Implementación de un modelo de seguridad informática en un sistema de monitoreo para los canales de comunicaciones y Datacenter en la empresa Atento SA AUTORES: XIOMARA MAYERLI MACIAS MENDEZ JOSE LUIS DUEÑAS JUEZ UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELECOMUNICACIONES BOGOTÁ D.C. – 2015 IMPLEMENTACIÓN DE UN MODELO DE SEGURIDAD INFORMÁTICA EN UN SISTEMA DE MONITOREO PARA LOS CANALES DE COMUNICACIONES Y DATACENTER EN LA EMPRESA ATENTO SA XIOMARA MAYERLI MACIAS MENDEZ Código: 20131273028 JOSE LUIS DUEÑAS JUEZ Código: 20122273004 MONOGRAFÍA PARA OPTAR AL TITULO DE INGENIERIA EN TELECOMUNICACIONES DIRECTOR DE PROYECTO: Ing. JOSÉ DAVID CELY UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS FACULTAD TECNOLÓGICA INGENIERÍA EN TELECOMUNICACIONES BOGOTÁ D.C. – 2015 PAGINA DE APROBACIÓN Observaciones ___________________________________________ ___________________________________________ ___________________________________________ ___________________________________________ __________________________________ Ing. José David Cely Callejas Director Del Proyecto __________________________________ Ing. Giovani Mancilla Gaona Jurado Fecha de Presentación: Octubre de 2015 DEDICATORIA En primera instancia a Dios, por acompañar nuestro camino e iluminarlo en los momentos de lucidez y dificultad. A nuestros padres y hermanos por ser motivadores constantes y enseñarnos con su ejemplo el valor del esfuerzo. A nuestros amigos por permanecer a nuestro lado y ayudarnos a fortalecer la confianza. A nuestros docentes, tutores y asesores, por su orientación y contribución para lograr llegar a la meta que nos hemos propuesto. A la empresa Atento S.A. por su apoyo incondicional, profesional y personal en la realización de este proyecto. CONTENIDO 1. INTRODUCCIÓN .................................................................................................................. 1 2. DESCRIPCION DEL PROYECTO ....................................................................................... 2 2.1. 2.1.1. General ...................................................................................................................... 2 2.1.2. Específicos ................................................................................................................ 2 2.2. 3. Objetivos .......................................................................................................................... 2 Alcance y limitaciones ..................................................................................................... 2 2.2.1. Alcance ..................................................................................................................... 2 2.2.2. Limitantes ................................................................................................................. 3 GENERALIDADES ............................................................................................................... 4 3.1. MARCO CONCEPTUAL ................................................................................................ 4 3.1.1. 3.2. MARCO TEORÍCO ......................................................................................................... 6 3.2.1. Seguridad informática ............................................................................................... 6 3.2.2. Plan Do Check Act.................................................................................................... 6 3.2.3. Principios de la seguridad de la información ............................................................ 7 3.2.4. MAGERIT (MAGUERIT, 2012)............................................................................ 10 3.2.5. Política de seguridad (Nozaki & Tipton, 2011) ...................................................... 11 3.3. ANTECENDENTES ...................................................................................................... 15 3.4. MARCO LEGAL ........................................................................................................... 18 3.4.1. Reglamentación a nivel internacional ..................................................................... 18 3.4.2. Reglamentación a nivel Nacional ........................................................................... 19 3.5. 4. Definiciones .............................................................................................................. 4 METODOLOGÍA .......................................................................................................... 20 DISEÑO METODOLOGICO DEL PROYECTO ................................................................ 22 4.1. Análisis de riesgos:......................................................................................................... 22 4.1.1. 4.1.2. Análisis de Activos ..................................................................................................... 25 4.1.3. Identificación de Amenazas........................................................................................ 26 4.1.4. Análisis de Amenazas:................................................................................................ 26 4.1.5. Impacto Potencial ....................................................................................................... 27 4.1.6. Riesgo Residual .......................................................................................................... 27 4.2. 5. Selección de parámetros ......................................................................................... 22 Gestión de riesgos .......................................................................................................... 29 4.2.1. Análisis de los controles ISO/IEC 27002:2013 ...................................................... 30 4.2.2. Evaluación de estado actual .................................................................................... 40 4.2.3. Declaración de aplicabilidad ................................................................................... 42 PLAN DE ACCIÓN ............................................................................................................. 44 5.1. Cierre brechas ................................................................................................................. 44 5.2. Plan de trabajo certificación ........................................................................................... 45 5.3. Política de seguridad para los sistemas de información de Atento SA .......................... 47 5.3.1. Objetivo................................................................................................................... 47 5.3.2. Requerimientos organizacionales: .......................................................................... 48 5.3.3. Comunicación: ........................................................................................................ 48 5.4. Diseño de la infraestructura lógica de interconectividad ............................................... 49 5.4.1. Seguridad Lógica: ................................................................................................... 49 5.4.2. Topología de Red Segura: ....................................................................................... 49 5.4.3. Zonificación ............................................................................................................ 50 5.4.4. Red de Acceso......................................................................................................... 50 5.4.5. Red Desmilitarizada ................................................................................................ 50 5.4.6. Red Militarizada...................................................................................................... 51 6. 5.4.7. Red Interna .............................................................................................................. 51 5.4.8. Pautas para la interconectividad de Zonas .............................................................. 52 5.4.9. Flujo de Datos ......................................................................................................... 53 5.4.10. Barreras de Seguridad: ........................................................................................ 54 5.4.11. Alta Disponibilidad en Firewall: ......................................................................... 55 5.4.12. VLAN´s: .............................................................................................................. 55 ETAPA DE PREPRODUCCION ......................................................................................... 56 6.1. Solicitud de Equipos: ..................................................................................................... 57 6.2. Proceso de Configuración: ............................................................................................. 57 7. RESULTADOS..................................................................................................................... 64 7.1. Etapa análisis de riesgos ................................................................................................. 64 7.2. Gestión de riesgos .......................................................................................................... 65 7.3. Gestión de riesgos .......................................................................................................... 67 8. CONCLUSIONES ................................................................................................................ 68 9. BIBLIOGRAFÍA .................................................................................................................. 69 10. REFERENCIAS ................................................................................................................. 70 LISTA DE FIGURAS Figura 1. Sistema de gestión de la seguridad de la información ..................................................... 7 Figura 2.Principios básicos de la seguridad de la información ....................................................... 8 Figura 3. ISO 31000 - Marco de trabajo para la gestión de riesgos .............................................. 10 Figura 4. Etapas en el desarrollo de una política .......................................................................... 13 Figura 5. I Solution modeling ....................................................................................................... 17 Figura 6. Identificación y valoración de Activos .......................................................................... 25 Figura 7. Identificación de Amenazas .......................................................................................... 26 Figura 8. Análisis de Amenazas .................................................................................................... 27 Figura 9. Riesgo Residual ............................................................................................................ 29 Figura 10. Dominios de control .................................................................................................... 30 Figura 11: Nivel de cumplimiento ISO27001 ............................................................................... 43 Figura 12. Diseño esquema de conexiones ................................................................................... 53 Figura 13. Esquema Multihomed .................................................................................................. 54 Figura 14. Configuración del usuario local ................................................................................... 58 Figura 15. Encriptación del directorio de usuario ......................................................................... 58 Figura 16. Configuración IP LAN ................................................................................................ 59 Figura 17. Configuración IP LAN 2 ............................................................................................. 59 Figura 18. Configuración usuario administrador de la herramienta de monitoreo. ...................... 60 Figura 19. Interfaz Web Nagios .................................................................................................... 61 Figura 20. Configuración de roles para usuarios nuevos .............................................................. 61 Figura 21. Cambio de contraseña por los mismos usuarios .......................................................... 62 Figura 22 Política Firewall de conexión a la DMZ ....................................................................... 62 Figura 23 Política Firewall de conexión hacia la MZ ................................................................... 63 Figura 24: Dimensiones afectadas por amenazas ......................................................................... 64 Figura 25: Frecuencia Vs impacto ................................................................................................ 65 Figura 26: Nivel de cumplimiento ISO27001 ............................................................................... 66 Figura 27 Reporte vulnerabilidades .............................................................................................. 67 LISTA DE TABLAS Tabla 1 Valor Cuantitativo de Activos ......................................................................................... 22 Tabla 2: Probabilidad de ocurrencia de un evento ........................................................................ 23 Tabla 3: Relación de impacto........................................................................................................ 23 Tabla 4: Dimensiones de Seguridad.............................................................................................. 24 Tabla 5: Tipos de Activos ............................................................................................................. 24 Tabla 6: Tipos de Amenazas ......................................................................................................... 25 Tabla 7: Análisis de brechas ......................................................................................................... 41 Tabla 8 Cronograma de ejecución ................................................................................................ 46 Tabla 9 Modelo de conexión entre zonas...................................................................................... 52 RESUMEN En este este proyecto se realizó la creación de una política de seguridad con el fin de establecer medidas para la protección de la información en la empresa Atento SA. A lo largo del desarrollo del proyecto se realizaron análisis de activos informáticos vs la seguridad de los mismos. En primera instancia se realizó el análisis de riesgos, donde se identificaron los activos y el valor de los mismos, la identificación de amenazas, la evaluación de impacto y la clasificación de riesgos que pudiesen causar dichas amenazas. Enseguida se realizó el tratamiento de los riesgos, donde se identificaron los controles de seguridad existentes en la empresa tomando como referencia la norma ISO/IEC 27001:2013, ya que es objetivo de Atento SA certificarse en esta norma, se identificó la situación actual y las brechas de seguridad. Con el proceso de investigación dentro de la empresa se lograron obtener todos los datos necesarios para dar paso al diseño de la política de seguridad y establecer el modelo de implementación que fue remitido al comité de seguridad de Atento SA para su respectiva revisión y aprobación. Como siguiente paso se realizó el diseño de conexión entre redes tanto externas como internas de la compañía y por último se realizó la implementación de una herramienta de seguridad aplicando las medidas de seguridad correspondientes. 1. INTRODUCCIÓN En la actualidad el uso de los sistemas de información tiene una gran demanda dado el incremento de servicios tecnológicos en las diferentes ramas de la industria y con ello también el aumento de problemas de seguridad, afectando activos esenciales como la información. Es necesario que las empresas se concienticen de la importancia de proteger la integridad de los datos que manejan, puesto que el dejar de lado el tema podría incurrir en deterioro de la información degradando los servicios y generando pérdidas económicas. Teniendo en cuenta lo anterior es necesario contar con estrategias y medidas de seguridad de la información, con el fin de garantizar el funcionamiento adecuado de todos los sistemas y dado el caso de alguna amenaza y/o ataque que impliquen la pérdida de información, se apliquen los procedimientos correctivos necesarios. El propósito de asegurar la información consiste en hacer que los riesgos sean conocidos, asumidos, gestionados y minimizados por la empresa. Realizando la documentación de tal forma que sea estructurada, eficiente y ajustable a cambios, estas características deben primar en el entorno de cualquier entidad moderna, que incorpore a su gestión las tecnologías de la información y que este respaldada sobre una infraestructura tecnológica con amplio grado de integración de redes, comunicaciones y sistemas de información. El desarrollo de este proyecto permitirá que los administradores de la infraestructura tecnológica tomen conciencia de la necesidad de una política de seguridad correctamente estructurada, que permita la prevención de fallas y en caso dado atención optima de las mismas. Adicionalmente se debe resaltar la importancia de la divulgación de la política de seguridad a todo el personal vinculado con la empresa, ya que de ello depende su cumplimiento y la disminución de las penalizaciones impuestas en las auditorías realizadas por los diferentes clientes a los que Atento presta sus servicios. 1 2. DESCRIPCION DEL PROYECTO 2.1. Objetivos 2.1.1. General Implementar un modelo de seguridad informática en un sistema de monitoreo para los canales de comunicaciones y Datacenter en la empresa Atento SA. 2.1.2. Específicos Identificar las posibles problemáticas de seguridad informática que pueden surgir en el desarrollo de los procesos realizados en el Datacenter de la empresa. Diseñar la infraestructura lógica de interconectividad Diseñar políticas de seguridad y modelo de implementación de las mismas. 2.2. Alcance y limitaciones 2.2.1. Alcance Este proyecto comprende el diseño de una política de seguridad orientada al cumplimiento de los controles de la norma ISO/IEC 27001:2013 dirigida a procesos, activos y riesgos que pertenecen al área de TI en la empresa Atento SA. Este proyecto contempla la etapa de diseño de la política de seguridad, por lo tanto depende de la empresa llevar a cabo su implementación. Como prototipo, se realizó la implementación de una herramienta de monitoreo para los equipos del Datacenter aplicando los ítems establecidos en la política de seguridad creada. De igual forma abarca el diseño de infraestructura lógica de interconectividad enfocado al uso de esta herramienta con la opción de ser aplicado para el uso de otros servicios relacionados con el área Tecnológica. Los valores monetarios de los activos establecidos en el análisis no son los valores comerciales, se establece el valor que considera la empresa, de acuerdo los procesos o servicios que maneja. 2 2.2.2. Limitantes Este proyecto no contempla la implementación de la política de seguridad, se entrega la respectiva documentación a las directivas con el fin de que sea aprobada y ejecutada por el área que considere. Los activos relacionados en los análisis no representan la totalidad de los activos de la empresa, pero si los que se consideran importantes en el área de TI. Los controles de la norma ISO/IEC 27002:2013 serán planteados solo si hay riesgos que justifiquen un control en particular, de lo contrario sería tomado como una pérdida de tiempo y dinero. 3 3. GENERALIDADES 3.1. MARCO CONCEPTUAL A continuación se darán algunas definiciones importantes, útiles para una mejor comprensión de este proyecto. 3.1.1. Definiciones - Activos de información: Los activos son los recursos que tienen valor o utilidad para la organización, sus operaciones comerciales y su continuidad, necesarios para que la organización funcione y alcance los objetivos que propone su dirección. - Amenaza: Es todo aquello, ya sea físico o lógico que puede causar un incidente no deseado, generando daños materiales o inmateriales a la organización y a sus activos, como la perdida de información, o de su privacidad, o bien un fallo en los equipos físicos. - Análisis de riesgos: Uso sistemático de la información para identificar fuentes y estimar el riesgo. - Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados. (Característica por la que la información no está disponible o revelada a individuos, entidades o procesos no autorizados). - Controles de seguridad: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. También utilizado como sinónimo de salvaguarda o contramedida. - Declaración de aplicabilidad: Documento que enumera los controles aplicados por el SGSI de la organización además de la justificación tanto de su selección como de la exclusión de controles incluidos en el anexo A de la norma. - Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. (Característica de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada). 4 - Gestión de riesgos: Proceso de identificación, control y minimización o eliminación, a un coste aceptable, de los riesgos que afecten a la información de la organización. Incluye la valoración de riesgos y el tratamiento de riesgos. - Impacto: El coste para la empresa de un incidente que puede o no ser medido en términos estrictamente financieros ej., pérdida de reputación, implicaciones legales, etc. - Información: Conjunto organizado de datos procesados que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. La información ya sea impresa, almacenada digitalmente o hablada, es considerada un activo dentro de las compañías y debe protegerse. - Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. (Característica de salvaguardar la exactitud y completitud de los activos). - No conformidad: Situación aislada que, basada en evidencias objetivas, demuestra el incumplimiento de algún aspecto de un requerimiento de control que permita dudar de la adecuación de las medidas para preservar la confidencialidad, integridad o disponibilidad de información sensible, o representa un riesgo menor. - No repudio: Es un servicio de seguridad que permite probar la participación de las partes en una comunicación. - PDCA: (Plan-Do-Check-Act) Modelo de proceso basado en un ciclo continuo de las actividades de planificar (establecer el SGSI), realizar (implementar y operar el SGSI), verificar (monitorizar y revisar el SGSI) y actuar (mantener y mejorar el SGSI). - Política de seguridad: Documento que establece el compromiso de la Dirección y el enfoque de la organización en la gestión de la seguridad de la información. - Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. (Combinación de la probabilidad de un evento y sus consecuencias). - Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo. - Seguridad de la información: es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. 5 - SGSI: Sistema de Gestión de la Seguridad de la Información. Parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. - Vulnerabilidad: Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. (Debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza). 3.2. MARCO TEORÍCO 3.2.1. Seguridad informática Debido a que el uso de Internet se encuentra en aumento, cada vez más compañías permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la compañía necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la compañía a través de Internet. Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la compañía. Los riesgos, en términos de seguridad, se caracterizan por lo general mediante la siguiente ecuación. Riesgo = (amenaza * vulnerabilidad) / contramedida 3.2.2. Plan Do Check Act El ciclo de Deming (de Edwards Deming), también conocido como círculo PDCA (del inglés plan-do-check-act, esto es, planificar-hacer-verificar-actuar) o espiral de mejora continua, es una estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado por Walter A. Shewhart. Es muy utilizado por los sistemas de gestión de la calidad (SGC) y los sistemas de gestión de la seguridad de la información (SGSI). 6 Los resultados de la implementación de este ciclo permiten a las empresas una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costes, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad de la empresa u organización. (“Sistema de gestión de la seguridad de la información,” 2015) Figura 1. Sistema de gestión de la seguridad de la información Fuente: Plan de gestión de riegos. (2013, Diciembre 26). En ISOTOOLS Excellence. Obtenido de https://www.isotools.org/2013/12/26/el-plan-de-gestion-de-riesgos-segun-la-norma-iso-27001/ 3.2.3. Principios de la seguridad de la información La seguridad de la información es la protección de los activos de información, contra una gran variedad de amenazas que existen en el mundo, con el fin de asegurar la continuidad del negocio, 7 minimizar el riesgo y maximizar el retorno de inversiones y oportunidades de una empresa. Figura 2. Figura 2.Principios básicos de la seguridad de la información Fuente: EAN página institución educativa. [En línea] Consultado Agosto 2015. Disponible en mercadodedinero.com.co. Se habla regularmente de la Seguridad de la Información y se hace, en muchos casos, dando por hecho que cada persona es plenamente consciente de lo que implica el término. Indudablemente, es fácil deducir lo que se habla, pero también es fácil entender que, en un mundo tan técnico y complejo, en ocasiones la clave se encuentra en saber definir y entender con exactitud el propio término sobre el que se trabaja. (Mifsud, 2012) - Confidencialidad: En general el término 'confidencial' hace referencia a "Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas." En términos de seguridad de la información, la confidencialidad hace referencia a la necesidad de ocultar o mantener secreto sobre determinada información o recursos. El 8 objetivo de la confidencialidad es, entonces, prevenir la divulgación no autorizada de la información. En general, cualquier empresa pública o privada y de cualquier ámbito de actuación requiere que cierta información no sea accedida por diferentes motivos. Por otra parte, determinadas empresas a menudo desarrollan diseños que deben proteger de sus competidores. La sostenibilidad de la empresa así como su posicionamiento en el mercado puede depender de forma directa de la implementación de estos diseños, y se deben proteger mediante mecanismos de control de acceso que aseguren la confidencialidad de la información. - Integridad: En general, el término 'integridad' hace referencia a una cualidad de 'íntegro' e indica "Que no carece de ninguna de sus partes." En términos de seguridad de la información, la integridad hace referencia a la fidelidad de la información o recursos, se expresa en lo referente a prevenir el cambio impropio o desautorizado. El objetivo de la integridad es, entonces, prevenir modificaciones no autorizadas de la información. - Disponibilidad: En general, el término 'disponibilidad' hace referencia a una cualidad de 'disponible' y dicho de una cosa "Que se puede disponer libremente de ella o que está lista para usarse o utilizarse." En términos de seguridad de la información, la disponibilidad hace referencia a que la información del sistema debe permanecer accesible a elementos autorizados. El objetivo de la disponibilidad es, entonces, prevenir interrupciones no autorizadas/controladas de los recursos informáticos. La seguridad consiste en mantener el equilibrio adecuado entre estos tres factores, dependiendo del entorno de trabajo y sus necesidades se puede dar prioridad a un aspecto de la seguridad o a otro. (Mifsud, 2012) 9 3.2.4. MAGERIT (MAGUERIT, 2012) MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión. MAGERIT es para todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, MAGERIT permite saber cuánto valor está en juego y ayuda a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista. Figura 3. ISO 31000 - Marco de trabajo para la gestión de riesgos Fuente: ISO 31000 y los 11 principios de la Gestión de Riesgos. (n.d.). Consultado Agosto 1, 2015, de http://www.pmnconsultores.com/ISO31000 10 MAGERIT persigue los siguientes objetivos: - Directos: o Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos. o Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) o Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control. - Indirectos: o Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso. 3.2.5. Política de seguridad (Nozaki & Tipton, 2011) Es importante aclarar el término política o estándar o mejor practica o guía o procedimiento, estos son términos usados en la seguridad informática a diario, pero algunas veces son utilizados correctamente otras veces no. A continuación se enuncian la definición de los términos anteriormente mencionados en implementación de políticas. - Política: La política de seguridad es un conjunto de leyes, reglas y prácticas que regulan la manera de dirigir, proteger y distribuir recursos en una organización para llevar a cabo los objetivos de seguridad informática dentro de la misma. Las políticas de seguridad definen lo que está permitido y lo que está prohibido, permiten definir los procedimientos y herramientas necesarias, expresan el consenso de los “dueños” y permiten adoptar una buena actitud dentro de la organización. - Estándar: Los estándares de seguridad son una herramienta que apoya la gestión de la seguridad informática, ya que los ambientes cada vez más complejos requieren de modelos que administren las tecnologías de manera integral, sin embargo, existen distintos modelos aplicables en la administración de la seguridad. 11 - Mejor practica: Es una regla de seguridad específica a una plataforma que es aceptada a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de la organización. - Guía: Una guía es una declaración general utilizada para recomendar o sugerir un enfoque para implementar políticas, estándares y buenas prácticas. Las guías son, esencialmente recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no hacerlo. - Procedimiento: Los procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataforma, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema específico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueño del sistema. Los procedimientos seguirán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible y a su vez se ajustaran a los requerimientos, procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican. Etapas en el desarrollo de una política: Hay 11 etapas que deben realizarse en la vida de una política. Estas etapas son agrupadas en cuatro fases: 12 - Fase de desarrollo: Durante esta fase la política es creada, revisada y aprobada. - Fase de implementación: En esta fase la política es comunicada y acatada (o no cumplida por alguna excepción). - Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (Actualizarla). - Fase de eliminación: La política se retira cuando no se requiere más. Figura 4. Etapas en el desarrollo de una política Fuente: Nozaki, M. K., & Tipton, H. F. (2011). Information Security Management Handbook, Sixth Edition. CRC Press. Este proyecto plantea la creación de una política de seguridad y un modelo de implementación de la misma, por tal motivo a continuación se describe en detalle la guía para la etapa de creación comunicación, cumplimiento y excepciones: - Creación: Planificación, investigación, documentación y coordinación de la política. El primer paso en la fase de desarrollo de una política es la planificación, la investigación y la redacción de la política o, tomado todo junto, la creación. La creación de una política implica identificar por qué se necesita la política (Por ejemplo requerimientos legales, regulaciones 13 técnicas, contractuales u operacionales); determinar el alcance y la aplicabilidad de la política, los roles y las responsabilidades inherentes a la aplicación de la política y garantizar la factibilidad de su implementación. De esta etapa se tendrá como resultado la documentación de la política de acuerdo con los procedimientos y estándares de la universidad, al igual que la coordinación con entidades internas y externas que la política afectará, para obtener información y su aceptación. En general la creación de una política es la función más fácil de entender en el ciclo de vida de desarrollo de una política. - Comunicación: Difundir la política: Una vez la política ha sido aprobada formalmente, se pasa a la fase de implementación. La comunicación de la política es la primera etapa que se realiza en esta fase. La política debe ser inicialmente difundida a los miembros de la comunidad empresarial o a quienes sean afectados directamente por la política (contratistas, proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el método inicial de distribución de la política). Debe planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la visibilidad de la política. - Cumplimiento: Implementar la política La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la política. Implica trabajar con otras personas de la compañía, jefes, dependencias (de división o sección) para interpretar cual es la mejor manera de implementar la política en diversas situaciones y oficinas; asegurando que la política es entendida por aquellos que requieren implementarla, monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir el impacto inmediato de la política en las actividades operativas. Dentro de estas actividades esta la elaboración de informes a la administración del estado de la implementación de la política. - Excepciones: Gestionar las situaciones donde la implementación no es posible Debido a los problemas de coordinación, falta de personal y otros requerimientos operacionales, no todas las políticas pueden ser cumplidas de la manera que se pensó al comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones a la política para permitir a ciertas oficinas o personas el no cumplimiento de la política. Debe establecerse un proceso para garantizar que las solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para la aprobación, documentadas y vigiladas a través del periodo de tiempo establecido para la 14 excepción. El proceso también debe permitir excepciones permanentes a la política, al igual que la no aplicación de la misma por circunstancias de corta duración. (Nozaki & Tipton, 2011) 3.3. ANTECENDENTES En el área de la seguridad informática se han venido desarrollando en los últimos años diferentes tipos de aplicaciones e investigaciones con el fin de reducir los riesgos a los que se enfrentan las empresas y dar soporte a las operaciones del negocio. A continuación se describen algunos de los avances que han logrado en Colombia en diferentes entidades y/o universidades. En la Universidad Nacional Mayor de San Marcos, facultad de Ciencias Matemáticas, en el 2003, se desarrolló el proyecto PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA. El cual consiste en definir un plan de seguridad para una entidad financiera, empieza por definir la estructura organizacional (roles y funciones), después pasa a definir las políticas, para finalmente concluir con un plan de implementación o adecuación a las políticas anteriormente definidas. (Córdoba, 2003) En la Universidad Tecnológica de Pereira, facultad de ingenierías, programa de ingeniería de sistemas y computación, en el 2013 se desarrolló el proyecto DISEÑO DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA EL GRUPO EMPRESARIAL LA OFRENDA. El cual diseño un Sistema de gestión de seguridad de la información SGSI, como parte de un sistema de gestión global basado directamente en los riesgos para el negocio y los activos del mismo contemplado en la norma ISO 27001:2005, el objetivo primordial fue ayudar a las empresas a gestionar de una forma eficaz la seguridad de la información evitando las inversiones mal dirigidas, contrarrestando las amenazas presentes en el entorno y dentro de la misma, implementación de controles proporcionado y de un coste menos elevado. (Aguirre & Aristizabal, 2013) A nivel internacional también se han desarrollado diferentes proyectos e investigaciones en referencia al área de la seguridad informática que han contribuido al mejoramiento de la seguridad en las empresas. 15 En la pontificia universidad católica de Perú, facultad de ciencias e ingeniería, en el año 2005, se realizó el ANÁLISIS Y DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN BASADO EN LA NORMA ISO/IEC 27001:2005 PARA UNA EMPRESA DE PRODUCCIÓN Y COMERCIALIZACIÓN DE PRODUCTOS DE CONSUMO MASIVO. Este proyecto se diseñó para el caso de una empresa del rubro de producción y distribución de alimentos de consumo masivo, este tipo de empresas también tienen la necesidad de proteger la información. Por ejemplo, en unos de sus principales procesos que es el de producción, está implicada información de gran importancia para la empresa, como “recetas” de productos, programación de manufactura, sistemas que se usan, tipos de pruebas de calidad de producto, etc., la cual debe estar resguardada correctamente para evitar que dicha información se pierda o caiga en manos indebidas y así garantizar que se logren los objetivos del negocio. Esta tesis tomó en cuenta los aspectos más importantes de la norma ISO/IEC 27001:2005. (Espinoza, 2013) En España se realizó un master interuniversitario en seguridad de las tecnologías de la información y las comunicaciones entre las universidades: Universitat Oberta de Catalunya, Universidat Autonoma de Barcelona, Universitat Rovira I Virgili y Universitat De Iiles Balears, llamado PLAN DE IMPLEMENTACIÓN DE LA NORMA ISO/IEC 27001:2005 en Junio de 2013. Este documento presenta de manera práctica la construcción de un plan de implementación de la norma ISO/IEC 27001:2005, lo cual es considerado un aspecto clave para cualquier organización que desee alinear los objetivos del negocio y sus directrices de seguridad en relación a la normativa internacional. Plantea las bases para la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI) desarrollando las fases de documentación normativa, contextualización de la compañía y definición de la situación actual, análisis de riesgos, evaluación de nivel de cumplimiento de la norma, propuesta de proyectos que permitan alcanzar el nivel adecuado de seguridad y el esquema documental. (Aurela & Segovia, 2013) En la revista internacional de la ingeniería y la tecnología (IJET), en el año 2012, se publicó un artículo llamado INFORMATION SECURITY CHALLENGE AND BREACHES: NOVELTY APPROACH ON MEASURING ISO 27001 READINESS LEVEL, este traducido al español es: Retos y brechas de la seguridad de la información: Enfocado a el nivel de preparación para la 16 norma ISO 27000. Este artículo está orientado al cumplimiento de las normas de seguridad de la información, da recomendaciones para asegurar toda la información, pues la seguridad de la información no es sólo una simple cuestión de tener los nombres de usuario y contraseñas. En realidad la seguridad de la información se convierte en una parte muy importante de los activos intangibles de la organización. El nivel de confianza de las partes interesadas es el indicador de desempeño exitoso de la organización. En este trabajo se discutieron los retos y las brechas en seguridad de la información, con referencia a varias encuestas en el campo de la seguridad de la información, lo que los llevó a entregar un modelo (llamado modelo solución integrada, modelo i-solución) para la comprensión de las normas de gestión de seguridad de la información (SGSI) término y concepto. En este artículo también se describe la implementación una aplicación para evaluar el nivel de preparación de una organización hacia la norma de seguridad de la información, ISO 27001. (Susanto, Nabil & Chee, 2012) Figura 5. I Solution modeling Fuente: Susanto Heru, Nabil Mohammad y Chee Yong. (Enero 2012). Information security challenge and breaches: novelty approach on measuring ISO 27001 readiness level. Revista internacional de la ingeniería y la tecnología (IJET) 17 3.4. MARCO LEGAL 3.4.1. Reglamentación a nivel internacional - A continuación se da una breve descripción sobre ISO/IEC 27000, estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). La reglamentación ISO 27000 contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los sistemas de Gestión de la Seguridad de la Información (SGSI). Estos documentos se encuentran en continuo desarrollo y algunos aún en fase de preparación, compuesta así: o ISO/IEC 27000: Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman. o ISO/IEC 27001: “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Esta norma agrupa los requerimientos de implantación de un SGSI, esta norma es certificable por entidades externas a la organización. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799). La ISO 2700:2013 Es la versión más actualizada de esta norma, en este proyecto trabajaremos con esta con el objeto de responder en todo momento a las necesidades y exigencias actuales. o ISO/IEC 27002: Este documento es una guía de buenas prácticas para la gestión de seguridad la cual describe los objetivos de control y controles recomendables, se encuentra organizado en 11 dominios, 39 objetivos de control y 133 controles. o ISO/IEC 27003: Corresponde a una guía de implementación de un SGSI e Información acerca del uso del ciclo Deming (PDCA). Su propósito principal es 18 orientar hacia una implementación efectiva del modelo de seguridad que se encuentre acorde con ISO/IEC 27001. ATENTO SA actualmente no se encuentra certificada en ningún estándar de seguridad publicado por la Organización Internacional para la Estandarización (ISO), con este proyecto se identificaron los riesgos a los que están sometidos los activos y/o elementos de trabajo en el área de tecnología y entregar un modelo de cumplimiento de los principios básicos y requisitos mínimos para la protección adecuada de la información enfocados en el modelo normativo ISO/IEC27001:2013 (Anexo A) e ISO/IEC 27002:2013. 3.4.2. Reglamentación a nivel Nacional A continuación se describen algunos reglamentos vigentes a nivel nacional que influyen directa o indirectamente en la seguridad informática de las empresas en Colombia - Ley 527 de 18 de agosto de 1999, sobre Mensajes de Datos, Comercio electrónico y Firma Digital: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. Firma digital: Se entenderá como un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido, vinculado a la clave del iniciador y al texto del mensaje permite determinar que este valor se ha obtenido exclusivamente con la clave del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación. El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquélla incorpora los siguientes atributos: 1. Es única a la persona que la usa. 2. Es susceptible de ser verificada. 3. Está bajo el control exclusivo de la persona que la usa. 19 4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada. 5. Está conforme a las reglamentaciones adoptadas por el Gobierno Nacional. - Ley 1273 de 5 de enero de 2009 La ley 1273 del 5 de enero de 2009, fue creada para sancionar todos aquellos delitos que van en contra del buen uso de la información y aquellos que irrumpen con la propiedad privada, la idea de esta ley fue proteger a todas aquellas personas que cuentan con algún tipo de información financiera y personal. De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos se encuentran: 1. Acceso abusivo a un sistema informático 2. Obstaculización ilegítima de sistema informático o red de telecomunicación 3. Interceptación de datos informáticos 4. Daño Informático 5. Uso de software malicioso 6. Violación de datos personales 7. Suplantación de sitios web para capturar datos personales. En este sentido, los estándares, las políticas organizacionales, los planes de seguridad y estrategias de seguridad que adopten las organizaciones deberán estar acordes a la legislación existente en el país donde pretendan aplicarse para asegurar todos los activos informáticos, sistemas de información y los datos. (Alcaldía Mayor de Bogotá D.C., 2008) 3.5. Metodología Después de realizar la investigación de los métodos posibles para abordar el desarrollo de este proyecto, se identificó que la metodología del Ciclo de Deaming es muy usada en el desarrollo de proyectos universitarios y empresariales, ya que abarca 4 importantes fases para llevar a cabo el cumplimiento de los objetivos de forma sistemática y progresiva, logrando un que el desarrollo del proyecto sea organizado y conciso. 20 Primera etapa, “planificación”. La documentación de esta etapa, se realizó de cierta manera en el inicio de este documento, al plantar la introducción y objetivos para lograr la resolución de la problemática. Segunda etapa, “hacer”. El desarrollo de esta etapa consistió en la elaboración de análisis y la toma de medidas o acciones de acuerdo a los resultados obtenidos. Tercera etapa, verificar. Como parte de esta etapa se realizó el proceso de preproducción, donde se evidencia la implementación de la política y se toman resultados. Cuarta etapa, actuar. En el ámbito de este proyecto el actuar consistió básicamente en la entrega de la política de seguridad al comité de seguridad de Atento SA y se complementaría en el caso de que sea aprobada e implementada. La necesidad de utilizar un método de análisis y tratado de riesgos que permitiera a la investigación ser objetiva hacia el entorno IT, llevo a que en este proyecto se utilizara la metodología de MAGERIT, la cual indica una serie de pautas para realizar los respectivos análisis de riesgos. Esta metodología permitió realizar el desarrollo de este proyecto en las siguientes fases: - Planificación del análisis y gestión de riesgos, establece las consideraciones necesarias para arrancar el proyecto de análisis y gestión de riesgos. Coincide de cierta manera con la etapa 1 de la metodología de Deaming. - Análisis de riesgos, permite identificar y valorar las entidades que intervienen en el riesgo. - Gestión de riesgos, permite identificar las funciones o servicios de salvaguarda reductores del riesgo detectado. - Selección de protección, permite seleccionar los mecanismos de protección que hay que implementar. (MAGUERIT, 2012) 21 4. DISEÑO METODOLOGICO DEL PROYECTO 4.1. Análisis de riesgos: 4.1.1. Selección de parámetros La selección de parámetros se estableció tomando en cuenta lo descrito por la metodología de MAGERIT - Valoración de Activos En la Tabla 1 se muestra el nivel de valor que pueden tomar los activos en la compañía, el cual inicia desde un valor muy bajo hasta un valor muy alto. Este valor fue tomado en relación con el costo de cada valor que fue entregado por la empresa: Tabla 1 Valor Cuantitativo de Activos Valor Cuantitativo de Activos MIN Valor MAX Valor Cualitativo Cuantitativo >160´000.000 - DESCRIPCION Valor Cualitativo MUY ALTO MA 80´000.000 <150´000.000 ALTO A 40´000.000 <80´000.000 MEDIO MA 20´000.000 <40´000.000 BAJO B <20´000.000 Muy Bajo MB Probabilidad de ocurrencia: En la Tabla 2 se muestra la frecuencia con la que una amenaza se puede materializar sobre un activo: 22 Tabla 2: Probabilidad de ocurrencia de un evento Frecuencia (Anualmente) # Años Descripción 1 Extremadamente 1 1 1 # Días Valor Frecuente EF 1 1 Muy Frecuente MF 15 0,06666667 Frecuente F 60 0,01666667 Poco Frecuente PF 183 0,00546448 MPF 365 0,00273973 Muy poco 1 - Abreviatura Frecuente Relación de impacto: En la Tabla 3 se muestra la relación de impacto desde un valor cualitativo hasta un valor cuantitativo: Tabla 3: Relación de impacto RELACION DE IMPACTO Valor Cualitativo Valor Abreviatura Cuantitativo Critico C (80% - 100%] Alto A (60% - 80%] Medio M (30% - 60%] Bajo B [5% - 30%] - Dimensiones de Seguridad: En la siguiente tabla - Tabla 4 se muestran 3 dimensiones generales de seguridad de la información (C, I, D) y 2 dimensiones que agrega el modelo de MAGERIT (A, T): 23 Tabla 4: Dimensiones de Seguridad Dimensiones Cód. - Dimensión Dimensión A Autenticidad C Confidencialidad I Integridad D Disponibilidad T Trazabilidad Tipos de Activos: En la Tabla 5 se muestran los tipos de activos utilizados en el análisis de riesgos, planteados por el modelo escogido: Tabla 5: Tipos de Activos TIPOS DE ACTIVOS - Cód. Activo Tipo de Activo I Instalaciones H Hardware A Aplicaciones D Datos R Redes S Servicios P Personal Tipos de Amenazas: En la Tabla 6 se muestran los 4 principales grupos de amenazas que pueden afectar los activos de una empresa: 24 Tabla 6: Tipos de Amenazas TIPOS DE AMENAZAS Cód. Amenaza Tipo Amenaza DN Desastres naturales IN De origen industrial EF Errores y fallos no intencionados AI Ataques intencionados 4.1.2. Análisis de Activos En esta etapa se identificaron los activos más relevantes para el desarrollo de actividades en el área de TI. Para cada activo identificado se creó y asigno un código con el fin de referenciarlo en otros análisis. Se asignaron valores cualitativos (dinerarios), los cuales fueron suministrados por los administradores de cada segmento que compone el área de TI; estos valores fueron aproximados y corresponden al valor representativo que tienen para la empresa respecto a su funcionamiento y servicio que prestan. Tenido en cuenta el valor indicado se asignó un valor cualitativo (ver Tabla 2) con el fin de obtener un rango específico. En la Figura 6 se muestra una parte del total de activos identificados y sus respectivos valores, para consultar la información completa ver Anexo 1. Etapa de análisis de riesgos. Tipo de Activo Cod. Activo Instalaciones Hardware I01 H01 H02 H03 H04 H05 H06 H07 H08 H09 H10 H11 H12 H13 H14 H15 H16 H17 H18 Activo Edificacion Controlador de dominio principal Controlador de dominio secundario Servidor de Base de Datos Servidor de correo Granja de Servidores Vmware SAP Servers Switch core Switch MPLS Tranceiver fibra principal Switch Firewal Switch Vlans Servidor Firewall Administración Vmware Servidor Web Servidor Archivos FTP, VPN, Terminal Server Servidor Monitoreo Equipos Servidor Antivirus Valor Cuantitativo (Pesos) 430.000.000 70.000.000 42.000.000 63.000.000 63.000.000 105.000.000 42.000.000 91.000.000 35.000.000 42.000.000 84.000.000 84.000.000 84.000.000 42.000.000 21.000.000 35.000.000 21.000.000 14.000.000 35.000.000 Valor Cualitativo MA M M M M A M A B M M M M M B B B MB B Figura 6. Identificación y valoración de Activos 25 4.1.3. Identificación de Amenazas En esta etapa se clasificaron las amenazas en 4 grupos principales (ver Tabla 7) de acuerdo al enfoque metodológico de MAGERIT, este método cuenta con un libro adicional (Catalogo de Elementos) donde describe los diferentes tipos de amenazas que pueden ser aplicados de acuerdo al tipo de activo que se esté analizando. Al igual que en la etapa anterior, a las amenazas se les asigno un código identificador y se definieron cuales amenazas son las que afectan a las 5 dimensiones de seguridad (ver Tabla 5) y cuales afectan los 7 tipos de activos (ver Tabla 6). En la Figura 8 se pueden observar 2 de los grupos de amenazas y las amenazas que conforman cada grupo. Para consultar la información completa ver Anexo 1. Etapa de análisis de riesgos. Grupo Desastres naturales De Origen Industrial Cod. Amenaza DN01 DN02 DN03 IN01 IN02 IN03 IN04 IN05 IN06 IN07 IN08 IN09 IN10 IN11 Dimension Afectada A C I D T Fuego x Daños por agua x Otros desastres Naturales x Fuego x Daños por agua x Contaminacion Mecanica x Contaminación electromagnética x Avería de origen físico o lógico x Corte del suministro eléctrico x Condiciones inadecuadas de temperatura o humedad x Fallo de servicios de comunicaciones x Interrupción de otros servicios y suministros esenciales x Degradación de los soportes de almacenamiento de la información x Emanaciones electromagnéticas x Amenaza Activos Afectados por Grupo I H A D R S P x x x x x x x x x x x x x x x x x x x x x Figura 7. Identificación de Amenazas 4.1.4. Análisis de Amenazas: En esta etapa se relacionaron los activos con las amenazas, a cada activo se asociaron las amenazas que podrían generar de alguna manera un riesgo, también se estableció la frecuencia con que cada amenaza puede materializarse en un determinado activo (ver Tabla 3) y se determinó el impacto que puede causar sobre las diferentes dimensiones de seguridad. 26 En la Figura 10 se puede observar una pequeña parte de análisis, se muestra el código de activo H01, el cual corresponde al grupo de tipo Hardware, para este activo se asociaron 23 amenazas, la frecuencia y el impacto sobre cada dimensión. Para consultar la información completa ver Anexo 1. Etapa de análisis de riesgos. Cod. Activo H01 Activo Cod. Amenaza Controlador de dominio principal DN01 DN02 DN03 IN01 IN02 IN03 IN04 IN05 IN06 IN07 IN11 EF02 EF15 EF16 EF17 AI06 AI07 AI11 AI15 AI23 AI24 AI19 AI20 AMENAZA Fuego Daños por agua Otros desastres Naturales Fuego Daños por agua Contaminacion Mecanica Contaminación electromagnética Avería de origen físico o lógico Corte del suministro eléctrico Condiciones inadecuadas de temperatura o humedad Emanaciones electromagnéticas Errores del administrador Errores de mantenimiento / actualización de equipos (hardware) Caída del sistema por agotamiento de recursos Pérdida de equipos Abuso de privilegios de acceso Uso no previsto Acceso no autorizado Modificación deliberada de la información Manipulación de los equipos Denegación de servicio Robo Ataque destructivo Frecuencia Frecuencia Valor Valor Cualitativo Cuantitativo MPF MPF MPF MPF MPF MPF MPF MPF MPF MPF MPF MPF F PF PF PF MPF MPF MPF PF MPF PF MPF 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,002739 0,016666 0,0054644 0,0054644 0,0054644 0,002739 0,002739 0,002739 0,0054644 0,002739 0,0054644 0,002739 Impacto sobre cada A C I D 90% 80% 80% 90% 80% 70% 50% 60% 60% 60% 50% 60% 60% 60% 60% 80% 80% 80% 80% 60% 70% 60% 60% 60% 80% 60% 70% 60% 60% 70% 80% 80% 80% T IMPACTO POTENCIAL (Pesos) 1059993 942216 942216 1059993 942216 824439 588885 706662 706662 706662 588885 706662 4299828 1879753,6 1879753,6 1879753,6 706662 942216 824439 1409815,2 824439 1879753,6 942216 Figura 8. Análisis de Amenazas 4.1.5. Impacto Potencial En esta etapa se realizó el cálculo del impacto potencial, el cual se realizó teniendo en cuenta el valor cuantitativo de los activos, la probabilidad de ocurrencia (Frecuencia) y el impacto con mayor porcentaje de las 5 dimensiones de seguridad, se realizó el producto entre estos valores, obteniendo como resultado un valor numérico que indica el costo que puede generar la materialización de las amenazas anteriormente analizadas para la empresa. En la figura 8 se puede evidenciar un ejemplo del análisis. 4.1.6. Riesgo Residual 27 En esta etapa se realiza la identificación de los tipos de protección que se pueden aplicar de acuerdo al método MAGERIT, frente a cada amenaza identificada, se buscó un método de protección que permita contrarrestar el impacto potencial. Teniendo definidos los métodos de protección se estima el porcentaje de efectividad que puede tener frente a cada evento. La tabla completa se pude consultar en el Anexo 1 Etapa de análisis de riesgos. Para el cálculo del riesgo residual, como no cambiaron los activos, solo cambio la magnitud de degradación, la cual está dada por la proporción que resta entre la efectividad ideal (100%) y la efectividad estimada para cada tipo de protección, se realizó el análisis con estos nuevos valores. En la Figura 9 se muestra una pequeña parte del análisis realizado mostrando como resultado final el riego residual para los activos del área de TI en la empresa Atento SA. Para consultar el análisis completo ver Anexo 1 Etapa análisis de riesgos . 28 Cod. Amenaza DN01 DN02 DN03 IN01 IN02 IN03 IN04 IN05 IN06 IN07 IN11 EF02 EF15 EF16 EF17 AI06 AI07 AI11 AMENAZA Fuego Daños por agua Otros desastres Naturales Fuego Daños por agua Contaminacion Mecanica Contaminación electromagnética Avería de origen físico o lógico Corte del suministro eléctrico Condiciones inadecuadas de temperatura o humedad Emanaciones electromagnéticas Errores del administrador Errores de mantenimiento / actualización de equipos (hardware) Caída del sistema por agotamiento de recursos Pérdida de equipos Abuso de privilegios de acceso Uso no previsto AI23 Acceso no autorizado Modificación deliberada de la información Manipulación de los equipos AI24 Denegación de servicio AI19 AI20 Robo Ataque destructivo AI15 IMPACTO PROTEGER PROTECCION SUGERIDA REDUCCION RIESGO RESIDUAL POTENCIAL ? PARA MITIGAR EL RIESGO DEL RIESGO (Pesos) (Pesos) Sistema de supresión y protección contra 1059993 SI incendios 70% 317997,9 942216 SI Detectores de humedad 60% 376886,4 942216 SI 1059993 SI 942216 SI pólizas de seguro Sistema de supresión y protección contra incendios Detectores de humedad 40% 565329,6 70% 60% 317997,9 376886,4 824439 NO No es requerida 0% 824439 588885 NO No es requerida 0% 588885 706662 NO No es requerida 0% 706662 706662 NO No es requerida 0% 706662 706662 NO No es requerida 0% 706662 588885 NO No es requerida 0% 588885 706662 NO No es requerida Procedimientos y contratos de mantenimiento preventivo 0% 706662 70% 1289948,4 70% 563926,08 70% 563926,08 70% 0% 563926,08 706662 70% 282664,8 0% 824439 70% 422944,56 0% 824439 60% 40% 751901,44 565329,6 4299828 SI 1879753,6 SI 1879753,6 SI 1879753,6 SI 706662 NO 942216 SI 824439 NO 1409815,2 SI 824439 NO 1879753,6 SI 942216 SI Sistema de monitoreo y alertas tempranas Control de acceso fisico y pólizas de seguro Sistema de monitoreo y alertas tempranas No es requerida Video vigilancia y tarjetas de proximidad No es requerida Sistema de monitoreo de integridad (HIDS) No es requerida Controles de acceso fisico y pólizas de seguro pólizas de seguro Figura 9. Riesgo Residual 4.2. Gestión de riesgos 29 Dado que ya se identificaron los riesgos residuales a los que está expuesta la empresa Atento S.A. Se deben plantear los controles que ayuden alcanzar el nivel de seguridad óptimo para la organización, basados en el estándar ISO27002:2013. Los controles fueron seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividad surge la primera decisión acerca de los controles que se deben abordar. 4.2.1. Análisis de los controles ISO/IEC 27002:2013 ISO27001:2013 El estándar especifica en su “Anexo A” el listado completo de cada uno de ellos, agrupándolos en catorce rubros. Para cada uno de ellos define el objetivo y lo describe brevemente. Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente forma: A continuación se enuncian los 14 dominios de seguridad, sus principales objetivos y las acciones más importantes a tomar en la organización: Figura 10. Dominios de control 30 - A.5 Política de seguridad de la información Este grupo está constituido por dos controles: Política para la seguridad de la información Revisión de la política de seguridad Un plan de seguridad metódico, define el “Cómo”, es decir, un nivel detallado, para dar inicio al conjunto de acciones que se deberán cumplir. - A.6 Organización de la seguridad de la información Este segundo grupo de controles abarca cinco de ellos y se subdivide en: Organización Interna: Compromiso de la Dirección, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de interés en temas de seguridad, revisiones independientes. Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a clientes y socios de negocio. Lo más importante a destacar de este grupo es: - Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.). - Derechos y obligaciones de cualquiera de los involucrados. En este grupo de controles, lo ideal es diseñar e implementar una base de datos, que permita de forma amigable, el alta, baja y/o modificación de cualquiera de estos campos. - A.7 Seguridad de los recursos humanos. Este grupo cubre nueve controles y se encuentra subdividido en: 31 Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y condiciones de empleo. Durante el empleo: Administración de responsabilidades, preparación, educación y entrenamiento en seguridad de la información, medidas disciplinarias. Finalización o cambio de empleo: Finalización de responsabilidades, devolución de recursos, revocación de derechos. Se debe partir por la redacción de la documentación necesaria para la contratación de personal y la revocación de sus contratos (por solicitud, cambio o despido). En la misma deberá quedar bien claro las acciones a seguir para los diferentes perfiles de la organización, con base en la responsabilidad de manejo de información que tenga cada puesto. - A.8 Gestión de activos Este grupo cubre diez controles y se encuentra subdividido en: Responsabilidad en los recursos: Identificar activos de la organización y definir responsabilidades de protección adecuadas. Clasificación de la información: Asegurar que la información reciba un apropiado nivel de seguridad, de acuerdo a la importancia para la empresa. Manejo de los medios de comunicación: Previene divulgación, borrado o destrucción de información almacenada en medios sin autorización. Este grupo define las protecciones adecuadas para cada activo de la organización según su importancia al igual que el manejo de los medios de comunicación. - A.9 Control de accesos El control de acceso es una de las actividades más importantes de la arquitectura de seguridad de un sistema. A medida que va llegando a áreas de mayor criticidad, las medidas de control de acceso deben incrementarse. 32 Este grupo cubre catorce controles y se encuentra subdividido en: Requerimientos del negocio para control de acceso: Debe existir una Política de Control de accesos documentada, periódicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo. Gestión de acceso de usuarios: Tiene como objetivo asegurar el correcto acceso y prevenir el no autorizado y a través de cuatro controles, exige llevar un procedimiento de registro y revocación de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizando periódicas revisiones a intervalos regulares, empleando para todo ello procedimientos formalizados dentro de la organización. Responsabilidades de usuarios: Todo usuario dentro de la organización debe tener documentadas sus obligaciones dentro de la seguridad de la información de la empresa. Independientemente de su jerarquía, siempre tendrá alguna responsabilidad a partir del momento que tenga acceso a la información. Ciertamente existirán diferentes grados de responsabilidad, y proporcionalmente a ello, las obligaciones derivadas de estas funciones. Lo que no puede suceder es que algún usuario las desconozca. Control de acceso sistemas y aplicaciones: El acceso no autorizado a nivel sistema operativo presupone una intrusión. La gran ventaja que posee un administrador, es que las actividades sobre un sistema operativo son mínimas, poco frecuentes sus cambios, por lo tanto se puede identificar rápidamente cuando la actividad es sospechosa, y en definitiva es lo que se propone en este grupo: Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones. 33 En este grupo, los controles están dirigidos a prevenir el acceso no autorizado a la información mantenida en las aplicaciones. Propone redactar, dentro de la política de seguridad, las definiciones adecuadas para el control de acceso a las aplicaciones y a su vez el aislamiento de los sistemas sensibles del resto de la infraestructura. Los cuales no pueden ser accedidos de ninguna forma vía red, sino únicamente estando físicamente en ese lugar. Por lo tanto si se posee alguna aplicación que entre dentro de estas consideraciones, debe ser evaluada la necesidad de mantenerla o no en red con el resto de la infraestructura. - A.10 Criptografía Este grupo cubre dos controles y se encuentra subdividido en: Controles criptográficos: Su objetivo principal es asegurar que sea apropiado y efectivo el uso de controles criptográficos para proteger algunos de los pilares de la seguridad informática; confidencialidad, autenticidad e integridad de la información. Es importante que la organización relacione en su política de seguridad el uso de los controles criptográficos para el control de la información. Además de implementar un periodo de vigencia para las claves criptográficas. - A.11 Seguridad física y ambiental Este grupo cubre quince controles y se encuentra subdividido en: Áreas de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de locales edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga. Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el 34 equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software. La organización de una infraestructura de seguridad de la información, está en plantearla siempre por niveles. Es correcto considerar separadamente el nivel físico con el de enlace, pues presentan vulnerabilidades muy diferentes. Aplicación: Todo tipo de aplicaciones. Transporte: Control de puertos UDP y TCP. Red: Medidas a nivel protocolo IP e ICMP, túneles de nivel 3. Enlace: Medidas de segmentación a nivel direccionamiento MAC, tablas estáticas y fijas en switchs, control de ataques ARP, control de broadcast y multicast a nivel enlace, en el caso WiFi: verificación y control de enlace y puntos de acceso, empleo de túneles de nivel 2, etc. Físico: Instalaciones, locales, seguridad perimetral, CPDs, gabinetes de comunicaciones, control de acceso físico, conductos de comunicaciones, cables, fibras ópticas, radio enlaces, centrales telefónicas. El objetivo primordial de este grupo es evitar la pérdida, el daño, el robo o el compromiso de los activos y la interrupción de las operaciones de la organización. Al igual que los accesos no autorizados sobre las instalaciones e infraestructura de la organización. - A.12 Seguridad en las operaciones Este grupo cubre catorce controles y se encuentra subdividido en: Procedimientos operacionales y responsabilidades: Tiene como objetivo asegurar la correcta y segura operación de la información, comprende cuatro controles. Hace especial hincapié en documentar todos los procedimientos, manteniendo los mismos y 35 disponibles a todos los usuarios que los necesiten, segregando adecuadamente los servicios y las responsabilidades para evitar uso inadecuado de los mismos. Protección del malware: El objetivo de este apartado es la protección de la integridad del software y la información almacenada en los sistemas. La empresa además de confiar su seguridad a un antivirus, debe preparar al personal de administradores y usuarios en cómo proceder ante virus y, por supuesto, realizar procedimientos de recuperación y verificación del buen funcionamiento de lo documentado. Backup: El objetivo de esta apartado es remarcar la necesidad de las copias de respaldo y recuperación. Para asegurar que la organización se encuentre protegida contra las pérdidas de información. La empresa debe incluir en sus procedimientos internos diferentes documentos de reglamentación: Plan de recuperación ante desastres, que determina los pasos a realizar para realizar las acciones de recuperación ante un incidente. Y este debe llevar asociado acciones relativas al inventario sistemático de equipos, las pólizas de seguro y garantías de los mismos y un listado de números de emergencias y similares. Registro y seguimiento: El objeto de este apartado es registrar eventos y generar pruebas. La organización debe enfocarse únicamente en los eventos críticos que impactan la confidencialidad, integridad y disponibilidad de su información confidencial. Diseñando un proceso efectivo de recolección y análisis de registros de datos, así como el uso de herramientas para revisar los registros de auditoria en busca de eventos críticos tales como: o Acceso individual a datos sensibles. o Todas las acciones tomadas por cuentas privilegiadas. o Acceso a los datos y funciones de la pista de auditoria. o Intentos inválidos de accesos lógicos. o Todas las acciones de identificación y autenticación. o Creación y eliminación de objetos a nivel del sistema. 36 Control operacional del software: El objeto del control operacional es identificar aquellas operaciones y actividades sobre las que es necesario aplicar medidas de control, como consecuencia de su influencia en los riesgos identificados, y de esta forma planificar tales actividades para que se desarrollen bajo condiciones especificadas. Gestión técnica de vulnerabilidades: El objeto de este apartado compuesto por dos controles es gestionar las vulnerabilidades técnicas. La organización deberá implantar una gestión de la vulnerabilidad técnica siguiendo un método efectivo, sistemático y cíclico, con la toma de medidas que confirmen su efectividad. Se deberían considerar sistemas operativos, así como todas las aplicaciones que se encuentren en uso. Sistemas de información auditables: el objeto de este apartado es minimizar el impacto de las actividades de auditoría en los sistemas operativos. La organización deberá evaluar el posible impacto operativo de los cambios previstos a sistemas y equipamiento y verificar su correcta implementación, asignando las responsabilidades correspondientes y administrando los medios técnicos necesarios para permitir la segregación de los ambientes y responsabilidades en el procesamiento. - A.13 Seguridad en las comunicaciones Este grupo cubre siete controles y se encuentra subdividido en: Gestión de la seguridad de red: Realizar el monitoreo de las actividades en la red, para verificar el correcto funcionamiento de toda la infraestructura que la conforma y controlar los recursos que esta ofrece a los usuarios Transferencia de información: Requisitos y actividades de verificación de los sistemas operativos de auditoría deben estar cuidadosamente planificados y estipulados para reducir al mínimo las interrupciones de los procesos de negocio. 37 El objetivo de esta apartado conceptualmente es muy similar al anterior, comprende un solo control que remarca la necesidad de las copias de respaldo y recuperación. - A.14 Adquisición, desarrollo y mantenimiento de sistemas Este grupo de controles abarca trece de ellos y se subdivide en: Requisitos de seguridad en los sistemas de información: El objeto de este apartado es garantizar que la seguridad es parte integral de los sistemas de información. La organización debe diseñar e implantar los sistemas de información que sustentan los procesos de negocio que pueden ser cruciales para la seguridad. Seguridad en los procesos de desarrollo y soporte: Este apartado tiene como objeto Mantener la seguridad del software del sistema de aplicaciones y la información. Es importante que la organización pueda garantizar que todas las propuestas de cambio en los sistemas sean revisadas y verificar que no comprometen la seguridad del sistema o del entorno operativo. Datos de prueba: Se deberían seleccionar, proteger y controlar cuidadosamente los datos utilizados para las pruebas. - A.15 Relaciones con proveedores Este grupo de controles abarca 5 de ellos y se subdivide en: Seguridad de la información en relación con los proveedores: El objeto de este apartado es proteger los activos de la organización a los que tienen acceso terceros. Los acuerdos con terceras partes que implican el acceso, proceso, comunicación o gestión de la información de la organización o de las instalaciones de procesamiento de información o la adición de productos o servicios a las instalaciones, deben cubrir todos los requisitos de seguridad relevantes. 38 Gestión de la prestación de servicios de proveedores: Para llevar a cabo este control, la organización debe garantizar que los controles de seguridad, definiciones de servicio y niveles de entrega incluidos en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa. - A.16 Gestión de incidentes de la seguridad de la información Este grupo de controles abarca 7 de ellos y se subdivide en Gestión de incidentes de seguridad de la información y mejoras: El objeto de este apartado es garantizar que se aplique un enfoque consistente y eficaz para la gestión de los incidentes en la seguridad de información. La organización deberá establecer las responsabilidades y procedimientos para manejar los eventos y debilidades en la seguridad de información de una manera efectiva y una vez que hayan sido comunicados. Además se deberá aplicar un proceso de mejora continua en respuesta para monitorear, evaluar y gestionar en su totalidad los incidentes en la seguridad de información. - A.17 Aspectos de la seguridad de la información dentro de la continuidad del negocio El objeto de este grupo de controles que abarca 4 de ellos es reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a desastres o grandes fallos de los sistemas de información, se subdivide en: Continuidad de la seguridad de la información: El objeto de este apartado es identificar los eventos que puedan causar interrupciones a los procesos de negocio 39 junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de información. Redundancia: El control establecido para este apartado consiste en desarrollar e implantar planes de mantenimiento o recuperación de las operaciones del negocio para asegurar la disponibilidad de la información en el grado y en las escalas de tiempo requeridos, suficiente para satisfacer los requisitos de disponibilidad. Este proceso debería identificar los procesos críticos de negocio e integrar los requisitos de gestión de la seguridad de información para la continuidad del negocio con otros requisitos de continuidad como operaciones, proveedores de personal, materiales, transporte e instalaciones. - A.18 Conformidad Este grupo de controles abarca 6 de ellos y se subdivide en Conformidad con requerimientos contractuales y legales: El objeto de este apartado esta en evitar incumplimientos a requisitos relacionados con la seguridad de la información de cualquier tipo especialmente a las obligaciones legales, estatutarias, normativas o contractuales. Revisiones de seguridad de información: El objeto de este apartado es garantizar que se implemente y opere la seguridad de la información de acuerdo a las políticas y procedimientos organizacionales. La organización deberá revisar el enfoque de la organización para la implementación y gestión de la seguridad de la información. 4.2.2. Evaluación de estado actual Para determinar el estado actual de la organización se analizó con el equipo de trabajo los controles actuales con los que cuenta la compañía, comparándolos con los controles que indica la 40 norma. El análisis de brecha consiste en identificar los controles que son requeridos y los procedimientos que deben ser desarrollados por las actividades y operaciones de la organización, para acceder a la certificación ISO/IEC 27001:2013. El análisis evidencia la capacidad de seguridad de la información actual y el grado en que la seguridad de información de gestión de seguridad se ha implementado. En la Tabla 7 se relaciona el encabezado del documento análisis de brechas (Anexo 2. Gestión del riesgo) y la descripción del contenido de cada columna, como las convenciones que se usaron. Tabla 7: Análisis de brecha Item ISO 27001 Control Estado Situación Actual ID Brecha Brechas identificadas Se relaciona el En esta -Parcialmente Se describe la R: Indica que Se describe Item del columna se implementado: situación actual el control es las acciones estándar ISO describen Los Se ha tomado de la requisito para que no se 27001 al que controles que alguna acción organización lograr obtener han tomado equivale el fueron para el frente a este la certificación. de acuerdo a control seleccionados control, pero control. C: Son la de acuerdo a no cumple con controles que comparación los lo estipulado se deben entre el requerimientos en la norma. implementar. control y el identificados -Inexistente: A cada letra se estado actual por la No se ha le asigna un de la valoración del tomado número con el organización. riesgo. ninguna fin de acción identificarlas posteriormente. Consultar anexo 2. Gestión del riesgo 41 4.2.3. Declaración de aplicabilidad La declaración de aplicabilidad consiste en determinar que controles de los estipulados en la norma ISO/IEC27001:2013 son aplicables a las brechas identificadas en la etapa de “evaluación actual. A cada brecha se le asignó una acción/control, estas acciones se clasificaron así: - Mano de obra: Asignar responsabilidades área Datacenter. - Máquwinas: Actualizaciones u operaciones a realizar en las maquinas. - Medición: Seguimiento medición y análisis - Contractuales: Análisis de requisitos y documentos legales - Método: Acciones que se debe implementar o definir Las acciones a tomar se definieron de acuerdo a la descripción que se realizó en el numeral anterior 11.1. Generalidades, donde se describen las acciones más importantes a tomar en una empresa de acuerdo a la norma. Ver anexo 2. Gestión del riego Tabla 8 Nivel de cumplimiento ISO27001 Nivel de Cumplimiento 25 Control Políticas de Seguridad Organización de la Información Seguridad de la Seguridad de los Recursos Humanos Gestión de Activos de Seguridad de la Información Control de accesos (aplicaciones) Criptografía Seguridad física y del entorno Seguridad de las operaciones Estado de madurez Inicial 2 Inexistente 58 Parcialmente implementado 20 Inicial 11 5 62 39 Inexistente Inexistente Definido Inicial Parcialmente implementado Parcialmente implementado Parcialmente implementado Seguridad en las comunicaciones 59 Adquisición, desarrollo y mantenimiento de sistemas 50 Relaciones con los proveedores 40 Gestión de incidentes de seguridad de la información 21 Inicial 42 Aspectos de la SI de la gestión de continuidad de negocio Cumplimiento 80 Manejado 5 Inexistente Figura 11: Nivel de cumplimiento ISO27001 43 5. PLAN DE ACCIÓN Este capítulo trata de cómo llevar a cabo la implementación del modelo de seguridad planteado en este documento. Cabe aclarar que el análisis y la gestión de riesgos, son la parte esencial del proceso de seguridad de cualquier empresa y deben permanecer permanentemente actualizados. 5.1. Cierre brechas A continuación se enuncian en resumen las acciones que debe realizar la empresa para dar cierre a las brechas, las cuales han sido mencionadas en el ítem referente a la declaración de aplicabilidad, (Anexo 2. Gestión del riesgo) - Aplicación y gestión de medidas de protección adecuadas para preservar la integridad, confidencialidad y disponibilidad de la información. - Acuerdos contractuales: Se establecerán acuerdos con terceros en lo relacionado con: acuerdos de niveles de servicio, periodicidad de mantenimiento de equipos, adquisición de pólizas de seguro para la protección frente a desastres naturales y de origen industrial, personal de contacto, conexión de equipos de monitoreo y alarmas con las centrales locales (bomberos, policía, etc.). - Procedimientos: Se diseñaran los procedimientos de: reporte y atención de incidentes, gestión de cambios y mantenimientos, registro de eventos, entrenamiento, configuración de equipos, métricas, prueba de equipos/escenarios y evaluación de proveedores. - Ejecución de trabajos: En esta etapa se realizaran los trabajos de instalación y configuración de equipos. - Pruebas: Se diseñaran escenarios de pruebas que se ejecutaran para verificar que se haya dado solución a la brecha - Capacitación: Se realizará el entrenamiento respectivo a los responsables de la administración y monitoreo. - Promover: Promover la seguridad de la información dentro de la cultura organizacional 44 Con el fin de dar cumplimiento a las pautas mencionadas anteriormente se diseñó un cronograma de actividades con fechas tentativas, en donde cada acción tiene asignado un responsable que a su vez tiene asignadas dos fechas, una fecha inicial para dar inicio a la solución de la brecha y una fecha final en la que se espera se dé solución a esta. Consultar Anexo 2. Gestión del riesgo. 5.2. Plan de trabajo certificación A continuación se presentan los proyectos propuestos para el Plan de Acción, especificando el ámbito de ejecución (Proyecto de gestión y/o técnico), así como la asociación con los riesgos que se verían mitigados. Figura Plan de Trabajo - P0 – Análisis de Riesgos: Esté se llevó a cabo en este proyecto y su proceso se describe en este documento - P1 – Aprobar, establecer y difundir el Cuerpo Normativo de SI: En este proyecto se diseñó una política de seguridad, con el fin de mitigar los riesgos, que debe ser aprobada por el comité directivo de la compañía. - P2 – Clasificación de la información de la compañía en base a la normativa establecida: En este proyecto se realizó un análisis de brechas el cual compara la situación actual de la empresa con el estándar ISO/IEC/27001:2013 45 - P3 - Consolidación del proceso de altas, bajas y cambios de Contratistas: Este consiste en realizar acuerdos de servicio con los terceros que prestan servicios a la compañía y de tal forma determina si es viable continuar trabajando con estos. - P4 - Guía de homologación de terceros: Los terceros son una extensión de la empresa, en ese sentido la homologación es una manera de lograr que ellos reflejen los valores, compromiso y un estándar en el servicio con la empresa Atento SA. - P5 - Gestión de identidad y acceso: Este consiste en estandarizar la gestión del acceso a través de varias plataformas para usuarios, dispositivos, aplicaciones y procesos empresariales, así como puntos de seguridad física como lectores de identificadores, tarjetas inteligentes y biométrica. - P6 - Revisión técnica de vulnerabilidades de sistemas: Este consiste en hacer un seguimiento constante de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automáticas. Evalúa la relevancia y criticidad o urgencia de los parches en el entorno tecnológico. Actualización de versiones de sistemas para que los equipos no queden fuera de soporte por el fabricante. - P7 – Seguridad de dispositivos portátiles: Este radica en actualizar los navegadores instalar software de seguridad necesarios y mantener los equipos actualizados, en general verificar que las políticas se cumplan. - P8 - Formación, concienciación, sensibilización en SI: Este promueve la seguridad de la información dentro de cultura organizacional. En la Tabla 9 cronograma a un año, permite entender de manera más sencilla y visual la planificación planteada para los mismos. Tabla 9 Cronograma de ejecución Tiempo de ejecución (meses) Proyecto M1 M2 M3 M4 M5 M6 M7 M8 M9 M10 M11 M12 P0 – Análisis de Riesgos P1 – Clasificación de la información de la compañía en base a la normativa establecida P2 – Aprobar, establecer y difundir el Cuerpo Normativo 46 de SI P3 - Consolidación del proceso de altas, bajas y cambios de Contratistas P4 - Guía de homologación de terceros P5 - Gestión de identidad y acceso P6 - Revisión técnica de vulnerabilidades de sistemas P7 – Seguridad de dispositivos portátiles P8 - Formación , concienciación, sensibilización en SI Para llevar a cabo este plan de acción se requiere definir el rol responsable de seguridad de la información (planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información). 5.3. Política de seguridad para los sistemas de información de Atento SA Como parte del plan de acción se crea una política de seguridad para los sistemas de información del Datacenter de la empresa, está orientada a cumplir con los controles de seguridad mencionados en este documento. Con el fin de llevar a cabo la implementación, se entrega modelo de la política al comité de seguridad para su respectiva revisión y aprobación. Anexo 3. Política de seguridad Atento. 5.3.1. Objetivo La política de seguridad informática tiene por objeto establecer las medidas de tipo técnico y organizacional, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)), las cuales se aplican a todos los usuarios de cómputo de las empresas. Esta política se requiere proteger los activos de información de todas las amenazas internas o externas bien sean intencionales o accidentales, tiene como fin asegurar los pilares de la seguridad informática (Confidencialidad, integridad y disponibilidad). 47 5.3.2. Requerimientos organizacionales: Se designará un responsable de Seguridad de la información de Atento SA. Esta persona garantizara la seguridad de los distintos sistemas informáticos y de las redes de telecomunicaciones soportadas por Atento SA., tendrá el compromiso de prevenir la ocurrencia de acciones inapropiadas o comportamientos ilegales de los distintos usuarios que utilizan los recursos informáticos, así como los usuarios externos que acceden a éstos recursos. Toda documentación acerca de las políticas de seguridad de la información deberá ser aprobada por el respectivo Comité de Seguridad y por el Director País de Atento SA y comunicada a todos los usuarios de la organización a través de los diferentes canales de comunicación que posee. 5.3.3. Comunicación: A continuación se describe el modelo de difusión, en caso de que la política sea aprobada por el comité: - Publicación en la intranet de la empresa. Responsable Administrador de Servidores - Envió de comunicados internos por medio del correo electrónico corporativo. Responsable Recursos Humanos - Notificación de existencia de la política por medio del fondo de pantalla de los equipos de trabajo. Responsable Centro de Computo - Publicación de la política en carteleras ubicadas en lugares estratégicos dentro de la empresa. Responsable Recursos Humanos. - Capacitación por medio de charlas en reuniones con los diferentes grupos o áreas de trabajo. Los anteriores puntos se deben cumplir a cabalidad inmediatamente aprobada la política de seguridad. De la buena difusión y concientización de los empleados, depende el éxito de implementación de la política y el aumento en la seguridad de la empresa. Para consultar la política planteada, remitirse al Anexo 3. Política de seguridad Atento. 48 5.4. Diseño de la infraestructura lógica de interconectividad Para la empresa Atento es muy importante contar con una infraestructura lógica de interconectividad que sea confiable y segura, esto debido a que los servicios que presta, dependen directamente del funcionamiento de la red a nivel de datos y voz, son múltiples servicios que los usuarios finales requieren a cada instante (consulta de BD., consulta de archivos operativos, acceso a aplicaciones, consulta de intranet, entrada y salida de llamadas), por ende se realizó un modelo que define pautas para llevar a cabo la implementación de nuevos sistemas de información. En esta sección se desarrolló el ámbito de la seguridad lógica con las características y requerimientos tecnológicos que deben ser aplicados, con el fin de garantizar la seguridad de la red en la empresa. 5.4.1. Seguridad Lógica: El medio de transporte físico de los datos es un aspecto importante a tener en cuenta para la seguridad de los mismos, existen dos tipos de canales de transporte de información (Cable y Wireless), los cuales son usados en la empresa para la prestación de sus servicios. - Cable: En ámbito LAN, el cableado debe acogerse al estándar UTP CAT5 y CAT6 Estructurado, tomando como medida principal el no permitir la conexión a una distancia mayor de 100 metros entre hosts - Wireless: El uso de este canal de transporte se debe realizar dentro de los límites de la edificación donde se encuentra ubicado el punto de acceso, se debe restringir el acceso por medio del identificador MAC para cada cliente, no se debe dejar la configuración del AP sin ningún tipo de cifrado puesto que cualquier persona con alcance a la red tendría la posibilidad de acceder. 5.4.2. Topología de Red Segura: Una topología de red segura se basa en el concepto de seguridad perimetral, el cual hace referencia a la implementación de barreras de defensa ante el exterior. El elemento principal de esta primera defensa es el Firewall que es básicamente una herramienta para delimitar una red, es capaz de actuar con base a unas políticas de seguridad establecidas. La capacidad de realizar ciertas acciones depende del fabricante, sin embargo la razón de uso y el 49 motivo por el cual es muy importante es que puede filtrar el tráfico de red en función del origen, desino, tipo de tráfico, autenticar usuarios, establecer VPN, entre otros. Para conseguir una topología de red segura deben seguirse las siguientes pautas: 5.4.3. Zonificación Con el fin de conseguir un nivel adecuado de seguridad es obligatorio realizar una correcta zonificación a partir de un Firewall externo. La zonificación de una red tiene por objeto proporcionar una segmentación de los recursos agrupados por distintos niveles de seguridad y de visibilidad externa. Con una correcta zonificación se pretende la protección exhaustiva de los recursos estratégicos de la compañía y establece el filtrado de tráfico entre zonas lo que garantiza la protección frente a ataques internos o errores de explotación. Cada una de las zonas establecidas tiene conexión directa e independiente con el Firewall de forma que se pueda establecer de forma independiente los servicios y trafico permitido. Este tipo de configuración también permite el establecimiento de registros o logs adecuados para la realización de auditorías y estadísticas del tráfico segmentado. Como parte del diseño de interconectividad, para este proyecto se establecieron las siguientes zonas: 5.4.4. Red de Acceso Esta red tiene por objeto unir las redes externas a las redes internas por medio del Firewall. Esta red permite el crecimiento ilimitado de los recursos de comunicaciones (canales y routers) por un lado y Firewall de acceso por el otro. Este tipo de rede es originalmente insegura, es decir, no dispone de elementos anteriores de protección, por lo tanto solo se permite la conexión de Routers, Firewalls o cualquier otro dispositivo que obliga condiciones de seguridad. 5.4.5. Red Desmilitarizada También conocida como DMZ, debe contener únicamente aquellos sistemas que requieran visibilidad externa. Estos sistemas tendrán, por medio del Firewall, habilitada la publicación de servicios al exterior y nunca contendrán datos críticos. Para llevar a cabo esto, el Firewall debe habilitar aquellos servidores que estén configurados sobre esta red, la conexión con algún recurso corporativo que disponga de la información a publicar en el exterior. 50 5.4.6. Red Militarizada Conocida también como MZ, en esta zona se ubican aquellos servidores que requieren un nivel de protección superior, aquí se establecen políticas de acceso, restringiendo incluso el acceso desde las zonas de la red interna. 5.4.7. Red Interna Se establece una red protegida de ataques por el Firewall y separadas de los servidores que ofrecen servicios en internet. Dentro de la red interna deben establecerse nuevas zonas, ya sea a partir de un Firewall o por medio de VLAN. Como parte del diseño se establecen las siguientes zonas internas: - Red de Operación: Esta red es la que contiene todos los puestos de teleoperación y los servidores de uso específico de ellos. Esta red aun estando en la red interna cuenta con un alto grado de inseguridad, puesto que el acceso a esta red está dispuesto para la mayoría del personal de la empresa, la variedad de servicios que se manejan son altos, aumentando la probabilidad de que un atacante pueda ingresar al sistema y pueda generar alguna indisponibilidad del servicio. - Red de Administración: En esta red se configura la conectividad a través de VLAN con todos los elementos de red, desde esta red es donde se administran los equipos de cómputo que prestan servicios internos, esta red contiene los equipos que se encargan de recolectar logs y gestionar alarmas. Es en esta red donde fue ubicado en sistema de monitoreo para los canales de comunicación y servidores de la empresa. - Red Corporativa: En esta zona se sitúan los equipos del personal de estructura de Atento, junto con los servidores de propósito general tales como servidores de dominio, servidores de archivos, servidores de impresión, entre otros. - Red de Contenidos: Se establece una red donde se ubican los servidores que tienen como objeto la entrega de información posterior a una consulta realizada por otro 51 servidor que a su vez entrega los datos al usuario (Bases de Datos, Servicios de datos de internet) 5.4.8. Pautas para la interconectividad de Zonas Con el fin de realizar un modelo seguro de conectividad se establecieron una serie de flujos entre zonas, las cuales permitirán a los administradores de la red otorgar o denegar viabilidades para la implementación de nuevos recursos. Estas pautas también servirán en el momento de realizar auditorías internas, permitiendo realizar un diagnóstico y tomar medias frente a cualquier inconformidad. En la Tabla 10 se muestra los tipos de conexión que puede existir o no de acuerdo a las zonas especificadas anteriormente: Tabla 10 Modelo de conexión entre zonas ORIGEN \ DESTINO RA RA DMZ RC RI MZ SI NO NO NO SI NO NO NO NO DMZ NO RC NO NO RI SI SI NO MZ NO NO NO SI SI Convenciones: RA: Red Acceso (internet, conexión con cliente externo) DMZ: Zona desmilitarizada: RC: Zona de contenidos RI: Redes Internas MZ: Red militarizada En la siguiente figura se representa el esquema de conexiones descrito anteriormente. 52 Figura 12. Diseño esquema de conexiones 5.4.9. Flujo de Datos Gracias a la correcta zonificación de los equipos y servicios pueden establecerse situaciones seguras para los datos que deben ser servidos a usuarios ajenos a la organización. Estos datos deben estar físicamente en servidores ubicados en la red de contenidos. Siguiendo al esquema anterior nadie podrá realizar una conexión directa contra la zona de contenidos por lo que habrá de habilitarse rutas para alcanzar los datos que allí estén disponibles. En la mayoría de los casos la el paso será a través de un servidor web, que según lo establecido debe estar ubicado en la Zona DMZ, quien a través de consultas de Bases de Datos u otros servicios presente al usuario la información requerida. 53 5.4.10. Barreras de Seguridad: Con el fin de aumentar la seguridad la seguridad, es conveniente establecer barreras con dos niveles de Firewall, la primera barrera se denomina como Firewall de Perímetro y la segunda como Firewall Interno. Gracias a este esquema de dos barreras se podrán implementar políticas de seguridad de distinto tipo, con niveles permisivos en los Firewall Externos, permitiendo conexiones a los equipos de la zona publica y otro nivel restrictivo en los internos, permitiendo únicamente las conexiones necesarias hacia el interior de la red, generalmente conexiones desde la zona DMZ a la zona de contenidos. Para esta topología, la DMZ cumple un rol importante en la seguridad, situándose lógicamente como barrera hacia la red interna, esto se logra estableciendo un esquema Multihomed, el cual se configura en modo Firewall Gateway. Este proporciona la conexión entre la red de la empresa y las redes públicas como internet. Figura 13. Esquema Multihomed 54 Cuando se configura un servidor como Firewall, este no pasa paquetes entre las redes que están conectadas a las interfaces de host, sin embargo a un puede proporcionar servicios de TCP/IP estándar como ssh a los usuarios autorizados. De esta manera y salvo que un atacante consiga el control de la maquina no se podrá acceder físicamente a la red interna, excepto las peticiones que hagan los equipos de la DMZ por su interfaz interna hacia la red de contenidos. 5.4.11. Alta Disponibilidad en Firewall: Debido a la gran cantidad de tráfico de red que pasa por el Firewall debe usarse alta disponibilidad para que una incidencia en este equipo no provoque la caída total o parcial de la actividad de la empresa. Como medida adicional se debe permitir el balanceo de carga con el fin de que en un futuro se pueda ampliar la capacidad sin necesidad de adquirir nuevos equipos y de esta forma se ahorre en costos. 5.4.12. VLAN´s: Los esquemas VLAN (red virtual) proporcionan los medios adecuados para solucionar la problemática de la limitación geográfica la cual hace referencia a que los miembros de un determinado grupo deben estar situados adyacentemente por su conexión al mismo concentrador o segmento de la red; esto se hace realizando una agrupación de forma lógica en lugar de física. Con la aplicación de esta solución, los usuarios pueden así, moverse a través de la red manteniendo su pertenencia al grupo de trabajo lógico. Por otro lado al distribuir a los usuarios de un mismo grupo lógico a través de diferentes segmentos se logra como consecuencia directa el incremento del ancho de banda en dicho grupo de usuarios. Sin dejar de lado la seguridad deseada, en cada configuración el administrador debe garantizar que cada VLAN sea privada restringiendo el acceso de una a otra. Se deben aplicar ACL´s con el fin de permitir o denegar el paso de tráfico de un segmento de red a otro, dependiendo de los requerimientos del negocio. Como parte del modelo de conectividad, se establecen los siguientes grupos VLAN, los cuales harán parte de la zona interna de la organización: VLAN Servidores Telefonía VLAN Equipos de teleoperación VLAN Equipos de Estructura VLAN Administrativa VLAN Servidores 55 6. ETAPA DE PREPRODUCCION En este punto se realizó la implementación de una herramienta que permite el monitoreo de enlaces y equipos del Datacenter de la empresa Atento, de acuerdo a la viabilidad dada por la empresa se permitió realizar una etapa experimental con el fin de mostrar lo que se obtendría como resultado al implementar la política de seguridad propuesta. Para esto se propuso implementar una herramienta de monitoreo. Con ello se brindaría un avance tecnológico en el modo de monitoreo y un aumento en la seguridad informática de la empresa. Después de realizar un análisis de las herramientas de monitoreo, donde las principales razones de selección fueron el tipo de licencia, escalabilidad y funcionalidad frente a las necesidades de la empresa, se opta por utilizar la herramienta de monitoreo Nagios. Esta herramienta está bajo la GNU (General Public Licence) Versión 2 publicada por la free software fundation, con la cual se obtiene el permiso legal de copiar, distribuir o modificar Nagios. Por el tipo de licencia que tiene no se asume ningún costo de adquisición, implementación y/o soporte, sin embargo estos procesos deben ser ejecutados por el usuario final, en este caso, el personal de la empresa Atento. Esta herramienta cuenta con la capacidad de soportar el monitoreo de más de 4000 equipos y servicios por lo tanto se ajusta a la demanda que exige la empresa, teniendo en cuenta un posible incremento en los equipos en los próximos. A pesar de que se implementa una herramienta sin costo, con limitaciones de soporte (como cualquier software de tipo Open Source) esta herramienta cuenta con una variante, la cual incluye mejoras de uso y soporte 100%, con un costo significativo de $ 3,495 Dólares. Esta variante esta opcional para la empresa si en un futuro considera que es viable su adquisición. A continuación se describe el proceso llevado a cabo para lograr la implementación de la política de seguridad, en la descripción se enfocan los procesos realizados con el fin de garantizar la seguridad de la herramienta de monitoreo y resaltar las los numerales aplicables de la política de seguridad. 56 6.1. Solicitud de Equipos: Con el fin de dar inicio al proceso de implementación se solicitó al área de Servidores un equipo con las siguientes características, las cuales están dentro de los requerimientos mínimos de configuración de la herramienta: Procesador: 2 x Xeon Dual Core 3.6 GHz Memoria Ram: 4 Gb Disco Duro : 200 Gb Mínimo El área de Servidores nos entregó una maquina virtualizada sobre VMware 5.5 con el respectivo usuario de administración. Teniendo esto se realizó la configuración del servidor sobre el cual, posteriormente se instaló el Sistema Operativo Ubuntu 12.04. 6.2. Proceso de Configuración: El objetivo de esta etapa del proyecto es aplicar los parámetros establecidos en la política de seguridad que se creó anteriormente. Como medidas de seguridad implementadas, se describen a continuación las evidencias tomadas: En la instalación del SO se establece el usuario administrador local (ver Figura 14) con su respectiva contraseña, se realizó la encriptación del directorio donde quedara almacenada la información del usuario (ver Figura 15). 57 Figura 14. Configuración del usuario local Figura 15. Encriptación del directorio de usuario 58 Paso seguido se configuró el direccionamiento IP LAN de forma estática, para este caso se configuro la interfaz eth0 (IP 172.16.1.17) como lo muestra la Figura 16 Figura 16. Configuración IP LAN Estando en este punto se actualizó el SO con los últimos parches de seguridad disponibles. (Ver Figura 15) Figura 17. Configuración IP LAN 2 59 En este punto se tiene el servidor listo para dar inicio a la configuración de la herramienta de monitoreo. Para la implementación de la herramienta fue necesario instalar los paquetes de instalación Nagios CORE, Nagios QL, PNP4NAGIOS. En la instalación de estos paquetes se establece el usuario “nagios” y se asignan los permisos para la visualización vía web (ver figura 18). Este usuario es el que permite la administración de la herramienta, ya sea por medio de la consola o por la interfaz web. Figura 18. Configuración usuario administrador de la herramienta de monitoreo. Finalizado el proceso de instalación de paquetes se ingresa por medio de la interfaz web a la configuración de monitoreo. Allí es donde el administrador de la herramienta (operadores de centro de cómputo) ingresara los equipos que desea monitorear. (Ver Figura 19) 60 Figura 19. Interfaz Web Nagios Continuando se definió y realizó la creación de los usuarios con el rol de invitado, administrador y de monitoreo (ver Figura 20) Figura 20. Configuración de roles para usuarios nuevos Estos roles se definieron de acuerdo a la labor que desempeña cada área de tecnología, para este caso debido a que los responsables de la herramienta son los operadores de centro de cómputo, son ellos los que tendrán un usuario con rol administrador y los demás usuarios cuentan con rol de invitado, en donde a estos se les permitió realizar modificaciones, pero únicamente sobre los recursos propios de cada área. 61 Se habilita la opción para que los usuarios puedan realizar el cambio de contraseña después del primer inicio de sesión en la herramienta. (Ver Figura 21) Figura 21. Cambio de contraseña por los mismos usuarios Como método para garantizar la disponibilidad de la información se realiza un backup de la configuración, cuando esta se modifica. De igual forma esta herramienta archiva los registros de eventos relacionados con los equipos que monitorea, cumpliendo de esta manera con otro numeral de la política de seguridad. Verificación de Seguridad a nivel de red Haciendo uso del esquema de interconectividad realizado en este proyecto se configuran los permisos de acceso de la red origen (Nagios) a las redes destino (Red Teleoperacion, red DMZ, red de Acceso), sin embardo debido a que el diseño no se encuentra implementado de tal forma en Atento, la configuración se realiza con los equipos existentes. Se solicita al área de redes la configuración de las políticas en el Firewal. En la figura 22 se muestra la evidencia de la política configurada para permitir el tráfico de red desde el servidor de monitoreo hacia la red que sería denominada como DMZ Figura 22 Política Firewall de conexión a la DMZ 62 En la figura 23 se muestra la evidencia de otra política la cual permite el tráfico del servidor de monitoreo a la red MZ Figura 23 Política Firewall de conexión hacia la MZ Este servidor es ubicado en la zona interna dentro de la red de administración, por lo tanto, no es necesario realizar configuración de políticas en el Firewall para tener acceso a los equipos pertenecientes a las otras zonas de red, sin embargo este servidor por ser una herramienta de monitoreo se permitió el acceso a las VLAN donde se encuentran servicios que utilizan los usuarios de la empresa. 63 7. RESULTADOS A continuación se describen los resultados obtenidos: 7.1. Etapa análisis de riesgos En la Figura 24 se visualizan 4 grandes grupos de amenazas y la cantidad de amenazas por grupo que afectan cada pilar de la seguridad de la información. Se puede comprobar que la Disponibilidad de la información es la más afectada en los grupos de amenazas, a diferencia del grupo de ataques intencionados, que el pilar que más se afecta es el de la Confidencialidad de la informacion. Figura 24: Dimensiones afectadas por amenazas En la figura 25 se puede visualizar que los impactos que ocurren con MPF (Muy Poca Frecuencia) y con PF (Poca Frecuencia) son los que afectan en mayor medida la disponibilidad de la información, algunos de estos impactos son: Fuego, daños por agua, otros desastres naturales, emanaciones electromagnéticas, etc. También se puede visualizar que los impactos que ocurren con mayor frecuencia (F) como: Errores de mantenimiento / actualización de equipos (hardware), errores de mantenimiento / 64 actualización de programas (software) y errores de los usuarios; afectan pilares como la confiabilidad, la disponibilidad y la integridad de la información. Figura 25: Frecuencia Vs impacto 7.2. Gestión de riesgos En la tabla 11 se muestra el nivel de cumplimiento de la empresa frente a la estándar ISO/IEC27001:2013 y el estado de madurez de los controles que se tienen implementados actualmente. Tabla 11 Nivel de cumplimiento ISO27001 Nivel de Cumplimiento 25 Control Políticas de Seguridad Organización de la Información Seguridad de la Seguridad de los Recursos Humanos Gestión de Activos de Seguridad de la Información Control de accesos (aplicaciones) Estado de madurez Inicial 2 Inexistente 58 Parcialmente implementado 20 Inicial 11 Inexistente 65 Criptografía Seguridad física y del entorno Seguridad de las operaciones 5 62 39 Seguridad en las comunicaciones 59 Adquisición, desarrollo y mantenimiento de sistemas 50 Relaciones con los proveedores 40 Gestión de incidentes de seguridad de la información Aspectos de la SI de la gestión de continuidad de negocio Cumplimiento Inexistente Definido Inicial Parcialmente implementado Parcialmente implementado Parcialmente implementado 21 Inicial 80 Manejado 5 Inexistente Convenciones: Nivel de madurez Inexistente Inicial Parcialmente implementado Definido Manejado Optimizado Escala 0 – 19 20 – 39 40 – 59 60 – 79 80 – 94 95 – 100 El porcentaje de los controles que la empresa tiene definidos y manejados es mínimo en comparación con los que están parcialmente implementados e inexistentes, dejando ver que es necesario implementar un sistema de seguridad de la informacion. Figura 26: Nivel de cumplimiento ISO27001 66 7.3. Gestión de riesgos Gracias a la implementación de los ítem de seguridad propuestos en la política de seguridad se logra establecer una herramienta de monitoreo con un nivel alto de seguridad, los controles aplicados a nivel de software y hardware permitieron obtener un resultado óptimo después de realizar un escaneo de vulnerabilidades. Este reporte indica la cantidad de vulnerabilidades a la que está expuesto un equipo de cómputo. En este caso según la figura 27 se detecta 20 vulnerabilidades de tipo bajo e informativo, es decir que no son significantes o que no generan algún riesgo para la información. Figura 27 Reporte vulnerabilidades 67 8. CONCLUSIONES La recopilación de los valores de los activos aunque no eran precisos, permitió completar el análisis y extraer los resultados donde se evidenciaron los riesgos de seguridad que podrían estar afectando el desempeño del área. El desarrollo de una política de Seguridad en cualquier organización cubre la gran parte de los aspectos que componen un Sistema de Gestión de la Seguridad de la Información. El análisis de riesgos permitió tener una noción real del estado actual de la empresa a nivel de seguridad en el entorno relacionado con el Datacenter. El análisis realizado a partir de la norma ISO/IEC 27001:2013 permitió identificar la necesidad de implementar un plan y una política de seguridad, con el fin de mitigar los riesgos o vulnerabilidades a los que pueda estar expuesta la empresa. Con la implementación de la herramienta de monitoreo, aplicando los controles de seguridad pertinentes y haciendo uso de la zonificación de red establecida se logró evidenciar que es posible mitigar vulnerabilidades de los sistemas, haciendo de estos unos equipos con alto nivel de seguridad. Con el desarrollo de este trabajo se logró el cumplimiento del 100% de los objetivos planteados 68 9. BIBLIOGRAFÍA Alcaldía Mayor de Bogotá D.C. (2008). Secretaría General de la Alcaldía Mayor de Bogotá D.C. Congreso Decreta. Obtenido de http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=31431 Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, L.(2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro II - Catálogo de Elementos. Madrid España: Ministerio de Hacienda y Administraciones Públicas, Secretaría General Técnica, Subdirección General de Información, Documentación y Publicaciones y Centro de Publicaciones. Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, L.(2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I - Método. Madrid España: Ministerio de Hacienda y Administraciones Públicas, Secretaría General Técnica, Subdirección General de Información, Documentación y Publicaciones y Centro de Publicaciones. Mifsud Elvira. (Marzo 2012). Pilares de la Seguridad de la Información: confidencialidad, integridad y disponibilidad. Retrieved from http://blog.firma-e.com/pilares-de-la-seguridad-de-la- informacion-confidencialidad-integridad-y-disponibilidad/ 69 10.REFERENCIAS Aguinaga, E., & Ryan, H. (2013). Análisis y diseño de un sistema de gestión de seguridad de información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y comercialización de productos de consumo masivo. Obtenido de http://tesis.pucp.edu.pe/repositorio//handle/123456789/4957 Aguirre Juan y Aristizabal Catalina. (Agosto, 2013). Diseño del sistema de gestión de seguridad de la información para el grupo empresarial la ofrenda. Proyecto de grado, universidad tecnológica de Pereira. Aurela Jose y Segovia Antonio. (Junio 2013). Plan de implementación de la norma ISO/IEC 27001:2005. Master interuniversitario en seguridad de las tecnologías de la información y las comunicaciones entre las universidades: Universitat Oberta de Catalunya, Universidat Autonoma de Barcelona, Universitat Rovira I Virgili y Universitat De Iiles Balears. blogfirmae. (n.d.). Pilares de la Seguridad de la Información: confidencialidad, integridad y disponibilidad. Obtenido de http://blog.firma-e.com/pilares-de-la-seguridad-de-la-informacionconfidencialidad-integridad-y-disponibilidad/ Córdova Rodríguez, Norma Edith. (Lima, 2003). Plan de seguridad informática para una entidad financiera. Trabajo Monográfico (Lic.)-- Universidad Nacional Mayor de San Marcos. Facultad de Ciencias Matemáticas. Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica, L.(2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I – Método. Madrid España: Ministerio de Hacienda y Administraciones Públicas, Secretaría General Técnica, Subdirección General de Información, Documentación y Publicaciones y Centro de Publicaciones. EAN página institución educativa. [En línea] Consultado Agosto 2015. Disponible en mercadodedinero.com.co. Espinoza Aguinaga y Hans Ryan. (Octubre 2013). Análisis y diseño de un sistema de gestión de seguridad de información basado en la norma ISO/IEC 27001:2005 para una empresa de producción y comercialización de productos de consumo masivo. Tesis de grado facultad de ciencias e ingeniería, pontificia universidad católica del Perú. 70 Introducción a la seguridad informática. (n.d.). Retrieved August 10, 2015, de http://es.ccm.net/contents/622-introduccion-a-la-seguridad-informatica ISO 31000 y los 11 principios de la Gestión de Riesgos. (n.d.). Retrieved August 11, 2015, de http://www.pmnconsultores.com/ISO31000 ISO/IEC27000. (n.d). Organización Internacional para la Estandarización, Gestión de seguridad de la información. Obtenido de http://www.iso.org/iso/home/standards.htm Normas Apa 2015. (n.d.). Obtenido de http://normasapa.net/actualizacion-apa-2015/ Nozaki, M. K., & Tipton, H. F. (2011). Information Security Management Handbook, Sixth Edition. CRC Press. Plan de gestión de riegos. (2013, Diciembre 26). En ISOTOOLS Excellence. Obtenido de https://www.isotools.org/2013/12/26/el-plan-de-gestion-de-riesgos-segun-la-norma-iso-27001/ Sistema de gestión de la seguridad de la información. (2015, June 3). In Wikipedia, la enciclopedia libre. Obtenido de https://es.wikipedia.org/w/index.php?title=Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_ informaci%C3%B3n&oldid=82939765 Susanto Heru, Nabil Mohammad y Chee Yong. (Enero 2012). Information security challenge and breaches: novelty approach on measuring ISO 27001 readiness level. Revista internacional de la ingeniería y la tecnología (IJET) 71
