Date post: | 13-Jun-2015 |
Category: |
Education |
Upload: | manuel-mujica |
View: | 22,421 times |
Download: | 7 times |
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN.
CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN.
República Bolivariana de VenezuelaUniversidad Centroccidental Lisandro Alvarado
Decanato de Ciencias y TecnologíaCoordinación de Postgrado
Autor : Ing. Rosendo A. Mendoza.
Tutor : Msc. Ing. Euvis Piña Duin
Contenido
• Planteamiento del problema• Objetivos:
– General – Específicos
• Alcance y limitaciones• Antecedentes• Bases Teóricas• Marco Metodológico• Descripción de la Propuesta• Conclusiones y Recomendaciones
Planteamiento del Problema
• Carencia de políticas de seguridad.• Falta de un control de acceso efectivo a las instalaciones.• Hurto de bienes.• Ausencia de un manual de funciones y procedimientos.• Inexistencia de planes de capacitación.• No continuidad en los planes de crecimiento.
Carencia de un Sistema Integral de Seguridad de la Información en el Centro de Tecnología de Informa-ción y Comunicación del DCyT, manifestado en las siguientes situaciones:
Planteamiento del Problema
• ¿Qué es lo que sucede en el CTIC en materia de Seguridad de la Información?
• ¿Es viable técnica, operativa y económicamen-te el mejoramiento de la Seguridad de la Infor-mación en el CTIC?
• ¿Cómo podría mejorarse la Seguridad de la Información que se maneja en el centro?
Interrogantes
Planteamiento del Problema
“Un Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer políticas y
procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición menor al nivel de riesgo que
la propia organización ha decidido asumir.”
Agustín López. (1)
(1): Portal(1): Portal www.iso27000.es/sgsi.html
Altern
ativa
Planteamiento del Problema
La ISO/IEC 27001:2005 es un estándar internacional que proporciona un modelo sólido
para implementar los principios y lineamientos de los SGSI.
Altern
ativa
Objetivos
General
Establecer un Sistema de Gestión para la Seguridad de la Información para el Centro de Tecnología de
Información y Comunicación del Decanato de Ciencias y Tecnología, de acuerdo al estándar
internacional ISO/IEC 27001:2005.
Objetivos
Específicos
1. Diagnosticar la situación actual del CTIC en relación a la Seguridad de la Información.
2. Determinar la factibilidad técnica, operativa y económica del Establecimiento de un SGSI para el CTIC, de acuerdo a la norma ISO/IEC 27001:2005.
3. Diseñar un SGSI para el CTIC, basado en la norma ISO/IEC 27001:2005.
Alcance y Limitaciones
1. Análisis de la situación actual de la Seguridad de la Información en base a 43 controles de la norma ISO/IEC 27002:2005.
2. Desarrollo de la propuesta hasta la fase de Planeación de la norma ISO/IEC 27001:2005.
3. Estimación de los resultados esperados por la implementación de un subconjunto de contro-les de la norma ISO/IEC 27002:2005
Antecedentes
1. Gutiérrez, Y (2003) : Proyecto Integral de Reacondi-cionamiento de áreas, servicios y seguridad del Centro de Computación como solución al problema de funcionalidad del mismo.
2. Angeli, J. (2005): Las Normas de Seguridad Informá-tica y de Telecomunicaciones de la Universidad Centroccidental Lisandro Alvarado.
3. Corti, M. (2006): Análisis y Automatización de la Implantación de SGSI en Empresas Uruguayas.
Antecedentes
4. Mujica, M. (2006): Diseño de un Plan de Seguridad Informática para la Universidad Nacional Experimen-tal Politécnica Antonio José de Sucre, Sede Rectoral.
5. Tersek, Y. (2007): Sistema de Gestión de Seguridad de la Información para un sistema de información. Caso de estudio: Sistema Administrativo Integrado SAI en la Red de datos de la UNEXPO – Puerto Ordaz.
Bases Teóricas
Análisis y Gestión del
Riesgo
Metodología
Seguridad de la información
Serie de Normas 27000
Bases TeóricasS
egu
ridad
de la in
form
ación
Es la preservación de la Información y de los Sistemas que la gestionan en sus
dimensiones de Confidencialidad, Integridad y Disponibilidad.
Bases TeóricasS
egu
ridad
de la in
form
ación
Que la información no sea accesible por personas, entidades o procesos no
autorizados
Bases TeóricasS
egu
ridad
de la in
form
ación
Que la información sea exacta y completa
Bases TeóricasS
egu
ridad
de la in
form
ación
Que la información, servicios y recursos sean accesibles por las entidades autorizadas
cuando ellas lo requieran.
Bases TeóricasA
nálisis y G
estión
del R
iesgo
Uso sistemático de la información para identificar amenazas y coordinar las
actividades para dirigir y controlar una organización con relación al riesgo
Bases TeóricasA
nálisis y G
estión
del R
iesgo
Persigue identificar los sectores más vulnerables de la organización y permitir
concentrar los esfuerzos de control en los lugares críticos
Bases TeóricasA
nálisis y G
estión
del R
iesgo
Te
rmin
olo
gía
Activo: Cualquier cosa - tangible o no - que tenga valor para la organización.
Vulnerabilidad: Debilidad de un activo que puede ser explotada por una amenaza.
Amenaza: Causa potencial de un incidente no deseado, que podría dañar uno o más activos.
Control ó Salvaguarda: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales.
Riesgo: Combinación de la probabilidad de materialización de una amenaza y el daño que produciría sobre un activo.
Bases TeóricasS
istema d
e Gestió
n d
e la S
egu
ridad
de la In
form
ación
Consiste en la planificación, ejecución, verificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de
sufrir incidentes de seguridad
Bases TeóricasN
orm
a ISO
/IEC
27001:2005
Metodología que establece las especificaciones para un SGSI, con el fin de garantizar que los
riesgos son conocidos, asumidos, gestionados y minimizados, de una forma documentada,
sistemática, estructurada, continua, repetible y eficiente.
ISO 27001: FasesISO 27001: Fases
Bases TeóricasN
orm
a ISO
/IEC
27002:2005
Es un “Código de Buenas Prácticas” para la Seguridad de la Información, que establece cientos de controles y
mecanismos de control, los cuales pueden ser implementados y posteriormente chequeados por la
norma ISO/IEC 27001:2005
Bases TeóricasM
etod
olo
gía M
AG
ER
IT
1. Desarrollada por el Ministerio de Administración Pública de España.
2. Método sistemático para el análisis de riesgos, que facilita su evaluación y tratamiento, con el objeto de mantenerlo bajo control.
Bases Teóricas
• Definición del Alcance del SGSI.• Definición de una Política SGSI.• Definición del enfoque de Evaluación de
Riesgos.• Identificación de Riesgos.• Análisis y Evaluación del Riesgo.• Opciones para el Tratamiento del Riesgo.• Selección de Objetivos de Control y Controles.• Aprobación para los riesgos residuales.• Autorización para implementar y operar el SGSI.• Preparación del enunciado de aplicabilidad
(SOA).
Meto
do
log
ía MA
GE
RIT
Marco Metodológico
Estudio de Proyecto factible, apoyado en la investigación monográfica, documental y de
campo.
Natu
raleza de la in
vestigació
n
Marco Metodológico
Evaluar la situación actual del CTIC, en cuanto a Seguridad de la Información,
determinando su Nivel de Madurez en base al cumplimiento de las cláusulas de seguridad
de la norma ISO/IEC 27002:2005.(7 cláusulas y 43 controles)
Ob
jetivos d
el Diag
nó
stico
Marco MetodológicoR
esultad
os d
el Diag
nó
stico
Marco MetodológicoR
esultad
os d
el Diag
nó
stico
Fuente: Fuente: López, F. y otros (2006).López, F. y otros (2006).
Marco MetodológicoC
on
clusio
nes d
el Diag
nó
stico
1. Los controles existen, pero no se gestionan.
2. El éxito es una cuestión de azar.
3. Se exceden con frecuencia el presupuesto y el tiempo de respuesta.
4. El éxito depende de personal de alta calidad.
El Plan de Seguridad de la Información del CTIC no es eficaz en el control de Incidentes de
Seguridad
Marco MetodológicoF
actibilid
ad O
perativa
1. Existe una muy buena disposición, por parte de la Jefatura del Centro, para mejorar la Seguridad del CTIC.
2. Tanto el personal del CTIC como sus usuarios, tienen experiencia en el área de computación y están familiarizados con los aspectos de la seguridad tecnológica.
Marco MetodológicoF
actibilid
ad T
écnica
1. La norma ISO/IEC 27001:2005 es un modelo deta-llado, el cual especifica las etapas que se deben cumplir para la implantación de un SGSI.
2. El Decanato de Ciencias y Tecnología cuenta con personal capacitado para liderar el proyecto.
3. El CTIC cuenta con el equipo informático adecua-do para el desarrollo del proyecto.
Marco MetodológicoF
actibilid
ad E
con
óm
ica
1. Programas de ayuda económica que apoyan los desarrollos tecnológicos, tales como el CDCHT y los proyectos LOCTI.
2. Existencia de metodologías y herramientas gratui-tas para llevar a cabo la instalación y operación de un SGSI, como por ejemplo: EBIOS, MAGERIT e ISO27001.
Propuesta del Estudio
Establecimiento del SGSI para el CTIC en base a la norma internacional
ISO/IEC 27001:2005
Defin
ición
del A
lcance
del S
GS
I.
Defin
ición
de la P
olítica
del S
GS
I.
Iden
tificación
de R
iesgo
sId
entifica
ció
n d
e Ac
tivos
Propuesta de EstudioE
nfo
qu
e de E
valuació
n d
el R
iesgo
1. Modelo Cualitativo de Evaluación de Riesgos propuesto en la metodología MAGERIT.
2. Riesgo Inicial aceptado: 15%
Propuesta del EstudioId
entificació
n d
e Riesg
os
Cla
sificac
ión
de
Activ
os
Cate
gorí
a
• Servicios.• Datos e Información.• Equipamiento.• Aplicaciones.• Soporte de Información.• Equipamiento Auxiliar.• Instalaciones. • Personal
Fuente: Fuente: Metodología Metodología MAGERITMAGERIT
Propuesta del EstudioId
entificació
n d
e Riesg
os
Va
lor p
rop
io d
el Ac
tivo
Fuente: Fuente: ISO27001 Security home. ISO27001 Security home. www.iso27001security.comwww.iso27001security.com
Iden
tificación
de R
iesgo
sV
alo
r acu
mu
lad
o d
el A
ctivo
Iden
tificación
de R
iesgo
sC
atá
log
o d
e A
ctivo
s
Iden
tificación
de R
iesgo
sId
entifica
ció
n d
e Am
en
azas
Fuente: Fuente: Metodología MAGERITMetodología MAGERIT
Propuesta del EstudioId
entificació
n d
e Riesg
os
Determ
inació
n d
el Riesg
o
Activo/Vulnerabilidad
Amenaza/Frecuencia
Activo degradado
RIESGO
Riesgo = Valor_Activo x Degradación x Frecuencia
Fuente: Fuente: ISO27001 Security home. www.iso27001security.comISO27001 Security home. www.iso27001security.com
Fuente: Fuente: ISO27001 Security home. ISO27001 Security home. www.iso27001security.comwww.iso27001security.com
Tablas de valor para Degradación y Tablas de valor para Degradación y FrecuenciaFrecuencia
Bases TeóricasD
etermin
ación
del R
iesgo
N
ivel de P
rob
abilid
ad d
e Riesg
o
• Herramienta que facilita las tareas de Análisis y Gestión del Riesgo.
• Desarrollada por especialistas en la materia.
• Configurada como una hoja de cálculo.
NPR = Riesgo x Probabilidad_Gestión
Fuente: Fuente: ISO27001 Security home. ISO27001 Security home. www.iso27001security.comwww.iso27001security.com
Fuente: Fuente: ISO27001 Security home. ISO27001 Security home. www.iso27001security.comwww.iso27001security.com
Tablas de valor para Gestión del Tablas de valor para Gestión del RiesgoRiesgo
Documento completo:Presentación de
Microsoft PowerPoint
Presentación de Microsoft PowerPoint
Tabla de amenazas:Presentación de
Microsoft PowerPoint
Catálogo de activos: Presentación de
Microsoft PowerPoint
Tablas de Valor:
Propuesta del EstudioA
nálisis y E
valuació
n
del R
iesgo
s
1.1. Total de Amenazas y RiesgosTotal de Amenazas y Riesgos Detectados Detectados:: 64 642.2. Total de Riesgos con NPR en Total de Riesgos con NPR en ROJOROJO: : 333.3. Total de Riesgos con NPR en Total de Riesgos con NPR en AMARILLOAMARILLO: : 12124.4. Total de Riesgos con NPR en Total de Riesgos con NPR en VERDEVERDE: : 775.5. Total de Riesgos con NPR en Total de Riesgos con NPR en GRISGRIS: : 4242
Resumen:
Propuesta del EstudioO
pcio
nes p
ara el Tratam
iento
d
el Riesg
o
• Aceptar el riesgo con NPR de hasta 15%Aceptar el riesgo con NPR de hasta 15%• Aplicar controles para los riesgos no Aplicar controles para los riesgos no
aceptadosaceptados
Se seleccionan:
Propuesta del EstudioS
elección
de C
on
troles
Para cada Riesgo identificado se Para cada Riesgo identificado se proponen uno o más controles de proponen uno o más controles de
la Norma ISO/IEC 27002:2005.la Norma ISO/IEC 27002:2005.
Enlace al documento completo:Presentación de
Microsoft PowerPoint
Propuesta del EstudioE
nu
nciad
o d
e Ap
licabilid
ad
Es un documento que tiene como finalidad la observancia de todos los controles de
seguridad propuestos en la norma, con la justificación de su inclusión o exclusión,
según sea el caso.
Enlace al documento completo:Presentación de
Microsoft PowerPoint
Conclusiones
• Madurez del SGSI actual del CTIC: Nivel Madurez del SGSI actual del CTIC: Nivel L1 (Inicial).L1 (Inicial).
• Cumplimiento de los controles Cumplimiento de los controles propuestos en la norma ISO/IEC 27002 : propuestos en la norma ISO/IEC 27002 : 42.69 %42.69 %
• Reducción del Nivel de Riesgo al Reducción del Nivel de Riesgo al implantar los controles propuestos: implantar los controles propuestos: Menor a 23 puntos.Menor a 23 puntos.
Conclusiones
• Una metodología SGSI permite descubrir Una metodología SGSI permite descubrir los puntos vulnerables de un Sistema de los puntos vulnerables de un Sistema de Información.Información.
• Es relevante involucrar a todo el personal Es relevante involucrar a todo el personal en la Seguridad de la Información.en la Seguridad de la Información.
• Una herramienta AGR sólida permite Una herramienta AGR sólida permite producir resultados comparables y producir resultados comparables y repetibles en el tiempo.repetibles en el tiempo.
Recomendaciones
• Tomar acciones inmediatas para gestionar Tomar acciones inmediatas para gestionar los Riesgos con un NPR en los Riesgos con un NPR en ROJOROJO..
• Establecer formalmente el SGSI propuesto.Establecer formalmente el SGSI propuesto.• Designar una persona encargada para la Designar una persona encargada para la
Seguridad de la Información del CTICSeguridad de la Información del CTIC• Implementar el Plan propuesto para el Implementar el Plan propuesto para el
Tratamiento de los Riesgos detectados.Tratamiento de los Riesgos detectados.• Una vez ganada experiencia, aplicarlo a Una vez ganada experiencia, aplicarlo a
otras unidades de la universidad.otras unidades de la universidad.
Recomendaciones
• Profundizar en el desarrollo de la Profundizar en el desarrollo de la herramienta AGR utilizando Sistemas herramienta AGR utilizando Sistemas Expertos.Expertos.
• Profundizar el estudio de métricas y Profundizar el estudio de métricas y técnicas para la determinación de la técnicas para la determinación de la eficacia de un SGSI.eficacia de un SGSI.
• Promover la cátedra de Seguridad de la Promover la cátedra de Seguridad de la Información en el programa de Ingeniería en Información en el programa de Ingeniería en Informática.Informática.
• Confeccionar una metodología SGSI para la Confeccionar una metodología SGSI para la universidad. universidad.
No hay seguridad total sino seguridad gestionada.
Ing. Rosendo Mendoza