Está en la página 1de 35

PROYECTO DE LA EMPRESA ALFA & BETA LTDA

ANDRES DUARTE FABIAN SANCHEZ MARLON GUERRERO

Ing. HENRY BASTIDAS SERVICIO NACIONAL DE APRENDIZAJE ESPECIALIZACIN EN SEGURIDAD EN REDES DE COMPUTADORES POPAYAN FEBRERO 2012

DATOS DIGITALES Correo Electrnico Backup Bases de datos reportes

ACTIVOS DE INFORMACIN n.1 INFORMACION INFORMACION INTANGIBLE TANGIBLE Personal Informacin Compartimiento de Licencias OEM seguridad Imagen de la empresa Nombre de la empresa(BETA & ALFA LTDA)

APLICACIONES Propietarias Cdigo Abierto Squid POSTFIX Aplicaciones de Escritorio office

SISTEMAS OPERATIVOS windows linux

Tabla N 1. Activos de Informacin

ACTIVOS FSICOS TI n.2 SOPORTE DE INFRAESTRUCTURA TI CONTROLES DE ENTORNO TI Cuarto de Telecomunicaciones UPS Rack cableado esctruturado Oficinas Planta de Energa Caja fuerte Aire Acondicionado Extintores

HARDWARE TI Servidores Cmaras de Monitoreo controles biometrico Telfonos Cmaras de video y fotogrficas Equipos Terminales Enrutadores Switches pbx firewall Impresoras

Tabla N 2. Activos Fsicos TI

ACTIVOS DE SERVICIOS TI n.3 SERVICIOS DE RED DNS DHCP Proxy Directorio activo SERVICIOS WEB apache iis firewall Tabla N 3. Activos de Servicios TI ACTIVOS DE INFORMACIN DE PERSONAL EMPLEADOS DIVISIN DE SISTEMAS de la sede principal (popayan) Jefe de sistemas administrador de redes Analista programador Auxiliar sistemas EMPLEADOS DIVISIN DE SISTEMAS de la sede secundaria (puerto tejada) operador de sistemas auxiliar de programacion Tabla N 4. Activos de Informacin de Personal PUNTACION PARA LA VALUACION DE ACTIVOS MUY ALTO 5 ALTO 4 MEDIO 3 BAJO 2 MUY BAJO 1 Tabla N 5. Puntuacin para la Valuacin de Activos Los CONTRATOS DE SOPORTE

CRITERIOS PARA LA VALUACIN DE ACTIVOS Confidencialidad Integridad Los componentes del sistema TI sern accesibles slo por aquellos usuarios autorizados. Los componentes del sistema TI slo pueden ser creados y modificados por Los usuarios autorizados.

Disponibilidad Los usuarios deben tener disponibles todos Los componentes del sistema TI cuando as lo deseen.

Tabla N 6. Criterios para Valuacin de Activos

VALUACIN DE ACTIVOS ACTIVOS DE INFORMACIN DATOS DIGITALES Confidencialidad Correo Electrnico Backup Bases de datos reportes 5 5 5 3 Integridad 5 5 5 3 Disponibilidad 5 4 5 5 Valor de Activos 15 14 15 11

Tabla N7. Valuacin de Datos Digitales INFORMACIN TANGIBLE Confidencialidad Personal Compartimiento de seguridad 5 5 Integridad 5 5 Disponibilidad 4 1 Valor de Activos 14 11

Tabla N 8. Valuacin de Informacin Tangible

Informacin Licencias OEM Imagen de la empresa Nombre de la empresa(BETA & ALFA LTDA)

INFORMACIN INTANGIBLE Confidencialidad Integridad 5 5 5 5 5 5 5 5

Disponibilidad 3 5 3 3

Valor de Activos 13 15 13 13

Tabla N 9. Valuacin de Informacin Intangible APLICACIONES Confidencialidad Propietarias software biomtrico Cdigo Abierto Squid POSTFIX Aplicaciones de Escritorio office 5 5 5 Integridad 5 5 5 Disponibilidad 2 1 1 5 Valor de Activos 12 11 11 15

5 5 Tabla 10. Valuacin de Aplicaciones SISTEMAS OPERATIVOS Confidencialidad Integridad

Disponibilidad 2 4

linux Windows Server

5 5 5 5 Tabla N 11. Valuacin de Sistemas Operativos

Valor de Activos 12 14

ACTIVOS FSICOS TI SOPORTE DE INFRAESTRUCTURA Confidencialidad Integridad Disponibilidad Cuarto de Telecomunicaciones Rack Oficinas Caja fuerte 5 5 5

Valor de Activos 15 15 15 15

5 5 5 5 5 5 5 5 5 Tabla N 12. Valuacin de Soporte de Infraestructura

CONTROLES ENTORNO TI Confidencialidad UPS cableado esctruturado Planta de Energa Aire Acondicionado Extintores Integridad Disponibilidad 5 5 5 1 1 Valor de Activos 10 13 15 3 3

3 2 4 4 5 5 1 1 1 1 Tabla N 13. Valuacin de Controles Entorno TI

HARDWARE TI Confidencialidad Servidores Cmaras de Monitoreo controles biometrico Telfonos Cmaras de video y fotogrficas 5 5 5 2 5 Integridad 5 5 5 2 5 Disponibilidad 5 4 3 2 3 Valor de Activos 15 14 13 6 13

Equipos Terminales Enrutadores Switches pbx firewall Impresoras

3 5 5 5 5 3 Tabla N 14. Valuacin de

3 5 5 5 5 3 Hardware TI

3 4 4 4 5 3

9 14 14 14 15 9

DNS DHCP Proxy Directorio activo

ACTIVOS DE SERVICIO TI Confidencialidad Integridad Disponibilidad 5 5 5 2 2 2 3 3 3 4 4 4 Tabla N 15. Valuacin de Activos de Servicio TI

Valor de Activos 15 6 9 12

IIS Apache

SERVICIOS WEB Confidencialidad Integridad 5 5 5 5 Tabla N 16. Valuacin de Servicios Web

Disponibilidad 5 5

Valor de Activos 15 15

soporte software licenciado soporte software libre

CONTRATOS DE SOPORTE Confidencialidad Integridad Disponibilidad 5 3 3 3 3 3 Tabla N 17. Valuacin de Contratos de Soporte ACTIVOS DE INFORMACION INFORMACION INFORMACION INTANGIBLE TANGIBLE

Valor de Activos 11 9

DATOS DIGITALES

APLICACIONES

SISTEMAS OPERATIVOS

Base de datos Backups

Personal (empleados) Informacin Compartimiento de seguridad Tabla N 18. Activos de Informacin

Propietaria Open Source ,squid

Linux windows

SOPORTE DE INFRAESTRUCTURA Cuarto de telecomunicaciones

ACTIVOS FISICOS TI CONTROLES ENTORNO TI UPS

HARDWARE TI Servidor Base de datos Router switch Servidor Web Servidor de Aplicaciones Cmaras de monitoreo Lector de Barras

Tabla N 19. Activos Fsicos TI

Valuacin de Amenazas Teniendo identificados los activos ms importantes se pasa a considerar los criterios de posibles causas potenciales de un incidente no relacionado que pueden ocasionar alguna falla dentro de la Empresa. En la tabla 20 se realizo una categorizacin de las posibles causas o amenazas.

CRITERIOS PARA LA VALUACION DE LAS AMENAZAS Amenazas Naturales Terremoto Inundaciones Tormentas Elctricas Vendavales Amenazas Humanas Acceso no autorizado a sistemas Explotacin de errores (usuario y administrador) Ingeniera Social Phishing Interceptacin de datos Cdigo malicioso Abuso de la informtica Virus Amenazas del Entorno Fallas Elctricas Polucin Sustancias qumicas Fugas de lquido Temperatura Incendios Control de humedad Edificaciones Cercanas Accidente de trnsito. Proteccin de los Equipos en el sitio Fuentes de Potencia Seguridad de cableados Mantenimiento de Equipos Ingreso no autorizado

Aseguramiento de oficinas, recintos Y espacios fsicos. Fallas de Equipos Tabla N 20. Criterios para La Valuacin de las Amenazas PUNTACION PARA LA VALUACION DE ACTIVOS MUY ALTO ALTO MEDIO BAJO MUY BAJO 5 4 3 2 1

Tabla N 21. Puntuacin para la Valuacin de Amenazas

VALUACION DE AMENAZAS DE LOS ACTIVOS ACTIVOS DE INFORMACION DATOS DIGITALES Amenaza del Entorno 1 4 3 1 3 3 1 3 2 1 3 2 Tabla N 22. Valuacin de Amenazas de Datos Digitales Amenaza Natural Amenaza Humana Valor de la Amenaza 8 7 6 6

Correo Electrnico Backup Bases de datos reportes

INFORMACION TANGIBLE Amenaza Natural Personal Compartimiento de seguridad 1 1 Amenaza Humana 3 2 Amenaza del Entorno 1 2 Valor de la Amenaza 5 5

Tabla N 23. Valuacin de Amenazas de Informacin Tangible

INFORMACION INTANGIBLE Amenaza Natural Informacin Licencias OEM Imagen de la empresa Nombre de la empresa(BETA & ALFA LTDA) 1 1 1 1 Amenaza Humana 4 2 2 2 Amenaza del Entorno 1 1 1 1 Valor de la Amenaza 6 4 4 4

Tabla N 24. Valuacin de Amenazas de Informacin Intangible

APLICACIONES

Activos ms Amenazados segn la puntacin de valuacin En la tabla 33 se obtienen las amenazas de acuerdo a un estudio previo realizado en la Empresa sobre los activos dependiendo del tipo de Amenaza.

Activos

Tipo de Amenazas

Amenaza

Base de Datos

Amenaza humana

*Acceso no autorizado (Ingeniera Social y Phising). *Errores del programador por falta de capacitacin en el rea. *Ingreso fsico no autorizado por terceras personas *no se encuentran en un sitio confiable *no existen copias externas custodiadas *Informacin impresa no est segura y controlada * Acceso fsico no autorizado por terceras personas Acceso no autorizado (Ingeniera Social y Phising) Acceso no autorizado (Ingeniera Social y Phising) Errores de seguridad, por mala administracin. *Control de humedad *Polucin Acceso no autorizado fsico falta de cumplimiento de la normatividad de cableado estructurado Ingeniera Social falta de cumplimiento de la normatividad de cableado estructurado *Spoofing Web *Errores de seguridad

Backup Informacin Aplicaciones propietarias y adquiridas Aplicaciones de Cdigo Abierto Sistemas operativos Linux Cuarto de telecomunicaciones Oficinas Cableado de red Estaciones de trabajo Rack Servidor Apache

Amenaza del entorno Amenaza Humana Amenaza humana Amenaza humana Amenaza humana Amenaza Entorno Amenaza humana Amenaza de entorno Amenaza humana Amenaza Entorno Amenaza humana

Tabla N 33. Descripcin de los Activos Amenazados

Probabilidades de amenazas de la Empresa

ALTA MEDIA BAJA MUY BAJA

La realizacin del ataque es inminente. No existen condiciones internas y externas que impidan el desarrollo del ataque. Existen condiciones que hacen poco probable un ataque en el corto plazo pero que no son suficientes para evitarlo en el largo plazo. Existen condiciones que hacen muy lejana la posibilidad del ataque. No existen condiciones que impliquen riesgo/ataque. Tabla N 34. Criterios para probabilidad de Amenaza TIPO DE AMENAZA PROBABILIDAD DE AMENAZA

AMENAZA HUMANA Acceso no autorizado por Ingeniera Social y Phising (BASE DE DATOS) Errores del programador por falta de capacitacin en el rea (BASE DE DATOS) Informacin impresa no est segura y controlada (INFORMACION) Acceso fsico no Autorizado por terceras personas (INFORMACION) Acceso no autorizado por Ingeniera Social y Phising (APLICACIONES PROPIETARIAS Y ADQUIRIDAS, OPEN SOURCE) Errores de seguridad por mala Administracion (S.O LINUX) Ingeniera social (ESTACIONES DE TRABAJO) Spoofing Web (SERVIDOR APACHE) Errores de seguridad (SERVIDOR APACHE) Acceso no autorizado fsico (OFICINAS)

ALTA x x

MEDIA

BAJA

MUY BAJA

x x

x x x x x

Tabla N 35. Probabilidad de Amenazas Humanas

AMENAZA DE ENTORNO Ingreso fsico no autorizado por terceras personas (BACKUP) No se encuentran en un sitio confiable (BACKUP) No existe copias externas custodiadas (BACKUP) Control de humedad (CUARTO DE TELECOMUNICACIONES) Polucin (CUARTO DE TELECOMUNICACIONES) Falta de cumplimiento de la normatividad de cableado estructurado (RACK) Falta de cumplimiento de la normatividad de cableado estructurado (CABLEADO DE RED)

ALTA

MEDIA x

BAJA

MUY BAJA

x x x x x x

Tabla N 36. Probabilidad de Amenazas de Entornos

Criterios de la rea de Administracin de Sistemas Criterios Vulnerabilidades Asociadas La asignacin de responsables de los activos del rea de sistemas no est muy bien Asignacin de responsabilidades definida. Revisin peridica de controles de seguridad. Continuidad Evaluacin de Riesgos Seguridad y capacitacin tcnica No se manejan roles para la gestin de vulnerabilidades La existencia de controles de seguridad que protejan los activos es escasa. No se maneja una poltica clara y especfica para la continuidad del negocio. Actividades relacionadas con los controles de cambios en las aplicaciones crticas es susceptible a mejoras. Algunos riesgos sobre los activos ms crticos de la empresa no estn plenamente identificados y documentados. No se posee un documento donde se estipulen los incidentes y las mejoras en seguridad. No hay exigencia continua de identificacin en lugar visible para personas que ingresan al rea. No existen procedimientos formales para llevar acabo procesos capacitacin bien estructurada. Es mnimo el control en cumplimiento de normas despus de una capacitacin ya que no existen personas encargadas de verificar los controles. Claramente no se tiene definido un plan de seguridad del sistema, aunque se realizan algunas actividades en lo relacionado a seguridad. El manejo de aplicaciones est ms enfocado a lo funcional y no se tienen controles adecuados de seguridad. No se maneja una poltica clara de registro y des-registro de los usuarios en el sistema. Explcitamente no se posee documentacin en cuanto a criterios de confidencialidad y criticidad de las aplicaciones. EL manejo de claves secretas por parte de los usuarios se realiza de manera informal. Falta de procedimiento formal para la revisin de los accesos a los sistemas para mirar usuarios y permisos asignados.

Plan de seguridad del sistema

Sistemas de autorizacin y re-autorizacin

Tabla N 37. Vulnerabilidades del rea de Administracin de sistemas

Criterios Controles para garantizar la calidad de suministro de energa Medios de acceso y eliminacin de dato La eliminacin de datos digitales no se realiza con herramientas adecuadas. Control de contaminantes transportados por el aire Facilidad de proteccin (Sala de computadores, Data center, oficinas) Control de humedad

Seguridad Operacional Vulnerabilidades asociadas Falta etiquetado de tableros e identificacin de circuitos que alimentan las ups Proceso formal de eliminacin de datos no se tiene. Los medios de acceso al cuarto de comunicaciones es susceptible a mejoras) Las paredes del cuarto de equipos falta un adecuando tratamiento. Los actividades relacionadas con la seguridad fsica son susceptible de mejora para el control de acceso a la dependencia, cuarto de equipos y manejo de activos presentes en esta. No se maneja un mecanismo de control de humedad

Tabla N 38. Vulnerabilidades del rea Seguridad Operacional

Criterios en el rea de Seguridad Tcnica Criterios Vulnerabilidades asociadas No se puede determinar adecuadamente las rutas y espacios horizontales utilizados. Falta etiquetado de cableado horizontal. Falta de etiquetas adecuados de equipos activos y servidores. Existencia de derivaciones en cableado horizontal. No se tiene una plano adecuado para mirar distancias de puntos de red, pero por observacin de algunas oficinas se Comunicaciones sobrepasa la distancia mxima. (Interconexin No existen barras de puesta a tierra dentro del cuarto de comunicaciones y en rack. se sistemas, El medio de trasporte de cable se encuentra deteriorado Enrutadores). Cableado de red y elctrico junto en algunos sitios. Equipos activos dentro de cuarto de comunicaciones no estn aterrizados. La distribucin dentro de rack no es la adecuada. No se tiene una canal de respaldo con ISP en caso de fallo de canal principal. El manejo de mtodos criptogramas dentro de la organizacin es susceptible a mejoras. En algunos servidores Linux no se maneja archivos para el control de longitud contraseas, tiempos de expiracin y cambios de estas. Las falta documentacin formal para la gestin de identificadores de usuarios nicos (IDs). Muchos de los servidores tienen instalados servicios innecesarios No se maneja un endurecimiento de servidores apropiado en los servidores (Hardening). Mecanismos de para chequeo de integridad de datos en servidores es susceptible de mejoras Se permite conexin por ssh a root directamente. Sistemas de antivirus y deteccin de rootkit es escasa Equipos de control de acceso como firewall no se tienen No se cuenta con equipos de segmentacin de redes (Switch Gestionables o VPN). Documentos formales para registro de ingreso de personas al rea no se tiene. La gestin de logs para control de accesos no est muy bien automatizada. Herramientas de monitoreo para gestin de equipos conectados a determinado servicio no se tiene implementado. No se manejan controles de autenticacin para el ingreso al sitio de procesamiento de informacin (tarjetas de control con cdigos etc). Para el ingreso al rea de sistemas no se exige portar documento de identificacin en un lugar visible a personal ajeno a esta. Mecanismos de deteccin de intrusiones como IDS e IPS no se manejan.

Criptografa Control de acceso discrecional

Sistema de auditoria

Identificacin y autenticacin

Deteccin de

intrusiones Tabla N 39. Vulnerabilidades del rea Tcnica

Criterios en el rea de Servidor de Aplicaciones Servidor de Aplicaciones Vulnerabilidades Se utiliza VNC para la administracin de el servidor. En la referente a software de servidor se tiene instalado software innecesario como el servidor X11 Los banners de los servicios instalados falta modificarlos adecuadamente. Hardening en para el sistema operativo que manejo este servidor es susceptible mejoras. Se permite autenticacin al servidor como root por medio de ssh No hay un plan de contingencia establecido a nivel de Hw para este servidor. No se tienen herramientas de monitoreo de logs automatizadas para este servidor. Explcitamente de se tiene asignado una persona responsable de este servidor. Es susceptible de mejora tener una poltica definida de control de cambios. EL php instalado el servidor esta propenso a muchos ataques El software para samba esta propenso a ataques de ganancia de privilegios. Se tienen debilidades a nivel de ssh (hijacking). El servidor apache instalado no posee las ultimas actualizaciones ( posibles ataques de desbordamiento de buffer.) No se tiene un documento de registro de incidentes y de soluciones de estos. No se tiene plenamente identificado cables de red ni el cableado elctrico para el servidor. No se maneja software de chequeo de integridad Herramienta de monitorio para este servidor no se tiene. Tabla N 40. Vulnerabilidades del servidor de Aplicaciones

Servidor Web y Proxy

CRITERIOS DEL SERVIDOR WEB Y PROXY Vulnerabilidades El hardening utilizado en el servidor es susceptible de mejoras Backup para este servidor no se maneja Se tiene instalado software innecesario en este servidor. El manejo de banner es susceptible a mejoramiento para los servicios instalados. Se utiliza vnc para administracin remota de este servidor. Existen varios puertos abiertos innecesarios en este servidor. Apache esta propenso a ataques por no estar actualizado. El servicio de samba esta propenso a ataques. El servidor posee versin de ssh no actualizada. No se posee una adecuado control de cambios para este servidor. El servicio de Dns instalado no se encuentra actualizado. No se tiene plenamente identificado los cables, puntos red y el cableado elctrico para el servidor. Tabla N 41. Vulnerabilidades del servidor Web y Proxy

Servidor Oracle

CRITERIOS DEL SERVIDOR DE BASE DE DATOS Vulnerabilidades asociadas El manejo de cambio de contraseas por defecto durante la instalacin es susceptible a mejoras La base de datos esta propensa a ganancia de privilegios por accesibilidad de diccionario. La informacin de los parmetros para conexin remota es susceptible a mejoras. La aplicacin de Oracle es susceptible a mejoras en lo que se refiere a proceso de autenticacin remota. Los parches para la base de datos no estn actualizados. La versin de ssh presente en el servidor no est actualizada. No se posee explicita mente una documento formal de consignacin de errores y fallas No se tiene dentro del servidor programas de chequeo de integridad para gestin de archivos del S.O No se maneja adecuadamente las gestin de contraseas en la relacionado al tiempo para cambio de estas. El manejo de banners para el S.O del servidor es susceptible de mejoras Herramientas para automatizacin de logs para este servidor es escasa. El hardening en el servidor es susceptible de mejoras. Las diferentes conexiones de red y elctricas que tiene el servidor no estn plenamente etiquetadas. Tabla N 42. Vulnerabilidades de Servidor de Base de Datos

Nivel de Probabilidad Alta

Probabilidad de Vulnerabilidades Definicin de Probabilidad El threat-source es altamente motivado y suficientemente capaz, y los controles para evitar la vulnerabilidad de ser ejercidas son ineficaces El threat-source es motivado y capaz, pero los controles estn en el lugar que pueden impedir el ejercicio exitoso de la vulnerabilidad. El threat-source carece de motivacin o capacidad, o los controles existen para prevenir, o al menos obstaculicen de manera significativa la vulnerabilidad de ser ejercida. Tabla N 43. Nivel de Probabilidad de Vulnerabilidades

Media

Baja

Vulnerabilidad La asignacin de responsables de los activos del rea de sistemas no est definida. La existencia de controles de seguridad que protejan los activos es escasa. No se maneja una poltica clara y especfica para la continuidad del negocio. Actividades relacionadas con los controles de cambios en la aplicaciones crticas es susceptible a mejoras. Algunos riesgos sobre los activos ms crticos de la empresa no estn plenamente identificados y documentados. No se posee un documento donde se estipulen los incidentes y las mejoras en seguridad. No se manejan roles para la gestin de vulnerabilidades No hay exigencia continua de identificacin en lugar visible para personas que ingresan al rea. No existen procedimientos formales para llevar acabo procesos capacitacin bien estructurada. Es mnimo el control en cumplimiento de normas despus de una capacitacin ya que no existen personas encargadas de verificar los controles. Claramente no se tiene definido un plan de seguridad del sistema, se realizan algunas actividades en lo relacionado a seguridad EL manejo de aplicaciones esta mas enfocado a lo funcional y no se tienen controles adecuados de seguridad. No se maneja una poltica clara de registro y des-registro de los usuarios en sistema Explicitamente no se posee documentacin en cuanto a criterios de confidencialidad y criticidad de las aplicaciones EL manejo de claves secretas por parte de los usuarios se realiza de manera informal. Falta de procedimiento formal para la revisin de los accesos a los sistemas para mirar usuarios y permisos asignados. Falta marquillado de tableros e identificacin de circuitos que alimentan las ups Proceso formal de eliminacin de datos no se tiene. La eliminacin de datos digitales no se realiza con herramientas adecuadas Los medios de acceso al cuarto de comunicaciones es susceptible a mejoras) Las paredes del cuarto de equipos falta un adecuando tratamiento. Los actividades relacionadas con la seguridad fsica son susceptible de mejora para el control de acceso a la dependencia, cuarto de equipos y manejo de activos presentes . NO se maneja un mecanismo de control de humedad No se puede determinar adecuadamente las rutas y espacios horizontales utilizados en el cableado de red. Falta etiquetado de cableado horizontal. Falta de etiquetas adecuados de equipos activos y servidores. Existencia de derivaciones en cableado horizontal.

Alta x x

Medi a

Baja

x x x x x x x x x x x x x x x x x x x x x x x x

No se tiene una plano adecuado para mirar distancias de puntos de red, pero por observacin de algunas oficinas se sobrepasa la distancia mxima. No existen barras de puesta a tierra dentro del cuarto de comunicaciones y en rack. El medio de trasporte de cable se encuentra deteriorado Cableado de red y elctrico junto en algunos sitios. Equipos activos dentro de cuarto de comunicaciones no estn aterrizados. Las distribucin dentro de rack no es la adecuada. No se tiene una canal de backup con Isp en caso de fallo de canal principal. El manejo de mtodos criptogramas dentro de la organizacin es susceptible a mejoras. El algunos servidores Linux no se maneja archivos para manejo de longitud de contraseas, tiempos de espiracin de contraseas y cambios de contraseas. Las gestin de ID's unicos falta documentacin. Muchos de los servidores tienen instalados servicios innecesarios No se maneja un hardening apropiado en los servidores. Mecanismos de para chequeo de integridad de datos en servidores es susceptible de mejoras Se permite conexin por ssh a root directamente. Sistemas de antivirus y deteccin de rootkit es escasa Equipos de control de acceso como firewall no se tienen No se cuenta con equipos de segmentacin de redes (Switch Gestionables). Documentos formales para registro de ingreso de personas al rea no se tiene. La gestion de logs para gestin de accesos esta muy bien automatizada. Herramientas de monitoreo para gestin de equipos conectados a determinado servicio no se tiene implementado. No se manejan controles de autenticacin para en sitio de procesamiento de informacin (tarjetas de control con cdigos etc). Para el ingreso al rea de sistemas no se exige portar documento en un lugar visible para el personal que ingresa ajeno al rea. Mecanismos de deteccin de intrusiones como IDS e IPS no se manejan. Un diagrama logico de conexin de equipos no se tiene Falta un adecuado marquillado de cada uno de los dispositivos ATA Tabla N 44. Probabilidad de Vulnerabilidades Generales x x x

x x x x x x x x x x x x x x x x x x x x x

Clasificacin de la probabilidad de las vulnerabilidades para servidores Servidor de Aplicaciones Vulnerabilidad Se utiliza VNC para la administracin de el servidor. En la referente a software de servidor se tiene instalado software innecesario ie servidor X11 Los banners de los servicios instalados falta codificarlos adecuadamente. Hardening en para el sistema operativo que manejo este servidor es susceptible mejoras. Se permite autenticacin al servidor como root por medio de ssh El plan de contingencia establecido para este servidor es susceptible de mejoras. No se tienen herramientas de monitoreo de logs automatizadas para este servidor. Explicitamente de se tiene asignado una persona responsable de este servidor. Es susceptible de mejora tener una poltica definida de control de cambios. EL php instalado el servidor esta propenso a muchos ataques El software para samba esta propenso a ataques de ganacia de privilegios. Se tienen debilidades a nivel de ssh (hijacking). El servidor apache instalado no posee las ultimas actualizaciones ( posibles ataques de desbordamiento de buffer.) No se tiene un documento de incidentes y ni de soluciones No se tiene plenamente identificado cables de red ni el cableado elctrico para el servidor No se maneja software de chequeo de integridad Herramienta de monitorio para este servidor no se tiene. Tabla N 45. Probabilidad de Vulnerabilidades del Servidor de Aplicaciones x x x x x x x x x x x x x x Alta x x x Medi a Baj a

Servidor Web y Proxy Vulnerabilidad El hardening utilizado en el servidor es susceptible de mejoras Backup para este servidor no se maneja Se tiene instalado software innecesario en este servidor. El manejo de banner es susceptible a mejoramiento para los servicios instalados. Se utiliza vnc para administracin remota de este servidor. Existen varios puertos abiertos en este servidor innecesarios. Apache esta propenso a ataques por no estar actualizacin El servicio de samba esta propenso a ataques. El servidor posee versin de ssh no actualizada. No se posee un adecuado control de cambios para este servidor. El servicio de Dns instalado no se encuentra actualizado. No se tiene plenamente identificado los cables, los puntos red ni el cableado elctrico para el servidor. x x x x x x x x Alta x x x x Media Baja

Tabla N 46. Probabilidad de Vulnerabilidades del Servidor de WEB Y PROXY

Servidor de Base de Datos (Oracle) Vulnerabilidad El manejo de cambio de contraseas por defecto durante la instalacion es susceptible a mejoras La base de datos esta propensa a ganancia de privilegios por accesibilidad de diccionario. La informacin de los parmetros para conexin remota es susceptible a mejoras. El aplicacin de oracle es susceptible a mejoras en lo que se refiere a proceso de autenticacin remota. Los parches para la base de datos no estn actualizados. La versin de ssh presente en el servidor no esta actualizada No se posee explicita mente una documento formal de consignacin de errores y fallas No se tiene dentro del servidor programas de chequeo de integridad para gestin de archivos del S.O No se maneja adecuadamente las gestin de contraseas en la relacionado al tiempo para cambio de estas. El manejo de banners para el s.o del servidor es susceptible de mejoras Herramientas para automatizacin de logs para este servidor es escasa El hardenig en el servidor es susceptible de mejoras. Las diferentes conexiones de red y elctricas que tiene el servidor no estn plenamente maquilladas Politica de control de cambios no se tiene plenamente definida. x x x x x x x x Alta x x x x x x Media Baja

Tabla N 47. Probabilidad de Vulnerabilidades del Servidor de Base Datos (Oracle)

MUY BAJO

No causa ningn tipo de impacto o dao a la organizacin. Causa dao aislado, que no BAJO perjudica a ningn componente de la organizacin. Provoca la desarticulacin de un componente de la organizacin. Si no se atiende a MEDIO tiempo, a largo plazo puede provocar la desarticulacin de la organizacin. En el corto plazo desmoviliza o ALTO desarticula a la organizacin. Tabla N 48. Escala de Impactos Principios de la Seguridad Informtica Disponibili Confidencialidad Integridad dad x x x x x x x x x x x x x x Impacto Alto Medio Bajo Muy Bajo

Activos Amenazados Base de Datos Backup Informacin Aplicaciones propietarias y adquiridas Aplicaciones de Cdigo

Abierto Sistemas operativos Linux Cuarto de telecomunicaciones Oficinas Cableado de red Estaciones de trabajo Rack Servidor Apache

Tabla N49. Impactos en los Activos

Anlisis de riesgos 1= 2= 3= 4= Muy baja Baja Mediana Alta

El Riesgo, se calcula como el producto de la multiplicacin Probabilidad de Amenaza por el Impacto de la amenaza, est agrupado en tres rangos, y para su mejor visualizacin, se aplica diferentes colores.

Bajo Riesgo Medio Riesgo Alto Riesgo

6 9 (Verde) 10-12 (amarillo) 13 16 (rojo)

En la tabla 52 se especifican el impacto, la probabilidad de amenaza con relacin a los activos mas amenazados de la empresa ALFA & BETA LTDA.

ANALISIS DE RIESGOS IMPACTO


Acces o no autori zado por Ingeni era Social y Phisin g (BASE DE DATO S)

PROBABILIDAD DE AMENAZA (alto=4, medio=3, bajo=2, muy bajo=1) HUMANA ENTORNO


ESCALA PARA IMPACT O (alto=4 , medio =3, bajo=2, muy bajo=1 ) Errore s del Acceso progr fsico amad Informac no or por in Autoriz falta impresa ado por de no est tercera capaci segura y s tacin controla persona en el da s rea (INFORM (INFOR (BASE ACION) MACION DE ) DATO S) Acceso no autoriza do por Ingenier a Social y Phising (APLICA CIONES PROPIET ARIAS Y ADQUIRI DAS, CODIGO ABIERT O) Ingres No Acce o Errores No se exise Error so fsico de Ingeni Spoo encu n es de no no seguri era fing entra copia segur auto autori dad social Web n en s idad rizad zado por (ESTA (SER un exter (SER o por mala CIONE VIDO sitio nas VIDO fsic tercer admini S DE R confi custo R o as straci TRAB APAC able diada APAC (OFI perso n (S.O AJO) HE) (BAC s HE) CINA nas LINUX) KUP) (BACK S) (BACK UP) UP) Falta de cumpli miento de la normati vidad de cablead o estruct urado (CABLE ADO DE RED)

Control de humed ad (CUART O DE TELECO MUNIC ACIONE S)

Poluci n (CUART O DE TELECO MUNIC ACIONE S)

Falta de cumplimi ento de la normativi dad de cableado estructur ado (RACK)

Base de Datos Backup Informacin plicaciones propietarias y adquiridas Aplicaciones de

4 3 4 4 2

4 16 12 16 16 8

4 16 12 16 16 8

3 12 9 12 12 6

3 12 9 12 12 6

4 16 12 16 16 8

4 16 12 16 16 8

4 16 12 16 16 8

4 16 12 16 16 8

4 16 12 16 16 8

4 16 12 16 16 8

3 12 9 12 12 6

4 16 12 16 16 8

4 16 12 16 16 8

4 16 12 16 16 8

3 12 9 12 12 6

4 16 12 16 16 8

4 16 12 16 16 8

Cdigo Abierto Sistemas operativos Linux Cuarto de telecomunicacion es Oficinas Cableado de estruturado Estaciones de trabajo Rack Servidor Apache

4 4 2 4 4 3 4

16 16 8 16 16 12 16

16 16 8 16 16 12 16

12 12 6 12 12 9 12

12 12 6 12 12 9 12

16 16 8 16 16

16 16 8 16 16

16 16 8 16 16

16 16 8 16 16

16 16 8 16 16

16 16 8 16 16

12 12 6 12 12 9 12

16 16 8 16 16 12 16

16 16 8 16 16 12 16

16 16 8 16 16 12 16

12 12 6 12 12 9 12

16 16 8 16 16 12 16

16 16 8 16 16 12 16

12 12 12 12 12 12 16 16 16 16 16 16 Tabla N 52. Anlisis de Riesgos