. Verificar si existe el presupuesto necesario para capacitación del personal involucrado en el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares. c. Establecer el compromiso necesario de la Dirección para el establecimiento del Diseño de un SGSI para las Instituciones Militares. d. Realizar la capacitación sobre las normas básicas de Seguridad de Información, Políticas de Seguridad Cibernética del Ministerio de Defensa Nacional publicada en el MIDENA8. Una vez realizado las actividades anteriores se determinará la factibilidad operativa, si los usuarios están en la mejor disposición y compromiso para el desarrollo del Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares. 8 Política de Seguridad Cibernética del Ministerio de Defensa Nacional (MIDENA), con el propósito de establecer una cultura institucional de Seguridad Tecnológica. -81- 3.3.2 FACTIBILIDAD TÉCNICA La factibilidad técnica es un análisis de la tecnología requerida para conseguir la funcionalidad y el rendimiento del proyecto propuesto, cuál es el riesgo de desarrollo y cómo afectan éstos elementos en el costo del proyecto. Además, se debe definir si el problema se puede resolver con los medios actualmente existentes y el grado de adaptación de la solución a la tecnología con la que cuenta la organización, para lo cual se seguirá los siguientes pasos: a. Realizar una evaluación de las capacidades técnicas requeridas para las alternativas del diseño. b. Verificar si el personal la experiencia técnica para establecer el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares. c. Verificar que el personal con experiencia suficiente en el área de seguridad de la información que será la encargada de supervisar el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares. d. Evaluar la Infraestructura Tecnológica que posee la institución y las requeridas para el Diseño. e. Analizar el grado de aceptación que genera el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares. -82- Una vez realizado las actividades anteriores se determinará la factibilidad técnica, si el personal que labora en la Institución posee experiencia técnica requerida para el Diseño y la Infraestructura Tecnológica que posee son las adecuadas para el proyecto. 3.3.3 FACTIBILIDAD ECONÓMICA La factibilidad económica es un análisis que se realizará para determinar el costobeneficio del Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares. (Seen, 1987), señala que “en el desarrollo de un sistema los beneficios financieros deben igualar o exceder los costos de inversión para la empresa, para poderse considerar factible económicamente”, por lo cual permite la utilización de los servicios y sistemas que se dispone de manera eficaz y eficiente, rendir cuentas en los lapsos previsto, minimizar los tiempos de respuestas a las peticiones realizadas por los usuarios, tener información actualizada y consolidada así como control y auditoría de los servicios, sistemas, debido a que la seguridad de la información juega un papel preponderante y cualquier monto de inversión para establecer el Diseño de SGSI para las Instituciones Militares, es considerado ínfimo respecto a los beneficios que se obtienen. Al analizar la factibilidad operativa, técnica y económica se determinará si el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, basado en las normas (ISO/IEC 27001:2005, 2005) es viable. -83- 3.4 FASE III ESTABLECIMIENTO DEL DISEÑO DEL SGSI Una vez identificada la necesidad en la fase de diagnóstico y estudiada la Factibilidad de establecer el Diseño del Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, se procedió al establecimiento del Diseño del SGSI, cláusula 4.2 del ISO 27001:2005. 3.4.1 DISEÑO DEL SGSI a. Definir el alcance y los límites del Diseño del Sistema de Gestión de Seguridad de la Información para las Instituciones Militares en términos de las características de la DIRTIC, localización, activos y tecnología. b. Definir una política del Diseño del Sistema de Gestión de Seguridad de la Información para las Instituciones Militares en término de las características de la DIRTIC, su ubicación, activos y tecnología. c. Definir el enfoque de evaluación del riesgo de la organización. 1. Identificar una metodología de evaluación del riesgo que sea adecuada al Diseño del SGSI, a la seguridad de la información y a los requisitos legales y reglamentarios. 2. Desarrollar criterios para la aceptación de los riesgos e identificar los niveles aceptables de riesgo. -84- d. Identificación los riesgos. 1. Identificar los activos dentro del alcance del SGSI y los dueños de esos activos. 2. Identificar las amenazas a esos activos. 3. Identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas. 4. Identificar los impactos que las pérdidas de confidencialidad, integridad y disponibilidad puedan tener sobre los activos. e. Analizar y evaluar los riesgos 1. Evaluar los impactos que puedan resultar en fallas de seguridad, tomando en cuenta las consecuencias de una pérdida de la confidencialidad, integridad o disponibilidad de los activos. 2. Evaluar la probabilidad real de las fallas de seguridad que ocurren teniendo en cuenta las amenazas predominantes y vulnerabilidades, e impactos asociados con estos activos, y los controles implementados actualmente. 3. Estimar los niveles de riesgos. 4. Determinar si los riesgos son aceptables o si requieren tratamiento utilizando los criterios para la aceptación de los riesgos establecidos en 4.2.1 c) 2). f. Identificar y evaluar las opciones para el tratamiento de los riesgos. g. Seleccionar los objetivos de control y los controles para el tratamiento de los riesgos -85- h. Obtener la aprobación de los riesgos residuales propuestos por la dirección. i. Obtener la autorización de la dirección para implementar y operar el SGSI. j. Preparar una declaración de Aplicabilidad. -86- CAPÍTULO 4. SISTEMA DE APLICACIÓN DEL DISEÑO DE UN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES. 4.1 DESCRIPCIÓN DE LA PROPUESTA Para realizar el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, se utilizará la norma ISO/IEC 27001:2005, el cual adopta el enfoque de procesos basado en el ciclo Deming “Planificar – Hacer – Verificar – Actuar” (PHVA). En el Diseño de un Sistema de Gestión de la Información para Instituciones Militares, se tomará como referencia a la Dirección de Tecnologías de la Información y Comunicaciones (DIRTIC), al flujo de la información militar a través del Sistema de Comunicaciones Navales9, al utilizar los servicios y sistemas informáticos por los usuarios de los repartos navales y militares. La DIRTIC tiene como función básica Planificar, gestionar, estandarizar, controlar, integrar, e implementar proyectos, sistemas y servicios telemáticos; manteniendo su disponibilidad y operatividad, de tal forma que el flujo de información sea seguro, confiable y oportuno, para facilitar el cumplimiento de las tareas operativas y administrativas en las Instituciones Militares10. 9 D.G.P. COGMAR-INF-002-2010-O. Directiva General Permanente. Seguridad de la Información. DIRTIC. Estatuto Orgánico por Procesos. Función Básica. 10 -87- El SGSI propuesto dentro de esta tesis exige que se siga una serie de requisitos para que se establezca a través de la fase denominada “Planificar” una vez establecido el modelo se implementa siguiendo los lineamientos de la fase “Hacer”. Cuando el modelo se ha implantado y está funcionando, se debe “monitorear y revisar” durante la fase “verificar” y por último, con base en lo observado, se procede a “Actuar” y tomar correctivos necesarios. Este modelo permite proceder metodológicamente para efectuar una identificación de activos de información dado un alcance determinado, distinguir entre el análisis y evaluación del riesgo y visualizar la relación causa - efecto entre los elementos del riesgo. 4.3 ALCANCE DEL DISEÑO DEL SGSI. El alcance del Diseño del Sistema Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, se encuentra contemplado de acuerdo a los requerimientos de la Institución y basados en la norma ISO/IEC 27001:2005, en el numeral 4.2.1 literales a) a la j), se realizará en la Armada del Ecuador, tomando como caso de estudio a la Dirección de Tecnologías de la Información y Comunicaciones (DIRTIC) y al Centro de Tecnología de la Información (CETEIN), ubicado en el Edificio de la Dirección General del Material, segundo piso, de acuerdo a como se ilustra en el Anexo G y Anexo H. -88- Se determinará el alcance del diseño del SGSI, política del SGSI, enfoque de evaluación de riesgo, identificación del riesgo, análisis de riesgo y su evaluación, plan de tratamiento del riesgo y el proceso de toma de decisión gerencia y la revisión de los riesgos y la reevaluación. Al realizar el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como caso de estudio a la Dirección de Tecnologías de la Información y Comunicaciones (DIRTIC) y al Centro de Tecnología de la Información (CETEIN) permitirá que los riesgos de la seguridad de la información sean asumidos, gestionados y minimizados por la Institución de una forma evaluada, documentada y estructurada. Es importante aclarar que los aspectos que conforman la confidencialidad de la información en las Instituciones Militares, son un factor importante en el desarrollo de la investigación y es por eso que la información mostrada de la Armada del Ecuador y de la Dirección de Tecnologías de la Información y Comunicaciones es referencial y solo para efectos académicos respectivos, en vista que la información militar11 es secreta y confidencial. Para la implementación, operación, revisión, mantenimiento y mejora del Sistema de Gestión de Seguridad de la Información para Instituciones Militares sólo se especificará los lineamientos generales. Para identificar con precisión las interfaces y dependencias del SGSI con otras entidades de la DIRTIC, CETEIN y entidades civiles y militares externas, se optó por utilizar la metodología propuesta por (Alexander, 2007, pág. 42), el método de las elipses, definida como “…método que permite, dado un determinado alcance de un SGSI, identificar sus interfaces, interdependencias con áreas y procesos, 11 (COMACO) Manual de Elaboración de Documentación de las Fuerzas Armadas. -89- así como averiguar el tipo de memorando de entendimiento que existe o debiera de elaborarse, así como los contratos existentes y los grados de acuerdo necesarios”. Se realizaron los siguientes pasos: a) Se determina en la elipse concéntrica los distintos procesos y subprocesos que se realizan la DIRTIC. b) Se identificó en la elipse intermedia las distintas interacciones que los procesos de la elipse concéntrica tiene con otros procesos de la DIRTIC y las Instituciones Militares c) Se identificaron aquellas organizaciones extrínsecas a la DIRTIC que tienen cierto tipo de interacción con los procesos y subprocesos identificados en la elipse concéntrica d) Se unió con flechas los tipos de interacción y la direccionalidad que tiene el flujo de información, la Figura 5 muestra este método aplicado a la DIRTIC, CETEIN y a los servicios que dispone esta Dirección. -90- Figura 5. Metodología de las elipses de Dirección de Tecnologías de la Información y Comunicaciones. Fuente: Autor. La interconexión física de todos los equipos que permiten la comunicación de los sistemas que disponen la Dirección de Tecnologías de la Información y Comunicaciones (DIRTIC) y el Centro de Tecnología de la Información (CETEIN), se ilustra en la Figura 6 los cuales son los activos que se utilizarán para el Diseño del Sistema de Gestión de Seguridad de la Información para Instituciones Militares. -91- DIAGRAMA FÍSICO DE RED TELCONET FORTINET FW-STBY FW-P SW PUBLICO PROXY SW CORE SERVIDORES DIRTIC NÚCLEO SERVIDORES DIGREH SW BACKBONE DISTRIBUCIÓN RED MODE SW SERVIDORES ACCESO NIVEL-III DIMARE TALLERES CLUBNA ESDESU 1 2 3 Figura 6. Diagrama Físico de red de la Dirección de Tecnologías de la Información y Comunicaciones. Fuente: Autor. 4.3 POLÍTICA DE UN SGSI Una vez determinado el alcance del Diseño del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, la DIRTIC debe establecer una clara política de seguridad para apoyar al Diseño del Sistema de Seguridad de Información para Instituciones Militares, la (ISO /IEC 17779:2005, 2005), plantea que el objetivo de la política es: “… proveer a la gerencia dirección y apoyo para la seguridad de la información”. -92- Las políticas deben ser realizadas por el Departamento de Normalización y Seguridad Telemática y aprobadas por la Dirección de Tecnologías de la Información y Comunicaciones y se deben dar a conocer a todas repartos de las Instituciones Militares. En el Anexo H, se observan las políticas de seguridad de la información para la Dirección de Tecnologías de la Información y Comunicaciones, las mismas que contienen: · Alcance de la política · Definiciones · Descripción de las políticas o Acceso a la información o Administración de cambios o Seguridad de la información o Seguridad para los servicios informáticos o Seguridad en los recursos informáticos o Seguridad en comunicaciones o Seguridad para los usuarios externos o Software utilizado o Actualización de hardware o Almacenamiento y respaldo o Contingencia o Auditoría o Seguridad física -93- o Estaciones de trabajo o Administración de la seguridad 4.4 ENFOQUE DE EVALUACIÓN DE RIESGO El enfoque y la filosofía para el riesgo en una organización están determinados de manera muy precisa por el ISO/IEC 27001:2005. En el Capítulo 2, se determina que la, la metodología de evaluación de riesgo empleada es herramienta CRAMM, y el IT Baseline Protection Model del BSI Alemán. La herramienta CRAMM puede usarse con ISO 27001 así como para el manejo de riesgo de negocios. (ESPE, 2005) Esta herramienta utiliza una escala de 1 a 10 para la valorización de los activos, de 1 a 5 niveles para las amenazas y de 1 a 3 para las vulnerabilidades y el cálculo del riesgo de 1 a 7 según una matriz. El IT Baseline Protection Model del BSI Alemán, permite establecer los riesgos en base a los activos, amenazas y contramedidas. Presenta una tabla de 200 amenazas clasificadas en cinco tipos: fuerza mayor, deficiencias organizacionales, fallas humanas, fallas técnicas y actos deliberados, tiene la desventaja de no trabajar directamente con vulnerabilidades. Por lo anterior descrito, para la evaluación de riesgo de este proyecto no es recomendable trabajar con una sola metodología, es importante conocer las bondades de cada una y aprovecharlas para adaptarla en el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares. -94- 4.5 IDENTIFICACIÓN DEL RIESGO El cálculo de los riesgos de seguridad de información incluye normalmente el análisis y la evaluación del riesgo. El análisis del riesgo contemplará: 1) Identificar los activos dentro del alcance del SGSI y los dueños de esos activos 2) Identificar las amenazas a esos activos 3) Identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas 4) Identificar los impactos que las pérdidas de confidencialidad, integridad y disponibilidad puedan tener sobre los activos. 4.5.1 IDENTIFICACIÓN DE LOS ACTIVOS Se realizó el levantamiento de información y posteriormente la situación actual de los activos de información de la Dirección de Tecnologías de la Información y Comunicaciones, Centro de Tecnología de la Información y la sala de servidores, clasificando en 7 clases de activos primarios considerando de acuerdo a los activos que posee las instituciones militares, mirando los criterios de confidencialidad, integridad y disponibilidad (ESPE, 2005). Se identificaron los activos considerados vitales por el nivel de impacto que representa a la misma en el caso de si fallara o faltara, por tal motivo se generó un listado de los mismos, en el cual se asignó y clasificó a cada uno de los activos por su nivel de importancia (escala 1 – 10), siendo el valor de 10 como el activo de mayor importancia, como se detalla en la Tabla 16. -95- Tabla 16. Activos Primarios clasificados. Fuente: Autor. ACTIVOS PRIMARIOS CLASIFICADOS Clase 1 - Componentes de Protección Genérica Clase 2 - Infraestructura Clase 3 - Sistemas clientes y Computadoras aisladas Clase 4 - Servidores y redes Clase 5 - Sistemas de Transmisión de Datos Clase 6 - Telecomunicaciones Clase 7 - Otros componentes TI CLASE 1 - COMPONENTES DE PROTECCION GENERICA Nombre Activo Nro. Nivel Descripción general Primario 1.1 Reparto 8 Conjunto de medidas generales y genéricas en el campo organizacional para una protección mínima en la DIRTIC y en TI tales como administración de medios de datos, procedimientos en el uso de contraseñas, entre otros. 1.2 Personal 5 Totalidad de cuestiones relacionadas con el personal en su influencia en la DIRTIC, desde su contratación, ausencias, entrenamiento, retiro, cambio de oficina, despido o jubilación. 1.3 Políticas de back up 9 1.4 Protección de virus 9 Sistema de procedimientos sistemáticos y prevención de fallas técnicas, borrado o manipulación inadecuada para evitar que los datos se vuelvan inservibles o se pierdan. Prevención o detección de virus tan pronto como sea posible y minimización de posibles daños. 1.5 Información 9 Información clasificada 1.6 Gestión de hardware y software 7 Procedimientos de seguridad referidos al ciclo de vida de componentes de hardware y software. CLASE 2 - INFRAESTRUCTURA Nro. Nombre Primario 2.1 Edificios Activo Nivel Descripción general 5 Construcción donde se realizan operaciones de procesamiento de datos de la DIRTIC. Diseño y disposición de líneas de comunicaciones y servicios adicionales. 2.31 Oficinas 2 Lugar donde funciona la DIRTIC. 2.32 Sala de Servidores 9 Lugar donde se encuentran los servidores y componentes complementarios incluyendo los servicios de funcionamiento y prevención general. 2.33 Archivos de medios de datos 6 Lugar específico dentro de un ambiente donde se guardan medios de datos, típicamente de backup. 2.34 Cuarto de Cableado Secundario 2.4 Gabinetes de protección 2 Centros de conectividad, y las facilidades para su funcionamiento. 3 Armario para guardar medios de datos o hardware. 2.2 2 Cableado CLASE 3 - SISTEMAS CLIENTES Y COMPUTADORAS AISLADAS Nro. Nombre Primario 3.1 Laptops Activo Nivel Descripción general 4 Computadoras portátiles en general. -96- 3.2 PCs bajo Windows 3 PCs conectadas en red como clientes de un servidor. CLASE 4 - SERVIDORES Y REDES Nro. Nombre Activo Nivel Descripción general Primario 4.1 Red soportada por 8 Computador que provee servicios a una red independientemente del servidor sistema operativo que funcione. 4.2 Servidor Linux 4.3 Servidor Windows 4.4 Componentes activos de red 4.5 Gestión de redes y sistemas 8a 10 8a 10 9 Computador bajo sistema operativo Unix/Linux que provee servicios en una red. Computador bajo sistema operativo Windows que provee servicios en una red. Routers, switches y demás dispositivos activos de conectividad; topología, configuración, selección y protocolos de comunicaciones. 6 Operaciones centralizadas de chequeo y monitoreo centralizado de una red, y administración de usuarios, distribución de software y manejo de aplicaciones. CLASE 5 - SISTEMAS DE TRANSMISION DE DATOS Nro. Nombre Activo Nivel Descripción general Primario 5.1 Intercambio de 4 Manejo de medios de datos en tránsito no electrónico; almacenamiento medios de datos físico en origen y destino. 5.2 Modem 5 Dispositivo de comunicación de banda ancha 5.3 Firewall 10 Dispositivo de protección entre dos redes, típicamente en el acceso a Internet. CLASE 6 - TELECOMUNICACIONES Nro. Nombre Activo Nivel Descripción general Primario 6.1 Máquina de fax 2 Dispositivo de envío manual de imágenes de documentos vía telefónica. CLASE 7 - OTROS COMPONENTES IT Nro. Nombre Primario 7.1 Software aplicaciones 7.2 Activo Nivel Descripción general Bases de datos y 7 Manejo de los aspectos de seguridad del ciclo de vida de los Sistemas que dispone la DIRTIC: requerimientos, selección, pruebas, aprobación, instalación, desinstalación. 10 Selección, instalación, configuración y operación de un sistema de bases de datos por medio de un DBMS. Una vez determinado los activos de acuerdo con el alcance del Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, se procede a identificar las amenazas y vulnerabilidades del mismo. -97- 4.5.2 IDENTIFICACIÓN DE AMENAZAS Los activos de información están sujetos a distintas formas de amenazas, una amenaza puede causar un incidente no deseado que puede generar daño a la organización y a sus activos, es decir es una situación en la cual una persona puede hacer algo indeseable o una ocurrencia natural. Las amenazas pueden ser de distintos tipos con base en su origen, en la Tabla 17 se muestra una clasificación de 5 tipos de amenazas y 5 niveles de amenazas que afectan a los activos de la Dirección de Tecnologías de la Información y Comunicaciones. Tabla 17. Amenazas definidas. Fuente: Autor. AMENAZAS DEFINIDAS Tipo Niveles de Amenazas Fuerza Mayor Muy Baja 1 Deficiencias organizacionales Baja 2 Fallas humanas Media 3 Fallas técnicas Alta 4 Actos deliberados Muy alta 5 TIPO 1 - FUERZA MAYOR Nro. Nivel Descripción Detalle 1.1 3 Pérdida de personal Por enfermedad, accidentes, muerte, huelgas que conduzcan a que tareas TI cruciales no se puedan efectuar. 1.2 4 Fallas de los sistemas TI 1.3 2 Rayos De un único componente que puede afectar toda la operación TI. Fallas del ISP. Que causen alto voltaje o el disparo de extinguidores automáticos de incendio paralizando las operaciones. 1.4 4 Incendio Además del daño directo el causado por el agua con que se ataca el incendio. Descuido en el manejo de material combustible, uso impropio de dispositivos eléctricos, fallas en el equipamiento eléctrico. 1.5 3 Inundación 1.6 2 Cables quemados Por lluvia, inundaciones, agua usada en un incendio, bloqueo de drenajes. Corte de conexiones, formación de gases agresivos, material aislante no resistente al fuego, fuego humeante sin llama en cables empaquetados. -98- 1.7 2 Polvo y suciedad Por trabajos realizados en paredes, pisos, actualizaciones de hardware, materiales de empaquetado. 1.8 2 Efectos de catástrofes en En los alrededores de la DIRTIC. Desde accidentes técnicos y daños por el ambiente colisiones. 1.9 2 Problemas causados por Interrupción de operaciones, violencias, cortes de líneas de transmisión. grandes eventos públicos 1.10 2 Tormentas Desprendimiento de instalaciones en azoteas (por ejemplo aire acondicionado), paredes débiles que caen y cortan cables. TIPO 2 - DEFICIENCIAS ORGANIZACIONALES 2.1 4 Falta o insuficiencia de Organización: asignación responsabilidades, gestión de recursos reglas de seguridad en general Conocimiento insuficiente Falta información procedimientos manejo de dispositivos de documentos sobre almacenamiento y e-mails. reglas y procedimientos 2.2 5 2.3 2 Recursos incompatibles o Memoria principal o espacio en disco insuficiente. inadecuados 2.4 3 Monitoreo insuficiente de No se imprimen las entradas de consola para su análisis. Los servidores las medidas de seguridad que se usan para comunicaciones externas deben chequearse semanalmente en cuanto a integridad. IT 2.5 2 Mantenimiento faltante o Baterías de UPS. Presión extinguidores. inadecuado 2.6 1 Uso no derechos autorizado de Derechos de admisión a hardware o software asignados a personas equivocadas, o un derecho abusado. 2.7 1 Uso no recursos controlado de Los medios privados que pueden entrar virus en las PCs. Productos de limpieza no adecuados. 2.8 2 Ajuste deficiente a los Cambios de derechos en personal por vacaciones. No se imprimen los cambios en el uso de IT cambios de procedimientos. 2.9 3 Medio de datos no Falta de rotulación adecuada o almacenamiento en lugares no previstos. disponible cuando se lo requiere 2.10 3 Dimensionamiento Sala de servidores, centros de cómputo. Capacidad red y computadores, insuficiente de redes y extendida en línea por volumen de datos o nuevos servicios. Cableado. centro de cómputo Nuevas normas. 2.11 2 Documentación insuficiente del cableado 2.12 1 Protección inadecuada de Si son accesibles en corredores y cajas de escaleras, cualquier persona dispositivos de distribución podría manipularlos y causar una caída de energía. de energía 2.13 2 2.14 1 Cambios no regulados de Ante cambios de usuarios en móviles puede quedar información sensible usuarios en laptops o virus. Y si no se controlan esos cambios no se sabe quién los usó y cuándo. Etiquetado inadecuado de El que recibe podría no poder identificar el origen, la información medios de datos almacenada, o el propósito. Podría afectar una secuencia, los errores y correcciones que no quedan claros. 2.15 1 Entrega impropia medios de datos de Consecuencias por desconocimiento cableado interno y externo. Trabajos de terceros. de Puede caer en manos impropias. Direccionamiento, empaquetado, fallas de responsabilidad en recepción. -99- 2.16 1 Provisión inadecuada de papel para máquinas de fax Pérdida de confidencialidad de datos sensibles de la red a proteger Reducción de la velocidad de transmisión o ejecución debido a funciones P2P Papel, batería 2.17 4 2.18 2 2.19 3 Procedimientos faltantes o Si no se hacen pruebas antes de instalar algo nuevo, pueden volverse inadecuados para test y amenazas. Sobre todo si se lo hace sin mayores conocimientos. liberación de software 2.20 3 Documentación faltante o Varios: descripción de productos, uso por administrador y usuario, y de inadecuada sistema. Impactan la selección y toma de decisiones. Archivos temporales con información sensible, configuraciones que cambian y pueden afectar aplicaciones que estaban corriendo, cableado. 2.21 2 Violación de derechos de Software pirata. autor 2.22 4 Prueba de software con Pensando que así se obtiene una valuación definitiva de las funciones y datos de producción performance. Puede ser que sean copias y en un ambiente aislado pero como son datos reales están expuestos a terceros no autorizados a leer esa información. Y si se hacen directamente en operación, a la pérdida de confidencialidad se agregan la de integridad y disponibilidad. 2.23 2 Planificación inadecuada En redes Windows pueden ocurrir relaciones de interconfianza de los dominios inadecuadas. Esto puede darse especialmente cuando los derechos de acceso se hacen muy amplios asumiendo que nadie de otro dominio accederá los recursos locales. 2.24 3 Protección inadecuada del Por default hay amplios derechos de acceso al sistema de archivos y sistema Windows registro. 2.25 1 Restricción inapropiada Algunas permitidos, prohibidos todas los demás. O la inversa: algunas del ambiente de usuarios prohibidas, permitidas todas las demás. 2.26 2 Mecanismos de seguridad de bases de datos faltantes o implementados inadecuadamente El software de BD trae generalmente mecanismos de seguridad que protegen los datos de accesos no autorizados, pero estos mecanismos generalmente no son automáticos sino que se activan manualmente por parte del administrador. Sino no se podría garantizar confidencialidad e integridad, así como tampoco identificar violaciones de seguridad de registro. Podría haber pérdidas de datos y la destrucción de la BD. 2.27 2 Complejidad del DBMS Si los mecanismos de seguridad propios no son suficientes, o si las medidas que recomienda el fabricante no se tienen en cuenta. En cuanto al concepto de DB: que los datos específicos de la aplicación no se almacenen en medios separados, o el no uso de db triggers y procedimientos almacenados, o si su uso no es consistente resulta proclive a manipulaciones que pueden afectar la integridad. 2.28 3 Complejidad del acceso a Que los derechos sean muy restrictivos y no se puedan realizar algunas las bases de datos tareas. O que sean muy laxos permitiendo manipulaciones. Si los usuarios pueden acceder directamente a la DB. Salvaguardas insuficientes para el acceso remoto a la DB. Restricciones a las consultas. 2.29 1 Organización deficiente Varios usuarios compartiendo una DB en la misma estación de trabajo y del cambio de usuario en que no se deslogean. bases de datos Si no hay protección con un firewall queda mucha información expuesta a Internet y hasta el resto puede deducirse u obtenerse con mayor facilidad. Funciones P2P en un mismo servidor Windows; restricción de ancho de banda, retardos. -100- 2.30 3 Deficiencias conceptuales Usuarios trabajando en grupos teniendo presente confidencialidad e de las redes integridad. Nuevas aplicaciones con mayores exigencias de ancho de banda. Pérdida de disponibilidad con redes propietarias. Componentes que no soportan ciertos protocolos. 2.31 1 Descripción de archivos 2.32 2 2.33 1 2.34 4 Almacenamiento inadecuado de un medio en casos de emergencias Operación de componentes no registrados Manejo inapropiado de los incidentes de seguridad 2.35 3 Administración Porque intervienen muchas personas. No hay registro sistemático de inapropiada de derechos todos los usuarios; quedan cuentas abiertas, o se acumulan derechos de acceso por cambios de actividades. Cuidado especial con los grupos. 3.1 2 3.2 2 Pérdida de confidencialidad /integridad de datos por errores de los usuarios Destrucción negligente de equipamiento o datos 3.3 4 No cumplimiento con las Por negligencia o pruebas insuficientes. Podrían producirse daños que medidas de seguridad TI podrían haberse previsto o al menos minimizados. Depende de la persona actuante. 3.4 1 Conexión inadmisible de Por documentación o etiquetado deficiente. Puede ocasionar el paso de cables datos adicionales o a direcciones equivocadas. 3.5 2 3.6 2 Daño inadvertido de Por falta protección, cables colgando, en el suelo, perforaciones, agua. cables Riesgos planteados por el Manejo inapropiado de equipos, o uso indebido o hurto de componentes. personal de limpieza o externo 3.7 2 Uso impropio del sistema Negligencia o ignorancia de medidas de seguridad. Falta de información TI de la operación y funcionamiento correcto del sistema TI. 3.8 3 Administración inapropiada de sistemas TI 3.9 1 Transferencia de registros Datos anteriores que no debieran aparecer. Si se envían de datos incorrecta o electrónicamente las listas podrían no estar actualizadas respecto de indeseada personal que no trabaja más. inadecuada Varios mensajes del mismo origen sin identificación adecuada, cuando a una serie de mensajes se hacen correcciones en uno de ellos. Por falta de capacidad de almacenamiento que se haga back up solamente de los archivos log y de configuración. Componentes agregados desconocidos para el administrador. Las posibilidades siempre existen y los incidentes no pueden eliminarse. Lo importante es la respuesta dada a un incidente. Casos como nuevos virus, control del material que se mantiene en un servidor Web que puede indicar un signo de ataque, nuevas vulnerabilidades que se descubren en los sistemas IT, datos corporativos que han sido manipulados. Si no hay procedimientos apropiados para manejar incidentes se puede llegar a tomar decisiones incorrectas que afecten la seguridad (componentes que se mantienen pese a conocerse serias debilidades, o viceversa, se saca algo cuyo riesgo es menor. TIPO 3 - FALLAS HUMANAS Impresiones en papel que caen en manos inapropiadas. Dispositivos de almacenamiento despachados sin borrar los datos anteriores. Derechos de acceso incorrectos que pueden hacer que se modifiquen datos críticos. Apagado computador al aparecer mensaje de error que puede producir errores de integridad. Humedad de café, etc. Negligencia o ignorancia de medidas de seguridad. Si algunos puntos de los acceso se crean o no se deshabilitan por no ser necesarios para la operación regular o proclive a errores. -101- 3.10 3 Exportación incorrecta de Los discos exportados en Linux pueden montarse por cualquier sistemas de archivos bajo computador con el nombre definido en /etc/exports. El usuario de ese Linux computador puede asumir cualquier UID/GID, es decir que sólo se pueden proteger los archivos pertenecientes al root. Los archivos de todos los demás usuarios están completamente desprotegidos, especialmente los que pertenecen a usuarios privilegiados como bin o daemon. 3.11 4 Configuración impropia del Errores de configuración que permitan obtener las IDs de usuario y grupo sendmail que estén setados con las opciones u y g (normalmente daemon). 3.12 1 Administración incorrecta Derechos de acceso incorrectos pueden permitir acceder a datos de del sitio y derechos de auditoria así como ocultar las manipulaciones. acceso a los datos 3.13 1 Cambio incorrecto usuarios de PC 3.14 2 Administración de una DBMS 3.15 3 Configuración inadecuada Configuración incorrecta de VLAN, tablas de enrutado en subredes sea el de los componentes enrutado estático o de actualización automática por medio del RIP u activos de las redes OSPF, componentes que filtran protocolos y direcciones de red pero que también pueden permitir las conexiones de sistemas TI externos dentro de la red protegida. 3.16 1 Deshabilitación de servidor en operación 3.17 3 Errores en la configuración Información que ofrece el servidor Web, o un servidor DNS, contenidos y operación ejecutables de un e-mail, archivos bajados, programas que se abren sin ser necesarios y que pueden usarse para ataques. 3.18 4 Manejo inapropiado contraseñas 3.19 3 Falta de cuidado en el Contraseñas escritas a la vista, información divulgada en celulares, manejo de la información viajando. Reparación de una máquina por cambio y quedan los datos para otro usuario. de Desregistro de un usuario antes de logearse otro por negligencia o conveniencia. Fallaría la auditoria de logs. impropia Administración negligente o impropia de la DB, así como derechos de acceso demasiado generoso, irregularidad o falta de monitoreo, backups inadecuados, UDs inválidas pero no desactivadas, pueden producir pérdida de datos, manipulación intencional o inadvertida de datos, acceso no autorizado a datos confidenciales, pérdida de integridad de la DB, caída y destrucción. un Servidor de gestión deshabilitado se pierde lo que estaba en memoria, aparecerán inconsistencias en los datos administrados. de Que no las conozcan otras personas. Token cards perdidas. Nombres comunes, etc. TIPO 4 - FALLAS TECNICAS 4.1 2 Disrupciones en la fuente Cortes breves (UPS), UPS en condiciones para switch back. de energía 4.2 2 Fallas de las redes Electricidad, teléfono, aire acondicionado. También por temperatura, internas de alimentación agua, etc. 4.3 2 Medios de defectuosos 4.4 5 Reconocimiento vulnerabilidades software 4.5 4 datos Discos con caída de la cabeza, CD por ralladuras superficiales. en de Errores no intencionales del programa no conocidos por usuario. Se el siguen encontrando debilidades. Contramedida Diversidad de Además del ingreso "directo" con contraseña, por sendmail que puede posibilidades de acceso a introducir textos, ftp anónimo sin contraseña, telnet registro completo. sistemas TI en red Windows más seguro. -102- 4.6 1 Errores de transmisión de Los errores en la ruta de transmisión o en los dispositivos de conexión fax pueden producir pérdidas o que la información se vuelva ilegible. 4.7 1 Defectos técnicos de las Disponibilidad e integridad pueden verse afectadas. máquinas de fax 4.8 1 Pérdida de datos debido al No se puede almacenar más datos, email entrante se rechaza, no se agotamiento del medio de pueden mantener auditorias. almacenamiento 4.9 4 Fallas de una base de Por errores, o acto de sabotaje puede tener amplias consecuencias datos dependiendo de las funciones y significado de la DB. Consecuencias pérdidas financieras, interrupción parcial o total de las operaciones. 4.10 2 Pérdida de datos en una Por manipulación inadvertida, caídas de la DB e intrusiones deliberadas. base de datos Podría impedirse la ejecución, perderse la correlación de datos. Puede ocurrir cuando se cambia el modelo de la DB. 4.11 3 Pérdida de Corrupción parcial o datos no inteligibles por manipulación de datos no integridad/consistencia de intencionales, chequeos inadecuados de la sincronización de una base de datos transacciones, e intrusiones deliberadas. 4.12 5 Falla o mal funcionamiento Puede afectar a toda la red o secciones de la misma. Podría ser un de un componente de red switch que afecta toda su área, o componentes activos en el camino de las comunicaciones (y no hay caminos redundantes), o para redundancia o balanceo de carga (con las consiguientes restricciones de ancho de banda). 4.13 4 Autenticación faltante o de Pueden hacer que personas no autorizadas logren acceder al sistema, pobre calidad que no se puedan identificar las causas de problemas, o no se pueda determinar el origen de los datos. Esto ocurre por contraseñas débiles, o no se los cambia con regularidad, o hay fallas de seguridad frente a los que no se reacciona. 4.14 2 Falla de componentes de Pueden fallar los componentes administrados, o los de monitoreo mismo, un sistema de gestión de la estación central de gestión, o algún elementos de conmutación durante red o de sistemas la transmisión correspondiente. 4.15 4 Vulnerabilidades o errores Tanto standard como los demás. Quizás encripción de standard no es de software suficiente. Funciones sin documentar. Errores de seguridad en la programación, desborde de buffers. 4.16 1 Reconocimiento automático del DVD-ROM Si el reconocimiento de DVD-ROM está activado en Windows puede ejecutarse algún programa peligroso en el momento del arranque. TIPO 5 -ACTOS DELIBERADOS 5.1 2 Manipulación/destrucción Equipos, accesorios y documentación. Inspección indebida de datos de equipamiento o sensibles. Destrucción de medios de datos. accesorios de TI 5.2 3 Manipulación de datos o Adquisición errónea de datos, cambios derechos de acceso, modificación software de datos contables o de mail. Depende de los derechos de acceso de la persona. 5.3 3 Ingreso no autorizado a un Robo o alteración al poder entrar especialmente en la noche. edificio 5.4 3 Robo Equipamiento confidencial. 5.5 5 Vandalismo Es como un ataque, interno y externo, pero no determinado por empleados frustrados, clima de trabajo propicio. 5.6 4 Ataques Sobre los operadores TI. TI, accesorios, software, datos, con información -103- 5.7 3 Intercepción de líneas Existencia de programas debug de archivos que se pueden usar para otras causas. 5.8 3 Uso no autorizado sistemas TI de Sin identificación y autenticación no se puede controlar el uso no autorizado. Elección de contraseñas. Uso de diccionarios para romperlas. 5.9 1 Intercepción de llamadas Por conferencia oculta o intercepción de línea. telefónicas y transmisiones de datos 5.10 1 Escuchas furtivas de salas Terminales con micrófonos o uso del handsfree. 5.11 2 Mal uso de los derechos Cuando se usan los privilegios del root de Unix para dañar el sistema o del administrador los usuarios. Puede ser con archivos con root como propietario y el bit seteado, o por medio del comando su. 5.12 3 Caballos de Troya Funciones escondidas sin documentar. Cualquier programa más archivos batch, secuencias de control que sean interpretados por sistemas operativos o aplicaciones. 5.13 4 Virus de computador Puede destruir datos. De buteo, de archivos y macro virus. 5.14 1 Copia no autorizada de Puede ocurrir cuando se lo reemplaza o transporta que se han copias. medios de datos 5.15 1 Uso no autorizado máquinas de fax 5.16 1 Visualización no Si están en lugar abierto, cualquiera podría leer un mensaje que entra. autorizada de mensajes de fax entrantes 5.17 3 Ingeniería social Generalmente mediante llamadas telefónicas haciéndose pasar por otros empleados o secretarias de jefes, o administradores para solucionar posibles errores. Hasta se puede usar para saber si una persona no estará por unos días y así intentar usar su cuenta. 5.18 3 Macro virus Vienen con archivos de Word o Excel. Se ejecutan al cargar el archivo. 5.19 4 Falsificación de dirección Usado para ataques indirectos por medio de intermediarios con la IP dirección de origen falsificada como si proviniera de otro usuario de modo que las respuestas múltiples irán a la dirección de la víctima. 5.20 3 Abuso del protocolo ICMP 5.21 4 Mal uso de los derechos Puede asumir propiedad de cualquier archivo. Podrían que quede de administrador en registrado hace back up en complicidad con los encargados del BU. sistemas Windows Alteración de hora o seguimiento detallado de la actividad de usuario. 5.22 3 Manipulación de datos o Provoca que los datos sean alterados o no puedan usarse por acción software en sistemas de directa sobre los mismos o eliminación o modificación de archivos. bases de datos 5.23 3 Conexión no autorizada de Puede ocurrir conectándose al cableado de la red o directamente a las dispositivos de interfaces de dispositivos de interconexión. computación a una red. 5.24 2 5.25 1 Ejecución no autorizada de funciones de gestión de red. Acceso no autorizado a componentes activos de red de Que usen papel con membrete de la empresa para cualquier uso particular o dañino para la empresa. Por ser el ICMP un protocolo para información de errores y diagnóstico puede ser manipulado indebidamente por un hacker. Por medio del acceso a puertos administrativos de dispositivos de interconexión en forma local o remota. Estos dispositivos tienen puerto serial RS 232 o USB lo que permite su administración. Así podría leerse su configuración y lo que puede deducirse de la misma. -104- 5.26 3 Pérdida de confiabilidad en la información clasificada Falsificación de DNS Referida tanto a datos confidenciales tanto de la empresa como personales, así como también a la referida a contraseñas y certificados digitales. Ataque que consiste en alterar las tablas de equivalencia de nombres de sitios o máquinas con sus respectivas direcciones IP. 5.27 4 5.28 3 Imposibilidad de maliciosamente. 3 Pérdida de integridad de información que debiera estar protegida. Adquisición no autorizada de derechos de administrador con Windows 5.29 5.30 1 Sabotaje Manipulación o daño de objetos. Robo de UPS. lectura, o alteración de datos accidental o Esta cuenta no puede eliminarse ni deshabilitarse por lo que no reacciona frente a sucesivos intentos de registro. Una administración remota pasará la contraseña lo que facilita su escaneado. También están en el registro y en archivos conocidos, así como en dispositivos de almacenamiento y cintas de backups. También se podría lograr agregar una cuenta al grupo administrador. Utilizando las amenazas clasificadas, se procederá a realizar un cruce de las amenazas y los activos como se describe en la Tabla 18. Para que una amenaza cause daño a algún activo de información tendría que explotar una o más vulnerabilidades del sistema, aplicaciones o servicios usados por la organización a efectos de poder ser exitosa en la intención de hacer daño. X 2.1 X 2.2 2.13 2.12 2.11 2.10 2.9 2.8 2.7 X X X 2.5 2.6 X 2.4 2.3 X 2.1 X X X X X X X X X X X X X X X X X 1.9 X X 1.8 1.10 X X 1.7 X X X X 2.2 1.6 X 1.6 X X X 1.5 X X 1.4 1.5 X 1.3 1.4 X X 1.2 X X 1.1 1.3 1.2 1.1 Amenazas X X X X X 2.31 X X X X X X X X X X X X X X 2.32 X X X X X X X X X X X 2.33 X X X X X X X X X X X X 2.34 X X 2.4 X X X X X X X X X X X X X X X X 3.1 Activos Primarios X X X X X X X X X X X X X X X 3.2 X X X X X X X X X X X X X 4.1 Tabla 18. Cruce de las amenazas Vs. Activos. Fuente: Autor. 4.2 4.3 X X X X X X X X X X X X X 4.4 X X X X X 4.5 X X X 5.1 X X X X X X X X X 5.2 5.3 X X X X X X X X X X 6.1 X X 7.1 X X X X X X X X X 7.2 -105- X X X X X X X X X X X X 3.2 3.3 3.5 3.4 X 3.1 2.35 2.34 2.33 2.32 X 2.31 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X 2.29 X X 2.28 2.30 X X X X X X X X X 2.27 X X X X X X 2.26 X X X X X X 2.24 X X X X 2.25 X 2.23 X X X 2.22 X X X 2.21 X X X X X 2.20 2.19 2.18 2.17 2.16 2.15 2.14 -106- X X X X X X X X X X X X X X X X X X X X X 4.7 X X X X X 4.11 4.13 X X X X X 4.10 4.12 X X 4.9 4.8 X X X 4.6 4.5 X X X X X X X X X X 4.4 X X X X X X X X X X X X X 4.3 4.2 X 4.1 X X X 3.18 3.19 X 3.17 3.16 X X X X X X X 3.15 X X X X X X X X X X 3.14 3.13 3.12 X X X X X X X 3.11 X X X 3.10 3.9 3.8 3.7 3.6 -107- X X X 5.18 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X 5.24 X X X X X X X X X X X X X X X 5.23 X X X X X X 5.22 5.21 5.20 X X 5.19 X X X 5.17 X X 5.16 X X 5.14 X X 5.13 5.15 X 5.12 X X X X 5.11 X 5.10 5.9 5.8 5.7 X X 5.6 X X 5.5 X X X X 5.4 X X X X X 5.3 5.2 5.1 4.16 4.15 4.14 -108- 5.30 5.29 X X X X X X X X X X X X X X X X X X X 5.28 X X X X X 5.27 5.26 5.25 -109- -110- 4.5.3 IDENTIFICACIÓN DE VULNERABILIDADES Las vulnerabilidades son debilidades de seguridad asociadas con los activos de información de una organización. Al respecto,(Alexander, 2007), define la vulnerabilidad como una debilidad en el sistema, aplicación o infraestructura, control o diseño de flujo que puede ser explotada para violar la integridad del sistema. Las vulnerabilidades no causan daño, simplemente son condiciones que pueden hacer que una amenaza afecte un activo. En la Tabla 19, se presenta las vulnerabilidades clasificadas en tipo 1: física, organizacionales y operacionales, tipo 2: técnica para plataforma Linux, tipo 3: técnica para plataforma Windows y tipo 4: técnica de otros dispositivos. Tabla 19. Vulnerabilidades clasificadas. Fuente: Autor. VULNERABILIDADES CLASIFICADAS Nro. TIPO 1 - FÍSICAS, ORGANIZACIONALES Y OPERACIONALES Nivel Descripción 1,1 SEGURIDAD LÓGICA 1.1.1 Identificación 1.1.1.1 1 Datos del perfil de usuarios dados de alta 1.1.1.2 2 Gestión de bajas de usuarios 1.1.1.3 2 Mantenimiento de cuentas 1.1.1.4 2 Manejo de los permisos para los accesos 1.1.1.6 1 Identificación única o grupal 1.1.1.7 1 Gestión de grupos 1.1.1.8 2 Súper usuario 1.1.1.9 1 Visualización del logeo en pantalla 1.1.2 Autenticación 1.1.2.1 2 Manejo de los datos de autenticación 1.1.2.2 1 Manejo de intentos de logeo -1111.1.3 Contraseñas 1.1.3.1 2 Generación de contraseñas 1.1.3.2 1 Gestión de cambio de contraseñas 1.1.4 Control de acceso lógico 1.1.4.1 1 Modelo y aplicación 1.1.4.2 2 Criterios de acceso 1.1.4.3 3 Mecanismos de control de acceso interno 1.1.4.4 3 Control de acceso externo 1,2 SEGURIDAD EN LAS COMUNICACIONES 1.2.1 Configuración de la red 1.2.1.1 3 Comunicaciones vía modem 1.2.1.2 2 Recursos compartidos de discos de PC 1.2.1.3 1 1.2.2 Estado de puertos de servicios no necesarios Virus y Antivirus 1.2.2.1 3 No está habilitado para envío y recepción de mail 1.2.2.2 2 Actualizaciones no adecuadamente frecuentes 1.2.2.3 2 No es suficiente la frecuencia de escaneado de las unidades de las computadores 1.2.2.4 1 No se generan discos de restauración en las PCs bajo Windows 1.2.3 Documentación, normas 1.2.3.1 1 Grado y detalle de la información documentada de la red 1.2.3.2 2 Gestión y procesos de parches 1.2.3.3 1 Documentación de la configuración de las PCs 1.2.4 1.2.4.1 Ataques a la red 1 1.2.5 Antecedentes de ataques ocurridos a la red Firewall 1.2.5.1 3 Tipo, configuración y nivel de control de firewall 1.2.5.2 1 Pruebas de configuración de firewall 1.2.5 Máquinas de Fax 1.2.5.1 2 Control de envíos por fax 1.2.5.2 1 Distribución de faxes recibidos 1,3 SEGURIDAD EN LAS APLICACIONES 1.3.1 Sistema Operativo 1.3.1.1 1 1.3.2 Requisitos de seguridad considerados al elegir el sistema operativo Control de datos de aplicaciones 1.3.2.1 1 Existencia de control de cambios para archivos de sistema o bases de datos 1.3.2.2 3 Confidencialidad de datos de laptops y notebooks 1.3.2.3 2 Logs de transacciones y sus detalles 1.3.3 Control de datos en el desarrollo 1.3.3.1 1 Existencia de control de cambios para el desarrollo 1.3.3.2 1 Control del contenido de archivos de entrada 1.3.3.3 2 Control de validez de datos ingresados manualmente 1.3.3.4 1 Control de consistencia de datos de salida 1.3.4 Seguridad de bases de datos 1.3.4.1 2 Control de acceso propio de las bases de datos 1.3.4.2 1 Control de instancias de uso -1121.3.4.3 1 Chequeo regulares de seguridad 1.3.4.4 1 Marcado o borrado de archivos eliminados 1.3.5 Control de aplicaciones 1.3.5.1 2 Controles con que se realiza la instalación y actualización de parches 1.3.5.2 1 Documentación de la instalación o actualización de software 1.3.5.3 2 Control de aplicaciones en máquinas de usuarios 1.3.5.4 1 Control de información que bajan los usuarios de la Web 1.3.6 Mantenimiento de aplicaciones 1.3.6.1 1 Documentación de cambios de emergencia 1.3.6.2 1 Control regular de programas y servicios innecesarios 1.3.6.3 1 Gestión de cambios complejos en archivos de configuración 1.3.6.4 2 Registro de cambios en las configuraciones 1.3.7 Ciclo de vida 1.3.7.1 1 Metodología usada para el desarrollo 1.3.7.2 2 Manejo del código fuente y documentación con desarrollos por terceros 1.3.7.3 1 Uso métricas en el desarrollo 1.3.7.4 1 Registros históricos de las modificaciones 1.3.7.5 2 Existencia de requisitos de seguridad 1.3.7.6 1 Medidas de seguridad durante las implementaciones 1.3.7.7 1 Forma y documentación de pruebas 1.3.7.8 1 Metodología usada para el mantenimiento 1.3.7.9 1 Detalles de la documentación generada en el desarrollo 1,4 SEGURIDAD FISICA 1.4.1 Control de acceso al centro de cómputos 1.4.1.1 2 Restricción de acceso a personas ajenas al área 1.4.1.2 1 Control personal de limpieza en locales con servidores 1.4.2 Control de acceso a los equipos de los usuarios 1.4.2.1 2 Habilitación del NetBIOS 1.4.2.2 1 Habilitación y control de dispositivos externos 1.4.2.3 3 Control de virus 1.4.2.4 2 Existencia de grabadoras de CD y DVD 1.4.2.5 1 Agregado no autorizado de dispositivos externos 1.4.2.6 2 Control y revisión de dispositivos instalados en las PCs 1.4.2.7 1 Apagado o no de los servidores 1.4.3 1.4.3.1 Utilidades de soporte 2 1.4.4 Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI Estructura del edificio 1.4.4.1 1 1.4.4.2 1 Falta de información de otras instalaciones que corran en paralelo 1.4.4.3 1 Actividades que pueden afectar las operaciones 1.4.4.4 1 Actividades externas que pueden afectar las operaciones 1.4.4.5 2 Protecciones antirrayos 1.4.5 Tipo, condiciones e instalación del cableado de red Clasificación de datos y hardware 1.4.5.1 1 Forma de rotular computadoras y periféricos 1.4.5.2 1 Inventario de recursos de hardware y software -1131.4.6 Backup 1.4.6.1 2 Frecuencia de backups 1.4.6.2 2 Datos que se backapean 1.4.6.3 2 Tipos de backup que se realizan 1.4.6.4 2 Medios de almacenamiento de backups 1.4.6.5 1 Rotación de medios 1.4.6.6 1 Herramientas de backup 1.4.6.7 2 Responsables del backup 1.4.6.8 1 Procedimientos de backup 1.4.6.9 2 Pruebas periódicas de recuperación 1.4.6.10 2 Lugar de almacenamiento y controles de acceso 1.4.6.11 1 Rotulación y documentación de backups 1,5 ADMINISTRACION DEL CENTRO DE COMPUTOS 1.5.1 Contramedidas 1.5.1.1 1 Tipo y regularidad de chequeos 1.5.1.2 2 Planificación y documentación de actividades del área 1.5.1.3 1 Documentación detallada del equipamiento 1.5.1.4 2 Documentación y manuales de procedimientos y seguridad 3 Administración de emergencias 1.5.2 1.5.2.1 Responsabilidad del equipo de seguridad 1,6 REGISTROS Y AUDITORIAS 1.6.1 Auditorias generales 1.6.1.1 2 Realización y objetos auditados 1.6.1.2 1 Monitoreo y herramientas 1.6.1.3 2 Gestión de logs 1.6.1.4 1 Utilidad auditoría para rastreo de acciones 1.6.1.5 1 Históricos generados 1.6.2 Logs 1.6.2.1 3 Control de acceso 1.6.2.2 2 Identificación y almacenamiento 1.6.2.3 2 Información contenida en los logs 1.6.2.4 1 Análisis que se realiza 1.6.3 Auditoría de servidores 1.6.3.1 1 Trabajos de mayor uso CPU y memoria 1.6.3.2 1 Datos de mayor tráfico, CPU y memoria 1.6.3.3 1 Aplicaciones de mayor tráfico, CPU y memoria 1.6.4 Auditoría de control de acceso 1.6.4.1 2 Existencia de logs 1.6.4.2 2 Almacenamiento y acceso 1.6.4.3 1 Duración y tratamiento posterior al vencimiento 1.6.4.4 2 Contenido de los logs 1.6.5 Auditoría de redes 1.6.5.1 1 Monitoreo de red 1.6.5.2 1 Periodicidad de chequeos 1.6.5.3 1 Datos revisados y estadísticas -1141,7 PLAN DE CONTINGENCIAS 1.7.1 Plan de contingencias 1.7.1.1 2 Existencia, justificaciones 1.7.1.2 1 Alcance del plan 1.7.1.3 2 Responsabilidades y entrenamiento 1.7.1.4 2 Documentación 1.7.2 Plan de recuperación de desastres 1.7.2.1 3 Responsabilidades 1.7.2.2 2 Identificación de funciones críticas 1.7.2.3 2 Grupo y responsable 1.7.2.4 2 Inventario de equipamiento 1.7.3 Administradores de aplicaciones y sistemas 1.7.3.1 1 1.7.3.2 2 Técnicos 1.7.3.3 2 Administradores de Redes 1.7.4 Personal de desarrollo Gerencia en seguridad 1.7.4.1 3 Visón y compromiso general y medio en la seguridad 1.7.4.2 3 Reglas de seguridad 1.7.4.3 1 Personal en general - procedimientos 1.7.4.4 2 Personal de desarrollo - procedimientos 1.7.4.5 3 Técnicos - procedimientos 1.7.4.6 3 Administradores de redes - procedimientos TIPO 2 - TECNICAS DE PLATAFORMAS LINUX 2,1 2.1.1 SERVICIOS ACTIVOS INNECESARIOS 2 2,2 Hay habilitados servicios innecesarios Bind/DNS 2.2.1 2 Instalación/ISC, versión y parches 2.2.2 2 Actualización dinámica del DNS 2.2.3 2 Demonio named habilitado en servidores no DNS 2,3 RPC 2.3.1 3 RPC Habilitado 2.3.3 2 Servicios RPC que se pueden explotar 2,4 SNMP 2.4.1 2 Versión y puertos habilitados 2.4.2 3 Nombres comunidad por default 2.4.3 2 Chequeo registros MIB 2,5 2.5.1 Shell seguro 1 2,6 Instalación y versión Servicios NIS/NFS 2.6 .1 3 Versión NIS 2.6 .2 3 Ubicación password del root con NIS 2.6 .3 2 Versión NFS 2.6 .4 3 Configuración archivo export y montaje de sistema de archivos NFS 2,7 Open SSL -1152.7.1 1 2,8 Versión FTP 2.8.1 3 Habilitación y funcionalidad anónima 2.8.2 3 Sin uso de password en el modo de subida 2.8.3 3 No hay restricciones y mecanismos para direcciones IP o dominios 2.8.4 3 No se usan restricciones propias del servidor ftp 2.8.5 3 Especificación de las cuentas administrativas en archivo ftpusers 2.8.6 3 No hay diferenciación archivos contraseñas con los del OS 2.8.7 2 Permisos y propietarios del raíz y subdirectorios etc y bin del ftp anónimo 2.8.8 2 Permisos y propietarios de archivos de subdirectorios etc y bin 2.8.9 2 Permisos y propietarios directorio home ~ftp/ 2.8.10 3 Existencia de archivos .rhosts y .forward 2.8.11 3 Restricciones de escritura para everyone en directorios ftp y sus archivos 2,9 Otras de contraseñas 2.9.1 2 Hay cuentas extras con UID 0, o sin contraseñas en el archivo passwd 2.9.2 3 tftp habilitado 2.9.3 3 tftp necesario pero sin precauciones de acceso restringido 2.9.4 2 No se usa un programa para mejorar la elección de contraseñas 2,10 Otros Servicios de red 2.10.1 2 Permisos y propietarios no adecuados en archivos de servicios de red 2.10.2 2 Cron acepta usuarios ordinarios 2.10.3 3 Se puede registrar como root en la consola en forma remota 2.10.4 3 Terminales no adecuados en el archivo de terminal seguro 2,11 Seguridad sistema de archivos 2.11.1 2 Archivos .exrc no justificados 2.11.2 2 Archivos .forward en directorios home de usuarios 2.11.3 2 Umask inadecuado de algunos programas 2.11.4 2 Restricciones de acceso no adecuadas en algunos archivos bajo /etc 2.11.5 3 Escritura indebida de los archivos log 2.11.6 2 Características extendidas (inmutabilidad y sólo anexado) no habilitadas 2.11.7 2 Inadecuados permisos, propiedad y grupo de /vmunix 2.11.8 3 Archivos que no debieran ser propiedad sino de root, y si /tmp no tiene el sticky-bit 2.11.9 3 Archivos o directorios no esperados que son escribibles por cualquiera 2.11.10 2 Archivos que no debieran tener seteados el bit SUID o SGID 2.11.11 2 Umask inadecuado de algunos usuarios 2.11.12 2 Archivos ordinarios en el directorio /dev 2.11.13 2 Archivos especiales fuera de /dev 2.11.14 2 Archivos ejecutables y sus directorios ascendentes escribibles por grupos o cualquiera 2.11.15 2 Archivos sin propietarios 2,12 Monitoreo del sistema 2.12.1 3 2.12.2 2 No se usan las extensiones de seguridad de Linux para los archivos log 2.12.3 3 Ausencia de registro de las actividades de los administradores 2.12.4 2 Falta de control de las modificaciones de archivos de sistema 2,13 No se han definido los archivos log adecuados para seguridad Servicios de archivos -1162.13.1 2 2,14 2.14.1 Inadecuados permisos y propiedad del archivo /etc/export Linux 3 Parches y actualizaciones Tipo 3 - TECNICAS DE PLATAFORMAS WINDOWS 3,1 IIS 3.1.1 3 Versión y parches del IIS 3.1.2 2 Versiones actuales del IIS; ACL y directorios 3.1.3 2 Habilitación del log del IIS 3.1.4 3 WebDav ntdll.dll en IIS 3.1.5 2 Aplicaciones de muestra en directorios iissamples, iishelp y msadc 3,2 SQL Server 3.2.1 3 Versión y parches del SQL Server 3.2.2 2 Log autenticación servidor SQL 3.2.3 2 Cuenta SA, contraseña 3.3.1 3 Autenticación, algoritmo usado 3.3.2 3 Archivo hashes LM, habilitación autenticación a través de la red 3,3 Autenticación 3,4 Internet Explorer 3.4.1 3 Versión y parches del Internet Explorer 3.4.2 2 Nivel seguridad del IE 3,5 RAS 3.5.1 3 Uso SMB, conectividad NetBios 3.5.2 2 Sesión nula, registro anónimo 3.5.3 3 Acceso remoto al registry 3.5.4 3 rpc y parches 3,6 MDAC/RDS 3.6.1 3 Versión y parches del MDAC 3.6.2 2 Archivo msadcs.dll con Windows 3.6.3 1 Versión y SP del Jet Engine 3,7 Windows Scripting Host 3.7.1 3 Habilitación del Windows Scripting Host 3.7.2 1 Forma de ejecución de scripts 3,8 Outlook Express 3.8.1 2 Ventana de vista previa del Outlook/Outlook Express 3.8.2 1 Restricción zona de seguridad del Outlook Express 3,9 Compartición P2P 3.9.1. 3 Puertos de aplicaciones P2P 3.9.2 2 Existencia en disco de archivos propios de P2P 3,1 SNMP 3.10.1 2 Versión y puertos habilitados del SNMP 3.10.2 3 Nombres comunidad por default del SNMP 3.10.3 2 Chequeo registros MIB del SNMP 3,11 3.11.1 Acceso remoto al registry 3 Registros bajo SecurePipeServers -1173,12 Otros seteados del registry 3.12.1 3 Registro Winlogon 3.12.2 2 Registro LanMan Print Services, para no poder agregar drivers impresión 3.12.3 2 Registro Subsystems, OS/2 y Posix 3.12.4 2 Registro bajo EventLog, para que no se vean los logs de aplicaciones y sistema 3.12.5 2 Registro Session Manager, atributos recursos compartidos, borrado archivo páginas 3,14 Otras cuestiones de contraseñas 3.14.1 2 Uso del passfilt.dll 3.14.2 1 Uso del syskey.exe 3,15 Sistema de archivos 3.15.1 3 Se usa FAT 3.15.2 2 Grupos Everyone (Todos) y/o Usuarios controlados 3,16 Logs de auditoria 3.16.1 2 Logs en Event Viewer 3.16.2 1 Nombres existentes en registro HKLM\System\CurentControlSer\\Control\Lsa 3,17 Utilitarios de cuidado 3.17.1 2 Existencia y/o restricciones de acceso de archivos ejecutables de cuidado 3.17.2 1 Ubicación de los archivos ejecutables de cuidado 3.17.3 2 Existencia del programa rollback.exe 3,18 Subsistemas de cuidado 3.18.1 2 Existencia de c:\windows\system32\os2 y subdirectorios 3.18.2 2 Archivos del os2 y posix en c:\windows\system32 3.18.3 1 Registros os2 subsystem for windows 4,1 2 Grupos de PCs 4,2 3 Grupos de laptops y notebooks 4,3 3 Routers 4,4 3 Switches 4,5 2 Otros dispositivos Tipo 4 - TECNICAS DE OTROS DISPOSITIVOS Con las vulnerabilidades clasificadas en la Dirección de Tecnologías de la información y Comunicaciones se procederá a verificar cada una de ellas con los activos del Sistema de Gestión de Seguridad de la Información SGSI, de acuerdo a como se indica en el Anexo I, a continuación en la Tabla 20 se presentan el resumen de las vulnerabilidades. -118Tabla 20. Resumen de las vulnerabilidades para la Dirección de Tecnologías de la Información y Comunicaciones. Fuente: Autor. Plataforma Linux Firewall Servidor1 Servidor2 Servidor3 Plataforma Windows Vulnerabilidades Físicas, Organizacionales y Operacionales DNS, DHCP, Active Directory Total de vulnerabilidades potenciales 129 55 43 43 43 43 Vulnerabilidades presente 10 9 3 11 7 6 Vulnerabilidades de nivel 1 56 2 5 4 5 7 Vulnerabilidades de nivel 2 51 23 20 17 20 19 Vulnerabilidades de nivel 3 12 21 15 11 11 11 Nivel Relativo Vulnerabilidad Total 162 83 67 57 61 61 no de Servidores más vulnerables Servidores más vulnerable en el Nivel 3 *** *** *** *** 4.5.4 CÁLCULO DE AMENAZAS Y VULNERABILIDADES Una vez identificadas las amenazas y vulnerabilidades, es necesario calcular la posibilidad de que puedan juntarse y causar un riesgo (De Freitas, 2009), define el riesgo como la probabilidad de que una amenaza pueda explotar una vulnerabilidad en particular. En la Tabla 21 se describe los cruces de las amenazas y vulnerabilidades para obtener el nivel de riesgo de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Sala de Servidores. -119Tabla 21. Cruce de las Amenazas y las Vulnerabilidades de la Sala de Servidores (Activo 2.32). Fuente: Autor. Amenaza Descripción Vulnerabilidades No. Div. 1.2 4 Fallas de los sistemas TI 1.7.1.1 1.7.1.2 1.7.1.3 1.7.1.4 1.7.2.1 1.7.2.2 1.7.2.3 1.7.2.4 1.3 2 Rayos 1.4.4.5 1.4 4 Incendio 1.4.3.1 1.5 3 Inundación 1.4.4.2 1.6 2 Cables quemados 1.4.3.1 1.7 2 Polvo y suciedad 1.4.4.3 1.8 2 Efectos de catástrofes en el 1.4.4.4 ambiente 1.9 2 Problemas causados por 1.4.4.4 grandes eventos públicos 1.10 2 Tormentas 4 Falta o insuficiencia de reglas 1.2.3.1 1.2.4.1 1.5.1.4 de seguridad en general 2.2 5 Conocimiento insuficiente de 1.5.2.1 documentos sobre reglas y procedimientos 2.4 3 Monitoreo insuficiente de las 1.6.1.1 1.6.1.2 1.6.1.3 1.6.1.4 1.6.1.5 medidas de seguridad IT 2.10 3 Dimensionamiento insuficiente 1.5.1.1 de redes y centro de cómputo 2.11 2 Documentación del cableado 5.4 3 Robo 1.4.1.1 5.5 5 Vandalismo 1.4.4.3 1.4.4.4 5.29 1 Sabotaje 1.4.1.1 1.4.1.2 1.4.4.3 1.4.4.4 2.1 1.4.4.4 insuficiente 1.4.4.1 En la Tabla 22 se describe las vulnerabilidades potenciales que pueden afectar a la Sala de Servidores de la Dirección de Tecnologías de la Información y Comunicaciones. -120Tabla 22. Vulnerabilidades potenciales que pueden afectar la Sala de Servidores (Activo 2.32). Fuente: Autor. Nro. Nivel Vulnerabilidades Potenciales 1.2.3.1 1 Grado y detalle de la información documentada de la red 1.2.4.1 1 Antecedentes de ataques ocurridos a la red 1.4.1.1 2 Restricción de acceso a personas ajenas al área 1.4.1.2 1 Control personal de limpieza en locales con servidores 1.4.3.1 2 Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI 1.4.4.1 1 Tipo, condiciones e instalación del cableado de red 1.4.4.2 1 Falta de información de otras instalaciones que corran en paralelo 1.4.4.3 1 Actividades que pueden afectar las operaciones 1.4.4.4 1 Actividades externas que pueden afectar las operaciones 1.4.4.5 2 Protecciones antirrayos 1.5.1.1 1 Tipo y regularidad de chequeos 1.5.1.4 2 Documentación y manuales de procedimientos y seguridad 1.5.2.1 3 Administración de emergencias 1.6.1.1 2 Realización y objetos auditados 1.6.1.2 1 Monitoreo y herramientas 1.6.1.3 2 Gestión de logs 1.6.1.4 1 Utilidad auditoria para rastreo de acciones 1.6.1.5 1 Históricos generados 1.7.1.1 2 Existencia, justificaciones 1.7.1.2 1 Alcance del plan 1.7.1.3 2 Responsabilidades y entrenamiento 1.7.1.4 2 Documentación 1.7.2.1 3 Responsabilidades 1.7.2.2 2 Identificación de funciones críticas 1.7.2.3 2 Grupo y responsable 1.7.2.4 2 Inventario de equipamiento En la Tabla 23 se describe las amenazas y vulnerabilidades verificadas de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Sala de Servidores. -121Tabla 23. Amenazas vs. Vulnerabilidades verificadas para la Sala de Servidores (Activo 2.32). Fuente: Autor. Amen. 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 2.1 2.2 2.4 2.10 2.11 5.4 5.5 5.29 Vulner. Nivel 4 2 4 3 2 2 2 2 2 4 5 3 1.2.3.1 1 X 1.2.4.1 1 X 1.4.1.1 2 1.4.1.2 1 1.4.3.1 2 1.4.4.1 1 1.4.4.2 1 1.4.4.3 1 1.4.4.4 1 1.4.4.5 2 1.5.1.1 1 1.5.1.4 2 1.5.2.1 3 1.6.1.1 2 X 1.6.1.2 1 X 1.6.1.3 2 X 1.6.1.4 1 X 1.6.1.5 1 X 1.7.1.1 2 X 1.7.1.2 1 X 1.7.1.3 2 X 1.7.1.4 2 X 1.7.2.1 3 X 1.7.2.2 2 X 1.7.2.3 2 X 1.7.2.4 2 X 3 2 3 5 X 1 X X X X X X X X X X X X X X X X X X En la Tabla 24 se describe los cruces de las amenazas y vulnerabilidades para obtener el nivel de riesgo de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Software y Aplicaciones. -122- Tabla 24. Cruce de las Amenazas y las Vulnerabilidades Software y Aplicaciones. (Activo 7.1) Fuente: Autor. Nro. Div. AMENAZAS Descripción Vulnerabilidades 2.1 4 Falta o insuficiencia de reglas de 1.7.4.2 seguridad en general 2.3 2 Recursos incompatibles o inadecuados 2.18 3 Procedimientos faltantes o inadecuados 1.3.5.1 1.3.5.2 1.3.6.1 1.3.6.3 1.3.7.3 1.3.7.6 para test y liberación de software 2.19 3 Documentación faltante o inadecuada 1.4.5.2 2.20 2 Violación de derechos de autor 1.2.3.3 1.3.5.4 2.21 4 3.3 4 3.15 3 Prueba de software con datos de 1.3.7.7 producción No cumplimiento con las medidas de 1.1.1.2 1.1.1.3 1.3.5.4 1.7.4.2 1.7.4.3 1.7.4.4 1.7.4.5 1.7.4.6 seguridad TI Errores en la configuración y operación 1.2.3.3 1.2.5.1 1.3.6.3 1.7.3.1 1.7.3.2 1.7.3.3 4.4 5 4.14 4 Reconocimiento de vulnerabilidades en 1.3.7.8 el software Vulnerabilidades o errores de software 1.3.2.1 1.3.2.2 1.3.3.1 1.3.3.2 1.3.3.3 1.3.3.4 1.3.4.1 1.3.4.3 5.12 3 Caballos de Troya 1.2.2.3 5.13 4 Virus de computador 1.2.2.1 1.2.2.3 1.2.2.4 5.18 3 Macro virus 1.2.2.1 1.6.3.1 1.6.3.2 1.6.3.3 1.3.4.4 1.3.5.1 1.3.5.2 1.3.5.3 En la Tabla 25 se describe las vulnerabilidades potenciales que pueden afectar al Software y Aplicaciones de la Dirección de Tecnologías de la Información y Comunicaciones. Tabla 25. Vulnerabilidades Potenciales que pueden afectar Software y Aplicaciones. (Activo 7.1) Fuente: Autor. Nro. Nivel Descripción 1.1.1.2 2 Gestión de bajas de usuarios 1.1.1.3 2 Mantenimiento de cuentas 1.2.2.1 3 No está habilitado para envío y recepción de mail 1.2.2.3 2 1.2.2.4 1 No es suficiente la frecuencia de escaneado de las unidades de las computadores No se generan discos de recuperación en las PCs bajo Windows -1231.2.3.1 1 Grado y detalle de la información documentada de la red 1.2.3.3 1 Documentación de la configuración de las PCs 1.2.5.1 3 Tipo, configuración y nivel de control de firewall 1.3.2.1 1 1.3.2.2 3 Existencia de control de cambios para archivos de sistema o bases de datos Confidencialidad de datos de laptops y notebooks 1.3.2.3 2 Logs de transacciones y sus detalles 1.3.3.1 1 Existencia de control de cambios para el desarrollo 1.3.3.2 1 Control del contenido de archivos de entrada 1.3.3.3 2 Control de validez de datos ingresados manualmente 1.3.3.4 1 Control de consistencia de datos de salida 1.3.4.1 2 Control de acceso propio de las bases de datos 1.3.4.2 1 Control de instancias de uso 1.3.4.3 1 Chequeo regulares de seguridad 1.3.4.4 1 Marcado o borrado de archivos eliminados 1.3.5.1 2 Controles con que se realiza la instalación y actualización de parches 1.3.5.2 1 Documentación de la instalación o actualización de software 1.3.5.3 2 Control de aplicaciones en máquinas de usuarios 1.3.5.4 1 Control de información que bajan los usuarios de la Web 1.3.6.1 1 Documentación de cambios de emergencia 1.3.6.3 1 Gestión de cambios complejos en archivos de configuración 1.3.6.4 2 Registro de cambios en las configuraciones 1.3.7.3 1 Uso métricas en el desarrollo 1.3.7.6 1 Medidas de seguridad durante las implementaciones 1.3.7.7 1 Forma y documentación de pruebas 1.3.7.8 1 Metodología usada para el mantenimiento 1.4.5.2 1 Inventario de recursos de hardware y software 1.5.1.3 1 Documentación detallada del equipamiento 1.6.3.1 1 Trabajos de mayor uso CPU y memoria 1.6.3.2 1 Datos de mayor tráfico, CPU y memoria 1.6.3.3 1 Aplicaciones de mayor tráfico, CPU y memoria 1.7.3.1 1 Personal de desarrollo 1.7.3.2 2 Técnicos 1.7.3.3 2 Administradores de redes 1.7.4.1 3 Visión y compromiso gerencial superior y medio en la seguridad. 1.7.4.2 3 Reglas de seguridad 1.7.4.3 1 Personal en general - procedimientos 1.7.4.4 2 Personal de desarrollo - procedimientos 1.7.4.5 3 Técnicos - procedimientos 1.7.4.6 3 Administradores de redes - procedimientos -124En la Tabla 26 se describe las amenazas y vulnerabilidades verificadas de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Software y Aplicaciones. Tabla 26. Amenazas Vs. Vulnerabilidades verificadas Software y Aplicaciones. (Activo 7.1) Fuente: Autor. Amen. 2.1 Vulner. Nivel 4 1.1.1.2 2 1.1.1.3 2 2.3 2.18 2.19 2.20 2.21 3.3 3.15 4.4 4.14 5.12 5.13 5.18 2 3 3 2 4 4 3 5 4 3 4 3 X X 1.2.2.1 3 X 1.2.2.3 2 1.2.2.4 1 1.2.3.1 1.2.3.3 1 1 1.2.5.1 3 1.3.2.1 1 X 1.3.2.2 3 X 1.3.2.3 2 1.3.3.1 1 X 1.3.3.2 1 X 1.3.3.3 2 X 1.3.3.4 1 X 1.3.4.1 2 X 1.3.4.2 1 1.3.4.3 1 X 1.3.4.4 1 X 1.3.5.1 2 X X 1.3.5.2 1 X X 1.3.5.3 2 1.3.5.4 1 1.3.6.1 1 X 1.3.6.3 1 X 1.3.6.4 2 1.3.7.3 1 X 1.3.7.6 1 X 1.3.7.7 1 1.3.7.8 1 1.4.5.2 1 1.5.1.3 1 1.6.3.1 1 X 1.6.3.2 1 X X X X X X X X X X X X X X X -1251.6.3.3 1 X 1.7.3.1 1 X 1.7.3.2 2 X 1.7.3.3 2 X 1.7.4.1 3 1.7.4.2 3 1.7.4.3 1 X 1.7.4.4 2 X 1.7.4.5 3 X 1.7.4.6 3 X X X En la Tabla 27 se describe los cruces de las amenazas y vulnerabilidades para obtener el nivel de riesgo de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Servidor Windows S1. Tabla 27. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S1 (Activo 4.3). Fuente: Autor. No. Div. Amenaza Descripción 2.18 2 Reducción de la velocidad de transmisión o 1.3.5.4 ejecución debido a funciones P2P 2.23 2.24 2 3 Planificación inadecuada de los dominios Protección Windows inadecuada del Vulnerabilidades 1.1.4.3 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.2.1 3.2.2 3.2.3 3.3.1 3.3.2 3.4.1 3.4.2 3.5.1 3.5.2 3.5.3 3.5.4 3.6.1 3.6.2 sistema 3.6.3 3.8.2 3.9.1 3.7.1 3.7.2 3.8.1 3.9.2 3.10.1 3.10.2 3.10.3 3.11.1 3.12.1 3.12.2 3.12.3 3.12.4 3.12.5 3.14.1 3.14.2 3.15.1 3.15.2 3.16.1 3.16.2 3.17.1 3.17.2 3.17.3 3.18.1 3.18.2 3.18.3 4.5 4 Diversidad de posibilidades de acceso a 1.6.2.1 sistemas TI en red 4.16 1 Reconocimiento automático del DVD-ROM 3.12.1 5.13 4 Virus de computador 1.2.2.1 1.2.2.3 1.2.2.4 5.18 3 Macro virus 1.2.2.1 1.2.2.3 5.21 4 Mal uso de los derechos de administrador 1.6.1.4 1.6.1.5 en sistemas Windows 5.29 3 Adquisición no autorizada de derechos de 3.3.1 administrador con Windows 3.17.1 -126- En la Tabla 28 se describe las vulnerabilidades potenciales que pueden afectar al Servidor Windows S1 de la Dirección de Tecnologías de la Información y Comunicaciones. Tabla 28. Vulnerabilidades Potenciales del Servidor Windows S1 (Activo 4.3). Fuente: Autor. Nro. 1.1.4.3 Nivel 3 Descripción Mecanismos de control de acceso interno 1.2.2.1 3 No está habilitado para envío y recepción de mail 1.2.2.3 2 No es suficiente la frecuencia de escaneado de las unidades de las computadores 1.2.2.4 1 No se generan discos de recuperación 1.3.5.4 1 Control de información que bajan los usuarios de la Web 1.6.1.4 1 Utilidad auditoria para rastreo de acciones 1.6.1.5 1 Históricos generados 1.6.2.1 3 Control de acceso 3.1.1 3 Versión y parches del IIS 3.1.2 2 Versiones actuales del IIS; ACL y directorios 3.1.3 2 Habilitación del log del IIS 3.1.4 3 WebDav ntdll.dll en IIS 3.1.5 2 Aplicaciones de muestra en directorios iissamples, iishelp y msadc 3.2.1 3 Versión y parches del SQL Server 3.2.2 2 Log autenticación servidor SQL 3.2.3 2 Cuenta SA, contraseña 3.3.1 3 Autenticación, algoritmo usado 3.3.2 3 Archivo hashes LM, habilitación autenticación a través de la red 3.4.1 3 Versión y parches del Internet Explorer 3.4.2 2 Nivel seguridad del IE 3.5.1 3 Uso SMB, conectividad NetBios 3.5.2 2 Sesión nula, registro anónimo 3.5.3 3 Acceso remoto al registry 3.5.4 3 rpc y parches 3.6.1 3 Versión y parches del MDAC 3.6.2 2 Archivo msadcs.dll con windows e IIS 3.6.3 1 Versión y SP del Jet Engine 3.7.1 3 Habilitación del Windows Scripting Host 3.7.2 1 Forma de ejecución de scripts 3.8.1 2 Ventana de vista previa del Outlook/Outlook Express 3.8.2 1 Restricción zona de seguridad del Outlook Express 3.9.1. 3 Puertos de aplicaciones P2P -1273.9.2 2 Existencia en disco de archivos propios de P2P 3.10.1 2 Versión y puertos habilitados del SNMP 3.10.2 3 Nombres comunidad por default del SNMP 3.10.3 2 Chequeo registros MIB del SNMP 3.11.1 3 Registros bajo SecurePipeServers 3.12.1 3 Registro Winlogon 3.12.2 2 Registro LanMan Print Services, para no poder agregar drivers impresión 3.12.3 2 Registro Subsystems, OS/2 y Posix 3.12.4 2 Registro bajo EventLog, para que no se vean los logs de aplicaciones y sistema 3.12.5 2 Registro Session Manager, atributos recursos compartidos, borrado archivo páginas 3.14.1 2 Uso del passfilt.dll 3.14.2 1 Uso del syskey.exe 3.15.1 3 Se usa FAT 3.15.2 2 Grupos Everyone (Todos) y/o Usuarios controlados 3.16.1 2 Logs en Event Viewer 3.16.2 1 Nombres existentes en registro HKLM\System\CurentControlSet\Control\Lsa 3.17.1 2 Existencia y/o restricciones de acceso de archivos ejecutables de cuidado 3.17.2 1 Ubicación de los archivos ejecutables de cuidado 3.17.3 2 Existencia del programa rollback.exe 3.18.1 2 Existencia de c:\windows\system32\os2 y subdirectorios 3.18.2 2 Archivos del os2 y posix en c:\windows\system32 3.18.3 1 Registros os2 subsystem for windows En la Tabla 29 se describe las amenazas y vulnerabilidades verificadas de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Servidor Windows S1. Tabla 29. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S1 (Activo 4.3). Fuente: Autor. Vulner. Amen. 2.18 2.23 2.24 4.5 4.16 5.13 5.18 5.21 5.29 Nivel 2 2 3 4 1 4 3 4 3 1.1.4.3 3 1.2.2.1 3 X X X 1.2.2.3 2 X X 1.2.2.4 1 1.3.5.4 1 1.6.1.4 1 X X X -1281.6.1.5 1 X 1.6.2.1 3 3.1.1 3 X 3.1.2 2 X 3.1.3 2 X 3.1.4 3 X 3.1.5 2 X 3.2.1 3 X 3.2.2 2 X 3.2.3 2 X 3.3.1 3 X 3.3.2 3 X 3.4.1 3 X 3.4.2 2 X 3.5.1 3 X 3.5.2 2 X 3.5.3 3 X 3.5.4 3 X 3.6.1 3 X 3.6.2 2 X 3.6.3 1 X 3.7.1 3 X 3.7.2 1 X 3.8.1 2 X 3.8.2 1 X 3.9.1. 3 X 3.9.2 2 X 3.10.1 2 X 3.10.2 3 X 3.10.3 2 X 3.11.1 3 X 3.12.1 3 X 3.12.2 2 X 3.12.3 2 X 3.12.4 2 X 3.12.5 2 X 3.14.1 2 X 3.14.2 1 X 3.15.1 3 X 3.15.2 2 X 3.16.1 2 X 3.16.2 1 X 3.17.1 2 X 3.17.2 1 X 3.17.3 2 X X X X X -1293.18.1 2 X 3.18.2 2 X 3.18.3 1 X En la Tabla 30 se describe los cruces de las amenazas y vulnerabilidades para obtener el nivel de riesgo de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Servidor Windows S4. Tabla 30. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S4 (Activo 4.3). Fuente: Autor. No. Div. 2.18 2 2.23 2 2.24 3 Amenaza Descripción Vulnerabilidades Reducción de la velocidad de 1.3.5.4 transmisión o ejecución debido a funciones P2P Planificación inadecuada de los 3.1.1 3.1.2 dominios 3.3.2 3.4.1 Protección inadecuada del sistema 3.7.2 Windows 3.12.4 3.16.2 3.1.3 3.1.4 3.1.5 3.3.1 3.4.2 3.6.1 3.6.2 3.7.1 3.8.2 3.10.1 3.10.2 3.12.1 3.12.3 3.12.5 3.14.1 3.14.2 3.15.2 3.16.1 3.18.1 3.18.2 3.18.3 4.5 4 Diversidad de posibilidades acceso a sistemas TI en red de 4.16 1 del 3.12.1 5.13 4 Reconocimiento automático DVD-ROM Virus de computador 5.18 3 Macrovirus 5.21 4 Mal uso de los derechos de 1.6.1.4 1.6.1.5 administrador en sistemas Windows 5.29 3 Adquisición no autorizada de 3.3.1 derechos de administrador con Windows 1.2.2.1 1.2.2.1 En la Tabla 31 se describe las vulnerabilidades potenciales que pueden afectar al Servidor Windows S4 de la Dirección de Tecnologías de la Información y Comunicaciones. -130Tabla 31. Vulnerabilidades Potenciales del Servidor Windows S4 (Activo 4.3). Fuente: Autor. Nro. Nivel Descripción 1.1.4.3 3 Mecanismos de control de acceso interno 1.2.2.1 3 No está habilitado para envío y recepción de mail 1.2.2.3 2 1.2.2.4 1 No es suficiente la frecuencia de escaneado de las unidades de las computadores No se generan discos de recuperación 1.3.5.4 1 Control de información que bajan los usuarios de la Web 1.6.1.4 1 Utilidad auditoría para rastreo de acciones 1.6.1.5 1 Históricos generados 1.6.2.1 3 Control de acceso 3.1.1 3 Versión y parches del IIS 3.1.2 2 Versiones del IIS; ACL y directorios 3.1.3 2 Habilitación del log del IIS 3.1.4 3 WebDav ntdll.dll en IIS 3.1.5 2 Aplicaciones de muestra en directorios iissamples, iishelp y msadc 3.2.1 3 Versión y parches del SQL Server 3.2.2 2 Log autenticación servidor SQL 3.2.3 2 Cuenta SA, contraseña 3.3.1 3 Autenticación, algoritmo usado 3.3.2 3 Archivo hashes LM, habilitación autenticación a través de la red 3.4.1 3 Versión y parches del Internet Explorer 3.4.2 2 Nivel seguridad del Internet Explore 3.5.1 3 Uso SMB, conectividad NetBios 3.5.2 2 Sesión nula, registro anónimo 3.5.3 3 Acceso remoto al registry 3.5.4 3 rpc y parches 3.6.1 3 Versión y parches del MDAC 3.6.2 2 Archivo msadcs.dll con windows e IIS 3.6.3 1 Versión y SP del Jet Engine 3.7.1 3 Habilitación del Windows Scripting Host 3.7.2 1 Forma de ejecución de scripts 3.8.1 2 Ventana de vista previa del Outlook/Outlook Express 3.8.2 1 Restricción zona de seguridad del Outlook Express 3.9.1 3 Puertos de aplicaciones P2P 3.9.2 2 Existencia en disco de archivos propios de P2P 3.10.1 2 Versión y puertos habilitados del SNMP 3.10.2 3 Nombres comunidad por default del SNMP 3.10.3 2 Chequeo registros MIB del SNMP 3.11.1 3 Registros bajo SecurePipeServers 3.12.1 3 Registro Winlogon 3.12.2 2 Registro LanMan Print Services, para no poder agregar drivers impresión 3.12.3 2 Registro Subsystems, OS/2 y Posix -1313.12.4 2 3.12.5 2 3.14.1 2 Registro bajo EventLog, para que no se vean los logs de aplicaciones y sistema Registro Session Manager, atributos recursos compartidos, borrado archivo páginas Uso del passfilt.dll 3.14.2 1 Uso del syskey.exe 3.15.1 3 Se usa FAT 3.15.2 2 Grupos Everyone (Todos) y/o Usuarios controlados 3.16.1 2 Logs en Event Viewer 3.16.2 1 Nombres existentes en registro HKLM\System\CurentControlSet\Control\Lsa 3.17.1 2 Existencia y/o restricciones de acceso de archivos ejecutables de cuidado 3.17.2 1 Ubicación de los archivos ejecutables de cuidado 3.17.3 2 Existencia del programa rollback.exe 3.18.1 2 Existencia de c:\windows\system32\os2 y subdirectorios 3.18.2 2 Archivos del os2 y posix en c:\windows\system32 3.18.3 1 Registros os2 subsystem for windows En la Tabla 32 se describe las amenazas y vulnerabilidades verificadas de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Servidor Windows S4. Tabla 32. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S4 (Activo 4.3). Fuente: Autor. Amen. 2.18 2.24 4.16 5.13 5.18 5.21 5.29 Vulner. Nivel 1.1.4.3 3 2 3 1 4 1.2.2.1 3 1.2.2.3 2 1.2.2.4 1 1.3.5.4 1 1.6.1.4 1 X 1.6.1.5 1 X 1.6.2.1 3 3.1.1 3 X 3.1.2 2 X 3.1.3 2 X 3.1.4 3 X 3.1.5 2 X 3.2.1 3 3.2.2 2 3.2.3 2 X 3 4 X X 3 -1323.3.1 3 X 3.3.2 3 X 3.4.1 3 X 3.4.2 2 X 3.5.1 3 3.5.2 2 3.5.3 3 3.5.4 3 3.6.1 3 3.6.2 2 3.6.3 1 3.7.1 3 X 3.7.2 1 X 3.8.1 2 3.8.2 1 3.9.1 3 3.9.2 2 3.10.1 2 X 3.10.2 3 X 3.10.3 2 3.11.1 3 3.12.1 3 3.12.2 2 3.12.3 2 X 3.12.4 2 X 3.12.5 2 X 3.14.1 2 X 3.14.2 1 X 3.15.1 3 3.15.2 2 X 3.16.1 2 X 3.16.2 1 X 3.17.1 2 3.17.2 1 3.17.3 2 3.18.1 2 X 3.18.2 2 X 3.18.3 1 X X X X X X En la Tabla 33 se describe los cruces de las amenazas y vulnerabilidades para obtener el nivel de riesgo de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Firewall. -133- Tabla 33. Cruce de las Amenazas y las vulnerabilidades Firewall (Activo 5.3). Fuente: Autor. AMENAZAS Nro. Div. Descripción 2.17 4 3.10 4 3.11 4 4.1 2 4.13 4 5.30 1 Vulnerabilidades Pérdida de confidencialidad 2.1.1 de datos sensibles de la red 2.6.2 a proteger 2.8.9 Exportación incorrecta de sistemas de archivos bajo Linux Configuración impropia del sendmail Interrupciones en la fuente de energía Autenticación faltante o de pobre calidad Sabotaje 2.2.2 2.2.3 2.3.3 2.5.1 2.6.1 2.6.3 2.8.2 2.8.3 2.8.5 2.8.6 2.8.10 2.9.1 2.9.3 2.9.4 2.10.1 2.10.4 2.11.2 2.11.3 2.11.4 2.11.6 2.11.7 2.11.8 2.11.9 2.11.11 2.11.12 2.11.14 2.11.15 2.12.1 2.12.2 2.14.1 2.1.1 2.4.2 2.6.4 2.13.1 1.4.3.1 2.7.1 2.8.11 2.11.5 1.4.3.1 2.4.1 2.8.7 2.11.10 2.2.1 2.8.8 2.4.3 1.4.3.1 2.9.4 En la Tabla 34 se describe las vulnerabilidades potenciales que pueden afectar al Firewall de la Dirección de Tecnologías de la Información y Comunicaciones. Tabla 34. Vulnerabilidades Potenciales del Firewall (Activo 5.3). Fuente: Autor. Nro. 1.4.3.1 Nivel Descripción 2 Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI 2.1.1 2 Servicios habilitados innecesarios 2.2.1 2 Instalación/ISC, versión y parches Bind 2.2.2 2 Actualización dinámica del DNS 2.2.3 2 Demonio named habilitado en servidores no DNS 2.3.1 3 RPC habilitado 2.3.3 2 Servicios RPC que se pueden explotar 2.4.1 2 Versión SNMP y puertos habilitados 2.4.2 3 Nombres comunidad SNMP por default 2.4.3 2 Chequeo registros MIB del SNMP 2.5.1 1 Instalación y versión ssh 2.6.1 3 Versión NIS 2.6.2 3 Ubicación password del root con NIS -1342.6.3 2 Versión NFS 2.6.4 3 Configuración archivo export y montaje de sistema de archivos NFS 2.7.1 1 Versión Open SSL 2.8.1 3 Habilitación y funcionalidad anónima ftp 2.8.2 3 Sin uso de password en el modo de subida ftp 2.8.3 3 No hay restricciones y mecanismos para direcciones IP o dominios en ftp 2.8.5 3 Especificación de las cuentas administrativas en archivo ftpusers 2.8.6 3 No hay diferenciación archivos contraseñas ftp con los del Sistema Operativo 2.8.7 2 Permisos y propietarios del raíz y subdirectorios etc y bin del ftp anónimo 2.8.8 2 Permisos y propietarios de archivos de subdirectorios etc y bin 2.8.9 2 Permisos y propietarios directorio home ~ftp/ 2.8.10 3 Existencia de archivos .rhosts y .forward 2.8.11 3 Restricciones de escritura para everyone en directorios ftp y sus archivos 2.9.1 2 Hay cuentas extras con UID 0, o sin contraseñas en el archivo passwd 2.9.2 3 tftp habilitado 2.9.3 3 tftp necesario pero sin precauciones de acceso restringido 2.9.4 2 No se usa un programa para mejorar la elección de contraseñas 2.10.1 2 Permisos y propietarios no adecuados en archivos de servicios de red 2.10.2 2 Cron acepta usuarios ordinarios 2.10.3 3 Se puede registrar como root en la consola en forma remota 2.10.4 3 Terminales no adecuados en el archivo de terminal seguro 2.11.1 2 Archivos .exrc no justificados 2.11.2 2 Archivos .forward en directorios home de usuarios 2.11.3 2 Umask inadecuado de algunos programas 2.11.4 2 Restricciones de acceso no adecuadas en algunos archivos bajo /etc 2.11.5 3 Escritura indebida de los archivos log 2.11.6 2 Características extendidas (inmutabilidad y sólo anexado) no habilitadas 2.11.7 2 Inadecuados permisos, propiedad y grupo de /vmunix 2.11.8 3 2.11.9 3 Archivos que no debieran ser propiedad sino de root, y /tmp que no tiene el sticky-bit Archivos o directorios no esperados que son escribibles por cualquiera 2.11.10 2 Archivos que no debieran tener seteados el bit SUID o SGID 2.11.11 2 Umask inadecuado de algunos usuarios 2.11.12 2 Archivos ordinarios en el directorio /dev 2.11.13 2 Archivos especiales fuera de /dev 2.11.14 2 2.11.15 2 Archivos ejecutables y sus directorios ascendentes escribibles por grupos o cualquiera Archivos sin propietarios 2.12.1 3 No se han definido los archivos log adecuados para seguridad 2.12.2 2 No se usan las extensiones de seguridad de Linux para los archivos log 2.13.1 2 Inadecuados permisos y propiedad del archivo /etc/export 2.14.1 3 Parches y actualizaciones Linux -135En la Tabla 35 se describe las amenazas y vulnerabilidades verificadas de los activos más importantes de la Dirección de Tecnologías de la Información y Comunicaciones como son: Firewall. Tabla 35. Amenazas vs. Vulnerabilidades verificadas Firewall (Activo 5.3). Fuente: Autor. Amen. Vulner. 1.4.3.1 2.17 3.10 3.11 Nivel 2 4 4 2.1.1 2 X X 2.2.1 2 2.2.2 2 X 2.2.3 2 X 2.3.1 3 2.3.3 2 2.4.1 2 2.4.2 3 2.4.3 2 2.5.1 1 X 2.6.1 3 X 2.6.2 3 X 2.6.3 2 X 2.6.4 3 2.7.1 1 2.8.1 3 2.8.2 3 X 2.8.3 3 X 2.8.5 3 X 2.8.6 3 X 2.8.7 2 2.8.8 2 2.8.9 2 X 2.8.10 3 X 2.8.11 3 2.9.1 2 2.9.2 3 2.9.3 3 X 2.9.4 2 X 2.10.1 2 X 2.10.2 2 X 2.10.3 3 X 2.10.4 3 X 2.11.1 2 4.1 4 2 X X 4.13 5.30 4 1 X X X X X X X X X X X X X -1362.11.2 2 X 2.11.3 2 X 2.11.4 2 X 2.11.5 3 2.11.6 2 X 2.11.7 2 X 2.11.8 3 X 2.11.9 3 X 2.11.10 2 2.11.11 2 X 2.11.12 2 X 2.11.13 2 2.11.14 2 X 2.11.15 2 X 2.12.1 3 X 2.12.2 2 X 2.13.1 2 2.14.1 3 X X X X 4.6 ANÁLISIS DEL RIESGO, VALORACIÓN Y EVALUACIÓN El análisis del riesgo tiene como objetivo identificar y calcular los riesgos basados en la identificación de los activos, y en el cálculo de las amenazas y vulnerabilidades. (Alexander, 2007, pág. 53), señala que “…los riesgos se calculan de la combinación de los valores de los activos, que expresan el impacto de pérdidas por confidencialidad, integridad y disponibilidad y del cálculo de la posibilidad de que las amenazas y vulnerabilidades relacionadas se junten y causen un incidente”. Para realizar el cálculo del riesgo se utilizará la matriz de riesgo de la metodología de Cramm que se describe en la Tabla 36. -137- Tabla 36. Matriz de Riesgo. Fuente: (ESPE, 2005) Amenaza Muy Baja Alta Baja Media Alta Baja Media Alta Baja Media Alta Baja Media Alta Muy Alta 1 1 1 1 1 1 1 1 1 2 1 2 2 2 2 3 2 1 1 2 1 2 2 2 2 3 2 3 3 3 3 4 3 1 2 2 2 2 2 2 3 3 3 3 4 3 4 4 4 2 2 3 2 3 3 3 3 4 3 4 4 4 4 5 5 2 3 3 3 3 4 3 4 4 4 4 5 4 5 5 6 3 3 4 3 4 4 4 4 5 4 5 5 5 5 6 7 3 4 4 4 4 5 4 5 5 5 5 6 5 6 6 8 4 4 5 4 5 5 5 5 6 5 6 6 6 6 7 9 4 5 5 5 5 6 5 6 6 6 6 7 7 7 7 10 5 5 6 5 6 6 6 6 6 6 7 7 7 7 7 Riesgos Nivel Alta Media Activo Media Baja Vulnerabilidad Baja Amenazas Valor Nivel Vulnerabilidades Valor Muy Bajo 1 Muy Baja 1 Bajo 2 Baja Medio bajo 3 Media Medio 4 Alta 4 Muy Alta 5 Medio alto 5 Alto 6 Muy Alto 7 Nivel Valor Baja 1 2 Media 2 3 Alta 3 Para el cálculo de riesgo de un activo utilizando la matriz de la Tabla 36, se requiere los valores de la Tabla 16 Activos Primarios Clasificados definidos en 7 clases y 10 niveles (1 -10); los valores de las amenazas definidas en la Tabla 17 clasificadas en 5 tipos y 5 niveles de amenazas (1 - 5); y, los valores de las vulnerabilidades definidas en la Tabla 19 clasificadas en 4 tipos y 3 niveles de vulnerabilidades (1 - 3). Con esta información reemplazaremos en la matriz y determinamos el nivel del riesgo para este activo el mismo que tendrá un valor de (1 – 7). -138- Utilizando la matriz de riesgo en la Tabla 37 se presenta el cálculo del riesgo para los activos: Sala de Servidores. Tabla 37. Niveles particulares de riesgo para la Sala de Servidores. Activo 2.32 Fuente: Autor. Vulner. Amen. 1.2 Nivel 4 1.3 2 1.4 4 1.5 3 1.6 2 1.7 2 1.8 1.9 1.10 2.1 2 2 2 4 2.2 5 2.4 2.10 2.11 5.4 3 3 2 3 1.2.3.1 1 6 1.2.4.1 1 6 1.4.1.1 2 1.4.1.2 1 1.4.3.1 2 1.4.4.1 1 1.4.4.2 1 1.4.4.3 1 1.4.4.4 1 1.4.4.5 2 1.5.1.1 1 1.5.1.4 2 1.5.2.1 3 1.6.1.1 2 6 1.6.1.2 1 5 1.6.1.3 2 6 1.6.1.4 1 5 1.6.1.5 1 5 1.7.1.1 2 6 1.7.1.2 1 6 1.7.1.3 2 6 1.7.1.4 2 6 1.7.2.1 3 7 1.7.2.2 2 6 1.7.2.3 2 6 1.7.2.4 2 6 5.5 5.29 5 1 6 5 4 6 5 5 5 5 5 5 5 5 5 6 7 7 4 7 4 -139- En la Tabla 38 se presenta el resumen de las amenazas para el activo sala de servidores. Tabla 38. Resumen efectos de las amenazas para la Sala de Servidores. Fuente: Autor. Nro. Nivel Cantidad Máximo Vulnerab. riesgo Potenc. Descripción 1,2 4 Fallas de los sistemas TI 8 7 1,3 2 Rayos 1 5 1,4 4 Incendio 1 6 1,5 3 Inundación 1 5 1,6 2 Cables quemados 1 5 1,7 2 Polvo y suciedad 1 5 1,8 2 Efectos de catástrofes en el ambiente 1 5 1,9 2 Problemas causados por grandes eventos públicos 1 5 1,1 2 Tormentas 1 5 2,1 4 Falta o insuficiencia de reglas de seguridad en general 3 6 2,2 5 1 7 2,4 3 Conocimiento insuficiente de documentos sobre procedimientos Monitoreo insuficiente de las medidas de seguridad TI 5 6 2,1 3 Dimensionamiento insuficiente de redes y centro de cómputo 1 5 2,11 2 Documentación insuficiente del cableado 1 5 5,4 3 Robo 1 6 5,5 5 Vandalismo 2 7 5,29 1 Sabotaje 4 5 reglas y En conclusión, la sala de servidores tiene un nivel de riesgo promedio de 5,58 sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue de 34 y los niveles de protección son: para la confidencialidad es medio, para la integridad medio y la disponibilidad es alta. Utilizando la matriz de riesgo en la Tabla 39 se presenta el cálculo del riesgo para los activos: Software y Aplicaciones. -140- Tabla 39. Niveles particulares de riesgo Software y Aplicaciones. Activo 7.1 Fuente: Autor. Vulner. 1.1.1.2 Amen. 2,1 2,3 Nivel 2 4 2 2,18 2,19 3 3 2,2 2,21 3,3 3,15 4,4 2 4 4 5 3 5 4,14 5,12 5,13 5,18 4 1.1.1.3 2 1.2.2.1 3 1.2.2.3 2 1.2.2.4 1 1.2.3.1 1 1.2.3.3 1 1.2.5.1 3 1.3.2.1 1 5 1.3.2.2 3 6 1.3.2.3 2 1.3.3.1 1 5 1.3.3.2 1 5 1.3.3.3 2 5 1.3.3.4 1 5 1.3.4.1 2 5 1.3.4.2 1 1.3.4.3 1 5 1.3.4.4 1 5 1.3.5.1 2 5 5 1.3.5.2 1 4 5 1.3.5.3 2 1.3.5.4 1 1.3.6.1 1 4 1.3.6.3 1 4 1.3.6.4 2 1.3.7.3 1 4 1.3.7.6 1 4 1.3.7.7 1 1.3.7.8 1 1.4.5.2 1 1.5.1.3 1 1.6.3.1 1 4 1.6.3.2 1 4 1.6.3.3 1 4 1.7.3.1 1 4 1.7.3.2 2 5 3 4 3 6 5 5 5 5 5 4 4 5 5 4 5 4 5 5 4 -1411.7.3.3 2 5 1.7.4.1 3 1.7.4.2 3 1.7.4.3 1 5 1.7.4.4 2 5 1.7.4.5 3 6 1.7.4.6 3 6 6 6 En la Tabla 40 se presenta el resumen de las amenazas para el activo Software de Aplicaciones. Tabla 40. Resumen efectos de las amenazas para Software y Aplicaciones. Activo 7.1 Fuente: Autor. Nro. Nivel Descripción Cantidad Máximo Vulnerab. riesgo Potenc. 2,1 4 Falta o insuficiencia de reglas de seguridad en general 1 6 2,3 2 Recursos incompatibles o inadecuados 3 4 2,18 3 6 5 2,19 3 Procedimientos faltantes o inadecuados para test y liberación de software Documentación faltante o inadecuada 1 4 2,2 2 Violación de derechos de autor 2 4 2,21 4 Prueba de software con datos de producción 1 5 3,3 4 No cumplimiento con las medidas de seguridad TI. 8 6 3,15 3 Errores en la configuración y operación 6 5 4,4 5 Reconocimiento de vulnerabilidades en el software 1 5 4,14 4 Vulnerabilidades o errores de software 12 6 5,12 3 Caballos de Troya 1 5 5,13 4 Virus de computador 3 6 5,18 3 Macrovirus 1 5 En conclusión, el activo 7.1 Software y Aplicaciones tiene un nivel de riesgo promedio de 4,69 sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue de 46 y los niveles de protección son: para la confidencialidad es medio, para la integridad medio y la disponibilidad es alta. -142En la Tabla 41 utilizando la matriz de riesgo se presenta el cálculo del riesgo para los activos: Servidor Windows. Tabla 41. Niveles particulares de riesgo para el Servidor Windows S1 (Activo 4.3) Fuente: Autor. Amen. 2,18 2,23 2,24 2 2 3 4,5 4 4,16 5,13 5,18 5,21 5,29 Vulner. Nivel 1 4 3 4 1.1.4.3 3 1.2.2.1 3 7 1.2.2.3 2 7 1.2.2.4 1 6 1.3.5.4 1 1.6.1.4 1 6 1.6.1.5 1 6 1.6.2.1 3 3.1.1 3 6 3.1.2 2 6 3.1.3 2 6 3.1.4 3 6 3.1.5 2 6 3.2.1 3 6 3.2.2 2 6 3.2.3 2 6 3.3.1 3 6 3.3.2 3 6 3.4.1 3 6 3.4.2 2 6 3.5.1 3 6 3.5.2 2 6 3.5.3 3 6 3.5.4 3 6 3.6.1 3 6 3.6.2 2 6 3.6.3 1 6 3.7.1 3 6 3.7.2 1 6 3.8.1 2 6 3.8.2 1 6 3.9.1 3 6 3.9.2 2 6 3.10.1 2 6 3 6 6 6 5 7 6 -1433.10.2 3 6 3.10.3 2 6 3.11.1 3 6 3.12.1 3 6 3.12.2 2 6 3.12.3 2 6 3.12.4 2 6 3.12.5 2 6 3.14.1 2 6 3.14.2 1 6 3.15.1 3 6 3.15.2 2 6 3.16.1 2 6 3.16.2 1 6 3.17.1 2 6 3.17.2 1 6 3.17.3 2 6 3.18.1 2 6 3.18.2 2 6 3.18.3 1 6 6 6 En la Tabla 42 se presenta el resumen de las amenazas para el activo Servidor Windows. Tabla 42. Resumen efectos de las amenazas Servidor Windows S1 (Activo 4.3). Fuente: Autor. Nro. Nivel Descripción Cantidad Vulnerab. Potenc. Máximo riesgo 2,18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P 1 5 2,23 2 Planificación inadecuada de los dominios 1 6 2,24 3 Protección inadecuada del sistema Windows 46 6 4,5 4 Diversidad de posibilidades de acceso a sistemas TI en red 1 7 4,16 1 Reconocimiento automático del DVD-ROM 1 6 5,13 4 Virus de computador 3 7 5,18 3 Macrovirus 2 6 5,21 4 Mal uso de los derechos de administrador en sistemas Windows 2 6 5,29 3 Adquisición no autorizada de derechos de administrador con Windows 2 6 -144- En conclusión, el activo 4.3, servidor Windows S1 tiene un nivel de riesgo promedio de 6,11 sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue de 59 y los niveles de protección son: para la confidencialidad es alto, para la integridad medio y la disponibilidad es alta. Utilizando la matriz de riesgo en la Tabla 43 se presenta el cálculo del riesgo para los activos: Servidor Windows S4. Tabla 43. Niveles particulares de riesgo para el Servidor Windows S4 (Activo 4.3). Fuente: Autor. Amenaza 2,2 Vulnerabilidad Nivel 2 2,2 4,2 5,1 5,2 5,2 5,3 3 1 4 3 4 3 6 6 1.1.4.3 3 1.2.2.1 3 1.2.2.3 2 1.2.2.4 1 1.3.5.4 1 1.6.1.4 1 6 1.6.1.5 1 6 1.6.2.1 3 3.1.1 3 6 3.1.2 2 6 3.1.3 2 6 3.1.4 3 6 3.1.5 2 6 3.2.2 2 3.2.3 2 3.3.1 3 6 3.3.2 3 6 3.4.1 3 6 3.4.2 2 6 3.5.1 3 3.5.2 2 3.5.3 3 3.5.4 3 5 6 -1453.6.1 3 3.6.2 2 3.6.3 1 3.7.1 3 6 3.7.2 1 6 3.8.1 2 3.8.2 1 3.9.1 3 3.9.2 2 3.10.1 2 6 3.10.2 3 6 3.10.3 2 3.11.1 3 3.12.1 3 3.12.2 2 3.12.3 2 6 3.12.4 2 6 3.12.5 2 6 3.14.1 2 6 3.14.2 1 6 3.15.1 3 3.15.2 2 6 3.16.1 2 6 3.16.2 1 6 3.17.1 2 3.17.2 1 3.17.3 2 3.18.1 2 6 3.18.2 2 6 3.18.3 1 6 6 6 6 6 En la Tabla 44 se presenta el resumen de las amenazas para el activo Servidor Windows S4. -146- Tabla 44. Resumen efectos de las amenazas Servidor Windows S4 (Activo 4.3). Fuente: Autor. Nro. Nivel Cantidad Máximo Vulnerab. riesgo Potenc. Descripción 2,18 2 Reducción de la velocidad de transmisión o ejecución debido a funciones P2P 1 5 2,24 3 Protección inadecuada del sistema Windows 27 6 4,16 1 Reconocimiento automático del DVD-ROM 1 6 5,13 4 Virus de computador 1 6 5,18 3 Macrovirus 1 6 5,21 4 Mal uso de los derechos de administrador en sistemas Windows 2 6 5,29 3 Adquisición no autorizada de derechos de administrador con Windows 1 6 En conclusión, el activo 4.3, servidor Windows S4 tiene un nivel de riesgo promedio de 6,83 sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue de 34 y los niveles de protección son: para la confidencialidad es alto, para la integridad medio y la disponibilidad es alta. Utilizando la matriz de riesgo en la Tabla 45 se presenta el cálculo del riesgo para los activos: Firewall. Tabla 45. Niveles particulares de riesgo para el Firewall (Activo 5.3). Fuente: Autor. Amen. 2,17 Vulner. 1.4.3.1 Nivel 2 4 2.1.1 2 2.2.1 2 2.2.2 2 7 2.2.3 2 7 2.3.1 3 2.3.3 2 2.4.1 2 2.4.2 3 3,1 3,11 4,1 4,13 5,3 4 4 7 2 6 4 1 5 7 7 7 6 7 -1472.4.3 2 7 2.5.1 1 6 2.6.1 3 7 2.6.2 3 7 2.6.3 2 7 2.6.4 3 2.7.1 1 2.8.1 3 2.8.2 3 7 2.8.3 3 7 2.8.5 3 7 2.8.6 3 7 2.8.7 2 2.8.8 2 2.8.9 2 7 2.8.10 3 7 2.8.11 3 2.9.1 2 2.9.2 3 2.9.3 3 7 2.9.4 2 7 2.10.1 2 7 2.10.2 2 7 2.10.3 3 7 2.10.4 3 7 2.11.1 2 2.11.2 2 7 2.11.3 2 7 2.11.4 2 7 2.11.5 3 7 2.11.6 2 7 2.11.7 2 7 2.11.8 3 7 2.11.9 3 7 2.11.10 2 2.11.11 2 7 2.11.12 2 7 2.11.13 2 2.11.14 2 7 2.11.15 2 7 2.12.1 3 7 2.12.2 2 7 2.13.1 2 2.14.1 3 7 6 6 7 7 7 5 6 7 7 -148- En la Tabla 46 se presenta el resumen de las amenazas para el activo Servidor Windows S4. Tabla 46. Resumen efectos de las amenazas Firewall (Activo 5.3). Fuente: Autor. Cantidad Máximo Vulnerab. riesgo Potenc. Nro. Nivel Descripción 2,17 4 34 7 4 Pérdida de confidencialidad de datos sensibles de la red a proteger Exportación incorrecta de sistemas de archivos bajo Linux 3,1 3,11 4 7 4 Configuración impropia del sendmail 4 7 4,1 2 Disrupciones en la fuente de energía 4 6 4,13 4 Autenticación faltante o de pobre calidad 3 7 5,3 1 Sabotaje 2 5 En conclusión, el activo 5.3, Firewall tiene un nivel de riesgo promedio de 6,50 sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue de 51 y los niveles de protección son: para la confidencialidad es medio, para la integridad medio y la disponibilidad es alta. 4.7 IDENTIFICAR Y EVALUAR LAS OPCIONES PARA EL TRATAMIENTO DEL RIESGO Una vez efectuados el análisis y la evaluación del riesgo, se debe decidir cuáles acciones se deben tomar con esos activos que están sujetos a riesgos y estas decisiones deberán ejecutarse, identificando y planificando las actividades con claridad y distribuir las responsabilidades a los encargados de los activos, estimar los requerimientos de los recursos, el conjunto de entregables, fechas críticas y la supervisión del progreso. -149- Según la Norma ISO/IEC 27002:2005 la opciones posibles para el tratamiento de riesgos son: (a) Aplicar controles apropiados. (b) Aceptar riesgos consistente y objetivamente. (c) Evitar los riesgos. (d) Transferir los riesgos. De las opciones propuestas por la norma se decidió tomar las 2 primeras, por lo que en este caso de estudio los riesgos serán controlados o asumidos. En el Anexo J se presentan los procedimientos correspondientes al control A.6.3.1 Reporte de incidente de seguridad, control A.9.2.3 Administración de contraseñas de usuarios, control A.9.3.1 Uso de contraseñas y control A.9.5.4 Sistema de Administración de contraseñas. 4.8 SELECCIONAR LOS OBJETIVOS DE CONTROL Y CONTROLES PARA EL TRATAMIENTO DEL RIESGO Los resultados del análisis y la evaluación del riesgo de la Dirección de Tecnologías de la Información y Comunicaciones DIRTIC, requieren ser revisados con regularidad para visualizar cualquier modificación. Las estructuras organizacionales, las tareas que se ejecutan, la tecnología que se utiliza y las personas en las organizaciones hacen una dinámica que afectan los riesgos valorados en un momento determinado. Luego del proceso de identificación de las opciones de tratamiento de riesgo y de haber evaluado estos riesgos, la DIRTIC deberá asignar los recursos y las acciones correspondientes para implementar las decisiones de la gestión del riesgo que deben iniciar y decidir cuáles objetivos de control y controles -150escoger para el tratamiento del riesgo y preparar la declaración de aplicabilidad, como se ilustra en la Tabla 47, el cual es un documento muy importante del Sistema de Gestión de Seguridad de la Información, según (ISO/IEC 27001:2005, 2005), la cláusula 4.2.1 (j) da las exigencias que se deben seguir para estar en conformidad. Tabla 47. Plan de tratamiento del riesgo. Fuente: Autor. Áreas Actividades Control Activo Fecha de Culminación Responsable Elaborar procedimientos para el sistema de administración de contraseñas, uso de contraseñas y administración de contraseñas de usuarios. A.9.2.3 A.9.3.1 A.9.5.4 Seguridad Informática 15/01/2016 Normalización y Seguridad Telemática Elaborar documentos de los procedimientos operativos de la DIRTIC A.10.1.1 Seguridad Informática 15/02/2016 Normalización y Seguridad Telemática Realizar controles de cambios cuando ocurra alguna variación en los recursos o en los sistemas de la DIRTIC A.10.1.2 Recursos Informáticos Cada vez que ocurra un cambio CETEIN Realizar estadísticas del crecimiento de los sistemas de la DIRTIC a fin de hacer proyecciones de los requisitos de la capacidad futura de los servidores A.10.3.1 Control de Centros de TI Mensual Control de Centros de TI Instalar antivirus y actualizarlos constantemente para mitigar el riesgo del código malicioso A.10.4.1 Soporte de Hardware y Software Semanalmente CETEIN Elaborar un programa de capacitación para la detección y prevención de código malicioso. A.10.4.1 Control de Centros de TI 15/02/2016 CETEIN Realizar las copias de seguridad de la información según la política de seguridad acordada. A.10.5.1 Base de Datos y Servidores Semanalmente CETEIN Normalización y Seguridad Telemática Elaborar un procedimiento para la eliminación segura de los medios de información. (Disco duros, Pen drive, CD, DVD, entre otros) A.10.7.2 Base de Datos y Servidores 15/02/2016 CETEIN Normalización y Seguridad Telemática Se debe llevar el registro de las actividades del administrador de la DIRTIC, así como de A.10.10.4 los operadores Jefe CETEIN Regularmente CETEIN Elaborar registro de las fallas detectada en A.10.10.5 los sistemas y en la infraestructura. Recursos Informáticos Regularmente CETEIN DIRTIC -151- Elaborar las políticas de control de acceso a los sistemas de la DIRTIC A.11.1.1 Base de Datos y Servidores 15/02/2016 Normalización y Seguridad Telemática Elaborar un procedimiento de registro y desregistro de usuarios para conceder o revocar el acceso a los sistemas de la DIRTIC. A.11.2.1 Mesa de ayuda 15/02/2016 CETEIN Elaborar procedimientos de selección y uso de contraseñas A.11.3.1 Seguridad Informática 30/01/2016 Normalización y Seguridad Telemática Elaborar un procedimiento para el sistema de gestión de contraseñas A.11.5.3 Seguridad Informática 30/01/2016 Normalización y Seguridad Telemática Elaborar un plan para la realización de auditorías de sistemas que conlleve a minimizar el riesgo de interrupciones en los procesos administrativos. A.15.3.1 Desarrollo y Gestión de Proyectos TIC 30/06/2016 DIRTIC Elaborar un programa detallado de capacitación para el manejo de los sistemas de la DIRTIC. A.8.2.2 Control de Centros de TI 30/03/2016 CETEIN Control de Centros de TI Elaborar un documento de la política de seguridad de la información A.5.1.1 Seguridad Informática 30/11/2015 Normalización y Seguridad Telemática Elaborar las políticas de control de accesos a la información o recursos de información del personal externo e interno A.11.1.1 Seguridad Informática 15/02/2016 Normalización y Seguridad Telemática Elaborar una política sobre seguridad de información incluyendo papeles, responsabilidades y sanciones. A.8.1.1 A.8.2.3 Seguridad Informática 15/02/2016 Normalización y Seguridad Telemática Elaborar políticas para que los usuarios ejerciten buenas prácticas en la selección y uso de claves. A.11.3.1 A.11.5.3 Seguridad Informática 15/02/2016 Normalización y Seguridad Telemática Elaborar un programa detallado de capacitación para crear conciencia sobre la importancia de la seguridad de información y su manejo por el personal de la DIRTIC. A.8.2.2 A.6.1.3 Control de Centros de TI 30/01/2016 CETEIN Control de Centros de TI Elaborar políticas definidas para la asignación de responsabilidades en la protección de activos de información así como de seguridad de información. A.6.1.3 Normalización y Seguridad Telemática 15/02/2016 DIRTIC Se debe organizar y mantener actualizada la cadena de contactos (Interno o Externo) con el mayor detalle posible identificando los requisitos de seguridad antes de dar acceso a la información. A.6.2.2 A.6.2.3 Seguridad Informática 30/01/2016 Normalización y Seguridad Telemática -152- 4.9 OBTENER LA APROBACIÓN, POR PARTE DE LA DIRECCIÓN, DE LOS RIESGOS RESIDUALES PROPUESTOS. Según la (ISO/IEC 27001:2005, 2005), el riesgo residual es: “El riesgo remanente después del tratamiento del riesgo”. En el paso anterior Selección de Objetivos de Control y Controles, se propusieron salvaguardas para los riesgos detectados y clasificados como importantes. La aplicación de estos controles persigue llevar el riesgo a niveles aceptables, permitiendo un margen de error Riesgo Residual, el cual debe ser conocido y aprobado por la Dirección de Tecnologías de la Información y Comunicaciones de la Armada DIRTIC, por lo cual se hace necesario que en el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia a la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, la Dirección apruebe el Riesgo Residual no cubierto, la aprobación se puede conseguir por medio de la firma del documento “Matriz de Gestión de Riesgo, Controles Recomendados y Estimados” y la firma del siguiente documento: -153- Armada del Ecuador Dirección de Tecnologías de la Información y Comunicaciones Guayaquil APROBACIÓN DEL RIESGO RESIDUAL DECLARACIÓN A través del siguiente documento se aprueba el “Riesgo Residual” no cubierto en la implantación de los controles sugeridos como resultado de la Evaluación del Riesgo para el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como caso de referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada. A los ___ días del mes de ________ del 2015. Director de la DIRTIC Firma autorizada -154- 4.10 OBTENER LA AUTORIZACIÓN DE LA DIRECCIÓN PARA IMPLEMENTAR Y OPERAR EL SGSI. Es necesario garantizar la puesta en marcha de Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia a la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, con el compromiso de la Dirección de facilitar los recursos necesarios para la implementación de los controles propuestos. En este caso de estudio, la persona encargada de la Jefatura de Departamento de Normalización y Seguridad Telemática, así como la Jefatura del Centro de Tecnología de la Información no tiene la competencia para autorizar los recursos necesarios para la implementación y operación del SGSI; sin embargo, de considerar pertinente la adopción de los controles propuestos como solución a los problemas detectados en la seguridad de la información que se maneja en la DIRTIC, pudiese llevar a cabo las acciones necesarias para lograr dicha aprobación a través de una instancia superior (Director de Tecnologías de la Información y Comunicaciones). La autorización para implementación del SGSI en la Dirección de Tecnologías de la Información y Comunicaciones de la Armada se puede lograr a través de la firma del documento “Enunciado de Aplicabilidad” por parte del “Director de la DIRTIC” con competencia para ello y la firma del siguiente documento: -155- Armada del Ecuador Dirección de Tecnologías de la Información y Comunicaciones Guayaquil AUTORIZACIÓN DE IMPLEMENTACIÓN Y OPERACIÓN RESOLUCIÓN No. _____________ El _______________________________ de la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, en Sesión No. _________, Ordinaria, celebrada el día ____ de ______ del año ________, en uso de las atribuciones legales y reglamentarias que le confiere la ley AUTORIZÓ la IMPLEMENTACIÓN Y OPERACIÓN DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES, TOMANDO COMO REFERENCIA A LA DIRECCIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN DE LA ARMADA. Director de la DIRTIC Firma autorizada -156- En el Anexo K se presenta un cronograma de cuarenta y cuatro (44) semanas para implementar el Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia a la Dirección de Tecnologías de la Información y Comunicaciones de la Armada. 4.11 DECLARACIÓN DE APLICABILIDAD La declaración de aplicabilidad, como lo exige el ISO/IEC 27001:2005 en la cláusula 4.2.1 (4) (j), es un excelente registro de los últimos controles establecidos. Tiene como finalidad la observancia de todos los controles de seguridad propuestos en la norma ISO/IEC 27001:2005, con la justificación de su inclusión o exclusión. El uso de la declaración de aplicabilidad es muy apropiado para mantener un registro actualizado de los últimos controles instaurados en el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia a la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, en la Tabla 48 se tiene una ilustración de la declaración de aplicabilidad. Tabla 48. Declaración de aplicabilidad del Sistema de Gestión de Seguridad de la Información. Fuente: Autor. Objetivos de control A.5.1. Política de Seguridad de la información Aplicabilidad Controles SI A.5.1.1 X A.5.1.2 X Justificación NO Es necesario establecer las políticas de seguridad para los sistemas de información, ya que manejan la información vital de la DIRTIC. Es necesario revisar periódicamente las políticas de seguridad para asegurar que se mantengan adecuadas. -157- A.6.1 Organización interna A.6.2 Partes externas A.7.1 Responsabilidad por los activos A.7.2 Clasificación de la información A.8.1 Antes del empleo A.6.1.1 X A.6.1.2 X A.6.1.3 X A.6.1.4 X A.6.1.5 X A.6.1.6 X A.6.1.7 X A.6.1.8 X A.6.2.1 X A.6.2.2 X A.6.2.3 X A.7.1.1 X A.7.1.2 X A.7.1.3 X A.7.2.1 X A.7.2.2 X A.8.1.1 X A.8.1.2 X A.8.1.3 X A.8.2.1 X A.8.2.2 X A.8.2.3 X A.8.3.1 X A.8.3.2 X A.8.3.3 X A.9.1.1 X A.9.1.2 X A.9.1.3 X A.9.1.4 X A.9.1.5 X A.9.1.6 X A.9.2.1 X A.9.2.2 X A.9.2.3 X A.8.2 Durante el empleo A.8.3 Terminación o cambio de empleo A.9.1 Áreas seguras A.9.2 Seguridad de los equipos Es necesario tener controles y políticas para el manejo de la seguridad de la información dentro de la DIRTIC y CETEIN. Se necesita controles para mitigar riesgos con instituciones externas. Es necesario establecer requerimientos de seguridad porque hay documentos con información clasificada de la DIRTIC que son trasladados por terceros. Es necesario tener controles y políticas para mantener la protección apropiada de los activos de la DIRTIC. Es necesario tener políticas y controles para asegurar que la información reciba un nivel de protección apropiado. Es necesario que los todos los usuarios (Militares, Servidores Públicos y usuarios externos), que laboran para la DIRTIC, comprendan sus responsabilidades, y que sean apropiados para los roles considerados, para mitigar los riesgos de robo, fraude o mal uso de los recursos. Todos los usuarios (Militares, Servidores Públicos y usuarios externos), que laboran en la DIRTIC deben estar conscientes de las amenazas que tienen los sistemas de información, sus responsabilidades y obligaciones para reducir el riesgo de error humano. Debe asegurarse que todos los usuarios (Militares, Servidores Públicos y usuarios externos), que laboran en la DIRTIC o que son trasladados a otras oficinas lo hagan de una manera ordenada. Es necesario prevenir el acceso físico no autorizado, daño e interferencia a las instalaciones e información de la DIRTIC y CETEIN Se debe prevenir las pérdidas, daño o robo de los activos que puedan causar la interrupción de las actividades de la DIRTIC -158A.9.2.4 X A.9.2.5 X A.9.2.6 X A.9.2.7 X A.10.1.1 X A.10.1.2 X A.10.1.3 X A.10.1.4 X A.10.2.1 X A.10.2.2 X A.10.2.3 X A.10.3 Planificación y aceptación del sistema A.10.3.1 X A.10.3.2 X A.10.4 Protección contra código malicioso y movible A.10.4.1 X A.10.1 Procedimiento y responsabilidades de operación A.10.2 Gestión de entrega de servicio de tercera parte A.10.5 Copia de seguridad A.10.6 Gestión de seguridad de la red A.10.7 Manejo de medios de información A.10.8 Intercambio de información A.10.9 Servicio de comercio electrónico A.10.10 Seguimiento A.10.4.2 Se debe asegurar la correcta operación de los recursos para el tratamiento de información. Cuando se realice algún servicio externo se debe implementar controles para mantener el nivel apropiado de seguridad de la información. Se debe minimizar el riesgo de fallas de los sistemas. X A.10.5.1 X A.10.6.1 X A.10.6.2 X A.10.7.1 X A.10.7.2 X A.10.7.3 X A.10.7.4 X A.10.8.1 X A.10.8.2 X A.10.8.3 X A.10.8.4 X A.10.8.5 X Se debe asegurar realizar respaldo del sistema y de las bases de datos. Igualmente se deben probar que las copias de seguridad funcionen correctamente a fin de garantizar la integridad y la disponibilidad de la información. Se debe proteger la información en la red de datos, así como la infraestructura de soporte. Se debe prevenir la divulgación, modificación, eliminación o destrucción no autorizada de los activos e interrupción de las actividades administrativas de la DIRTIC. Se debe asegurar el intercambio de información dentro de la DIRTIC y CETEIN con cualquier entidad externa A.10.9.1 X A.10.9.2 X A.10.9.3 X A.10.10.1 X A.10.10.2 X A.10.10.3 X A.10.10.4 X A.10.10.5 X A.10.10.6 X Se debe proteger la integridad del software y de la información. No está autorizado el uso de código movible. No se realiza comercio electrónico en la DIRTIC y CETEIN Se debe registrar las actividades de procesamiento de información no autorizada. -159A.11.1 Requisitos del negocio para el control de accesos A.11.2 Gestión de acceso de usuarios A.11.3 Responsabilidad de usuarios A.11.4 Control de acceso a la red A.11.5 Control de acceso al sistema operativo A.11.6 Control de acceso a las aplicaciones e información A.11.7 Computación móvil y trabajo a distancia A.12.1 Requisitos de seguridad de los sistemas de información A.12.2 Procesamiento correcto en las aplicaciones A.12.3 Controles criptográficos A.12.4 Seguridad de los archivos del sistema A.12.5 Seguridad en los procesos de desarrollo y soporte A.11.1.1 X A.11.2.1 X A.11.2.2 X A.11.2.3 X A.11.2.4 X A.11.3.1 X A.11.3.2 X A.11.3.3 X A.11.4.1 X A.11.4.2 X A.11.4.3 X A.11.4.4 X A.11.4.5 X Es necesario establecer las políticas de control de acceso. Es necesario prevenir el acceso autorizado a los sistemas de información Es necesario crear conciencia en los usuarios de la DIRTIC y CETEIN para que sigan buenas prácticas de seguridad a fin de evitar el acceso de usuarios no autorizados y mitigar los riesgos de robo de información o de recursos de procesamiento de información. Es necesario elaborar políticas de acceso para la utilización de los servicios de red. A.11.4.6 X A.11.4.7 X A.11.5.1 X A.11.5.2 X A.11.5.3 X A.11.5.4 X A.11.5.5 X A.11.5.6 X A.11.6.1 X A.11.6.2 X Es necesario que todos los usuarios de la DIRTIC y CETEIN dispongan de un identificador único. Deben existir sistemas para la gestión de contraseñas. Se debe prevenir el acceso no autorizado a la información contenida en los sistemas de aplicación. A.11.7.1 X A.11.7.2 X A.12.1.1 X A.12.2.1 X A.12.2.2 X A.12.2.3 X A.12.2.4 X A.12.3.2 X A.12.4.2 X A.12.4.3 X A.12.5.1 X A.12.5.2 de Se debe prevenir los errores, pérdida, modificación no autorizada o mal uso de la información en la DIRTIC y CETEIN X X No se realiza teletrabajo ni recursos de computación móvil. Se deben especificar los controles seguridad para la DIRTIC y CETEIN. A.12.3.1 A.12.4.1 no No se utiliza encriptación de la información, ni gestión de claves. Se debe asegurar la seguridad de los archivos del sistema. X Se debe mantener la seguridad del software y la información de Los sistemas que dispone la DIRTIC y CETEIN -160- A.12.6 Gestión de vulnerabilidad técnica A.13.1 Reportar los eventos y debilidades de seguridad de la información A.13.2 Gestión de los incidentes y mejoras de seguridad de la información A.14.1 Gestión de continuidad del negocio A.15.1 Cumplimiento de requisitos legales A.12.5.3 X A.12.5.4 X A.12.5.5 X A.12.6.1 X A.13.1.1 X A.13.1.2 X A.13.2.1 X A.13.2.2 X A.13.2.3 X A.14.1.1 X A.14.1.2 X A.14.1.3 X A.14.1.4 X A.14.1.5 X A.15.1.1 X A.15.1.2 X A.15.1.3 X A.15.1.4 X A.15.1.5 X A.15.1.6 A.15.2 Cumplimiento con las políticas y normas de seguridad y el cumplimiento técnico A.15.3 Consideraciones de auditoria de los sistemas de información A.15.2.1 Se deben evaluar las vulnerabilidades de los sistemas que dispone la DIRTIC para mitigar el riesgo asociado. Se deben diseñar formatos para reportar los incidentes de seguridad asociados a los sistemas que dispone la DIRTIC para tomar acciones correctivas oportunamente. Se deben gestionar los seguridad de la información. incidentes de Se debe diseñar un plan de continuidad del negocio que garantice la reanudación del servicio oportunamente ante la ocurrencia de un evento de seguridad. Se debe evitar el incumplimiento de cualquier ley, estatuto, obligación reglamentaria y de cualquier requisito de seguridad. X X Se debe realizar y evaluar un plan de seguridad de la información de la DIRTIC A.15.2.2 X A.15.3.1 X A.15.3.2 X Elaborar un plan para la realización de auditorías de sistemas que conlleve a minimizar el riesgo de interrupciones de los procesos administrativos de la DIRTIC. -161- 4.12 FACTIBILIDAD (Seen, 1987), define “la factibilidad es la posibilidad de que el sistema sea beneficioso para la organización”, un estudio de factibilidad sirve para recopilar datos relevantes sobre el desarrollo de un proyecto y en base a ello tomar la mejor decisión, si procede su estudio, desarrollo o implementación. En el estudio de factibilidad para determinar la viabilidad del Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones, se analizarán los tres tipos de factibilidad: operativa, técnica y económica. 4.12.1 FACTIBILIDAD OPERATIVA La factibilidad operativa es un análisis del recurso humano que participan en el proyecto, su capacitación, así como la estructura orgánica funcional de la institución, identificando todas las actividades que son necesarias para lograr el objetivo y se evalúa y determina todo lo necesario para llevarla a cabo el Diseño de un SGSI para Instituciones Militares, tomando como referencia la DIRTIC. Para establecer el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones, se procedió a tomar la publicación (D.G.P. COGMAR-INF-002-2010-O, 2010), referente a Seguridad de la Información. -162- Se realizó reuniones con el Director de Tecnologías de la Información Comunicaciones y Subdirector de la DIRTIC y el Jefe del Departamento Administrativo Financiero para verificar si existe el presupuesto necesario para Capacitación al personal de la DIRTIC en “Sistema de Gestión de Seguridad de Información ISO 27001:2005”. Se realizó reuniones con el Director de Tecnologías de la Información Comunicaciones y Subdirector de la DIRTIC para lograr un compromiso y el reconocimiento de las responsabilidades de seguridad de la información. Se realizó reuniones con el Jefe del Centro de Tecnologías de la Información, de la Dirección de Tecnologías de las Información y Comunicaciones, para lograr el compromiso necesario para el establecimiento del Diseño de un SGSI para las Instituciones Militares. Se realizaron reuniones con el personal del Departamento de Desarrollo y Gestión de Proyectos TIC de la Dirección de Tecnologías de las Información y Comunicaciones, Departamento de Normalización y Seguridad Telemática, Departamento de Comunicaciones, Departamento de Control de Centros de TI y el personal del Centro de Tecnología de la Información para ejecutar la fase de diagnóstico. Se realizó una capacitación de “Sistema de Gestión de Seguridad de Información ISO 27001:2005” en la Empresa CAPLAM con un costo de USD. 400,00 por estudiante y “Análisis y Gestión de Riesgos” en la empresa CAPLAM con un costo de USD. 500,00 por estudiante donde participaron los Jefes de los del Departamento de Desarrollo y Gestión de Proyectos TIC de la Dirección de Tecnologías de las Información y Comunicaciones, Departamento -163de Normalización y Seguridad Telemática, Departamento de Comunicaciones, Departamento de Control de Centros de TI y el Centro de Tecnología de la Información y además el personal involucrado en el Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones Se impartió capacitación al personal militar y civil de la Dirección de Tecnologías de las Información y Comunicaciones y del Centro de Tecnologías de la Información, sobre las normas básicas de Seguridad de Información y la Directiva de Seguridad de la Información publicada por la Comandancia General de Marina para todos los repartos de la armada y a la DIRTIC encargada de su difusión. El personal militar y civil de la Dirección de Tecnologías de la Información y Comunicaciones y el Centro de Tecnología de la Información está consciente de los incidentes de seguridad, por lo cual han solicitado mejorar la seguridad física y el control de acceso a las instalaciones, de acuerdo a lo que se describe en la Tabla 15 del capítulo 3.2.8. La Dirección de Tecnologías de la Información y Comunicaciones y el Centro de Tecnología de la Información poseen una estructura orgánica funcional de acuerdo a como se ilustra en el Anexo A y Anexo B, lo que permite la toma de decisiones de forma oportuna, brindando disponibilidad en la vinculación del talento humano del que dispone esta institución. Debido a la experiencia adquirida y al empoderamiento de los procesos organizacionales que existen en la Institución, permiten la factibilidad operativa y los usuarios están en la mejor disposición y compromiso para el desarrollo del Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada. -164- 4.12.2 FACTIBILIDAD TÉCNICA La factibilidad técnica es un análisis que se realizará para determinar la infraestructura tecnológica y la capacidad técnica que implica el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada. Para determinar la factibilidad Técnica se realizó una evaluación de las capacidades técnicas requeridas para las alternativas del diseño. Además se verificó si la DIRTIC posee el personal con experiencia técnica requerida para establecer el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones. La Dirección de Tecnologías de la Información y Comunicaciones de la Armada poseen personal con experiencia suficiente en el área de seguridad de la información. El Departamento de Normalización y Seguridad Telemática será la encargada de supervisar el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada para lo cual en la Tabla 49, se describe los perfiles y habilidades del personal de este Departamento. Tabla 49. Perfiles del personal del Dpto. Normalización y Seguridad Telemática de la DIRTIC. Fuente: DIRTIC Nombre del puesto Jefe de Departamento Título de Tercer Nivel Ingeniero en Experiencia en áreas Sistema de Gestión de Seguridad de Computación y Ciencias Información ISO 27001:2005 de la Informática Análisis y Gestión de Riesgos Años de experiencia 22 años -165Administrador de Seguridad Informática y Ingeniero en Sistemas e Sistema de Gestión de Seguridad de Informática Información ISO 27001:2005 Comunicaciones 12 años Análisis y Gestión de Riesgos Analista de Seguridad Ingeniero en Sistemas e Sistema de Gestión de Seguridad de Informática Informática Información ISO 27001:2005 Ingeniero en Informática Sistema de Gestión de Seguridad de y 10 años Comunicaciones Analista de Tecnologías de la Información Analista de Tecnologías Información ISO 27001:2005 Licenciado en Sistemas de la Información Analista de Tecnologías 10 años Sistema de Gestión de Seguridad de 10 años Información ISO 27001:2005 Licenciado en Sistemas de la Información 2 Sistema de Gestión de Seguridad de 8 años Información ISO 27001:2005 En la Dirección de Tecnologías de la Información Comunicaciones de la Armada, el Departamento de Normalización y Seguridad Telemática se ha preparado técnicamente, teniendo una visión hacia donde encamina las necesidades tecnológicas y de la información de la Institución, de acuerdo al organigrama que se describe en el Anexo A. En Dirección de Tecnologías de la Información y Comunicaciones de la Armada, se evaluarán la infraestructura de red, hardware y software. Dentro de la infraestructura de red se describe la interconexión que existe en la DIRTIC; del hardware se encuentran los servidores y las computadoras de los cuales se describe las especificaciones, requerimientos y características técnicas; y, dentro del software se describe las aplicaciones, programas y plataforma que se requieren para el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada. INFRAESTRUCTURA DE RED Dirección de Tecnologías de la Información Comunicaciones de la Armada, dispone de una Infraestructura Tecnológica y las capacidades técnicas -166necesarias para el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, de acuerdo a lo que se describe en la Figura 6. HARDWARE La Dirección de Tecnologías de la Información y Comunicaciones dispone del siguiente hardware: · Servidor de Aplicaciones y Base de Datos, Servidor Web, Servidor Proxy, Servidor de Correo Electrónico · Estaciones de Trabajo · Switch · Antivirus Corporativo Kaspersky · Sistema de Seguridad Firewall · Enlace dedicado Servidores Servidor Aplicaciones y Base de Datos, es el lugar donde se alojará la Información del Diseño del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada. · Servidores blade HP · Servidores rackeables IBM Estaciones de Trabajo -167Las estaciones de trabajo con la que cuenta la Dirección de Tecnologías de la Información y Comunicaciones para el Diseño del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, son de las siguientes características: Procesador INTEL CORE I3- cuarta Generación 3.6GHZ 3MB CACHE Disco Duro 1TB 7200RPM SATA 6.0 CACHE 64MB Lector de Disco DVD-RWRITER S 24X SATA Memoria RAM DIMM 8GB PC-1600 DDR3 Lector de tarjetas 7 EN 1 Periféricos Teclado, Mouse, Parlantes Monitor Incluido Screen Size 18.5" La Dirección de Tecnologías de la Información y Comunicaciones de la Armada, dispone de 51 estaciones de trabajo y 04 impresora HP Láser, de las cuales 06 estaciones de trabajo son asignadas al Departamento de Normalización y Seguridad Telemática, el equipo necesario para el Diseño del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, se describe en la Tabla 50. Tabla 50. Equipamiento necesario de la DIRTIC. Fuente: DIRTIC Cantidad de Computadores Impresoras Láser Dirección 2 1 Subdirección 6 Departamento Administrativo Financiero 4 Áreas Involucradas DIRTIC -168Departamento de Desarrollo y Gestión de Proyectos Informáticos 5 Departamento de Comunicaciones 5 Departamento de Normalización y Seguridad Telemática 6 Departamento de Control de Centros 2 1 1 CETEIG Centro de Tecnología de la Información y Comunicaciones Total 21 1 51 04 Switch La Dirección de Tecnologías de la Información y Comunicaciones de la Armada, dispone de un Switch, para el Diseño del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada. · SWITCH CISCO Firewall La Dirección de Tecnologías de la Información y Comunicaciones de la Armada, dispone de un Firewall, para el Diseño del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada. · CISCO ASA. SOFTWARE -169- Las licencias para los servidores y estaciones de trabajo con que cuenta la Dirección de Tecnologías de la Información y Comunicaciones para el Diseño del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada son las siguientes: Windows Server 2012 R2 Datacenter. Proporciona un centro de datos de clase empresarial y soluciones de nube híbrida que son fáciles de implementar, con derechos de virtualización ilimitados con beneficios de escala en el nivel de la nube con costos menores y predecibles, enfocada en las aplicaciones y centradas en los usuarios. Red Hat Enterprise Linux Server. Distribución comercial de Linux desarrollada por Red Hat. Es una plataforma versátil que se puede implementar en los sistemas físicos, como invitado en los principales hipervisores, o en la nube. Microsoft SQL Server 2012 Express. Es un sistema de administración de datos gratuito, eficaz y confiable que ofrece un almacén de datos completo y confiable para sitios web ligeros y aplicaciones de escritorio. Microsoft Windows 8 Pro para estaciones de trabajo. La edición de Windows 8 Pro para las arquitecturas x86 y x64, está enfocada hacia los entusiastas de la tecnología, de negocios y profesionales, las características adicionales incluyen operar como un servidor de escritorio remoto, la habilidad de participar en un dominio de Windows Server, encriptación, virtualización, gestión de PC, políticas de grupo, además se puede utilizar la funcionalidad de Windows Media Center. -170Microsoft Office 2013. Paquete ofimático de Microsoft, posee numerosas novedades a Word, PowerPoint, Excel, Outlook, Publisher, Access y OneNote, permite la integración con la Nube, las aplicaciones del paquete se integran a la perfección con SkyDrive, Skype, Bing y otros servicios web. Todas las licencias anteriores permiten el funcionamiento del Servidor de Aplicaciones, Base de datos y Servidor Web y estaciones de trabajo, este sistema operativo es capaz de brindar políticas de seguridad para el acceso a los usuarios internos para la aplicación local como de internet, acceso a la red y permite compartir recursos y mantiene comunicación entre las estaciones de trabajo. La DIRTIC y la Armada del Ecuador, poseen una infraestructura Informática de una Red Corporativa de Datos denominada Sistema de Comunicaciones Navales, interconectada a través de todos los repartos navales, la misma que permite el acceso a los servicios de Internet Corporativo, Sistemas Corporativos, transporte de voz, vídeo, datos. Una vez realizado la evaluación de las actividades anteriores se puede afirmar que existe factibilidad técnica, el personal que labora en la Dirección de Tecnologías de la Información y Comunicaciones y el Centro de Tecnología de la Información, posee experiencia técnica requerida para establecer el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones, además existe personal con experiencia en seguridad de la información, y la infraestructura informática se encuentra acorde a los requerimientos del Diseño. 4.12.3 FACTIBILIDAD ECONÓMICA -171La factibilidad económica es un análisis que se realiza para determinar el costo-beneficio del Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada. RECURSO HUMANO En Este estudio se incluye el costo del recurso humano para dar una aproximación más real del valor del proyecto del Diseño, la mano de obra es más importante para la realización del Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, determinando el salario mensual del personal que labora el Departamento de Normalización y Seguridad Telemática de la DIRTIC, el cual se describe en la Tabla 51. Tabla 51. Salario del Dpto. Normalización y Seguridad Telemática de la DIRTIC. Fuente: DIRTIC Nombre del puesto Meses Salario ($) Jefe de Departamento 1 2600 Administrador de Seguridad Informática y Comunicaciones 1 1500 Analista de Seguridad Informática y Comunicaciones 1 1500 Analista de Tecnologías de la Información 1 1500 Analista de Tecnologías de la Información 1 1300 Analista de Tecnologías de la Información 2 1 1300 TOTAL $ 9.700,00 RECURSOS CONSUMIBLES Los recursos consumibles que serán utilizados para la realización del Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones -172Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, se describe en la Tabla 52. Tabla 52. Recursos consumibles del Dpto. Normalización y Seguridad Telemática de la DIRTIC. Fuente: DIRTIC Nombre del consumible cantidad Precio Unitario ($) Total ($) Caja de resmas de papel bond Tamaño A4 10 $ 4,00 $ 40,00 Caja de CD 10 $ 7,00 $ 70,00 Caja de DVD 11 $ 9,00 $ 99,00 Cartucho de tinta de color para impresora 04 $ 250,00 $ 1.000,00 5000 $ 0,03 $ 150,00 Fotocopias Gastos varios $ 500,00 TOTAL $ 1.959,00 RECURSOS TECNOLÓGICOS Los recursos tecnológicos que serán utilizados por el Departamento de Normalización y Seguridad Telemática para la realización del Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, se describe en la Tabla 53. Tabla 53. Recursos Tecnológicos del Dpto. Normalización y Seguridad Telemática de la DIRTIC. Fuente: DIRTIC Nombre del Recurso cantidad Precio Unitario ($) Total ($) Servidores (Web y Aplicaciones) 2 $ 9.000,00 $ 18.000,00 Computadoras 6 $ 600,00 $ 3.600,00 Impresora 1 $1700,00 $ 1700,00 Swich 1 $ 4.500,00 $ 4.500,00 Firewall 1 $ 9.000,00 $ 9.000,00 Windows Server 2012 R2 Datacenter 1 $ 6.100,00 $ 6.100,00 -173Red Hat Enterprise Linux Server 1 $ 3.815,00 $ 3.815,00 Microsoft SQL Server 2012 Express 1 $ 1.793,00 $ 1.793,00 Microsoft Windows 8 Pro para PC 6 $ 150,00 $ 900,00 Microsoft Office 2013 6 $ 160,00 TOTAL $ 960,00 $ 50.368,00 RECURSOS DE OPERACIÓN Energía Eléctrica. Para el cálculo de energía eléctrica se realiza tomando en cuenta el consumo de energía utilizada por el hardware que se utiliza para el desarrollo del proyecto, en los cuales se especifica la cantidad de energía consumida por cada uno de los equipos que depende de las características propias de cada uno de ellos, así como se describe en la Tabla 54. (Empresa Eléctrica Quito, 2014), El Costo del Kilowatts por hora del servicio de energía eléctrica utilizados por los equipos informáticos del Departamento de Normalización y Seguridad Telemática de la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, se toma en consideración de acuerdo al pliego del tarifario vigente, del período de consumo de diciembre del 2014 emitido por la Empresa Eléctrica de Quito, en la cual especifica que el rango de consumo de 701 – 1000 Kw/h tiene un valor de USD. 0,1450; de 201 – 500 Kw/h tiene un valor de USD. 0,0994; de 51 – 100 Kw/h tiene un valor de USD. 0,0814; y, de 0 – 50 Kw/h tiene un valor de USD. 0,0784. Tal como se muestra en la Tabla 54, los servidores son generalmente las mayores plataformas informáticas en términos de consumo energético dentro de la DIRTIC, debido a su mayor rendimiento en el procesamiento de datos en comparación con una computadora u otro equipo informático, debido a que utilizan de manera eficaz su arquitectura de procesadores con diversos núcleos y grandes capacidades de tratamiento de la memoria al operar con un -174rendimiento máximo las 24 horas al día, 7 días a la semana, los 365 días al año, de igual manera el ruteador y el switch. Las Computadoras e impresoras operan con un rendimiento de 8 horas al día, 5 días a la semana y 240 días al año. (Kingston, 2015). Tabla 54. Consumo de energía de los quipos informáticos del Dpto. Normalización y Seguridad Telemática de la DIRTIC. Fuente: DIRTIC Kw/h Costo ( al mes) Kw/h 1,340 964,8 0,1450 $ 139,90 430 2,58 412,8 0,0994 $ 41,03 1 120 0,12 19,2 0,0784 $ 1,51 Switch 1 110 0,11 79,2 0,0814 $ 6,45 Firewall 1 110 0,11 79,2 0,0814 $ 6,45 Equipos Cantidad Watts Kw/h Servidores 2 670 Computadoras 6 Impresora TOTAL Total ($) $ 195,34 El costo total del proyecto para el Diseño de un Sistema de Gestión de Seguridad de la Información para Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, se detalla en la Tabla 55. Tabla 55. Costo Total del Diseño. Fuente: DIRTIC Nombre del Recurso meses Precio Unitario ($) Total ($) Recurso Humano 6 $ 9.700,00 $ 58.200,00 Recursos Consumibles 6 Recurso Tecnológico Recursos de Operación 6 $ 1.959,00 $ 11.754,00 $ 50.368,00 $ 50.368,00 $ 195,34 $ 1.172,04 TOTAL $ 121.594,04 -175- EVALACUACIÓN ECONÓMICA (Moreno, 2011), Describe que la evaluación económica de proyectos tecnológicos es un método de análisis, en la que permite adoptarlas disposiciones para el cumplimiento de los objetivos de seguridad. La evaluación económica se apoya en técnicas de evaluación como: · Métodos de Valor Actual Neto VAN. · Método de la Tasa Interna de Retorno TIR. · Método de Beneficio / Costo En la aplicación de las metodología para la evaluación de los proyectos de inversión, casi siempre hay más posibilidades de aceptar un proyecto cuando la evaluación se efectúa a una tasa de interés baja, que a una tasa de interés mayor (Gómez, 2015). La evaluación económica de los proyectos constituye la técnica matemática financiera, a través de la cual se determina los beneficios o pérdidas en los que se puede incurrir al realizar una inversión, con el objetivo de obtener resultados que apoyen la toma de decisiones del proyecto. En la planificación de todo proyecto es necesario realizar el análisis económico para conocer la rentabilidad y factibilidad del mismo. Con este análisis se podrá conocer los costos de inversión y mediante la relación costo beneficio determinar qué tan rentable es el proyecto. -176VALOR ACTUAL NETO (VAN) (Moreno, 2011), define al VAN a la diferencia entre el valor actual de los ingresos esperados de una inversión y el valor actual de los egresos que la misma ocasione. Es la rentabilidad mínima pretendida por el inversor, por debajo de la cual estará dispuesto a efectuar su inversión. Al ser un método que tiene en cuenta el valor tiempo de dinero, los ingresos futuros esperados, como también los egresos, deben ser actualizados a la fecha del inicio del proyecto. La tasa de interés será fijada por la persona que evalúa el proyecto de inversión conjuntamente con los inversores o dueños, para lo cual podemos aplicar la siguiente fórmula: Dónde: VAN = Valor Actual Neto de la Inversión. A= Valor de la Inversión Inicial. Qi = Valor neto de los distintos flujos de caja. Se trata del valor neto así cuando en un mismo periodo se den flujos positivos y negativos será la diferencia entre ambos flujos. ki = Tasa de retorno del periodo. Tomando los valores de Flujo de Caja del Proyecto que y reemplazando en la fórmula tenemos como resultado un VAN de 24.469,77. -177- El criterio general para saber si es conveniente realizar el proyecto es el siguiente: VAN ≥ 0 Los proyectos de inversión son aceptados VAN < 0 Los proyectos de inversión son rechazados TASA INTERNA DE RETORNO (TIR) Es la tasa que iguala a la suma de los ingresos actualizados. Con la suma de los egresos actualizados (igualando al egreso inicial). Es la tasa de interés que hace que el VAN del proyecto sea igual a cero (Moreno, 2011). El TIR es el tipo de descuento que hace igual a cero el VAN, como se describe en la siguiente fórmula: -178- Dónde: Ft = Es el flujo de caja en el período t. n= Es el número de períodos. I= Es el valor de la inversión inicial. De acuerdo al cálculo realizado en el Flujo de Caja del Proyecto, tenemos un TIR de 23,97%. El criterio general para saber si es conveniente realizar el proyecto es el siguiente: TIR ≥ 0 Se aceptará el proyecto. La razón es que el proyecto da una rentabilidad mayor que la rentabilidad mínima requerida (el coste de oportunidad). TIR < 0 Se rechazará el proyecto. La razón es que el proyecto da una rentabilidad menor que la rentabilidad mínima. TASA DE DESCUENTO Para el cálculo de la Tasa de Descuento para este Proyecto, es necesario calcular la Tasa Mínima Aceptable de Rendimiento (tmar). Para tomar la decisión de ejecutar el proyecto, se exige una tasa mínima de ganancia sobre la inversión que realiza, conocida como Tasa Mínima Aceptable de rendimiento, esta tasa se espera que sea por lo menos igual al costo promedio ponderado de la institución de crédito, según el Banco Central del Ecuador 12 para el mes de enero del 2015, la inflación se ubica en 3,53%, tasa nominal pasiva 5,22%, riesgo país 5,63%, como se describe en la Tabla 56. TMAR = Inflación + tasa pasiva + riesgo país 12 http://www.bce.fin.ec -179TMAR = 3,53 + 5,22 + 5,63 TMAR = 14,38% Tabla 56. Tasa de Descuento. Fuente: DIRTIC CONCEPTO FINANCIAMIENTO DEL ESTADO TOTAL DEL FINANCIAMIENTO VALOR EN $ % DE PARTICIPACIÓN 1 TASA NOMINAL DE INTERÉS 2 COSTO PONDERADO DE CADA FUENTE 3=1x2 121,594 100.00% 14.38% 14.38% 121,594 100.00% 14.38% 14.38% COSTO Y DEPRECIACIÓN DE EQUIPOS INFORMÁTICOS Para el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada tiene un valor de USD. 50.468,00. y la depreciación anual de los equipos informáticos se describe en la Tabla 57. Tabla 57. Depreciación anual de Equipos Informáticos. Fuente: DIRTIC Rubro Servidores Monto Dep. Anual $18,000.00 4,860 Computadoras $3600.00 972 Impresoras $1,700.00 459 Swich $4,500.00 1,215 Firewall $9,000.00 2,430 Sistemas $7,468.00 2,016 TOTAL DEPRECIACIÓN ANUAL 11,952 -180- COSTOS DE SUMINISTROS Para el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada tiene los costos de suministros de valor de USD. 1.959,00. INGRESOS ANUALES (Neira, 2015), define que el Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer las políticas, procedimientos y controles, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización, por lo cual para este proyecto determinaremos y estableceremos los ingresos anuales en el flujo de caja del proyecto como los beneficios que se obtiene al diseñar el SGSI para la DIRTIC. Para establecer los ingresos anuales y calcular el flujo de caja se realiza partiendo de la base de que la seguridad al 100% no existe, la adopción de un Sistema de Gestión de la Seguridad de la Información (SGSI) es una alternativa adecuada para establecer una metodología y una serie de medidas que permita ordenar, sintetizar y simplificar la seguridad de la información. (Neira, 2015), establece que además de la confidencialidad, integridad y disponibilidad de la información se debe considerar la privacidad de la información como un elemento clave en la empresa y en la gestión y -181actividades que realiza, y se debe cambiar la relación seguridad-gasto típica a una más interesante privacidad-beneficios, lo que permite a las empresas potenciar sus negocios, explotar al máximo su imagen y certificación ISO 27001, adaptarán y mejoraran continuamente su nivel de protección, sin reducir el nivel de satisfacción de los clientes o empleados. Para cumplir con lo antes mencionado (Neira, 2015), describe en cinco grupos principales para establecer los beneficios económicos que una empresa tiene al implementar in SGSI, de los cuales tomaremos como referencia para el cálculo de los ingresos económicos anuales de nuestro proyecto como se describe en la Tabla 58. Tabla 58. Ingresos anuales durante los 3 años. Fuente: DIRTIC INGRESOS ANUALES PRIMER CONCEPTO AÑO Reducción de riesgos en la DIRTIC 7,000.00 Ahorro económico 7,000.00 SEGUNDO AÑO 14,000.00 14,000.00 TERCER AÑO 22,000.00 22,000.00 La seguridad se transforma en actividad de gestión 7,000.00 14,000.00 22,000.00 Cumplimiento legal Competitividad en el mercado TOTAL 7,000.00 7,000.00 35,000.00 14,000.00 14,000.00 70,000.00 22,000.00 22,000.00 110,000.00 CÁLCULO DE RENTABILIDAD Para el cálculo de rentabilidad del Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, se utilizó los valores descritos en los cuadros anteriores. -182La utilidad neta de nuestro proyecto se calculó tomando la diferencia entre el ingreso realizado en un periodo y los gastos que se asocian directamente en este ingreso, proyectado para 3 años como se describe en la Tabla 25. Considerando en el Artículo 31, de la Ley de Régimen Tributario, se establece que Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada tiene una vida útil proyectada de 3 años se realiza el Flujo de Caja de acuerdo a lo que se detalla en la Tabla 59. Tabla 59. Flujo de Caja del Proyecto. Fuente: DIRTIC FLUJO DE CAJA OPERATIVOS INGRESOS POR SERVICIOS PRESTADOS PRIMER AÑO 35,000.00 SEGUNDO AÑO 70,000.00 TERCER AÑO 110,000.00 (+) DEPRECIACIONES ACTIVOS FIJOS 11,952.00 11,952.00 11,952.00 (-) GASTOS ADMINISTRATIVOS 15,000.00 15,000.00 15,000.00 CONCEPTO FINANCIAMIENTO (- ) VALOR RESIDUAL DE LOS ACTIVOS FIJOS FLUJO DE CAJA OPERATIVO NOMINAL -121,594.04 1,959.00 1,959.00 1,959.00 29,993.00 64,993.00 104,993.00 TASA PERTINENTE DE DESCUENTO (EN %) 14.38% 14.38% 14.38% FACTOR DE VALOR ACTUAL A LA TASA Kp 0.874279 0.764363 0.668267 26,222.24 49,678.26 70,163.31 -95,371.80 -45,693.54 24,469.77 64,993.00 104,993.00 VALOR ACTUAL DE LOS FLUJOS DE CAJA -121,594.04 FLUJOS ACTUAL DE CAJA ACUMULADOS SUMA DE LOS FLUJOS DE CAJA ACTUALIZADOS 24,470 COSTO (INVERSIÓN) DEL PROYECTO 121,594 -121,594.04 29,993.00 De acuerdo a los índices de evaluación calculados en el flujo de caja, podemos visualizar que el VAN es ≥ 0, TIR es ≥ 0; Relación B/C es ≥ 1; y, el periodo real de recuperación es menor a 3 años, por lo cual el proyectos es rentable, de acuerdo a lo que se describe en la Tabla 60. -183- Tabla 60. Resultados de los Índices de Evaluación. Fuente: DIRTIC ÍNDICES DE EVALUACIÓN VALOR ACTUAL NETO (VAN) RELACIÓN BENEFICIO / COSTO (B/C) TASA INTERNA DE RETORNO (TIR) (%) PERÍODO REAL DE RECUPERACIÓN (AÑOS) VALOR 24,469.77 1.20 23.97% 2.92 Al analizar la factibilidad operativa, técnica y económica se determinó que el Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares, tomando como referencia la Dirección de Tecnologías de la Información y Comunicaciones de la Armada, basado en las normas (ISO/IEC 27001:2005, 2005) es viable. -184- CAPÍTULO 5. CONCLUSIONES Y RECOMENDACIONES 5.1 CONCLUSIONES a. Las Instituciones Militares, actualmente no disponen de un Sistema de Gestión de Seguridad de la Información para resguardar los activos de información que posee la institución, lo que dificulta mantener la información de acuerdo a las normas de la ISO 27001:2005. b. Se realizó una encuesta para determinar cómo se encuentra la seguridad de la información en función a los objetivos definidos aplicando un cuestionario estructurado con preguntas cerradas que cubren todos los aspectos de riesgos, incluso las amenazas a la confiabilidad, integridad y la disponibilidad de los datos y están basadas en los objetivos de control de la ISO 27001:2005, a 51 personas de la DIRTIC y CETEIN que contiene 69 ítems relacionados a 55 indicadores utilizando el método Alpha de Crombrach para determinar la validez del instrumento, lo que permitió trabajar con información de alta confiabilidad debido a que el resultado fue de 0,96. c. Se realizó el levantamiento de información por observación directa utilizando como guía la norma ISO/IEC 27001:2005, en la cual se encuentran 11 cláusula, 25 objetivos de control y 41 controles en base a los requerimientos de la institución y de acuerdo a lo que dispone en seguridad de la información de la DIRTIC y CETEIN, lo que permitió identificar los activos de información así como el diagnóstico de seguridad de estos activos de acuerdo a los objetivos de control y controles. -185- d. Se determinó la factibilidad operativa, técnica y económica para establecer el Diseño de un Sistema de Gestión de Seguridad de la Información para las instituciones Militares, lo que permitió verificar que cumplan con las características acordes a las Instituciones Militares y determinar que el proyecto sea puesto en marcha aprovechando todos los beneficios para la Institución logrando que los usuarios estén en compromiso de seguridad y el reconocimiento de las responsabilidades de seguridad de la información. e. Se realizó el establecimiento del Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares; así como la identificación del riesgo, amenazas y vulnerabilidades; el cálculo del riesgo amenazas y vulnerabilidades; tratamiento de riesgo; y, revisión de los riesgos y reevaluación de los activos de información de la Dirección de Tecnologías de la Información y Comunicaciones, lo que permitió aplicar para el Diseño del SGSI 27001:2005 literales a) a la j). la cláusula 4.2.1 de la norma ISO -186- 5.2 RECOMENDACIONES a. Aplicar el presente trabajo para realizar la implementación del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, que permita resguardar los activos de información que posee la institución, a fin de mantener la información de acuerdo a las normas de la ISO 27001:2005. b. Utilizar el método Alpha de Crombrach para determinar la validez del instrumento para futuras actualizaciones e investigaciones referentes al Sistema de Gestión de Seguridad de la Información para Instituciones Militares, la misma que permitirá medir la confiabilidad de la información con la que se va a trabajar en este tipo de proyectos. c. Revisar y actualizar periódicamente el Anexo F donde se encuentran los objetivos de control y controles listados en la Tabla A.1 de la norma ISO/IEC 27001:2005, en base a los requerimientos de la institución y de acuerdo a lo que dispone en seguridad de la información para el levantamiento de la información del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, la misma que permitirá identificar los activos de información así como el diagnóstico de seguridad de estos activos. d. Verificar y actualizar permanentemente los compromisos de seguridad, el reconocimientos de responsabilidades de seguridad de la información con el fin de generar concientización sobre la protección de la información en el Sistema de Gestión de Seguridad de la Información -187para Instituciones Militares, lo que permitirá cumplir con el numeral 4.2 de la norma ISO/IEC 27001:2005. e. Utilizar y aplicar la información que se generó en el establecimiento del Diseño de un Sistema de Gestión de Seguridad de la Información para las Instituciones Militares; aplicando la cláusula 4.2.1 de la norma ISO 27001:2005 literales a) a la j), para realizar la implementación del Sistema de Gestión de Seguridad de la Información para Instituciones Militares, lo que permitirá gestionar eficientemente la accesibilidad de la información, asegurando la confidencialidad, integridad y disponibilidad de los activos de información minimizando los riesgos de seguridad de la información. -188- REFERENCIAS BIBLIOGRAFÍCAS AFP/ Ben Stansall. (19 de 11 de 2013). http://sp.ria.ru/. Recuperado el 2013, de http://sp.ria.ru/: http://sp.ria.ru/trend/assange_caso/ Alexander, A. (2007). Diseño de un Sistema de Seguridad de la Información, óptica ISO 27001:2005. Bogotá, D.C.- Colombia: Alfaomega Colombiana S.A. Armada. (2013). http://www.armada.mil.ec. Recuperado el 2013, de http://www.armada.mil.ec: http://www.armada.mil.ec Ary, W. (1996). Metodología de la Investigación. Madrid - España: Ediciones Roalg. CALVO, R. F. (1994–2000). http://www.ati.es. Recuperado el 2013, de http://www.ati.es: http://www.ati.es/novatica/2000/145 COMACO. (Diciembre de 2008). Manual de Elaboración de Documentación de las Fuerzas Armadas. Quito, Pichincha, Ecuador: COMACO. D.G.P. COGMAR-INF-002-2010-O. (2010). Directiva de Seguridad de la Información. Es una infraestructura de intranet que utiliza las Fuerzas Armadas. D.G.P. COGMAR-INF-002-2010-O. (12 de Julio de 2010). Directiva General Permanente. Seguridad de la Información. Quito, Pichincha, Ecuador: Armada del Ecuador. De Freitas, V. (2009). Análisis y Evaluación del Riesgo de la Información: Caso de estudio Universidad Simón Bolívar. Enlace:Revista Venezolana de Información, Tecnología y Conocimiento, 6 (1), 43-55. DIRTIC. (25 de Noviembre de 2010). Estatuto Orgánico por Procesos. Guayaquil, Guayas, Ecuador: Armada del Ecuador. -189El Comercio. (12 de 06 de 2013). http://www.elcomercio.ec. Recuperado el 2013, de http://www.elcomercio.ec: http://www.elcomercio.ec/mundo/Snowden-informatico-espionaje-EEUUUSA-CIA-Obama_0_936506374.html Empresa Eléctrica Quito. (Diciembre de 2014). Tarifario Vigente 2014. Tarifario Vigente 2014. Quito, Pichincha, Ecuador: Empresa Eléctrica Quito. ESPE. (2005). Tesis Manual de procedimientos para ejecutar la auditoria informática en la Armada del Ecuador. Facultad de Ingeniería en Sistemas e Informática. ESPE. Sede Sangolquí. Quito, Pichincha, Ecuador: ESPE / SANGOLQUÍ. Estado Mayor de la Armada. (2010). Programa de Desarrollo de Tecnologias de la Información y Comunicaciones. PDETIC. Quito, Pichincha, Ecuador: Armada del Ecuador. FFAA. (2013). http://www.ccffaa.mil.ec/. Recuperado el 2013, de http://www.ccffaa.mil.ec/: http://www.ccffaa.mil.ec/ Gómez, G. (2015). Evaluación de Alternativas de Inversión. Recuperado el 2015, de http://www.gestiopolis.com/canales/financiera/articulos/22/cauetio.htm. Hernández, E. (2003). Seguridad y Privacidad en los Sistemas Informáticos. Recuperado el 21 de Noviembre de 2012, de http://www.disca.upv.es/enheror/pdf/ACTASeguridad.PDF Hernández, R. (2003). Metodología de la Investigación. Mexico D.F.: McGrawHill. hoy. (26 de 06 de 2013). http://www.hoy.com.ec. Recuperado el 2013, de http://www.hoy.com.ec: http://www.hoy.com.ec/noticias-ecuador/solo-1- de-cada-600-delitos-informaticos-se-denuncia-584518.html INEN. (2009). Código de Práctica para la Gestión de la Seguridad de la Información. En INEN, Tecnologías de la Información - Técnicas de -190Seguridad - Código de Práctica para la Gestión de la Seguridad de la Información. Quito: NTE INEN. Infobae. (09 de 08 de 2011). Recuperado el 2013, de http://www.seguridadydefensa.com.ec. http://www.seguridadydefensa.com.ec: http://www.seguridadydefensa.com.ec/noticias/anonymus-revelo-datosde-45-mil-policias-24513.html Interfutura. (15 de 05 de 2012). http://www.interfutura.ec. Recuperado el 2013, de http://www.interfutura.ec: http://www.interfutura.ec/blog/delitos- informaticos-en-ecuador-lo-que-vendria-en-la-nueva-legislacion/ ISO /IEC 17779:2005. (2005). Código de Práctica para la Gestión de Seguridad de la Información. ISO/IEC 27001:2005. (2005). Estándar Internacional. Tecnología de la Información - Técnicas de Seguridad - Sistemas de Gestión de Seguridad de la Información - Requerimientos. Kingston. (03 de 02 de 2015). Consumo Energético. Obtenido de Kingston.com: http://www.kingston.com/es/business/server_solutions/power_benchmar k L Hurdado y Toro G.J. (2001). Paradigmas y Métodos de Investigación. Valencia - España: Editorial Espíteme. Ministerio de Defensa Nacional (MIDENA). (31 de Octubre de 2012). Políticas de Seguridad Cibernética del M.D.N. O.G. 210. Políticas de Seguridad Cibernética del M.D.N. O.G. 210. Quito, Pichincha, Quito: Ministerio de Defensa Nacional. Moreno, N. A. (2011). Gerencia de Tecnología. Gerencia de Tecnología II. Madrid, España: Promade. Neira, A. L. (03 de 02 de 2015). Privacidad y beneficio económico en un SGSI. Recuperado el 11 de 03 de 2015, de SGSI: www.iso27000.es/download/SGPI_beneficios_economicos_SGSI.pdf -191NTE INEN, ISO/IEC 27002:2009. (2009). Tecnologías de la Información Técnicas de Seguridad - Código de Práctica para la Gestión de la Seguridad de la Información. NTE INEN - ISO/IEC 27002:2009. Quito, Pichincha, Ecuador: Ecuador. PDETIC. (2012). Objetivos Estratégicos Institucionales. Quito: PDETIC. Santos, L. (2001). Guía para la evaluación de Seguridad en un Sistema. Recuperado el 12 de marzo de 2013, de Trabajo de grado para optar el título de Mestría en Ingeniería y Sistemas y Computación, Universidad de Pamplona. Colombia: http://www.acis.org.co/memorias/JornadasSeguridad/IIJNSI/pamplona.d oc Seen, J. (1987). Análisis y Diseño de Sistemas de Información. México, DFMéxico: McGraw-Hill. -192- ANEXOS