-i-
http://
bibdigital.epn.edu
.ec/
handle/15000/93
10
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA DE SISTEMAS
DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN PARA INSTITUCIONES MILITARES
TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO DE MAGISTER EN GESTIÓN
DE LAS COMUNICACIONES Y TECNOLOGÍAS DE LA INFORMACIÓN
JOSEPH ALEXANDER GUAMÁN SEIS
[email protected]
DIRECTOR: ING. DIANA CECILIA YACCHIREMA VARGAS
[email protected]
Quito, Abril del 2015
-ii-
DECLARACIÓN
Yo, Joseph Alexander Guamán Seis, declaro bajo juramento que el trabajo aquí
descrito es de mi autoría; que no ha sido previamente presentada para ningún
grado o calificación profesional; y, que he consultado las referencias bibliográficas
que se incluyen en este documento.
A través de la presente declaración cedo mi derecho de propiedad intelectual
correspondiente a éste trabajo, a la Escuela Politécnica Nacional, según lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normativa institucional vigente.
Joseph Alexander Guamán Seis
-iii-
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Joseph Alexander Guamán
Seis, bajo mi supervisión.
Ing. Diana Yacchirema
DIRECTOR
-iv-
AGRADECIMIENTO
Agradezco a Dios por bendecirme cada día de mi vida y permitirme cumplir este
objetivo.
A la Escuela Politécnica Nacional, a sus autoridades, profesores y facilitadores
que compartieron su conocimiento y experiencias que fue de gran utilidad en la
carrera, un agradecimiento muy especial a la Ingeniera Diana Yacchirema y al
Doctor Enrique Mafla por sus lineamientos, predisposición, paciencia y guía para
la elaboración de este proyecto.
A la Armada del Ecuador, en especial a la Dirección de Tecnologías de la
Información y Comunicaciones por el apoyo brindado en la consecución de este
trabajo.
A mi familia por la paciencia e impulso en la culminación de este sueño.
-v-
DEDICATORIA
El presente trabajo lo dedico a mi Madre quien descansa en la paz del Señor
desde el año 1976 junto a mis abuelitas Margarita y Petrona. A mi padre
Rosendo, mis tíos, mis hermanas, mis sobrinos, mis primos y todos mis seres
queridos que los llevo en mi corazón. A mi adorada hija Dafna Jordana quien me
prestó el tiempo que le pertenecía y me motivó siempre con sus notitas “no te
rindas”, “tu puedes” ¡Gracias mi muñeca de oro!, a Aníbal Sebastián y Franz
Alexander que son mi inspiración y a todas aquellas personas que de una u otra
forma colaboraron en la realización de este gran sueño hecho realidad.
Joseph
-vi-
CONTENIDO
CAPÍTULO 1. EL PROBLEMA .............................................................................. 1
1.1. DEFINICIÓN DEL PROBLEMA................................................................... 2
1.2. OBJETIVO DE LA INVESTIGACIÓN ........................................................... 3
1.2.1. OBJETIVO GENERAL ........................................................................... 3
1.2.2. OBJETIVOS ESPECÍFICOS .................................................................. 3
1.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN ................... 4
1.4. ALCANCE Y LIMITACIONES...................................................................... 5
CAPITULO 2. MARCO TEÓRICO ......................................................................... 7
2.1. ANTECEDENTES DE LA INVESTIGACIÓN ............................................... 7
2.2. BASES TEÓRICAS ..................................................................................... 8
2.2.1. SEGURIDAD INFORMÁTICA ............................................................... 8
2.2.2. SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS ......................... 10
2.2.3. PROPIEDADES DE LA SEGURIDAD INFORMÁTICA ....................... 11
2.2.4. OBJETIVOS DE LA SEGURIDAD ...................................................... 12
2.2.5. TÉRMINOS DE RIESGO .................................................................... 14
2.2.6. FACTORES DE RIESGO ................................................................... 14
2.2.7. ANÁLISIS DEL RIESGO Y SU EVALUACIÓN ................................... 17
2.3. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ......... 19
2.3.1. ISO/IEC 27001:2005 ............................................................................ 19
2.3.2. HERRAMIENTAS PARA EL ANÁLISIS DE RIESGO ......................... 23
2.4. BASES LEGALES ..................................................................................... 26
2.4.1. ESTÁNDARES INTERNACIONALES .................................................. 26
2.4.2. LEYES NACIONALES ........................................................................ 27
2.4.3 NORMATIVA INTERNA ....................................................................... 27
2.5. SISTEMA DE VARIABLES........................................................................ 27
-vii-
2.5.1.
ANÁLISIS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN ............................................................................................. 30
CAPÍTULO 3. DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN PARA INSTITUCIONES MILITARES ......................................... 33
3.1. ALCANCE DEL DISEÑO DEL SGSI ......................................................... 33
3.2. DISEÑO DE LA INVESTIGACIÓN ............................................................ 34
3.2.1. FASE I DIAGNÓSTICO ......................................................................... 35
3.2.2. POBLACIÓN Y MUESTRA .................................................................... 35
3.2.3. TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS........ 37
3.2.4. VALIDEZ DEL INSTRUMENTO ............................................................. 39
3.2.5. CONFIABILIDAD DEL INSTRUMENTO ................................................ 40
3.2.6. TÉCNICAS DE ANÁLISIS DE LOS DATOS .......................................... 42
3.2.7. RESULTADOS ....................................................................................... 42
3.2.8 OBSERVACIÓN DIRECTA ..................................................................... 72
3.2.9 CONCLUSIONES DEL DIAGNÓSTICO ................................................. 76
3.2.10 RECOMENDACIONES DEL DIAGNÓSTICO ....................................... 78
3.3 FASE II FACTIBILIDAD ............................................................................. 79
3.3.1 FACTIBILIDAD OPERATIVA ............................................................... 80
3.3.2 FACTIBILIDAD TÉCNICA .................................................................... 81
3.3.3 FACTIBILIDAD ECONÓMICA ............................................................. 82
3.4 FASE III ESTABLECIMIENTO DEL DISEÑO DEL SGSI .......................... 83
3.4.1 DISEÑO DEL SGSI.............................................................................. 83
CAPÍTULO 4.
APLICACIÓN DEL DISEÑO DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES. ...... 86
4.1 DESCRIPCIÓN DE LA PROPUESTA ........................................................ 86
4.3 ALCANCE DEL DISEÑO DEL SGSI. ......................................................... 87
4.3 POLÍTICA DE UN SGSI ............................................................................. 91
-viii-
4.4 ENFOQUE DE EVALUACIÓN DE RIESGO .............................................. 93
4.5 IDENTIFICACIÓN DEL RIESGO ............................................................... 94
4.5.1 IDENTIFICACIÓN DE LOS ACTIVOS ................................................. 94
4.5.2 IDENTIFICACIÓN DE AMENAZAS ..................................................... 97
4.5.3 IDENTIFICACIÓN DE VULNERABILIDADES.................................... 110
4.5.4 CÁLCULO DE AMENAZAS Y VULNERABILIDADES ....................... 118
4.6 ANÁLISIS DEL RIESGO, VALORACIÓN Y EVALUACIÓN ................... 136
4.7 IDENTIFICAR Y EVALUAR LAS OPCIONES PARA EL TRATAMIENTO
DEL RIESGO .................................................................................................. 148
4.8 SELECCIONAR LOS OBJETIVOS DE CONTROL Y CONTROLES PARA
EL TRATAMIENTO DEL RIESGO .................................................................. 149
4.9 OBTENER LA APROBACIÓN, POR PARTE DE LA DIRECCIÓN, DE LOS
RIESGOS RESIDUALES PROPUESTOS. ..................................................... 152
4.10
OBTENER
LA
AUTORIZACIÓN
DE
LA
DIRECCIÓN
PARA
IMPLEMENTAR Y OPERAR EL SGSI. ........................................................... 154
4.11 DECLARACIÓN DE APLICABILIDAD .................................................... 156
4.12 FACTIBILIDAD ....................................................................................... 161
4.12.1 FACTIBILIDAD OPERATIVA ........................................................... 161
4.12.2 FACTIBILIDAD TÉCNICA ................................................................ 164
4.12.3 FACTIBILIDAD ECONÓMICA ......................................................... 170
CAPÍTULO 5. CONCLUSIONES Y RECOMENDACIONES.............................. 184
5.1 CONCLUSIONES .................................................................................... 184
5.2 RECOMENDACIONES ............................................................................ 186
REFERENCIAS BIBLIOGRAFÍCAS ................................................................... 188
ANEXOS ............................................................................................................ 192
-ix-
ANEXO A.
ESTRUCTURA ORGANIZACIONAL DE LA DIRTIC
ANEXO B.
ESTRUCTURA ORGANIZACIONAL DEL CETEIN
ANEXO C.
INSTRUMENTO DE RECOLECCIÓN DE DATOS
ANEXO D.
FORMATO
PARA
LA
REVISIÓN
Y
VALIDACIÓN
DEL
INSTRUMENTO DE RECOLECCIÓN DE DATOS
ANEXO E.
CÁLCULO
DE
LA
CONFIABILIDAD.
MÉTODO
ALPHA
DE
CROMBACH
ANEXO F.
TABLA A1.1 OBJETIVOS DE CONTROL Y CONTROLES DE LA
NORMA ISO/IEC 27001:2005
ANEXO G.
LOCALIZACIÓN DE LA DIRTIC Y CETEIN
ANEXO H.
POLITÍCA DE SEGURIDAD DE LA INFORMACIÓN DE LA DIRTIC
ANEXO I.
VERIFICACIÓN DE LAS VULNERABILIDADES
ANEXO J.
PROCEDIMIENTOS CORRESPONDIENTES A LOS CONTROLES
6.3.1, A9.3.1 y A.9.5.4
ANEXO K. CRONOGRAMA DE IMPLEMENTACIÓN DEL SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
-x-
ÍNDICE DE FIGURAS
Figura 1. Historia de ISO 27001. .......................................................................... 20
Figura 2. Familia de estándares de la ISO 27000. ............................................... 21
Figura 3. Modelo de PHVA aplicado a los procesos del SGSI. ISO/IEC
27001:2005. ......................................................................................................... 22
Figura 4: Enfoque a procesos del ISO 27001:2005 .............................................. 23
Figura 5. Metodología de las elipses de Dirección de Tecnologías de la
Información y Comunicaciones. ........................................................................... 90
Figura 6.
Diagrama Físico de red de la Dirección de Tecnologías de la
Información y Comunicaciones. ........................................................................... 91
-xi-
ÍNDICE DE GRÁFICOS
Gráfico 1. Porcentajes de las respuestas dadas a las preguntas sobre Políticas de
Seguridad. ............................................................................................................ 44
Gráfico 2. Porcentajes de las respuestas dadas a las preguntas sobre
Organización de la Seguridad de la Información. ................................................. 47
Gráfico 3. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Activos. ................................................................................................................. 49
Gráfico 4. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad
de Recursos Humanos. ........................................................................................ 52
Gráfico 5. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad
Física y Ambiental. ............................................................................................... 55
Gráfico 6. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Comunicaciones y Operaciones. .......................................................................... 59
Gráfico 7. Porcentajes de las respuestas dadas a las preguntas sobre Control de
Accesos. ............................................................................................................... 62
Gráfico 8. Porcentajes de las respuestas dadas a las preguntas sobre Adquisición,
Desarrollo y Mantenimiento de Sistemas de Información. ................................... 65
Gráfico 9. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Incidente de Seguridad de la Información. ........................................................... 67
Gráfico 10. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Continuidad del Negocio. ..................................................................................... 69
Gráfico 11. Porcentajes de las respuestas dadas a las preguntas sobre
Cumplimiento. ...................................................................................................... 71
-xii-
ÍNDICE DE TABLAS
Tabla 1. Operacionalización de las Variables....................................................... 28
Tabla 2. Descripción de la Población de la DIRTIC. ............................................ 36
Tabla 3. Criterios de Confiabilidad. ..................................................................... 42
Tabla 4. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Políticas de Seguridad. ........................................................................................ 44
Tabla 5. Resultados de las respuestas dadas a las preguntas sobre la dimensión
de la Organización de la Seguridad de la Información. ........................................ 46
Tabla 6. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Gestión de Activos. .............................................................................................. 49
Tabla 7. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Seguridad de Recursos Humanos........................................................................ 51
Tabla 8. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Seguridad Física y Ambiental. .............................................................................. 54
Tabla 9. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Gestión de Comunicaciones y Operaciones......................................................... 58
Tabla 10. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Control de Accesos. ............................................................................................. 62
Tabla 11. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. ............... 65
Tabla 12. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Gestión de Incidente de Seguridad de la Información. ......................................... 67
Tabla 13. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Gestión de Continuidad del Negocio. ................................................................... 69
Tabla 14. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Cumplimiento. ...................................................................................................... 70
Tabla 15. Observación directa............................................................................. 73
Tabla 16. Activos Primarios clasificados. ............................................................. 95
Tabla 17. Amenazas definidas. ............................................................................ 97
-xiii-
Tabla 18. Cruce de las amenazas Vs. Activos. ................................................. 105
Tabla 19. Vulnerabilidades clasificadas. ........................................................... 110
Tabla 20. Resumen de las vulnerabilidades para la Dirección de Tecnologías de la
Información y Comunicaciones. ......................................................................... 118
Tabla 21. Cruce de las Amenazas y las Vulnerabilidades de la Sala de Servidores
(Activo 2.32). ...................................................................................................... 119
Tabla 22. Vulnerabilidades potenciales que pueden afectar la Sala de Servidores
(Activo 2.32). ...................................................................................................... 120
Tabla 23. Amenazas vs. Vulnerabilidades verificadas para la Sala de Servidores
(Activo 2.32). ...................................................................................................... 121
Tabla 24.
Cruce de las Amenazas y las Vulnerabilidades Software y
Aplicaciones. (Activo 7.1) ................................................................................... 122
Tabla 25.
Vulnerabilidades Potenciales que pueden afectar Software y
Aplicaciones. (Activo 7.1) ................................................................................... 122
Tabla 26. Amenazas Vs. Vulnerabilidades verificadas Software y Aplicaciones.
(Activo 7.1) ......................................................................................................... 124
Tabla 27. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S1
(Activo 4.3). ........................................................................................................ 125
Tabla 28. Vulnerabilidades Potenciales del Servidor Windows S1 (Activo 4.3). 126
Tabla 29.
Amenazas vs. Vulnerabilidades verificadas Servidor Windows S1
(Activo 4.3). ........................................................................................................ 127
Tabla 30. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S4
(Activo 4.3). ........................................................................................................ 129
Tabla 31. Vulnerabilidades Potenciales del Servidor Windows S4 (Activo 4.3).. 130
Tabla 32.
Amenazas vs. Vulnerabilidades verificadas Servidor Windows S4
(Activo 4.3). ........................................................................................................ 131
Tabla 33. Cruce de las Amenazas y las vulnerabilidades Firewall (Activo 5.3). 133
Tabla 34. Vulnerabilidades Potenciales del Firewall (Activo 5.3). ..................... 133
Tabla 35. Amenazas vs. Vulnerabilidades verificadas Firewall (Activo 5.3). ..... 135
Tabla 38. Resumen efectos de las amenazas para la Sala de Servidores. ....... 139
Tabla 39. Niveles particulares de riesgo Software y Aplicaciones. Activo 7.1 .... 140
Tabla 40.
Resumen efectos de las amenazas para Software y Aplicaciones.
Activo 7.1............................................................................................................ 141
-xiv-
Tabla 41. Niveles particulares de riesgo para el Servidor Windows S1 (Activo 4.3)
........................................................................................................................... 142
Tabla 42. Resumen efectos de las amenazas Servidor Windows S1 (Activo 4.3).
........................................................................................................................... 143
Tabla 43. Niveles particulares de riesgo para el Servidor Windows S4 (Activo 4.3).
........................................................................................................................... 144
Tabla 44. Resumen efectos de las amenazas Servidor Windows S4 (Activo 4.3).
........................................................................................................................... 146
Tabla 45. Niveles particulares de riesgo para el Firewall (Activo 5.3). .............. 146
Tabla 46. Resumen efectos de las amenazas Firewall (Activo 5.3). ................. 148
Tabla 47. Plan de tratamiento del riesgo. .......................................................... 150
Tabla 48. Declaración de aplicabilidad del Sistema de Gestión de Seguridad de la
Información......................................................................................................... 156
Tabla 49. Perfiles del personal del Dpto. Normalización y Seguridad Telemática
de la DIRTIC....................................................................................................... 164
Tabla 50. Equipamiento necesario de la DIRTIC. ............................................. 167
Tabla 51. Salario del Dpto. Normalización y Seguridad Telemática de la DIRTIC.
........................................................................................................................... 171
Tabla 52. Recursos consumibles del Dpto. Normalización y Seguridad Telemática
de la DIRTIC....................................................................................................... 172
Tabla
53. Recursos Tecnológicos del Dpto. Normalización y Seguridad
Telemática de la DIRTIC. ................................................................................. 172
Tabla
54. Consumo de energía de los quipos informáticos del Dpto.
Normalización y Seguridad Telemática de la DIRTIC. ..................................... 174
Tabla 55. Costo Total del Diseño. ..................................................................... 174
Tabla 56. Tasa de Descuento. .......................................................................... 179
Tabla 57. Depreciación anual de Equipos Informáticos. ................................... 179
Tabla 58. Ingresos anuales durante los 3 años. ................................................ 181
Tabla 59. Flujo de Caja del Proyecto. ............................................................... 182
Tabla 60. Resultados de los Índices de Evaluación. ......................................... 183
-xv-
RESUMEN
El presente trabajo de tesis tiene como objetivo principal Diseñar un Sistema de
Gestión de Seguridad de la Información para Instituciones Militares, que incorpore
estándares internacionales ajustados al campo militar y nuevas tecnologías de la
información y comunicaciones con el fin de contribuir a la modernización de las
Instituciones Militares, tomando como caso de estudio en la Armada del Ecuador
a la Dirección de Tecnologías de la Información y Comunicaciones.
Se desarrolló bajo la modalidad de estudios de proyecto apoyado tanto en una
investigación de campo como en la investigación monográfica documental que
permitió la elaboración y desarrollo de una propuesta de un modelo operativo
viable para solventar los problemas de seguridad de la información de las
Instituciones Militares y de la Dirección de Tecnologías de la Información y
Comunicaciones.
La metodología utilizada se sustentó en tres fases fundamentales, la primera el
estudio diagnóstico, la segunda la factibilidad; y la tercera el diseño de un Sistema
de Gestión de Seguridad de la Información para Instituciones Militares, tomando
como referencia la Norma ISO 27001:2005 y usando una combinación de
metodologías para la evaluación de los riesgos que ayude a la toma de decisión
sobre las opciones de tratamiento de riesgo adecuado.
Este estudio consta de cinco capítulos en los cuales se desarrolla cada tema que
permite obtener, aplicar y conocer los resultados de la propuesta del diseño: el
Capítulo 1, conformado por el problema, en el cual se desarrolló el planteamiento
del problema, objetivos de la investigación, justificación e importancia, alcance y
-xvi-
limitaciones del objeto de estudio. Capítulo 2, denominado Marco Teórico, que
contiene los antecedentes de investigación, bases teóricas, bases legales y
sistema de variables. Capítulo 3, Diseño de Un Sistema de Gestión de Seguridad
de la Información para Instituciones Militares, contiene la naturaleza y diseño de la
investigación con la descripción de las fases del proyecto. Capítulo 4, Aplicación
de un Diseño de Un Sistema de Gestión de Seguridad de la Información para
Instituciones Militares, el cual muestra la justificación, objetivos y descripción de la
propuesta. Capítulo 5, se exponen las conclusiones y recomendaciones de la
investigación. Finalmente, se presentan las referencias bibliográficas y los anexos
correspondientes.
-1-
CAPÍTULO 1. EL PROBLEMA
El uso inadecuado de los recursos tecnológicos en Instituciones Militares, hace
que tengan serios problemas de seguridad, esto deriva del aumento desmesurado
de los índices de delitos informáticos. (Interfutura, 2012).
Alexander Cuenca, especialista de seguridad informática y protección de datos,
expresa que las denuncias presentadas por delitos informáticos la mayoría de
tipos penales se concentra en el hurto, usurpación de claves, estafa y falsificación
electrónica, además existen bandas especializadas en estos ilícitos y le sacan
provecho, sobre todo, monetario,
en el país operarían piratas informáticos del
Perú y Colombia y en Pichincha hay más denuncias, comparando con Guayas: en
2012, en la primera hubo 1.150, y en la segunda provincia 693.
En la actualidad, uno de los temas de mayor importancia y trascendencia de toda
la sociedad, es la seguridad y resguardo de la información, más aun las
Instituciones Militares que tienen información secreta y clasificada.
En un caso puntual y real, el grupo de activistas informáticos Anonymus atacó en
el 2011, las bases de datos de la Policía Nacional, según datos proporcionados
por seguridadydefensa.com.ec, esta agrupación publicó la información personal
de más de 45000 policías en la operación denominada Cóndor Libre.(Infobae,
2011).
-2-
Se ha demostrado en la actualidad, que la filtración de documentos e información
confidencial de Instituciones Militares ha provocado problemas muy serios, un
ejemplo de esto son los casos Snowden y Assange. Se ve la necesidad urgente
de un sistema de seguridad para precautelar información tan sensible como es la
de las Instituciones Militares (El Comercio, 2013), (AFP/ Ben Stansall, 2013).
1.1. DEFINICIÓN DEL PROBLEMA
Las Instituciones Militares conformadas por la Fuerza Terrestre, Armada del
Ecuador y Fuerza Aérea, manejan información calificada que se utiliza a través
del Sistema de Comunicaciones, la cual necesita ser protegida.
La Armada del Ecuador posee el Sistema de Comunicaciones Navales (SCN)1,
que es una infraestructura informática que interconecta a los repartos navales y
militares de las Fuerzas Armadas, que se utilizada
para trasmitir información
(voz, datos y video), servicios automatizados y sistemas corporativos. (D.G.P.
COGMAR-INF-002-2010-O, 2010).
La utilización de los servicios y sistemas corporativos a través del Sistema de
Comunicaciones Navales y el acceso indebido a la información en determinadas
redes locales, requieren la implementación de seguridades para el uso de estos
servicios por los usuarios de los repartos navales.
Se ha detectado accesos indebidos a las redes administrativas debido a los
diferentes puntos de internet que existen en las instituciones Militares, también se
1
D.G.P. COGMAR-INF-002-2010-O; 12-JUL-2010. Directiva de Seguridad de la Información. Es
una infraestructura de intranet que utiliza las Fuerzas Armadas.
-3-
ha detectado la falta de implementación de políticas de seguridad así como el
limitado personal especializado existente para implementar tales políticas.
Es necesario realizar el Diseño de un Sistema de Gestión de Seguridad de la
Información para Instituciones Militares, que minimicen los riesgos físicos
y
lógicos de la información que se transmite, procesa, almacena y distribuye a
través del Sistema de Comunicaciones, para la utilización de los servicios y
sistemas por los usuarios de los repartos militares y navales.
Para el diseño se utilizará las normas ISO/IEC 27001:2005, que permita aplicar
controles, con la finalidad de garantizar la confidencialidad, integridad y
disponibilidad de la información. (INEN, 2009)
1.2. OBJETIVO DE LA INVESTIGACIÓN
1.2.1. OBJETIVO GENERAL
Diseñar un Sistema de Gestión de Seguridad de la Información para Instituciones
Militares, que incorpore estándares internacionales ajustados al campo militar y
nuevas tecnologías de la información y comunicaciones con el fin de contribuir a
la modernización de las Instituciones Militares.
1.2.2. OBJETIVOS ESPECÍFICOS
· Evaluar los riesgos de seguridad de la información en las Instituciones
Militares
· Analizar los requerimientos de seguridad de la información.
-4-
· Diseñar un Sistema de Gestión de Seguridad de Información para
Instituciones Militares.
1.3. JUSTIFICACIÓN E IMPORTANCIA DE LA INVESTIGACIÓN
El crecimiento acelerado de la tecnología, ha generado graves problemas de
vulnerabilidad en las organizaciones, con riesgos e inseguridad así como fraudes
informáticos, espionaje, sabotaje, virus informático y ataques de intrusión o
negación de servicios.
Este tipo de vulnerabilidades ha provocado que en las instituciones militares, se
tomen medidas preventivas de seguridad para evitar que la información sea
robada o alteradas por terceros con la finalidad de minimizar las amenazas y
tratar de mantener la confidencialidad, integridad y disponibilidad de la
información.
Las Instituciones Militares necesitan el Diseño de un Sistema de Gestión de
Seguridad de
la Información, que
afirme
la obtención, procesamiento,
almacenamiento y difusión de la información segura a través del Sistema de
Comunicaciones y contribuya a su empleo eficaz y eficiente en el cumplimiento de
los Objetivos Estratégicos Institucionales.(PDETIC, 2012)
En la Armada del Ecuador existe la D.G.P. COGMAR-INF-002-2010-O; 12-JUL2010. Directiva de Seguridad de la Información, en la cual establece las Políticas
de Seguridad de la Información para la Armada, como las normas básicas de
Seguridad de la Información que deben ser acatadas por los repartos Navales.
-5-
El Diseño del Sistema de Seguridad del Información establecerá nuevas políticas
de seguridad, reglas, planes y acciones para asegurar la información y mejorar la
gestión de la seguridad, socializando en los miembros de la Institución la
importancia y sensibilidad de la información y la seguridad.
1.4. ALCANCE Y LIMITACIONES
El presente proyecto, permitirá efectuar el Diseño de un Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, basado en la norma
ISO/IEC 27001:2005 para los sistemas de información, se realizará en la Armada
del Ecuador, tomando como caso de estudio la Dirección de Tecnologías de la
Información y Comunicaciones.
Se realizará la evaluación de los riesgos de seguridad de la información en las
instituciones militares, para determinar la necesidad de realizar el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
mediante el análisis general de la situación actual de la seguridad de la
información para los sistemas de información en la Dirección de Tecnologías de
la Información y Comunicaciones.
Se analizarán los requerimientos de seguridad de la información mediante la
verificación de la factibilidad operativa, técnica y económica para el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
determinando la viabilidad del proyecto
y una inversión adecuada para la
institución.
Finalmente se realizará el Diseño de un Sistema de Gestión de Seguridad de la
Información para Instituciones Militares, como un caso de estudio la Dirección de
Tecnologías de la Información y Comunicaciones.
-6-
Al realizar el Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares permitirá que los riesgos de la seguridad de la
información sean asumidos, gestionados y minimizados por la Institución de una
forma evaluada, documentada y estructurada.
Debido a la estructura organizacional de las Fuerzas Armadas, el ámbito de
aplicación del presente trabajo, alcanza a repartos militares donde existe una
relación jerárquica militar o de subordinación, la metodología que en él se
propone se centra en la Dirección de Tecnologías de la Información y
Comunicaciones, subordinada a la Armada del Ecuador, en la que aportará
aspectos metodológicos, lineamientos y políticas de seguridad de la información
para la institución.
En cuanto a las limitaciones es importante tomar en cuenta que los aspectos que
conforman la confidencialidad de la información en las Instituciones Militares, son
un factor importante en el desarrollo de la investigación y es por eso que la
información mostrada de la Armada del Ecuador y de la Dirección de Tecnologías
de la Información y Comunicaciones es referencial y solo para efectos
académicos respectivos, en vista que la información militar2 es secreta y
confidencial.
Para la implementación, operación, revisión, mantenimiento y mejora del Sistema
de Gestión de Seguridad de la Información para Instituciones Militares sólo se
especificará los lineamientos generales.
2
(COMACO) Manual de Elaboración de Documentación de las Fuerzas Armadas.
-7-
CAPITULO 2. MARCO TEÓRICO
2.1. ANTECEDENTES DE LA INVESTIGACIÓN
La seguridad de la información es un factor de gran importancia para las
instituciones militares ya que les proporciona integridad, confiabilidad y
disponibilidad de los datos e información que se transmite por medio del Sistema
de Comunicaciones. (D.G.P. COGMAR-INF-002-2010-O, 2010).
El presente trabajo de investigación aportará a la Dirección de Tecnologías de la
Información y Comunicaciones así como a las Instituciones Militares una guía
metodológica para la gestión de riesgos en seguridad de información, con la
posibilidad de mejorar sus esfuerzos en la administración de TI mediante la
inclusión de controles de seguridad.
Esta guía una serie de lineamientos básicos para la evaluación de seguridad en
un sistema, con el objeto de articular diversos conceptos y técnicas para la
identificación y valoración de riesgos. (Santos, 2001).
La guía metodológica permitirá determinar que las Instituciones Militares cuenten
con registros acerca de los incidentes de seguridad, lo que facilita la labor de
determinar el impacto de los riesgos en términos económicos, necesitando
considerarse en la mayoría de los casos una serie matrices de impacto de los
riesgos en términos cualitativos.
-8-
Es fundamental que las Instituciones militares registren los incidentes de
seguridad con el fin de dar mayor confiabilidad y mejorar los resultados en el ciclo
de vida del análisis de riesgos.
2.2. BASES TEÓRICAS
El presente trabajo tiene como objeto establecer el Diseño de un Sistema de
Gestión de Seguridad de la Información para las Instituciones Militares, basado en
el estándar (ISO/IEC 27001:2005, 2005).
Se trabajará en base a los conceptos establecidos que son: Seguridad
Informática, Seguridad en los Sistemas Informáticos, Propiedades de la Seguridad
Informática, Objetivos de la Seguridad, Términos de Riesgos, Factores de
Riesgos, Análisis del Riesgo y su Evaluación, Medidas de Seguridad,
Estandarización y Seguridad de las Tecnología de Información, Sistema de
Gestión de Seguridad de la Información, y Herramientas para el Análisis de
Riesgo.
2.2.1. SEGURIDAD INFORMÁTICA
(Alexander, 2007), Define a la seguridad como aquellas reglas técnicas y
actividades destinadas a prevenir, proteger y resguardar lo que es considerado
como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o
empresarial, por esta razón la información es el elemento principal a proteger,
resguardar y recuperar en las Instituciones Militares.
Es necesario considerar otras definiciones importantes al momento de hablar de
seguridad informática, estas son:
-9-
Activo: Recurso del sistema de información o relacionado con éste, necesario
para que la organización funcione correctamente y alcance los objetivos
propuestos. Cualquier cosa que tenga valor para la organización.
Amenaza: Es un evento que puede desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales en sus
activos.
Impacto: Consecuencia de la materialización de una amenaza.
Riesgo: Posibilidad de que se produzca un impacto determinado en un activo, en
un dominio o en toda la organización.
Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza
sobre un activo.
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.
Desastre o Contingencia: Interrupción de la capacidad de acceso a información
y procesamiento de la misma a través de computadoras necesarias para la
normal operación de un negocio.
Un riesgo y una vulnerabilidad se podrían englobar en un mismo concepto, una
definición más informal denota la diferencia entre riesgo y vulnerabilidad, de modo
que la vulnerabilidad está ligada a una amenaza y el riesgo a un impacto.
-10-
En el área de informática, existen varios riesgos tales como: ataque de virus,
códigos maliciosos, gusanos, caballos de troya y hackers; no obstante, con la
adopción de Internet como instrumento de comunicación y colaboración, los
riesgos han evolucionado y, ahora, las empresas deben enfrentar ataques de
negación de servicio y amenazas combinadas; es decir, la integración de
herramientas automáticas de "hackeo", accesos no autorizados a los sistemas y
capacidad de identificar y explotar las vulnerabilidades de los sistemas operativos
o aplicaciones para dañar los recursos informáticos.
Para los ataques de negación de servicio, el equipo de cómputo ya no es un
blanco, es el medio a través del cual es posible afectar todo el entorno de red; es
decir, anular los servicios de la red, saturar el ancho de banda o alterar el Web
Site de la institución. Los riesgos están en la red y en menor grado en la
computadora.
En las Instituciones Militares se protegerá la información que se trasmite a través
del Sistema de Comunicaciones para la utilización de los Sistemas Informáticos
por parte de los usuarios de los Repartos Militares.
2.2.2. SEGURIDAD EN LOS SISTEMAS INFORMÁTICOS
La alta informatización de la sociedad actual ha conllevado el aumento de los
denominados delitos informáticos, por lo cual (Hernández E. , 2003)3, señalan que
un sistema informático es seguro si se puede confiar en él y si se comporta de
acuerdo a lo esperado.
3
Hernández, Enrique 2003. Seguridad y Privacidad en los Sistemas Informáticos
-11-
La seguridad en los sistemas informáticos es un conjunto de soluciones técnicas,
métodos y planes con el objetivo de que la información que trata los sistemas
informáticos sea protegida así como establecer un plan de seguridad en el cual
se definan las necesidades y objetivos en cuestiones de seguridad.
Es primordial indicar que la seguridad genera un costo y que la seguridad
absoluta es imposible, por tal motivo se debe definir cuáles son los objetivos y a
qué nivel de seguridad se quiere llegar, por lo tanto la seguridad en los sistemas
informáticos de las instituciones militares se tiene que planificar haciendo un
análisis del costo-beneficio.
2.2.3. PROPIEDADES DE LA SEGURIDAD INFORMÁTICA
Se tomará en cuenta las definiciones hechas por (Alexander, 2007), sobre los
atributos o propiedades principales que debe brindar un sistema de seguridad:
· Confidencialidad: controlar quién puede leer la información (acceso) e
impedir que información confidencial sea entregada a receptores no
autorizados. Propiedad de que la información no está disponible o
divulgada a individuos, entidades o procesos no autorizados.
· Disponibilidad: asegurar que los sistemas trabajen prontamente con un
buen desempeño y garantizar protección y recuperación del sistema en
caso de ataque o desastre. Propiedad de estar accesible y utilizable bajo
demanda de una entidad autorizada.
-12-
· Integridad: asegurar que la información recibida sea exactamente igual a
la información enviada, es decir que no ha sido dañada por errores de
transmisión o alterada intencionalmente en su contenido o en su
secuencia. Propiedad de salvaguardar la exactitud y la totalidad de los
activos.
· Autenticidad: garantizar que la información no es una réplica de
información vieja la cual se quiere hacer pasar por información fresca, y
que efectivamente proviene de una fuente genuina.
· Identificación y control de acceso: Verificar la identidad de las personas.
Autorizar y controlar quién y cómo se accede a los datos y los recursos de
un sistema.
La confidencialidad y el control de acceso trabajan conjuntamente para proteger la
información contra personas no autorizadas, mientras que permiten que los
usuarios autorizados tengan acceso utilizando técnicas de identificación,
usualmente por medio del nombre de usuario (username) más su contraseña
(password). La integridad se garantiza por medio de bits de chequeo (checksums)
que se añaden a la información y la autenticidad por medio de extractos (hash) y
otros mecanismos.
2.2.4. OBJETIVOS DE LA SEGURIDAD
La labor principal en seguridad informática es el aislamiento de los actos no
deseables, y la prevención de aquellos que no se hayan considerado, de forma
-13-
que si se producen hagan el menor daño posible. Al respecto, (D.G.P. COGMARINF-002-2010-O, 2010)4, señala los objetivos que se deben llevar a cabo:
· Identificación de los usuarios: Existen varias técnicas, entre las que se
encuentran las contraseñas (passwords), o sistemas más sofisticados
como reconocimientos del habla, huella dactilar o la retina del ojo.
· Detección de intrusos en la red: Se debe detectar y actuar sobre
cualquier acceso no autorizado a un sistema. El objetivo es la detección de
intrusos en tiempo real, antes de que el sistema haya sido dañado
seriamente.
· Análisis de riesgo: Intenta cuantificar los beneficios obtenidos con la
protección contra amenazas de seguridad. El riesgo es función de la
frecuencia con la que se producen dichas amenazas, vulnerabilidad de la
protección contra las mismas y las pérdidas potenciales que se produjesen
en el caso de que se diese una.
· Clasificación apropiada de los datos: En la gestión de seguridad llegan
gran cantidad de datos provenientes de los últimos programas de control
generados a partir de las actuaciones que llevan a cabo los usuarios en el
sistema. Es importante para una buena supervisión de la seguridad, el
clasificar los datos convenientemente, de tal forma que se ahorre tiempo en
su análisis.
· Control de las nuevas aplicaciones: Cuando se instala una nueva
aplicación se debe comprobar que no introduzca nuevas brechas de
seguridad especialmente si se ejecuta con permisos de root.
4
D.G.P. COGMAR-INF-002-2010-O; 12-JUL-2010. Directiva de Seguridad de la Información.
Anexo “A”. Términos y definiciones
-14-
· Análisis de los accesos de los usuarios: Es necesario tener un control
para poder detectar intentos de acceso no autorizados.
2.2.5. TÉRMINOS DE RIESGO
La problemática en la seguridad de la información ha sido enfrentada con criterios
tomados de otras disciplinas. Estos enfoques han dado lugar al uso de términos
diferentes con significados no muy claros. (De Freitas, 2009), señala los
siguientes casos:
a) Valorización del riesgo: analizar las amenazas a un sistema de información, las
vulnerabilidades del mismo y el impacto potencial si se
concretan dichas
amenazas.
b) Evaluación del riesgo: evaluación del riesgo respecto algún criterio de
seguridad, por ejemplo una norma.
c) Análisis de riesgo: Identificación y valuación de los niveles de riesgo de activos,
amenazas y vulnerabilidades.
d) Gestión de riesgo: Determinación de la estrategia efectiva en costo, del
tratamiento y procedimientos a aplicar a partir de los resultados de la valuación,
por ejemplo: 1) Aceptarlos, 2) Minimizarlos, identificando, seleccionando e
implementando contramedidas (salvaguardas) para su reducción a niveles
aceptables, y 3) Transferirlos.
2.2.6. FACTORES DE RIESGO
El riesgo es la combinación de una amenaza que aprovecha alguna vulnerabilidad
de un activo para impactarlo y causarle daño. (Alexander, 2007), señalas los
siguientes factores de riesgos:
-15-
Activos: cualquier bien que necesite protección, frente a posibles situaciones de
pérdida de condiciones como son la Confidencialidad, Integridad o Disponibilidad.
La confidencialidad es la propiedad de que la información no está disponible o
divulgada a individuos, entidades o procesos no autorizados, la integridad es la
propiedad de salvaguardar la exactitud y la totalidad de los activos y la
disponibilidad es la propiedad de estar accesible y utilizable bajo demanda de una
entidad autorizada.
Un activo de información es algo a lo que una institución le asigna un valor y, por
lo tanto, la organización debe proteger. Asimismo, los clasifica en las siguientes
categorías:
a) Activos de información (Datos, manuales de usuarios)
b) Documentos de papel (contratos)
c) Activos de software (aplicación, software de sistemas)
d) Activos físicos (computadoras, medios magnéticos)
e) Personal (Clientes, personal)
f) Imagen de la institución y reputación
g) servicios (comunicaciones)
Como se observa, los activos de información son muy amplios es por eso que
(Alexander, 2007), señala que se debe realizar un correcto análisis y una
evaluación del riesgo y establecer adecuadamente el modelo ISO 27001:2005.
-16-
En las Instituciones Militares, el proceso de identificación y de tasación de activos
debe realizarlo un grupo multidisciplinario compuesto por personas involucradas
en los procesos y subprocesos que abarca el alcance del modelo.
Los activos se consideran y categorizar por su criticidad en cuanto a lo que
significan para las operaciones. El análisis tiende a establecer una cantidad de
niveles que generalmente no baja de cinco y que en algunos casos puede llegar a
diez.
Vulnerabilidades: son los puntos débiles relacionados con los activos
organizacionales, operacionales, físicos y de sistemas TI en las Instituciones.
Los niveles de vulnerabilidad se pueden estimar en función de: severidad, dado
por los recursos necesarios para aprovechar la vulnerabilidad y el efecto en el
activo, y el grado de exposición, extensión del efecto básico, facilitando la
explotación de otras vulnerabilidades del mismo activo y/o se extiende a otros
activos.
Las amenazas son acciones que pueden causar daño en un activo de las
Instituciones Militares. Se las puede clasificar por fuerza mayor, deficiencias
organizacionales, fallas humanas, fallas técnicas y actos deliberados.
Los niveles de vulnerabilidad pueden estimarse de acuerdo a la capacidad y
motivación del agente provocador, la concreción de una amenaza provoca un
impacto en un activo, dicho impacto y la probabilidad de ocurrencia a lo largo del
tiempo pueden usarse como medida del efecto de una amenaza.
-17-
2.2.7. ANÁLISIS DEL RIESGO Y SU EVALUACIÓN
El análisis del riesgo es la utilización sistemática de la información para identificar
las fuentes y estimar el riesgo (NTE INEN, ISO/IEC 27002:2009, 2009)5. El
objetivo del análisis del riesgo es identificar y calcular los riesgos basados en la
identificación de los activos, y en el cálculo de las amenazas y vulnerabilidades.
Los riesgos se calculan de la combinación de los valores de los activos, que
expresan el impacto de pérdidas por confidencialidad, integridad y disponibilidad y
del cálculo de la posibilidad de que amenazas y vulnerabilidades relacionadas se
junten y causen un incidente.
En las Instituciones Militares una vez efectuado el cálculo del riesgo por cada
activo, en relación de su amenaza, se debe determinar cuáles son aquellas
amenazas cuyos riesgos son los más significativos, este proceso se denomina
evaluación del riesgo.
Luego de analizar el riesgo, se debe iniciar un proceso de toma de decisiones
con respecto a cómo se tratará el riesgo, la decisión está influenciada por dos
factores:
1) El posible impacto si el riesgo se pone de manifiesto.
2) Qué tan frecuente puede suceder, estos factores dan una idea de la pérdida
esperada si el riesgo ocurriera, si nada se hiciera para mitigar este riesgo.
5
NTE INEN - ISO/IEC 27002:2009. Tecnologías de la Información - Técnicas de Seguridad Código de Práctica para la Gestión de la Seguridad de la Información
-18-
Se debe seguir las siguientes estrategias para el tratamiento del riesgo:
a) Reducción del riesgo: Para todos aquellos riesgos donde la opción de
reducirlos se ha tomado, se deben implementar controles apropiados para poder
reducirlos al nivel que se haya definido como aceptable.
Estos controles pueden reducir el riesgo estimado en dos maneras: reduciendo la
posibilidad de que la vulnerabilidad sea explotada por la amenaza y reduciendo el
posible impacto si el riesgo ocurriese.
b) Aceptar el riesgo: Muchas veces se presenta la situación en la cual la
organización no encuentra controles para mitigar el riesgo, o en la cual la
implantación de controles tiene un costo mayor que las consecuencias del riesgo.
c) Transferencia del riesgo: la transferencia del riesgo es una opción cuando es
difícil reducir o controlar el riesgo a un nivel aceptable, la alternativa de
transferencia a una tercera parte es más económica ante estas circunstancias.
Existen mecanismos para transferir los riesgos a otra organización; por ejemplo,
utilizar una aseguradora o la utilización de terceros para manejar activos o
procesos críticos, en la medida en que tengan capacidad de hacerlo.
d) Evitar el riesgo: se entiende cualquier acción orientada a cambiar las
actividades, o la manera de desempeñar una actividad comercial en particular,
para así evitar la presencia del riesgo. El riesgo puede evitarse por medio de: no
desarrollar ciertas actividades comerciales (por ejemplo: la no utilización de
-19-
Internet), mover los activos de un área de riesgo y decidir no procesar información
particularmente sensitiva.
2.3.
SISTEMA
DE
GESTIÓN
DE
SEGURIDAD
DE
LA
INFORMACIÓN
El modelo ISO 27001:20056 define a un SGSI como “la parte del sistema de
gestión global, basada en una orientación a riesgo de negocio, para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la
información”.
El modelo ISO 27001:2005 define a un Sistema de Gestión de Seguridad de la
Información como “la parte del sistema de gestión global, basada en una
orientación a riesgo de negocio, para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la información”.
ISO 27001:2005 define la seguridad de la información como la “preservación de la
confidencialidad, integridad, no repudio y confiabilidad”. A continuación se hace
referencia a la Norma ISO 27001:2005, la nueva familia 27000.
2.3.1. ISO/IEC 27001:2005
El origen es británico y en el año 2005, la Organización Internacional para la
Normalización (ISO) la oficializó como norma. La Figura 1, muestra la historia de
la ISO 27001 a lo largo del tiempo.
6
ISO/IEC 27001:2005. Estándar Internacional. Tecnología de la Información - Técnicas de
Seguridad - Sistemas de Gestión de Seguridad de la Información - Requerimientos.
-20-
Figura 1. Historia de ISO 27001.
Fuente: http://www.iso27000.es
En Marzo de 2006, posteriormente a la publicación de la ISO 27001:2005, BSI
publicó la BS 7799-3:2006, la cual está centrada en la gestión del riesgo de los
sistemas de información y servirá como base a la ISO 27005.
A semejanza de otras normas ISO, la 27000 es realmente una serie de
estándares, la cual se encuentra estructurada como se muestra en la Figura 2.
ISO 27005: En fase de desarrollo publicada en el año 2008. Consiste en una guía
para la gestión del riesgo de la seguridad de información y sirve de apoyo a la ISO
27001 y a la implantación de un SGSI. Se basa en la BS 7799-3:2006.
-21-
ISO 27000
SGSI
“Fundamentos y
vocabularios”
ISO/IEC
27001:2006
Requerimientos
ISO/IEC
27002:2007
(ISO 17799: 2005)
ISO/IEC
27003
“Lineamientos para la
Implementación”
ISO/IEC
27004
Lineamientos
“Métrica y Mediciones”
ISO/IEC
27005
SGSI
Lineamientos
“Gestión del riesgo”
Figura 2. Familia de estándares de la ISO 27000.
Fuente: http://www.iso27000.es
ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para la
acreditación de entidades de auditoria y certificación de los SGSI. Esta norma
adopta un enfoque basado en procesos para establecer, implementar, operar,
realizar seguimiento, revisar, mantener y mejorar el SGSI de una organización.
Esta norma adopta el modelo “Planificar – Hacer – Verificar – Actuar” (PHVA), el
cual es aplicado para estructurar todos los procesos del SGSI, la Figura 3, ilustra
cómo un SGSI toma como entrada los requisitos y expectativas de seguridad de
la información.
(Alexander, 2007), señala que el modelo ISO 27001:2005 está diseñado bajo una
óptica de enfoque a procesos. El SGSI está conceptualizado para funcionar en
cualquier tipo de organización, operando bajo el enfoque de procesos.
-22-
Figura 3. Modelo de PHVA aplicado a los procesos del SGSI. ISO/IEC 27001:2005.
Fuente: Alberto, A. (2007).
En la Figura 4, se ilustra la presentación de los distintos componentes del modelo
ISO 27001:2005, bajo la perspectiva de procesos, el modelo está concebido para
que opere con base en insumos provenientes de clientes, proveedores, usuarios,
accionistas, socios y otras partes interesadas.
El modelo ISO 27001:2005, en su óptica de procesos, también permite que cada
organización influencie el desempeño del modelo a través de consideraciones
estratégicas, tales como objetivos y políticas.
-23-
Figura 4: Enfoque a procesos del ISO 27001:2005
Fuente: Alberto, A. (2007).
2.3.2. HERRAMIENTAS PARA EL ANÁLISIS DE RIESGO
En el mercado existen varias herramientas propietarias y de libre acceso para
realizar el análisis de riesgos como
CRAMM, COBRA, RA2 Art of Risk,
MAGERIT, OCTAVE, Threat and Risk Assesment Working Guide (Canadá),
Guideline del NSW de Australia y El IT Baseline Protección Model del BSI
Alemán.
Herramientas propietarias.
CRAMM: Producto de Insight Consulting, que puede usarse con ISO 27001 para
el manejo de riesgo de negocios, para el análisis de riesgo se recolectan datos en
reuniones y entrevistas con cuestionarios estructurados (ESPE, 2005). Tiene tres
partes:
1) Valorización de activos, en escala de 1 a 10.
-24-
2) Evaluación de amenazas y vulnerabilidades. Niveles de 1 a 5 para las
amenazas, y de 1 a 3 para las vulnerabilidades.
3) Cálculo del riesgo, de 1 a 7 según una matriz. Más de 3000 contramedidas
estructuradas en la base de datos y que pueden priorizarse.
COBRA: (Análisis de Riesgo Objetivo y Bifuncional), desarrollada por C & A
Systems en cooperación con instituciones financieras. Especialmente prevista
para verificar el cumplimiento de las normas ISO 17799/27001, provee un
completo análisis de riesgo, compatible con la mayoría de las metodologías
conocidas cualitativas y cuantitativas.
Lo forman varios programas: Risk Consultant, el principal, incluyen las bases de
conocimiento que se personalizan y modifican con el Module Manager.
RA2 Art of Risk: Producto de Aexis y Xisec trabaja con análisis cualitativo de
riesgo basado en modelado estadístico. Desarrollado conforme la ISO 17799 y la
ISO 27001, usa también los principios contenidos en la MICTS2.
Permite seleccionar los controles ISO 17799 y producir evidencia a los auditores
que se han llevado a cabo los pasos de la ISO 27001 para certificación. Produce
directamente el SoA adecuado para la certificación ISO 27001.
MAGERIT: Del Ministerio de las Administraciones Públicas (MAP) de España. La
aplicación se puede ver en cuatro etapas: planificación, análisis de riesgos,
gestión de riesgos y selección de salvaguardas. En la versión 2.0, la
documentación consta de tres partes:
1) Método. Análisis y gestión de riesgos, proyectos.
2) Catálogo de Elementos. Amenazas y salvaguardas.
3) Guía de Técnicas. Tipo de análisis, diagramas, planificación de proyectos.
-25-
Herramientas de libre acceso.
OCTAVE: Evaluación de factores operacionalmente críticos: amenazas, activos
de sistemas y personal, y vulnerabilidades. Hay dos versiones: Octave y Octave-S
(Small, pequeñas empresas); éste último para equipos pequeños de personal de
seguridad. El Octave-S define una técnica de valuación basada en riesgos,
desarrollada en 10 volúmenes. El proceso incluye tres fases:
1) Construcción de perfiles de amenazas en base a los activos
2) Identificación de la infraestructura de las vulnerabilidades.
3) Desarrollo de la estrategia y planes de seguridad.
Threat
and
Risk
Assesment
Working
Guide
(Canadá):
Considera
vulnerabilidades de sistemas, personal, objetos y externas, con cinco niveles
como resultado de tres niveles de severidad y tres de exposición. Trabaja con
cinco niveles de amenazas, caracterizando los agentes de amenazas en tres
niveles de capacidad y otros tres de motivación- incorpora los escenarios de
amenazas, donde estipula analizar el impacto en función de la sensibilidad de los
activos y tasa de vulnerabilidad, así como de la frecuencia de ocurrencia. No
define bien los riesgos finales.
Guideline del NSW de Australia: Tiene tres partes principales.
1) Revisión del proceso de gestión de riesgo, ejemplo de amenazas y
vulnerabilidades y una guía para la selección de los controles de seguridad
2) Incluye una tabla que relaciona cada control de la norma ISO 17799:2000 con
diferentes tipos de control: protección, prevención, detección, respuesta y
recuperación
3) Tabla que relaciona cada control con los parámetros CIA: Confidencialidad,
Integridad
y
Disponibilidad,
Responsabilidad y Confiabilidad.
así
como
también
con
la
Autenticación,
-26-
El IT Baseline Protección Model del BSI Alemán: Permite establecer los
riesgos en base a los activos, amenazas y contramedidas. No trabaja
directamente con vulnerabilidades. Esta herramientas clasifica los activos en 35
tipos en 7 categorías; las amenazas en un total de 200 con cinco tipos: Fuerza
mayor, Deficiencias organizacionales, Fallas humanas, Fallas técnicas y Actos
deliberados; y, Contramedidas: Unos 600 de diferentes tipos. Además incluye una
tabla de contramedidas vs. Amenazas.
En relación a lo antes expuesto y para efecto de esta investigación en la cual se
realizará el análisis de riesgo en las Instituciones Militares, utilizaremos las
herramientas CRAMM y BSI Alemán.
2.4. BASES LEGALES
Los
planteamientos
procedimientos
y
legales
estándares
se
basaron
que
en
establecen
los
lineamientos,
los
artículos
que
normas,
tienen
correspondencia con esta investigación.
2.4.1. ESTÁNDARES INTERNACIONALES
ISO/IEC 27001:2005 – Tecnología de la Información – Técnicas de seguridad –
Sistemas de Gestión de Seguridad de la Información.
ISO/IEC 17799:2005 – Tecnología de la Información – Técnicas de seguridad –
Código para la práctica de la gestión de la seguridad de la información
Organización Internacional de Estándares (ISO).
-27-
2.4.2. LEYES NACIONALES
NTE INEN - ISO/IEC 27002:2009 – Tecnologías de la Información– Técnicas de
Seguridad – Código de Práctica para la Gestión de la Seguridad de la
Información.
2.4.3 NORMATIVA INTERNA
D.G.P. COGMAR-INF-002-2010-O – 12 de Julio del 2010 – Directiva General
Permanente Seguridad de la Información.
DIRTIC. 25 de Noviembre del 2010 – Dirección de Tecnologías de la Información
y Comunicaciones – Estatuto Orgánico por Procesos.
2.5. SISTEMA DE VARIABLES
(Hernández R. , 2003, pág. 143)7, Señala que variable “es una propiedad que
puede variar y cuya variación es susceptible de medirse u observarse”, por tal
razón las variables deben ser definidas de dos formas conceptual y
operacionalmente.
Una definición conceptual trata la variable con otros términos, para lo cual se
deben definir las variables que se utilizan y puedan ser comprobadas o
contextualizadas.
7
Hernández, Roberto. 2003. Metodología de la Investigación
-28-
Una definición operacional constituye el conjunto de procedimientos que describe
las actividades que un observador debe realizar para recibir las impresiones
sensoriales, las cuales indican la existencia de un concepto teórico en mayor o
menor grado.
En el presente trabajo la variable a definir es Sistema de Gestión de Seguridad de
la Información, las mismas que se describe en la Tabla 1 operacionalmente
basado en los objetivos de control de las normas ISO/IEC 27001:2005.
Tabla 1. Operacionalización de las Variables.
Fuente: Autor
Dimensión
Indicadores
Ítems
Sistema de
Gestión de
seguridad de la
Información
Políticas de
Seguridad
Documento de la política de seguridad
de la información
1
Revisión de la política de Seguridad de
la Información
2y3
Compromiso de la dirección para la
seguridad de la información
4y5
Asignación de responsabilidades sobre
seguridad de la información
6
Proceso de autorización para los
recursos de procesamiento de la
información
7
Acuerdos de confidencialidad
8
Organización de la
Seguridad de la
Información
Sistema de
Gestión de
seguridad de la
Información
Gestión de activos
Seguridad de
recursos humanos
Identificación de riesgos relacionados a
partes externas.
9 y 10
Inventario de equipos
11 y 12
Propiedad de los activos
13
Directrices de clasificación
14
Selección
15
Proceso disciplinario
16
Toma de conciencia, educación y
formación en la seguridad de la
información
17
Instrumento
CUESTIONARIO Y OBSERVACIÓN DIRECTA
Variable
-29-
Devolución de los activos
Perímetro de seguridad
20
Controles físicos de entrada
Protección
contra
las
externas y ambientales
21 - 25
amenazas
Trabajo en áreas seguras
28
Ubicación y protección del equipo
29
Servicio de apoyo
30
Seguridad del cableado
31
Mantenimiento de equipos
32
Seguridad en la reutilización
eliminación de equipos
o
Retiro de la propiedad
Gestión de
comunicaciones y
operaciones
Control de accesos
Sistema de
Gestión de
seguridad de la
Información
Adquisición,
desarrollo y
mantenimiento de
sistemas de
información
26 y 27
Documentación
operativos
de
33
34
procedimientos
35
Gestión de cambio
36
Gestión de la capacidad
37
Controles contra código malicioso
38 y 39
Copia de seguridad de la información
Control de red
40 -4142
43
Disposición de medios
44 y 45
Registro de auditoria
46
Registro de fallas
47
Sincronización de relojes
48
Política de control de acceso
49
Registro de usuarios
50
Gestión de contraseñas de usuario
51
Uso de contraseñas
52
Sesión inactiva
53
Restricción de acceso a la información
54
Análisis y especificación
requisitos de seguridad
55
de
los
Validación de datos de entrada
56
Control de procesamiento interno
57
Validación de los datos de salida
58
Política sobre la utilización de controles
criptográficos
59
CUESTIONARIO Y
OBSERVACIÓN DIRECTA
Seguridad física y
ambiental
18 y 19
-30-
Gestión de incidente
de seguridad de la
información
Reporte de los eventos de seguridad de
información
60
Reporte de debilidades de seguridad
61
Responsabilidades y procedimientos
62
Aprendizaje de los incidentes
seguridad de la información
Gestión de
continuidad del
negocio
Cumplimiento
de
63
Continuidad del negocio y evaluación de
riesgo
64
Desarrollo e implementación de planes
de continuidad que incluyan la
seguridad de la información
65
Identificación de la legislación aplicable
66
Derechos de propiedad intelectual (DPI)
67
Protección de
organización
la
68
Controles de las herramientas de
auditoria de los sistemas de información
69
los
registros
de
2.5.1. ANÁLISIS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
A la presente fecha las Instituciones Militares cuentan con una Directiva de
Seguridad de la Información(D.G.P. COGMAR-INF-002-2010-O, 2010), la cual ha
sido difundida a nivel nacional y que se encuentra en un proceso lento de
adopción.
Existe una gran cantidad de problemas e incidentes relacionados al servicio, con
la seguridad de la información en las Instituciones Militares se reducirá los riesgos
de: fuga de información, acceso y modificación de información no autorizada de
portales web, soporte técnico externo, presupuesto, garantías entre otros.
-31-
Es necesario definir un mapa de riesgos de los activos de información con el fin
de tener un conocimiento real de los riesgos
a los que están sometidos los
activos de información para identificar las amenazas y vulnerabilidades y
minimizar estas amenazas y vulnerabilidades garantizando la confidencialidad,
disponibilidad e integridad de la información.
Para conseguir un ambiente de Seguridad de la Información integral en estas
instituciones, es fundamental trabajar en conjunto desde el Alto Mando hasta el
menor componente operativo adoptando marcos de referencia que garanticen la
correcta ejecución y control de
los procesos relacionados a la gestión de
tecnologías.
Un correcto nivel de Seguridad de la Información en su contexto es el resultado
del correcto uso y gestión de recursos relacionados con Infraestructura
Tecnológica, Gestión de Personal, Telecomunicaciones, Seguridad Física, entre
otros.
Para implementar las Mejores Prácticas y Estándares Internacionales de Gestión
de TI, Seguridad de la Información y Gestión de Riesgos, es necesario contar con
un marco de referencia de gestión eficaz que proporcione un enfoque general
consistente y que sea probable asegurar resultados exitosos al utilizar TI para
apoyar la estrategia de las Instituciones Militares.
En un clima de creciente regulación y preocupación sobre los riesgos
relacionados a TI, las mejores prácticas ayudarán a minimizar los aspectos de
cumplimiento y la preocupación de los auditores.
-32-
Se definirá las necesidades relacionadas a todo el proceso de gestión y control de
TI. Esto permitirá garantizar la integración de los diferentes componentes de TI los
cuales trabajando en conjunto se logrará mejorar el nivel de seguridad hacia los
activos de información.
-33-
CAPÍTULO 3. DISEÑO DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD
DE
LA
INFORMACIÓN
PARA
INSTITUCIONES MILITARES
3.1. ALCANCE DEL DISEÑO DEL SGSI
El diseño de un Sistema de Gestión de Seguridad de la Información para
Instituciones Militares permitirá realizar la aplicación de controles adecuados para
reducir los riesgos de seguridad de la información e incorporar estándares
internacionales ajustados al campo militar y nuevas tecnologías de la información
y comunicaciones con el fin de contribuir a la modernización de las Instituciones
Militares.
Establecerá las reglas, planes y acciones para asegurar la información y mejorar
la gestión actual con la cual se ejecuta la seguridad de la información en las
Instituciones Militares, socializando en los miembros de la Institución Militar la
importancia y sensibilidad de la información que se transmite a través del uso de
los servicios del Sistema de Comunicaciones.
Mejorará el control en los siguientes factores: revisión de privacidad y recolección
de documentos, seguridad de los procesos físicos (personas confiables),
verificación de posibles vulnerabilidades, identificación de sistemas y puertos,
implantación de sistemas de seguridad de intrusos y cortafuegos, elaboración de
políticas de seguridad, testeo de módems, seguridad inalámbrica.
-34-
Definirá
los
procesos
y
normativas
Institucionales
que
garanticen
la
confidencialidad, disponibilidad e integridad de la información en todo su proceso,
desde la generación, procesamiento y obtención de información, ligados a una
política general de Gobierno de TI.
Principales requerimientos funcionales a ser obtenidos
a. Manejo integral de los activos de información basado en normativas
internacionales.
b. Conocimiento real de los riesgos a los que están sometidos los activos de
información basados en un Sistema de Gestión de Riesgos de Activos de
Información, Mapa de Gestión de Riesgos.
c. Gestión y uso de los recursos de información basados en procesos ligados
a garantizar la disponibilidad, confidencialidad e integridad de la
información.
d. Integración de todos los proyectos institucionales de tecnología
en un
marco que garantice la seguridad de la información.
e. Conocimiento real del estado situacional en relación a las políticas
relacionadas a la Gestión y Gobierno de TI.
3.2. DISEÑO DE LA INVESTIGACIÓN
Para realizar el Diseño del Sistema de Gestión de Seguridad de la Información
para las Instituciones Militares, se describen a continuación las tres primeras
-35-
fases. La Fase I Diagnóstico, la Fase II de Factibilidad y la Fase III Diseño del
proyecto que se refiere a cada uno de los aspectos que contiene la propuesta.
3.2.1. FASE I DIAGNÓSTICO
En esta fase se realizará el análisis general de la situación actual de la seguridad
de la información en las instituciones militares.
Se desarrollaron las primeras etapas de la metodología de análisis de
información, a través de la aplicación de una investigación de campo al personal
que labora en la Dirección de Tecnologías de la Información y Comunicaciones.
La dirección de Tecnologías de la Información y Comunicaciones se encuentra
conformada
por
los
siguientes
Departamentos:
Dirección,
Subdirección,
Departamento Administrativo Financiero, Departamento de Desarrollo y Gestión
de Proyectos, Departamento de Comunicaciones, Departamento de Criptografía y
Seguridad Telemática, Departamento de Control de Centros y el Centro de
Tecnología de la Información y Comunicaciones.
3.2.2. POBLACIÓN Y MUESTRA
(Hernández R. , 2003), define a una población o universo “puede estar referido a
cualquier conjunto de elementos de los cuales pretenden indagar y conocer sus
características, o una de ellas, y para el cual serán válidas las conclusiones
obtenidas en la investigación”, y a la muestra como “un subconjunto de elementos
que pertenecen al conjunto definido como población”. Para seleccionar la
-36-
población, es necesario considerar cuál será la unidad de análisis, lo que permitirá
definir con qué elementos (personas) se va a trabajar.
En el caso de la presente investigación la población que determinó la necesidad
de realizar diseño de un Sistema de Gestión de Seguridad de la Información para
las Instituciones Militares, se encuentra
constituido por cincuenta y uno (51)
empleados que laboran en la Dirección de Tecnologías de la Información y
Comunicaciones, de acuerdo a lo que se ilustra en el Tabla 2.
(Ary, 1996, pág. 54), señala que “…si la población posee pequeñas dimensiones,
deben ser seleccionados en su totalidad, para así reducir el error en la
muestra…”. Tomando como fundamento ésta definición, podemos determinar que
la muestra es aquella representada por la totalidad de los individuos que permiten
obtener información sobre el tema a investigar.
Tabla 2. Descripción de la Población de la DIRTIC.
Fuente: DIRTIC
Cantidad
Personas
Departamento u Oficina
DIRTIC
Dirección
2
Subdirección
6
Departamento Administrativo Financiero
4
Departamento de Desarrollo y Gestión de Proyectos Informáticos
5
Departamento de Comunicaciones
5
Departamento de Criptografía y Seguridad Telemática
6
Departamento de Control de Centros
2
CETEIG
Centro de Tecnología de la Información y Comunicaciones
21
Total
51
-37-
De acuerdo a lo que se describe en la Tabla 2, se deduce que los sujetos de
estudio de la presente investigación se encuentran conformado por cincuenta y
uno (51) personas que laboran en la Dirección de Tecnologías de la Información y
Comunicaciones y el Centro de Tecnología de la Información y Comunicaciones.
3.2.3.
TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE
DATOS
La técnica utilizada para obtener la información fue la encuesta, la misma permitió
la recolección de información en forma directa a fin de diagnosticar como se
encuentra la seguridad de la información en la Dirección de Tecnologías de la
Información y Comunicaciones y el Centro de Tecnología de la Información y
Comunicaciones.(Hernández R. , 2003, pág. 285), determina que una técnica es
un procedimiento estandarizado que se ha utilizado con éxito en el ámbito de la
ciencia.
El instrumento de recolección de datos es un dispositivo de sustrato material que
sirve para registrar los datos obtenidos a través de las diferentes fuentes. Así
como un cuestionario consiste en “Un conjunto de preguntas respecto a una o
más variables a medir relacionadas con los indicadores que se obtienen de la
operacionalización de los objetivos específicos.”
Para obtener la información se elaboró el instrumento en función de los objetivos
definidos en el presente trabajo, con el propósito de interrogar a los sujetos de
estudio, a través de un cuestionario estructurado con preguntas cerradas.
-38-
El cuestionario consta de sesenta y nueve (69) ítems de acuerdo a como se indica
en el Anexo “C”, con opciones de respuestas en un formato de escala tipo Likert;
Siempre (S), Casi Siempre (CS) Algunas veces (AV), Casi Nunca (CN) y Nunca
(N), con el fin de diagnosticar cómo se encuentra la Seguridad de la Información
en la Dirección de Tecnologías de la Información y Comunicaciones.
Las preguntas cubren todos los aspectos de riesgos y amenazas a la
confiabilidad, integridad y la disponibilidad de la información y están basadas en
los requerimientos de la institución, pero para realizar un ordenamiento se tomó
en cuenta los objetivos de control de la ISO 27001:2005:
a) Políticas de seguridad
b) Organización de la Seguridad de la Información
c) Gestión de activos
d) Seguridad de recursos humanos
e) Seguridad física y Ambiental
f) Gestión de comunicaciones y operaciones
g) Control de Accesos
h) Adquisición, desarrollo y mantenimiento de sistemas de información
i) Gestión de incidente de seguridad de la información
j) Gestión de continuidad del negocio y
k) Cumplimiento.
Por la naturaleza del estudio y en función de los datos que se requieren, se utilizó
la técnica de observación directa, no participante y sistemática en la realidad,
(Hernández R. , 2003), indica que “la observación consiste en el registro
sistemático, válido y confiable de comportamiento”.
-39-
Cuando se habla de observación no participativa se refiere a que “el investigador
asumirá un papel de espectador de los hechos, del conjunto de actividades y
relaciones laborales que se producen cotidianamente”.
Cuando se refiere al término sistemático, se refiere a que “se observa todo lo
relativo a los antecedentes, forma, duración y frecuencia en que se originan los
mismos”.
3.2.4. VALIDEZ DEL INSTRUMENTO
(L Hurdado y Toro G.J., 2001), Define que “la validez es el grado en que la
medición representa al concepto medido”,
es un concepto del cual pueden
tenerse diferentes tipos de evidencias relacionadas con el contenido, criterio y con
el constructo”. La validez de contenido se refiere al grado en que un instrumento
refleja un dominio específico de contenido de lo que se mide.
La validez de criterio establece la validez de un instrumento de medición
comparándola con algún criterio externo, que es un estándar con el que se juzga
la validez del instrumento, considerándose que entre más se relacionen los
resultados del instrumento de medición con el criterio, la validez del criterio será
mayor.
De igual manera, la validez de constructo se refiere al grado en que una medición
se relaciona consistentemente con otras, de acuerdo con hipótesis derivadas
teóricamente sobre esa variable, siendo un constructo una variable medida dentro
de una teoría o esquema teórico.
-40-
Para determinar la validez del instrumento se utilizó la técnica de juicio de
expertos, donde se eligieron cuatro especialistas, Ingenieros en Sistemas con
títulos de Magíster, versados en el tema, quienes a través de un formato de
validación como se ilustra en el Anexo D.
Se realizó con la finalidad de modificar la redacción de los ítems, y determinar la
existencia o no de ambigüedad en la redacción de los mismos, buscando la mayor
claridad, congruencia y pertinencia posible.
Finalmente luego de las correcciones y recomendaciones del caso se procedió a
la elaboración del instrumento definitivo a ser aplicado a los sujetos de la muestra.
3.2.5. CONFIABILIDAD DEL INSTRUMENTO
(Hernández R. , 2003, pág. 123), consideran que la confiabilidad de un
instrumento de medición, es la “capacidad que tiene de registrar los mismos
resultados en repetidas ocasiones, con una misma muestra y bajo las mismas
condiciones”.
La confiabilidad del instrumento se determinó previa aplicación de una prueba
piloto a un grupo de diez (10) personas, tomados al azar perteneciente a la
Dirección de Tecnologías de la Información y Comunicaciones y a los diferentes
Departamentos.
Los resultados obtenidos se procesaron estadísticamente mediante el método
Alpha de Cronbach, determina que es el método que más se adapta en los casos
de la medición de constructos a través de escalas, allí no existen respuestas
-41-
correctas ni incorrectas, el sujeto marca el valor de la escala que considera
representa mejor su punto de vista.
El coeficiente Alpha de Cronbach indica la capacidad que tiene el instrumento
para arrojar resultados similares en repetidas ocasiones.
Para determinar el resultado del coeficiente Alpha de Cronbach se emplea la
siguiente fórmula:
FÓRMULA
Dónde:
Es la sumatoria de la varianza por ítems,
Es la varianza total y
Es el número de preguntas o ítems.
El índice de confiabilidad debe ser menor o igual a uno (1) para que el valor
indicativo del instrumento posea un alto grado de consistencia interna, lo que
indica la exactitud y objetividad en los resultados. (Hernández R. , 2003),
Especifica que los criterios establecidos para el análisis del coeficiente de Alpha
de Cronbach son los siguientes:
-42-
Tabla 3. Criterios de Confiabilidad.
Fuente: Metodología de la Investigación, Hernández (2003).
Valores de Alpha
Criterios
De –1 a 0
No es confiable
De 0.01 a 0.49
Baja confiabilidad
De 0.50 a 0. 75
Moderada confiabilidad
De 0.76 a 0.89
Fuerte confiabilidad
De 0.90 a 1.00
Alta confiabilidad
Luego de aplicar el método Alpha de Cronbach como se indica en el Anexo E, se
obtuvo una confiabilidad de 0,96 lo cual indica que es altamente confiable.
3.2.6. TÉCNICAS DE ANÁLISIS DE LOS DATOS
Una vez que se ha obtenidos los resultados, producto de la aplicación del
instrumento se procedió a su ordenación para analizarlos mediante la estadística
descriptiva. (Hernández R. , 2003), señala como “el uso de bases estadísticas de
frecuencias y porcentajes; complementados con cuadros y gráficos estadísticos
con sus respectivos análisis”
3.2.7. RESULTADOS
Se presenta los resultados de la aplicación del cuestionario dirigido al personal
técnico de la Dirección de Tecnologías de la Información y Comunicaciones, fue
tabulada manualmente, según las categorías de respuestas: S = Siempre, CS =
Casi Siempre, AV = Algunas Veces, CN = Casi Nunca y N = Nunca, según lo
establecido por escalamiento líkert el valor uno (1) es asignado a N (Nunca) y el
máximo valor de cinco (5) a S (Siempre).
-43-
Para presentar los resultados se usaron los recursos de la estadística descriptiva
que permitió el diseñó de los cuadros, donde se organizaron los datos recabados
en distribuciones por frecuencias absolutas y luego a porcentajes, se representó
gráficamente mediante diagramas de barras cada una de las preguntas del
instrumento de recolección de datos.
Con el objeto de visualizar en forma rápida los resultados se agruparon con
relación a las dimensiones señaladas en la definición operacional de los aspectos
a investigar y representados gráficamente de acuerdo a las alternativas
seleccionadas.
Posteriormente, se completó este proceso con un análisis e interpretación de los
datos en función de la norma ISO/IEC 27001:2005 y las bases teóricas que
sustentaron la investigación.
Dimensión: Política de Seguridad.
Esta dimensión contiene tres (3) ítems que permiten obtener información si en la
Dirección de Tecnologías de la Información y Comunicaciones dan soporte a la
gestión de la seguridad de la información de acuerdo a los requisitos de la
institución militar, las leyes y reglamentos existentes.
-44-
Tabla 4. Resultados de las respuestas dadas a las preguntas sobre la dimensión Políticas
de Seguridad.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
CN
%
N
%
1
8
15,69
7
13,73
7
13,73
11
21,57
18
35,29
2
9
17,65
10
19,61
11
21,57
16
31,37
5
9,80
3
8
15,69
9
17,65
16
31,37
12
23,53
6
11,76
Gráfico 1. Porcentajes de las respuestas dadas a las preguntas sobre Políticas de
Seguridad.
Fuente: Autor
De acuerdo a las respuestas emitidas de los sujetos en estudio y el análisis e
interpretación de las mismas, se puede visualizar en el Tabla 4 y Gráfico 1
referido a la dimensión: Políticas de Seguridad, en el ítem 1: (¿Existe una
preocupación dentro de la DIRTIC por la elaboración de un documento de
políticas de seguridad de información con los procedimientos a seguir para cada
uno de los riesgos más graves que tiene la información?) la mayor tendencia
-45-
porcentual se presentó en la alternativa nunca con un 35,29%, lo cual indica que
no existe una preocupación por elaborar un documento de política de seguridad
de la información.
En el ítem 2, (¿Se toman acciones rápidas y correctivas cuando la información
está en peligro?), un 31, 37% piensa que Casi Nunca lo hacen, esto refleja que no
se tiene una consciencia de la importancia de tomar medidas para proteger la
información. Igualmente, en el Ítem 3, (¿Se revisan periódicamente las medidas y
procedimientos de seguridad para determinar si son efectivos?), la mayor
tendencia con un 31,37% se presentó para las alternativas Algunas Veces, es
evidente que no existe una política clara en referencia a la seguridad de la
información.
En conclusión, para poder dirigir y dar soporte a la gestión de la seguridad de la
información de acuerdo con los requisitos de las instituciones Militares, se deben
realizar dos documentos para considerar la seguridad de la información: el
primero será un manual de política de seguridad de la información que
representará el nivel político o estratégico de las Instituciones Militares, deberá
ser
elaborado
por
la
Dirección
de
Tecnologías
de
la
Información
y
Comunicaciones y aprobado por el mando, lo cual, definirá las grandes líneas a
seguir y el nivel de compromiso de las instituciones Militares.
El segundo documento será el plan de seguridad, como nivel de planeamiento
táctico, el cual definirá el “Cómo”. Es decir, baja a un nivel más de detalle, para
dar inicio al conjunto de acciones que se deberán cumplir. Es de destacar que una
“Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran
mayoría de los aspectos que hacen falta para el Sistema de Gestión de Seguridad
de la Información (SGSI).
-46-
Dimensión: Organización de la Seguridad de la Información
Esta dimensión contiene siete (7) ítems que permiten obtener información sobre la
forma de accesar, procesar, comunicar o gestionar la seguridad de la información
tanto dentro de la Dirección de Tecnologías de la Información y Comunicaciones
así como en los repartos de las instituciones militares.
Tabla 5. Resultados de las respuestas dadas a las preguntas sobre la dimensión de la
Organización de la Seguridad de la Información.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
CN
%
N
%
4
11
21,57
16
31,37
5
9,80
10
19,61
9
17,65
5
5
9,80
19
37,25
15
29,41
9
17,65
3
5,88
6
5
9,80
2
3,92
14
27,45
22
43,14
8
15,69
7
22
43,14
13
25,49
4
7,84
6
11,76
6
11,76
8
6
11,76
10
19,61
18
35,29
7
13,73
10
19,61
9
4
7,84
16
31,37
16
31,37
7
13,73
8
15,69
10
20
39,22
10
19,61
7
13,73
6
11,76
8
15,69
En el Tabla 5 y Gráfico 2, se observan los resultados obtenidos en cuanto a la
dimensión organización de la seguridad de la información, en el item 4 (¿El
CETEIG y los jefes de los diferentes departamentos de la DIRTIC entienden,
apoyan y llevan a cabo eficazmente políticas de seguridad de la información
dentro la Institución?), el 31,37% respondió Casi Siempre y un 17,65 Nunca.
En los ítem 5 (¿La DIRTIC se preocupa de que el personal tome conciencia sobre
la importancia de la seguridad de la información y sus responsabilidades
individuales para alcanzarla?) e ítem 6 (¿Se definen claramente todas las
responsabilidades en torno a la seguridad de la información?) los resultados
presentaron la mayor tendencia hacia Casi Siempre y Casi Nunca, lo que permite
determinar que existe un compromiso demostrado, por parte de las autoridades
militares y los diferentes jefes de departamentos, así como no existe el
reconocimiento de las responsabilidades de seguridad de la información.
-47-
Gráfico 2. Porcentajes de las respuestas dadas a las preguntas sobre Organización de la
Seguridad de la Información.
Fuente: Autor
En el ítem 7, (¿Se define e implementa un proceso de autorización para los
recursos de procesamiento de la información?), el 43,14% opinó Siempre y un
25,49% Casi Siempre, lo que permite establecer que se tiene claramente
definidos los proceso de autorización para cada nuevo recurso de procesamiento
de la información. Seguidamente, el ítem 8 permite indagar sobre los acuerdos de
confidencialidad o no divulgación de la información y el mayor porcentaje lo
presentó la alternativa Algunas Veces con un 35,29%, es evidente que se deben
identificar los requisitos para los acuerdos de no divulgación de la información
para proteger la información de carácter institucional.
-48-
En el ítem 9 (¿Se tienen previstos mecanismos de seguridad para preservar la
información de intervenciones externas?), el 31,37% manifestó que Casi Siempre
y Algunas Veces, se puede determinar que están identificados los riesgos a la
información de la Dirección de Tecnologías de la Información y Comunicaciones y
las instituciones militares y en consecuencia están implementados los controles
apropiados antes de otorgar el acceso a partes externas.
En el ítem 10 (¿Se consideran todos los requisitos de seguridad identificados
antes de dar el acceso al cliente o usuario a la información o posesiones de la
DIRTIC?), el 39,22 % respondió que Siempre, mientras que el 19.61% piensa que
Casi Siempre se tratan todos los requisitos de seguridad antes de dar el acceso al
cliente o usuario de la información.
En conclusión, existe una alta tendencia en todos los ítems hacia la alternativa
Casi Siempre, los sujetos de estudios señalan que la Dirección de Tecnologías de
la Información y Comunicaciones se llevan las políticas de seguridad de la
información y están definidas claramente todas las responsabilidades individuales
para alcanzarla. Igualmente, están definidos los requisitos para los acuerdos de
confidencialidad de la información, y
se consideran todos los requisitos de
seguridad antes de dar acceso al cliente o usuario de la información externa a la
Dirección de Tecnologías.
Dimensión: Gestión de Activos.
Este indicador contiene cuatro (4) ítems que permitieron obtener información
referente si se mantiene la protección apropiada de los activos de la Dirección de
Tecnologías de la Información y Comunicaciones y las instituciones militares.
-49-
Tabla 6. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de
Activos.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
CN
%
N
%
11
21
41,18
7
13,73
10
19,61
10
19,61
3
5,88
12
19
37,25
11
21,57
5
9,80
7
13,73
9
17,65
13
5
9,80
24
47,06
8
15,69
8
15,69
6
11,76
14
10
19,61
19
37,25
10
19,61
9
17,65
3
5,88
Gráfico 3. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Activos.
Fuente: Autor
Los resultados obtenidos en la dimensión gestión de activos se expresados en el
Tabla 6 y el Gráfico 3, en el ítem 11 (¿Se identifican los equipos de computación,
tales como: laptops, computadoras de escritorio y otros, con el nombre de la
DIRTIC, nombre del departamento u oficina, teléfono, serial del equipo, serial de
-50-
bienes institucionales, entre otross?), el 41.18% opinó Siempre y un 19,61%
señaló Algunas Veces, esto refleja que todos los activos están identificados lo que
ocasiona que los inventarios están actualizados.
En el ítem 12 (¿Se realizan inventarios en cada oficina o unidad administrativa de
los equipos informáticos y de comunicaciones, con el serial del equipo, software
instalados, usuario asignado, ubicación, entre otros?), el 37,25% opino que Casi
Siempre se realizan los inventarios.
Igualmente, el ítem 13 (¿Se identifican todos los activos de información para
conocer su contenido y a qué departamento pertenecen?), el 47,06% señaló que
Casi Siempre. Es de destacar, que existen inventarios de equipos informáticos y
los activos están identificados, en los diferentes departamentos y unidades
administrativas
de
la
Dirección
de
Tecnologías
de
la
Información
y
Comunicaciones y las instituciones militares.
El ítem 14 (¿Se dan directrices para clasificar la información de acuerdo con su
valor, requisitos legales, sensibilidad y criticidad para la DIRTIC?), el 37,25%
opinó que Casi Siempre se dan directrices, lo que refleja que la información está
inventariada y clasificada y existe un procedimiento con un esquema de
clasificación establecido para etiquetar los activos de información.
En conclusión: La Dirección de Tecnologías de la Información y Comunicaciones
y las instituciones militares cuenta con un departamento de activos fijos el cual es
el encargado de realizar el inventario de todos los activos importantes, y que
posee activos que están inventariados. Existe una metodología para realizar esta
actividad donde cada activo de información está asociado con el lugar donde se
procesa la información y que a su vez es el responsable por el mismo.
-51-
Dimensión: Seguridad de Recursos Humanos.
Esta dimensión contiene cinco (5) ítems que permitieron obtener información si
los empleados, contratistas y usuarios la Dirección de Tecnologías de la
Información y Comunicaciones y las instituciones militares, están conscientes de
las amenazas de la seguridad de la información a fin de reducir el riesgo del robo,
fraude o mal uso de los recursos la Dirección de Tecnologías de la Información y
Comunicaciones y las instituciones militares. Igualmente, al terminar o cambiar de
lugar de trabajo se retiran o cambian de una manera ordenada.
Tabla 7. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad
de Recursos Humanos.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
CN
%
N
%
15
19
37,25
3
5,882
8
15,69
9
17,65
12
23,53
16
14
27,45
11
21,57
7
13,73
14
27,45
5
9,804
17
16
31,37
13
25,49
4
7,843
10
19,61
8
15,69
18
10
19,61
18
35,29
14
27,45
6
11,76
3
5,882
19
22
43,14
8
15,69
3
5,882
9
17,65
9
17,65
En la Tabla 7 y Gráfico 4, se visualizan los resultados de la dimensión seguridad
de recursos humanos. Al respecto, el ítem 15 (¿Se realiza una verificación de los
antecedentes de los candidatos para ocupar cargos administrativos, contratistas y
usuarios externos de acuerdo con las leyes, reglamentaciones y ética pertinentes
a los requisitos de la DIRTIC, clasificación de información a ser ingresado y los
riesgos percibidos? ), la mayor incidencia de respuesta la presentó la alternativa
Siempre con un 37,25%, lo que permite inferir que se realiza una verificación de
los documentos suministrados por el aspirante y sus antecedentes para poder
optar al cargo de acuerdo con las responsabilidades que desempeñará.
-52-
Gráfico 4. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad de
Recursos Humanos.
Fuente: Autor
En el ítem 16 (¿La DIRTIC aplica procesos disciplinarios a los usuarios que
cometan un incumplimiento de seguridad?) y el ítem 17 (¿Se vigilan la moral y el
comportamiento del personal que maneja los sistemas de información con el fin
de mantener una buena imagen y evitar un posible fraude?), presentaron su
mayores incidencia en la alternativa Siempre con un 27,45% y 31,37%
respectivamente, lo que evidencia que existe un proceso disciplinario formal para
los funcionarios que incurran en faltas que atente a la seguridad de la información,
igualmente se realizan supervisiones al personal para evitar posibles fraudes.
En referencia a la devolución de los activos, el ítem 18 (¿Se retiran los derechos
de acceso a todos los empleados, contratistas y usuarios a la información y al
recurso para el procesamiento de la información una vez terminado su empleo,
contrato o acuerdo, o una vez realizado el cambio a otra dependencia?).
-53-
El ítem 19 (¿La DIRTIC se asegura de que los empleados, contratista y usuarios
devuelvan todos los activos de la DIRTIC que posean una vez terminado su
empleo, contrato o acuerdo?) coincidieron que la alternativa que más se ajustó
fue
Casi
Siempre
respectivamente,
lo
presentando
que
un
demuestra
35,29%
que
se
y
Siempre
encuentra
con
43,14%
establecido
un
procedimiento para la devolución de todos los activos la Dirección de Tecnologías
de la Información y Comunicaciones y las instituciones militares y toman las
debidas previsiones para retirar todos los derechos de accesos a la información.
Dimensión: Seguridad Física y Ambiental.
Esta dimensión contiene quince (15) ítems que permiten obtener información en
relación al área de seguridad: Seguridad física y perimetral, control físico de
entradas, seguridad de las oficinas, edificios y recursos, protección contra
amenazas externas y del entorno, así como también a la seguridad de los
equipos: ubicación y protección de equipos, elementos de soporte a los equipos,
seguridad en el cableado, mantenimiento de equipos, seguridad en el
equipamiento fuera de la organización, seguridad en la redistribución o
reutilización de equipamiento, borrado de información y/o software.
En la Tabla 8 y Gráfico 5, muestra los resultados aportados por los sujetos de
estudios en relación a la seguridad física y ambiental. En este sentido, los ítems
20 (¿En la DIRTIC se establecen adecuadamente los perímetros de seguridad
(barreras tales cómo paredes, puertas de entradas controladas por tarjetas o
puesto de recepción manual) a las áreas que contienen la información y las
instalaciones de procesamiento de la información?).
-54-
Tabla 8. Resultados de las respuestas dadas a las preguntas sobre la dimensión Seguridad
Física y Ambiental.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
CN
%
N
%
20
13
25,49
17
33,33
8
15,69
6
11,76
7
13,73
21
16
31,37
9
17,65
9
17,65
10
19,61
7
13,73
22
24
47,06
6
11,76
9
17,65
9
17,65
3
5,88
23
18
35,29
4
7,84
12
23,53
9
17,65
8
15,69
24
16
31,37
13
25,49
6
11,76
10
19,61
6
11,76
25
20
39,22
5
9,80
9
17,65
9
17,65
8
15,69
26
25
49,02
6
11,76
6
11,76
11
21,57
3
5,88
27
2
3,92
19
37,25
21
41,18
4
7,84
5
9,80
28
33
64,71
5
9,80
4
7,84
7
13,73
2
3,92
29
5
9,80
25
49,02
10
19,61
8
15,69
3
5,88
30
27
52,94
6
11,76
13
25,49
3
5,88
2
3,92
31
1
1,96
28
54,90
15
29,41
1
1,96
6
11,76
32
26
50,98
9
17,65
4
7,84
9
17,65
3
5,88
33
0
0,00
25
49,02
19
37,25
5
9,80
2
3,92
34
1
1,96
22
43,14
16
31,37
9
17,65
3
5,88
En el ítem 21 (¿Se diseñan y aplican controles de entradas apropiados a las
áreas de seguridad a fin de asegurar el permiso de acceso sólo al personal
autorizado?, ítem 22 (¿Existe un procedimiento o control de admisión al edificio
administrativo para aquellas personas que no posean carnet institucional, tal
como los visitantes?) e ítem 23 (¿Se controla el ingreso a las oficinas después del
horario normal de trabajo?), presentan una alta tendencia a la alternativa Siempre,
lo que permite inferir que se encuentran establecidos los perímetros de seguridad
para las áreas que contienen información crítica de la Dirección de Tecnologías y
de las Instituciones Militares.
En lo que respecta a los controles físicos de entrada, el ítem 24 (¿Se cierran con
llave las puertas de los sitios neurálgicos en el edificio administrativo?) e ítem 25
(¿Se cierran con llaves las entradas de cada piso, así como las entradas externas
al edificio administrativo?), las alternativas con mayor porcentajes se observan en
Siempre con 31,37% y 39,22% respectivamente, lo que refleja que si se cumple y
-55-
se mantiene las puertas de entradas cerradas para impedir el paso de personal no
autorizado sobre todo fuera del horario de oficina.
Gráfico 5. Porcentajes de las respuestas dadas a las preguntas sobre Seguridad Física y
Ambiental.
Fuente: Autor
-56-
En relación a la protección contra las amenazas externas y ambientales, se
formularon las siguientes preguntas, ítem 26. ¿Se diseñan y aplican protección
física a las oficinas contra el daño por fuego, inundación, sismo, explosión,
disturbios, y las otras formas de desastre natural o hecho por el hombre? e ítem
27. ¿Se diseñan y aplican protección física a la información contra el daño por
fuego, inundación, sismo, explosión, disturbios, y las otras formas de desastre
natural o hecho por el hombre?, las respuestas estuvieron orientadas con un
49,02% y un 41,18% respectivamente a la alternativa Siempre y Algunas Veces,
reflejando que la Dirección de Tecnologías de la Información y Comunicaciones y
las instituciones militares ha considerado la protección física tanto a las oficinas
como a la información contra los desastres naturales o provocados por el hombre.
Para indagar sobre la ubicación y protección de los equipos, el ítem 28. ¿La
DIRTIC toma medidas concretas para evitar el robo de equipos tales como
laptops y otros componentes? y el ítem 29. ¿ Se toman previsiones de ubicar o
proteger los equipos para reducir los riesgos de amenazas y peligros ambientales,
y oportunidades para el acceso no autorizado?, los resultados indican una
tendencia negativa hacia las alternativas Casi Siempre, esto demuestra que existe
preocupación manifestadas la Dirección de Tecnologías de la Información y
Comunicaciones y las instituciones militares por prevenir pérdidas, daños o robo
de los activos de información.
El ítem 30 (¿Se protegen los equipos contra fallas de energía y otras
interrupciones eléctricas causadas por problemas en los servicios de apoyo?), la
alternativa Siempre presentó un 52,94%, lo que permite inferir que conocen sobre
las medidas que se deben considerar para proteger los equipos contra las fallas
de energía u otras interrupciones eléctricas.
El ítem 31 (¿Se protegen debidamente el cableado de energía eléctrica y de
comunicaciones que transporta datos contra la interceptación o daños?), el
-57-
54,90% respondió que Casi Siempre evidenciando la seguridad del cableado. El
ítem 32 (¿Se realizan mantenimientos preventivos a los equipos a fin de asegurar
su continua disponibilidad e integridad?), el 50,98% responde que Siempre se
realizan mantenimientos a los equipos.
El ítem 33 (¿Se toman las previsiones para que todos los dispositivos de
almacenamiento de datos (Pendrive, CD, Disco duros, entre otros), sean
eliminados o formateado completamente antes de su utilización?), el 49,02% se
inclinó por la alternativa Casi Siempre evidenciando mejoras en la seguridad de la
información cuando se reutilizan o eliminan equipos sin tomar las previsiones de
remover toda la información existentes en el mismo.
El ítem 34 (¿La DIRTIC da instrucciones claras y firmes a los usuarios para que
prohíban el traslado o retiro de equipo, información o software sin autorización?),
el 43,14 opinó que Casi Siempre evidenciando que existe una política de
seguridad que controle el retiro de los activos de información de la DIRTIC.
En conclusión, los resultados mostrados anteriormente demuestran que existen
mejoras en la Dirección de Tecnologías de la Información y Comunicaciones y las
instituciones militares garantizando la seguridad física tanto a las instalaciones
como a los equipos.
Dimensión: Gestión de Comunicaciones y Operaciones.
Esta dimensión contiene catorce (14) ítems que permitieron obtener información
sobre la forma de operación de los recursos de información.
-58-
Tabla 9. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión de
Comunicaciones y Operaciones.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
35
1
36
0
1,96
6
11,76
37
72,55
0,00
10
19,61
22
43,14
37
38
0
0,00
5
9,80
16
31,37
0
0,00
9
17,65
25
49,02
39
0
0,00
9
17,65
22
40
0
0,00
0
0,00
41
5
9,80
2
3,92
42
0
0,00
0
0,00
43
27
52,94
15
44
1
1,96
2
45
2
3,92
1
46
4
7,84
1
47
1
1,96
13
48
26
50,98
8
15,69
CN
%
N
%
4
7,84
3
5,88
14
27,45
5
9,80
24
47,06
6
11,76
13
25,49
4
7,84
43,14
14
27,45
6
11,76
12
23,53
31
60,78
8
15,69
0
0,00
13
25,49
31
60,78
39
76,47
12
23,53
0
0,00
29,41
6
11,76
1
1,96
2
3,92
3,92
10
19,61
28
54,90
10
19,61
1,96
31
60,78
14
27,45
3
5,88
1,96
9
17,65
16
31,37
21
41,18
25,49
25
49,02
9
17,65
3
5,88
4
7,84
9
17,65
4
7,84
En la Tabla 9 y Gráfico 6, se observan los resultados obtenidos para la dimensión
gestión de comunicaciones y operaciones. Para indagar sobre los procedimientos
y responsabilidades de operación de la información, se emplearon los ítems 35
(¿Los procedimientos operativos son documentados, mantenidos y están
disponibles a todos los usuarios que lo necesitan?) y 36 (¿Se controlan los
cambios de los recursos y sistemas de procesamiento de la información?), los
resultados encontrados son un 72,55% y 43,14% en la alternativa Algunas Veces
respectivamente, lo que indica que no se realizan mayores esfuerzo por
documentar los procedimientos, lo cual es negativo, ya que la documentación de
los procedimientos permite el manteniendo de los mismos y si estos se
encuentran disponibles a todos los usuarios que los necesiten, y se segregan
adecuadamente los servicios y las responsabilidades se logra evitar el uso
inadecuado de los mismos.
-59-
Gráfico 6. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Comunicaciones y Operaciones.
Fuente: Autor
En relación con la planificación y aceptación de los sistemas, el ítem 37, (¿Se
realizan seguimientos, ajustes y proyecciones de los requisitos de la capacidad
futura de la utilización de los recursos, para garantizar el desempeño del sistema
requerido?), el 47.06% de los sujetos de estudios opinaron que Casi Nunca se
realizan.
Para obtener información sobre la protección contra el código malicioso y movible,
se utilizaron los ítem 38 (¿Se implementan controles de detección, prevención y
recuperación de la información, para la protección contra código malicioso o
-60-
virus?) y el ítem 39 (¿Se realizan procedimientos adecuados de toma de
conciencia de los usuarios para la detección, prevención y recuperación para la
protección contra código malicioso?), las respuestas permitieron concluir que los
usuarios tiene poco conocimiento para detectar los códigos maliciosos y no
existen procedimientos formales para adiestrarlos para que puedan evitarlos y así
proteger la información.
El ítem 40 (¿Se establecen procedimientos para controlar el intercambio de
información a través de la utilización de toda clase de recursos de comunicación,
por ejemplo el uso de teléfonos celulares y laptops por parte de personas ajenas a
la DIRTIC?), el 60,78% opino que Casi Nunca, lo que indican que existe políticas
y procedimientos de intercambio de información.
En relación a las copias de seguridad, el ítem 41 (¿Se controla el acceso a las
fotocopiadoras para evitar que se puedan hacer copias de cualquier documento?),
el 60,78% opinó que Nunca se controla y el ítem 42 (¿Se realizan copias de
seguridad de la información y software de acuerdo con la política de copia de
seguridad emitida?), el 76,47% opinó que Algunas Veces, lo que permite inferir
que no se realizan backups de la información y de los sistemas de información.
El ítem 43 (¿Se gestionan y controlan adecuadamente la red de datos a fin de
protegerla de las amenazas y mantener la seguridad para los sistemas y
aplicaciones que utiliza la red, incluyendo la información en tránsito?), el 52,94%
opinó que Siempre, lo que se deduce que se lleva una buena administración y
control de la red, es decir, se implementan todas las medidas posibles para evitar
amenazas y mantener la seguridad de los sistemas y aplicaciones que circula por
ella.
-61-
En relación de manejo de medios de información, se utilizaron dos (02) ítem para
recabar información, el ítem 44 (¿Se tiene el cuidado de no arrojar información
confidencial o vital en las papeleras sin ser destruida previamente? y el ítem 45
(¿Se establecen procedimientos para el manejo y almacenamiento de la
información a fin de protegerla contra su uso inadecuado o divulgación no
autorizada?), donde la alternativa Casi Nunca con 54,90% y Algunas Veces con
60,78%, estos resultados señalan que no se toman todas las previsiones para la
difusión, modificación, eliminación o destrucción de cualquier elemento capaz de
almacenar información (dispositivo USB, CD, discos, cintas, papeles, entre otros
tanto fijos como removibles).
El ítem 46 (¿Se producen y mantienen los registros de auditorías cuando se
detectan actividades de procesamiento de la información no autorizada, a fin de
ayudar a futuras investigaciones y seguimiento de control de accesos?) y el ítem
47 (¿Se registran, analizan y se toman acciones apropiadas cuando se detectan
fallas en las actividades y procesamiento de la información no autorizada?),
presentaron una alta incidencia en la alternativa Nunca con un 41,18% y Algunas
Veces 61,54% respectivamente, estos resultados confirman que no se llevan
registros de auditorías de los eventos de seguridad que ocurren en los sistemas
de información.
El ítem 48 (¿Se sincronizan los relojes de todos los sistemas de procesamiento de
la información pertinentes dentro de la DIRTIC con una fuente de tiempo exacta
acordada?), el 50,98% opinó que Siempre se tiene una sincronización de toda la
infraestructura de servidores.
Dimensión: Control de Accesos.
-62-
Esta dimensión contiene seis (06) ítems que permitieron obtener información si se
controlan que los usuarios autorizados, acceden únicamente a los recursos sobre
los cuales tienen derecho y a ningún otro.
Tabla 10. Resultados de las respuestas dadas a las preguntas sobre la dimensión Control
de Accesos.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
CN
%
N
%
49
22
43,14
13
25,49
6
11,76
6
11,76
4
7,84
50
1
1,96
10
19,61
31
60,78
5
9,80
4
7,84
51
28
54,90
10
19,61
1
1,96
8
15,69
4
7,84
52
20
39,22
16
31,37
5
9,80
4
7,84
6
11,76
53
1
1,96
1
1,96
16
31,37
28
54,90
5
9,80
54
21
41,18
17
33,33
5
9,80
4
7,84
4
7,84
Gráfico 7. Porcentajes de las respuestas dadas a las preguntas sobre Control de Accesos.
Fuente: Autor
-63-
De acuerdo a las respuestas emitidas de los sujetos en estudio y el análisis e
interpretación de las mismas, se puede visualizar en el Tabla 10 y Gráfico 7
referido a la dimensión control de accesos, en el ítem 49 (¿Se establecen,
documentan y revisan las políticas de control de accesos a la información?), el
43,14% respondió que Siempre, lo cual nos permite inferir que existe una política
de control de accesos.
En relación a la gestión de acceso de usuarios, se emplearon dos preguntas para
obtener información, el ítem 50 (¿Se realizan procedimientos formales de
registros de usuarios para conceder y revocar el acceso a los sistemas y servicios
de información?) y el ítem 51. ¿Se controla a través de un proceso de gestión
formal la asignación de contraseñas de usuarios para prevenir el acceso no
autorizado a los sistemas de información?), ambas respuestas muestran un alta
incidencia por la alternativa Algunas Veces con un 60,78% y Siempre con un
54,90% respectivamente, lo que nos indica que existe un procedimiento formal de
registro y revocación de usuarios y una adecuada administración de los privilegios
y de las contraseñas de cada uno de los usuarios.
En relación al indicador uso de contraseñas el ítem 52 (¿Se les motiva a los
usuarios seguir buenas prácticas de seguridad para la selección y uso de sus
contraseñas?), el 39,22% opino que Siempre, esto refleja que los usuarios tienen
claro el uso de contraseñas, así como también evidencia que existen
procedimientos formales para la selección y uso de contraseñas.
El indicador sesión inactiva, el ítem 53 (¿Se activa automáticamente un protector
de pantalla protegido con contraseña, cuando el usuario deja de utilizar un tiempo
prudencial el computador?), el 54,90% opinó que Casi Nunca, lo que refleja una
falla en la seguridad de la información en el momento que un empleado se levante
de su puesto y transcurrido un periodo de tiempo prudencial no se apague la
-64-
sesión da oportunidad a que cualquier persona que no está autorizado trabaje en
el computador, pueda obtener información, cambiarla y hasta borrarla.
El ítem 54 (¿Se restringe de acuerdo con las políticas de control el acceso a la
información y a las funciones del sistema de aplicación?) referido al indicador
restricción de acceso a la información, el 33,33% respondió que Casi Nunca se
hace, esto evidencia que se tiene una política de control de acceso definida.
En conclusión, los resultados obtenidos muestran una inclinación hacia la
alternativa Siempre. Es de destacar, que el control de acceso es una de las
actividades más importantes de la arquitectura de seguridad de un sistema y para
lograrlo debe existir una política de control de accesos documentada,
periódicamente revisada y basada en los niveles de seguridad que determine el
nivel de riesgo de cada activo. Igualmente, se exige llevar un procedimiento de
registro y revocación de usuarios, una adecuada administración de los privilegios
y de las contraseñas de cada uno de ellos, realizando periódicas revisiones a
intervalos regulares, empleando para todo ello procedimientos formalizados
dentro de la Dirección de Tecnologías de la Información y Comunicaciones y las
Instituciones Militares.
Dimensión: Adquisición, Desarrollo y Mantenimiento de Sistema de Información.
Esta dimensión contiene cinco (05) ítems que permiten averiguar si la seguridad
es una parte integral de los sistemas de información y si se previenen los errores,
pérdida, modificación no autorizada o mal uso de la información en las
aplicaciones.
-65-
Tabla 11. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
Fuente: Autor
Ítems
S
S
CS
CS
AV
AV
CN
CN
N
N
55
12
23,53
19
37,25
3
5,88
13
25,49
4
7,84
56
24
47,06
10
19,61
5
9,80
8
15,69
4
7,84
57
23
45,10
13
25,49
7
13,73
3
5,88
5
9,80
58
14
27,45
13
25,49
7
13,73
12
23,53
5
9,80
59
16
31,37
18
35,29
6
11,76
8
15,69
3
5,88
Gráfico 8. Porcentajes de las respuestas dadas a las preguntas sobre Adquisición,
Desarrollo y Mantenimiento de Sistemas de Información.
Fuente: Autor
En la Tabla 11 y Grafico 8, muestra los resultados aportados por los sujetos de
estudios en relación a la adquisición, desarrollo y mantenimiento de sistemas de
información. En este sentido, el ítem 55 (¿Se realizan análisis y especificaciones
de seguridad para los nuevos sistemas de información o para las mejoras de los
sistemas existentes?), el 37,25% opino que Casi Siempre se especifican los
requisitos de control de seguridad para los nuevos sistemas de información.
-66-
En relación al procesamiento correcto en las aplicaciones, se emplearon tres ítem
para obtener información al respecto, el ítem 56 (¿Se realizan validaciones de los
datos de entrada a las aplicaciones para asegurarse de que éstos sean correctos
y apropiados?), ítem 57 (¿Se incorporan a las aplicaciones las comprobaciones
de validación para detectar cualquier corrupción de la información a través de
errores de procesamiento o actos deliberados?) y el ítem 58 (¿Se realizan
validaciones a los datos de salida de una aplicación para asegurarse que el
procedimiento de la información almacenada es correcto y apropiado a las
circunstancias?), los resultados tienen una tendencia positiva Siempre, esto nos
permite inferir que se realiza un correcto tratamiento de la información en las
aplicaciones de la Dirección de Tecnologías de la Información y Comunicaciones
así como de las instituciones militares, se adoptan las medidas para la validación
en los datos de entrada, se tienen controles internos en el procesamiento de la
información para verificar o detectar cualquier corrupción de la información a
través de los procesos, tanto por error como intencionalmente. Y por último, existe
una validación en la salida de datos, para asegurar que los datos procesados, y
su posterior tratamiento o almacenamiento, sea apropiado a los requerimientos de
la aplicación.
En el ítem 59 (¿Se desarrollan e implementan políticas sobre la utilización de
controles para la protección de confidencialidad, autenticidad o integridad de la
información?), el 35,29% opinó que Casi Siempre se protegen la confidencialidad,
autenticidad o integridad de la información.
En conclusión, los resultados anteriores demuestran fortalecimiento de seguridad
en la adquisición, desarrollo y mantenimiento de los sistemas de información.
Dimensión: Gestión de Incidente de Seguridad de la Información
-67-
Esta dimensión contiene cuatro (04) ítems que permitieron obtener información.
Tabla 12. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión
de Incidente de Seguridad de la Información.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
CN
%
N
%
60
20
39,22
11
61
1
1,96
25
21,57
9
17,65
4
7,843
7
13,73
49,02
15
29,41
7
13,73
3
5,882
62
4
7,84
0
0
29
56,86
16
31,37
2
3,922
63
3
5,88
3
5,88
20
39,22
17
33,33
8
15,69
Gráfico 9. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de Incidente
de Seguridad de la Información.
Fuente: Autor
Los resultados obtenidos en la dimensión gestión de incidentes de seguridad de la
información se muestran en la Tabla 12 y Gráfico 9, para obtener información
acerca de los reportes de eventos y debilidades de seguridad de la información se
emplearon dos preguntas, el ítem 60 (¿Se reportan los eventos de seguridad de la
-68-
información a través de los canales de gestión apropiados tan rápidamente como
sea posible?) y el ítem 61 (¿Se les solicita a todos los usuarios de los sistemas y
servicios de información reportar cualquier debilidad en la seguridad de los
sistemas o servicios, que haya sido observada o sospechada?), los mayores
porcentajes de respuestas un 39,22% fueron para las alternativas Siempre y
49,02% Casi Siempre, esto refleja que existen procedimientos para los incidentes
de seguridad.
En relación a la gestión de los incidentes y mejoras de seguridad de la
información, los ítem 62 (¿Se establecen las responsabilidades y procedimiento
de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes
de seguridad de información?) y 63 (¿Se establecen mecanismos que permitan
cuantificar y realizar el seguimiento de los tipos, volúmenes y costos de los
incidentes de seguridad de información?), los resultados señalan un 56,86% opinó
que Algunas Veces se establecen responsabilidades y un 39,22% respondió que
Algunas Veces se establecen mecanismos para cuantificar los incidentes de
seguridad.
En conclusión, existe una alta tendencia positiva en los resultados, los que
demuestra que se están realizando una administración de los incidentes de
seguridad de la información.
Dimensión: Gestión de Continuidad del Negocio
Esta dimensión contiene dos (02) ítems que tiene como objetivo contemplar todas
las medidas tendientes a que los sistemas de información no hagan sufrir
interrupciones sobre la actividad que realiza la DIRTIC.
-69-
Tabla 13. Resultados de las respuestas dadas a las preguntas sobre la dimensión Gestión
de Continuidad del Negocio.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
CN
%
N
%
64
5
9,804
65
0
0
0
0
16
31,37
22
43,14
8
15,69
4
7,843
20
39,22
21
41,18
6
11,76
Gráfico 10. Porcentajes de las respuestas dadas a las preguntas sobre Gestión de
Continuidad del Negocio.
Fuente: Autor
Las respuestas visualizadas en la Tabla 13, Gráfico 10, permitieron evaluar en
relación a la dimensión gestión de continuidad del negocio. En este sentido, el
ítem 64 (¿Se identifican los eventos que pueden causar las interrupciones a los
procesos de la DIRTIC, al mismo tiempo que la probabilidad e impacto de tales
interrupciones y sus consecuencias para la seguridad de la información?), se
observa una tendencia negativa siendo la alternativa Casi Nunca la que presenta
-70-
mayor puntuación con un 43,14%, esto refleja que no están identificados aquellos
eventos que pueden causar interrupción del servicio.
El ítem 65 (¿Se desarrollan e implementan planes para mantener y recuperar las
operaciones y asegurar la disponibilidad de la información al nivel requerido y en
los plazos requeridos, tras la interrupción o la falla de los procesos críticos de la
DIRTIC?), el 41,18% opinó que Casi Nunca.
Estos resultados evidencian que se tienen poco conocimiento para proteger los
procesos de seguridad de la Dirección de Tecnologías de la Información y
Comunicaciones así como de las instituciones militares, de los efectos de fallas
significativas de los sistemas de información y asegurar su reanudación oportuna.
Dimensión: Cumplimiento
Esta dimensión contiene cuatro (04) ítems que permitieron obtener información si
se evitan incumplimientos de cualquier ley, estatuto, obligación reglamentaria o
contractual, así como también de cualquier requisito de seguridad.
Tabla 14. Resultados de las respuestas dadas a las preguntas sobre la dimensión
Cumplimiento.
Fuente: Autor
Ítems
S
%
CS
%
AV
%
CN
%
N
%
66
8
15,69
1
1,96
17
33,33
17
33,33
8
15,69
67
2
3,92
1
1,96
17
33,33
27
52,94
4
7,84
68
5
9,80
2
3,92
13
25,49
19
37,25
12
23,53
69
4
7,84
2
3,92
17
33,33
23
45,10
5
9,80
-71-
Gráfico 11. Porcentajes de las respuestas dadas a las preguntas sobre Cumplimiento.
Fuente: Autor
En la Tabla 14 y el Gráfico 11, reflejan las respuestas emitas por los sujetos de
estudio. En el ítem 66 (¿Se definen, documentan y se actualizan todos los
requisitos legales, reglamentarios y contractuales para cada sistema de
información de la DIRTIC?) y el ítem el 67 (¿Se implementa procedimientos
apropiados para asegurarse del cumplimiento de los requisitos legales,
reglamentarios y contractuales sobre el uso del material protegido por derechos
de propiedad intelectual, y sobre el uso de productos de software reservados?),
las respuestas dadas son negativas, con un 33,33% y un 52,94% respectivamente
para la alternativa Casi Nunca.
Estas respuestas permite inferir que no se consideran o no se identifica la
legislación aplicable a los sistemas de información que tiene la Dirección de
Tecnologías de la Información y Comunicaciones así como de las instituciones
militares, lo que hace suponer que no está definido explícitamente y
-72-
documentando todo lo que guarde relación con los requisitos legales, derecho de
la propiedad intelectual, el uso de productos de software reservados.
En el ítem 68 (¿Se protegen los registros importantes contra pérdida, destrucción
y falsificación, de acuerdo con los requisitos legales, estatutarios, reglamentarios
y contractuales de la DIRTIC?), el 37,25% opinó que Casi Nunca y en el ítem 69
(¿Se planifican actividades de auditorías que involucren comprobaciones en los
sistemas operativos y sistemas de información a fin de minimizar el riesgo de
interrupción de los procesos de la DIRTIC?), el 45,10% señaló que Casi Nunca.
Estos resultados evidencian, la poca importancia que se le presta a la protección
de la información clasificada.
3.2.8 OBSERVACIÓN DIRECTA
En lo que respecta a la observación directa, no participante y sistemática de la
realidad objeto de estudio y tomando como guía la norma (ISO/IEC 27001:2005,
2005), en el Anexo F, se encuentra los objetivos de control y controles listados en
la Tabla A.1.
En este sentido, la norma señala que “están directamente derivados y alineados
con aquellos listados en los capítulos 5 al 15 de la Norma (ISO /IEC 17779:2005,
2005), Las listas en la Tabla A.1 no son exhaustivas y una organización puede
considerar que son necesarios objetivos de control y controles adicionales”.
A continuación en la Tabla 15 se detallan las observaciones realizadas en relación
a cada uno de los objetivos de control.
-73-
Tabla 15. Observación directa.
Fuente: Autor
Cláusulas
A.5. Política de
Seguridad
A.6. Organización
de la Seguridad de
la información
A.7. Gestión de
activos
Objetivo de control
Controles
Observación directa
A.5.1. Política de
Seguridad de la
Información
A.6.1. Organización
Interna
A.5.1.1. Documento de la
política de seguridad de
la Información
A.6.1.1. Compromiso de
la dirección para la
seguridad de la
información
A.6.1.3. Asignación de
responsabilidades sobre
la seguridad de la
información
A.6.2. Partes externas
A.6.2.1. Identificación de
riesgos relacionaos a
partes externas
A.7.1. Responsabilidad
por los activos
A.7.1.1. Inventario de
activos
No existe un documento de
política de seguridad de
información
Existe un reglamento y los
lineamientos de
Tecnología aprobados por
la DIRTIC
No están definidas
claramente todas las
responsabilidades de
seguridad de la
información
No están identificados los
riesgos a la información y
recursos de procesamiento
de la información
Se tiene una mediana
documentación de lo que
debería ser un inventario
de servicios de información
y de hardware
No están implementadas
las reglas para la
utilización aceptable de la
información y los activos
asociados con las
instalaciones.
No está clasificada la
información de acuerdo
con su valor, sensibilidad y
criticidad para la DIRTIC.
No se han desarrollados
procedimientos para
etiquetar la información
No están documentadas
las responsabilidades de
seguridad de los
empleados, contratistas y
usuarios.
Los empleados,
contratistas y usuarios no
firman acuerdos donde se
establezcan
responsabilidades por la
seguridad de la
información en la DIRTIC.
No existe proceso
disciplinario formal para los
empleados que cometan
un incumplimiento de
seguridad
No están definidas
claramente las
responsabilidades para
llevar a cabo la terminación
o cambio de empleo
A.7.1.3. Utilización
aceptable de los activos
A.7.2. Clasificación de la
información
A.7.2.1 Directrices de
clasificación
A.7.2.2 Etiquetado y
manejo de la información
A.8. Seguridad de
recurso humanos
A.8.1. Antes del empleo
A.8.1.1 Roles y
responsabilidades
A.8.1.3. Términos y
condiciones de empleo
A.8.2. Durante el empleo
A.8.2.3 Proceso
disciplinario
A.8.3. Terminación o
cambio de empleo
A.8.3.1.
Responsabilidades de la
terminación
-74-
A.8.3.2 Devolución de los
activos
A.8.3.3. Retiro de los
derechos de acceso
A.9 Seguridad física
y ambiental
A.10 Gestión de
comunicaciones y
operaciones
A.9.1 Áreas seguras
A.9.1.1 Perímetros de
seguridad
A.9.2. Seguridad de los
equipos
A.9.2.2. Seguridad del
cableado
A.10.1 Procedimientos y
responsabilidades de
operación
A.10.1.1. Documentación
de procedimientos
operativos
A.10.3 Planificación y
aceptación del sistema.
A.10.3.1. Gestión de la
capacidad
A.10.4. Protección contra
código malicioso y
movible
A.10.4.1. Controles
contra código malicioso.
A.10.5. Copia de
Seguridad
A.10.5.1 Copia de
seguridad de la
información.
A.10.6 Gestión de
seguridad de la red.
A.10.6.1 Control de la red
A.10.7 Manejo de medios
removibles.
A.10.7.2 Disposición de
medios
No se cumple en su
totalidad la devolución de
todos los activos de la
DIRTIC una vez terminado
la relación laboral.
Se mantienen lazos de
amistad y se observa que
empleados que han sido
cambiados de oficinas
mantienen acceso a la
información y recursos
para el procesamiento de
la información
El cuarto de cableado
principal y de servidores si
presenta seguridad, la
puerta principal es de
aluminio y vidrio, las
paredes son de cemento y
el techo no está
desprotegido
Se observa que el
cableado de energía
eléctrica y de
comunicaciones que
transporta datos se
encuentra protegido, no se
violentan todas las normas
del cableado estructurado,
no está certificado.
Se está realizando la
documentación de los
servidores y servicios que
tienen en la DIRTIC, el
personal desconoce de
esta documentación, debe
realizar adiestramiento.
Se realiza los seguimientos
de los requisitos de los
nuevos sistemas.
Existen antivirus en las
estaciones de trabajo, pero
los usuarios no tienen
conciencia y bajan
información no autorizada
lo cual ponen en riesgo a
los sistemas de
información.
Tienen respaldo y copias
de seguridad de la
información y software falta
procedimientos.
La DIRTIC, cuenta con un
Administrador de red y una
división de redes y
comunicaciones, lo cual
permite mejorar la
administración y la
seguridad de las redes.
No existen procedimientos
formales para eliminar
cualquier elemento que
contiene información.
-75-
A.10.7.3 Procedimiento
de manejo de la
información
A.10.10 Seguimiento
A.11 Control de
accesos
A.12 Adquisición,
desarrollo y
mantenimiento de
los sistemas de
información
A.11.1 Requisitos del
negocio para el control
de accesos.
A.11.2 Gestión de
accesos de usuarios
A.10.10.1 Registro de
auditoria
A.10.10.5 Registro de
fallas
A.10.10.6 Sincronización
de relojes
A.11.1.1. Requisitos del
negocio para el control
de accesos.
A.11.2.1 Registro de
usuarios
A.11.2.3 Gestión de
contraseñas de usuario
A.12.1 Requisitos de
seguridad de los
sistemas de información.
A.12.1.1 Análisis y
especificación de los
requisitos de seguridad
A.12.2 Procesamiento
correcto en las
aplicaciones
A.12.2.1 Validación de
datos de entrada
A.12.2.2 Control de
procesamiento interno
A.12.2.4 Validación de
los datos de salida
A.13 Gestión de los
incidentes de
seguridad de la
información
A.13.1 Reportar los
eventos y debilidades de
seguridad de la
información
A.13.1.1 Reporte de los
eventos de seguridad de
información
A.13.1.2 Reporte de
debilidades de seguridad
A.14 Gestión de
continuidad del
negocio.
A.15 Cumplimiento
A.14.1 Aspectos de
seguridad de la
información de la gestión
de continuidad del
negocio
A.15.1 Cumplimiento de
requisitos legales
A.14.1.2 Continuidad del
negocio y evaluación de
riesgo
A.14.1.3 Desarrollo e
implementación de
planes de continuidad
que incluyan la seguridad
de la información.
A.15.1.1 Identificación de
la legislación aplicable.
A.15.1.2 Derechos de
propiedad intelectual
(DPI)
No existen procedimiento
para el manejo y
almacenamiento de la
información.
No se auditan las logs que
registran actividad y
eventos de seguridad. Se
monitorea levemente el
uso de los sistemas.
No existen
Se sincronizan toda la
plataforma de servidores
Existe una política de
control de acceso.
Existe un procedimiento
formal.
Se lleva una
administración formal de
asignación de contraseñas.
Se especifican los
requisitos de control de
seguridad en los sistemas
de información
Existen procedimientos de
validación de datos de
entrada elementales, pero
no garantizan que los
datos sean correctos.
Existen comprobaciones
de validación en los
sistemas
La información procesada
por los sistemas de
información es revisada
continuamente.
Existen registros de los
incidentes de seguridad.
Existe reporte de
debilidades sospechadas a
los sistemas.
No están identificados los
eventos de seguridad que
causan interrupciones al
servicio en la DIRTIC.
No existen planes de
contingencias para
mantener y recuperar las
operaciones en el menor
tiempo posible.
Falta documentación de
los sistemas de
información
LA DIRTIC si presenta
documentación técnica y
tiene licencias de Software
-76-
A.15.1.3 Protección de
los registros de la
organización.
A.15.3 Consideraciones
de auditoria de los
sistemas de información
A.15.3.1 Controles de
auditoria de los sistemas
de información
Los archivos de
información de cada una
de las oficinas presentan
buena protección.
No se planifican
actividades de auditoria
que involucren
comprobaciones en los
sistemas operativos.
3.2.9 CONCLUSIONES DEL DIAGNÓSTICO
Tomando en consideración los objetivos de la investigación y el análisis e
interpretación de las respuestas dadas por los sujetos de estudio en el
instrumento aplicado y las observaciones hechas directamente en relación a los
requerimientos de la institución y utilizando el numeral 4.2.1 de la norma, las
conclusiones del estudio son las siguientes:
a. Existe un documento de política de seguridad de la información pero no se
encuentra aprobado por la Dirección, incumpliendo con el numeral 5) del
literal 4.2.1 b) de la norma, el cual establece “Definir una política del SGSI
acorde con las características de la actividad empresarial, la organización,
su ubicación, sus activos y tecnología, que: sea aprobada por la Dirección”
b. En referencia a la organización de la seguridad de la información no se
llevan eficazmente las políticas de seguridad de la información y no están
definidas claramente todas las responsabilidades individuales para
alcanzarla, incumpliendo con el numeral 1) del literal 4.2.1 a) de la norma,
el cual establece
“incluya un marco para la fijación de objetivos y
establezca una orientación general sobre las directrices y principios de
actuación en relación con la seguridad de la información”
c. No se encuentran establecidos los requisitos para los acuerdos de
confidencialidad de la información, se consideran todos los requisitos de
seguridad antes de dar acceso al cliente o usuario de la información
externo a la DIRTIC e instituciones militares, incumpliendo con el numeral
-77-
4) del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de
estimación riesgos”.
d. No están establecidos los perímetros de seguridad para las áreas que
contienen información crítica de la DIRTIC, cumpliendo con el numeral 4)
del literal 4.2.1 b) de la norma, el cual establece “establezca criterios de
estimación riesgos”.
e. No se cumplen los procedimientos para permitir el acceso sólo al personal
autorizado, incumpliendo con el numeral 5) del literal 4.2.1 b) de la norma,
el cual establece
“Definir una política del SGSI acorde con las
características de la actividad empresarial, la organización, su ubicación,
sus activos y tecnología, que: sea aprobada por la Dirección”.
f. Se tiene poco conocimiento para proteger los procesos administrativos
críticos de la DIRTIC de los efectos de fallas significativas de los sistemas
de información y asegurar su reanudación oportuna, incumpliendo con el
numeral 2) del literal 4.2.1 b) de la norma, el cual establece “tenga en
cuenta los requisitos de la actividad empresarial, los requisitos legales o
reglamentarios y las obligaciones de seguridad contractuales”.
g. Se lleva una correcta administración y control de la red, es decir, se
implementan todas las medidas posibles para evitar amenazas y mantener
la seguridad de los sistemas y aplicaciones que circulan por ella,
cumpliendo con el numeral 4) del literal 4.2.1 b) de la norma, el cual
establece “establezca criterios de estimación riesgos”.
h. Se realizan copias de seguridad de la información y software que dispone
la DIRTIC y se prueba periódicamente, cumpliendo con el numeral 4) del
literal 4.2.1 b) de la norma, el cual establece
“establezca criterios de
estimación riesgos”.
i. Existen políticas de control de acceso a la información de la DIRTIC, pero
debe ser revisado y documentado, cumpliendo con el numeral 4) del literal
4.2.1 b) de la norma, el cual establece “establezca criterios de estimación
riesgos”.
-78-
j. No
se
encuentran identificados los eventos que pueden
causar
interrupciones, sus efectos y consecuencias para la seguridad de la
información de la DIRTIC, incumpliendo con el numeral 3) del literal 4.2.1
b) de la norma, el cual establece “esté alineada con el contexto de la
estrategia de gestión de riesgos de la organización contexto en el que
tendrá lugar la creación y el mantenimiento del SGSI”.
3.2.10 RECOMENDACIONES DEL DIAGNÓSTICO
Los resultados de la investigación fueron analizados utilizando la norma ISO/IEC
27001:2005, de allí se presentan las siguientes recomendaciones:
a. Completar y aprobar
por la Dirección el documento de política de
seguridad de la información y realizar el documento del plan de seguridad,
como nivel de planeamiento.
b. Publicar el documento de política de seguridad de la información e informar
a toda la DIRTIC y las instituciones militares, de acuerdo a lo que se
describe en la Tabla A.1 Objetivo de control y controles, literal A.5.1.1 de la
norma.
c. Determinar y revisar periódicamente la necesidad de establecer acuerdos
de confidencialidad por las autoridades militares de la DIRTIC y las
instituciones militares para que apoyen activamente la seguridad de la
información y confidencialidad de la información, a través de un
compromiso
demostrado,
con
la
asignación
explícita
de
las
responsabilidades de seguridad de la información, de acuerdo a lo que se
describe en la Tabla A.1 literal A.6.1.5 de la norma.
d. Utilizar perímetros de seguridad para proteger las áreas que contienen la
información crítica de la DIRTIC de acuerdo a lo que se describe en la
Tabla A.1 literal A.9.1.1 de la norma.
-79-
e. Definir políticas y procedimientos de funciones y responsabilidades para el
control de accesos y seguridad del personal, de acuerdo
a lo que se
describe en la Tabla A.1 literal A.8.1.1 de la norma.
f. Documentar y mantener los procedimientos de operación para asegurar la
reanudación oportuna de los servicios, de acuerdo a lo que se describe en
la Tabla A.1 literal A.10.1.1 de la norma.
g. Asegurar la protección de la información en las redes frente a posibles
amenazas y para mantener la seguridad de los sistemas y aplicaciones de
la DIRTIC, de acuerdo a lo que se describe en la Tabla A.1 literal A.10.6.1
de la norma.
h. Mantener la integridad y seguridad de la información de la DIRTIC,
realizando las copias de seguridad de la información y software, de
acuerdo a lo que se describe en la Tabla A.1 literal A.10.5.1 de la norma.
i. Establecer, documentar y revisar una política de control de acceso a la
información que dispone la DIRTIC, de acuerdo a lo que se describe en la
Tabla A.1 literal A.11.1.1 de la norma.
j. Identificar los eventos que pueden causar interrupciones en los procesos
de negocios, así como sus efectos y consecuencias para la seguridad de la
información que dispone la DIRTIC, de acuerdo a lo que se describe en la
Tabla A.1 literal A.14.1.2 de la norma.
3.3 FASE II FACTIBILIDAD
El estudio de factibilidad para determinar la viabilidad del Diseño de un Sistema
de Gestión de Seguridad de la Información para las Instituciones Militares, abarca
la disponibilidad de los recursos necesarios para llevar a cabo los objetivos o
metas señalados, la factibilidad se apoya en 3 aspectos básicos: operativa,
técnica y económica.
-80-
3.3.1 FACTIBILIDAD OPERATIVA
La factibilidad operativa, se refiere a todos aquellos recursos donde interviene
algún tipo de actividad o procesos, depende de los recursos humanos que
participen durante la operación del proyecto, durante esta etapa se identifican
todas aquellas actividades que son necesarias para lograr el objetivo y se evalúa
y determina todo lo necesario para llevarla a cabo, siguiendo los siguientes pasos:
a. Establecer el compromiso y el reconocimiento de la Dirección sobre las
responsabilidades de seguridad de la información.
b. Verificar si existe el presupuesto necesario para capacitación del personal
involucrado en el Diseño de un Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares.
c. Establecer el compromiso necesario de la Dirección para el establecimiento
del Diseño de un SGSI para las Instituciones Militares.
d. Realizar la capacitación sobre las normas básicas de Seguridad de
Información, Políticas de Seguridad Cibernética del Ministerio de Defensa
Nacional publicada en el MIDENA8.
Una vez realizado las actividades anteriores se determinará la factibilidad
operativa, si los usuarios están en la mejor disposición y compromiso para el
desarrollo del Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares.
8
Política de Seguridad Cibernética del Ministerio de Defensa Nacional (MIDENA), con el propósito
de establecer una cultura institucional de Seguridad Tecnológica.
-81-
3.3.2 FACTIBILIDAD TÉCNICA
La factibilidad técnica es un análisis de la tecnología requerida para conseguir la
funcionalidad y el rendimiento del proyecto propuesto, cuál es el riesgo de
desarrollo y cómo afectan éstos elementos en el costo del proyecto. Además, se
debe definir si el problema se puede resolver con los medios actualmente
existentes y el grado de adaptación de la solución a la tecnología con la que
cuenta la organización, para lo cual se seguirá los siguientes pasos:
a. Realizar una evaluación de las capacidades técnicas requeridas para las
alternativas del diseño.
b. Verificar si el personal la experiencia técnica para establecer el Diseño de un
Sistema de Gestión de Seguridad de la Información para las Instituciones
Militares.
c. Verificar que el personal con experiencia suficiente en el área de seguridad de
la información que será la encargada de supervisar el Diseño de un Sistema
de Gestión de Seguridad de la Información para las Instituciones Militares.
d. Evaluar la Infraestructura Tecnológica que posee la institución y las requeridas
para el Diseño.
e. Analizar el grado de aceptación que genera el Diseño de un Sistema de
Gestión de Seguridad de la Información para las Instituciones Militares.
-82-
Una vez realizado las actividades anteriores se determinará la factibilidad técnica,
si el personal que labora en la Institución posee experiencia técnica requerida
para el Diseño y la Infraestructura Tecnológica que posee son las adecuadas
para el proyecto.
3.3.3 FACTIBILIDAD ECONÓMICA
La factibilidad económica es un análisis que se realizará para determinar el costobeneficio del Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares.
(Seen, 1987), señala que “en el desarrollo de un sistema los beneficios
financieros deben igualar o exceder los costos de inversión para la empresa, para
poderse considerar factible económicamente”, por lo cual permite la utilización de
los servicios y sistemas que se dispone de manera eficaz y eficiente, rendir
cuentas en los lapsos previsto, minimizar los tiempos de respuestas a las
peticiones realizadas por los usuarios, tener información actualizada y
consolidada así como control y auditoría de los servicios, sistemas, debido a que
la seguridad de la información juega un papel preponderante y cualquier monto de
inversión para establecer el Diseño de SGSI para las Instituciones Militares, es
considerado ínfimo respecto a los beneficios que se obtienen.
Al analizar la factibilidad operativa, técnica y económica se determinará si el
Diseño de un Sistema de Gestión de Seguridad de la Información para las
Instituciones Militares, basado en las normas (ISO/IEC 27001:2005, 2005) es
viable.
-83-
3.4 FASE III ESTABLECIMIENTO DEL DISEÑO DEL SGSI
Una vez identificada la necesidad en la fase de diagnóstico y estudiada la
Factibilidad de establecer el Diseño del Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares, se procedió al establecimiento del
Diseño del SGSI, cláusula 4.2 del ISO 27001:2005.
3.4.1 DISEÑO DEL SGSI
a. Definir el alcance y los límites del Diseño del Sistema de Gestión de Seguridad
de la Información para las Instituciones Militares en términos de las
características de la DIRTIC, localización, activos y tecnología.
b. Definir una política del Diseño del Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares en término de las características de
la DIRTIC, su ubicación, activos y tecnología.
c. Definir el enfoque de evaluación del riesgo de la organización.
1. Identificar una metodología de evaluación del riesgo que sea adecuada al
Diseño del SGSI, a la seguridad de la información y a los requisitos legales
y reglamentarios.
2. Desarrollar criterios para la aceptación de los riesgos e identificar los
niveles aceptables de riesgo.
-84-
d. Identificación los riesgos.
1. Identificar los activos dentro del alcance del SGSI y los dueños de esos
activos.
2. Identificar las amenazas a esos activos.
3. Identificar las vulnerabilidades que podrían ser aprovechadas por las
amenazas.
4. Identificar los impactos que las pérdidas de confidencialidad, integridad y
disponibilidad puedan tener sobre los activos.
e. Analizar y evaluar los riesgos
1. Evaluar los impactos que puedan resultar en fallas de seguridad, tomando
en cuenta las consecuencias de una pérdida de la confidencialidad,
integridad o disponibilidad de los activos.
2. Evaluar la probabilidad real de las fallas de seguridad que ocurren teniendo
en cuenta las amenazas predominantes y vulnerabilidades, e impactos
asociados con estos activos, y los controles implementados actualmente.
3. Estimar los niveles de riesgos.
4. Determinar si los riesgos son aceptables o si requieren tratamiento
utilizando los criterios para la aceptación de los riesgos establecidos en
4.2.1 c) 2).
f. Identificar y evaluar las opciones para el tratamiento de los riesgos.
g. Seleccionar los objetivos de control y los controles para el tratamiento de los
riesgos
-85-
h. Obtener la aprobación de los riesgos residuales propuestos por la dirección.
i.
Obtener la autorización de la dirección para implementar y operar el SGSI.
j.
Preparar una declaración de Aplicabilidad.
-86-
CAPÍTULO 4.
SISTEMA
DE
APLICACIÓN DEL DISEÑO DE UN
GESTIÓN
DE
SEGURIDAD
DE
LA
INFORMACIÓN PARA INSTITUCIONES MILITARES.
4.1 DESCRIPCIÓN DE LA PROPUESTA
Para realizar el Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares, se utilizará la norma ISO/IEC 27001:2005, el cual
adopta el enfoque de procesos basado en el ciclo Deming “Planificar – Hacer –
Verificar – Actuar” (PHVA).
En el Diseño de un Sistema de Gestión de la Información para Instituciones
Militares, se tomará como referencia a la Dirección de Tecnologías de la
Información y Comunicaciones (DIRTIC), al flujo de la información militar a través
del Sistema de Comunicaciones Navales9, al utilizar los servicios y sistemas
informáticos por los usuarios de los repartos navales y militares.
La DIRTIC tiene como función básica
Planificar, gestionar, estandarizar,
controlar, integrar, e implementar proyectos, sistemas y servicios telemáticos;
manteniendo su disponibilidad y operatividad, de tal forma que el flujo de
información sea seguro, confiable y oportuno, para facilitar el cumplimiento de las
tareas operativas y administrativas en las Instituciones Militares10.
9
D.G.P. COGMAR-INF-002-2010-O. Directiva General Permanente. Seguridad de la Información.
DIRTIC. Estatuto Orgánico por Procesos. Función Básica.
10
-87-
El SGSI propuesto dentro de esta tesis exige que se siga una serie de requisitos
para que se establezca a través de la fase denominada “Planificar” una vez
establecido el modelo se implementa siguiendo los lineamientos de la fase
“Hacer”.
Cuando el modelo se ha implantado y está funcionando, se debe “monitorear y
revisar” durante la fase “verificar” y por último, con base en lo observado, se
procede a “Actuar” y tomar correctivos necesarios.
Este modelo permite proceder metodológicamente para efectuar una identificación
de activos de información dado un alcance determinado, distinguir entre el análisis
y evaluación del riesgo y visualizar la relación causa - efecto entre los elementos
del riesgo.
4.3 ALCANCE DEL DISEÑO DEL SGSI.
El alcance del Diseño del Sistema Gestión de Seguridad de la Información para
las Instituciones Militares, tomando como referencia la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada, se encuentra contemplado de
acuerdo a los requerimientos de la Institución y basados en la norma ISO/IEC
27001:2005, en el numeral 4.2.1 literales a) a la j), se realizará en la Armada del
Ecuador, tomando como caso de estudio a la Dirección de Tecnologías de la
Información y Comunicaciones (DIRTIC) y al Centro de Tecnología de la
Información (CETEIN), ubicado en el Edificio de la Dirección General del Material,
segundo piso, de acuerdo a como se ilustra en el Anexo G y Anexo H.
-88-
Se determinará el alcance del diseño del SGSI, política del SGSI, enfoque de
evaluación de riesgo, identificación del riesgo, análisis de riesgo y su evaluación,
plan de tratamiento del riesgo y el proceso de toma de decisión gerencia y la
revisión de los riesgos y la reevaluación.
Al realizar el Diseño de un Sistema de Gestión de Seguridad de la Información
para Instituciones Militares, tomando como caso de estudio a la Dirección de
Tecnologías de la Información y Comunicaciones (DIRTIC) y al Centro de
Tecnología de la Información (CETEIN) permitirá que los riesgos de la seguridad
de la información sean asumidos, gestionados y minimizados por la Institución de
una forma evaluada, documentada y estructurada.
Es importante aclarar que los aspectos que conforman la confidencialidad de la
información en las Instituciones Militares, son un factor importante en el desarrollo
de la investigación y es por eso que la información mostrada de la Armada del
Ecuador y de la Dirección de Tecnologías de la Información y Comunicaciones es
referencial y solo para efectos académicos respectivos, en vista que la
información militar11 es secreta y confidencial.
Para la implementación, operación, revisión, mantenimiento y mejora del Sistema
de Gestión de Seguridad de la Información para Instituciones Militares sólo se
especificará los lineamientos generales.
Para identificar con precisión las interfaces y dependencias del SGSI con otras
entidades de la DIRTIC, CETEIN y entidades civiles y militares externas, se optó
por utilizar la metodología propuesta por (Alexander, 2007, pág. 42), el método de
las elipses, definida como “…método que permite, dado un determinado alcance
de un SGSI, identificar sus interfaces, interdependencias con áreas y procesos,
11
(COMACO) Manual de Elaboración de Documentación de las Fuerzas Armadas.
-89-
así como averiguar el tipo de memorando de entendimiento que existe o debiera
de elaborarse, así como los contratos existentes y los grados de acuerdo
necesarios”.
Se realizaron los siguientes pasos:
a) Se determina en la elipse concéntrica los distintos procesos y subprocesos que
se realizan la DIRTIC.
b) Se identificó en la elipse intermedia las distintas interacciones que los procesos
de la elipse concéntrica tiene con otros procesos de la DIRTIC y las Instituciones
Militares
c) Se identificaron aquellas organizaciones extrínsecas a la DIRTIC que tienen
cierto tipo de interacción con los procesos y subprocesos identificados en la elipse
concéntrica
d) Se unió con flechas los tipos de interacción y la direccionalidad que tiene el
flujo de información, la Figura 5 muestra este método aplicado a la DIRTIC,
CETEIN y a los servicios que dispone esta Dirección.
-90-
Figura 5. Metodología de las elipses de Dirección de Tecnologías de la Información y
Comunicaciones.
Fuente: Autor.
La interconexión física de todos los equipos que permiten la comunicación de los
sistemas que disponen la Dirección de Tecnologías de la Información y
Comunicaciones (DIRTIC) y el Centro de Tecnología de la Información (CETEIN),
se ilustra en la Figura 6 los cuales son los activos que se utilizarán para el Diseño
del
Sistema de Gestión de Seguridad de la Información para Instituciones
Militares.
-91-
DIAGRAMA FÍSICO DE RED
TELCONET
FORTINET
FW-STBY
FW-P
SW PUBLICO
PROXY
SW CORE
SERVIDORES
DIRTIC
NÚCLEO
SERVIDORES
DIGREH
SW
BACKBONE
DISTRIBUCIÓN
RED
MODE
SW
SERVIDORES
ACCESO
NIVEL-III
DIMARE
TALLERES
CLUBNA
ESDESU
1
2
3
Figura 6. Diagrama Físico de red de la Dirección de Tecnologías de la Información y
Comunicaciones.
Fuente: Autor.
4.3 POLÍTICA DE UN SGSI
Una vez determinado el alcance del Diseño del Sistema de Gestión de Seguridad
de la Información para Instituciones Militares, la DIRTIC debe establecer una clara
política de seguridad para apoyar al Diseño del Sistema de Seguridad de
Información para Instituciones Militares, la (ISO /IEC 17779:2005, 2005), plantea
que el objetivo de la política es: “… proveer a la gerencia dirección y apoyo para
la seguridad de la información”.
-92-
Las políticas deben ser realizadas por el Departamento de Normalización y
Seguridad Telemática y aprobadas por la Dirección de Tecnologías de la
Información y Comunicaciones y se deben dar a conocer a todas repartos de las
Instituciones Militares.
En el Anexo H, se observan las políticas de seguridad de la información para la
Dirección de Tecnologías de la Información y Comunicaciones, las mismas que
contienen:
· Alcance de la política
· Definiciones
· Descripción de las políticas
o Acceso a la información
o Administración de cambios
o Seguridad de la información
o Seguridad para los servicios informáticos
o Seguridad en los recursos informáticos
o Seguridad en comunicaciones
o Seguridad para los usuarios externos
o Software utilizado
o Actualización de hardware
o Almacenamiento y respaldo
o Contingencia
o Auditoría
o Seguridad física
-93-
o Estaciones de trabajo
o Administración de la seguridad
4.4 ENFOQUE DE EVALUACIÓN DE RIESGO
El enfoque y la filosofía para el riesgo en una organización están determinados de
manera muy precisa por el ISO/IEC 27001:2005. En el Capítulo 2, se determina
que la, la metodología de evaluación de riesgo empleada es herramienta
CRAMM, y el IT Baseline Protection Model del BSI Alemán.
La herramienta CRAMM puede usarse con ISO 27001 así como para el manejo
de riesgo de negocios. (ESPE, 2005) Esta herramienta utiliza una escala de 1 a
10 para la valorización de los activos, de 1 a 5 niveles para las amenazas y de 1 a
3 para las vulnerabilidades y el cálculo del riesgo de 1 a 7 según una matriz.
El IT Baseline Protection Model del BSI Alemán, permite establecer los riesgos en
base a los activos, amenazas y contramedidas. Presenta una tabla de 200
amenazas
clasificadas
en
cinco
tipos:
fuerza
mayor,
deficiencias
organizacionales, fallas humanas, fallas técnicas y actos deliberados, tiene la
desventaja de no trabajar directamente con vulnerabilidades.
Por lo anterior descrito, para la evaluación de riesgo de este proyecto no es
recomendable trabajar con una sola metodología, es importante conocer las
bondades de cada una y aprovecharlas para adaptarla en el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares.
-94-
4.5 IDENTIFICACIÓN DEL RIESGO
El cálculo de los riesgos de seguridad de información incluye normalmente el
análisis y la evaluación del riesgo. El análisis del riesgo contemplará:
1) Identificar los activos dentro del alcance del SGSI y los dueños de esos activos
2) Identificar las amenazas a esos activos
3) Identificar las vulnerabilidades que podrían ser aprovechadas por las amenazas
4) Identificar los impactos que las pérdidas de confidencialidad, integridad y
disponibilidad puedan tener sobre los activos.
4.5.1 IDENTIFICACIÓN DE LOS ACTIVOS
Se realizó el levantamiento de información y posteriormente la situación actual de
los activos de información de la Dirección de Tecnologías de la Información y
Comunicaciones, Centro de Tecnología de la Información y la sala de servidores,
clasificando en 7 clases de activos primarios considerando de acuerdo a los
activos que posee las instituciones militares, mirando
los criterios de
confidencialidad, integridad y disponibilidad (ESPE, 2005).
Se identificaron los activos considerados vitales por el nivel de impacto que
representa a la misma en el caso de si fallara o faltara, por tal motivo se generó
un listado de los mismos, en el cual se asignó y clasificó a cada uno de los activos
por su nivel de importancia (escala 1 – 10), siendo el valor de 10 como el activo
de mayor importancia, como se detalla en la Tabla 16.
-95-
Tabla 16. Activos Primarios clasificados.
Fuente: Autor.
ACTIVOS PRIMARIOS CLASIFICADOS
Clase 1 - Componentes de Protección Genérica
Clase 2 - Infraestructura
Clase 3 - Sistemas clientes y Computadoras aisladas
Clase 4 - Servidores y redes
Clase 5 - Sistemas de Transmisión de Datos
Clase 6 - Telecomunicaciones
Clase 7 - Otros componentes TI
CLASE 1 - COMPONENTES DE PROTECCION GENERICA
Nombre Activo
Nro.
Nivel Descripción general
Primario
1.1 Reparto
8
Conjunto de medidas generales y genéricas en el campo organizacional
para una protección mínima en la DIRTIC y en TI tales como administración
de medios de datos, procedimientos en el uso de contraseñas, entre otros.
1.2
Personal
5
Totalidad de cuestiones relacionadas con el personal en su influencia en la
DIRTIC, desde su contratación, ausencias, entrenamiento, retiro, cambio de
oficina, despido o jubilación.
1.3
Políticas de back up
9
1.4
Protección de virus
9
Sistema de procedimientos sistemáticos y prevención de fallas técnicas,
borrado o manipulación inadecuada para evitar que los datos se vuelvan
inservibles o se pierdan.
Prevención o detección de virus tan pronto como sea posible y minimización
de posibles daños.
1.5
Información
9
Información clasificada
1.6
Gestión de hardware
y software
7
Procedimientos de seguridad referidos al ciclo de vida de componentes de
hardware y software.
CLASE 2 - INFRAESTRUCTURA
Nro. Nombre
Primario
2.1 Edificios
Activo Nivel Descripción general
5
Construcción donde se realizan operaciones de procesamiento de datos de
la DIRTIC.
Diseño y disposición de líneas de comunicaciones y servicios adicionales.
2.31 Oficinas
2
Lugar donde funciona la DIRTIC.
2.32 Sala de Servidores
9
Lugar donde se encuentran los servidores y componentes complementarios
incluyendo los servicios de funcionamiento y prevención general.
2.33 Archivos de medios
de datos
6
Lugar específico dentro de un ambiente donde se guardan medios de datos,
típicamente de backup.
2.34 Cuarto de Cableado
Secundario
2.4 Gabinetes
de
protección
2
Centros de conectividad, y las facilidades para su funcionamiento.
3
Armario para guardar medios de datos o hardware.
2.2
2
Cableado
CLASE 3 - SISTEMAS CLIENTES Y COMPUTADORAS AISLADAS
Nro. Nombre
Primario
3.1 Laptops
Activo Nivel Descripción general
4
Computadoras portátiles en general.
-96-
3.2
PCs bajo Windows
3
PCs conectadas en red como clientes de un servidor.
CLASE 4 - SERVIDORES Y REDES
Nro. Nombre
Activo Nivel Descripción general
Primario
4.1 Red soportada por
8
Computador que provee servicios a una red independientemente del
servidor
sistema operativo que funcione.
4.2
Servidor Linux
4.3
Servidor Windows
4.4
Componentes activos
de red
4.5
Gestión de redes y
sistemas
8a
10
8a
10
9
Computador bajo sistema operativo Unix/Linux que provee servicios en una
red.
Computador bajo sistema operativo Windows que provee servicios en una
red.
Routers, switches y demás dispositivos activos de conectividad; topología,
configuración, selección y protocolos de comunicaciones.
6
Operaciones centralizadas de chequeo y monitoreo centralizado de una red,
y administración de usuarios, distribución de software y manejo de
aplicaciones.
CLASE 5 - SISTEMAS DE TRANSMISION DE DATOS
Nro. Nombre
Activo Nivel Descripción general
Primario
5.1 Intercambio
de
4
Manejo de medios de datos en tránsito no electrónico; almacenamiento
medios de datos
físico en origen y destino.
5.2
Modem
5
Dispositivo de comunicación de banda ancha
5.3
Firewall
10
Dispositivo de protección entre dos redes, típicamente en el acceso a
Internet.
CLASE 6 - TELECOMUNICACIONES
Nro. Nombre
Activo Nivel Descripción general
Primario
6.1 Máquina de fax
2
Dispositivo de envío manual de imágenes de documentos vía telefónica.
CLASE 7 - OTROS COMPONENTES IT
Nro. Nombre
Primario
7.1 Software
aplicaciones
7.2
Activo Nivel Descripción general
Bases de datos
y
7
Manejo de los aspectos de seguridad del ciclo de vida de los Sistemas que
dispone la DIRTIC: requerimientos, selección, pruebas, aprobación,
instalación, desinstalación.
10
Selección, instalación, configuración y operación de un sistema de bases de
datos por medio de un DBMS.
Una vez determinado los activos de acuerdo con el alcance del Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
se procede a identificar las amenazas y vulnerabilidades del mismo.
-97-
4.5.2 IDENTIFICACIÓN DE AMENAZAS
Los activos de información están sujetos a distintas formas de amenazas, una
amenaza puede causar un incidente no deseado que puede generar daño a la
organización y a sus activos, es decir es una situación en la cual una persona
puede hacer algo indeseable o una ocurrencia natural.
Las amenazas pueden ser de distintos tipos con base en su origen, en la Tabla 17
se muestra una clasificación de 5 tipos de amenazas y 5 niveles de amenazas
que afectan a los activos de la Dirección de Tecnologías de la Información y
Comunicaciones.
Tabla 17. Amenazas definidas.
Fuente: Autor.
AMENAZAS DEFINIDAS
Tipo
Niveles de Amenazas
Fuerza Mayor
Muy Baja
1
Deficiencias organizacionales
Baja
2
Fallas humanas
Media
3
Fallas técnicas
Alta
4
Actos deliberados
Muy alta
5
TIPO 1 - FUERZA MAYOR
Nro. Nivel
Descripción
Detalle
1.1
3
Pérdida de personal
Por enfermedad, accidentes, muerte, huelgas que conduzcan a que
tareas TI cruciales no se puedan efectuar.
1.2
4
Fallas de los sistemas TI
1.3
2
Rayos
De un único componente que puede afectar toda la operación TI. Fallas
del ISP.
Que causen alto voltaje o el disparo de extinguidores automáticos de
incendio paralizando las operaciones.
1.4
4
Incendio
Además del daño directo el causado por el agua con que se ataca el
incendio. Descuido en el manejo de material combustible, uso impropio
de dispositivos eléctricos, fallas en el equipamiento eléctrico.
1.5
3
Inundación
1.6
2
Cables quemados
Por lluvia, inundaciones, agua usada en un incendio, bloqueo de
drenajes.
Corte de conexiones, formación de gases agresivos, material aislante no
resistente al fuego, fuego humeante sin llama en cables empaquetados.
-98-
1.7
2
Polvo y suciedad
Por trabajos realizados en paredes, pisos, actualizaciones de hardware,
materiales de empaquetado.
1.8
2
Efectos de catástrofes en En los alrededores de la DIRTIC. Desde accidentes técnicos y daños por
el ambiente
colisiones.
1.9
2
Problemas causados por Interrupción de operaciones, violencias, cortes de líneas de transmisión.
grandes eventos públicos
1.10
2
Tormentas
Desprendimiento de instalaciones en azoteas (por ejemplo aire
acondicionado), paredes débiles que caen y cortan cables.
TIPO 2 - DEFICIENCIAS ORGANIZACIONALES
2.1
4
Falta o insuficiencia de Organización: asignación responsabilidades, gestión de recursos
reglas de seguridad en
general
Conocimiento insuficiente Falta información procedimientos manejo de dispositivos
de documentos sobre almacenamiento y e-mails.
reglas y procedimientos
2.2
5
2.3
2
Recursos incompatibles o Memoria principal o espacio en disco insuficiente.
inadecuados
2.4
3
Monitoreo insuficiente de No se imprimen las entradas de consola para su análisis. Los servidores
las medidas de seguridad que se usan para comunicaciones externas deben chequearse
semanalmente en cuanto a integridad.
IT
2.5
2
Mantenimiento faltante o Baterías de UPS. Presión extinguidores.
inadecuado
2.6
1
Uso no
derechos
autorizado
de Derechos de admisión a hardware o software asignados a personas
equivocadas, o un derecho abusado.
2.7
1
Uso no
recursos
controlado
de Los medios privados que pueden entrar virus en las PCs. Productos de
limpieza no adecuados.
2.8
2
Ajuste deficiente a los Cambios de derechos en personal por vacaciones. No se imprimen los
cambios en el uso de IT
cambios de procedimientos.
2.9
3
Medio
de
datos
no Falta de rotulación adecuada o almacenamiento en lugares no previstos.
disponible cuando se lo
requiere
2.10
3
Dimensionamiento
Sala de servidores, centros de cómputo. Capacidad red y computadores,
insuficiente de redes y extendida en línea por volumen de datos o nuevos servicios. Cableado.
centro de cómputo
Nuevas normas.
2.11
2
Documentación
insuficiente del cableado
2.12
1
Protección inadecuada de Si son accesibles en corredores y cajas de escaleras, cualquier persona
dispositivos de distribución podría manipularlos y causar una caída de energía.
de energía
2.13
2
2.14
1
Cambios no regulados de Ante cambios de usuarios en móviles puede quedar información sensible
usuarios en laptops
o virus. Y si no se controlan esos cambios no se sabe quién los usó y
cuándo.
Etiquetado inadecuado de El que recibe podría no poder identificar el origen, la información
medios de datos
almacenada, o el propósito. Podría afectar una secuencia, los errores y
correcciones que no quedan claros.
2.15
1
Entrega
impropia
medios de datos
de
Consecuencias por desconocimiento cableado interno y externo.
Trabajos de terceros.
de Puede caer en manos impropias. Direccionamiento, empaquetado, fallas
de responsabilidad en recepción.
-99-
2.16
1
Provisión inadecuada de
papel para máquinas de
fax
Pérdida
de
confidencialidad de datos
sensibles de la red a
proteger
Reducción de la velocidad
de transmisión o ejecución
debido a funciones P2P
Papel, batería
2.17
4
2.18
2
2.19
3
Procedimientos faltantes o Si no se hacen pruebas antes de instalar algo nuevo, pueden volverse
inadecuados para test y amenazas. Sobre todo si se lo hace sin mayores conocimientos.
liberación de software
2.20
3
Documentación faltante o Varios: descripción de productos, uso por administrador y usuario, y de
inadecuada
sistema. Impactan la selección y toma de decisiones. Archivos
temporales con información sensible, configuraciones que cambian y
pueden afectar aplicaciones que estaban corriendo, cableado.
2.21
2
Violación de derechos de Software pirata.
autor
2.22
4
Prueba de software con Pensando que así se obtiene una valuación definitiva de las funciones y
datos de producción
performance. Puede ser que sean copias y en un ambiente aislado pero
como son datos reales están expuestos a terceros no autorizados a leer
esa información. Y si se hacen directamente en operación, a la pérdida
de confidencialidad se agregan la de integridad y disponibilidad.
2.23
2
Planificación inadecuada En redes Windows pueden ocurrir relaciones de interconfianza
de los dominios
inadecuadas. Esto puede darse especialmente cuando los derechos de
acceso se hacen muy amplios asumiendo que nadie de otro dominio
accederá los recursos locales.
2.24
3
Protección inadecuada del Por default hay amplios derechos de acceso al sistema de archivos y
sistema Windows
registro.
2.25
1
Restricción
inapropiada Algunas permitidos, prohibidos todas los demás. O la inversa: algunas
del ambiente de usuarios
prohibidas, permitidas todas las demás.
2.26
2
Mecanismos de seguridad
de
bases
de
datos
faltantes o implementados
inadecuadamente
El software de BD trae generalmente mecanismos de seguridad que
protegen los datos de accesos no autorizados, pero estos mecanismos
generalmente no son automáticos sino que se activan manualmente por
parte del administrador. Sino no se podría garantizar confidencialidad e
integridad, así como tampoco identificar violaciones de seguridad de
registro. Podría haber pérdidas de datos y la destrucción de la BD.
2.27
2
Complejidad del DBMS
Si los mecanismos de seguridad propios no son suficientes, o si las
medidas que recomienda el fabricante no se tienen en cuenta. En cuanto
al concepto de DB: que los datos específicos de la aplicación no se
almacenen en medios separados, o el no uso de db triggers y
procedimientos almacenados, o si su uso no es consistente resulta
proclive a manipulaciones que pueden afectar la integridad.
2.28
3
Complejidad del acceso a Que los derechos sean muy restrictivos y no se puedan realizar algunas
las bases de datos
tareas. O que sean muy laxos permitiendo manipulaciones. Si los
usuarios pueden acceder directamente a la DB. Salvaguardas
insuficientes para el acceso remoto a la DB. Restricciones a las
consultas.
2.29
1
Organización
deficiente Varios usuarios compartiendo una DB en la misma estación de trabajo y
del cambio de usuario en que no se deslogean.
bases de datos
Si no hay protección con un firewall queda mucha información expuesta a
Internet y hasta el resto puede deducirse u obtenerse con mayor
facilidad.
Funciones P2P en un mismo servidor Windows; restricción de ancho de
banda, retardos.
-100-
2.30
3
Deficiencias conceptuales Usuarios trabajando en grupos teniendo presente confidencialidad e
de las redes
integridad. Nuevas aplicaciones con mayores exigencias de ancho de
banda. Pérdida de disponibilidad con redes propietarias. Componentes
que no soportan ciertos protocolos.
2.31
1
Descripción
de archivos
2.32
2
2.33
1
2.34
4
Almacenamiento
inadecuado de un medio
en casos de emergencias
Operación
de
componentes
no
registrados
Manejo inapropiado de los
incidentes de seguridad
2.35
3
Administración
Porque intervienen muchas personas. No hay registro sistemático de
inapropiada de derechos todos los usuarios; quedan cuentas abiertas, o se acumulan derechos
de acceso
por cambios de actividades. Cuidado especial con los grupos.
3.1
2
3.2
2
Pérdida
de
confidencialidad
/integridad de datos por
errores de los usuarios
Destrucción negligente de
equipamiento o datos
3.3
4
No cumplimiento con las Por negligencia o pruebas insuficientes. Podrían producirse daños que
medidas de seguridad TI
podrían haberse previsto o al menos minimizados. Depende de la
persona actuante.
3.4
1
Conexión inadmisible de Por documentación o etiquetado deficiente. Puede ocasionar el paso de
cables
datos adicionales o a direcciones equivocadas.
3.5
2
3.6
2
Daño
inadvertido
de Por falta protección, cables colgando, en el suelo, perforaciones, agua.
cables
Riesgos planteados por el Manejo inapropiado de equipos, o uso indebido o hurto de componentes.
personal de limpieza o
externo
3.7
2
Uso impropio del sistema Negligencia o ignorancia de medidas de seguridad. Falta de información
TI
de la operación y funcionamiento correcto del sistema TI.
3.8
3
Administración
inapropiada
de
sistemas TI
3.9
1
Transferencia de registros Datos anteriores que no debieran aparecer. Si se envían
de datos incorrecta o electrónicamente las listas podrían no estar actualizadas respecto de
indeseada
personal que no trabaja más.
inadecuada Varios mensajes del mismo origen sin identificación adecuada, cuando a
una serie de mensajes se hacen correcciones en uno de ellos.
Por falta de capacidad de almacenamiento que se haga back up
solamente de los archivos log y de configuración.
Componentes agregados desconocidos para el administrador.
Las posibilidades siempre existen y los incidentes no pueden eliminarse.
Lo importante es la respuesta dada a un incidente. Casos como nuevos
virus, control del material que se mantiene en un servidor Web que
puede indicar un signo de ataque, nuevas vulnerabilidades que se
descubren en los sistemas IT, datos corporativos que han sido
manipulados. Si no hay procedimientos apropiados para manejar
incidentes se puede llegar a tomar decisiones incorrectas que afecten la
seguridad (componentes que se mantienen pese a conocerse serias
debilidades, o viceversa, se saca algo cuyo riesgo es menor.
TIPO 3 - FALLAS HUMANAS
Impresiones en papel que caen en manos inapropiadas. Dispositivos de
almacenamiento despachados sin borrar los datos anteriores. Derechos
de acceso incorrectos que pueden hacer que se modifiquen datos
críticos.
Apagado computador al aparecer mensaje de error que puede producir
errores de integridad. Humedad de café, etc.
Negligencia o ignorancia de medidas de seguridad. Si algunos puntos de
los acceso se crean o no se deshabilitan por no ser necesarios para la
operación regular o proclive a errores.
-101-
3.10
3
Exportación incorrecta de Los discos exportados en Linux pueden montarse por cualquier
sistemas de archivos bajo computador con el nombre definido en /etc/exports. El usuario de ese
Linux
computador puede asumir cualquier UID/GID, es decir que sólo se
pueden proteger los archivos pertenecientes al root. Los archivos de
todos los demás usuarios están completamente desprotegidos,
especialmente los que pertenecen a usuarios privilegiados como bin o
daemon.
3.11
4
Configuración impropia del Errores de configuración que permitan obtener las IDs de usuario y grupo
sendmail
que estén setados con las opciones u y g (normalmente daemon).
3.12
1
Administración incorrecta Derechos de acceso incorrectos pueden permitir acceder a datos de
del sitio y derechos de auditoria así como ocultar las manipulaciones.
acceso a los datos
3.13
1
Cambio
incorrecto
usuarios de PC
3.14
2
Administración
de una DBMS
3.15
3
Configuración inadecuada Configuración incorrecta de VLAN, tablas de enrutado en subredes sea el
de
los
componentes enrutado estático o de actualización automática por medio del RIP u
activos de las redes
OSPF, componentes que filtran protocolos y direcciones de red pero que
también pueden permitir las conexiones de sistemas TI externos dentro
de la red protegida.
3.16
1
Deshabilitación
de
servidor en operación
3.17
3
Errores en la configuración Información que ofrece el servidor Web, o un servidor DNS, contenidos
y operación
ejecutables de un e-mail, archivos bajados, programas que se abren sin
ser necesarios y que pueden usarse para ataques.
3.18
4
Manejo inapropiado
contraseñas
3.19
3
Falta de cuidado en el Contraseñas escritas a la vista, información divulgada en celulares,
manejo de la información
viajando. Reparación de una máquina por cambio y quedan los datos
para otro usuario.
de Desregistro de un usuario antes de logearse otro por negligencia o
conveniencia. Fallaría la auditoria de logs.
impropia Administración negligente o impropia de la DB, así como derechos de
acceso demasiado generoso, irregularidad o falta de monitoreo, backups
inadecuados, UDs inválidas pero no desactivadas, pueden producir
pérdida de datos, manipulación intencional o inadvertida de datos,
acceso no autorizado a datos confidenciales, pérdida de integridad de la
DB, caída y destrucción.
un Servidor de gestión deshabilitado se pierde lo que estaba en memoria,
aparecerán inconsistencias en los datos administrados.
de Que no las conozcan otras personas. Token cards perdidas. Nombres
comunes, etc.
TIPO 4 - FALLAS TECNICAS
4.1
2
Disrupciones en la fuente Cortes breves (UPS), UPS en condiciones para switch back.
de energía
4.2
2
Fallas de las redes Electricidad, teléfono, aire acondicionado. También por temperatura,
internas de alimentación
agua, etc.
4.3
2
Medios
de
defectuosos
4.4
5
Reconocimiento
vulnerabilidades
software
4.5
4
datos Discos con caída de la cabeza, CD por ralladuras superficiales.
en
de Errores no intencionales del programa no conocidos por usuario. Se
el siguen encontrando debilidades. Contramedida
Diversidad
de Además del ingreso "directo" con contraseña, por sendmail que puede
posibilidades de acceso a introducir textos, ftp anónimo sin contraseña, telnet registro completo.
sistemas TI en red
Windows más seguro.
-102-
4.6
1
Errores de transmisión de Los errores en la ruta de transmisión o en los dispositivos de conexión
fax
pueden producir pérdidas o que la información se vuelva ilegible.
4.7
1
Defectos técnicos de las Disponibilidad e integridad pueden verse afectadas.
máquinas de fax
4.8
1
Pérdida de datos debido al No se puede almacenar más datos, email entrante se rechaza, no se
agotamiento del medio de pueden mantener auditorias.
almacenamiento
4.9
4
Fallas de una base de Por errores, o acto de sabotaje puede tener amplias consecuencias
datos
dependiendo de las funciones y significado de la DB. Consecuencias
pérdidas financieras, interrupción parcial o total de las operaciones.
4.10
2
Pérdida de datos en una Por manipulación inadvertida, caídas de la DB e intrusiones deliberadas.
base de datos
Podría impedirse la ejecución, perderse la correlación de datos. Puede
ocurrir cuando se cambia el modelo de la DB.
4.11
3
Pérdida
de Corrupción parcial o datos no inteligibles por manipulación de datos no
integridad/consistencia de intencionales, chequeos inadecuados de la sincronización de
una base de datos
transacciones, e intrusiones deliberadas.
4.12
5
Falla o mal funcionamiento Puede afectar a toda la red o secciones de la misma. Podría ser un
de un componente de red switch que afecta toda su área, o componentes activos en el camino de
las comunicaciones (y no hay caminos redundantes), o para redundancia
o balanceo de carga (con las consiguientes restricciones de ancho de
banda).
4.13
4
Autenticación faltante o de Pueden hacer que personas no autorizadas logren acceder al sistema,
pobre calidad
que no se puedan identificar las causas de problemas, o no se pueda
determinar el origen de los datos. Esto ocurre por contraseñas débiles, o
no se los cambia con regularidad, o hay fallas de seguridad frente a los
que no se reacciona.
4.14
2
Falla de componentes de Pueden fallar los componentes administrados, o los de monitoreo mismo,
un sistema de gestión de la estación central de gestión, o algún elementos de conmutación durante
red o de sistemas
la transmisión correspondiente.
4.15
4
Vulnerabilidades o errores Tanto standard como los demás. Quizás encripción de standard no es
de software
suficiente. Funciones sin documentar. Errores de seguridad en la
programación, desborde de buffers.
4.16
1
Reconocimiento
automático del DVD-ROM
Si el reconocimiento de DVD-ROM está activado en Windows puede
ejecutarse algún programa peligroso en el momento del arranque.
TIPO 5 -ACTOS DELIBERADOS
5.1
2
Manipulación/destrucción
Equipos, accesorios y documentación. Inspección indebida de datos
de
equipamiento
o sensibles. Destrucción de medios de datos.
accesorios de TI
5.2
3
Manipulación de datos o Adquisición errónea de datos, cambios derechos de acceso, modificación
software
de datos contables o de mail. Depende de los derechos de acceso de la
persona.
5.3
3
Ingreso no autorizado a un Robo o alteración al poder entrar especialmente en la noche.
edificio
5.4
3
Robo
Equipamiento
confidencial.
5.5
5
Vandalismo
Es como un ataque, interno y externo, pero no determinado por
empleados frustrados, clima de trabajo propicio.
5.6
4
Ataques
Sobre los operadores TI.
TI,
accesorios,
software,
datos,
con
información
-103-
5.7
3
Intercepción de líneas
Existencia de programas debug de archivos que se pueden usar para
otras causas.
5.8
3
Uso no autorizado
sistemas TI
de Sin identificación y autenticación no se puede controlar el uso no
autorizado. Elección de contraseñas. Uso de diccionarios para romperlas.
5.9
1
Intercepción de llamadas Por conferencia oculta o intercepción de línea.
telefónicas y transmisiones
de datos
5.10
1
Escuchas furtivas de salas Terminales con micrófonos o uso del handsfree.
5.11
2
Mal uso de los derechos Cuando se usan los privilegios del root de Unix para dañar el sistema o
del administrador
los usuarios. Puede ser con archivos con root como propietario y el bit
seteado, o por medio del comando su.
5.12
3
Caballos de Troya
Funciones escondidas sin documentar. Cualquier programa más archivos
batch, secuencias de control que sean interpretados por sistemas
operativos o aplicaciones.
5.13
4
Virus de computador
Puede destruir datos. De buteo, de archivos y macro virus.
5.14
1
Copia no autorizada de Puede ocurrir cuando se lo reemplaza o transporta que se han copias.
medios de datos
5.15
1
Uso no autorizado
máquinas de fax
5.16
1
Visualización
no Si están en lugar abierto, cualquiera podría leer un mensaje que entra.
autorizada de mensajes de
fax entrantes
5.17
3
Ingeniería social
Generalmente mediante llamadas telefónicas haciéndose pasar por otros
empleados o secretarias de jefes, o administradores para solucionar
posibles errores. Hasta se puede usar para saber si una persona no
estará por unos días y así intentar usar su cuenta.
5.18
3
Macro virus
Vienen con archivos de Word o Excel. Se ejecutan al cargar el archivo.
5.19
4
Falsificación de dirección Usado para ataques indirectos por medio de intermediarios con la
IP
dirección de origen falsificada como si proviniera de otro usuario de modo
que las respuestas múltiples irán a la dirección de la víctima.
5.20
3
Abuso del protocolo ICMP
5.21
4
Mal uso de los derechos Puede asumir propiedad de cualquier archivo. Podrían que quede
de
administrador
en registrado hace back up en complicidad con los encargados del BU.
sistemas Windows
Alteración de hora o seguimiento detallado de la actividad de usuario.
5.22
3
Manipulación de datos o Provoca que los datos sean alterados o no puedan usarse por acción
software en sistemas de directa sobre los mismos o eliminación o modificación de archivos.
bases de datos
5.23
3
Conexión no autorizada de Puede ocurrir conectándose al cableado de la red o directamente a las
dispositivos
de interfaces de dispositivos de interconexión.
computación a una red.
5.24
2
5.25
1
Ejecución no autorizada
de funciones de gestión de
red.
Acceso no autorizado a
componentes activos de
red
de Que usen papel con membrete de la empresa para cualquier uso
particular o dañino para la empresa.
Por ser el ICMP un protocolo para información de errores y diagnóstico
puede ser manipulado indebidamente por un hacker.
Por medio del acceso a puertos administrativos de dispositivos de
interconexión en forma local o remota.
Estos dispositivos tienen puerto serial RS 232 o USB lo que permite su
administración. Así podría leerse su configuración y lo que puede
deducirse de la misma.
-104-
5.26
3
Pérdida de confiabilidad
en
la
información
clasificada
Falsificación de DNS
Referida tanto a datos confidenciales tanto de la empresa como
personales, así como también a la referida a contraseñas y certificados
digitales.
Ataque que consiste en alterar las tablas de equivalencia de nombres de
sitios o máquinas con sus respectivas direcciones IP.
5.27
4
5.28
3
Imposibilidad de
maliciosamente.
3
Pérdida de integridad de
información que debiera
estar protegida.
Adquisición no autorizada
de
derechos
de
administrador
con
Windows
5.29
5.30
1
Sabotaje
Manipulación o daño de objetos. Robo de UPS.
lectura,
o
alteración
de
datos
accidental
o
Esta cuenta no puede eliminarse ni deshabilitarse por lo que no
reacciona frente a sucesivos intentos de registro. Una administración
remota pasará la contraseña lo que facilita su escaneado. También están
en el registro y en archivos conocidos, así como en dispositivos de
almacenamiento y cintas de backups. También se podría lograr agregar
una cuenta al grupo administrador.
Utilizando las amenazas clasificadas, se procederá a realizar un cruce de las
amenazas y los activos como se describe en
la
Tabla 18.
Para que una
amenaza cause daño a algún activo de información tendría que explotar una o
más vulnerabilidades del sistema, aplicaciones o servicios usados por la
organización a efectos de poder ser exitosa en la intención de hacer daño.
X
2.1
X
2.2
2.13
2.12
2.11
2.10
2.9
2.8
2.7
X
X
X
2.5
2.6
X
2.4
2.3
X
2.1
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
1.9
X
X
1.8
1.10
X
X
1.7
X
X
X
X
2.2
1.6
X
1.6
X
X
X
1.5
X
X
1.4
1.5
X
1.3
1.4
X
X
1.2
X
X
1.1
1.3
1.2
1.1
Amenazas
X
X
X
X
X
2.31
X
X
X
X
X
X
X
X
X
X
X
X
X
X
2.32
X
X
X
X
X
X
X
X
X
X
X
2.33
X
X
X
X
X
X
X
X
X
X
X
X
2.34
X
X
2.4
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
3.1
Activos Primarios
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
3.2
X
X
X
X
X
X
X
X
X
X
X
X
X
4.1
Tabla 18. Cruce de las amenazas Vs. Activos.
Fuente: Autor.
4.2
4.3
X
X
X
X
X
X
X
X
X
X
X
X
X
4.4
X
X
X
X
X
4.5
X
X
X
5.1
X
X
X
X
X
X
X
X
X
5.2
5.3
X
X
X
X
X
X
X
X
X
X
6.1
X
X
7.1
X
X
X
X
X
X
X
X
X
7.2
-105-
X
X
X
X
X
X
X
X
X
X
X
X
3.2
3.3
3.5
3.4
X
3.1
2.35
2.34
2.33
2.32
X
2.31
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
2.29
X
X
2.28
2.30
X
X
X
X
X
X
X
X
X
2.27
X
X
X
X
X
X
2.26
X
X
X
X
X
X
2.24
X
X
X
X
2.25
X
2.23
X
X
X
2.22
X
X
X
2.21
X
X
X
X
X
2.20
2.19
2.18
2.17
2.16
2.15
2.14
-106-
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
4.7
X
X
X
X
X
4.11
4.13
X
X
X
X
X
4.10
4.12
X
X
4.9
4.8
X
X
X
4.6
4.5
X
X
X
X
X
X
X
X
X
X
4.4
X
X
X
X
X
X
X
X
X
X
X
X
X
4.3
4.2
X
4.1
X
X
X
3.18
3.19
X
3.17
3.16
X
X
X
X
X
X
X
3.15
X
X
X
X
X
X
X
X
X
X
3.14
3.13
3.12
X
X
X
X
X
X
X
3.11
X
X
X
3.10
3.9
3.8
3.7
3.6
-107-
X
X
X
5.18
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
5.24
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
5.23
X
X
X
X
X
X
5.22
5.21
5.20
X
X
5.19
X
X
X
5.17
X
X
5.16
X
X
5.14
X
X
5.13
5.15
X
5.12
X
X
X
X
5.11
X
5.10
5.9
5.8
5.7
X
X
5.6
X
X
5.5
X
X
X
X
5.4
X
X
X
X
X
5.3
5.2
5.1
4.16
4.15
4.14
-108-
5.30
5.29
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
5.28
X
X
X
X
X
5.27
5.26
5.25
-109-
-110-
4.5.3 IDENTIFICACIÓN DE VULNERABILIDADES
Las vulnerabilidades son debilidades de seguridad asociadas con los activos de
información de una organización. Al respecto,(Alexander, 2007), define la
vulnerabilidad como una debilidad en el sistema, aplicación o infraestructura,
control o diseño de flujo que puede ser explotada para violar la integridad del
sistema.
Las vulnerabilidades no causan daño, simplemente son condiciones que
pueden hacer que una amenaza afecte un activo.
En la Tabla 19, se presenta las vulnerabilidades clasificadas en tipo 1: física,
organizacionales y operacionales, tipo 2: técnica para plataforma Linux, tipo 3:
técnica para plataforma Windows y tipo 4: técnica de otros dispositivos.
Tabla 19. Vulnerabilidades clasificadas.
Fuente: Autor.
VULNERABILIDADES CLASIFICADAS
Nro.
TIPO 1 - FÍSICAS, ORGANIZACIONALES Y OPERACIONALES
Nivel Descripción
1,1
SEGURIDAD LÓGICA
1.1.1
Identificación
1.1.1.1
1
Datos del perfil de usuarios dados de alta
1.1.1.2
2
Gestión de bajas de usuarios
1.1.1.3
2
Mantenimiento de cuentas
1.1.1.4
2
Manejo de los permisos para los accesos
1.1.1.6
1
Identificación única o grupal
1.1.1.7
1
Gestión de grupos
1.1.1.8
2
Súper usuario
1.1.1.9
1
Visualización del logeo en pantalla
1.1.2
Autenticación
1.1.2.1
2
Manejo de los datos de autenticación
1.1.2.2
1
Manejo de intentos de logeo
-1111.1.3
Contraseñas
1.1.3.1
2
Generación de contraseñas
1.1.3.2
1
Gestión de cambio de contraseñas
1.1.4
Control de acceso lógico
1.1.4.1
1
Modelo y aplicación
1.1.4.2
2
Criterios de acceso
1.1.4.3
3
Mecanismos de control de acceso interno
1.1.4.4
3
Control de acceso externo
1,2
SEGURIDAD EN LAS COMUNICACIONES
1.2.1
Configuración de la red
1.2.1.1
3
Comunicaciones vía modem
1.2.1.2
2
Recursos compartidos de discos de PC
1.2.1.3
1
1.2.2
Estado de puertos de servicios no necesarios
Virus y Antivirus
1.2.2.1
3
No está habilitado para envío y recepción de mail
1.2.2.2
2
Actualizaciones no adecuadamente frecuentes
1.2.2.3
2
No es suficiente la frecuencia de escaneado de las unidades de las computadores
1.2.2.4
1
No se generan discos de restauración en las PCs bajo Windows
1.2.3
Documentación, normas
1.2.3.1
1
Grado y detalle de la información documentada de la red
1.2.3.2
2
Gestión y procesos de parches
1.2.3.3
1
Documentación de la configuración de las PCs
1.2.4
1.2.4.1
Ataques a la red
1
1.2.5
Antecedentes de ataques ocurridos a la red
Firewall
1.2.5.1
3
Tipo, configuración y nivel de control de firewall
1.2.5.2
1
Pruebas de configuración de firewall
1.2.5
Máquinas de Fax
1.2.5.1
2
Control de envíos por fax
1.2.5.2
1
Distribución de faxes recibidos
1,3
SEGURIDAD EN LAS APLICACIONES
1.3.1
Sistema Operativo
1.3.1.1
1
1.3.2
Requisitos de seguridad considerados al elegir el sistema operativo
Control de datos de aplicaciones
1.3.2.1
1
Existencia de control de cambios para archivos de sistema o bases de datos
1.3.2.2
3
Confidencialidad de datos de laptops y notebooks
1.3.2.3
2
Logs de transacciones y sus detalles
1.3.3
Control de datos en el desarrollo
1.3.3.1
1
Existencia de control de cambios para el desarrollo
1.3.3.2
1
Control del contenido de archivos de entrada
1.3.3.3
2
Control de validez de datos ingresados manualmente
1.3.3.4
1
Control de consistencia de datos de salida
1.3.4
Seguridad de bases de datos
1.3.4.1
2
Control de acceso propio de las bases de datos
1.3.4.2
1
Control de instancias de uso
-1121.3.4.3
1
Chequeo regulares de seguridad
1.3.4.4
1
Marcado o borrado de archivos eliminados
1.3.5
Control de aplicaciones
1.3.5.1
2
Controles con que se realiza la instalación y actualización de parches
1.3.5.2
1
Documentación de la instalación o actualización de software
1.3.5.3
2
Control de aplicaciones en máquinas de usuarios
1.3.5.4
1
Control de información que bajan los usuarios de la Web
1.3.6
Mantenimiento de aplicaciones
1.3.6.1
1
Documentación de cambios de emergencia
1.3.6.2
1
Control regular de programas y servicios innecesarios
1.3.6.3
1
Gestión de cambios complejos en archivos de configuración
1.3.6.4
2
Registro de cambios en las configuraciones
1.3.7
Ciclo de vida
1.3.7.1
1
Metodología usada para el desarrollo
1.3.7.2
2
Manejo del código fuente y documentación con desarrollos por terceros
1.3.7.3
1
Uso métricas en el desarrollo
1.3.7.4
1
Registros históricos de las modificaciones
1.3.7.5
2
Existencia de requisitos de seguridad
1.3.7.6
1
Medidas de seguridad durante las implementaciones
1.3.7.7
1
Forma y documentación de pruebas
1.3.7.8
1
Metodología usada para el mantenimiento
1.3.7.9
1
Detalles de la documentación generada en el desarrollo
1,4
SEGURIDAD FISICA
1.4.1
Control de acceso al centro de cómputos
1.4.1.1
2
Restricción de acceso a personas ajenas al área
1.4.1.2
1
Control personal de limpieza en locales con servidores
1.4.2
Control de acceso a los equipos de los usuarios
1.4.2.1
2
Habilitación del NetBIOS
1.4.2.2
1
Habilitación y control de dispositivos externos
1.4.2.3
3
Control de virus
1.4.2.4
2
Existencia de grabadoras de CD y DVD
1.4.2.5
1
Agregado no autorizado de dispositivos externos
1.4.2.6
2
Control y revisión de dispositivos instalados en las PCs
1.4.2.7
1
Apagado o no de los servidores
1.4.3
1.4.3.1
Utilidades de soporte
2
1.4.4
Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI
Estructura del edificio
1.4.4.1
1
1.4.4.2
1
Falta de información de otras instalaciones que corran en paralelo
1.4.4.3
1
Actividades que pueden afectar las operaciones
1.4.4.4
1
Actividades externas que pueden afectar las operaciones
1.4.4.5
2
Protecciones antirrayos
1.4.5
Tipo, condiciones e instalación del cableado de red
Clasificación de datos y hardware
1.4.5.1
1
Forma de rotular computadoras y periféricos
1.4.5.2
1
Inventario de recursos de hardware y software
-1131.4.6
Backup
1.4.6.1
2
Frecuencia de backups
1.4.6.2
2
Datos que se backapean
1.4.6.3
2
Tipos de backup que se realizan
1.4.6.4
2
Medios de almacenamiento de backups
1.4.6.5
1
Rotación de medios
1.4.6.6
1
Herramientas de backup
1.4.6.7
2
Responsables del backup
1.4.6.8
1
Procedimientos de backup
1.4.6.9
2
Pruebas periódicas de recuperación
1.4.6.10
2
Lugar de almacenamiento y controles de acceso
1.4.6.11
1
Rotulación y documentación de backups
1,5
ADMINISTRACION DEL CENTRO DE COMPUTOS
1.5.1
Contramedidas
1.5.1.1
1
Tipo y regularidad de chequeos
1.5.1.2
2
Planificación y documentación de actividades del área
1.5.1.3
1
Documentación detallada del equipamiento
1.5.1.4
2
Documentación y manuales de procedimientos y seguridad
3
Administración de emergencias
1.5.2
1.5.2.1
Responsabilidad del equipo de seguridad
1,6
REGISTROS Y AUDITORIAS
1.6.1
Auditorias generales
1.6.1.1
2
Realización y objetos auditados
1.6.1.2
1
Monitoreo y herramientas
1.6.1.3
2
Gestión de logs
1.6.1.4
1
Utilidad auditoría para rastreo de acciones
1.6.1.5
1
Históricos generados
1.6.2
Logs
1.6.2.1
3
Control de acceso
1.6.2.2
2
Identificación y almacenamiento
1.6.2.3
2
Información contenida en los logs
1.6.2.4
1
Análisis que se realiza
1.6.3
Auditoría de servidores
1.6.3.1
1
Trabajos de mayor uso CPU y memoria
1.6.3.2
1
Datos de mayor tráfico, CPU y memoria
1.6.3.3
1
Aplicaciones de mayor tráfico, CPU y memoria
1.6.4
Auditoría de control de acceso
1.6.4.1
2
Existencia de logs
1.6.4.2
2
Almacenamiento y acceso
1.6.4.3
1
Duración y tratamiento posterior al vencimiento
1.6.4.4
2
Contenido de los logs
1.6.5
Auditoría de redes
1.6.5.1
1
Monitoreo de red
1.6.5.2
1
Periodicidad de chequeos
1.6.5.3
1
Datos revisados y estadísticas
-1141,7
PLAN DE CONTINGENCIAS
1.7.1
Plan de contingencias
1.7.1.1
2
Existencia, justificaciones
1.7.1.2
1
Alcance del plan
1.7.1.3
2
Responsabilidades y entrenamiento
1.7.1.4
2
Documentación
1.7.2
Plan de recuperación de desastres
1.7.2.1
3
Responsabilidades
1.7.2.2
2
Identificación de funciones críticas
1.7.2.3
2
Grupo y responsable
1.7.2.4
2
Inventario de equipamiento
1.7.3
Administradores de aplicaciones y sistemas
1.7.3.1
1
1.7.3.2
2
Técnicos
1.7.3.3
2
Administradores de Redes
1.7.4
Personal de desarrollo
Gerencia en seguridad
1.7.4.1
3
Visón y compromiso general y medio en la seguridad
1.7.4.2
3
Reglas de seguridad
1.7.4.3
1
Personal en general - procedimientos
1.7.4.4
2
Personal de desarrollo - procedimientos
1.7.4.5
3
Técnicos - procedimientos
1.7.4.6
3
Administradores de redes - procedimientos
TIPO 2 - TECNICAS DE PLATAFORMAS LINUX
2,1
2.1.1
SERVICIOS ACTIVOS INNECESARIOS
2
2,2
Hay habilitados servicios innecesarios
Bind/DNS
2.2.1
2
Instalación/ISC, versión y parches
2.2.2
2
Actualización dinámica del DNS
2.2.3
2
Demonio named habilitado en servidores no DNS
2,3
RPC
2.3.1
3
RPC Habilitado
2.3.3
2
Servicios RPC que se pueden explotar
2,4
SNMP
2.4.1
2
Versión y puertos habilitados
2.4.2
3
Nombres comunidad por default
2.4.3
2
Chequeo registros MIB
2,5
2.5.1
Shell seguro
1
2,6
Instalación y versión
Servicios NIS/NFS
2.6 .1
3
Versión NIS
2.6 .2
3
Ubicación password del root con NIS
2.6 .3
2
Versión NFS
2.6 .4
3
Configuración archivo export y montaje de sistema de archivos NFS
2,7
Open SSL
-1152.7.1
1
2,8
Versión
FTP
2.8.1
3
Habilitación y funcionalidad anónima
2.8.2
3
Sin uso de password en el modo de subida
2.8.3
3
No hay restricciones y mecanismos para direcciones IP o dominios
2.8.4
3
No se usan restricciones propias del servidor ftp
2.8.5
3
Especificación de las cuentas administrativas en archivo ftpusers
2.8.6
3
No hay diferenciación archivos contraseñas con los del OS
2.8.7
2
Permisos y propietarios del raíz y subdirectorios etc y bin del ftp anónimo
2.8.8
2
Permisos y propietarios de archivos de subdirectorios etc y bin
2.8.9
2
Permisos y propietarios directorio home ~ftp/
2.8.10
3
Existencia de archivos .rhosts y .forward
2.8.11
3
Restricciones de escritura para everyone en directorios ftp y sus archivos
2,9
Otras de contraseñas
2.9.1
2
Hay cuentas extras con UID 0, o sin contraseñas en el archivo passwd
2.9.2
3
tftp habilitado
2.9.3
3
tftp necesario pero sin precauciones de acceso restringido
2.9.4
2
No se usa un programa para mejorar la elección de contraseñas
2,10
Otros Servicios de red
2.10.1
2
Permisos y propietarios no adecuados en archivos de servicios de red
2.10.2
2
Cron acepta usuarios ordinarios
2.10.3
3
Se puede registrar como root en la consola en forma remota
2.10.4
3
Terminales no adecuados en el archivo de terminal seguro
2,11
Seguridad sistema de archivos
2.11.1
2
Archivos .exrc no justificados
2.11.2
2
Archivos .forward en directorios home de usuarios
2.11.3
2
Umask inadecuado de algunos programas
2.11.4
2
Restricciones de acceso no adecuadas en algunos archivos bajo /etc
2.11.5
3
Escritura indebida de los archivos log
2.11.6
2
Características extendidas (inmutabilidad y sólo anexado) no habilitadas
2.11.7
2
Inadecuados permisos, propiedad y grupo de /vmunix
2.11.8
3
Archivos que no debieran ser propiedad sino de root, y si /tmp no tiene el sticky-bit
2.11.9
3
Archivos o directorios no esperados que son escribibles por cualquiera
2.11.10
2
Archivos que no debieran tener seteados el bit SUID o SGID
2.11.11
2
Umask inadecuado de algunos usuarios
2.11.12
2
Archivos ordinarios en el directorio /dev
2.11.13
2
Archivos especiales fuera de /dev
2.11.14
2
Archivos ejecutables y sus directorios ascendentes escribibles por grupos o cualquiera
2.11.15
2
Archivos sin propietarios
2,12
Monitoreo del sistema
2.12.1
3
2.12.2
2
No se usan las extensiones de seguridad de Linux para los archivos log
2.12.3
3
Ausencia de registro de las actividades de los administradores
2.12.4
2
Falta de control de las modificaciones de archivos de sistema
2,13
No se han definido los archivos log adecuados para seguridad
Servicios de archivos
-1162.13.1
2
2,14
2.14.1
Inadecuados permisos y propiedad del archivo /etc/export
Linux
3
Parches y actualizaciones
Tipo 3 - TECNICAS DE PLATAFORMAS WINDOWS
3,1
IIS
3.1.1
3
Versión y parches del IIS
3.1.2
2
Versiones actuales del IIS; ACL y directorios
3.1.3
2
Habilitación del log del IIS
3.1.4
3
WebDav ntdll.dll en IIS
3.1.5
2
Aplicaciones de muestra en directorios iissamples, iishelp y msadc
3,2
SQL Server
3.2.1
3
Versión y parches del SQL Server
3.2.2
2
Log autenticación servidor SQL
3.2.3
2
Cuenta SA, contraseña
3.3.1
3
Autenticación, algoritmo usado
3.3.2
3
Archivo hashes LM, habilitación autenticación a través de la red
3,3
Autenticación
3,4
Internet Explorer
3.4.1
3
Versión y parches del Internet Explorer
3.4.2
2
Nivel seguridad del IE
3,5
RAS
3.5.1
3
Uso SMB, conectividad NetBios
3.5.2
2
Sesión nula, registro anónimo
3.5.3
3
Acceso remoto al registry
3.5.4
3
rpc y parches
3,6
MDAC/RDS
3.6.1
3
Versión y parches del MDAC
3.6.2
2
Archivo msadcs.dll con Windows
3.6.3
1
Versión y SP del Jet Engine
3,7
Windows Scripting Host
3.7.1
3
Habilitación del Windows Scripting Host
3.7.2
1
Forma de ejecución de scripts
3,8
Outlook Express
3.8.1
2
Ventana de vista previa del Outlook/Outlook Express
3.8.2
1
Restricción zona de seguridad del Outlook Express
3,9
Compartición P2P
3.9.1.
3
Puertos de aplicaciones P2P
3.9.2
2
Existencia en disco de archivos propios de P2P
3,1
SNMP
3.10.1
2
Versión y puertos habilitados del SNMP
3.10.2
3
Nombres comunidad por default del SNMP
3.10.3
2
Chequeo registros MIB del SNMP
3,11
3.11.1
Acceso remoto al registry
3
Registros bajo SecurePipeServers
-1173,12
Otros seteados del registry
3.12.1
3
Registro Winlogon
3.12.2
2
Registro LanMan Print Services, para no poder agregar drivers impresión
3.12.3
2
Registro Subsystems, OS/2 y Posix
3.12.4
2
Registro bajo EventLog, para que no se vean los logs de aplicaciones y sistema
3.12.5
2
Registro Session Manager, atributos recursos compartidos, borrado archivo páginas
3,14
Otras cuestiones de contraseñas
3.14.1
2
Uso del passfilt.dll
3.14.2
1
Uso del syskey.exe
3,15
Sistema de archivos
3.15.1
3
Se usa FAT
3.15.2
2
Grupos Everyone (Todos) y/o Usuarios controlados
3,16
Logs de auditoria
3.16.1
2
Logs en Event Viewer
3.16.2
1
Nombres existentes en registro HKLM\System\CurentControlSer\\Control\Lsa
3,17
Utilitarios de cuidado
3.17.1
2
Existencia y/o restricciones de acceso de archivos ejecutables de cuidado
3.17.2
1
Ubicación de los archivos ejecutables de cuidado
3.17.3
2
Existencia del programa rollback.exe
3,18
Subsistemas de cuidado
3.18.1
2
Existencia de c:\windows\system32\os2 y subdirectorios
3.18.2
2
Archivos del os2 y posix en c:\windows\system32
3.18.3
1
Registros os2 subsystem for windows
4,1
2
Grupos de PCs
4,2
3
Grupos de laptops y notebooks
4,3
3
Routers
4,4
3
Switches
4,5
2
Otros dispositivos
Tipo 4 - TECNICAS DE OTROS DISPOSITIVOS
Con las vulnerabilidades clasificadas en la Dirección de Tecnologías de la
información y Comunicaciones se procederá a verificar cada una de ellas con
los activos del Sistema de Gestión de Seguridad de la Información SGSI, de
acuerdo a como se indica en el Anexo I, a continuación en la Tabla 20 se
presentan el resumen de las vulnerabilidades.
-118Tabla 20. Resumen de las vulnerabilidades para la Dirección de Tecnologías de la
Información y Comunicaciones.
Fuente: Autor.
Plataforma
Linux Firewall
Servidor1
Servidor2
Servidor3
Plataforma Windows
Vulnerabilidades
Físicas,
Organizacionales y
Operacionales
DNS, DHCP,
Active
Directory
Total de vulnerabilidades
potenciales
129
55
43
43
43
43
Vulnerabilidades
presente
10
9
3
11
7
6
Vulnerabilidades de nivel 1
56
2
5
4
5
7
Vulnerabilidades de nivel 2
51
23
20
17
20
19
Vulnerabilidades de nivel 3
12
21
15
11
11
11
Nivel
Relativo
Vulnerabilidad Total
162
83
67
57
61
61
no
de
Servidores más vulnerables
Servidores más vulnerable
en el Nivel 3
***
***
***
***
4.5.4 CÁLCULO DE AMENAZAS Y VULNERABILIDADES
Una vez identificadas las amenazas y vulnerabilidades, es necesario calcular la
posibilidad de que puedan juntarse y causar un riesgo (De Freitas, 2009),
define el riesgo como la probabilidad de que una amenaza pueda explotar una
vulnerabilidad en particular.
En la Tabla 21 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Sala de
Servidores.
-119Tabla 21. Cruce de las Amenazas y las Vulnerabilidades de la Sala de Servidores (Activo
2.32).
Fuente: Autor.
Amenaza
Descripción
Vulnerabilidades
No.
Div.
1.2
4
Fallas de los sistemas TI
1.7.1.1 1.7.1.2 1.7.1.3 1.7.1.4 1.7.2.1 1.7.2.2 1.7.2.3 1.7.2.4
1.3
2
Rayos
1.4.4.5
1.4
4
Incendio
1.4.3.1
1.5
3
Inundación
1.4.4.2
1.6
2
Cables quemados
1.4.3.1
1.7
2
Polvo y suciedad
1.4.4.3
1.8
2
Efectos de catástrofes en el 1.4.4.4
ambiente
1.9
2
Problemas
causados
por 1.4.4.4
grandes eventos públicos
1.10
2
Tormentas
4
Falta o insuficiencia de reglas 1.2.3.1 1.2.4.1 1.5.1.4
de seguridad en general
2.2
5
Conocimiento insuficiente de 1.5.2.1
documentos sobre reglas y
procedimientos
2.4
3
Monitoreo insuficiente de las 1.6.1.1 1.6.1.2 1.6.1.3 1.6.1.4 1.6.1.5
medidas de seguridad IT
2.10
3
Dimensionamiento insuficiente 1.5.1.1
de redes y centro de cómputo
2.11
2
Documentación
del cableado
5.4
3
Robo
1.4.1.1
5.5
5
Vandalismo
1.4.4.3 1.4.4.4
5.29
1
Sabotaje
1.4.1.1 1.4.1.2 1.4.4.3 1.4.4.4
2.1
1.4.4.4
insuficiente 1.4.4.1
En la Tabla 22 se describe las vulnerabilidades potenciales que pueden afectar
a la Sala de Servidores de la Dirección de Tecnologías de la Información y
Comunicaciones.
-120Tabla 22. Vulnerabilidades potenciales que pueden afectar la Sala de Servidores (Activo
2.32).
Fuente: Autor.
Nro.
Nivel
Vulnerabilidades Potenciales
1.2.3.1
1
Grado y detalle de la información documentada de la red
1.2.4.1
1
Antecedentes de ataques ocurridos a la red
1.4.1.1
2
Restricción de acceso a personas ajenas al área
1.4.1.2
1
Control personal de limpieza en locales con servidores
1.4.3.1
2
Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI
1.4.4.1
1
Tipo, condiciones e instalación del cableado de red
1.4.4.2
1
Falta de información de otras instalaciones que corran en paralelo
1.4.4.3
1
Actividades que pueden afectar las operaciones
1.4.4.4
1
Actividades externas que pueden afectar las operaciones
1.4.4.5
2
Protecciones antirrayos
1.5.1.1
1
Tipo y regularidad de chequeos
1.5.1.4
2
Documentación y manuales de procedimientos y seguridad
1.5.2.1
3
Administración de emergencias
1.6.1.1
2
Realización y objetos auditados
1.6.1.2
1
Monitoreo y herramientas
1.6.1.3
2
Gestión de logs
1.6.1.4
1
Utilidad auditoria para rastreo de acciones
1.6.1.5
1
Históricos generados
1.7.1.1
2
Existencia, justificaciones
1.7.1.2
1
Alcance del plan
1.7.1.3
2
Responsabilidades y entrenamiento
1.7.1.4
2
Documentación
1.7.2.1
3
Responsabilidades
1.7.2.2
2
Identificación de funciones críticas
1.7.2.3
2
Grupo y responsable
1.7.2.4
2
Inventario de equipamiento
En la Tabla 23 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Sala de Servidores.
-121Tabla 23. Amenazas vs. Vulnerabilidades verificadas para la Sala de Servidores (Activo
2.32).
Fuente: Autor.
Amen. 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 1.10 2.1 2.2 2.4 2.10 2.11 5.4 5.5 5.29
Vulner. Nivel
4
2
4
3
2
2
2
2
2
4
5
3
1.2.3.1
1
X
1.2.4.1
1
X
1.4.1.1
2
1.4.1.2
1
1.4.3.1
2
1.4.4.1
1
1.4.4.2
1
1.4.4.3
1
1.4.4.4
1
1.4.4.5
2
1.5.1.1
1
1.5.1.4
2
1.5.2.1
3
1.6.1.1
2
X
1.6.1.2
1
X
1.6.1.3
2
X
1.6.1.4
1
X
1.6.1.5
1
X
1.7.1.1
2
X
1.7.1.2
1
X
1.7.1.3
2
X
1.7.1.4
2
X
1.7.2.1
3
X
1.7.2.2
2
X
1.7.2.3
2
X
1.7.2.4
2
X
3
2
3
5
X
1
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
En la Tabla 24 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Software y
Aplicaciones.
-122-
Tabla 24. Cruce de las Amenazas y las Vulnerabilidades Software y Aplicaciones.
(Activo 7.1)
Fuente: Autor.
Nro.
Div.
AMENAZAS
Descripción
Vulnerabilidades
2.1
4
Falta o insuficiencia de reglas de 1.7.4.2
seguridad en general
2.3
2
Recursos incompatibles o inadecuados
2.18
3
Procedimientos faltantes o inadecuados 1.3.5.1 1.3.5.2 1.3.6.1 1.3.6.3 1.3.7.3 1.3.7.6
para test y liberación de software
2.19
3
Documentación faltante o inadecuada
1.4.5.2
2.20
2
Violación de derechos de autor
1.2.3.3 1.3.5.4
2.21
4
3.3
4
3.15
3
Prueba de software con datos de 1.3.7.7
producción
No cumplimiento con las medidas de 1.1.1.2 1.1.1.3 1.3.5.4 1.7.4.2 1.7.4.3 1.7.4.4 1.7.4.5 1.7.4.6
seguridad TI
Errores en la configuración y operación 1.2.3.3 1.2.5.1 1.3.6.3 1.7.3.1 1.7.3.2 1.7.3.3
4.4
5
4.14
4
Reconocimiento de vulnerabilidades en 1.3.7.8
el software
Vulnerabilidades o errores de software
1.3.2.1 1.3.2.2 1.3.3.1 1.3.3.2 1.3.3.3 1.3.3.4 1.3.4.1 1.3.4.3
5.12
3
Caballos de Troya
1.2.2.3
5.13
4
Virus de computador
1.2.2.1 1.2.2.3 1.2.2.4
5.18
3
Macro virus
1.2.2.1
1.6.3.1 1.6.3.2 1.6.3.3
1.3.4.4 1.3.5.1 1.3.5.2 1.3.5.3
En la Tabla 25 se describe las vulnerabilidades potenciales que pueden afectar
al Software y Aplicaciones de la Dirección de Tecnologías de la Información y
Comunicaciones.
Tabla 25. Vulnerabilidades Potenciales que pueden afectar Software y Aplicaciones.
(Activo 7.1)
Fuente: Autor.
Nro. Nivel
Descripción
1.1.1.2
2
Gestión de bajas de usuarios
1.1.1.3
2
Mantenimiento de cuentas
1.2.2.1
3
No está habilitado para envío y recepción de mail
1.2.2.3
2
1.2.2.4
1
No es suficiente la frecuencia de escaneado de las unidades de las
computadores
No se generan discos de recuperación en las PCs bajo Windows
-1231.2.3.1
1
Grado y detalle de la información documentada de la red
1.2.3.3
1
Documentación de la configuración de las PCs
1.2.5.1
3
Tipo, configuración y nivel de control de firewall
1.3.2.1
1
1.3.2.2
3
Existencia de control de cambios para archivos de sistema o bases de
datos
Confidencialidad de datos de laptops y notebooks
1.3.2.3
2
Logs de transacciones y sus detalles
1.3.3.1
1
Existencia de control de cambios para el desarrollo
1.3.3.2
1
Control del contenido de archivos de entrada
1.3.3.3
2
Control de validez de datos ingresados manualmente
1.3.3.4
1
Control de consistencia de datos de salida
1.3.4.1
2
Control de acceso propio de las bases de datos
1.3.4.2
1
Control de instancias de uso
1.3.4.3
1
Chequeo regulares de seguridad
1.3.4.4
1
Marcado o borrado de archivos eliminados
1.3.5.1
2
Controles con que se realiza la instalación y actualización de parches
1.3.5.2
1
Documentación de la instalación o actualización de software
1.3.5.3
2
Control de aplicaciones en máquinas de usuarios
1.3.5.4
1
Control de información que bajan los usuarios de la Web
1.3.6.1
1
Documentación de cambios de emergencia
1.3.6.3
1
Gestión de cambios complejos en archivos de configuración
1.3.6.4
2
Registro de cambios en las configuraciones
1.3.7.3
1
Uso métricas en el desarrollo
1.3.7.6
1
Medidas de seguridad durante las implementaciones
1.3.7.7
1
Forma y documentación de pruebas
1.3.7.8
1
Metodología usada para el mantenimiento
1.4.5.2
1
Inventario de recursos de hardware y software
1.5.1.3
1
Documentación detallada del equipamiento
1.6.3.1
1
Trabajos de mayor uso CPU y memoria
1.6.3.2
1
Datos de mayor tráfico, CPU y memoria
1.6.3.3
1
Aplicaciones de mayor tráfico, CPU y memoria
1.7.3.1
1
Personal de desarrollo
1.7.3.2
2
Técnicos
1.7.3.3
2
Administradores de redes
1.7.4.1
3
Visión y compromiso gerencial superior y medio en la seguridad.
1.7.4.2
3
Reglas de seguridad
1.7.4.3
1
Personal en general - procedimientos
1.7.4.4
2
Personal de desarrollo - procedimientos
1.7.4.5
3
Técnicos - procedimientos
1.7.4.6
3
Administradores de redes - procedimientos
-124En la Tabla 26 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Software y Aplicaciones.
Tabla 26. Amenazas Vs. Vulnerabilidades verificadas Software y Aplicaciones. (Activo
7.1)
Fuente: Autor.
Amen. 2.1
Vulner. Nivel
4
1.1.1.2
2
1.1.1.3
2
2.3 2.18 2.19 2.20 2.21 3.3 3.15 4.4 4.14 5.12 5.13 5.18
2
3
3
2
4
4
3
5
4
3
4
3
X
X
1.2.2.1
3
X
1.2.2.3
2
1.2.2.4
1
1.2.3.1
1.2.3.3
1
1
1.2.5.1
3
1.3.2.1
1
X
1.3.2.2
3
X
1.3.2.3
2
1.3.3.1
1
X
1.3.3.2
1
X
1.3.3.3
2
X
1.3.3.4
1
X
1.3.4.1
2
X
1.3.4.2
1
1.3.4.3
1
X
1.3.4.4
1
X
1.3.5.1
2
X
X
1.3.5.2
1
X
X
1.3.5.3
2
1.3.5.4
1
1.3.6.1
1
X
1.3.6.3
1
X
1.3.6.4
2
1.3.7.3
1
X
1.3.7.6
1
X
1.3.7.7
1
1.3.7.8
1
1.4.5.2
1
1.5.1.3
1
1.6.3.1
1
X
1.6.3.2
1
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
-1251.6.3.3
1
X
1.7.3.1
1
X
1.7.3.2
2
X
1.7.3.3
2
X
1.7.4.1
3
1.7.4.2
3
1.7.4.3
1
X
1.7.4.4
2
X
1.7.4.5
3
X
1.7.4.6
3
X
X
X
En la Tabla 27 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Servidor Windows
S1.
Tabla 27. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S1 (Activo
4.3).
Fuente: Autor.
No. Div.
Amenaza Descripción
2.18 2 Reducción de la velocidad de transmisión o 1.3.5.4
ejecución debido a funciones P2P
2.23
2.24
2
3
Planificación inadecuada de los dominios
Protección
Windows
inadecuada
del
Vulnerabilidades
1.1.4.3
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.2.1
3.2.2
3.2.3
3.3.1
3.3.2
3.4.1
3.4.2
3.5.1
3.5.2
3.5.3
3.5.4
3.6.1
3.6.2
sistema 3.6.3
3.8.2
3.9.1
3.7.1
3.7.2
3.8.1
3.9.2
3.10.1
3.10.2
3.10.3 3.11.1 3.12.1
3.12.2
3.12.3
3.12.4
3.12.5 3.14.1 3.14.2
3.15.1
3.15.2
3.16.1
3.16.2 3.17.1 3.17.2
3.17.3
3.18.1
3.18.2
3.18.3
4.5
4
Diversidad de posibilidades de acceso a 1.6.2.1
sistemas TI en red
4.16
1
Reconocimiento automático del DVD-ROM
3.12.1
5.13
4
Virus de computador
1.2.2.1 1.2.2.3 1.2.2.4
5.18
3
Macro virus
1.2.2.1 1.2.2.3
5.21
4
Mal uso de los derechos de administrador 1.6.1.4 1.6.1.5
en sistemas Windows
5.29
3
Adquisición no autorizada de derechos de 3.3.1
administrador con Windows
3.17.1
-126-
En la Tabla 28 se describe las vulnerabilidades potenciales que pueden afectar
al Servidor Windows S1 de la Dirección de Tecnologías de la Información y
Comunicaciones.
Tabla 28. Vulnerabilidades Potenciales del Servidor Windows S1 (Activo 4.3).
Fuente: Autor.
Nro.
1.1.4.3
Nivel
3
Descripción
Mecanismos de control de acceso interno
1.2.2.1
3
No está habilitado para envío y recepción de mail
1.2.2.3
2
No es suficiente la frecuencia de escaneado de las unidades de las computadores
1.2.2.4
1
No se generan discos de recuperación
1.3.5.4
1
Control de información que bajan los usuarios de la Web
1.6.1.4
1
Utilidad auditoria para rastreo de acciones
1.6.1.5
1
Históricos generados
1.6.2.1
3
Control de acceso
3.1.1
3
Versión y parches del IIS
3.1.2
2
Versiones actuales del IIS; ACL y directorios
3.1.3
2
Habilitación del log del IIS
3.1.4
3
WebDav ntdll.dll en IIS
3.1.5
2
Aplicaciones de muestra en directorios iissamples, iishelp y msadc
3.2.1
3
Versión y parches del SQL Server
3.2.2
2
Log autenticación servidor SQL
3.2.3
2
Cuenta SA, contraseña
3.3.1
3
Autenticación, algoritmo usado
3.3.2
3
Archivo hashes LM, habilitación autenticación a través de la red
3.4.1
3
Versión y parches del Internet Explorer
3.4.2
2
Nivel seguridad del IE
3.5.1
3
Uso SMB, conectividad NetBios
3.5.2
2
Sesión nula, registro anónimo
3.5.3
3
Acceso remoto al registry
3.5.4
3
rpc y parches
3.6.1
3
Versión y parches del MDAC
3.6.2
2
Archivo msadcs.dll con windows e IIS
3.6.3
1
Versión y SP del Jet Engine
3.7.1
3
Habilitación del Windows Scripting Host
3.7.2
1
Forma de ejecución de scripts
3.8.1
2
Ventana de vista previa del Outlook/Outlook Express
3.8.2
1
Restricción zona de seguridad del Outlook Express
3.9.1.
3
Puertos de aplicaciones P2P
-1273.9.2
2
Existencia en disco de archivos propios de P2P
3.10.1
2
Versión y puertos habilitados del SNMP
3.10.2
3
Nombres comunidad por default del SNMP
3.10.3
2
Chequeo registros MIB del SNMP
3.11.1
3
Registros bajo SecurePipeServers
3.12.1
3
Registro Winlogon
3.12.2
2
Registro LanMan Print Services, para no poder agregar drivers impresión
3.12.3
2
Registro Subsystems, OS/2 y Posix
3.12.4
2
Registro bajo EventLog, para que no se vean los logs de aplicaciones y sistema
3.12.5
2
Registro Session Manager, atributos recursos compartidos, borrado archivo páginas
3.14.1
2
Uso del passfilt.dll
3.14.2
1
Uso del syskey.exe
3.15.1
3
Se usa FAT
3.15.2
2
Grupos Everyone (Todos) y/o Usuarios controlados
3.16.1
2
Logs en Event Viewer
3.16.2
1
Nombres existentes en registro HKLM\System\CurentControlSet\Control\Lsa
3.17.1
2
Existencia y/o restricciones de acceso de archivos ejecutables de cuidado
3.17.2
1
Ubicación de los archivos ejecutables de cuidado
3.17.3
2
Existencia del programa rollback.exe
3.18.1
2
Existencia de c:\windows\system32\os2 y subdirectorios
3.18.2
2
Archivos del os2 y posix en c:\windows\system32
3.18.3
1
Registros os2 subsystem for windows
En la Tabla 29 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Servidor Windows S1.
Tabla 29. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S1 (Activo 4.3).
Fuente: Autor.
Vulner.
Amen. 2.18 2.23 2.24 4.5 4.16 5.13 5.18 5.21 5.29
Nivel
2
2
3
4
1
4
3
4
3
1.1.4.3
3
1.2.2.1
3
X
X
X
1.2.2.3
2
X
X
1.2.2.4
1
1.3.5.4
1
1.6.1.4
1
X
X
X
-1281.6.1.5
1
X
1.6.2.1
3
3.1.1
3
X
3.1.2
2
X
3.1.3
2
X
3.1.4
3
X
3.1.5
2
X
3.2.1
3
X
3.2.2
2
X
3.2.3
2
X
3.3.1
3
X
3.3.2
3
X
3.4.1
3
X
3.4.2
2
X
3.5.1
3
X
3.5.2
2
X
3.5.3
3
X
3.5.4
3
X
3.6.1
3
X
3.6.2
2
X
3.6.3
1
X
3.7.1
3
X
3.7.2
1
X
3.8.1
2
X
3.8.2
1
X
3.9.1.
3
X
3.9.2
2
X
3.10.1
2
X
3.10.2
3
X
3.10.3
2
X
3.11.1
3
X
3.12.1
3
X
3.12.2
2
X
3.12.3
2
X
3.12.4
2
X
3.12.5
2
X
3.14.1
2
X
3.14.2
1
X
3.15.1
3
X
3.15.2
2
X
3.16.1
2
X
3.16.2
1
X
3.17.1
2
X
3.17.2
1
X
3.17.3
2
X
X
X
X
X
-1293.18.1
2
X
3.18.2
2
X
3.18.3
1
X
En la Tabla 30 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Servidor Windows
S4.
Tabla 30. Cruce de las Amenazas y las vulnerabilidades Servidor Windows S4 (Activo
4.3).
Fuente: Autor.
No.
Div.
2.18
2
2.23
2
2.24
3
Amenaza
Descripción
Vulnerabilidades
Reducción de la velocidad de 1.3.5.4
transmisión o ejecución debido a
funciones P2P
Planificación inadecuada de los 3.1.1
3.1.2
dominios
3.3.2
3.4.1
Protección inadecuada del sistema 3.7.2
Windows
3.12.4
3.16.2
3.1.3
3.1.4
3.1.5
3.3.1
3.4.2
3.6.1
3.6.2
3.7.1
3.8.2
3.10.1 3.10.2 3.12.1 3.12.3
3.12.5
3.14.1 3.14.2 3.15.2 3.16.1
3.18.1
3.18.2 3.18.3
4.5
4
Diversidad de posibilidades
acceso a sistemas TI en red
de
4.16
1
del 3.12.1
5.13
4
Reconocimiento automático
DVD-ROM
Virus de computador
5.18
3
Macrovirus
5.21
4
Mal uso de los derechos de 1.6.1.4 1.6.1.5
administrador en sistemas Windows
5.29
3
Adquisición no autorizada de 3.3.1
derechos de administrador con
Windows
1.2.2.1
1.2.2.1
En la Tabla 31 se describe las vulnerabilidades potenciales que pueden afectar
al Servidor Windows S4 de la Dirección de Tecnologías de la Información y
Comunicaciones.
-130Tabla 31. Vulnerabilidades Potenciales del Servidor Windows S4 (Activo 4.3).
Fuente: Autor.
Nro. Nivel
Descripción
1.1.4.3
3
Mecanismos de control de acceso interno
1.2.2.1
3
No está habilitado para envío y recepción de mail
1.2.2.3
2
1.2.2.4
1
No es suficiente la frecuencia de escaneado de las unidades de las
computadores
No se generan discos de recuperación
1.3.5.4
1
Control de información que bajan los usuarios de la Web
1.6.1.4
1
Utilidad auditoría para rastreo de acciones
1.6.1.5
1
Históricos generados
1.6.2.1
3
Control de acceso
3.1.1
3
Versión y parches del IIS
3.1.2
2
Versiones del IIS; ACL y directorios
3.1.3
2
Habilitación del log del IIS
3.1.4
3
WebDav ntdll.dll en IIS
3.1.5
2
Aplicaciones de muestra en directorios iissamples, iishelp y msadc
3.2.1
3
Versión y parches del SQL Server
3.2.2
2
Log autenticación servidor SQL
3.2.3
2
Cuenta SA, contraseña
3.3.1
3
Autenticación, algoritmo usado
3.3.2
3
Archivo hashes LM, habilitación autenticación a través de la red
3.4.1
3
Versión y parches del Internet Explorer
3.4.2
2
Nivel seguridad del Internet Explore
3.5.1
3
Uso SMB, conectividad NetBios
3.5.2
2
Sesión nula, registro anónimo
3.5.3
3
Acceso remoto al registry
3.5.4
3
rpc y parches
3.6.1
3
Versión y parches del MDAC
3.6.2
2
Archivo msadcs.dll con windows e IIS
3.6.3
1
Versión y SP del Jet Engine
3.7.1
3
Habilitación del Windows Scripting Host
3.7.2
1
Forma de ejecución de scripts
3.8.1
2
Ventana de vista previa del Outlook/Outlook Express
3.8.2
1
Restricción zona de seguridad del Outlook Express
3.9.1
3
Puertos de aplicaciones P2P
3.9.2
2
Existencia en disco de archivos propios de P2P
3.10.1
2
Versión y puertos habilitados del SNMP
3.10.2
3
Nombres comunidad por default del SNMP
3.10.3
2
Chequeo registros MIB del SNMP
3.11.1
3
Registros bajo SecurePipeServers
3.12.1
3
Registro Winlogon
3.12.2
2
Registro LanMan Print Services, para no poder agregar drivers impresión
3.12.3
2
Registro Subsystems, OS/2 y Posix
-1313.12.4
2
3.12.5
2
3.14.1
2
Registro bajo EventLog, para que no se vean los logs de aplicaciones y
sistema
Registro Session Manager, atributos recursos compartidos, borrado archivo
páginas
Uso del passfilt.dll
3.14.2
1
Uso del syskey.exe
3.15.1
3
Se usa FAT
3.15.2
2
Grupos Everyone (Todos) y/o Usuarios controlados
3.16.1
2
Logs en Event Viewer
3.16.2
1
Nombres existentes en registro HKLM\System\CurentControlSet\Control\Lsa
3.17.1
2
Existencia y/o restricciones de acceso de archivos ejecutables de cuidado
3.17.2
1
Ubicación de los archivos ejecutables de cuidado
3.17.3
2
Existencia del programa rollback.exe
3.18.1
2
Existencia de c:\windows\system32\os2 y subdirectorios
3.18.2
2
Archivos del os2 y posix en c:\windows\system32
3.18.3
1
Registros os2 subsystem for windows
En la Tabla 32 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Servidor Windows S4.
Tabla 32. Amenazas vs. Vulnerabilidades verificadas Servidor Windows S4 (Activo 4.3).
Fuente: Autor.
Amen.
2.18 2.24 4.16 5.13 5.18 5.21 5.29
Vulner.
Nivel
1.1.4.3
3
2
3
1
4
1.2.2.1
3
1.2.2.3
2
1.2.2.4
1
1.3.5.4
1
1.6.1.4
1
X
1.6.1.5
1
X
1.6.2.1
3
3.1.1
3
X
3.1.2
2
X
3.1.3
2
X
3.1.4
3
X
3.1.5
2
X
3.2.1
3
3.2.2
2
3.2.3
2
X
3
4
X
X
3
-1323.3.1
3
X
3.3.2
3
X
3.4.1
3
X
3.4.2
2
X
3.5.1
3
3.5.2
2
3.5.3
3
3.5.4
3
3.6.1
3
3.6.2
2
3.6.3
1
3.7.1
3
X
3.7.2
1
X
3.8.1
2
3.8.2
1
3.9.1
3
3.9.2
2
3.10.1
2
X
3.10.2
3
X
3.10.3
2
3.11.1
3
3.12.1
3
3.12.2
2
3.12.3
2
X
3.12.4
2
X
3.12.5
2
X
3.14.1
2
X
3.14.2
1
X
3.15.1
3
3.15.2
2
X
3.16.1
2
X
3.16.2
1
X
3.17.1
2
3.17.2
1
3.17.3
2
3.18.1
2
X
3.18.2
2
X
3.18.3
1
X
X
X
X
X
X
En la Tabla 33 se describe los cruces de las amenazas y vulnerabilidades para
obtener el nivel de riesgo de los activos más importantes de la Dirección de
Tecnologías de la Información y Comunicaciones como son: Firewall.
-133-
Tabla 33. Cruce de las Amenazas y las vulnerabilidades Firewall (Activo 5.3).
Fuente: Autor.
AMENAZAS
Nro. Div. Descripción
2.17
4
3.10
4
3.11
4
4.1
2
4.13
4
5.30
1
Vulnerabilidades
Pérdida de confidencialidad 2.1.1
de datos sensibles de la red
2.6.2
a proteger
2.8.9
Exportación incorrecta de
sistemas de archivos bajo
Linux
Configuración impropia del
sendmail
Interrupciones en la fuente
de energía
Autenticación faltante o de
pobre calidad
Sabotaje
2.2.2
2.2.3
2.3.3
2.5.1
2.6.1
2.6.3
2.8.2
2.8.3
2.8.5
2.8.6
2.8.10 2.9.1
2.9.3
2.9.4
2.10.1
2.10.4
2.11.2 2.11.3
2.11.4
2.11.6
2.11.7
2.11.8
2.11.9 2.11.11 2.11.12 2.11.14 2.11.15
2.12.1
2.12.2 2.14.1
2.1.1
2.4.2
2.6.4
2.13.1
1.4.3.1 2.7.1
2.8.11
2.11.5
1.4.3.1 2.4.1
2.8.7
2.11.10
2.2.1
2.8.8
2.4.3
1.4.3.1 2.9.4
En la Tabla 34 se describe las vulnerabilidades potenciales que pueden afectar
al Firewall de la Dirección de Tecnologías de la Información y Comunicaciones.
Tabla 34. Vulnerabilidades Potenciales del Firewall (Activo 5.3).
Fuente: Autor.
Nro.
1.4.3.1
Nivel
Descripción
2
Gestión de fallas dispositivos externos al funcionamiento del equipamiento TI
2.1.1
2
Servicios habilitados innecesarios
2.2.1
2
Instalación/ISC, versión y parches Bind
2.2.2
2
Actualización dinámica del DNS
2.2.3
2
Demonio named habilitado en servidores no DNS
2.3.1
3
RPC habilitado
2.3.3
2
Servicios RPC que se pueden explotar
2.4.1
2
Versión SNMP y puertos habilitados
2.4.2
3
Nombres comunidad SNMP por default
2.4.3
2
Chequeo registros MIB del SNMP
2.5.1
1
Instalación y versión ssh
2.6.1
3
Versión NIS
2.6.2
3
Ubicación password del root con NIS
-1342.6.3
2
Versión NFS
2.6.4
3
Configuración archivo export y montaje de sistema de archivos NFS
2.7.1
1
Versión Open SSL
2.8.1
3
Habilitación y funcionalidad anónima ftp
2.8.2
3
Sin uso de password en el modo de subida ftp
2.8.3
3
No hay restricciones y mecanismos para direcciones IP o dominios en ftp
2.8.5
3
Especificación de las cuentas administrativas en archivo ftpusers
2.8.6
3
No hay diferenciación archivos contraseñas ftp con los del Sistema Operativo
2.8.7
2
Permisos y propietarios del raíz y subdirectorios etc y bin del ftp anónimo
2.8.8
2
Permisos y propietarios de archivos de subdirectorios etc y bin
2.8.9
2
Permisos y propietarios directorio home ~ftp/
2.8.10
3
Existencia de archivos .rhosts y .forward
2.8.11
3
Restricciones de escritura para everyone en directorios ftp y sus archivos
2.9.1
2
Hay cuentas extras con UID 0, o sin contraseñas en el archivo passwd
2.9.2
3
tftp habilitado
2.9.3
3
tftp necesario pero sin precauciones de acceso restringido
2.9.4
2
No se usa un programa para mejorar la elección de contraseñas
2.10.1
2
Permisos y propietarios no adecuados en archivos de servicios de red
2.10.2
2
Cron acepta usuarios ordinarios
2.10.3
3
Se puede registrar como root en la consola en forma remota
2.10.4
3
Terminales no adecuados en el archivo de terminal seguro
2.11.1
2
Archivos .exrc no justificados
2.11.2
2
Archivos .forward en directorios home de usuarios
2.11.3
2
Umask inadecuado de algunos programas
2.11.4
2
Restricciones de acceso no adecuadas en algunos archivos bajo /etc
2.11.5
3
Escritura indebida de los archivos log
2.11.6
2
Características extendidas (inmutabilidad y sólo anexado) no habilitadas
2.11.7
2
Inadecuados permisos, propiedad y grupo de /vmunix
2.11.8
3
2.11.9
3
Archivos que no debieran ser propiedad sino de root, y /tmp que no tiene el
sticky-bit
Archivos o directorios no esperados que son escribibles por cualquiera
2.11.10
2
Archivos que no debieran tener seteados el bit SUID o SGID
2.11.11
2
Umask inadecuado de algunos usuarios
2.11.12
2
Archivos ordinarios en el directorio /dev
2.11.13
2
Archivos especiales fuera de /dev
2.11.14
2
2.11.15
2
Archivos ejecutables y sus directorios ascendentes escribibles por grupos o
cualquiera
Archivos sin propietarios
2.12.1
3
No se han definido los archivos log adecuados para seguridad
2.12.2
2
No se usan las extensiones de seguridad de Linux para los archivos log
2.13.1
2
Inadecuados permisos y propiedad del archivo /etc/export
2.14.1
3
Parches y actualizaciones Linux
-135En la Tabla 35 se describe las amenazas y vulnerabilidades verificadas de los
activos más importantes de la Dirección de Tecnologías de la Información y
Comunicaciones como son: Firewall.
Tabla 35. Amenazas vs. Vulnerabilidades verificadas Firewall (Activo 5.3).
Fuente: Autor.
Amen.
Vulner.
1.4.3.1
2.17 3.10 3.11
Nivel
2
4
4
2.1.1
2
X
X
2.2.1
2
2.2.2
2
X
2.2.3
2
X
2.3.1
3
2.3.3
2
2.4.1
2
2.4.2
3
2.4.3
2
2.5.1
1
X
2.6.1
3
X
2.6.2
3
X
2.6.3
2
X
2.6.4
3
2.7.1
1
2.8.1
3
2.8.2
3
X
2.8.3
3
X
2.8.5
3
X
2.8.6
3
X
2.8.7
2
2.8.8
2
2.8.9
2
X
2.8.10
3
X
2.8.11
3
2.9.1
2
2.9.2
3
2.9.3
3
X
2.9.4
2
X
2.10.1
2
X
2.10.2
2
X
2.10.3
3
X
2.10.4
3
X
2.11.1
2
4.1
4
2
X
X
4.13 5.30
4
1
X
X
X
X
X
X
X
X
X
X
X
X
X
-1362.11.2
2
X
2.11.3
2
X
2.11.4
2
X
2.11.5
3
2.11.6
2
X
2.11.7
2
X
2.11.8
3
X
2.11.9
3
X
2.11.10
2
2.11.11
2
X
2.11.12
2
X
2.11.13
2
2.11.14
2
X
2.11.15
2
X
2.12.1
3
X
2.12.2
2
X
2.13.1
2
2.14.1
3
X
X
X
X
4.6 ANÁLISIS DEL RIESGO, VALORACIÓN Y EVALUACIÓN
El análisis del riesgo tiene como objetivo identificar y calcular los riesgos
basados en la identificación de los activos, y en el cálculo de las amenazas y
vulnerabilidades.
(Alexander, 2007, pág. 53), señala que “…los riesgos se calculan de la
combinación de los valores de los activos, que expresan el impacto de pérdidas
por confidencialidad, integridad y disponibilidad y del cálculo de la posibilidad
de que las amenazas y vulnerabilidades relacionadas se junten y causen un
incidente”.
Para realizar el cálculo del riesgo se utilizará la matriz de riesgo de la
metodología de Cramm que se describe en la Tabla 36.
-137-
Tabla 36. Matriz de Riesgo.
Fuente: (ESPE, 2005)
Amenaza
Muy Baja
Alta
Baja
Media
Alta
Baja
Media
Alta
Baja
Media
Alta
Baja
Media
Alta
Muy Alta
1
1
1
1
1
1
1
1
1
2
1
2
2
2
2
3
2
1
1
2
1
2
2
2
2
3
2
3
3
3
3
4
3
1
2
2
2
2
2
2
3
3
3
3
4
3
4
4
4
2
2
3
2
3
3
3
3
4
3
4
4
4
4
5
5
2
3
3
3
3
4
3
4
4
4
4
5
4
5
5
6
3
3
4
3
4
4
4
4
5
4
5
5
5
5
6
7
3
4
4
4
4
5
4
5
5
5
5
6
5
6
6
8
4
4
5
4
5
5
5
5
6
5
6
6
6
6
7
9
4
5
5
5
5
6
5
6
6
6
6
7
7
7
7
10
5
5
6
5
6
6
6
6
6
6
7
7
7
7
7
Riesgos
Nivel
Alta
Media
Activo
Media
Baja
Vulnerabilidad
Baja
Amenazas
Valor
Nivel
Vulnerabilidades
Valor
Muy Bajo
1
Muy Baja
1
Bajo
2
Baja
Medio bajo
3
Media
Medio
4
Alta
4
Muy Alta
5
Medio alto
5
Alto
6
Muy Alto
7
Nivel
Valor
Baja
1
2
Media
2
3
Alta
3
Para el cálculo de riesgo de un activo utilizando la matriz de la Tabla 36, se
requiere los valores de la Tabla 16 Activos Primarios Clasificados definidos en
7 clases y 10 niveles (1 -10); los valores de las amenazas definidas en la Tabla
17 clasificadas en 5 tipos y 5 niveles de amenazas (1 - 5); y, los valores de las
vulnerabilidades definidas en la Tabla 19 clasificadas en 4 tipos y 3 niveles de
vulnerabilidades (1 - 3). Con esta información reemplazaremos en la matriz y
determinamos el nivel del riesgo para este activo el mismo que tendrá un valor
de (1 – 7).
-138-
Utilizando la matriz de riesgo en la Tabla 37 se presenta el cálculo del riesgo
para los activos: Sala de Servidores.
Tabla 37. Niveles particulares de riesgo para la Sala de Servidores. Activo 2.32
Fuente: Autor.
Vulner.
Amen. 1.2
Nivel
4
1.3
2
1.4
4
1.5
3
1.6
2
1.7
2
1.8 1.9 1.10 2.1
2
2
2
4
2.2
5
2.4 2.10 2.11 5.4
3
3
2
3
1.2.3.1
1
6
1.2.4.1
1
6
1.4.1.1
2
1.4.1.2
1
1.4.3.1
2
1.4.4.1
1
1.4.4.2
1
1.4.4.3
1
1.4.4.4
1
1.4.4.5
2
1.5.1.1
1
1.5.1.4
2
1.5.2.1
3
1.6.1.1
2
6
1.6.1.2
1
5
1.6.1.3
2
6
1.6.1.4
1
5
1.6.1.5
1
5
1.7.1.1
2
6
1.7.1.2
1
6
1.7.1.3
2
6
1.7.1.4
2
6
1.7.2.1
3
7
1.7.2.2
2
6
1.7.2.3
2
6
1.7.2.4
2
6
5.5 5.29
5
1
6
5
4
6
5
5
5
5
5
5
5
5
5
6
7
7
4
7
4
-139-
En la Tabla 38 se presenta el resumen de las amenazas para el activo sala de
servidores.
Tabla 38. Resumen efectos de las amenazas para la Sala de Servidores.
Fuente: Autor.
Nro. Nivel
Cantidad
Máximo
Vulnerab.
riesgo
Potenc.
Descripción
1,2
4
Fallas de los sistemas TI
8
7
1,3
2
Rayos
1
5
1,4
4
Incendio
1
6
1,5
3
Inundación
1
5
1,6
2
Cables quemados
1
5
1,7
2
Polvo y suciedad
1
5
1,8
2
Efectos de catástrofes en el ambiente
1
5
1,9
2
Problemas causados por grandes eventos públicos
1
5
1,1
2
Tormentas
1
5
2,1
4
Falta o insuficiencia de reglas de seguridad en general
3
6
2,2
5
1
7
2,4
3
Conocimiento insuficiente de documentos sobre
procedimientos
Monitoreo insuficiente de las medidas de seguridad TI
5
6
2,1
3
Dimensionamiento insuficiente de redes y centro de cómputo
1
5
2,11
2
Documentación insuficiente del cableado
1
5
5,4
3
Robo
1
6
5,5
5
Vandalismo
2
7
5,29
1
Sabotaje
4
5
reglas
y
En conclusión, la sala de servidores tiene un nivel de riesgo promedio de 5,58
sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue
de 34 y los niveles de protección son: para la confidencialidad es medio, para la
integridad medio y la disponibilidad es alta.
Utilizando la matriz de riesgo en la Tabla 39 se presenta el cálculo del riesgo
para los activos: Software y Aplicaciones.
-140-
Tabla 39. Niveles particulares de riesgo Software y Aplicaciones. Activo 7.1
Fuente: Autor.
Vulner.
1.1.1.2
Amen.
2,1
2,3
Nivel
2
4
2
2,18 2,19
3
3
2,2
2,21
3,3
3,15
4,4
2
4
4
5
3
5
4,14 5,12 5,13 5,18
4
1.1.1.3
2
1.2.2.1
3
1.2.2.3
2
1.2.2.4
1
1.2.3.1
1
1.2.3.3
1
1.2.5.1
3
1.3.2.1
1
5
1.3.2.2
3
6
1.3.2.3
2
1.3.3.1
1
5
1.3.3.2
1
5
1.3.3.3
2
5
1.3.3.4
1
5
1.3.4.1
2
5
1.3.4.2
1
1.3.4.3
1
5
1.3.4.4
1
5
1.3.5.1
2
5
5
1.3.5.2
1
4
5
1.3.5.3
2
1.3.5.4
1
1.3.6.1
1
4
1.3.6.3
1
4
1.3.6.4
2
1.3.7.3
1
4
1.3.7.6
1
4
1.3.7.7
1
1.3.7.8
1
1.4.5.2
1
1.5.1.3
1
1.6.3.1
1
4
1.6.3.2
1
4
1.6.3.3
1
4
1.7.3.1
1
4
1.7.3.2
2
5
3
4
3
6
5
5
5
5
5
4
4
5
5
4
5
4
5
5
4
-1411.7.3.3
2
5
1.7.4.1
3
1.7.4.2
3
1.7.4.3
1
5
1.7.4.4
2
5
1.7.4.5
3
6
1.7.4.6
3
6
6
6
En la Tabla 40 se presenta el resumen de las amenazas para el activo
Software de Aplicaciones.
Tabla 40. Resumen efectos de las amenazas para Software y Aplicaciones. Activo 7.1
Fuente: Autor.
Nro. Nivel
Descripción
Cantidad
Máximo
Vulnerab.
riesgo
Potenc.
2,1
4
Falta o insuficiencia de reglas de seguridad en general
1
6
2,3
2
Recursos incompatibles o inadecuados
3
4
2,18
3
6
5
2,19
3
Procedimientos faltantes o inadecuados para test y liberación de
software
Documentación faltante o inadecuada
1
4
2,2
2
Violación de derechos de autor
2
4
2,21
4
Prueba de software con datos de producción
1
5
3,3
4
No cumplimiento con las medidas de seguridad TI.
8
6
3,15
3
Errores en la configuración y operación
6
5
4,4
5
Reconocimiento de vulnerabilidades en el software
1
5
4,14
4
Vulnerabilidades o errores de software
12
6
5,12
3
Caballos de Troya
1
5
5,13
4
Virus de computador
3
6
5,18
3
Macrovirus
1
5
En conclusión, el activo 7.1 Software y Aplicaciones tiene un nivel de riesgo
promedio de 4,69 sobre 7, el total de cruces encontrado para las amenazas y
vulnerabilidades fue de 46 y los niveles de protección son: para la
confidencialidad es medio, para la integridad medio y la disponibilidad es alta.
-142En la Tabla 41 utilizando la matriz de riesgo se presenta el cálculo del riesgo
para los activos: Servidor Windows.
Tabla 41. Niveles particulares de riesgo para el Servidor Windows S1 (Activo 4.3)
Fuente: Autor.
Amen. 2,18 2,23 2,24
2
2
3
4,5
4
4,16 5,13 5,18 5,21 5,29
Vulner.
Nivel
1
4
3
4
1.1.4.3
3
1.2.2.1
3
7
1.2.2.3
2
7
1.2.2.4
1
6
1.3.5.4
1
1.6.1.4
1
6
1.6.1.5
1
6
1.6.2.1
3
3.1.1
3
6
3.1.2
2
6
3.1.3
2
6
3.1.4
3
6
3.1.5
2
6
3.2.1
3
6
3.2.2
2
6
3.2.3
2
6
3.3.1
3
6
3.3.2
3
6
3.4.1
3
6
3.4.2
2
6
3.5.1
3
6
3.5.2
2
6
3.5.3
3
6
3.5.4
3
6
3.6.1
3
6
3.6.2
2
6
3.6.3
1
6
3.7.1
3
6
3.7.2
1
6
3.8.1
2
6
3.8.2
1
6
3.9.1
3
6
3.9.2
2
6
3.10.1
2
6
3
6
6
6
5
7
6
-1433.10.2
3
6
3.10.3
2
6
3.11.1
3
6
3.12.1
3
6
3.12.2
2
6
3.12.3
2
6
3.12.4
2
6
3.12.5
2
6
3.14.1
2
6
3.14.2
1
6
3.15.1
3
6
3.15.2
2
6
3.16.1
2
6
3.16.2
1
6
3.17.1
2
6
3.17.2
1
6
3.17.3
2
6
3.18.1
2
6
3.18.2
2
6
3.18.3
1
6
6
6
En la Tabla 42 se presenta el resumen de las amenazas para el activo
Servidor Windows.
Tabla 42. Resumen efectos de las amenazas Servidor Windows S1 (Activo 4.3).
Fuente: Autor.
Nro. Nivel
Descripción
Cantidad
Vulnerab.
Potenc.
Máximo
riesgo
2,18
2
Reducción de la velocidad de transmisión o ejecución debido a
funciones P2P
1
5
2,23
2
Planificación inadecuada de los dominios
1
6
2,24
3
Protección inadecuada del sistema Windows
46
6
4,5
4
Diversidad de posibilidades de acceso a sistemas TI en red
1
7
4,16
1
Reconocimiento automático del DVD-ROM
1
6
5,13
4
Virus de computador
3
7
5,18
3
Macrovirus
2
6
5,21
4
Mal uso de los derechos de administrador en sistemas Windows
2
6
5,29
3
Adquisición no autorizada de derechos de administrador con
Windows
2
6
-144-
En conclusión, el activo 4.3, servidor Windows S1 tiene un nivel de riesgo
promedio de 6,11 sobre 7, el total de cruces encontrado para las amenazas y
vulnerabilidades fue de 59 y los niveles de protección son: para la
confidencialidad es alto, para la integridad medio y la disponibilidad es alta.
Utilizando la matriz de riesgo en la Tabla 43 se presenta el cálculo del riesgo
para los activos: Servidor Windows S4.
Tabla 43. Niveles particulares de riesgo para el Servidor Windows S4 (Activo 4.3).
Fuente: Autor.
Amenaza 2,2
Vulnerabilidad
Nivel
2
2,2
4,2
5,1
5,2
5,2
5,3
3
1
4
3
4
3
6
6
1.1.4.3
3
1.2.2.1
3
1.2.2.3
2
1.2.2.4
1
1.3.5.4
1
1.6.1.4
1
6
1.6.1.5
1
6
1.6.2.1
3
3.1.1
3
6
3.1.2
2
6
3.1.3
2
6
3.1.4
3
6
3.1.5
2
6
3.2.2
2
3.2.3
2
3.3.1
3
6
3.3.2
3
6
3.4.1
3
6
3.4.2
2
6
3.5.1
3
3.5.2
2
3.5.3
3
3.5.4
3
5
6
-1453.6.1
3
3.6.2
2
3.6.3
1
3.7.1
3
6
3.7.2
1
6
3.8.1
2
3.8.2
1
3.9.1
3
3.9.2
2
3.10.1
2
6
3.10.2
3
6
3.10.3
2
3.11.1
3
3.12.1
3
3.12.2
2
3.12.3
2
6
3.12.4
2
6
3.12.5
2
6
3.14.1
2
6
3.14.2
1
6
3.15.1
3
3.15.2
2
6
3.16.1
2
6
3.16.2
1
6
3.17.1
2
3.17.2
1
3.17.3
2
3.18.1
2
6
3.18.2
2
6
3.18.3
1
6
6
6
6
6
En la Tabla 44 se presenta el resumen de las amenazas para el activo
Servidor Windows S4.
-146-
Tabla 44. Resumen efectos de las amenazas Servidor Windows S4 (Activo 4.3).
Fuente: Autor.
Nro. Nivel
Cantidad
Máximo
Vulnerab.
riesgo
Potenc.
Descripción
2,18
2
Reducción de la velocidad de transmisión o ejecución debido a
funciones P2P
1
5
2,24
3
Protección inadecuada del sistema Windows
27
6
4,16
1
Reconocimiento automático del DVD-ROM
1
6
5,13
4
Virus de computador
1
6
5,18
3
Macrovirus
1
6
5,21
4
Mal uso de los derechos de administrador en sistemas Windows
2
6
5,29
3
Adquisición no autorizada de derechos de administrador con
Windows
1
6
En conclusión, el activo 4.3, servidor Windows S4 tiene un nivel de riesgo
promedio de 6,83 sobre 7, el total de cruces encontrado para las amenazas y
vulnerabilidades fue de 34 y los niveles de protección son: para la
confidencialidad es alto, para la integridad medio y la disponibilidad es alta.
Utilizando la matriz de riesgo en la Tabla 45 se presenta el cálculo del riesgo
para los activos: Firewall.
Tabla 45. Niveles particulares de riesgo para el Firewall (Activo 5.3).
Fuente: Autor.
Amen. 2,17
Vulner.
1.4.3.1
Nivel
2
4
2.1.1
2
2.2.1
2
2.2.2
2
7
2.2.3
2
7
2.3.1
3
2.3.3
2
2.4.1
2
2.4.2
3
3,1
3,11
4,1
4,13
5,3
4
4
7
2
6
4
1
5
7
7
7
6
7
-1472.4.3
2
7
2.5.1
1
6
2.6.1
3
7
2.6.2
3
7
2.6.3
2
7
2.6.4
3
2.7.1
1
2.8.1
3
2.8.2
3
7
2.8.3
3
7
2.8.5
3
7
2.8.6
3
7
2.8.7
2
2.8.8
2
2.8.9
2
7
2.8.10
3
7
2.8.11
3
2.9.1
2
2.9.2
3
2.9.3
3
7
2.9.4
2
7
2.10.1
2
7
2.10.2
2
7
2.10.3
3
7
2.10.4
3
7
2.11.1
2
2.11.2
2
7
2.11.3
2
7
2.11.4
2
7
2.11.5
3
7
2.11.6
2
7
2.11.7
2
7
2.11.8
3
7
2.11.9
3
7
2.11.10
2
2.11.11
2
7
2.11.12
2
7
2.11.13
2
2.11.14
2
7
2.11.15
2
7
2.12.1
3
7
2.12.2
2
7
2.13.1
2
2.14.1
3
7
6
6
7
7
7
5
6
7
7
-148-
En la Tabla 46 se presenta el resumen de las amenazas para el activo
Servidor Windows S4.
Tabla 46. Resumen efectos de las amenazas Firewall (Activo 5.3).
Fuente: Autor.
Cantidad
Máximo
Vulnerab.
riesgo
Potenc.
Nro. Nivel Descripción
2,17
4
34
7
4
Pérdida de confidencialidad de datos sensibles de la red a
proteger
Exportación incorrecta de sistemas de archivos bajo Linux
3,1
3,11
4
7
4
Configuración impropia del sendmail
4
7
4,1
2
Disrupciones en la fuente de energía
4
6
4,13
4
Autenticación faltante o de pobre calidad
3
7
5,3
1
Sabotaje
2
5
En conclusión, el activo 5.3, Firewall tiene un nivel de riesgo promedio de 6,50
sobre 7, el total de cruces encontrado para las amenazas y vulnerabilidades fue
de 51 y los niveles de protección son: para la confidencialidad es medio, para la
integridad medio y la disponibilidad es alta.
4.7
IDENTIFICAR Y EVALUAR LAS OPCIONES PARA EL
TRATAMIENTO DEL RIESGO
Una vez efectuados el análisis y la evaluación del riesgo, se debe decidir
cuáles acciones se deben tomar con esos activos que están sujetos a riesgos y
estas decisiones deberán
ejecutarse, identificando
y planificando
las
actividades con claridad y distribuir las responsabilidades a los encargados de
los activos, estimar los requerimientos de los recursos, el conjunto de
entregables, fechas críticas y la supervisión del progreso.
-149-
Según la Norma ISO/IEC 27002:2005 la opciones posibles para el tratamiento
de riesgos son: (a) Aplicar controles apropiados. (b) Aceptar riesgos
consistente y objetivamente. (c) Evitar los riesgos. (d) Transferir los riesgos. De
las opciones propuestas por la norma se decidió tomar las 2 primeras, por lo
que en este caso de estudio los riesgos serán controlados o asumidos.
En el Anexo J se presentan los procedimientos correspondientes al control
A.6.3.1 Reporte de incidente de seguridad, control A.9.2.3 Administración de
contraseñas de usuarios, control A.9.3.1 Uso de contraseñas y control A.9.5.4
Sistema de Administración de contraseñas.
4.8
SELECCIONAR LOS OBJETIVOS DE CONTROL Y
CONTROLES PARA EL TRATAMIENTO DEL RIESGO
Los resultados del análisis y la evaluación del riesgo de la Dirección de
Tecnologías de la Información y Comunicaciones DIRTIC, requieren ser
revisados con regularidad para visualizar cualquier modificación.
Las estructuras organizacionales, las tareas que se ejecutan, la tecnología que
se utiliza y las personas en las organizaciones hacen una dinámica que afectan
los riesgos valorados en un momento determinado.
Luego del proceso de identificación de las opciones de tratamiento de riesgo y
de haber evaluado estos riesgos, la DIRTIC deberá asignar los recursos y las
acciones correspondientes para implementar las decisiones de la gestión del
riesgo que deben iniciar y decidir cuáles objetivos de control y controles
-150escoger para el tratamiento del riesgo y preparar la declaración de
aplicabilidad, como se ilustra en la Tabla 47, el cual es un documento muy
importante del Sistema de Gestión de Seguridad de la Información, según
(ISO/IEC 27001:2005, 2005), la cláusula 4.2.1 (j) da las exigencias que se
deben seguir para estar en conformidad.
Tabla 47. Plan de tratamiento del riesgo.
Fuente: Autor.
Áreas
Actividades
Control
Activo
Fecha de
Culminación
Responsable
Elaborar procedimientos para el sistema de
administración de contraseñas, uso de
contraseñas
y
administración
de
contraseñas de usuarios.
A.9.2.3
A.9.3.1
A.9.5.4
Seguridad
Informática
15/01/2016
Normalización
y Seguridad
Telemática
Elaborar documentos de los procedimientos
operativos de la DIRTIC
A.10.1.1
Seguridad
Informática
15/02/2016
Normalización
y Seguridad
Telemática
Realizar controles de cambios cuando
ocurra alguna variación en los recursos o en
los sistemas de la DIRTIC
A.10.1.2
Recursos
Informáticos
Cada vez que
ocurra un
cambio
CETEIN
Realizar estadísticas del crecimiento de los
sistemas de la DIRTIC a fin de hacer
proyecciones de los requisitos de la
capacidad futura de los servidores
A.10.3.1
Control de
Centros de TI
Mensual
Control de
Centros de TI
Instalar
antivirus
y
actualizarlos
constantemente para mitigar el riesgo del
código malicioso
A.10.4.1
Soporte de
Hardware y
Software
Semanalmente
CETEIN
Elaborar un programa de capacitación para
la detección y prevención de código
malicioso.
A.10.4.1
Control de
Centros de TI
15/02/2016
CETEIN
Realizar las copias de seguridad de la
información según la política de seguridad
acordada.
A.10.5.1
Base de Datos
y Servidores
Semanalmente
CETEIN Normalización
y Seguridad
Telemática
Elaborar un procedimiento para la
eliminación segura de los medios de
información. (Disco duros, Pen drive, CD,
DVD, entre otros)
A.10.7.2
Base de Datos
y Servidores
15/02/2016
CETEIN Normalización
y Seguridad
Telemática
Se debe llevar el registro de las actividades
del administrador de la DIRTIC, así como de A.10.10.4
los operadores
Jefe CETEIN
Regularmente
CETEIN
Elaborar registro de las fallas detectada en
A.10.10.5
los sistemas y en la infraestructura.
Recursos
Informáticos
Regularmente
CETEIN
DIRTIC
-151-
Elaborar las políticas de control de acceso a
los sistemas de la DIRTIC
A.11.1.1
Base de Datos
y Servidores
15/02/2016
Normalización
y Seguridad
Telemática
Elaborar un procedimiento de registro y desregistro de usuarios para conceder o
revocar el acceso a los sistemas de la
DIRTIC.
A.11.2.1
Mesa de ayuda
15/02/2016
CETEIN
Elaborar procedimientos de selección y uso
de contraseñas
A.11.3.1
Seguridad
Informática
30/01/2016
Normalización
y Seguridad
Telemática
Elaborar un procedimiento para el sistema
de gestión de contraseñas
A.11.5.3
Seguridad
Informática
30/01/2016
Normalización
y Seguridad
Telemática
Elaborar un plan para la realización de
auditorías de sistemas que conlleve a
minimizar el riesgo de interrupciones en los
procesos administrativos.
A.15.3.1
Desarrollo y
Gestión de
Proyectos TIC
30/06/2016
DIRTIC
Elaborar un programa detallado de
capacitación para el manejo de los sistemas
de la DIRTIC.
A.8.2.2
Control de
Centros de TI
30/03/2016
CETEIN Control de
Centros de TI
Elaborar un documento de la política de
seguridad de la información
A.5.1.1
Seguridad
Informática
30/11/2015
Normalización
y Seguridad
Telemática
Elaborar las políticas de control de accesos
a la información o recursos de información
del personal externo e interno
A.11.1.1
Seguridad
Informática
15/02/2016
Normalización
y Seguridad
Telemática
Elaborar una política sobre seguridad de
información
incluyendo
papeles,
responsabilidades y sanciones.
A.8.1.1
A.8.2.3
Seguridad
Informática
15/02/2016
Normalización
y Seguridad
Telemática
Elaborar políticas para que los usuarios
ejerciten buenas prácticas en la selección y
uso de claves.
A.11.3.1
A.11.5.3
Seguridad
Informática
15/02/2016
Normalización
y Seguridad
Telemática
Elaborar un programa detallado de
capacitación para crear conciencia sobre la
importancia de la seguridad de información
y su manejo por el personal de la DIRTIC.
A.8.2.2
A.6.1.3
Control de
Centros de TI
30/01/2016
CETEIN Control de
Centros de TI
Elaborar políticas definidas para la
asignación de responsabilidades en la
protección de activos de información así
como de seguridad de información.
A.6.1.3
Normalización
y Seguridad
Telemática
15/02/2016
DIRTIC
Se debe organizar y mantener actualizada
la cadena de contactos (Interno o Externo)
con el mayor detalle posible identificando
los requisitos de seguridad antes de dar
acceso a la información.
A.6.2.2
A.6.2.3
Seguridad
Informática
30/01/2016
Normalización
y Seguridad
Telemática
-152-
4.9
OBTENER LA APROBACIÓN, POR PARTE DE LA
DIRECCIÓN, DE LOS RIESGOS RESIDUALES PROPUESTOS.
Según la (ISO/IEC 27001:2005, 2005), el riesgo residual es: “El riesgo
remanente después del tratamiento del riesgo”. En el paso anterior Selección
de Objetivos de Control y Controles, se propusieron salvaguardas para los
riesgos detectados y clasificados como importantes.
La aplicación de estos controles persigue llevar el riesgo a niveles aceptables,
permitiendo un margen de error Riesgo Residual, el cual debe ser conocido y
aprobado por la Dirección de Tecnologías de la Información y Comunicaciones
de la Armada DIRTIC, por lo cual se hace necesario que en el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia a la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, la Dirección apruebe el Riesgo Residual no
cubierto, la aprobación se puede conseguir por medio de la firma del
documento “Matriz de Gestión de Riesgo, Controles Recomendados y
Estimados” y la firma del siguiente documento:
-153-
Armada del Ecuador
Dirección de Tecnologías de la Información y Comunicaciones
Guayaquil
APROBACIÓN DEL RIESGO RESIDUAL
DECLARACIÓN
A través del siguiente documento se aprueba el “Riesgo Residual” no
cubierto en la implantación de los controles sugeridos como resultado
de la Evaluación del Riesgo para el Diseño de un Sistema de Gestión
de Seguridad de la Información para Instituciones Militares, tomando
como caso de referencia la Dirección de Tecnologías de la Información
y Comunicaciones de la Armada.
A los ___ días del mes de ________ del 2015.
Director de la DIRTIC
Firma autorizada
-154-
4.10 OBTENER LA AUTORIZACIÓN DE LA DIRECCIÓN PARA
IMPLEMENTAR Y OPERAR EL SGSI.
Es necesario garantizar la puesta en marcha de Diseño de un Sistema de
Gestión de Seguridad de la Información para Instituciones Militares, tomando
como referencia a la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, con el compromiso de la Dirección de facilitar
los recursos necesarios para la implementación de los controles propuestos.
En este caso de estudio, la persona encargada de la Jefatura de Departamento
de Normalización y Seguridad Telemática, así como la Jefatura del Centro de
Tecnología de la Información no tiene la competencia para autorizar los
recursos necesarios para la implementación y operación del SGSI; sin
embargo, de considerar pertinente la adopción de los controles propuestos
como solución a los problemas detectados en la seguridad de la información
que se maneja en la DIRTIC, pudiese llevar a cabo las acciones necesarias
para lograr dicha aprobación a través de una instancia superior (Director de
Tecnologías de la Información y Comunicaciones).
La autorización para implementación del SGSI en la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada se puede lograr a través de
la firma del documento “Enunciado de Aplicabilidad” por parte del “Director de
la DIRTIC” con competencia para ello y la firma del siguiente documento:
-155-
Armada del Ecuador
Dirección de Tecnologías de la Información y Comunicaciones
Guayaquil
AUTORIZACIÓN DE IMPLEMENTACIÓN Y OPERACIÓN
RESOLUCIÓN No. _____________
El _______________________________ de la Dirección de
Tecnologías de la Información y Comunicaciones de la Armada, en
Sesión No. _________, Ordinaria, celebrada el día ____ de ______
del año ________, en uso de las atribuciones legales y reglamentarias
que le confiere la ley AUTORIZÓ la IMPLEMENTACIÓN Y
OPERACIÓN DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN PARA INSTITUCIONES MILITARES,
TOMANDO COMO REFERENCIA A LA DIRECCIÓN DE
TECNOLOGÍAS DE LA INFORMACIÓN DE LA ARMADA.
Director de la DIRTIC
Firma autorizada
-156-
En el Anexo K se presenta un cronograma de cuarenta y cuatro (44) semanas
para implementar el Sistema de Gestión de Seguridad de la Información para
Instituciones Militares, tomando como referencia a la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada.
4.11 DECLARACIÓN DE APLICABILIDAD
La declaración de aplicabilidad, como lo exige el ISO/IEC 27001:2005 en la
cláusula 4.2.1 (4) (j), es un excelente registro de los últimos controles
establecidos. Tiene como finalidad la observancia de todos los controles de
seguridad propuestos en la norma ISO/IEC 27001:2005, con la justificación de
su inclusión o exclusión.
El uso de la declaración de aplicabilidad es muy apropiado para mantener un
registro actualizado de los últimos controles instaurados en el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia a la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, en la Tabla 48 se tiene una ilustración de la
declaración de aplicabilidad.
Tabla 48. Declaración de aplicabilidad del Sistema de Gestión de Seguridad de la
Información.
Fuente: Autor.
Objetivos de
control
A.5.1. Política de
Seguridad de la
información
Aplicabilidad
Controles
SI
A.5.1.1
X
A.5.1.2
X
Justificación
NO
Es necesario establecer las políticas de
seguridad para los sistemas de información,
ya que manejan la información vital de la
DIRTIC. Es necesario revisar periódicamente
las políticas de seguridad para asegurar que
se mantengan adecuadas.
-157-
A.6.1 Organización
interna
A.6.2 Partes
externas
A.7.1
Responsabilidad
por los activos
A.7.2 Clasificación
de la información
A.8.1 Antes del
empleo
A.6.1.1
X
A.6.1.2
X
A.6.1.3
X
A.6.1.4
X
A.6.1.5
X
A.6.1.6
X
A.6.1.7
X
A.6.1.8
X
A.6.2.1
X
A.6.2.2
X
A.6.2.3
X
A.7.1.1
X
A.7.1.2
X
A.7.1.3
X
A.7.2.1
X
A.7.2.2
X
A.8.1.1
X
A.8.1.2
X
A.8.1.3
X
A.8.2.1
X
A.8.2.2
X
A.8.2.3
X
A.8.3.1
X
A.8.3.2
X
A.8.3.3
X
A.9.1.1
X
A.9.1.2
X
A.9.1.3
X
A.9.1.4
X
A.9.1.5
X
A.9.1.6
X
A.9.2.1
X
A.9.2.2
X
A.9.2.3
X
A.8.2 Durante el
empleo
A.8.3 Terminación o
cambio de empleo
A.9.1 Áreas
seguras
A.9.2 Seguridad de
los equipos
Es necesario tener controles y políticas para
el manejo de la seguridad de la información
dentro de la DIRTIC y CETEIN.
Se necesita controles para mitigar riesgos
con instituciones externas. Es necesario
establecer requerimientos de seguridad
porque hay documentos con información
clasificada de la DIRTIC que son trasladados
por terceros.
Es necesario tener controles y políticas para
mantener la protección apropiada de los
activos de la DIRTIC.
Es necesario tener políticas y controles para
asegurar que la información reciba un nivel
de protección apropiado.
Es necesario que los todos los usuarios
(Militares, Servidores Públicos y usuarios
externos), que laboran para la DIRTIC,
comprendan sus responsabilidades, y que
sean apropiados para los roles considerados,
para mitigar los riesgos de robo, fraude o mal
uso de los recursos.
Todos los usuarios (Militares, Servidores
Públicos y usuarios externos), que laboran en
la DIRTIC deben estar conscientes de las
amenazas que tienen los sistemas de
información,
sus
responsabilidades
y
obligaciones para reducir el riesgo de error
humano.
Debe asegurarse que todos los usuarios
(Militares, Servidores Públicos y usuarios
externos), que laboran en la DIRTIC o que
son trasladados a otras oficinas lo hagan de
una manera ordenada.
Es necesario prevenir el acceso físico no
autorizado, daño e interferencia a las
instalaciones e información de la DIRTIC y
CETEIN
Se debe prevenir las pérdidas, daño o robo
de los activos que puedan causar la
interrupción de las actividades de la DIRTIC
-158A.9.2.4
X
A.9.2.5
X
A.9.2.6
X
A.9.2.7
X
A.10.1.1
X
A.10.1.2
X
A.10.1.3
X
A.10.1.4
X
A.10.2.1
X
A.10.2.2
X
A.10.2.3
X
A.10.3 Planificación
y aceptación del
sistema
A.10.3.1
X
A.10.3.2
X
A.10.4 Protección
contra código
malicioso y movible
A.10.4.1
X
A.10.1
Procedimiento y
responsabilidades
de operación
A.10.2 Gestión de
entrega de servicio
de tercera parte
A.10.5 Copia de
seguridad
A.10.6 Gestión de
seguridad de la red
A.10.7 Manejo de
medios de
información
A.10.8 Intercambio
de información
A.10.9 Servicio de
comercio
electrónico
A.10.10
Seguimiento
A.10.4.2
Se debe asegurar la correcta operación de
los recursos para el tratamiento de
información.
Cuando se realice algún servicio externo se
debe implementar controles para mantener el
nivel apropiado de seguridad de la
información.
Se debe minimizar el riesgo de fallas de los
sistemas.
X
A.10.5.1
X
A.10.6.1
X
A.10.6.2
X
A.10.7.1
X
A.10.7.2
X
A.10.7.3
X
A.10.7.4
X
A.10.8.1
X
A.10.8.2
X
A.10.8.3
X
A.10.8.4
X
A.10.8.5
X
Se debe asegurar realizar respaldo del
sistema y de las bases de datos. Igualmente
se deben probar que las copias de seguridad
funcionen correctamente a fin de garantizar la
integridad y la disponibilidad de la
información.
Se debe proteger la información en la red de
datos, así como la infraestructura de soporte.
Se debe prevenir la divulgación, modificación,
eliminación o destrucción no autorizada de
los activos e interrupción de las actividades
administrativas de la DIRTIC.
Se debe asegurar el intercambio de
información dentro de la DIRTIC y CETEIN
con cualquier entidad externa
A.10.9.1
X
A.10.9.2
X
A.10.9.3
X
A.10.10.1
X
A.10.10.2
X
A.10.10.3
X
A.10.10.4
X
A.10.10.5
X
A.10.10.6
X
Se debe proteger la integridad del software y
de la información. No está autorizado el uso
de código movible.
No se realiza comercio electrónico en la
DIRTIC y CETEIN
Se debe registrar las actividades de
procesamiento de información no autorizada.
-159A.11.1 Requisitos
del negocio para el
control de accesos
A.11.2 Gestión de
acceso de usuarios
A.11.3
Responsabilidad de
usuarios
A.11.4 Control de
acceso a la red
A.11.5 Control de
acceso al sistema
operativo
A.11.6 Control de
acceso a las
aplicaciones e
información
A.11.7
Computación móvil
y trabajo a distancia
A.12.1 Requisitos
de seguridad de los
sistemas de
información
A.12.2
Procesamiento
correcto en las
aplicaciones
A.12.3 Controles
criptográficos
A.12.4 Seguridad
de los archivos del
sistema
A.12.5 Seguridad
en los procesos de
desarrollo y soporte
A.11.1.1
X
A.11.2.1
X
A.11.2.2
X
A.11.2.3
X
A.11.2.4
X
A.11.3.1
X
A.11.3.2
X
A.11.3.3
X
A.11.4.1
X
A.11.4.2
X
A.11.4.3
X
A.11.4.4
X
A.11.4.5
X
Es necesario establecer las políticas de
control de acceso.
Es necesario prevenir el acceso
autorizado a los sistemas de información
Es necesario crear conciencia en los usuarios
de la DIRTIC y CETEIN para que sigan
buenas prácticas de seguridad a fin de evitar
el acceso de usuarios no autorizados y
mitigar los riesgos de robo de información o
de
recursos
de
procesamiento
de
información.
Es necesario elaborar políticas de acceso
para la utilización de los servicios de red.
A.11.4.6
X
A.11.4.7
X
A.11.5.1
X
A.11.5.2
X
A.11.5.3
X
A.11.5.4
X
A.11.5.5
X
A.11.5.6
X
A.11.6.1
X
A.11.6.2
X
Es necesario que todos los usuarios de la
DIRTIC y CETEIN dispongan de un
identificador único. Deben existir sistemas
para la gestión de contraseñas.
Se debe prevenir el acceso no autorizado a la
información contenida en los sistemas de
aplicación.
A.11.7.1
X
A.11.7.2
X
A.12.1.1
X
A.12.2.1
X
A.12.2.2
X
A.12.2.3
X
A.12.2.4
X
A.12.3.2
X
A.12.4.2
X
A.12.4.3
X
A.12.5.1
X
A.12.5.2
de
Se debe prevenir los errores, pérdida,
modificación no autorizada o mal uso de la
información en la DIRTIC y CETEIN
X
X
No se realiza teletrabajo ni recursos de
computación móvil.
Se deben especificar los controles
seguridad para la DIRTIC y CETEIN.
A.12.3.1
A.12.4.1
no
No se utiliza encriptación de la información, ni
gestión de claves.
Se debe asegurar la seguridad de los
archivos del sistema.
X
Se debe mantener la seguridad del software y
la información de Los sistemas que dispone
la DIRTIC y CETEIN
-160-
A.12.6 Gestión de
vulnerabilidad
técnica
A.13.1 Reportar los
eventos y
debilidades de
seguridad de la
información
A.13.2 Gestión de
los incidentes y
mejoras de
seguridad de la
información
A.14.1 Gestión de
continuidad del
negocio
A.15.1
Cumplimiento de
requisitos legales
A.12.5.3
X
A.12.5.4
X
A.12.5.5
X
A.12.6.1
X
A.13.1.1
X
A.13.1.2
X
A.13.2.1
X
A.13.2.2
X
A.13.2.3
X
A.14.1.1
X
A.14.1.2
X
A.14.1.3
X
A.14.1.4
X
A.14.1.5
X
A.15.1.1
X
A.15.1.2
X
A.15.1.3
X
A.15.1.4
X
A.15.1.5
X
A.15.1.6
A.15.2
Cumplimiento con
las políticas y
normas de
seguridad y el
cumplimiento
técnico
A.15.3
Consideraciones de
auditoria de los
sistemas de
información
A.15.2.1
Se deben evaluar las vulnerabilidades de los
sistemas que dispone la DIRTIC para mitigar
el riesgo asociado.
Se deben diseñar formatos para reportar los
incidentes de seguridad asociados a los
sistemas que dispone la DIRTIC para tomar
acciones correctivas oportunamente.
Se deben gestionar los
seguridad de la información.
incidentes
de
Se debe diseñar un plan de continuidad del
negocio que garantice la reanudación del
servicio oportunamente ante la ocurrencia de
un evento de seguridad.
Se debe evitar el incumplimiento de cualquier
ley, estatuto, obligación reglamentaria y de
cualquier requisito de seguridad.
X
X
Se debe realizar y evaluar un plan de
seguridad de la información de la DIRTIC
A.15.2.2
X
A.15.3.1
X
A.15.3.2
X
Elaborar un plan para la realización de
auditorías de sistemas que conlleve a
minimizar el riesgo de interrupciones de los
procesos administrativos de la DIRTIC.
-161-
4.12 FACTIBILIDAD
(Seen, 1987), define “la factibilidad es la posibilidad de que el sistema sea
beneficioso para la organización”, un estudio de factibilidad sirve para recopilar
datos relevantes sobre el desarrollo de un proyecto y en base a ello tomar la
mejor decisión, si procede su estudio, desarrollo o implementación.
En el estudio de factibilidad para determinar la viabilidad del Diseño de un
Sistema de Gestión de Seguridad de la Información para las Instituciones
Militares, tomando como referencia la Dirección de Tecnologías de la
Información y Comunicaciones, se analizarán los tres tipos de factibilidad:
operativa, técnica y económica.
4.12.1 FACTIBILIDAD OPERATIVA
La factibilidad operativa es un análisis del recurso humano que participan en el
proyecto, su capacitación, así como la estructura orgánica funcional de la
institución, identificando todas las actividades que son necesarias para lograr
el objetivo y se evalúa y determina todo lo necesario para llevarla a cabo el
Diseño de un SGSI para Instituciones Militares, tomando como referencia la
DIRTIC.
Para establecer el Diseño de un Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares, tomando como referencia la
Dirección de Tecnologías de la Información y Comunicaciones, se procedió a
tomar la publicación (D.G.P. COGMAR-INF-002-2010-O, 2010), referente a
Seguridad de la Información.
-162-
Se realizó reuniones con el Director de Tecnologías de la Información
Comunicaciones y Subdirector de la DIRTIC y el Jefe del Departamento
Administrativo Financiero para verificar si existe el presupuesto necesario para
Capacitación al personal de la DIRTIC en “Sistema de Gestión de Seguridad de
Información ISO 27001:2005”.
Se realizó reuniones con el Director de Tecnologías de la Información
Comunicaciones y Subdirector de la DIRTIC para lograr un compromiso y el
reconocimiento de las responsabilidades de seguridad de la información.
Se realizó reuniones con el Jefe del Centro de Tecnologías de la Información,
de la Dirección de Tecnologías de las Información y Comunicaciones, para
lograr el compromiso necesario para el establecimiento del Diseño de un SGSI
para las Instituciones Militares.
Se realizaron reuniones con el personal del Departamento de Desarrollo y
Gestión de Proyectos TIC de la Dirección de Tecnologías de las Información y
Comunicaciones, Departamento de Normalización y Seguridad Telemática,
Departamento de Comunicaciones, Departamento de Control de Centros de TI
y el personal del Centro de Tecnología de la Información para ejecutar la fase
de diagnóstico.
Se realizó una capacitación de “Sistema de Gestión de Seguridad de
Información ISO 27001:2005” en la Empresa CAPLAM con un costo de USD.
400,00 por estudiante y “Análisis y Gestión de Riesgos” en la empresa
CAPLAM con un costo de USD. 500,00 por estudiante donde participaron los
Jefes de los del Departamento de Desarrollo y Gestión de Proyectos TIC de la
Dirección de Tecnologías de las Información y Comunicaciones, Departamento
-163de Normalización y Seguridad Telemática, Departamento de Comunicaciones,
Departamento de Control de Centros de TI y el Centro de Tecnología de la
Información y además el personal involucrado en el Sistema de Gestión de
Seguridad de la Información para las Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones
Se impartió capacitación al personal militar y civil de la Dirección de
Tecnologías de las Información y Comunicaciones y del Centro de Tecnologías
de la Información, sobre las normas básicas de Seguridad de Información y la
Directiva de Seguridad de la Información publicada por la Comandancia
General de Marina para todos los repartos de la armada y a la DIRTIC
encargada de su difusión.
El personal militar y civil de la Dirección de Tecnologías de la Información y
Comunicaciones y el Centro de Tecnología de la Información está consciente
de los incidentes de seguridad, por lo cual han solicitado mejorar la seguridad
física y el control de acceso a las instalaciones, de acuerdo a lo que se
describe en la Tabla 15 del capítulo 3.2.8.
La Dirección de Tecnologías de la Información y Comunicaciones y el Centro
de Tecnología de la Información poseen una estructura orgánica funcional de
acuerdo a como se ilustra en el Anexo A y Anexo B, lo que permite la toma de
decisiones de forma oportuna, brindando disponibilidad en la vinculación del
talento humano del que dispone esta institución.
Debido a la experiencia adquirida y al empoderamiento de los procesos
organizacionales que existen en la Institución, permiten la factibilidad operativa
y los usuarios están en la mejor disposición y compromiso para el desarrollo del
Diseño de un Sistema de Gestión de Seguridad de la Información para las
Instituciones Militares, tomando como referencia la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada.
-164-
4.12.2 FACTIBILIDAD TÉCNICA
La factibilidad técnica es un análisis que se realizará para determinar la
infraestructura tecnológica y la capacidad técnica que implica el Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada.
Para determinar la factibilidad Técnica se realizó una evaluación de las
capacidades técnicas requeridas para las alternativas del diseño. Además se
verificó si la DIRTIC posee el personal con experiencia técnica requerida para
establecer el Diseño de un Sistema de Gestión de Seguridad de la Información
para las Instituciones Militares, tomando como referencia la Dirección de
Tecnologías de la Información y Comunicaciones.
La Dirección de Tecnologías de la Información y Comunicaciones de la Armada
poseen personal con experiencia suficiente en el área de seguridad de la
información. El Departamento de Normalización y Seguridad Telemática será la
encargada de supervisar el Diseño de un Sistema de Gestión de Seguridad de
la Información para las Instituciones Militares, tomando como referencia la
Dirección de Tecnologías de la Información y Comunicaciones de la Armada
para lo cual en la Tabla 49, se describe los perfiles y habilidades del personal
de este Departamento.
Tabla 49. Perfiles del personal del Dpto. Normalización y Seguridad Telemática de la
DIRTIC.
Fuente: DIRTIC
Nombre del puesto
Jefe de Departamento
Título de Tercer Nivel
Ingeniero
en
Experiencia en áreas
Sistema de Gestión de Seguridad de
Computación y Ciencias
Información ISO 27001:2005
de la Informática
Análisis y Gestión de Riesgos
Años de
experiencia
22 años
-165Administrador
de
Seguridad Informática y
Ingeniero en Sistemas e
Sistema de Gestión de Seguridad de
Informática
Información ISO 27001:2005
Comunicaciones
12 años
Análisis y Gestión de Riesgos
Analista de Seguridad
Ingeniero en Sistemas e
Sistema de Gestión de Seguridad de
Informática
Informática
Información ISO 27001:2005
Ingeniero en Informática
Sistema de Gestión de Seguridad de
y
10 años
Comunicaciones
Analista de Tecnologías
de la Información
Analista de Tecnologías
Información ISO 27001:2005
Licenciado en Sistemas
de la Información
Analista de Tecnologías
10 años
Sistema de Gestión de Seguridad de
10 años
Información ISO 27001:2005
Licenciado en Sistemas
de la Información 2
Sistema de Gestión de Seguridad de
8 años
Información ISO 27001:2005
En la Dirección de Tecnologías de la Información Comunicaciones de la
Armada, el Departamento de Normalización y Seguridad Telemática se ha
preparado técnicamente, teniendo una visión hacia donde encamina las
necesidades tecnológicas y de la información de la Institución, de acuerdo al
organigrama que se describe en el Anexo A.
En Dirección de Tecnologías de la Información y Comunicaciones de la
Armada, se evaluarán la infraestructura de red, hardware y software. Dentro de
la infraestructura de red se describe la interconexión que existe en la DIRTIC;
del hardware se encuentran los servidores y las computadoras de los cuales se
describe las especificaciones, requerimientos y características técnicas; y,
dentro del software se describe las aplicaciones, programas y plataforma que
se requieren para el Diseño de un Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares, tomando como referencia la
Dirección de Tecnologías de la Información y Comunicaciones de la Armada.
INFRAESTRUCTURA DE RED
Dirección de Tecnologías de la Información Comunicaciones de la Armada,
dispone de una Infraestructura Tecnológica y las capacidades técnicas
-166necesarias para el Diseño de un Sistema de Gestión de Seguridad de la
Información para las Instituciones Militares, tomando como referencia la
Dirección de Tecnologías de la Información y Comunicaciones de la Armada,
de acuerdo a lo que se describe en la Figura 6.
HARDWARE
La Dirección de Tecnologías de la Información y Comunicaciones dispone del
siguiente hardware:
· Servidor de Aplicaciones y Base de Datos, Servidor Web, Servidor
Proxy, Servidor de Correo Electrónico
· Estaciones de Trabajo
· Switch
· Antivirus Corporativo Kaspersky
· Sistema de Seguridad Firewall
· Enlace dedicado
Servidores
Servidor Aplicaciones y Base de Datos, es el lugar donde se alojará la
Información del Diseño del Sistema de Gestión de Seguridad de la Información
para Instituciones Militares, tomando como referencia la Dirección de
Tecnologías de la Información y Comunicaciones de la Armada.
· Servidores blade HP
· Servidores rackeables IBM
Estaciones de Trabajo
-167Las estaciones de trabajo con la que cuenta la Dirección de Tecnologías de la
Información y Comunicaciones para el Diseño del Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada, son de las siguientes características:
Procesador INTEL CORE I3- cuarta Generación 3.6GHZ 3MB CACHE
Disco Duro 1TB 7200RPM SATA 6.0 CACHE 64MB
Lector de Disco
DVD-RWRITER S 24X SATA
Memoria RAM
DIMM 8GB PC-1600 DDR3
Lector de tarjetas
7 EN 1
Periféricos
Teclado, Mouse, Parlantes
Monitor Incluido
Screen Size 18.5"
La Dirección de Tecnologías de la Información y Comunicaciones de la
Armada, dispone de 51 estaciones de trabajo y 04 impresora HP Láser, de las
cuales
06 estaciones de trabajo son asignadas al Departamento de
Normalización y Seguridad Telemática, el equipo necesario para el Diseño del
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, se describe en la Tabla 50.
Tabla 50. Equipamiento necesario de la DIRTIC.
Fuente: DIRTIC
Cantidad de
Computadores
Impresoras
Láser
Dirección
2
1
Subdirección
6
Departamento Administrativo Financiero
4
Áreas Involucradas
DIRTIC
-168Departamento de Desarrollo y Gestión de Proyectos
Informáticos
5
Departamento de Comunicaciones
5
Departamento de Normalización y Seguridad
Telemática
6
Departamento de Control de Centros
2
1
1
CETEIG
Centro de Tecnología de la Información y
Comunicaciones
Total
21
1
51
04
Switch
La Dirección de Tecnologías de la Información y Comunicaciones de la
Armada, dispone de un Switch, para el Diseño del Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada.
· SWITCH CISCO
Firewall
La Dirección de Tecnologías de la Información y Comunicaciones de la
Armada, dispone de un Firewall, para el Diseño del Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada.
· CISCO ASA.
SOFTWARE
-169-
Las licencias para los servidores y estaciones de trabajo con que cuenta la
Dirección de Tecnologías de la Información y Comunicaciones para el Diseño
del Sistema de Gestión de Seguridad de la Información para Instituciones
Militares, tomando como referencia la Dirección de Tecnologías de la
Información y Comunicaciones de la Armada son las siguientes:
Windows Server 2012 R2 Datacenter. Proporciona un centro de datos de clase
empresarial y soluciones de nube híbrida que son fáciles de implementar, con
derechos de virtualización ilimitados con beneficios de escala en el nivel de la
nube con costos menores y predecibles, enfocada en las aplicaciones y
centradas en los usuarios.
Red Hat Enterprise Linux Server. Distribución comercial de Linux desarrollada
por Red Hat. Es una plataforma versátil que se puede implementar en los
sistemas físicos, como invitado en los principales hipervisores, o en la nube.
Microsoft SQL Server 2012 Express. Es un sistema de administración de datos
gratuito, eficaz y confiable que ofrece un almacén de datos completo y
confiable para sitios web ligeros y aplicaciones de escritorio.
Microsoft Windows 8 Pro para estaciones de trabajo. La edición de Windows 8
Pro para las arquitecturas x86 y x64, está enfocada hacia los entusiastas de la
tecnología, de negocios y profesionales, las características adicionales incluyen
operar como un servidor de escritorio remoto, la habilidad de participar en un
dominio de Windows Server, encriptación, virtualización, gestión de PC,
políticas de grupo, además se puede utilizar la funcionalidad de Windows
Media Center.
-170Microsoft Office 2013.
Paquete ofimático de Microsoft, posee numerosas
novedades a Word, PowerPoint, Excel, Outlook, Publisher, Access y OneNote,
permite la integración con la Nube, las aplicaciones del paquete se integran a la
perfección con SkyDrive, Skype, Bing y otros servicios web.
Todas las licencias anteriores permiten el funcionamiento del Servidor de
Aplicaciones, Base de datos y Servidor Web y estaciones de trabajo, este
sistema operativo es capaz de brindar políticas de seguridad para el acceso a
los usuarios internos para la aplicación local como de internet, acceso a la red y
permite compartir recursos y mantiene comunicación entre las estaciones de
trabajo.
La DIRTIC y la Armada del Ecuador, poseen una infraestructura Informática de
una Red Corporativa de Datos denominada Sistema de Comunicaciones
Navales, interconectada a través de todos los repartos navales, la misma que
permite el acceso a los servicios de Internet Corporativo, Sistemas
Corporativos, transporte de voz, vídeo, datos.
Una vez realizado la evaluación de las actividades anteriores se puede afirmar
que existe factibilidad técnica, el personal que labora en la Dirección de
Tecnologías de la Información y Comunicaciones y el Centro de Tecnología de
la Información, posee experiencia técnica requerida para establecer el Diseño
de un Sistema de Gestión de Seguridad de la Información para las Instituciones
Militares, tomando como referencia la Dirección de Tecnologías de la
Información y Comunicaciones, además existe personal con experiencia en
seguridad de la información, y la infraestructura informática se encuentra
acorde a los requerimientos del Diseño.
4.12.3 FACTIBILIDAD ECONÓMICA
-171La factibilidad económica es un análisis que se realiza para determinar el
costo-beneficio del Diseño de un Sistema de Gestión de Seguridad de la
Información para Instituciones Militares, tomando como referencia la Dirección
de Tecnologías de la Información y Comunicaciones de la Armada.
RECURSO HUMANO
En Este estudio se incluye el costo del recurso humano para dar una
aproximación más real del valor del proyecto del Diseño, la mano de obra es
más importante para la realización del Diseño de un Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada, determinando el salario mensual del personal que labora el
Departamento de Normalización y Seguridad Telemática de la DIRTIC, el cual
se describe en la Tabla 51.
Tabla 51. Salario del Dpto. Normalización y Seguridad Telemática de la DIRTIC.
Fuente: DIRTIC
Nombre del puesto
Meses
Salario ($)
Jefe de Departamento
1
2600
Administrador de Seguridad Informática y Comunicaciones
1
1500
Analista de Seguridad Informática y Comunicaciones
1
1500
Analista de Tecnologías de la Información
1
1500
Analista de Tecnologías de la Información
1
1300
Analista de Tecnologías de la Información 2
1
1300
TOTAL
$ 9.700,00
RECURSOS CONSUMIBLES
Los recursos consumibles que serán utilizados para la realización del Diseño
de un Sistema de Gestión de Seguridad de la Información para Instituciones
-172Militares, tomando como referencia la Dirección de Tecnologías de la
Información y Comunicaciones de la Armada, se describe en la Tabla 52.
Tabla 52. Recursos consumibles del Dpto. Normalización y Seguridad Telemática de la
DIRTIC.
Fuente: DIRTIC
Nombre del consumible
cantidad
Precio Unitario ($)
Total ($)
Caja de resmas de papel bond Tamaño A4
10
$ 4,00
$ 40,00
Caja de CD
10
$ 7,00
$ 70,00
Caja de DVD
11
$ 9,00
$ 99,00
Cartucho de tinta de color para impresora
04
$ 250,00
$ 1.000,00
5000
$ 0,03
$ 150,00
Fotocopias
Gastos varios
$ 500,00
TOTAL
$ 1.959,00
RECURSOS TECNOLÓGICOS
Los recursos tecnológicos que serán utilizados por el Departamento de
Normalización y Seguridad Telemática para la realización del Diseño de un
Sistema de Gestión de Seguridad de la Información para Instituciones Militares,
tomando como referencia la Dirección de Tecnologías de la Información y
Comunicaciones de la Armada, se describe en la Tabla 53.
Tabla 53. Recursos Tecnológicos del Dpto. Normalización y Seguridad Telemática de la
DIRTIC.
Fuente: DIRTIC
Nombre del Recurso
cantidad
Precio Unitario ($)
Total ($)
Servidores (Web y Aplicaciones)
2
$ 9.000,00
$ 18.000,00
Computadoras
6
$ 600,00
$ 3.600,00
Impresora
1
$1700,00
$ 1700,00
Swich
1
$ 4.500,00
$ 4.500,00
Firewall
1
$ 9.000,00
$ 9.000,00
Windows Server 2012 R2 Datacenter
1
$ 6.100,00
$ 6.100,00
-173Red Hat Enterprise Linux Server
1
$ 3.815,00
$ 3.815,00
Microsoft SQL Server 2012 Express
1
$ 1.793,00
$ 1.793,00
Microsoft Windows 8 Pro para PC
6
$ 150,00
$ 900,00
Microsoft Office 2013
6
$ 160,00
TOTAL
$ 960,00
$ 50.368,00
RECURSOS DE OPERACIÓN
Energía Eléctrica. Para el cálculo de energía eléctrica se realiza tomando en
cuenta el consumo de energía utilizada por el hardware que se utiliza para el
desarrollo del proyecto, en los cuales se especifica la cantidad de energía
consumida por cada uno de los equipos que depende de las características
propias de cada uno de ellos, así como se describe en la Tabla 54.
(Empresa Eléctrica Quito, 2014), El Costo del Kilowatts por hora del servicio de
energía eléctrica utilizados por los equipos informáticos del Departamento de
Normalización y Seguridad Telemática de la Dirección de Tecnologías de la
Información y Comunicaciones de la Armada, se toma en consideración de
acuerdo al pliego del tarifario vigente, del período de consumo de diciembre del
2014 emitido por la Empresa Eléctrica de Quito, en la cual especifica que el
rango de consumo de 701 – 1000 Kw/h tiene un valor de USD. 0,1450; de 201
– 500 Kw/h tiene un valor de USD. 0,0994; de 51 – 100 Kw/h tiene un valor de
USD. 0,0814; y, de 0 – 50 Kw/h tiene un valor de USD. 0,0784.
Tal como se muestra en la Tabla 54, los servidores son generalmente las
mayores plataformas informáticas en términos de consumo energético dentro
de la DIRTIC, debido a su mayor rendimiento en el procesamiento de datos en
comparación con una computadora u otro equipo informático, debido a que
utilizan de manera eficaz su arquitectura de procesadores con diversos núcleos
y grandes capacidades de tratamiento de la memoria al operar con un
-174rendimiento máximo las 24 horas al día, 7 días a la semana, los 365 días al
año, de igual manera el ruteador y el switch. Las Computadoras e impresoras
operan con un rendimiento de 8 horas al día, 5 días a la semana y 240 días al
año. (Kingston, 2015).
Tabla 54. Consumo de energía de los quipos informáticos del Dpto. Normalización y
Seguridad Telemática de la DIRTIC.
Fuente: DIRTIC
Kw/h
Costo
( al mes)
Kw/h
1,340
964,8
0,1450
$ 139,90
430
2,58
412,8
0,0994
$ 41,03
1
120
0,12
19,2
0,0784
$ 1,51
Switch
1
110
0,11
79,2
0,0814
$ 6,45
Firewall
1
110
0,11
79,2
0,0814
$ 6,45
Equipos
Cantidad
Watts
Kw/h
Servidores
2
670
Computadoras
6
Impresora
TOTAL
Total ($)
$ 195,34
El costo total del proyecto para el Diseño de un Sistema de Gestión de
Seguridad de la Información para Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada, se detalla en la Tabla 55.
Tabla 55. Costo Total del Diseño.
Fuente: DIRTIC
Nombre del Recurso
meses
Precio Unitario ($)
Total ($)
Recurso Humano
6
$ 9.700,00
$ 58.200,00
Recursos Consumibles
6
Recurso Tecnológico
Recursos de Operación
6
$ 1.959,00
$ 11.754,00
$ 50.368,00
$ 50.368,00
$ 195,34
$ 1.172,04
TOTAL
$ 121.594,04
-175-
EVALACUACIÓN ECONÓMICA
(Moreno, 2011), Describe que la evaluación económica de proyectos
tecnológicos es un método de análisis, en la que permite adoptarlas
disposiciones para el cumplimiento de los objetivos de seguridad.
La evaluación económica se apoya en técnicas de evaluación como:
· Métodos de Valor Actual Neto VAN.
· Método de la Tasa Interna de Retorno TIR.
· Método de Beneficio / Costo
En la aplicación de las metodología para la evaluación de los proyectos de
inversión, casi siempre hay más posibilidades de aceptar un proyecto cuando la
evaluación se efectúa a una tasa de interés baja, que a una tasa de interés
mayor (Gómez, 2015).
La evaluación económica de los proyectos constituye la técnica matemática
financiera, a través de la cual se determina los beneficios o pérdidas en los que
se puede incurrir al realizar una inversión, con el objetivo de obtener resultados
que apoyen la toma de decisiones del proyecto.
En la planificación de todo proyecto es necesario realizar el análisis económico
para conocer la rentabilidad y factibilidad del mismo. Con este análisis se podrá
conocer los costos de inversión y mediante la relación costo beneficio
determinar qué tan rentable es el proyecto.
-176VALOR ACTUAL NETO (VAN)
(Moreno, 2011), define al
VAN a la diferencia entre el valor actual de los
ingresos esperados de una inversión y el valor actual de los egresos que la
misma ocasione. Es la rentabilidad mínima pretendida por el inversor, por
debajo de la cual estará dispuesto a efectuar su inversión.
Al ser un método que tiene en cuenta el valor tiempo de dinero, los ingresos
futuros esperados, como también los egresos, deben ser actualizados a la
fecha del inicio del proyecto. La tasa de interés será fijada por la persona que
evalúa el proyecto de inversión conjuntamente con los inversores o dueños,
para lo cual podemos aplicar la siguiente fórmula:
Dónde:
VAN = Valor Actual Neto de la Inversión.
A=
Valor de la Inversión Inicial.
Qi =
Valor neto de los distintos flujos de caja. Se trata del valor neto así
cuando en un mismo periodo se den flujos positivos y negativos será la
diferencia entre ambos flujos.
ki =
Tasa de retorno del periodo.
Tomando los valores de Flujo de Caja del Proyecto que y reemplazando en la
fórmula tenemos como resultado un VAN de 24.469,77.
-177-
El criterio general para saber si es conveniente realizar el proyecto es el
siguiente:
VAN ≥ 0 Los proyectos de inversión son aceptados
VAN < 0 Los proyectos de inversión son rechazados
TASA INTERNA DE RETORNO (TIR)
Es la tasa que iguala a la suma de los ingresos actualizados. Con la suma de
los egresos actualizados (igualando al egreso inicial). Es la tasa de interés que
hace que el VAN del proyecto sea igual a cero (Moreno, 2011).
El TIR es el tipo de descuento que hace igual a cero el VAN, como se describe
en la siguiente fórmula:
-178-
Dónde:
Ft =
Es el flujo de caja en el período t.
n=
Es el número de períodos.
I=
Es el valor de la inversión inicial.
De acuerdo al cálculo realizado en el Flujo de Caja del Proyecto, tenemos un
TIR de 23,97%.
El criterio general para saber si es conveniente realizar el proyecto es el
siguiente:
TIR
≥
0 Se aceptará el proyecto. La razón es que el proyecto da una
rentabilidad mayor que la rentabilidad mínima requerida (el coste de
oportunidad).
TIR
<
0 Se rechazará el proyecto. La razón es que el proyecto da una
rentabilidad menor que la rentabilidad mínima.
TASA DE DESCUENTO
Para el cálculo de la Tasa de Descuento para este Proyecto, es necesario
calcular la Tasa Mínima Aceptable de Rendimiento (tmar). Para tomar la
decisión de ejecutar el proyecto, se exige una tasa mínima de ganancia sobre
la inversión que realiza, conocida como Tasa Mínima Aceptable de
rendimiento, esta tasa se espera que sea por lo menos igual al costo promedio
ponderado de la institución de crédito, según el Banco Central del Ecuador 12
para el mes de enero del 2015, la inflación se ubica en 3,53%, tasa nominal
pasiva 5,22%, riesgo país 5,63%, como se describe en la Tabla 56.
TMAR = Inflación + tasa pasiva + riesgo país
12
http://www.bce.fin.ec
-179TMAR = 3,53 + 5,22 + 5,63
TMAR = 14,38%
Tabla 56. Tasa de Descuento.
Fuente: DIRTIC
CONCEPTO
FINANCIAMIENTO DEL
ESTADO
TOTAL DEL
FINANCIAMIENTO
VALOR
EN $
% DE
PARTICIPACIÓN
1
TASA NOMINAL DE
INTERÉS
2
COSTO
PONDERADO DE
CADA FUENTE
3=1x2
121,594
100.00%
14.38%
14.38%
121,594
100.00%
14.38%
14.38%
COSTO Y DEPRECIACIÓN DE EQUIPOS INFORMÁTICOS
Para el Diseño de un Sistema de Gestión de Seguridad de la Información para
las Instituciones Militares, tomando como referencia la Dirección de
Tecnologías de la Información y Comunicaciones de la Armada tiene un valor
de USD. 50.468,00. y la depreciación anual de los equipos informáticos se
describe en la Tabla 57.
Tabla 57. Depreciación anual de Equipos Informáticos.
Fuente: DIRTIC
Rubro
Servidores
Monto
Dep. Anual
$18,000.00
4,860
Computadoras
$3600.00
972
Impresoras
$1,700.00
459
Swich
$4,500.00
1,215
Firewall
$9,000.00
2,430
Sistemas
$7,468.00
2,016
TOTAL DEPRECIACIÓN ANUAL
11,952
-180-
COSTOS DE SUMINISTROS
Para el Diseño de un Sistema de Gestión de Seguridad de la Información para
las Instituciones Militares, tomando como referencia la Dirección de
Tecnologías de la Información y Comunicaciones de la Armada tiene los costos
de suministros de valor de USD. 1.959,00.
INGRESOS ANUALES
(Neira, 2015), define que el Sistema de Gestión de la Seguridad de la
Información (SGSI) en las empresas ayuda a establecer las políticas,
procedimientos y controles, con objeto de mantener siempre el riesgo por
debajo del nivel asumible por la propia organización, por lo cual para este
proyecto determinaremos y estableceremos los ingresos anuales en el flujo de
caja del proyecto como los beneficios que se obtiene al diseñar el SGSI para la
DIRTIC.
Para establecer los ingresos anuales y calcular el flujo de caja se realiza
partiendo de la base de que la seguridad al 100% no existe, la adopción de un
Sistema de Gestión de la Seguridad de la Información (SGSI) es una
alternativa adecuada para establecer una metodología y una serie de medidas
que permita ordenar, sintetizar y simplificar la seguridad de la información.
(Neira, 2015), establece que además de la confidencialidad, integridad y
disponibilidad de la información se debe considerar la privacidad de la
información como un elemento clave en la empresa y en la gestión y
-181actividades que realiza, y se debe cambiar la relación seguridad-gasto típica a
una más interesante privacidad-beneficios, lo que permite a las empresas
potenciar sus negocios, explotar al máximo su imagen y certificación ISO
27001, adaptarán y mejoraran continuamente su nivel de protección, sin reducir
el nivel de satisfacción de los clientes o empleados.
Para cumplir con lo antes mencionado (Neira, 2015), describe en cinco grupos
principales para establecer los beneficios económicos que una empresa tiene
al implementar in SGSI, de los cuales tomaremos como referencia para el
cálculo de los ingresos económicos anuales de nuestro proyecto como se
describe en la Tabla 58.
Tabla 58. Ingresos anuales durante los 3 años.
Fuente: DIRTIC
INGRESOS ANUALES
PRIMER
CONCEPTO
AÑO
Reducción de riesgos en la DIRTIC
7,000.00
Ahorro económico
7,000.00
SEGUNDO
AÑO
14,000.00
14,000.00
TERCER
AÑO
22,000.00
22,000.00
La seguridad se transforma en actividad de
gestión
7,000.00
14,000.00
22,000.00
Cumplimiento legal
Competitividad en el mercado
TOTAL
7,000.00
7,000.00
35,000.00
14,000.00
14,000.00
70,000.00
22,000.00
22,000.00
110,000.00
CÁLCULO DE RENTABILIDAD
Para el cálculo de rentabilidad del Diseño de un Sistema de Gestión de
Seguridad de la Información para las Instituciones Militares, tomando como
referencia la Dirección de Tecnologías de la Información y Comunicaciones de
la Armada, se utilizó los valores descritos en los cuadros anteriores.
-182La utilidad neta de nuestro proyecto se calculó tomando la diferencia entre el
ingreso realizado en un periodo y los gastos que se asocian directamente en
este ingreso, proyectado para 3 años como se describe en la Tabla 25.
Considerando en el Artículo 31, de la Ley de Régimen Tributario, se establece
que Diseño de un Sistema de Gestión de Seguridad de la Información para las
Instituciones Militares, tomando como referencia la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada tiene una vida útil
proyectada de 3 años se realiza el Flujo de Caja de acuerdo a lo que se detalla
en la Tabla 59.
Tabla 59. Flujo de Caja del Proyecto.
Fuente: DIRTIC
FLUJO DE CAJA OPERATIVOS
INGRESOS POR SERVICIOS PRESTADOS
PRIMER
AÑO
35,000.00
SEGUNDO
AÑO
70,000.00
TERCER
AÑO
110,000.00
(+) DEPRECIACIONES ACTIVOS FIJOS
11,952.00
11,952.00
11,952.00
(-) GASTOS ADMINISTRATIVOS
15,000.00
15,000.00
15,000.00
CONCEPTO
FINANCIAMIENTO
(- ) VALOR RESIDUAL DE LOS ACTIVOS FIJOS
FLUJO DE CAJA OPERATIVO NOMINAL
-121,594.04
1,959.00
1,959.00
1,959.00
29,993.00
64,993.00
104,993.00
TASA PERTINENTE DE DESCUENTO (EN %)
14.38%
14.38%
14.38%
FACTOR DE VALOR ACTUAL A LA TASA Kp
0.874279
0.764363
0.668267
26,222.24
49,678.26
70,163.31
-95,371.80
-45,693.54
24,469.77
64,993.00
104,993.00
VALOR ACTUAL DE LOS FLUJOS DE CAJA
-121,594.04
FLUJOS ACTUAL DE CAJA ACUMULADOS
SUMA DE LOS FLUJOS DE CAJA ACTUALIZADOS
24,470
COSTO (INVERSIÓN) DEL PROYECTO
121,594
-121,594.04
29,993.00
De acuerdo a los índices de evaluación calculados en el flujo de caja, podemos
visualizar que el VAN es ≥ 0, TIR es ≥ 0; Relación B/C es ≥ 1; y, el periodo real
de recuperación es menor a 3 años, por lo cual el proyectos es rentable, de
acuerdo a lo que se describe en la Tabla 60.
-183-
Tabla 60. Resultados de los Índices de Evaluación.
Fuente: DIRTIC
ÍNDICES DE EVALUACIÓN
VALOR ACTUAL NETO (VAN)
RELACIÓN BENEFICIO / COSTO (B/C)
TASA INTERNA DE RETORNO (TIR) (%)
PERÍODO REAL DE RECUPERACIÓN (AÑOS)
VALOR
24,469.77
1.20
23.97%
2.92
Al analizar la factibilidad operativa, técnica y económica se determinó que el
Diseño de un Sistema de Gestión de Seguridad de la Información para las
Instituciones Militares, tomando como referencia la Dirección de Tecnologías
de la Información y Comunicaciones de la Armada, basado en las normas
(ISO/IEC 27001:2005, 2005) es viable.
-184-
CAPÍTULO 5. CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
a. Las Instituciones Militares, actualmente no disponen de un Sistema de
Gestión de Seguridad de la Información para resguardar los activos de
información que posee la institución, lo que dificulta mantener la
información de acuerdo a las normas de la ISO 27001:2005.
b. Se realizó una encuesta para determinar cómo se encuentra la
seguridad de la información en función a los objetivos definidos
aplicando un cuestionario estructurado con preguntas cerradas que
cubren todos los aspectos de riesgos, incluso las amenazas a la
confiabilidad, integridad y la disponibilidad de los datos y están basadas
en los objetivos de control de la ISO 27001:2005, a 51 personas de la
DIRTIC y CETEIN que contiene 69 ítems relacionados a 55 indicadores
utilizando el método Alpha de Crombrach para determinar la validez del
instrumento,
lo
que
permitió
trabajar con
información
de alta
confiabilidad debido a que el resultado fue de 0,96.
c. Se realizó el levantamiento de información por observación directa
utilizando como guía la norma ISO/IEC 27001:2005, en la cual se
encuentran 11 cláusula, 25 objetivos de control y 41 controles en base a
los requerimientos de la institución y de acuerdo a lo que dispone en
seguridad de la información de la DIRTIC y CETEIN, lo que permitió
identificar los activos de información así como el diagnóstico de
seguridad de estos activos de acuerdo a los objetivos de control y
controles.
-185-
d. Se determinó la factibilidad operativa, técnica y económica para
establecer el Diseño de un Sistema de Gestión de Seguridad de la
Información para las instituciones Militares, lo que permitió verificar que
cumplan con las características acordes a las Instituciones Militares y
determinar que el proyecto sea puesto en marcha aprovechando todos
los beneficios para la Institución logrando que los usuarios estén en
compromiso de seguridad y el reconocimiento de las responsabilidades
de seguridad de la información.
e. Se realizó el establecimiento del Diseño de un Sistema de Gestión de
Seguridad de la Información para las Instituciones Militares; así como la
identificación del riesgo, amenazas y vulnerabilidades; el cálculo del
riesgo amenazas y vulnerabilidades; tratamiento de riesgo; y, revisión de
los riesgos y reevaluación de los activos de información de la Dirección
de Tecnologías de la Información y Comunicaciones, lo que permitió
aplicar para el Diseño del SGSI
27001:2005 literales a) a la j).
la cláusula 4.2.1 de la norma ISO
-186-
5.2 RECOMENDACIONES
a. Aplicar el presente trabajo para realizar la implementación del Sistema
de Gestión de Seguridad de la Información para Instituciones Militares,
que permita resguardar los activos de información que posee la
institución, a fin de mantener la información de acuerdo a las normas de
la ISO 27001:2005.
b. Utilizar el método Alpha de Crombrach para determinar la validez del
instrumento para futuras actualizaciones e investigaciones referentes al
Sistema de Gestión de Seguridad de la Información para Instituciones
Militares, la misma que
permitirá medir la confiabilidad de la
información con la que se va a trabajar en este tipo de proyectos.
c. Revisar y actualizar periódicamente el Anexo F donde se encuentran los
objetivos de control y controles listados en la Tabla A.1 de la norma
ISO/IEC 27001:2005, en base a los requerimientos de la institución y de
acuerdo a lo
que dispone en seguridad de la información para el
levantamiento de la información del Sistema de Gestión de Seguridad de
la Información para Instituciones Militares, la misma que permitirá
identificar los activos de información así como el diagnóstico de
seguridad de estos activos.
d. Verificar y actualizar permanentemente los compromisos de seguridad,
el reconocimientos de responsabilidades de seguridad de la información
con el fin de generar concientización sobre la protección de la
información en el Sistema de Gestión de Seguridad de la Información
-187para Instituciones Militares, lo que permitirá cumplir con el numeral 4.2
de la norma ISO/IEC 27001:2005.
e. Utilizar y aplicar la información que se generó en el establecimiento del
Diseño de un Sistema de Gestión de Seguridad de la Información para
las Instituciones Militares; aplicando la cláusula 4.2.1 de la norma ISO
27001:2005 literales a) a la j), para realizar la implementación del
Sistema de Gestión de Seguridad de la Información para Instituciones
Militares, lo que permitirá gestionar eficientemente la accesibilidad de la
información, asegurando la confidencialidad, integridad y disponibilidad
de los activos de información minimizando los riesgos de seguridad de la
información.
-188-
REFERENCIAS BIBLIOGRAFÍCAS
AFP/ Ben Stansall. (19 de 11 de 2013). http://sp.ria.ru/. Recuperado el 2013,
de http://sp.ria.ru/: http://sp.ria.ru/trend/assange_caso/
Alexander, A. (2007). Diseño de un Sistema de Seguridad de la Información,
óptica ISO 27001:2005. Bogotá, D.C.- Colombia: Alfaomega Colombiana
S.A.
Armada.
(2013).
http://www.armada.mil.ec.
Recuperado
el
2013,
de
http://www.armada.mil.ec: http://www.armada.mil.ec
Ary, W. (1996). Metodología de la Investigación. Madrid - España: Ediciones
Roalg.
CALVO, R. F. (1994–2000). http://www.ati.es. Recuperado el 2013, de
http://www.ati.es: http://www.ati.es/novatica/2000/145
COMACO. (Diciembre de 2008). Manual de Elaboración de Documentación de
las Fuerzas Armadas. Quito, Pichincha, Ecuador: COMACO.
D.G.P. COGMAR-INF-002-2010-O. (2010). Directiva de Seguridad de la
Información. Es una infraestructura de intranet que utiliza las Fuerzas
Armadas.
D.G.P. COGMAR-INF-002-2010-O. (12 de Julio de 2010). Directiva General
Permanente. Seguridad de la Información. Quito, Pichincha, Ecuador:
Armada del Ecuador.
De Freitas, V. (2009). Análisis y Evaluación del Riesgo de la Información: Caso
de estudio Universidad Simón Bolívar. Enlace:Revista Venezolana de
Información, Tecnología y Conocimiento, 6 (1), 43-55.
DIRTIC. (25 de Noviembre de 2010). Estatuto Orgánico por Procesos.
Guayaquil, Guayas, Ecuador: Armada del Ecuador.
-189El Comercio. (12 de 06 de 2013). http://www.elcomercio.ec. Recuperado el
2013,
de
http://www.elcomercio.ec:
http://www.elcomercio.ec/mundo/Snowden-informatico-espionaje-EEUUUSA-CIA-Obama_0_936506374.html
Empresa Eléctrica Quito. (Diciembre de 2014). Tarifario Vigente 2014. Tarifario
Vigente 2014. Quito, Pichincha, Ecuador: Empresa Eléctrica Quito.
ESPE. (2005). Tesis Manual de procedimientos para ejecutar la auditoria
informática en la Armada del Ecuador. Facultad de Ingeniería en
Sistemas e Informática. ESPE. Sede Sangolquí. Quito, Pichincha,
Ecuador: ESPE / SANGOLQUÍ.
Estado Mayor de la Armada. (2010). Programa de Desarrollo de Tecnologias
de la Información y Comunicaciones. PDETIC. Quito, Pichincha,
Ecuador: Armada del Ecuador.
FFAA.
(2013).
http://www.ccffaa.mil.ec/.
Recuperado
el
2013,
de
http://www.ccffaa.mil.ec/: http://www.ccffaa.mil.ec/
Gómez, G. (2015). Evaluación de Alternativas de Inversión. Recuperado el
2015,
de
http://www.gestiopolis.com/canales/financiera/articulos/22/cauetio.htm.
Hernández, E. (2003). Seguridad y Privacidad en los Sistemas Informáticos.
Recuperado
el
21
de
Noviembre
de
2012,
de
http://www.disca.upv.es/enheror/pdf/ACTASeguridad.PDF
Hernández, R. (2003). Metodología de la Investigación. Mexico D.F.: McGrawHill.
hoy. (26 de 06 de 2013). http://www.hoy.com.ec. Recuperado el 2013, de
http://www.hoy.com.ec:
http://www.hoy.com.ec/noticias-ecuador/solo-1-
de-cada-600-delitos-informaticos-se-denuncia-584518.html
INEN. (2009). Código de Práctica para la Gestión de la Seguridad de la
Información. En INEN, Tecnologías de la Información - Técnicas de
-190Seguridad - Código de Práctica para la Gestión de la Seguridad de la
Información. Quito: NTE INEN.
Infobae.
(09
de
08
de
2011).
Recuperado
el
2013,
de
http://www.seguridadydefensa.com.ec.
http://www.seguridadydefensa.com.ec:
http://www.seguridadydefensa.com.ec/noticias/anonymus-revelo-datosde-45-mil-policias-24513.html
Interfutura. (15 de 05 de 2012). http://www.interfutura.ec. Recuperado el 2013,
de
http://www.interfutura.ec:
http://www.interfutura.ec/blog/delitos-
informaticos-en-ecuador-lo-que-vendria-en-la-nueva-legislacion/
ISO /IEC 17779:2005. (2005). Código de Práctica para la Gestión de Seguridad
de la Información.
ISO/IEC 27001:2005. (2005). Estándar Internacional. Tecnología de la
Información - Técnicas de Seguridad - Sistemas de Gestión de
Seguridad de la Información - Requerimientos.
Kingston. (03 de 02 de 2015). Consumo Energético. Obtenido de Kingston.com:
http://www.kingston.com/es/business/server_solutions/power_benchmar
k
L Hurdado y Toro G.J. (2001). Paradigmas y Métodos de Investigación.
Valencia - España: Editorial Espíteme.
Ministerio de Defensa Nacional (MIDENA). (31 de Octubre de 2012). Políticas
de Seguridad Cibernética del M.D.N. O.G. 210. Políticas de Seguridad
Cibernética del M.D.N. O.G. 210. Quito, Pichincha, Quito: Ministerio de
Defensa Nacional.
Moreno, N. A. (2011). Gerencia de Tecnología. Gerencia de Tecnología II.
Madrid, España: Promade.
Neira, A. L. (03 de 02 de 2015). Privacidad y beneficio económico en un SGSI.
Recuperado
el
11
de
03
de
2015,
de
SGSI:
www.iso27000.es/download/SGPI_beneficios_economicos_SGSI.pdf
-191NTE INEN, ISO/IEC 27002:2009. (2009). Tecnologías de la Información Técnicas de Seguridad - Código de Práctica para la Gestión de la
Seguridad de la Información. NTE INEN - ISO/IEC 27002:2009. Quito,
Pichincha, Ecuador: Ecuador.
PDETIC. (2012). Objetivos Estratégicos Institucionales. Quito: PDETIC.
Santos, L. (2001). Guía para la evaluación de Seguridad en un Sistema.
Recuperado el 12 de marzo de 2013, de Trabajo de grado para optar el
título de Mestría en Ingeniería y Sistemas y Computación, Universidad
de
Pamplona.
Colombia:
http://www.acis.org.co/memorias/JornadasSeguridad/IIJNSI/pamplona.d
oc
Seen, J. (1987). Análisis y Diseño de Sistemas de Información. México, DFMéxico: McGraw-Hill.
-192-
ANEXOS