martes, 11 de marzo de 2014

Proyecto de Grado Seguridad Informatica

INFRAESTRUCTURA TECNOLOGICA

RED
  • Topología   = Estrella y Ring (Mixta)
  • 400 puntos  de red
  • 6 pisos, por cada piso un segmento de red diferente, cada uno con 24 sub mascara de red
  • Bilans  6




SERVIDORES

Servidores  físicos  38  (de estos  16 servidores son nuevos)


Servidores virtuales  50

La mayoria  delos servidores tiene sistema operativo windos 90% y los demas Wmware

Sistemas alojados en los servidores:

Directorio Activo
Antivurus
Controladores de domini
Base de datos,
correo
Backup
Sara,
SOTI sistema talento
Portal
Reporting Service
Ftp
Administrador de almacenamiento
Controladora de Blackberry
Wiki
Servidor de pruebas
Servidor de desarrollo


Establecimiento del SGSI

  • Inicio del Proyecto
    • Asegurar el compromiso de la Dirección.
    • Seleccionar y entrenar a los miembros del equipo inicial que participan en el proyecto.
  • Definición del SGSI
    • Identificación del alcance del SGSI y de la Política de Seguridad del SGSI.
    • Recopilar los documentos de seguridad existentes en la organización.
    • Preparar los procedimientos relacionados con la gestión y la operación del SGSI.
  • Análisis de Riesgos
    • Definición de una metodología para la clasificación de los riesgos.
    • Creación de un inventario de activos.
    • Evaluación de los activos a ser protegidos.
    • Identificación y evaluación de amenazas y vulnerabilidades de los activos.
    • Cálculo del valor de riesgo asociado a cada activo.
  • Gestión de Riesgos
    • Identificar y evaluar alternativas posibles para tratar los riesgos.
    • Seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo a un nivel aceptable.
    • Redactar el documento de declaración de aplicabilidad (documento de selección de controles), que debe ser firmado por Dirección.
    • Identificar los riesgos residuales que han quedado sin cubrir y obtener la firma de Dirección.
    • Preparar el Plan de Tratamiento de Riesgos Preparar procedimientos para implantar los controles.



 BIBLIOGRAFIA

http://www.google.com.co/url?sa=t&rct=j&q=&esrc=s&source=web&cd=10&ved=0CHIQFjAJ&url=http%3A%2F%2Fdialnet.unirioja.es%2Fdescarga%2Farticulo%2F2932218.pdf&ei=npAfU6HYFMbQkQekjICYCA&usg=AFQjCNHBZEPuJcpRYfnEb4Ve-LZHT5s7HQ&sig2=bDHSyrgpiw29eK0epf2_Yw&bvm=bv.62788935,d.eW0


http://www.konradlorenz.edu.co/images/stories/articulos/SGSI.pdf

http://blog.s21sec.com/2007/12/por-qu-un-plan-director-de-seguridad.html

http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Fases_SGSI/

http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Estrategias_de_seguridad_v52.pdf

http://www.unit.org.uy/misc/EVENTO_UNIT_SGSI.pdf
Analisis y evaluacion del riesgo de la información, un caso en la banca
http://www.iso27000.es/download/Evaluacion_Riesgo_iso27001.pdf

la importancia del analisis del riesgo en un sistema de gestión de la seguridad
http://seguridad-de-la-informacion.blogspot.com/2008/10/la-importancia-del-anlisis-del-riesgo.html

lista de apoyo para la implementacion iso 27001
http://blog.iso27001standard.com/es/tag/plan-de-tratamiento-del-riesgo/

Carlos Solís Salazar ( 17 de abril de 2013). Proceso de implantación de un SGSI, adoptando ISO 27001. Recuperado de:
http://www.solis.com.ve/proceso-de-implantacion-de-un-sgsi-adoptando-iso-27001/


Analisis y valoración de los riesgos. Metodologias.Iso 27100. Recuperado de: http://jmpovedar.files.wordpress.com/2011/03/mc3b3dulo-8.pdf




lunes, 10 de marzo de 2014

Metodologías en Riesgo y Control Informatico



LAS METODOLOGÍAS DE ANÁLISIS DEL RIESGO
Es el estudio de las causas de las posibles amenazas y probables eventos no deseados en una organización y los daños o consecuencias que éstas puedan producir.

El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atención.
Objetivo de las metodologías es:
  • Planificación de la reducción de riesgos
  • Planificación de la prevención de accidentes
  • Visualización y detección de las debilidades existentes en los sistemas
  • Ayuda en la toma de las mejores decisiones en materia de seguridad de la información
Las metodologías a estudiar son: Magerit, Octave, DAFP , Mehari y EBIOS. A continuación describiremos cada una de las metodologías.

METODOLOGÍA OCTAVE
Considera los temas organizacionales y técnicos.
No se centra solo en la típica consultoría focalizada en la tecnología, su objetivo es el riesgo organizacional y el foco son los temas relativos a la estrategia y a la práctica.
Tiene en cuenta riesgos operativos y prácticas de seguridad y tecnología. El método fue desarrollado teniendo en cuenta grandes organizaciones de 300 o más empleados. El  método aprovecha el conocimiento de múltiples niveles de la organización, centrándose en:
  • Identificar los elementos críticos y las amenazas a esos activos.
  • La identificación de las vulnerabilidades, tanto organizativas y tecnológicas, que exponen a las amenazas, creando un riesgo a la organización.
  •  El desarrollo de una estrategia basada en la protección de prácticas y planes de mitigación de riesgos para apoyar la misión de la organización y las prioridades. Principales elementos de Octave
·         Medidas de probabilidad considerando un rango de frecuencias.
·         Análisis del límite entre niveles de probabilidad.

Fase de desarrollo de Octave

Figura  Fase de desarrollo de Octave


fase 1: Visión de la organización
Tiene en cuenta los procesos de: Identificar el conocimiento de los altos directivos, Identifica el conocimiento de los directivos de áreas operativas,  identificar el conocimiento del personal  y crear perfiles de amenaza.

Fase 2: Visión Tecnológica
Tiene en cuenta los siguientes procesos: Identificar componentes claves (los cuales son sistemas importantes para activos críticos), Evaluación de componentes seleccionados (donde debemos identificar las principales vulnerabilidades de los componentes críticos)

Fase 3: Planificación de las medidas y reducción de riesgos
Tiene en cuenta los siguientes procesos: Realizar un análisis del riesgo, desarrollo de estrategias de protección

METODOLOGÍA DAFP
Fortalece la implementación y desarrollo de la política de la administración del riesgo a través del adecuado tratamiento de los riesgos para garantizar el cumplimiento de la misión y objetivos institucionales de las entidades de la Administración Pública

Objetivos Específicos
  • Generar una visión sistémica acerca de la administración y evaluación de riesgos, consolidada en un Ambiente de Control adecuado a la entidad y un Direccionamiento Estratégico que fije la orientación clara y planeada de la gestión dando las bases para el adecuado desarrollo de las Actividades de Control.
  • Proteger los recursos del Estado, resguardándolos contra la materialización de los riesgos. 
  • Involucrar y comprometer a todos los servidores de las entidades de la Administración Pública en la búsqueda de acciones encaminadas a prevenir y administrar los riesgos. Propender a que cada entidad interactúe con otras para fortalecer su desarrollo y mantener la buena imagen y las buenas relaciones
  • Introducir dentro de los procesos y procedimientos las acciones de mitigación resultado de la administración del riesgo
  • Asegurar el cumplimiento de normas, leyes y regulaciones.




METODOLOGÍA ARMONIZADA DEL ANÁLISIS DEL RIESGO (MEHARI)
Es una metodología desarrollada por la comisión de métodos de Clusif (Club Francés de la Seguridad de la Información) en 1996 y es de acceso público.
Mehari es un conjunto de herramientas y funcionalidades metodológicas para la gestión de la seguridad y de las medidas asociadas, basado en un análisis de riesgo preciso. Los aspectos fundamentales de MEHARI son:
  • ·        Su modelo de riesgo (cualitativo y cuantitativo),
  • ·         El examen de la eficacia de las medidas de seguridad en vigor previstas
  • ·         La capacidad para evaluar y simular los niveles de riesgo derivado de medidas adicionales
Los documentos oficiales de la metodología Mehari proporciona un marco metodológico, componentes modulares y bases de datos de conocimiento, con el fin de:
  • ·         Analizar los principales problemas
  • ·         Analizar las vulnerabilidades
  • ·         Disminuir y controlar los riesgos
  • ·         Supervisar la seguridad de la información
El principal objetivo de Mehari es proporcionar un método para la evaluación y gestión de riesgos, concretamente en el dominio de la seguridad de la información, conforme a los requerimientos ISO/IEC 27005:2008, proporcionando el conjunto de herramientas y elementos necesarios para su implementación.
Otros objetivos adicionales son:
  • ·         Permitir un análisis directo e individual de situaciones de riesgos descritas en los escenarios
  • ·         Proporcionar un completo conjunto de herramientas específicamente diseñadas para la gestión de la seguridad a corto, medio y largo plazo, adaptables a diferentes niveles de madurez y tipos de acciones consideradas. 


LA METODOLOGÍA EBIOS
Una herramienta de gestión de los riesgos SSI El método EBIOS permite apreciar y tratar los riesgos relativos a la seguridad de los sistemas de información (SSI). Posibilita también la comunicación dentro del organismo y también con los asociados para contribuir al proceso de la gestión de los riesgos SSI
Comprendido por un juego de guías más una herramienta de código libre gratuita, enfocada a gestores del riesgo de TI. Desarrollada en un principio por el gobierno francés, ha tenido una gran difusión y se usa tanto en el sector público como en el privado no sólo de Francia sino en otros países. La tecnología EBIOS consta de un ciclo de cinco fases:
  • ·         Fase 1. Análisis del contexto, estudiando cuales son las dependencias de los procesos del negocio respecto a los sistemas de información.
  • ·         Fases 2 y 3, Análisis de las necesidades de seguridad y de las amenazas, determinando los puntos de conflicto.
  • ·          Fases 4 y 5, Resolución del conflicto, estableciendo los objetivos de seguridad necesarios y suficientes, con pruebas de su cumplimiento y dejando claros cuales son los riesgos residuales.
EBIOS es ampliamente utilizado en el sector público (la totalidad de los ministerios y de los organismos bajo la tutela estatal), en el sector privado (gestorías, pequeñas y grandes empresas), en Francia y en el extranjero (Unión Europea, Quebec, Bélgica, Túnez, Luxemburgo…), a través de numerosos organismos, como usuarios o beneficiarios de análisis de riesgos SSI.

Se publica en forma gratuita en el sitio de la DCSSI (http://www.ssi.gouv.fr).
El riesgo SSI es la combinación de una amenaza y de las pérdidas que ésta puede generar.Contrariamente a los enfoques de análisis de los riesgos por situaciones, el procedimiento estructurado del método EBIOS permite identificar los elementos constitutivos de los riesgos (entidades y vulnerabilidades, métodos de ataque y elementos peligrosos, elementos esenciales y necesidades de seguridad…). Esta construcción metódica garantiza la exhaustividad del análisis de los riesgos.

El software libre de asistencia para la utilización del método puede obtenerse solicitándolo a la DCSSI (ebios.dcssi@sgdn.pm.gouv.fr).

LA METODOLOGÍA QUE SELECCIONO ES  MAGERIT
Porque Ofrece un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones y de esta forma implementar las medidas de control más adecuadas que permitan tener los riesgos mitigados.
Margerit está directamente relacionado con la generalización del uso de las tecnologías de información que suponen beneficios evidentes para los usuarios; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generan confianza.

Interesa a todos aquellos que trabajan con información digital y sistemas informáticos para tratarla. Si dicha información, o los servicios que se prestan gracias a ella, son valiosos, Magerit les permitirá saber cuánto valor está en juego y les ayudará a protegerlo. Conocer el riesgo al que están sometidos los elementos de trabajo es, simplemente, imprescindible para poder gestionarlos. Con Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista.

En particular se reconocerá lo que se denominaba submodelo de elementos: activos, amenazas, vulnerabilidades, impactos, riesgos y salvaguardas.
Dentro del concepto activo, cabe hablar de sus dimensiones que se pueden calibrar desde diferentes ángulos: la autenticidad, la confidencialidad, la integridad, la disponibilidad y la trazabilidad.

Figura: Dimensiones de un activo según Magerit

Magerit persigue los siguientes objetivos:
  •  Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
  •  Ofrecer un método sistemático para analizar tales riesgos.
  •  Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.
  •  Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según correspondan en cada caso.

Principales elementos de Magerit
  • Escalas de valores cualitativos, cuantitativos y de indisponibilidad del servicio.
  • Modelo de frecuencia de una amenaza como una tasa anual de ocurrencia.
  • Escala alternativa de estimación del riesgo.
  • Catálogos de amenazas
  • Catálogos de medidas de control 
El proceso de análisis de riesgos debe contemplar las siguientes fases:

  • ·         Determinar los activos relevantes para la Organización
  • ·         Valorar los activos identificados
  • ·         Determinar las amenazas a las que están expuestos los activos
  • ·         Estimar el impacto de la amenaza
  • ·         Calcular el nivel de riesgo. Estimar el riesgo.




Figura Marco del análisis del riesgo de Magerit




Lo interesante de esta metodología, es que presenta una guía completa y paso a paso de cómo llevar a cabo el análisis de riesgos. Esta metodología está dividida en tres libros. El primero de ellos hace referencia al  Método, donde se describe la estructura que debe tener el modelo de gestión de riesgos. Este libro está de acuerdo a lo que propone ISO para la gestión de riesgos.
El segundo libro es un Catálogo de Elementos, el cual es una especie de inventario que puede utilizar la empresa para enfocar el análisis de riesgo. Es así como contiene una división de los activos de información que deben considerarse, las características que deben tenerse en cuenta para valorar los activos identificados y además un listado con las amenazas y controles que deben tenerse en cuenta.
Finalmente el tercer libro es una Guía de Técnicas, lo cual lo convierte en un factor diferenciador con respecto a otras metodologías. En este tercera parte se describen diferentes técnicas frecuentemente utilizadas en el análisis de riesgos. Contiene ejemplos de análisis con tablas, algoritmos, árboles de ataque, análisis de costo beneficio, técnicas gráficas y buenas prácticas para llevar adelante sesiones de trabajo para el análisis de los riesgos.
Esta metodología es muy útil para aquellas empresas que inicien con la gestión de la seguridad de la información, pues permite enfocar los esfuerzos en los riesgos que pueden resultar más críticos para una empresa, es decir aquellos relacionados con los sistemas de información. Lo interesante es que al estar alineado con los estándares de ISO es que su implementación se convierte en el punto de partida para una certificación o para mejorar los sistemas de gestión.
Fases del análisis de riesgos


 

 BIBLIOGRAFIA

·         Blanca Rubiela Duque. Metodologías de Gestión del Riesgo(Octave, Magerit, DAFP) Recuperado de: http://auditoriauc20102mivi.wikispaces.com/file/view/Metodolog%C3%ACas+deGesti%C3%B2n+de+Riesgos.pdf

·         Camilo Gutierez Amaya(14 de mayo de 2013). MAGERIT: metodología para gestionar riesgos. Recuperado de: http://www.welivesecurity.com/la-es/2013/05/14/magerit-metodologia-practica-para-gestionar-riesgos/

·         Ministerio de Hacienda y Administraciones públicas. MARGERIT- Vr 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Recuperado de: http://www.seap.minhap.gob.es/dms/es/publicaciones/centro_de_publicaciones_de_la_sgt/Monografias0/parrafo/Magerit_2012/Magerit_v3_libro1_metodo.pdf

·         Universidad Carlos III de Madrid. Análisis del riesgo dentro de una auditoria informática: pasos y posibles metodologías. Recuperado de: http://e-archivo.uc3m.es/bitstream/handle/10016/16802/PFC_Carmen_Crespo_Rin.pdf?sequence=1