Escuela de Ciencia y Tecnología Facultad de Ingeniería DESARROLLO DE REDES IV. “METODOLOGIA DE ANALISIS DE RIESGO DE LA EMPRESA LA CASA DE LAS BATERIAS S.A DE C.V” Catedrático: Ing. Rodrigo Torres INTEGRANTES: Arévalo Bernal, Oscar William 25-0610-2002 Escalante Solórzano, Katia Elizabeth 25-3394-2003 Guevara Ruano, Nancy Elizabeth 25-0592-2003 Jiménez Hernández, Miguel Ángel 25-3405-2002 Montoya López, Ana Beatriz 25-2382-2003 Orellana Meléndez, José Hernán 25-1005-1999 Sección : 01 San Salvador, 21 de Mayo del 2009 Análisis de Riesgo de la Seguridad Informática. INDICE. Pagina Introducción Objetivos 6 Marco Teórico 7 Determinación de la probabilidad 11 Identificación de las vulnerabilidades 11 Identificación de amenazas 12 Limitantes del análisis de riesgo 13 Priorización de riesgos 14 Planteamiento del Problema 15 Descripción de la empresa 15 Misión 15 Visión 15 Políticas 16 Organigrama de la empresa 16 Organización interna de la empresa 17 Planteamiento del problema 17 Descripción de la metodología utilizada. 18 Análisis de Riesgo 18 Paso 1: Activos 19 Tipos de Activos a determinar 20 Dependencias 20 Dimensiones de Valoración 21 Valoración 23 2 Análisis de Riesgo de la Seguridad Informática. Paso 2: Amenazas 23 Tipos de Amenazas a determinar 23 Valoración de las amenazas 24 Paso 3: Determinación del impacto. 25 Paso 4: Determinación del riesgo 26 Desarrollo de la Metodología 27 Entrevistas 27 Tablas de inventario de activos 32 Tablas de Amenazas y Vulnerabilidades 35 Análisis de riesgos e impactos 43 Conclusiones 44 Glosario 46 Bibliografía 48 3 Análisis de Riesgo de la Seguridad Informática. INTRODUCCIÓN En el presente trabajo se ha realizado la documentación sobre una consultoría de seguridad en la empresa “LA CASA DE LAS BATERIAS S.A DE C.V”. La cual se encuentra ubicada en el lugar (parte de la dirección) siendo el principal rubro (actividad a la que se dedica). Para llevar a cabo la investigación se hizo uso de diferentes técnicas de recolección de información como entrevistas a encargados del área de informática para determinar diversos factores que intervienen como vulnerabilidades, amenazas, entre otros. En la seguridad de la empresa antes mencionada se ha desarrollado la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, en este informe detallamos tanto información general como específica sobre lo que se refiere esta metodología llamada Magerit, elaborado por el Ministerio español de Administraciones Públicas, Dado su carácter abierto que también se utiliza fuera de la Administración. En la primera parte del Marco Teórico se incluye fundamentos teóricos sobre diferentes conceptos como lo son riesgo, vulnerabilidades, amenazas entre otros conceptos teóricos que son de mucha importancia para el desarrollo de esta consultoría además para determinar qué factores están afectando de forma directa o indirecta en la empresa para lograr tener una calidad en la seguridad tanto física como seguridad lógica para lograr cumplir con los objetivos de la seguridad entre los cuales cuenta con confidencialidad, integridad y disponibilidad. En la segunda parte se da una explicación de forma breve pero detallada sobre el planteamiento del problema entre la cual se incluyen aspectos fundamentales sobre la explicación de la organización de la empresa, la situación actual de la empresa, tipo de rubro a la cual se dedica la empresa, así como también la área de negocio procesos de la organización además se incluye parte de los problemas de seguridad los cuales han sido verificados por parte del grupo de consultores como planteados por la empresa. En la tercera parte se da a conocer de forma detallada la documentación técnica de la metodología a seguir para el desarrollo de la consultoría con la diferencia que en esta parte se da a conocer de forma más explícita con la cual se pretende entre otros aspectos hacer que los responsables de los sistemas de información tanto de la existencia de riesgos y de la necesidad de 4 Análisis de Riesgo de la Seguridad Informática. Tratar a tiempo. Dichos inconvenientes para lograr obtener una certificación o una acreditación según sea el caso. Esta metodología se basa en tres libros los cuales están detallados de forma específica sus principales funciones así como las normativas ISO de las cuales se basan o se rigen. También planteamos el análisis de riesgos que desarrollaremos el cual nos permite determinar qué tiene la Organización y estimar lo que podría pasar de forma metódicamente. Así como los Elementos que intervienen como son los Activos, elementos del sistema de información que aportan valor a la organización, las Amenazas que son cosas que perjudican a la organización; para evitar estos inconvenientes hay que tomar medidas para salvaguardar dichos activos con el desarrollo de este podremos determinar elementos para medir el riesgo por el cual se está enfrentando o se pueda enfrentar así como también el impacto que podría suceder si se dieran dichos inconvenientes para esto determinamos una serie de pasos los cuales se llevaran a cabo para una correcta determinación del análisis de riesgos en la implementación de la metodología. La cual se desarrolla en la cuarta parte según lo que se ha presentado en por parte de la empresa para la cual se está desarrollando esta consultoría en la cual ya se identificaron parte de los riesgos y vulnerabilidades descubiertos por parte del grupo de consultores y están detallados en esta parte del documento. Además se ha brinda una parte de las conclusiones que se han tomado aunque estas de forma general ya que se espera realizarlo de forma específica para la culminación de esta consultoría la cual está siendo desarrollada hasta el momento y será culminada hasta el próximo avance. 5 Análisis de Riesgo de la Seguridad Informática. OBJETIVOS Objetivo General: Desarrollar una consultoría de seguridad en la empresa “LA CASA DE LAS BATERIAS, S.A DE C.V” para determinar diversos factores que intervienen para lograr mejorar la seguridad de la información en la organización. Objetivos Específicos: Conocer de forma detallada la metodología que se implementara para realizar una correcta consultoría de seguridad a la empresa. Implementar de forma correcta y eficiente la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, Magerit la cual será desarrollada por parte del grupo de consultores de seguridad. Realizar un planteamiento de análisis de Riesgos de seguridad con miras a identificar vulnerabilidades así como también los riesgos potenciales y políticas de la empresa Brindar un informe detallado en el cual se brindaran soluciones específicas para aplacar con los riesgos o amenazas con el fin de minimizar los ataques a los que enfrenta la empresa. Formular en base al análisis de riesgos de quien se debe proteger los activos de la empresa ya sean estos usuarios inexpertos como atacantes externos, además de las aplicaciones a las cuales se debe tener usos restringidos considerados como fundamentales para la organización. 6 Análisis de Riesgo de la Seguridad Informática. 1.0 MARCO TEORICO El concepto de riesgo está presente en la totalidad de las actividades que realiza el ser humano, por lo que antes de implementar cualquier mecanismo de seguridad (software, hardware, política, etc.) en las Tecnologías de la Información, es necesario conocer la prioridad de aplicación y que tipo de medida podemos aplicar. El análisis de riesgos es el primer paso de la seguridad informática. Riesgo: es un evento, el cual es incierto y tiene un impacto negativo. También se puede definir como la posibilidad de sufrir un daño por la exposición a un peligro y peligro: es la fuente del riesgo y se refiere a una substancia o a una acción que puede causar daño. Las metodologías de análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado. Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis de riesgos a las áreas de TI, estableciendo cómo puede ejecutarse el análisis. Análisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar los riesgos. El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar. Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos. Dentro del tema de análisis de riesgo se ven reflejados cinco elementos muy importantes dentro del concepto estos son los siguientes: probabilidad, amenazas, vulnerabilidades, activos e impactos. Probabilidad Amenazas Vulnerabilidades Activos Impactos 7 Análisis de Riesgo de la Seguridad Informática. PROBABILIDAD: establecer la probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada. Existen amenazas, como por ejemplo incendios, para las cuales hay información suficiente (series históricas, compañías de seguros y otros datos) para establecer con razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor dificultad en establecer cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado a datos; dónde se hacen estimaciones sobre la base de experiencias. AMENAZAS: las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc. Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en el primer caso, o un acceso no autorizado a una base de datos en el segundo caso. VULNERABILIDADES: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan las siguientes: falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”), transmisión por redes públicas, etc. Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien potencialmente seguiría existiendo no podría materializarse. ACTIVOS: Los activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos. IMPACTOS: las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. 8 Análisis de Riesgo de la Seguridad Informática. Se puede establecer que las más comunes son: la pérdida directa de dinero, la pérdida de confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan comunes, felizmente, son la pérdida de vidas humanas, afectación del medio ambiente, etc. Las amenazas se pueden convertir en realidad a través de fallas de seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas al máximo para que el ambiente que se desea proteger esté libre de riesgos de incidentes de seguridad. Por lo tanto, la relación entre amenaza-incidente-impacto, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos. A continuación presentamos un esquema de la relación que existe en los elementos antes mencionados. Aprovechan las vulnerabilidades encontradas en nuestros sistemas y que se convierten en: Que originan Incidentes Los impactos pueden ser desastrosos, según su amplitud y gravedad. Son los hechos que deben ser evitados en una organización, puesto que causan impacto a los negocios. En virtud de la acción de un agente o condición natural, que son las amenazas en sí mismas, los incidentes generan una serie de problemas que pueden afectar los principios de la seguridad de la información. 9 Sin importar el tipo de incidente, lo importante es evaluar el impacto que puede causar en los diferentes activos de la empresa. Análisis de Riesgo de la Seguridad de la Información El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. Los medios para conseguirlo son: 1. Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. 2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). 3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. 4. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. 5. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. 6. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. 7. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización por ejemplo mediante estructura de redes- (en el caso de las comunicaciones). Estos fenómenos pueden ser causados por: El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito). Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos 10 Análisis de Riesgo de la Seguridad de la Información programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.). Un siniestro (robo, incendio, por agua): una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos. El personal interno de Sistemas. La competencia del poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática. 1.1 Determinación de la probabilidad. Con el fin de derivar una probabilidad o una estimación de la ocurrencia de un evento, los siguientes factores deben ser tomados en cuenta: Fuente de la amenaza y su capacidad. Naturaleza de la vulnerabilidad. La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente de amenaza la podemos clasificar en alta, media-alta, media, media-baja y baja. 1.2 Identificación de Vulnerabilidades. Para la identificación de vulnerabilidades sobre la plataforma de tecnología, se utilizan herramientas como listas de verificación y herramientas de software que determinan vulnerabilidades a nivel del sistema operativo y firewall: Seguridad Física. Monitoreo ambiental Control de acceso Desastres naturales Control de incendios Inundaciones Seguridad en las conexiones a Internet. Políticas en el Firewall VPN Detección de intrusos Seguridad en la infraestructura de comunicaciones. Routers 11 Análisis de Riesgo de la Seguridad de la Información Switches Firewall Hubs RAS Seguridad en Sistema Operacionales (Unix, Windows) Correo Electrónico Seguridad en las aplicaciones Críticas Se define las aplicaciones que son críticas para la organización y por cada una de ellas se obtendrá una matriz de riesgo. Es importante considerar que las aplicaciones están soportadas por: Sistemas operativos, hardware servidor, redes LAN y WAN, y el Centro de cómputo. 1.3 Identificación de Amenazas. Una vez conocemos los recursos que debemos proteger y de identificar las vulnerabilidades es hora de identificar de igual manera las amenazas que se ciernen contra ellos. Una vulnerabilidad es cualquier situación que pueda desembocar en un problema de seguridad, y una amenaza es la acción específica que aprovecha una vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha relación: sin vulnerabilidades no hay amenazas, y sin amenazas no hay vulnerabilidades. Se suelen dividir las amenazas que existen sobre los sistemas informáticos en tres grandes grupos, en función del ámbito o la forma en que se pueden producir: Desastres del entorno. Dentro de este grupo se incluyen todos los posibles problemas relacionados con la ubicación del entorno de trabajo informático o de la propia organización, así como con las personas que de una u otra forma están relacionadas con el mismo. Por ejemplo, se han de tener en cuenta desastres naturales (terremotos, inundaciones...), desastres producidos por elementos cercanos, como los cortes de fluido eléctrico, y peligros relacionados con operadores, programadores o usuarios del sistema. Amenazas en el sistema. Bajo esta denominación se contemplan todas las vulnerabilidades de los equipos y su software que pueden acarrear amenazas a la seguridad, como fallos en el sistema operativo, medidas de protección que éste ofrece, fallos en los programas, copias de seguridad. 12 Análisis de Riesgo de la Seguridad de la Información Amenazas en la red. Cada día es menos común que una máquina trabaje aislada de todas las demás; se tiende a comunicar equipos mediante redes locales, intranets o la propia Internet, y esta interconexión acarrea nuevas - y peligrosas - amenazas a la seguridad de los equipos, peligros que hasta el momento de la conexión no se suelen tener en cuenta. Por ejemplo, es necesario analizar aspectos relativos al cifrado de los datos en tránsito por la red, a proteger una red local del resto de internet, o a instalar sistemas de autenticación de usuarios remotos que necesitan acceder a ciertos recursos internos a la organización (como un investigador que conecta desde su casa a través de un módem). No siempre hemos de contemplar a las amenazas como actos intencionados contra nuestro sistema: muchos de los problemas pueden ser ocasionados por accidentes, desde un operador que derrama una taza de café sobre una terminal hasta un usuario que tropieza con el cable de alimentación de un servidor y lo desconecta de la línea eléctrica, pasando por temas como el borrado accidental de datos o los errores de programación; decir `no lo hice a propósito' no ayuda nada en estos casos. Por supuesto, tampoco tenemos que reducirnos a los accesos no autorizados al sistema: un usuario de nuestras máquinas puede intentar conseguir privilegios que no le corresponden, una persona externa a la organización puede lanzar un ataque de negación de servicio contra la misma sin necesidad de conocer ni siquiera un login y una contraseña, etc. 1.4 Limitantes del análisis de riesgo. En general, a pesar de que se han desarrollado muchas soluciones a los problemas de la seguridad en los sistemas de información, la apreciación general es que la inseguridad es un problema que no ha sido resuelto. La perspectiva parece poco optimista, principalmente debido a que los atacantes han pasado de ser aficionados en busca de notoriedad a criminales en busca de lucro. Posiblemente una de las principales razones por las cuales los problemas de seguridad informática no han sido resueltos es la aparición frecuente de nuevas amenazas. Como un ejemplo de esto es la evolución del malware: los virus altamente nocivos y de amplia difusión han dado lugar a botnets furtivos, de difícil detección y dirigidos a objetivos específicos. Precisamente una de las debilidades de las metodologías de análisis de riesgo es que parten de una visión estática de las amenazas así como de los controles requeridos para disminuir los riesgos. El ciclo de vida establecido para las arquitecturas de seguridad informático suele ser demasiado extenso ante un entorno en cambio constante. 13 Análisis de Riesgo de la Seguridad de la Información Los cambios en los riesgos que debe considerar una organización tienen dos orígenes: a) El surgimiento de nuevas amenazas. b) La adopción de nuevas tecnologías que da origen a riesgos no previstos. Todo sistema de información evoluciona, debido a la integración de hardware y software con características nuevas y más atractivas para los usuarios, así como al desarrollo de nuevas funcionalidades. Estos cambios abren la posibilidad de riesgos imprevistos y también pueden crear vulnerabilidades donde antes no existían. 1.5 Priorización De Riesgos. En este paso de la estimación de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos. Cuando se realiza la priorización (elementos de alto riesgo y pequeños riesgos), estos últimos no deben ser de gran preocupación, pues lo verdaderamente crítico se puede dejar en un segundo plano. Sin importar cual sea el proceso que se siga, el análisis de riesgos comprende los siguientes pasos: 1. 2. 3. 4. Definir los activos informáticos a analizar. Identificar las amenazas que pueden comprometer la seguridad de los activos. Determinar la probabilidad de ocurrencia de las amenazas. Determinar el impacto de las amenaza, con el objeto de establecer una priorización de las mismas. 5. Recomendar controles que disminuyan la probabilidad de los riesgos. 6. Documentar el proceso. Cuando ya hemos realizado este análisis no tenemos más que presentar nuestras cuentas a los responsables de la organización (o adecuarlas al presupuesto que un departamento destina a materias de seguridad), siempre teniendo en cuenta que el gasto de proteger un recurso ante una amenaza ha de ser inferior al gasto que se produciría si la amenaza se convirtiera en realidad. Hemos de tener siempre presente que los riesgos se pueden minimizar, pero nunca eliminarlos completamente, por lo que será recomendable planificar no sólo la prevención ante un problema sino también la recuperación si el mismo se produce; se suele hablar de medidas proactivas (aquellas que se toman para prevenir un problema) y medidas reactivas (aquellas que se toman cuando el daño se produce, para minimizar sus efectos). 14 Análisis de Riesgo de la Seguridad de la Información 2.0 Planteamiento Del Problema. ¿Por que hoy en día muchas de las empresas se encuentran vulnerables a diferentes tipos de amenazas tanto informáticas como físicas? El presente proyecto tiene como finalidad Desarrollar e implementar un análisis de riesgo de la seguridad informática de la empresa “LA CASA DE LAS BATERIAS, S.A DE C.V” 2.1 Descripción de la Empresa. La empresa “LA CASA DE LAS BATERIAS, S.A DE C.V” se encuentra ubicada en la Zona de San Salvador, es una mediana empresa que se dedican al COMERCIO DE BATERIAS Y ACCESORIOS, La Casa de las Baterías fue fundada en 1973 en Panamá, inicia operaciones en El Salvador en el 2008, con una variedad de productos para satisfacer las necesidades energéticas de este mercado. Cuentan con 2 Sucursales en El Salvador (1 en San Salvador y otra en San Miguel). 2 en Costa Rica y 13 en Panamá. La oferta que ellos ofrecen está respaldada por importantes marcas brindando a sus clientes productos de excelente calidad con el servicio, la atención y el asesoramiento técnico que ellos requieren. 2.1.1 Misión. Suplir la demanda de nuestros clientes en Panamá y Centroamérica a través del suministro oportuno de productos y servicios en el área de Baterías con todo el respaldo técnico requerido para garantizar su satisfacción. 2.1.2 Visión. Ser la empresa líder en el sector de las baterías en Centroamérica y Panamá, ofreciendo productos y servicios de alta calidad. 15 Análisis de Riesgo de la Seguridad de la Información 2.1.3 Políticas. Nuestro compromiso con nuestros clientes es brindar un servicio integral: A nuestros clientes de distribución les brindaremos el respaldo requerido para la venta de nuestros productos. A nuestros clientes les brindamos asesoría técnica y un servicio integral en la revisión, venta e instalación de todo tipo de Baterías en nuestras instalaciones y en servicio a domicilio. En ambos casos, con un personal altamente capacitado y a un precio competitivo, cumpliendo y superando sus expectativas, mejorando continuamente el control de nuestros procesos por medio de un eficaz Sistema de Gestión de la Calidad para beneficio de la empresa, los clientes y colaboradores 2.1.4 Organigrama de la Empresa. Auditor Externo 16 Análisis de Riesgo de la Seguridad de la Información 2.1.4 Organización Interna de la Empresa. Cuentan con aproximadamente con 30 empleados divididos en 4 departamentos. Poseen un equipo informático distribuido de la siguiente manera: 10 computadoras aproximadamente 3 en cada departamento. 5 impresoras 1 en cada departamento 5 Puntos de red 2 Fax y Fotocopiadora (multifunción) 3 Scanner 1 módems 2.2 Planteamiento del problema. Esta empresa ha ido presentando la siguiente problemática, ya que hasta este momento no habían contado con análisis de riesgo, para poder evaluar que tan vulnerable están sus equipos a las diferentes amenazas. Como también de no contar con un sistema de protección para sus equipos informáticos entre estos podemos mencionar (falta de up´s, como también no cuentan con antivirus, ni mucho menos firewall). Por otra parte se observo que el acceso a la información esta vulnerable ya que no se cuenta con una seguridad para permitir el acceso al equipo donde se encuentra la información importante. De continuar esta problemática la empresa corre riesgos de que todo su equipo se queme ya que no cuentan con un regulador de voltaje, al mismo tiempo que la información se pierda debido a que no existe las medidas de seguridad que se deben de implementar para la información importante, y un robo de información por la competencia, o por parte de empleados que manejen los recursos, entre otros riesgos que se presentaran mas adelante. Para más o menos contribuir a la solución de este problema se propone aplicar la metodología MAGERIT, a esta empresa para contrarrestar algunos de los problemas antes mencionados. 17 Análisis de Riesgo de la Seguridad de la Información 2.3 DESCRIPCIÓN DE LA METODOLOGÍA UTILIZADA. MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Magerit es una metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica de España para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas. Actualmente está en su versión 2. El Consejo Superior de Administración Electrónica ha elaborado Magerit y promueve su utilización como respuesta a la percepción de que la Administración depende de forma creciente de las tecnologías de la información para el cumplimiento de su misión. La razón de ser de Magerit está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza. Hemos utilizado esta metodología, y la hemos adaptado a nuestras necesidades de trabajo para realizar un análisis de riesgos que sirva como diagnostico fiel a la empresa en estudio, para determinar su situación actual con respectó a la seguridad informática. 2.1 Análisis de Riesgos El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: 1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. 2. Determinar a qué amenazas están expuestos aquellos activos 3. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. 4. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza. 18 Análisis de Riesgo de la Seguridad de la Información La siguiente figura recoge el análisis de riesgos, cuyos pasos se detallan en las siguientes secciones: Paso 1: Activos El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes: Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. Las aplicaciones informáticas (software) que permiten manejar los datos. Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. Los soportes de información que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que complementa el material informático. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones que acogen equipos informáticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados. 19 Análisis de Riesgo de la Seguridad de la Información Tipos de activos a determinar: [D] Datos / Información Los datos son el corazón que permite a una organización prestar sus servicios. Son en cierto sentido un activo abstracto que será almacenado en equipos o soportes de información (normalmente agrupado en forma de bases de datos) o será transferido de un lugar a otro por los medios de transmisión de datos. [SW] Aplicaciones (software) Se refiere a tareas que han sido automatizadas para su desempeño por un equipo informático. Las aplicaciones gestionan, analizan y transforman los datos permitiendo la explotación de la información para la prestación de los servicio. [HW] Equipos informáticos (hardware) Bienes materiales, físicos, destinados a soportar directa o indirectamente los servicios que presta la organización, siendo pues depositarios temporales o permanentes de los datos soporte de ejecución de las aplicaciones informáticas o responsables del procesado o la transmisión de datos. [SI] Soportes de información Se consideran dispositivos físicos que permiten almacenar información de forma permanente o, al menos, durante largos periodos de tiempo. [AUX] Equipamiento auxiliar Se consideran otros equipos que sirven de soporte a los sistemas de información, sin estar directamente relacionados con datos. Dependencias Aparece como importante el concepto de “dependencias entre activos” o la medida en que un activo superior se vería afectado por un incidente de seguridad en un activo inferior. Se dice que un “activo superior” depende de otro “activo inferior” cuando la materialización de una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos inferiores son los pilares en los que se apoya la seguridad de los activos superiores. 20 Análisis de Riesgo de la Seguridad de la Información Con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores, para nuestro caso de estudio los niveles de dependencia son: Capa 1: El sistema de información propiamente dicho Equipos informáticos (hardware) Aplicaciones (software) Comunicaciones Soportes de información: discos, cintas, etc. Equipamiento Auxiliar Capa 2: La información Datos Meta-datos: estructuras, índices, claves de cifra, etc. Dimensiones de valoración Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. [D] Disponibilidad Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. ¿Qué importancia tendría que el activo no estuviera disponible? Un activo tiene un gran valor desde el punto de vista de disponibilidad cuando si una amenaza afectara a su disponibilidad, las consecuencias serían graves. [I] Integridad de los datos Garantía de la exactitud y completitud de la información y los métodos de su procesamiento. 21 Análisis de Riesgo de la Seguridad de la Información ¿Qué importancia tendría que los datos fueran modificados fuera de control? Los datos reciben una alta valoración desde el punto de vista de integridad cuando su alteración, voluntaria o intencionada, causaría graves daños a la organización. [C] confidencialidad de los datos Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. ¿Qué importancia tendría que el dato fuera conocido por personas no autorizadas? Los datos reciben una alta valoración desde el punto de vista de confidencialidad cuando su revelación causaría graves daños a la organización. [A_S] autenticidad de los usuarios del servicio Aseguramiento de la identidad u origen. ¿Qué importancia tendría que quien accede al servicio no sea realmente quien se cree? La autenticidad de los usuarios de un servicio es lo contrario de la oportunidad de fraude o uso no autorizado de un servicio. [A_D] autenticidad del origen de los datos Aseguramiento de la identidad u origen. ¿Qué importancia tendría que los datos no fueran realmente imputables a quien se cree? Los datos reciben una elevada valoración desde el punto de vista de autenticidad del origen cuando un defecto de imputación causaría graves quebrantos a la organización. Típicamente, se habilita la oportunidad de repudio. 22 Análisis de Riesgo de la Seguridad de la Información VALORACIÓN La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de niveles). Los criterios más importantes a respetar son: Homogeneidad: Es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra. Relatividad: Es importante poder relativizar el valor de un activo en comparación con otros activos. Se ha elegido una escala detallada de tres valores: Importancia del Activo Valor Criterio 3 Alto De gran importancia a la organización 2 Medio De importancia a la organización 1 Bajo De menor importancia a la organización Paso 2: Amenazas El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Tipos de amenazas a determinar: [N] Desastres naturales Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. [I] De origen industrial Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o deliberada. 23 Análisis de Riesgo de la Seguridad de la Información [A] Ataques intencionados Fallos deliberados causados por las personas. La numeración no es consecutiva para coordinarla con los errores no intencionados, muchas veces de naturaleza similar a los ataques deliberados, difiriendo únicamente en el propósito del sujeto. Para cada amenaza se presenta un cuadro como el siguiente: [código] Título descriptivo de la amenaza Tipos de activos: Dimensiones: Que se pueden ver afectados por este 1. De seguridad que se pueden ver afectadas por este tipo de amenaza, ordenadas de más a menos relevante. tipo de amenazas Descripción: Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas. Valoración de las amenazas. Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos: Degradación: cuán perjudicado resultaría el activo Frecuencia: cada cuánto se materializa la amenaza La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. Daño causado por la amenaza Valor Criterio 3 Alto Daño grave 2 Medio Daño importante 1 Bajo Daño menor 24 Análisis de Riesgo de la Seguridad de la Información La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materialización; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un daño considerable. Frecuencia con que sucede la amenaza. Valor Criterio 3 Alto Bastante Frecuente 2 Medio Frecuente 1 Bajo Poco Frecuente Paso 3: Determinación del impacto Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. Clasificación del Impacto Valor Criterio 3 Alto Alto impacto 2 Medio Impacto moderado 1 Bajo Bajo impacto Se puede calcular el impacto en base a tablas sencillas de doble entrada: DEGRADACION IMPACTO VALOR B M A A M A A M B M A B B B M 25 Análisis de Riesgo de la Seguridad de la Información Aquellos activos que reciban una calificación de impacto alto (A) deberían ser objeto de atención inmediata. Paso 4: Determinación del riesgo Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de ocurrencia. El riesgo crece con el impacto y con la frecuencia. Clasificación del Riesgo Valor Criterio 3 Alto Alto riesgo 2 Medio Riesgo moderado 1 Bajo Bajo riesgo Pudiendo combinarse impacto y frecuencia en una tabla para calcular el riesgo: FRECUENCIA RIESGO IMPACTO B M A A M A A M B M A B B B M Aquellos activos que reciban una calificación de riesgo alto (A) deberían ser objeto de atención inmediata. Los que reciban una calificación de riesgo alto, deberían ser objeto de planificación inmediata de salvaguardas. 26 Análisis de Riesgo de la Seguridad de la Información DESARROLLO DE LA METODOLOGIA. Paso 1: Activos. Descripción del proceso de identificación de activos. Entrevistas. Se realizaron dos entrevistas que se desarrollaron a dos tipos de personas diferentes: 1. A un encargado del departamento de Recursos Humanos que nos brindo información general de la empresa, y algunos datos básicos de la misma. 2. La segunda entrevista se realizo a una persona encargada del departamento de contabilidad que cuenta con un acceso a toda la información de la empresa, y los activos que esta empresa posee. Universidad Tecnológica de El Salvador Facultad de Ciencia y Tecnología Escuela de Informática Cátedra de Redes Empresa: Nombre: Cargo: Objetivo: Conocer específicamente la infraestructura de hardware y software de la empresa, para identificar las diferentes vulnerabilidades y amenazas de la empresa, y así brindándoles un análisis de riesgo efectivo. Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que esta cumpla con los requisitos y expectativas que la empresa necesita, solicitamos su colaboración para el llenado de la siguiente encuesta contestando las siguientes preguntas. De ante mano muchas gracias por su colaboración. 1. ¿Cuál es el rubro de la Empresa? ___________________________________________________________________ ___________________________________________________________________ 2. ¿Con cuantos departamentos cuenta la empresa? ___________________________________________________________________ ___________________________________________________________________ 27 Análisis de Riesgo de la Seguridad de la Información 3. ¿Con cuantas computadoras cuenta cada departamento? ___________________________________________________________________ ___________________________________________________________________ 4. ¿Cuenta con un servidor de Internet y de datos la empresa? ___________________________________________________________________ ___________________________________________________________________ 5. Tienen un departamento encargado de la administración del servidor, o este trabajo lo realiza una persona específica. ___________________________________________________________________ ___________________________________________________________________ 6. ¿Estos departamentos tienen acceso a Internet? ___________________________________________________________________ ___________________________________________________________________ 7. ¿Qué usuarios son los que tienen acceso a Internet? ___________________________________________________________________ ___________________________________________________________________ 8. ¿Han implementado anteriormente algún sistema de prevención de riesgos para la empresa? ___________________________________________________________________ ___________________________________________________________________ 9. ¿Qué tan frecuentemente lo han implementado? ___________________________________________________________________ ___________________________________________________________________ 10. Estaría usted de acuerdo que como grupo de consultores le brindemos una metodología de análisis de riesgo. ___________________________________________________________________ 28 Análisis de Riesgo de la Seguridad de la Información Universidad Tecnológica de El Salvador Facultad de Ciencia y Tecnología Escuela de Informática Cátedra de Redes Empresa: Nombre: Cargo: Objetivo: Conocer específicamente la infraestructura de hardware y software de la empresa, para identificar las diferentes vulnerabilidades y amenazas de la empresa, y así brindándoles un análisis de riesgo efectivo. Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que esta cumpla con los requisitos y expectativas que la empresa necesita, solicitamos su colaboración para el llenado de la siguiente encuesta contestando las siguientes preguntas. De ante mano muchas gracias por su colaboración. 1. El área de informática ¿cuenta con un lugar seguro para el almacenamiento de los datos físicamente? ___________________________________________________________________ ___________________________________________________________________ 2. Los equipos de cómputo ¿cuentan con un sistema de alimentación eléctrica? ___________________________________________________________________ ___________________________________________________________________ ¿De que tipo? ___________________________________________________________________ ___________________________________________________________________ 3. El sistema de cómputo ¿cuenta con un cableado seguro? ___________________________________________________________________ ___________________________________________________________________ 29 Análisis de Riesgo de la Seguridad de la Información 4. ¿Con que tipo de hardware cuenta la empresa? ___________________________________________________________________ ___________________________________________________________________ 5. ¿Qué tipo de servidor tienen? ___________________________________________________________________ ___________________________________________________________________ 6. ¿Cuáles son los servicios de Internet a los que tienen acceso los usuarios? ___________________________________________________________________ ___________________________________________________________________ 7. ¿Qué horas son hábiles para acceder a estos servicios? ___________________________________________________________________ ___________________________________________________________________ 8. ¿Con que tipo de aplicaciones cuenta el equipo? ___________________________________________________________________ ___________________________________________________________________ 9. ¿Con que sistema operativo cuneta el equipo? ___________________________________________________________________ ___________________________________________________________________ 10. ¿Qué departamentos cuentan con ese sistema operativo? ___________________________________________________________________ ___________________________________________________________________ 11. Estos equipos de cómputo ¿poseen antivirus? ___________________________________________________________________ ___________________________________________________________________ 30 Análisis de Riesgo de la Seguridad de la Información 12. ¿Qué antivirus utilizan. Se encuentran registrados con alguna licencia? ___________________________________________________________________ ___________________________________________________________________ 13. El antivirus que utilizan actualmente cumple con los requerimientos de la empresa. ___________________________________________________________________ ___________________________________________________________________ 14. ¿Utilizan en el servidor algún tipo de firewall? ___________________________________________________________________ ___________________________________________________________________ 15. Las personas que accedan al equipo de cómputo entran con alguna contraseña. ___________________________________________________________________ ___________________________________________________________________ 16. Las aplicaciones consideradas fundamentales ¿cuentan con algún tipo de contraseña o usuarios específicos? ___________________________________________________________________ ___________________________________________________________________ 31 Análisis de Riesgo de la Seguridad de la Información Identificación de Activos. Tablas de inventario de activos Departamento: Mercadeo No Descripción Finalidad Categoría Criticidad 2 Computadoras Control de precios, HW, SW, SI Alto HW medio Dell, 1 Promociones, publicidad Impresora Canon, Publicaciones e para todo el impresiones departamento Departamento: Ventas No Descripción Finalidad Categoría Criticidad 2 Computadoras Control de Ventas, HW, SW, SI Alto Dell clientes, proveedores, cotizaciones 1 Computadora Dell Para las cajeras HW, SW, SI Alto 1 Impresora Reportes ventas, precios HW medio Panasonic, para e impresiones varias HW bajo todo el departamento 1 Scanner para Captura de datos, todo el informes de ventas y departamento cotizaciones 32 Análisis de Riesgo de la Seguridad de la Información Departamento: Contabilidad No Descripción Finalidad Categoría Criticidad 2 Computadoras Finanzas HW, SW, SI Alto Impresiones varias del HW medio HW bajo HW medio Dell, 1 Impresora HP departamento 1 1 Scanner para Reportes y cotizaciones, todo el de acuerdo al departamento departamento. Fax y Para transacciones y Fotocopiadora datos e informes (multifunción), generales de la empresa Panasonic uso general. Departamento: Recursos Humanos. No Descripción Finalidad Categoría Criticidad 2 Computadoras Información de los HW, SW, SI Alto HW medio Dell. 1 empleados Impresora Impresiones varias del Panasonic, para departamento todo el departamento 33 Análisis de Riesgo de la Seguridad de la Información Departamento: Gerencia General No Descripción Finalidad Categoría Criticidad 1 Computadoras Uso del Gerente HW, SW, SI Alto Dell. 1 Impresora HP. Uso Exclusivo del Gerente HW medio 1 Scanner Uso del Gerente HW bajo 1 Modem (Conexión a Internet) HW medio speedtoucher pertenece al proveedor Fax y Uso del Gerente HW medio 1 Fotocopiadora 34 Análisis de Riesgo de la Seguridad de la Información Identificación de Amenazas Tablas de amenazas y vulnerabilidades Desastres Naturales [DesN] [DesN.1] Fuego Tipos de activos: Dimensiones: [HW] Equipos Informáticos (hardware) [Dis] Disponibilidad [SI] Soportes de Información [EAUX] Equipamiento Auxiliar Descripción Incendios: Existe el riesgo de que un corto circuito provoque un incendio y el fuego dañe el equipo de la empresa. Vulnerabilidades detectadas relacionadas a esta amenaza: No existen sensores de humo o alarma contra incendios No existen suficientes extintores de incendios, o no están distribuidos en los sitios claves de manejo de información. No hay procedimientos de emergencia ante un incendio. Existen materiales inflamables cerca de los sitios críticos de manejo de información. Hay paredes de concreto pero también hay paredes de material inflamables tales como madera o plywood. [DesN.2] Daños por agua Tipos de activos: Dimensiones: [HW] Equipos Informáticos (hardware) [Dis] Disponibilidad [SI] Soportes de Información Descripción: Inundaciones: Posibilidad de que el agua dañe por completo los recursos del sistema. 35 Análisis de Riesgo de la Seguridad de la Información Vulnerabilidades detectadas relacionadas a esta amenaza: Existe la posibilidad de que haya filtración de agua en la época de invierno en los lugares donde se encuentra equipo informático. Amenazas de origen industrial [Indus.] [Indus.1] Corte del Suministro Eléctrico Tipos de activos: Dimensiones: [HW] Equipos Informáticos (hardware) [Dis] Disponibilidad [SI] Soportes de Información [EAUX] Equipamiento Auxiliar Descripción: El que haya un corte permanente o corto de energía eléctrica. Vulnerabilidades detectadas relacionadas a esta amenaza: No cuentan aun con una planta eléctrica para este tipo de emergencias. No todos los equipos informáticos son alimentados mediante UPS. Cortes de energía prolongados (más de veinte minutos) requerirán que los equipos de misión crítica de la institución sean apagados. No existirá disponibilidad de los servicios de información en la institución durante el lapso que dure el corte de energía. Los sistemas eléctricos podrían ser susceptibles a cortos circuitos que podrían provocar la interrupción del suministro total o parcial. El corte de energía podría dejar sin trabajar al personal de la empresa. [Indus.2] Condiciones Inadecuadas de Temperatura Tipos de activos: Dimensiones: [HW] Equipos Informáticos (hardware) [Dis] Disponibilidad [SI] Soportes de Información [EAUX] Equipamiento Auxiliar Descripción: Deficiencias en la climatización de los locales, excediendo los márgenes de trabajo de los equipos: excesivo calor. 36 Análisis de Riesgo de la Seguridad de la Información Vulnerabilidades detectadas relacionadas a esta amenaza: No existe un mecanismo de aire acondicionado para toda la empresa. Presentan un ambiente en la mayoría de departamentos con calor, excediendo la temperatura de las maquinas. [Indus.3] Degradación de los soportes de almacenamiento de la información Tipos de activos: Dimensiones: [SI] Soportes de Información [Dis] Disponibilidad Descripción: Como consecuencia del paso del tiempo Vulnerabilidades detectadas relacionadas a esta amenaza: No hay una ubicación adecuada para almacenar y resguardar soportes de información (medios magnéticos, medios ópticos, documentos en papel) Los backups se hacen en medios ópticos (DVD’s y CD’s) Documentos en papel no se convierten a otro medio (no se digitalizan). Estos documentos son susceptibles a los daños que pueda sufrir el papel como consecuencia de un proceso de archivado inadecuado o daños provocados por el paso del tiempo. Amenazas a Causa de Ataques Intencionados [A_Int.] [A_Int.1] Manipulación de la Configuración Tipos de activos: Dimensiones: [D] Datos / información 1. [I] Integridad [SW] Aplicaciones (software) 2. [C] Confidencialidad [HW] Equipos informáticos (hardware) 3. [A_S] Autenticidad del servicio 4. [A_D] Autenticidad de los datos 7. [D] Disponibilidad Descripción: Prácticamente todos los activos dependen de su configuración y ésta de la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de actividad, encaminamiento, etc. 37 Análisis de Riesgo de la Seguridad de la Información Vulnerabilidades detectadas relacionadas a esta amenaza: No existe un sistema para detección de intrusos dentro de la red de información. No mantienen un sistema de monitoreo constante en el cual detecten notificaciones automáticas a quienes administran la red. Nunca han implementado un nivel de políticas de seguridad como el uso de contraseñas, y el cambio constante de estas. No mantienen un sistema de Active Directory u otros servicios. [A_Int.2] Suplantación de la Identidad del Usuario Tipos de activos: Dimensiones: [SW] Aplicaciones (software) 1. [C] Confidencialidad 2. [A_S] Autenticidad del servicio 3. [A_D] Autenticidad de los datos 4. [I] Integridad Descripción: Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios. Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la Organización o por personal contratado temporalmente. Vulnerabilidades detectadas relacionadas a esta amenaza: No hay restricciones sobre la cantidad de sesiones que un usuario puede iniciar. Tampoco existen restricciones sobre las estaciones de trabajo sobre las cuales los usuarios pueden iniciar sesión, aun a pesar de que de manera física, cada usuario tiene asignado un puesto de trabajo y una estación de trabajo. No se han implementado a nivel de las políticas de seguridad el uso de contraseñas fuertes y el cambio obligatorio de estas en forma periódica. 38 Análisis de Riesgo de la Seguridad de la Información No existe dentro de la administración de usuarios, directivas o políticas que deshabilite a los usuarios que por diversas razones se ausenten de sus puestos de trabajo en periodos temporales relativamente largos, como por ejemplo cuando algún usuario está de vacaciones. El proceso para dar de alta y de baja a los usuarios, cuando entran a formar parte de la organización o cuando dejan de trabajar en la misma, no es automático. Hasta que se reciben las notificaciones de recursos humanos, el administrador del dominio tomas las acciones correspondientes para actualizar el directorio, lo cual podría generar ciertos espacios de riesgo sobre uso inautorizado de los recursos de información. [A_Int.3] Abuso de Privilegios de Acceso Tipos de activos: Dimensiones: [SW] Aplicaciones (software) 1. [C] Confidencialidad [HW] Equipos Informáticos (hardware) 2. [I] Integridad Descripción: Cada usuario disfruta de un nivel de privilegios para un determinado propósito; cuando un usuario abusa de su nivel de privilegios para realizar tareas que no son de su competencia, hay problemas. Vulnerabilidades detectadas relacionadas a esta amenaza: No existen procedimientos de revisión periódica de los derechos y permisos efectivos de los usuarios, para comprobar si debido a un cambio de configuración, o a una acción errónea o indebida se le han concedido a un usuario o grupo de usuarios más derechos y permisos de los que le corresponden. No existen sistemas de monitorización en línea que detecten y generen alarmas y notificaciones automáticas a los administradores de red si se ejecutan cambios o alteraciones en la configuración que pudieran afectar el funcionamiento normal de los sistemas. No existen mecanismos de control que detecten y prevengan posibles abusos de privilegios en las aplicaciones. 39 Análisis de Riesgo de la Seguridad de la Información [A_Int.4] Uso no Previsto Tipos de activos: Dimensiones: [SW] Aplicaciones (software) [Dis] Disponibilidad [HW] Equipos Informáticos (hardware) [SI] Soportes de Información Descripción: Utilización de los recursos del sistema para fines no previstos, típicamente de interés personal: juegos, consultas personales en Internet, bases de datos personales, programas personales, almacenamiento de datos personales, etc. Vulnerabilidades detectadas relacionadas a esta amenaza: No existen herramientas de control de contenido o monitorización de tráfico para el uso de Internet u otros servicios de la infraestructura de red y los sistemas de información. Tampoco se implementan inventarios automatizados de software y hardware para comprobar que no se hayan instalado componentes adicionales y no autorizados a los equipos de los usuarios. [A_Int.5] Difusión de software dañino Tipos de activos: Dimensiones: [SW] Aplicaciones (software) 1. [Dis] Disponibilidad 2. [I] Integridad 3. [C] Confidencialidad 4. [A_S] Autenticidad del Servicio 5. [A_D] Autenticidad de los Datos Descripción: Propagación intencionada de virus, espías (spyware), gusanos, troyanos, bombas lógicas, etc. 40 Análisis de Riesgo de la Seguridad de la Información Vulnerabilidades detectadas relacionadas a esta amenaza: Los equipos de computo tienen un software de antivirus en el cual esta actualizado y bajo licencia. No existen controles de las conexiones a red dentro de la empresa. Por medio de que no tienen control en la red se conectan equipos personales en los cuales se puede infectar de virus peligrosos la red. No mantienen un control para el uso de memorias USB, discos duros externos, etc. [A_Int.6] Destrucción de la información Tipos de activos: Dimensiones: [D] Datos / Información [Dis] Disponibilidad Descripción: Eliminación intencional de información, con ánimo de obtener un beneficio o causar un perjuicio. Vulnerabilidades detectadas relacionadas a esta amenaza: Hacen frecuentemente la realización de backup por medio de DVD’s y CD’s de los datos. No se cuenta con un cuidado exclusivo del almacenamiento de datos por medio ópticos. No se cuenta con una oficina, en la cual se pueda guardar la información de los backup’s y las aplicaciones fundamentales de la empresa. [A_Int.7] Denegación de Servicio Tipos de activos: Dimensiones: [HW] Equipos Informáticos (hardware) [Dis] Disponibilidad Descripción: La carencia de recursos suficientes provoca la caída del sistema cuando la carga de trabajo es desmesurada. 41 Análisis de Riesgo de la Seguridad de la Información Vulnerabilidades detectadas relacionadas a esta amenaza: No existen sistemas de detección y prevención de intrusos en la institución (IPS / IDS) que pudiera detectar movimientos o patrones de conducta anormales en el entorno de la red, orientados a alterar el funcionamiento normal de los servicios de información. [A_Int.8] Robo Tipos de activos: Dimensiones: [HW] Equipos Informáticos (hardware) 1. [Dis] Disponibilidad [SI] Soportes de Información 2. [C] Confidencialidad [EAUX] Equipamiento Auxiliar Descripción: La sustracción de información empresarial se puede dar mediante el robo que pueda hacer personal interno no personal ajeno a la compañía. Vulnerabilidades detectadas relacionadas a esta amenaza: Los controles y mecanismos de seguridad física orientados a prevenir el robo de activos de información en la institución son mínimos. No se cuentan con sistemas de alarmas contra robo o intrusos para horas nocturnas, ni siquiera en la locación de la división de informática que es donde se encuentran los equipos de misión critica para las operaciones de la empresa. Los documentos de identificación de los empleados no llevan fotografía que facilite la comprobación de la identidad de alguien en forma inmediata, ni la autenticidad de dicha identificación. En el caso de los visitantes, las tarjetas de visitantes no son de un color diferente a las identificaciones de los empleados, y no difieren en mucho de estas, salvo por el hecho que llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas. 42 Análisis de Riesgo de la Seguridad de la Información ANÁLISIS DE RIESGOS E IMPACTOS Catalogo Completo de Amenazas Analizadas Código Descripción [DesN.1] Fuego [DesN.2] Daños por Agua [Indus.1] Corte del Suministro Eléctrico [Indus.2] Condiciones Inadecuadas de temperatura [Indus.3] Degradación de los Soportes de Almacenamiento de la Información [A_Int.1] Manipulación de la Configuración [A_Int.2] Suplantación de la Identidad del Usuario [A_Int.3] Abuso de Privilegios de Acceso [A_Int.4] Uso no Previsto [A_Int.5] Difusión de Software Dañino [A_Int.6] Destrucción la Información [A_Int.7] Denegación de Servicio [A_Int.8] Robo 43 Análisis de Riesgo de la Seguridad de la Información CONCLUSIONES Entre las conclusiones que se dan en base al desarrollo del presente trabajo se han determinado diferentes amenazas a las cuales se ven afectada la empresa están las naturales como lo son el fuego es decir peligro a incendios que puedan causar estragos o incluso acabar con los recurso de sistemas de información con los cuales cuentan equipos informáticos entendiéndose por esto hardware debido a que se han identificado diferentes vulnerabilidades con las que se ve relacionada esta amenaza siendo las principales que no existen suficientes extintores de incendios también de no contar con sensores de humo o alarmas de incendios además el personal no cuenta con un método o procedimientos a seguir ante un siniestro de esta naturaleza. Otra amenaza que se ha identificado de origen industrial es la de no contar con suministro eléctrico optimo que la empresa necesita debido a que existe la vulnerabilidades de no contar todos los equipos informáticos son alimentados eléctricamente por un UPS. Viéndose afectados cuando un corte de energía eléctrica se dé ya que no existirá disponibilidad de los servicios de información durante este problema se dé o dure el corte de energía además de presentarse el riesgo de que los sistemas eléctricos podrían ser susceptibles a cortos circuitos que podrían provocar la interrupción del suministro total o parcial, debido a la quema de fusibles de protección entre otros. La amenaza la cual fue muy evidente notar consistía en que podían haber ataques intencionados como robo de información entre las vulnerabilidades que se tomaron en cuenta era que no existen sistemas de detección y prevención de intrusos en la institución que pudiera detectar movimientos o patrones de conducta anormales en el entorno de la red, orientados a alterar la configuración de los sistemas de información. No se han implementado a nivel de las políticas de seguridad el uso de contraseñas. 44 Análisis de Riesgo de la Seguridad de la Información Además de Destrucción la información por parte intencional del personal con ánimo de obtener un beneficio o causar un perjuicio. Esta amenaza sólo se identifica sobre datos en general, pues cuando la información está en algún soporte informático, hay amenazas específicas. Estas son las principales amenazas a las que la empresa se ve afectada de acuerdo a las vulnerabilidades que se han observado por parte del grupo de consultores entre otras que se han dado a conocer por parte de la empresa. Las cuales se esperan ser solventadas de acuerdo a las recomendaciones que se presenten a medida se desarrolle esta metodología que se está siguiendo y las cuales serán presentadas en el siguiente avance de este documento. 45 Análisis de Riesgo de la Seguridad de la Información GLOSARIO. Activos: Los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. Autenticidad: (de quién hace uso de los datos o servicios), que no haya duda de quién se hace responsable de una información o prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaños que buscan realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrónico o la administración electrónica, permitiendo confiar sin papeles ni presencia física. Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Amenazas: las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc. Botnet: es un término que hace referencia a una colección de software robots, o bots, que se ejecutan de manera autónoma. Confidencialidad: Característica de la información por la que la misma sólo puede ser revelada a los usuarios autorizados. Disponibilidad: disposición de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones. Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. 46 Análisis de Riesgo de la Seguridad de la Información Integridad: mantenimiento de las características de completitud y corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización. Impactos: las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. Malware informático: es el término para el código malicioso diseñado para molestar o destruir un sistema informático. Magerit: es una metodología de Análisis y Gestión de Riesgos de los Sistemas de Información elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas Probabilidad: predicción calculada de la ocurrencia de un accidente en un cierto periodo de tiempo. Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Seguridad: es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Virus informático: es un programa de ordenador que puede infectar otros programas modificándolos, para incluir una copia de si mismo también Programa que se duplica a sí mismo en un sistema informático incorporándose a otros programas que son utilizados por varios sistemas. Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. 47 Análisis de Riesgo de la Seguridad de la Información BIBLIOGRAFIA. Enlaces bibliográficos. Web del Ministerio de Administraciones Públicas. Consejo Superior de Informática: www.map.es/csi/csi.htm Las Siete Guías Metodológicas: www.map.es/csi/herramientas/GuiasMagerit.exe Herramienta MAGERIT: www.map.es/csi/herramientas/HerramientaMagerit.exe Foro MAGERIT: http://foro.map.es/ URLS. http://www.csi.map.es/csi/pg5m20.htm http://www.enisa.europa.eu/rmra/methods_tools/m_magerit.html 48