Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Trabajo de Auditoria de Una U PDF
Trabajo de Auditoria de Una U PDF
Asesor:
Francisco Solarte Solarte
Ingeniero de Sistemas
1 Introduccin .................................................................................................... 13
2 Planteamiento Del Problema .......................................................................... 14
2.1 Formulacin Del Problema ....................................................................... 14
3 Justificacin .................................................................................................... 15
4 Objetivos ......................................................................................................... 16
4.1 General ..................................................................................................... 16
4.2 Especficos ............................................................................................... 16
5 Marco Referencial ........................................................................................... 17
5.1 Antecedentes ............................................................................................ 17
5.2 Marco Terico ........................................................................................... 19
5.3 Marco Conceptual ..................................................................................... 24
5.4 Marco Contextual ...................................................................................... 29
5.4.1 Nombre De La Empresa ..................................................................... 29
5.4.2 Resea Histrica ................................................................................ 29
5.4.3 Misin ................................................................................................. 29
5.4.4 Visin ................................................................................................. 29
5.4.5 Poltica De Calidad ............................................................................. 29
5.4.6 Naturaleza Jurdica ............................................................................ 30
5.4.7 Estructura Acadmico Administrativa ......................................... 31
5.5 Marco Legal .............................................................................................. 31
6 Diseo Metodolgico ...................................................................................... 34
6.1 Investigacin Aplicada .............................................................................. 34
7 Informe Tcnico .............................................................................................. 36
7.1 Activos De Informacin ............................................................................. 38
7.2 Ethical hacking. Anlisis de Vulnerabilidades .......................................... 40
7.2.1 Evaluacin De Vulnerabilidades ..................................................... 41
8 ............................................................................................................................. 42
7.2.2 Mapa De Red ....................................................................................... 45
7.2.3 Mapa Software (S.I. Acadmico) ........................................................ 46
8.1 Resumen Informativo Y Funcional Sistemas De Informacin Sensibles
47
8.1.1 Sistema De Reserva De Salas De Reunin. (MRBS) .................... 47
8.1.2 GLPI ................................................................................................... 47
8.1.3 Sistema De Informacin Acadmico Y De Gestin. (SIAG) ............... 48
8.2 Resumen Del Diagnstico D e Servicios Ms Relevantes ....................... 50
8.3 Anlisis Y Evaluacin De Riesgos Basado En Magerit V.3 ...................... 52
8.3.1 Proceso P1: Planificacin ................................................................... 53
8.3.2 Proceso P2: Anlisis De Riesgos ....................................................... 54
8.3.3 Proceso P3: Estimacin Del Estado De Riesgo ................................. 83
8.3.4 Interpretacin De Los Resultados ...................................................... 88
9 Controles ........................................................................................................ 91
9.1 Mecanismos De Control De Activos ......................................................... 92
9.2 Resumen De Controles............................................................................. 95
10 Polticas De Seguridad Informtica .............................................................. 98
10.1 Seguridad Relacionada Al Personal ..................................................... 99
10.1.1 Funcionarios ................................................................................... 99
10.1.2 Capacitacin ................................................................................... 99
10.1.3 Incidentes Y Atencin A Usuarios ................................................. 100
10.2 Seguridad Lgica ................................................................................. 100
10.2.1 Control De Acceso ........................................................................ 100
10.2.2 Administracin De Acceso De Usuarios........................................ 101
10.2.3 Uso De Contraseas ..................................................................... 102
10.2.4 Responsabilidades De Los Usuarios ............................................ 102
10.2.5 Uso Del Correo Electrnico........................................................... 103
10.2.6 De Acceso A Terceros .................................................................. 103
10.2.7 De Acceso a La Red ..................................................................... 104
10.2.8 De Backups................................................................................... 104
10.2.9 Servidores ..................................................................................... 105
10.2.10 Equipos De Cmputo .................................................................... 105
10.3 Responsabilidades Y Procedimientos Operativos ............................... 105
10.3.1 Proteccin Contra Sofware Malicioso ........................................... 106
10.3.2 Mantenimiento .............................................................................. 106
10.3.3 Control de Medios de Almacenamiento ........................................ 106
10.4 Seguridad Fsica.................................................................................. 106
10.4.1 De Los Equipos............................................................................. 106
10.5 Seguridad Legal .................................................................................. 107
10.5.1 Licenciamiento De Sofware .......................................................... 107
11 Recomendaciones ..................................................................................... 108
12 Conclusiones.............................................................................................. 109
13 Bibliografa ................................................................................................. 110
14 Anexos ....................................................................................................... 114
14.1 Anexo A: Clasificacin De Los Activos ................................................ 114
14.2 Anexo B : Valoracin De Activos Escala Estndar ........................... 115
14.3 Anexo C: Encuesta Aplicada ............................................................. 119
14.4 Anexo D: Catalogo De Salvaguardas ................................................. 124
14.5 Anexo E: Valoracin De Riesgos ......................................................... 128
14.6 Anexo D: Propuesta; Formato de Poltica De Seguridad ................... 133
Lista de Tablas
Es por esto que los activos de informacin han pasado a formar parte de la
actividad cotidiana de organizaciones e individuos; los equipos de cmputo
almacenan informacin, la procesan y la transmiten a travs de redes y canales de
comunicacin, abriendo nuevas posibilidades y facilidades a los usuarios, pero se
deben considerar nuevos paradigmas en estos modelos tecnolgicos y tener muy
claro que no existen sistemas cien por ciento seguros, porque el costo de la
seguridad total es muy alto (aunque en la realidad no es alcanzable idealmente), y
las organizaciones no estn preparadas para hacer este tipo de inversin.
13
2 Planteamiento del Problema
14
3 Justificacin
Este es uno de los retos que debe asumir la institucin para estar acorde a los
modelos y estndares actuales; para ello es necesario empezar con la ejecucin
del anlisis de riesgos de la seguridad de la informacin que en un futuro ser la
base para implementar el sistema de gestin de seguridad de la informacin
(SGSI), que permitir mantener un modelo de negocio estable logrando un valor
agregado y posicionamiento a nivel regional.
15
4 Objetivos
4.1 General
4.2 Especficos
16
5 Marco Referencial
5.1 Antecedentes
1
PALLAS MEGA, Gustavo. Metodologa de implantacin de un SGSI en un grupo empresarial
jerrquico. Universidad repblica de Montevideo (Uruguay), 2009.
17
traducido en herramientas capaces de proporcionar soluciones rpidas y sencillas
a problemas tcnicos de seguridad. Desafortunadamente, no es suficiente
simplemente arreglar los errores o eliminar las fallas tcnicas de seguridad. El
problema va mucho ms all. La Seguridad Informtica es un problema cultural,
en el que el usuario juega un rol protagnico. La metodologa para el
aseguramiento de entornos informatizados - MAEI2, resalta la importancia de
tener una metodologa clara para realizar un anlisis de riesgos e identificar
claramente vulnerabilidades, riesgos y amenazas presentes en los activos de
informacin, ser gestionados y que permita optimizar los procesos
organizacionales.
2
BISOGNO, Mara Victoria. Metodologa para el aseguramiento de entornos informatizados
MAEI. Buenos Aires Argentina. Universidad de Buenos Aires, 2004.
3
AVILA ARZUZA, Maribel. Implantacin de un SGSI. Barcelona- Espaa - Universitat Oberta de
Catalunya, 2012.
18
5.2 Marco Terico
Seguridad de la Informacin
4
ISO 2700. Sistema de gestin de seguridad de la informacin. Trminos de uso informacin
iso27000.es , 2012
5
PAREDES F. Geomayra y VEGA N. Mayra. Desarrollo de una metodologa para la auditora de
riesgos Informticos (fsicos y lgicos) y su aplicacin al Departamento de
Provincia de Chimborazo- Ecuador
Escuela Superior Politcnica De Chimborazo, 2011.
19
conversacin. Debera protegerse adecuadamente cualquiera que sea la forma
que tome o los medios por los que se comparta o almacene6.
6
RUIZ L. Hernando. RESOLUCION 160-005326 Poltica de Seguridad de la informacin de la
Superintendencia de Sociedades. 2008.
7
NTP-ISO/IEC 1779. Norma tcnica Peruana. EDI, Tecnologa de la informacin. Cdigo de
buenas prcticas para la gestin de la seguridad de la informacin, 2007, p.8.
20
Gran variedad de Riesgos y Amenazas: Fraudes, espionaje, sabotaje,
vandalismo, incendio, inundacin, hacking, virus, denegacin de servicio,
etc; Provenientes de mltiples fuentes.
Mayor vulnerabilidad a las amenazas por la dependencia de los sistemas y
servicios de informacin interconectados.
La mayora de los sistemas de informacin no han sido diseados para ser
seguros.
S g A b C G z z: E g
el cual hay una exposicin a la adversidad, conformada por una combinacin de
, y b
8
IZQUIERDO D, Fernando. La administracin y los riesgos. [en line]. EN: Maxitana C, Jennifer D.
(Auditor en control de gestin). Tesis: Administracin de riesgos de tecnologa de informacin de
una empresa del sector informtico. Guayaquil Ecuador: Escuela Superior politcnica del Litoral,
2005. P.39. http://www.cib.espol.edu.ec/Digipath/D_Tesis_PDF/D-33960.pdf
9
VILCHES T, Martn. El riesgo [en line]. EN: Machuca C, John. (Magister en Contabilidad y
Auditora). Tesis Gua para la evaluacin del sistema de riesgo operativo en la Cooperativa de
Ahorro y Crdito Jardn Azuayo. Cuenca Ecuador. Universidad de Cuenca, 2011. P.21.
http://dspace.ucuenca.edu.ec/bitstream/123456789/2729/1/tm4487.pdf
21
Es decir es la posibilidad de la ocurrencia de un hecho o suceso no deseado o la
no-
22
de MAGERIT10 el cual puede aplicarse o no en su totalidad, dependiendo de la
complejidad misma del proyecto es el siguiente:
Auditora Informtica
La auditora informtica comprende gran variedad de conceptos, parmetros y
normativas tendientes a mejorar procesos y procedimientos internos a nivel
10
BOLAOS, Maria C y ROCHA G. Mnica. 25 de marzo de 2014. Auditoria de SI. Magerit
V3(Metodologia de Analisis y Gestion de Riesgos de los Sistemas de Informacoin).[en linea]:
http://asijav.weebly.com/auditoria-de-sistemas-de-informacioacuten/magerit-v3-metodologa-de-
anlisis-y-gestin-de-riesgos-de-los-sistemas-de-informacion.
23
organizacional, por medio de mecanismos de control interno; algunos mtodos se
basan en buenas prcticas de gobierno corporativo o la aplicacin de
transparencia en el actuar de las organizaciones vista como un activo ms de la
misma y encaminada o proyectada en trminos de eficiencia corporativa.
Segn el autor Fernando Pons en un artculo publicado en la revista nuevas
tecnologas, En sus inicios, el auditor informtico surge como un apoyo a los
tradicionales equipos de auditora. Su labor de apoyo consista bsicamente en la
obtencin de informacin financiera de los sistemas de informacin en los que
resida y tratarla, con herramientas especficas para cantidades masivas de datos
as facilitar la labor de los equipos de auditora financiera.
Entre las grandes ventajas que el apoyo del auditor informtico ofreca era el dar
la validacin del total de la informacin revisada o auditada, en lugar de los
habituales procedimientos de muestreo. Dicha labor contina siendo hoy da una
de las principales tareas del auditor informtico. Actualmente es fcil encontrar
auditores informticos manipulando informacin para validar informacin compleja
de obtener, tal como lo es la informacin del mbito financiero, informacin
acadmica en instituciones de educacin superior, o en mbitos productivos el de
la amortizacin de inmovilizados o la valoracin de existencias. Conforme el
auditor, indaga y cuestiona o valora cada dato en un proceso organizacional va
profundizando su conocimiento en la gestin de los negocios importantes de la
organizacin y a su vez es capaz de plantear objetivos de control que tratarn de
proteger la informacin en su totalidad o parcialmente de acuerdo a las funciones
organizacionales y a la definicin de lmites de acuerdo a los niveles de criticidad
de la informacin identificados por cada organizacin.
24
de lado la seguridad fsica aplicada a los equipos donde se encuentra
almacenada.
La gestin de la seguridad debe ser planteada tanto en la parte lgica como fsica
a travs de los planes de contingencia, polticas de seguridad y aplicacin de
normativas.
Integridad: Los componentes del sistema slo pueden ser creados y modificados
por los usuarios autorizados.
Disponibilidad: Los usuarios deben tener disponibles todos los componentes del
sistema cuando as lo deseen. De nada sirve la informacin si se encuentra intacta
en el sistema pero los usuarios no pueden acceder a ella
25
Otras caractersticas y conceptos que se relacionan con el proyecto y deben ser
tenidos en cuenta por su composicin terica son los siguientes:
26
SGSI11: Un Sistema de gestin de la seguridad de la informacin, es como su
nombre lo expresa un sistema que se encarga de proveer una cantidad de
mecanismos y herramientas basados en la norma ISO 27001 y tiene por objetivo
conocer al interior de la institucin a los que puede estar expuesta la informacin,
define como se deben gestionar los riesgos y debe ser un marco de referencia
para la institucin el cual debe ser conocido por todo el personal y debe estar
sometido a una revisin y a un proceso de mejora constante.
Los anteriores aspectos deben ser tenidos en cuenta al momento de elaborar las
polticas y procedimientos de una organizacin para evitar pasar por alto aspectos
importantes para que as los usuarios y los sistemas realicen sus procedimientos
de la mejor manera posible, de forma concreta y clara adems se debe tener
presente los derechos y lmites de usuarios y administradores. Sin embargo antes
de realizar cualquier accin para lograr garantizar estos servicios, es necesario
asegurarnos de que los usuarios conozcan las polticas para no generar un
ambiente de tensin y/o agresin.
La informacin.
Es uno de los elementos ms importantes dentro de una organizacin. La
seguridad informtica debe ser administrada segn los criterios establecidos por
los administradores y personal capacitado, previendo que usuarios externos y no
autorizados puedan acceder a ella sin autorizacin. Evitando que corra el riesgo
de que la informacin sea utilizada maliciosamente para obtener ventajas de ella o
11
COLOMBIA. ICONTEC. Compendio: Sistema de gestin de la seguridad de la informacin
(SGSI) Norma Tcnica Colombiana, 2009.
27
que sea manipulada; llegando a obtener posteriormente datos errneos e
incompletos.
La infraestructura computacional.
Parte esencial para gestionar, administrar y almacenar la informacin
indispensable dentro del normal funcionamiento de la Institucin. El papel que
desempea la seguridad informtica en este punto es velar que el hardware (parte
fsica) tengan un ptimo funcionamiento y logre evitar problemas relacionados con
robo, incendios, desastres naturales, bloqueos, fallas en el suministro elctrico,
vandalismo, entre otros que lleguen a afectar directamente la infraestructura
informtica.
Los usuarios.
Son las personas que estn directamente involucradas con la infraestructura
tecnolgica, comunicaciones y administradores de la informacin. La seguridad
informtica debe establecer normas que minimicen los riesgos tanto de
informacin como de su infraestructura, dentro de dichas normas de debe
contemplar, horarios de acceso, restricciones fsicas y lgicas, permisos,
denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo esto
debe estar regido por estndares y normas que minimicen los riesgos y el
impacto en caso de llegar a presentar un siniestro.
28
5.4 Marco Contextual
En sus inicios se llam "Colegio Mayor de Cultura Popular del Cauca", abre sus
puertas a las jvenes de Popayn el 13 de Noviembre de 1967, como una
alternativa de educacin formal, aunque no se denominaba, en ese
entonces, educacin superior, acoge mujeres de la ciudad y rompe la
tradicin de sus homlogos del pas recibiendo en su primera promocin algunos
pocos varones.
Por medio del Decreto 5858 del 03 de septiembre del 2008 se concede la
reforma estatutaria conducente a cambio de carcter acadmico de
institucin tecnolgica a institucin Universitaria. Y en el primer semestre
del ao 2010 brinda las carreras profesionales en Administracin de empresas y
Arquitectura.
5.4.3 Misin
5.4.4 Visin
29
La Institucin Universitaria Colegio Mayor del Cauca tiene el compromiso
social de formar personas con competencias intelectuales, ticas y estticas;
implementando programas con pertinencia para la construccin de
regin, buscando el mejoramiento continuo de los procesos en cumplimiento de
su misin y visin
Programas Profesionales
Arquitectura
Administracin Financiera
Administracin de Empresas
Diseo Visual
Ingeniera Informtica
Programas Tecnolgicos
Delineante de Arquitectura e Ingeniera
Desarrollo de Software
Gestin Empresarial
Gestin Comercial y de Mercados
Gestin Financiera
Cursos De Extensin
Ingls Infantil
Ingls Adultos
Curso de Msica
Curso de Pintura
Educacin Continuada
Diplomado en Arquitectura y Urbanismo Sostenible
Posgrados
Especializacin en Administracin de la Informacin y Bases de Datos
30
5.4.7 Estructura Acadmico Administrativa
Para suplir esta necesidad la Institucin Universitaria debe tomar como soporte el
los estndares de la norma ISO/IEC 27000 las siguientes y legislaturas tanto
nacionales como internacionales:
13
CALDER, Alan. Implementing information security based on ISO 27001/ISO 27002, ISBN
9087538189, 2012.
31
Norma ISO/IEC 270014 : Familia de estndares donde especifica claramente los
parmetros sobre seguridad de la informacin, para desarrollar, implementar y
mantener los sistemas de gestin de seguridad de la informacin, entre ellos:
Magerit17 est compuesta por tres libros, el libro I, describe el mtodo a seguir
para la ejecucin del anlisis de riesgos. El libro II; catlogo de elementos
14
ISO 27000 Directory. [en linea] http://www.27000.org/
15
COLOMBIA. MINISTERIO DE TECNOLOGAS DE LA INFORMACIN Y DE LAS
TELECOMUNICACIONES (MinTIC).
16
Portal administracin electrnica. MAGERIT v3: Metodologia de Analisis y Gestion de Riesgos de
los sistemas de informacin. [en lnea].
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Mage
rit.html#.VCmVZhZRVJQ
17
DIRECCIN GENERAL DE MODERNIZACIN ADMINISTRATIVA. MAGERIT versin 3.0.
Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. Libro I: Mtodo
Libro II: Catlogo de Elementos, Libro III: Gua de Tcnicas. 2012
32
discriminados en: activos, amenazas, vulnerabilidades, impacto, riesgo y
salvaguardas. Y el libro III, es la gua de tcnicas para realizar el anlisis final y
gestin de riesgos, se puede aplicar tcnicas cualitativas o cuantitativas.
33
6 Diseo Metodolgico
E g E b
g y K S , entfico cognitivo y
H w k g b y gy (2007, 106) 18
18
Romn Valdes Cesardari. Enero 2014. Recurso digital: generacin del conocimiento. [en lnea] :
http://issuu.com/lizbethfuentes6/docs/m2-t1
34
Generacin del plan de trabajo y establecimiento de plazos de tiempo: Esta
actividad hace referencia a la generacin de un cronograma de actividades
a nivel general que establezca lmites de tiempo y asignacin de tareas
para lograr el desarrollo del proyecto.
35
7 Informe Tcnico
Etapa 1:
La primera etapa fue un reconocimiento de infraestructura fsica y tecnolgica as
como la recoleccin de documentacin e informacin relevante para el desarrollo
del proyecto:
Informacin contextual de la institucin
Manuales de configuracin por parte de fabricantes o elaborados por
personal del rea en cuanto a servicios, servidores y dispositivos de red.
19
PHVA Qu es el ciclo PHVA?. Enero 09 de 2010. Blog de Seguridad informtica. [en linea].
http://securityjeifer.wordpress.com/tag/phva/
36
Estudios o contrataciones relacionados con seguridad de la informacin.
Manuales de usuario, manuales de operacin de sistema de informacin
propios o de terceros.
Procesos y procedimientos definidos del personal de soporte tcnico o de
atencin a usuarios para la solucin de incidencias.
Etapa 2:
En esta fase luego de comprender la estructura organizacional y su manera de
operacin, basada en el modelo de negocio (actividad principal) de la institucin,
se clasifican activos por criticidad, se definen planes para realizar y obtener datos
sobre el estado de seguridad a nivel hardware y software de equipos, servicios,
procesos y procedimientos; adems de conseguir informacin con respecto a
instalaciones fsicas.
Etapa 3:
Con la informacin obtenida y el otorgamiento de acceso restringido sobre ciertos
servicios, equipos o servidores y conociendo el direccionamiento e infraestructura
tecnolgica, se procede con el montaje de un escenario de pruebas, basado en
herramientas de escaneo y anlisis para detectar posibles vulnerabilidades a nivel
de servicios, protocolos o puertos; pruebas sobre conformacin de contraseas,
modos de acceso y en general test que se encaminan a determinar el estado
actual de seguridad en la infraestructura de red e informacin a nivel general.
37
ser el punto de partida del anlisis de riesgos informticos sobre los
servicios de red y aplicaciones definidas por su criticidad.
Se utilizan las herramientas de escaneo de vulnerabilidades previamente
seleccionadas, se evaluaron aspectos importantes como intentos de acceso
por fuerza bruta sobre aplicativos web, tipo de codificacin y/o cifrado de
contraseas y fortaleza de las mismas, se realizaron pruebas de acceso
entre subredes y segmentos con tal de evadir sistemas de proteccin fsica
y lgica como Vlans en switches, sistema VPN y polticas de restriccin
entre zonas configuradas en firewall; por otro lado se realizaron pruebas de
escalamiento de privilegios y acceso remoto. Cabe aclarar que muchas de
las pruebas se aplicaron sobre mquinas virtualizadas, creando de esta
forma un ambiente de pruebas que no comprometiera los sistemas crticos
que estn en produccin.
Con los datos obtenidos, se realiza un anlisis y clasificacin de activos de
informacin en riesgo para definir y sugerir controles o salvaguardas,
ayudando de esta manera a minimizar el impacto de materializacin de
amenaza detectada.
38
Extintores de diferentes tipos segn la ubicacin del extintor, entorno,
equipos y elementos de cada sitio.
Equipos de Cmputo
En total se dispone de trescientos ochenta y un (381) equipos de cmputo,
distribuidos en seis (6) salas de cmputo y cuatro (4) laboratorios de uso
estudiantil sumando 270 equipos. Ciento once (111) equipos de cmputo de
uso administrativo y docente.
39
7.2 Ethical hacking. Anlisis de Vulnerabilidades
Este informe tcnico pretende dar a conocer algunas de las pruebas, anlisis y
resultados obtenidos con base a herramientas utilizadas y teniendo presente a
nivel de gua la metodologa Magerit v.3 para el anlisis y gestin de los riesgos
encontrados as como las posibles fallas, amenazas o vulnerabilidades que se
pueden presentar en la Institucin Universitaria Colegio Mayor del Cauca y que
afecten directa o indirectamente la seguridad de la informacin que administra o
manipula el personal administrativo y docente.
40
7.2.1 Evaluacin De Vulnerabilidades
41
vulnerabilidades, entre Informacin de datos de
ellas Nessus, OWASP wte Logistica Vulnerabilidades de cdigo
y Nikto, las cuales basan (MRBS, GLPI e abierto que podemos
su anlisis de Inventario) encontrar en el sitio web
vulnerabilidades de http://www.osvdb.org,
acuerdo a bases de datos ingresamos al sitio y
con las ltimas podemos buscar la
detecciones de fallos a informacin referente a
nivel de sistemas cualquiera de los IDS o
operativos, aplicativos o vulnerabilidades
servicios. encontradas por Nikto.
Owasp centra su anlisis a
las vulnerabilidades de
servicios y servidores web
al igual que Nessus.
Se encuentran
vulnerabilidades a nivel de
versiones obsoletas en
sistemas operativos,
versiones con altos riesgos
de amenazas y
vulneracin en servidores
web como apache y
agujeros en IIS.
43
5. Pruebas de penetracin Servidores y Diciembre Mildred La explotacin de
aprovechando las aplicativos web 2013 Caicedo C. vulnerabilidades en el
vulnerabilidades que enlazan a Enero 2014. - ambiente de pruebas
encontradas con las mdulos o John Jairo demostr que existen
herramientas de escaneo sistemas de Perafn R. fallas de seguridad, como
de vulnerabilidades, las informacin agujeros por falta de
pruebas se realizaron con sensibles. Los Manuel E. actualizaciones en
herramientas tipo httpprint servicios y Prado webserver, aplicacin de
comparando las firmas de servidores (Responsa parches de seguridad,
versiones del web server puestos a ble malas prcticas para la
objeto de anlisis con las prueba fueron mantenimie asignacin de passwords y
listas de explotacin y virtualizadas en nto y problemas en algoritmos
fallas a nivel de VMWare 7 con desarrollo de cifrado de las mismas,
configuracin o copias exactas SIAG) errores de codificacin
codificacin. de su segura que permiten
informacin y Gabriel M. ejecutar ataques tipo SQL
configuracin Melo A. Injection. Este framework
como resultado (Web adems de los ataques por
de la creacin Master) fuerza bruta, permite
de un ambiente configurar peticiones
de pruebas. especiales que pueden
evadir al IPS con mdulos
como el mod_security y
RnDCase aunque no fue
posible evaluarlo en el
entorno real para
comprobar la efectividad
del IPS.
44
7.2.2 Mapa de Red
45
7.2.3 Mapa Software (S.I. Acadmico)
46
8.1 Resumen Informativo y Funcional Sistemas de Informacin Sensibles
Cualquier persona puede acceder para consultar este sistema desde cualquier
terminal conectado a la red de la Institucin para obtener informacin actualizada
de salas, laboratorios y salones de clase, su disponibilidad y ocupacin en un
momento dado.
8.1.2 GLPI
47
Figura 7: Interfaz GLPI en la institucin
48
Figura 8: Mdulo de Gestin Acadmica SIAG
49
actividades ms relevantes que le permitan al lector entender cul debera ser el
proceso adecuado para realizar el anlisis de los riesgos y su posterior tratamiento
a partir de la definicin de controles o salvaguardas y de igual manera a partir de
la identificacin de los activos ms crticos poder definir la lnea base que nos
facilitara el proceso de Ethical Hacking o Pentest con herramientas que nos
permitan tener resultados ms aproximados de las verdaderas fallas en sistemas
de informacin, aplicaciones web, entre otros..
Para realizar las primeras pruebas que nos indicaran la carencia de controles, nos
enfocaremos en el desarrollo de una prueba de intrusin a uno de los servicios de
la Institucin.
50
Se procedi a identificar la direccin IP del servidor que aloja el servicio, luego con
la IP se procede a buscar ms informacin del sitio como hosting, propietario,
DNS, tipo de servidor web, entre otra informacin para ello hacemos uso de una
herramienta en lnea.
51
lanzadas desde la distribucin de herramientas libres para hacking tico Backtrack
y algunas herramientas en lnea como Qualys.
En general estas son algunas de las tantas pruebas realizadas a los activos
identificados previamente en el anlisis de riesgos, sin embargo es importante
recalcar que toda prueba de penetracin o testeo se debe preparar y si es
contratada con un tercero se debe establecer un acuerdo de confidencialidad.
Firmados los acuerdos de confidencialidad, alcance y lmites de las pruebas se
deben definir y preparar las lneas base para los servicios a ser probados, la lnea
base corresponde a definir el tipo de pruebas, tcnicas y herramientas a utilizar,
para el caso en mencin se tomaron lneas base para servicios web.
Otro tema importante es mencionar que la seguridad no solo se mide sobre los
recursos informticos si no sobre todo el entorno donde se encuentran ubicados y
trabajando dichos recursos, es decir se debe evaluar la seguridad lgica, la fsica
y al ambiental, que requiere la utilizacin de tcnicas como: la observacin directa,
la encuesta y por supuesto el hacking tico, para la evaluacin de la parte fsica, a
continuacin se ilustran algunos ejemplos simples de revisiones a la seguridad.
52
8.3.1 Proceso P1: Planificacin
Esta actividad tiene como objetivo especfico, realizar un diagnstico del estado
de seguridad en que se encuentran los activos de informacin y los tecnolgicos
dentro de la IUCMC, adems de motivar a la alta direccin para implementar un
SGSI.
Con el aval del asesor TIC de la IUCMC se inicia el proceso de anlisis de riesgos
y se adopta la tcnica de observacin directa y entrevista para la recoleccin de la
informacin siendo estas las ms apropiadas, ya que se tiene la ventaja de que los
integrantes del equipo de trabajo est directamente involucrado con los procesos y
sistemas informticos existentes en la institucin.
53
8.3.2 Proceso P2: Anlisis de Riesgos
Fuente: http://slideplayer.es/slide/1649894/
Los activos presentes en la Institucin Universitaria Colegio Mayor del Cauca, son
identificados y clasificados tomando como base el Libro II de la metodologa
54
MAGERIT versin 3, en donde nos presenta el catlogo de elementos (Ver Anexo
A):
55
Dependencia de los activos del tipo APLICACIONES INFORMATICAS:
- Las aplicaciones que lo soportan.
- Los equipos que lo hospedan.
- El personal del que depende.
56
Dependencia de los activos del tipo EQUIPAMIENTO INFORMATICO:
- Las instalaciones que lo acogen.
- El personal que lo gestiona.
57
Figura 18: Dependencia de activos tipo Redes de comunicaciones
Recorrido Bottom Up
Los activos que son soportados por el tipo de activos PERSONAL son:
58
Figura 20: Recorrido Bottom-Up activos Equipamiento informtico
59
- Los servicios que habilita.
60
Figura 24: Recorrido Bottom-Up activos Aplicaciones
L z z
de una amenaza. La valoracin que recibe un activo en una cierta dimensin es la
medida del perjuicio para la organizacin si el activo se ve daado en dicha
20
Tomado de: 2012_Magerit_v3_libro2_catlogo de elementos_es_NIPO_630-12-171-8. un activo
en una cierta dimensin es la medida del perjuicio para la organizacin si el activo se ve daado en
61
1-2 Bajo B Dao Menor.
0 Despreciable D Irrelevante a efectos prcticos.
Fuente: Magerit V.3 - Libro II - Catlogo de Elementos
62
[10.olm] Probablemente cause un dao excepcionalmente serio a la eficacia o
seguridad de la misin operativa o logstica
[1.lg] Pudiera causar una prdida menor de la confianza dentro de la
organizacin
63
[7.olm] Probablemente perjudique la eficacia o seguridad de la misin
operativa o logstica
64
[9.si] probablemente sea causa de un serio incidente de seguridad o dificulte la
investigacin de incidentes serios
[9.da] Probablemente cause una interrupcin excepcionalmente seria de las
actividades propias de la Organizacin con un serio impacto en otras
organizaciones
[6.po] probablemente cause manifestaciones, o presiones significativas
[3.adm] probablemente impedira la operacin efectiva de una parte de la
Organizacin
65
Valoracin de Activos Tipo: Redes de Comunicaciones
66
[7.lro] probablemente cause un incumplimiento grave de una ley o
regulacin
[10.si] probablemente sea causa de un incidente excepcionalmente serio
de seguridad o dificulte la investigacin de incidentes excepcionalmente
serios
[9.cei.e] constituye un incumplimiento excepcionalmente grave de las
obligaciones contractuales relativas a la seguridad de la informacin
proporcionada por terceros
[9.da] Probablemente cause una interrupcin excepcionalmente seria de las
actividades propias de la Organizacin con un serio impacto en otras
organizaciones
[6.po] probablemente cause manifestaciones, o presiones significativas
[7.olm] Probablemente perjudique la eficacia o seguridad de la misin
operativa o logstica
[2.lg] Probablemente cause una prdida menor de la confianza dentro de la
Organizacin
67
Valoracin de Activos Tipo: Equipamiento Auxiliar
Tabla 8: Valoracin activos tipo: Equipamiento informtico
68
(19) [1.lro] pudiera causar el incumplimiento leve o tcnico de una ley o
regulacin.
[1.si] pudiera causar una merma en la seguridad o dificultar la investigacin
de un incidente
69
[9.lro] probablemente cause un incumplimiento excepcionalmente grave de
una ley o regulacin
[9.si] probablemente sea causa de un serio incidente de seguridad o
dificulte la investigacin de incidentes serios
[9.cei.b] de muy elevado valor comercial
[9.da] Probablemente cause una interrupcin excepcionalmente seria de las
actividades propias de la Organizacin con un serio impacto en otras
organizaciones
[3.po] causa de protestas puntuales
[10.olm] Probablemente cause un dao excepcionalmente serio a la
eficacia o seguridad de la misin operativa o logstica
[7.adm] probablemente impedira la operacin efectiva de la Organizacin
[9.lg.b] Probablemente causara una publicidad negativa generalizada por
afectar de forma excepcionalmente grave a las relaciones a las relaciones
con el pblico en general
[4.crm] Dificulte la investigacin o facilite la comisin de delitos
70
[2.lg] Probablemente cause una prdida menor de la confianza dentro de la
Organizacin
Para el desarrollo de esta actividad es necesario tener presente los rangos dados
en los siguientes cuadros tanto de frecuencia como de degradacin.
Frecuencia de Amenazas
71
MB Degradacin MUY BAJA del
1%
activo
Fuente: Magerit V.3 - Libro II - Catlogo de Elementos
[E.1] Errores de los usuarios: Se considera que este tipo de amenaza llegue a
presentarse frecuentemente debido a que los usuarios o personal nuevo no es
y
su degradacin es considerada de muy alto impacto en la dimensin de
Disponibilidad porque dichos activos estn directamente relacionados con los
servicios y el modelo de negocio de la institucin Universitaria Colegio Mayor del
Cauca; en caso de materializarse esta amenaza se tendr una paralizacin de
casi el 90% de los servicios.
[E.2] errores del administrador: Se da un valor ALTO, ya que si llegase a
b y
servicios que ellos soportan se ver seriamente afectada y debido a que el
personal encargado de la administracin de estas aplicaciones es altamente
calificado; la probabilidad de ocurrencia en POCO FRECUENTE.
[E.4] Errores de configuracin: Se valora como de ALTA degradacin porque
debido a una mala configuracin en los activos pertenecientes a las aplicaciones
informticas llevara a ataques como intrusin, denegacin de servicios, robo de
72
informacin, etc. Afectando directamente el corazn informtico de la Institucin
Universitaria llevndola a un suspensin de los servicios ofrecidos.
[E.14] Escapes de informacin: Se considera que la afectacin sera Alta para
la dimensin de Confidencialidad, ya que si hay escape de informacin esta puede
ser modificada o usada para beneficios propios llevando a prdida de confianza
Institucional.
[E.18] Destruccin de informacin: Dado el caso de llegarse a presentar esta
amenaza las dimensiones ms afectadas son la Disponibilidad y la
Confidencialidad, porque los activos de las aplicaciones informticas guardan toda
la informacin que se maneja a diario dentro de los procesos de la Institucin
universitaria.
[A.11] Acceso no autorizado. La dimensin que afecta directamente es la
Disponibilidad y se considera muy alta porque al presentarse una intrusin
desencadenara la materializacin de las amenazas [E.14], [E.18] y [A.15] entre
otras.
[A.15] Modificacin de la informacin: Afectar directamente la dimensin de
integridad en un nivel muy alto, porque de presentarse ataques de modificacin de
informacin se van a ver alterados los datos almacenados en los activos
pertenecientes a este grupo, causando un caos informtico y arrojando datos
errneos a la hora de las consultas y transacciones en cada uno de los procesos
normalizados dentro de las labores institucionales.
73
funcionamiento. Pero en caso de sufrir un ataque por esta amenaza se
experimentara una suspensin de los servicios en un nivel muy alto, cerca al
100%.
74
Justificacin de Amenazas Redes de Comunicaciones
[E.2] Errores del administrador: Por errores del administrador se puede llegar a
tener un Alto grado de degradacin en las dimensiones de disponibilidad y
confidencialidad ya que al no ser un dispositivo propio la administracin est en
manos de la Empresa prestadora de este servicio.
75
Autorizado.
[A.23] Manipulacin de
FN A
los equipos.
Fuente: Esta Investigacin
76
acceso a travs de una clave para desactivar la alarma de acceso, pero a estas
zonas puede acceder cualquier persona sin tener un permiso especial de acceso,
al igual que a las salas de computo donde puede acceder cualquier usuario sin
restriccin ni control alguno.
77
Justificacin de Amenazas Instalaciones
78
concientizacin del personal en las mejores prcticas de seguridad informtica.
Llevando a una afectacin Alta en la dimensin de confidencialidad.
Descripcin de Salvaguardas
79
pero nunca son cerradas presentando al final del semestre datos errneos en los
indicadores y resultados de satisfaccin de usuario.
Descripcin De Salvaguardas
80
Salvaguardas Activos: Proteccin De Los Servicios
81
Salvaguardas Activos: Proteccin De Las Aplicaciones (Software)
82
procedimiento estricto para el cumplimiento y seguimiento de labores en el mbito
preventivo, predictivo y correctivo as como de la calidad y efectividad de la
asistencia a incidencias y que se relacionan con la dimensin de Disponibilidad y
Trazabilidad.
Internet (Uso de? Acceso a?): Se aplican y monitorean perfiles para asegurar el
acceso a internet, no solo en el perfil de seguridad aplicado se evalan y
restringen los accesos a sitios especficos o se aplican tcnicas de webfiltering,
tambin se gestiona trfico y disponibilidad de ancho de banda, escaneo de
posibles virus y capacidad de descarga en cuanto a un lmite de tamao por
archivo. Se relacionan las dimensiones de Disponibilidad, Confidencialidad y
Trazabilidad. La evaluacin en general del salvaguarda se mantiene constante y
en buenos criterios de efectividad.
83
8.3.3.1 Actividad A.3.1: Estimacin Del Impacto
El objetivo de esta actividad es determinar el alcance del dao producido sobre los
activos de informacin en caso de llegarse a materializar una amenaza.
Se evala el grado de repercusin que pueda presentar cada activo, dentro de las
dimensiones de valoracin analizadas anteriormente como son: Disponibilidad,
Integridad, Confidencialidad, Autenticidad y Trazabilidad, haciendo uso de la
siguiente tabla de doble entrada (ver tabla) propuestas por Magerit v.3.
Los activos con calificacin Media debern ser re-evaluados para mejorar, cambiar
o adaptar nuevos controles, los de calificacin Alta y muy alta debern ser objeto
atencin Urgente.
84
Tabla 27: Valoracin impacto en activos de informacin
Impacto Impacto
ACTIVO AMENAZA acumulado residual
D I C A T D I C A T
[E.1] Errores de los
usuarios
[E.2] errores del
administrador
[E.4] Errores de
configuracin
APLICACIONES [E.14] Escapes de
INFORMATICAS informacin
[E.18] Destruccin de
informacin
[A.11] Acceso no
autorizado
[A.15] Modificacin de
la informacin
[E.20] Vulnerabilidades
de los programas
[A.5] Suplantacin de la
identidad del usuario
SERVICIOS
[A.8]Difusin de
Software daino
[A.24]Denegacin de
Servicios
[N.*] Desastres
Naturales
[I.5]Avera de origen
fsico o lgico
REDES DE
[I.8]Fallo de Servicio de
COMUNICACION
comunicaciones
ES
[E.2] Errores del
administrador
[A.4]Manipulacin de
Configuracin.
[N.1] Fuego.
[I.2] Daos por Agua.
[I.5] Avera de origen
EQUIPAMIENTO fsico o lgico
INFORMATICO [E.23] Errores de
mantenimiento/
actualizacin de
equipos (hardware).
85
[A.11] Acceso no
Autorizado.
[A.23] Manipulacin de
los equipos.
EQUIPAMIENTO [I.5] Avera de origen
AUXILIAR fsico o lgico
[A.26] Ataque
INSTALACIONES
destructiva
[E.7] Deficiencia en la
organizacin.
[E.15]Alteracin
PERSONAL
accidental de la
informacin
[A.30]Ingeniera Social
Fuente: Esta Investigacin
Frecuencia
Riesgo
PF FN F MF
MA M A MA MA
A B A MA MA
Impacto M B M A A
B MB B M A
MB MB MB B B
86
Para la estimacin del riesgo se toman los valores de la frecuencia de ocurrencia
de cada amenaza frente a los activos e impacto acumulado ya que estos son los
activos que necesitan una accin urgente.
87
(hardware).
[A.11] Acceso no
FN
Autorizado.
[A.23] Manipulacin de los
FN
equipos.
EQUIPAMIENTO [I.5] Avera de origen fsico
PF
AUXILIAR o lgico
INSTALACIONES [A.26] Ataque destructiva PF
[E.7] Deficiencia en la
FN
organizacin.
PERSONAL [E.15]Alteracin accidental
FN
de la informacin
[A.30]Ingeniera Social PF
Fuente: Esta Investigacin
Hardware:
Aunque se tiene personal para realizar mantenimiento hardware de tipo
preventivo, correctivo y predictivo en los diferentes equipos de la institucin
tanto en salas de cmputo, equipos administrativos y equipos tipo servidor,
la programacin que se hace semestralmente no se cumple generalmente
por la tarda contratacin del personal.
No se tienen definidos procedimientos para realizar mantenimiento
correctivo y preventivo a nivel tcnico, cada persona de soporte procede
segn el problema o incidencia de acuerdo a su experiencia y
conocimiento, pero muchas veces la solucin aunque puede ser exitosa no
es la ms efectiva o la ms eficaz, por lo tanto se deben normalizar todos
los procedimientos tcnicos.
No se tienen definidas restricciones para el uso de dispositivos de
almacenamiento tipo USB, aunque se tiene un sistema de proteccin contra
virus y spyware para minimizar los riesgos por contagio de virus, las
unidades de almacenamiento USB pueden infectar fcilmente un sistema.
Ante una falla irrecuperable de hardware en un equipo de cmputo de uso
crtico, no se tienen estipulados planes de contingencia que permitan hacer
un proceso de recuperacin de una manera rpida y ms grave an es que
no solo se pueda recuperar la informacin que se pueda comprometer.
88
Software:
Todo el software que se adquiere, se usa o se desarrolla en la institucin
est licenciado, gracias a las renovaciones de licencia anuales o a las
compras de licencias perpetuas. Existe un gran problema y es que no se
tiene un control efectivo para la instalacin de software ilegal, o
restricciones que no permitan que cualquier usuario pueda instalar software
sin la autorizacin o permiso por parte del personal tcnico y/o de
infraestructura tecnolgica del rea TIC.
No se contemplan planes y procedimientos cuando se dan de baja equipos,
cuando se actualizan o cuando se cambian, sobre todo con la informacin
privada de carcter institucional que puedan llegar a contener dichos
equipos.
No se tienen procedimientos definidos, ni registros de la aplicacin de
actualizaciones de software o parches de seguridad en los sistemas base
crticos.
Redes:
La red se encuentra segmentada fsica y lgicamente en la totalidad de la
sede Bicentenario-Casa Obando, en la sede Encarnacin an no se efecta
la segmentacin de las diferentes subredes, lo cual adems de ayudar a
mejorar la seguridad de la red, mejora el rendimiento y reduce el trfico
innecesario. Se debe realizar esta actividad cuanto antes para disminuir la
probabilidad de que se materialice cualquier amenaza.
Los sistemas de proteccin perimetral que posee la institucin, requieren
anualmente de una renovacin de la subscripcin y licenciamiento para el
funcionamiento de los mdulos internos como el filtrado web de sitios,
antivirus web, antispam / filtrado de email, firewall, sistema de prevencin
contra intrusos, escaneo de vulnerabilidades entre otros. En ciertas
ocasiones por el proceso licitatorio al que se someten estas adquisiciones
de licenciamiento, la institucin ha estado expuesta a vulnerabilidades y
amenazas de todo tipo porque el periodo efectivo de la licencia expira, y no
se tienen planes de contingencia definidos ante falencias de gestin o
administrativas en este sentido.
Actualmente la sede principal y las dos subsedes alternas se comunican
por medio de un enlace de fibra ptica a 30Mbps, en cuanto a servicios de
red especficos institucionales y se provee el servicio de internet tambin
por este medio. La redes en cada sede son diferentes a nivel de
direccionamiento y los enlaces a servicios o servidores especficos son
administrados por medio de mapeo interno de direcciones entre los
Firewall y VLANs en los Switches, el problema ocasionado por este modelo
de infraestructura tecnolgica implementado, es que se crean cuellos de
botella en el firewall-UTM (Unified Theat Management) que se tiene en
funcionamiento, ya que no est diseado para soportar el nivel de carga y
trfico de red actual. Es necesario replantear el esquema y modelo de red
actual con el fin de unificar la red en las diferentes sedes con el fin de
89
mejorar en rendimiento, facilidad de administracin y eliminacin de
posibles puntos de falla.
Existen reglas de proteccin de acceso a nivel del firewall desde la red
externa (Internet) a servicios y servidores especficos en la red de
servidores DMZ (Desmilitarizada), esto se da en el direccionamiento
externo o pblico; pero en el direccionamiento interno (rea Local), se
puede obtener acceso por diferentes puertos a varios de los servicios
restringidos desde redes como la Inalmbrica, que es una fuente de riesgo
latente.
INSTALACIONES FSICAS:
En la sede principal el estado del cableado estructurado no es la adecuada
en su totalidad, aunque existe cableado tipo UTP categora 6 casi en el
80% de la edificacin, este no cumple con las normas mnimas de
instalacin en algunos casos; por ejemplo los armarios de cableado, patch-
panel y patch-cord estn en malas condiciones, desorganizados y sin
seguridad alguna (Cualquier persona tiene acceso al cableado o switches
dentro del armario). El cableado de red y elctrico en la sede principal no
est certificado por la norma RETIE (Reglamento Tcnico de Instalaciones
Elctricas) y a nivel de red de datos en ANSI/TIA 568A-B.
En cuanto a las condiciones ambientales y de seguridad en centros de
cableado principal y servidores, no se tienen sistemas inteligentes de
prevencin contra incendios, no existen cmaras de seguridad en dichos
sitios, los sistemas de aire acondicionado no siempre se encuentran
encendidos, el control de acceso a estos lugares no es tan restrictivo, existe
gran cantidad de material inflamable como cajas de cartn, muebles de
madera y plstico cerca a equipos de comunicacin y servidores.
90
9 Controles
91
9.1 Mecanismos De Control De Activos
Mantenimiento de Equipos
La realizacin de tareas de mantenimiento preventivo al equipamiento, de acuerdo
con los intervalos de servicio y especificaciones recomendados por el proveedor y
con la autorizacin formal del Comit de Sistemas.
92
Controles de Redes
El rea de TIC definir controles para garantizar la seguridad de la infraestructura
de comunicaciones y los servicios conectados en las redes de la Institucin, contra
el acceso no autorizado.
Se podrn implementar controles para limitar la capacidad de conexin de los
usuarios, de acuerdo a las polticas que se establecen a tal efecto. Dichos
controles se podrn implementar en los firewalls
Se incorporarn controles de ruteo, para asegurar que las conexiones informticas
y los flujos de informacin no violen la Poltica de Control de Accesos. Estos
controles contemplarn mnimamente la verificacin positiva de direcciones de
origen y destino.
93
Sistema de Administracin de Contraseas
El sistema de administracin de contraseas debe:
Sugerir el uso de contraseas individuales para determinar responsabilidades.
Permitir que los usuarios seleccionen y cambien sus propias contraseas e
incluir un procedimiento de confirmacin para contemplar los errores de
ingreso.
Imponer una seleccin de contraseas de calidad segn lo sealado en el
procedimiento establecido para el manejo y uso de contraseas.
Imponer cambios en las contraseas en aquellos casos en que los usuarios
mantengan sus propias contraseas, segn lo sealado en el punto anterior.
Obligar a los usuarios a cambiar las contraseas provisorias en su primer
procedimiento de identificacin, en los casos en que ellos seleccionen sus
contraseas.
Mantener un registro de las ltimas contraseas utilizadas por el usuario, y
evitar la reutilizacin de las mismas.
Evitar mostrar las contraseas en pantalla, cuando son ingresadas.
Almacenar en forma separada los archivos de contraseas y los datos de
sistemas de aplicacin.
Almacenar las contraseas utilizando un algoritmo de cifrado.
Modificar todas las contraseas predeterminadas por el vendedor, una vez
instalado el software y el hardware (por ejemplo claves de impresoras, hubs,
routers, etc.).
Garantizar que el medio utilizado para acceder/utilizar el sistema de
contraseas, asegure que no se tenga acceso a informacin temporal o en
trnsito de forma no protegida.
Controles Criptogrficos
Para la proteccin de claves de acceso a sistemas, datos y servicios.
Para el resguardo de informacin, en el proceso de generacin de backups de los
sistemas de informacin.
94
Seguridad de los Procesos de Desarrollo y Soporte
Procedimiento de Control de Cambios. Se implementarn controles durante la
implementacin de cambios verificando el cumplimiento del procedimiento
establecido. stos garantizarn que se cumplan los procedimientos de seguridad y
control.
Revisin Tcnica de los Cambios en el Sistema Operativo Toda vez que sea
necesario realizar un cambio en el Sistema Operativo, los sistemas sern
revisados para asegurar que no se produzca un impacto en su funcionamiento o
seguridad. Estas actividades sern ejecutadas por los administradores de los
sistemas de informacin.
21
ISACA Trust in, and value from, information systems. [en lnea]
https://www.isaca.org/Pages/default.aspx
95
Coordinacin de la seguridad de Las actividades de seguridad de la
informacin informacin deben ser coordinadas por
representantes de las diferentes partes de la
organizacin con las funciones y roles
laborales relevantes.
Asignacin de responsabilidades de la Se deben definir claramente las
seguridad de la informacin responsabilidades de la seguridad de la
informacin.
Acuerdos de confidencialidad Se deben identificar y revisar regularmente
los requerimientos de confidencialidad o los
acuerdos de no-divulgacin reflejando las
necesidades de la organizacin para la
proteccin de la informacin.
Gestin de activos
Inventarios de activos Todos los activos deben estar claramente
identificados; y se debe elaborar y mantener
un inventario de todos los activos
importantes.
Uso aceptable de los activos Se deben identificar, documentar e
implementar las reglas para el uso aceptable
de la informacin y los activos asociados con
los medios de procesamiento de la
informacin.
Seguridad de los recursos humanos
Roles y responsabilidades Se deben definir y documentar los roles y
responsabilidades de seguridad de los
empleados, contratistas y terceros en
concordancia con la poltica de la seguridad
de informacin de la organizacin.
Seguridad fsica y ambiental
Permetro de seguridad fsica Se debe utilizar permetros de seguridad
(barreras tales como paredes y puertas de
ingreso controlado o recepcionistas) para
proteger reas que contienen informacin y
medios de procesamiento de informacin.
Seguridad oficinas Se debe disear y aplicar seguridad fsica en
las oficinas, habitaciones y medios.
Seguridad de computadores
Ubicacin proteccin equipo El equipo debe estar ubicado o protegido
para reducir los riesgos de las amenazas y
peligros ambientales, y las oportunidades
para el acceso no autorizado.
Seguridad en el cableado El cableado de la energa y las
telecomunicaciones que llevan data o
96
sostienen los servicios de informacin deben
ser protegidos de la intercepcin o dao.
Mantenimiento de equipo El equipo debe ser mantenido correctamente
para permitir su continua disponibilidad e
integridad.
Proteccin contra software malicioso
Controles contra software malicioso Se deben implementar controles de
deteccin, prevencin y recuperacin para
protegerse de cdigos malicioso y se deben
implementar procedimientos de conciencia
apropiados.
Copias de seguridad o backup Se deben realizar copias de back-up o
(respaldo de informacin) respaldo de la informacin comercial y
software esencial y se deben probar
regularmente de acuerdo a la poltica.
Gestin de seguridad de redes
Controles de red Las redes deben ser adecuadamente
manejadas y controladas para poderlas
proteger de amenazas, y para mantener la
seguridad de los sistemas y aplicaciones
utilizando la red, incluyendo la informacin
en trnsito.
Seguridad de los servicios de red Se deben identificar los dispositivos de
seguridad, niveles de servicio y los
requerimientos e incluirlos en cualquier
contrato de servicio de red, ya sea que estos
servicios sean provistos en-casa o sean
abastecidos externamente.
Proteccin contra software malicioso
Poltica de control de acceso Se debe establecer, documentar y revisar la
poltica de control de acceso.
Gestin de privilegios Se debe restringir y controlar la asignacin y
uso de los privilegios.
Gestin de la clave del usuario La asignacin de claves se debe controlar a
travs de un proceso de gestin formal.
Control de acceso a redes Los usuarios slo deben tener acceso a los
servicios para los cuales han sido
especficamente autorizados a usar.
Tabla 31: Clasificacin de controles
Fuente: Esta investigacin
97
10 Polticas De Seguridad Informtica
Finalidad De La Poltica
Con el establecimiento de las polticas de seguridad informtica, se da soporte a la
produccin, gestin, recuperacin, conservacin y difusin de los documentos y la
informacin institucional, bajo las dimensiones de confiabilidad, integridad y
autenticidad, caractersticas indispensables en el uso efectivo para la gestin
institucional, toma de decisiones y como garanta de la prestacin oportuna de
los servicios que oferta el colegio mayor del Cauca.
Alcance
El alcance de las polticas de seguridad en el Colegio Mayor del Cauca debe estar
ligada al PGD institucional (Programa de Gestin Documental) desde la
produccin o recepcin de los documentos, el direccionamiento, tramite, consulta
y conservacin o disposicin final segn la normativa del rea de archivo (por
tratarse de administracin de informacin en todos sus formatos), pasando por el
reconocimiento de la informacin y los documentos como un activo estratgico
para el cumplimiento misional, hasta la identificacin y mitigacin de riesgos.
98
Todo servidor o funcionario nuevo de la institucin Universitaria Colegio Mayor del
Cauca debe contar con la induccin sobre las polticas y estndares de seguridad
informtica, donde se dan a conocer las obligaciones y sanciones en que se
puede incurrir en caso de incumplimiento.
10.1.1 Funcionarios
10.1.2 Capacitacin
99
El responsable de TIC designara un equipo especializado en seguridad
informtica para realizar las capacitaciones a cada dependencia.
El equipo de seguridad informtica deber planear e informar las fechas de
las capacitaciones
Las capacitaciones de seguridad informtica debern contar con el material
de apoyo suficiente y acorde a la capacitacin, adems este deber ser
proporcionado a los usuarios.
Las capacitaciones debern hacerse en ambientes de prueba.
Dentro de las capacitaciones debern hacerse revisiones de los activos
informticos y servicios relacionadas con el tema.
Es deber de los funcionarios y/o terceros asistir a las capacitaciones as
como de acatar cada una de las disposiciones dispuestas en cada una de
ellas.
100
Todo el personal o usuario informtico nuevo de la institucin deber ser
notificado a la oficina de TICS para asignarle derechos correspondientes,
equipo, creacin de usuario para la red y anulacin en caso de retiro.
De acuerdo a la norma ISO/IEC 27001:2005 A.10.1.3: Todos y cada uno de los
contratitas y/o funcionarios, el personal de TICS, les entregar su rol en el
sistema, definiendo sus privilegios. Por lo anterior, no es permito que de un
trabajador a otro se intercambien roles y/o cuentas para accesos al sistema. El
responsable de la Oficina de TICS, tendr un listado actualizado para velar por
el cumplimiento.
Las solicitudes de informacin de cualquier tipo debe hacerse por escrito ante
el responsable de la dependencia o como lo tenga normalizado IUCMC, de no
cumplirse se proceder a:
Informar de manera escrita al grupo de seguridad informtica o en su
defecto al responsable del rea de TIC y/o dependencia a la que se
realiza la solicitud
Negar en su totalidad la ejecucin de la solicitud.
Denunciar a las autoridades competentes despus de haber ser
analizado el caso por el comit de seguridad informtica.
101
Imponer el uso de contraseas individuales para determinar
responsabilidades.
Permitir que los usuarios seleccionen y cambien sus propias
contraseas (luego de cumplido el plazo mnimo de mantenimiento de
las mismas) e incluir un procedimiento de confirmacin para contemplar
los errores de ingreso.
Imponer una seleccin de contraseas de calidad segn lo sealado en
el procedimiento establecido para el uso de contraseas
Imponer cambios en las contraseas en aquellos casos en que los
usuarios mantengan sus propias contraseas, segn lo sealado en el
punto anterior.
Mantener un registro de las ltimas contraseas utilizadas por el
usuario, y evitar la reutilizacin de las mismas.
Evitar mostrar las contraseas en pantalla, cuando son ingresadas.
Almacenar en forma separada los archivos de contraseas y los datos
de sistemas de aaplicacin.
Modificar todas las contraseas predeterminadas por el vendedor, una
vez instalado el software y el hardware (por ejemplo claves de
impresoras, hubs, routers, etc.).
Garantizar que el medio utilizado para acceder/utilizar el sistema de
contraseas, no tenga acceso a informacin temporal o en trnsito de
forma no protegida.
Las contraseas usadas por los usuarios debern cumplir con los siguientes
requisitos:
Usar una combinacin alfanumrica
la contrasea debe tener una longitud mnima de 12 caracteres.
La contrasea debe tener un periodo de vigencia, luego deber ser cambiada
por una nueva y diferente a la anterior.
No deber usarse datos personales, acrnimos ni datos directamente
relacionado con el usuario.
102
para su acceso con el propsito de evitar suplantacin de identidad y uso de la
informacin tanto institucional como personal.
Si no se cuenta con un sitio seguro para guardar la contrasea, se recomienda
no hacerlo en papel, agenda o lugar de fcil acceso.
El usuario es el nico responsable del uso que d al correo institucional o
personal.
El usuario deber velar por la proteccin de acceso a su equipo de cmputo, a
travs del uso de protector de pantalla con contrasea que ser activado
manualmente al momento que requiera ausentarse.
Los alumnos y personal en general es responsable de guardar su informacin
personal, la institucin Universitaria no se hace responsable por la prdida de
esta.
Los usuarios deben reportar al responsable de TIC, personal tcnico, rea de
TIC o equipo de seguridad cualquier dao, falla, riesgo o amenaza detectada.
Los proveedores, personal externo o personal que tenga algn tipo de relacin
con la Institucin son considerados como usuarios terceros.
103
El acceso a terceros ser limitado en cuanto a privilegios y tiempo de acceso a
los sistemas de informacin de la institucin.
Para suministrar permiso de accedo a usuarios externos o terceros este
deber presentar ante el rea TIC o equipo (comit) de seguridad documento
firmado de aceptacin de confidencialidad.
Los usuarios considerados terceros bene acatar cada una de las disposiciones
de las polticas y normas de seguridad dispuestas internamente en la
Institucin adems de las exigidas puntualmente dentro del contrato.
10.2.8 De Backups
104
harn las atenciones a usuarios, personal administrativo y docente de la
Institucin.
10.2.9 Servidores
105
10.3.1 Proteccin Contra Sofware Malicioso
10.3.2 Mantenimiento
106
10.5 Seguridad Legal
107
11 Recomendaciones
S b z z y anlisis de riesgos de la
seguridad de la informacin para la institucin universitaria colegio mayor del
cauca" para aprobar o mejorar la ejecucin de los controles propuestos al
interior de la IUCMC.
Los nuevos controles de seguridad resultado del anlisis de riesgos deben ser
puestos en funcionamiento a la mayor brevedad, toda vez que de esto
depende la continuidad del negocio de la IUCMC.
Las directivas (la alta gerencia), deben tener en cuenta este estudio de
seguridad informtica, la aplicacin e implementacin del mismo adems de
incluir recursos necesarios para el desarrollo de la misma en el ao 2015.
Las directivas de la institucin deben por medio del rea de TIC y de los
directos responsables en este campo posibilitar estos cambios, haciendo uso
de jornadas pedaggicas de simulacro de desastre informticos, y as poder
comparar los beneficios de los nuevos controles de seguridad.
Incluir dentro de las tareas del equipo de TIC auditorias permanentes a los
activos de informacin para actualizar controles y contribuir con el desarrollo de
mejores prcticas relacionadas con la seguridad de la informacin.
108
12 Conclusiones
109
13 Bibliografa
COBIT. ISACA Trust in, and value from, information systems. [en lnea]
https://www.isaca.org/Pages/default.aspx. Marco de referencia para optimizar y
salvaguardas los recursos o activos de informacin y tecnolgicos de cualquier
empresa.
110
Fisher, P. Royal. (1988). Seguridad en los sistemas informticos. En. Daz de
Santos (Ed). Recuperado de http://books.google.es/books?hl=es&lr=&id=_Hu6Zu6
VLP4C&oi=fnd&pg=PR7&dq=seguridad+en+los+sistemas+informaticos&ots=zPpF
_P3Ab8&sig=i96QHUdE8kcXjq60XbjKg9r5V2w.El libro explica de manera sencilla
y estructurada el diseo para la seguridad informtica, haciendo nfasis en los
puntos de control, colaboracin de la alta direccin para la implementacin de
seguridad en los procesos organizacionales.
111
Machuca Contreras John (2011). Tesis de maestra:Gua para la evaluacin del
sistema de riesgo operativo en la Cooperativa de Ahorro y Crdito Jardn Azuayo.
Cuenca.140P.[en linea].
http://dspace.ucuenca.edu.ec/bitstream/123456789/2729/1/tm4487.pdf
112
Ramrez, G. M. & Constain, G. E. (2012). Modelos y estndares de la seguridad
Informtica. Mdulo de estudio de la Universidad Nacional Abierta y a Distancia,
hace referencia a los modelos y estndares aplicables dentro de la seguridad
informtica
113
14 Anexos
114
Incluyendo tanto instalaciones dedicadas como
[COM] Redes de servicios de comunicaciones contratados a terceros.
comunicaciones Medios de comunicacin que tiene por objetivo
transportar datos de un sitio a otro.
Dispositivos fsicos que permiten almacenar informacin
[Media] Soportes de
de forma permanente o por largos periodos de tiempo.
informacin
Ejemplo: CD-ROM, DVD, USB, Material Impreso.
Equipos que sirven de soporte a los sistemas de
[AUX] Equipamiento informacin, sin estar directamente relacionados con
auxiliar datos; como: fuentes de alimentacin, cableado,
armarios, mobiliario, equipos de climatizacin.
Lugares donde se hospedan los sistemas de
[L] Instalaciones informacin y comunicaciones. Ejemplo: cuartos,
edificios, instalaciones de respaldo.
Personal relacionado con los sistemas de informacin;
como: personal interno y externo, operadores,
[P] Personal
administradores de sistemas, desarrolladores de
sistemas, contratistas y proveedores.
Conjunto de elementos interrelacionados que permiten
[SI] Sistema de la obtencin, procesamiento, almacenamiento y
Informacin 22 distribucin de la informacin para apoyar la toma de
decisiones y el control en una organizacin.
22
Adaptado para este proyecto y nombrado como aplicaciones informticas.
115
1 1.pi1 pudiera causar molestias a un individuo
[lpo] Obligaciones legales
9 9.lro probablemente cause un incumplimiento excepcionalmente grave de
una ley o regulacin
7 7.lro probablemente cause un incumplimiento grave de una ley o
regulacin
5 5.lro probablemente sea causa de incumplimiento de una ley o regulacin
3 3.lro probablemente sea causa de incumplimiento leve o tcnico de una
ley o regulacin
1 1.lro pudiera causar el incumplimiento leve o tcnico de una ley o
regulacin
[si] Seguridad
10 10.si Probablemente sea causa de un incidente excepcionalmente serio de
seguridad o dificulte la investigacin de incidentes excepcionalmente
serios.
9 9.si Probablemente sea causa de un serio incidente de seguridad o
dificulte la investigacin de incidentes serios.
7 7.si Probablemente sea causa de un grave incidente de seguridad o
dificulte la investigacin de incidentes graves.
3 3.si probablemente sea causa de una merma en la seguridad o dificulte la
investigacin de un incidente
1 1.si pudiera causar una merma en la seguridad o dificultar la
investigacin de un incidente
[cei] Intereses comerciales o econmicos
9 9.cei.a de enorme inters para la competencia
9.cei.b de muy elevado valor comercial
9.cei.c causa de prdidas econmicas excepcionalmente elevadas
9.cei.d causa de muy significativas ganancias o ventajas para individuos u
organizaciones
9.cei.e constituye un incumplimiento excepcionalmente grave de las
obligaciones contractuales relativas a la seguridad de la informacin
proporcionada por terceros
7 7.cei.a de alto inters para la competencia
7.cei.b de elevado valor comercial
7.cei.c causa de graves prdidas econmicas
7.cei.d proporciona ganancias o ventajas desmedidas a individuos u
organizaciones
7.cei.e constituye un serio incumplimiento de obligaciones contractuales
relativas a la seguridad de la informacin proporcionada por terceros
3 3.cei.a de cierto inters para la competencia
3.cei.b de cierto valor comercial
3.cei.c causa de prdidas financieras o merma de ingresos
116
3.cei.d facilita ventajas desproporcionadas a individuos u organizaciones
3.cei.e constituye un incumplimiento leve de obligaciones contractuales para
mantener la seguridad de la informacin proporcionada por terceros
2 2.cei.a de bajo inters para la competencia
2.cei.b de bajo valor comercial
1 1.cei.a de pequeo inters para la competencia
1.cei.b de pequeo valor comercial
0 0.3 supondra prdidas econmicas mnimas
[da] Interrupcin del servicio
9 9.da Probablemente cause una interrupcin excepcionalmente seria de las
actividades propias de la Organizacin con un serio impacto en otras
organizaciones
9.da2 Probablemente tenga un serio impacto en otras organizaciones
7 7.da Probablemente cause una interrupcin seria de las actividades
propias de la Organizacin con un impacto significativo en otras
organizaciones
7.da2 Probablemente tenga un gran impacto en otras organizaciones
5 5.da Probablemente cause la interrupcin de actividades propias de la
Organizacin con impacto en otras organizaciones
5.da2 Probablemente cause un cierto impacto en otras organizaciones
3 3.da Probablemente cause la interrupcin de actividades propias de la
Organizacin
1 1.da Pudiera causar la interrupcin de actividades propias de la
Organizacin
[po] Orden pblico
9 9.po alteracin seria del orden pblico
6 6.po probablemente cause manifestaciones, o presiones significativas
3 3.po causa de protestas puntuales
1 1.po pudiera causar protestas puntuales
[olm] Operaciones
10 10.olm Probablemente cause un dao excepcionalmente serio a la eficacia o
seguridad de la misin operativa o logstica
9 9.olm Probablemente cause un dao serio a la eficacia o seguridad de la
misin operativa o logstica
7 7.olm Probablemente perjudique la eficacia o seguridad de la misin
operativa o logstica
5 5.olm Probablemente merme la eficacia o seguridad de la misin operativa
o logstica ms all del mbito local
3 3.olm Probablemente merme la eficacia o seguridad de la misin operativa
o logstica (alcance local)
1 1.olm Pudiera mermar la eficacia o seguridad de la misin operativa o
117
logstica (alcance local)
[adm] Administracin y gestin
9 9.adm probablemente impedira seriamente la operacin efectiva de la
Organizacin, pudiendo llegar a su cierre
7 7.adm probablemente impedira la operacin efectiva de la Organizacin
5 5.adm probablemente impedira la operacin efectiva de ms de una parte
de la Organizacin
3 3.adm probablemente impedira la operacin efectiva de una parte de la
Organizacin
1 1.adm pudiera impedir la operacin efectiva de una parte de la Organizacin
[lg] Prdida de confianza (reputacin)
9 9.lg.a Probablemente causara una publicidad negativa generalizada por
afectar de forma excepcionalmente grave a las relaciones a las
relaciones con otras organizaciones
9.lg.b Probablemente causara una publicidad negativa generalizada por
afectar de forma excepcionalmente grave a las relaciones a las
relaciones con el pblico en general
7 7.lg.a Probablemente causara una publicidad negativa generalizada por
afectar gravemente a las relaciones con otras organizaciones
7.lg.b Probablemente causara una publicidad negativa generalizada por
afectar gravemente a las relaciones con el pblico en general
5 5.lg.a Probablemente sea causa una cierta publicidad negativa por afectar
negativamente a las relaciones con otras organizaciones
5.lg.b Probablemente sea causa una cierta publicidad negativa por afectar
negativamente a las relaciones con el pblico
3 3.lg Probablemente afecte negativamente a las relaciones internas de la
Organizacin
2 2.lg Probablemente cause una prdida menor de la confianza dentro de
la Organizacin
1 1.lg Pudiera causar una prdida menor de la confianza dentro de la
Organizacin
0 0.4 no supondra dao a la reputacin o buena imagen de las personas u
organizaciones
[crm] Persecucin de delitos
8 8.crm Impida la investigacin de delitos graves o facilite su comisin
4 4.crm Dificulte la investigacin o facilite la comisin de delitos
[rto] Tiempo de recuperacin del servicio
7 7.rto RTO < 4 horas
4 4.rto 4 horas < RTO < 1 da
1 1.rto 1 da < RTO < 5 das
0 0.rto 5 das < RTO
118
[lbl.nat] Informacin clasificada (nacional)
10 10.lbl Secreto
9 9.lbl Reservado
8 8.lbl Confidencial
7 7.lbl Confidencial
6 6.lbl Difusin limitada
5 5.lbl Difusin limitada
5.lbl Difusin limitada
4 4.lbl Difusin limitada
3 3.lbl Difusin limitada
2 2.lbl Sin clasificar
1 1.lbl Sin clasificar
[lbl.ue] Informacin clasificada (Unin Europea)
10 10.ue TRES SECRET UE
9 9.ue SECRET UE
8 8.ue CONFIDENTIEL UE
7 7.ue CONFIDENTIEL UE
6 6.ue RESTREINT UE
5 5.ue RESTREINT UE
4 4ue RESTREINT UE
3 3.ue RESTREINT UE
ENCUESTA
119
R. /
Switches: Cerca del 60% de estos equipos de comunicacin en los diferentes
subcentros de cableado son de ltima tecnologa a velocidades Gigabit Ethernet
en marcas como Cisco, HP y Dell, lo cual garantiza en cierto grado la
disponibilidad y el buen desempeo. Los Switches principales o de core en los
centros de datos de cada sede estn configurados de acuerdo a la segmentacin
del diseo de red y configurados en VLANs, lo cual minimiza los riesgos de acceso
no autorizado entre subredes y elimina trfico innecesario. El control de acceso
fsico es deficiente, ya que muchos de los Switches aunque se encuentran en
armarios, la seguridad que brindan los armarios de cableado no es la adecuada.
Topologa de Red: Nuestra topologa de red se puede definir entre una mezcla de
topologa en rbol y topologa en estrella. En rbol teniendo en cuenta que desde
120
la sede principal se derivan todos los servicios y conexiones hacia las otras
subredes y Switches adems de la conexin hacia las dos sedes alternas a travs
del canal de interconexin por fibra.
Planos, Conexiones y Diseo: La sede encarnacin por ser una edificacin antigua
no tiene planos de red, existen algunos planos elctricos pero estn
desactualizados. De la sede Bicentenario se tienen todos los planos elctricos de
voz y datos. Estamos en proceso de actualizacin de la diagramacin lgica y
diseo de las redes y subredes en las diferentes sedes. Se tiene la distribucin
lgica y diseo del direccionamiento de red en la LAN de cada sede. En cuanto a
conexiones y cableado se cuenta casi con el 90% de la red de datos con cable Cat
6 y la interconexin con la sede alterna adems de la conexin con la red
acadmica Renata y RUP se hace por fibra ptica con velocidades de 30Mbps y
50Mbps respectivamente.
R./
En el router no sabemos qu medidas se tengan porque dependen directamente
del proveedor, lo que si tenemos filtrado a nivel de servicios, puertos y protocolos
se maneja en los equipos UTM mencionados tanto de entrada como de salida, con
polticas bien definidas de acuerdo al servicio prestado.
121
C. Con respecto a que gran parte de los ataques que se producen son debidos
a la obtencin de las claves empleando un programa de sniffing en una red
Ethernet.
Preguntas:
Cual estrategia tienen planteada en su empresa para contrarrestar estos
ataques a la seguridad?
R./ No existe estrategia como tal, solo se tienen las polticas configuradas
en el firewall de acuerdo a servicios, protocolos y puertos desde internet,
hacia internet y entre zonas, que permiten en cierto grado minimizar este
tipo de amenaza, adems por la funcionalidad de proteccin de servidores
http o de correo mediante el IPS.
Que estrategias utilizan para descongestionar el trfico y para permitir una
mayor descongestin del trfico interno.
R./ Se tiene segmentada la red, el diseo del direccionamiento y el
subneting de acuerdo al nmero de equipos por segmento adems de la
creacin de VLANs mejoran el rendimiento de la red y eliminan trfico
innecesario, tambin est configurado NAT para equipos de uso
administrativo y docente y el servicio Proxy para todos los equipos de salas
de cmputo; para agilizar las bsquedas de recursos compartidos y equipos
en red se tiene configurado un servidor Wins.
En la empresa se han presentado ataques informticos? De que clase? Por
favor describirlos a detalle.
122
Pregunta: Existen principalmente tres zonas en las que podramos poner un
sensor Si lo tienen en que zona est ubicado, si no donde lo ubicaran.
R. / El UTM incorpora un sistema IPS y este se encuentra activo en dos zonas
actualmente, la primera es a la entrada del canal de Internet e Interconexin con
la sede alterna y lo tenemos activo en la zona DMZ.
E. Con respecto a los tipos de amenazas humanas. Los actos humanos que
pueden afectar la seguridad de un sistema son variados, entre los ms
comunes e importantes estn:
Curiosos, Intrusos remunerados, Personal enterado, Terroristas, Robo,
Sabotaje, Fraude.
Pregunta: Cul de estos tipos de amenaza se ha presentado en su organizacin?
R./ Los IPS en sus logs de corta duracin, generalmente informan de intentos de
ataque a los servidores, al parecer segn los ataques que se previenen vienen de
herramientas de scanning y sniffing, creemos que pueden ser personas Curiosas o
Personas entrenadas.
123
14.4 Anexo D: Catalogo De Salvaguardas
124
S.SC Se aplican perfiles de seguridad
S.op Explotacin
S.CM Gestin de cambios (mejoras y sustituciones)
S.end Terminacin
S.www Proteccin de servicios y aplicaciones web
S.email Proteccin del correo electrnico
S.dir Proteccin del directorio
S.dns Proteccin del servidor de nombres de dominio (DNS)
S.TW Teletrabajo S.voip Voz sobre IP
125
COM.DS Segregacin de las redes en dominios
126
Continuidad De Operaciones
Prevencin y reaccin frente a desastres.
BC Continuidad del negocio
BC.BIA Anlisis de impacto (BIA)
BC.DRP Plan de Recuperacin de Desastres (DRP)
Externalizacin
Es cada vez ms flexible la frontera entre los servicios de seguridad prestados
internamente y los servicios contratados a terceras partes. En estos casos es
fundamental cerrar los aspectos de relacin contractual:
SLA: nivel de servicio, si la disponibilidad es un valor
NDA: compromiso de secreto, si la confidencialidad es un valor
Identificacin y calificacin del personal encargado
Procedimientos de escalado y resolucin de incidencias
Procedimiento de terminacin (duracin en el tiempo de las
responsabilidades asumidas)
Asuncin de responsabilidades y penalizaciones por incumplimiento
E Relaciones Externas
E.1 Acuerdos para intercambio de informacin y software
E.2 Acceso externo
E.3 Servicios proporcionados por otras organizaciones
E.4 Personal subcontratado
Adquisicin Y Desarrollo
NEW Adquisicin / desarrollo
NEW.S Servicios: Adquisicin o desarrollo
NEW.SW Aplicaciones: Adquisicin o desarrollo
NEW.HW Equipos: Adquisicin o desarrollo
NEW.COM Comunicaciones: Adquisicin o contratacin
NEW.MP Soportes de Informacin: Adquisicin
NEW.C Productos certificados o acreditados
127
14.5 Anexo E: Valoracin De Riesgos
Establecer planes
Establecer ISO 27001:
Falta de de mantenimiento
un control y 9.2.4
R3 mantenimiento X X efectivos por Correctivo
planeacin Mantenimi
correctivo semestre o por mes
peridica ento de
y monitorearlos.
equipos.
Instalacin de Acordar que se
Establecer
R4 equipos de X X sugieran consejos Correctivo ISO 27001:
un control
cmputo de para instalar de 9.2.4
128
manera incorrecta forma correcta los Mantenimi
equipos y de igual ento de
forma generar un equipos.
procedimiento nico
a seguir.
ADMINISTRACION DE INFORMACION
Probabilidad Impacto Tipo de
Riesgo/Valoracin Tratamiento Observaciones Controles
A M B L M C control
Integrar una
herramienta para
ejecutar copias de ISO 27001:
Perdida de la informacin Correctivo 10.5.1
Establecer
R5 informacin de X X crtica y la y Respaldo
un control
respaldo implantacin de un Preventivo de la
sistema de gestin informaci
documental como n
Nexus.
Establecer
ISO 27001:
Dao de la parmetros
Correctivo 10.5.1
informacin por Establecer efectivos para la
R6 X X y Respaldo
incorrecto un control administracin,
Preventivo de la
almacenamiento manejo y
informaci
almacenamiento.
n
DISPOSITIVOS DE RED
Probabilidad Impacto Tipo de
Riesgo/Valoracin Tratamiento Observaciones Controles
A M B L M C control
Falta de
documentacin Generar
para la documentacin ISO 27001:
administracin y para la 10.1.1
configuracin de Establecer un administracin de Procedimie
R7 X X Correctivo
los dispositivos control los dispositivos de ntos
activos de red red por parte del operativos
como Switches, administrador de documenta
Routers y Firewalls los mismos. dos
o UTMs
129
ISO 27001:
10.1.1
Procedimie
ntos
operativos
documenta
Falta de Definir una
dos
procedimientos poltica de
ISO 27001:
que indique como Establecer un recuperacin de Preventivo
R8 X X 14.1.3
restaurar la control desastres o un y correctivo
Mantener o
interconexin entre plan alterno de
restaurar
sedes operacin
operacione
s para
asegurar la
disponibilid
ad de la
informacin
SEGURIDAD FISICA
Probabilidad Impacto Tipo de
Riesgo/Valoracin Tratamiento Observaciones Controles
A M B L M C control
Se debe hacer un
El sistema de monitoreo ISO 27001:
cmaras de constante al 9.1.1
Establecer un
R9 seguridad IP no X X sistema, consola Preventivo Permetro
control
funciona de administracin de
correctamente y al servidor de seguridad
almacenamiento. fsica
Implementacin ISO 27001:
Se identifican de cmaras de 9.1.1
puntos muertos en Establecer un seguridad en los Permetro
R10 X X Preventivo
el sistema de control puntos muertos de
seguridad con movimiento seguridad
180 grados. fsica
INSTALACIONES ELECTRICAS
Probabilidad Impacto Tipo de
Riesgo/Valoracin Tratamiento Observaciones Controles
A M B L M C control
No existe conexin Contratar una
de polo a tierra en empresa
Establecer un Preventivo
R11 algunas X X especializada en
control y correctivo ISO 27001:
dependencias sede instalaciones 9.2.2
Encarnacin elctricas y Servicios
No existe Establecer un mantenimiento Preventivo de soporte
R12 X X
instalacin de control para las y correctivo
130
sistema elctrico adecuaciones
regulado en necesarias en el
algunos puntos circuito elctrico
sedes Encarnacin y/o sistemas de
Casa Obando respaldo.
UPS en mal estado
o mal
Establecer un
R13 funcionamiento por X X Correctivo
control
falta de
mantenimiento
SISTEMAS DE INFORMACION Y SOFTWARE DE PROTECCION
Probabilidad Impacto Tipo de
Riesgo/Valoracin Tratamiento Observaciones Controles
A M B L M C control
ISO 27001:
No existen planes 14.1.3
alternos en caso Mantener o
Implementar una
de falla de las restaurar
herramienta de
aplicaciones operacione
Establecer un respaldos y
R14 utilizadas en la X X Correctivo s para
control restauracin o
institucin que asegurar la
planes de
permita recuperar disponibilid
contingencia
un sistema a su ad de la
normalidad. informaci
n.
Se debe efectuar
por medio de la ISO 27001:
Se cuenta con un
consola todo el 10.4
sistema
proceso de Proteccin
centralizado de Establecer un Preventivo
R15 X X configuracin de contra
antivirus pero no control y correctivo
acuerdo a las cdigo
est configurado
polticas y mvil y
adecuadamente.
controles malicioso
sugeridos
No se cuenta con
la documentacin Generar la
de los usuarios y documentacin
perfiles de acceso respectiva de ISO 27001:
Establecer un
R16 a las diferentes X X roles y Correctivo 11.2.2
control
aplicaciones web o responsabilidades Gestin de
sistemas de dentro de las privilegios
informacin como aplicaciones.
SIAG.
Fuente: Esta Investigacin
131
Matriz De Riesgos
Riesgos Identificados
En resumen, el informe tcnico y los datos aqu expuestos reflejan que existen
riesgos, amenazas y vulnerabilidades en todo sentido, especialmente en el
132
tratamiento de la informacin y los sistemas que administran la misma al interior
de la Institucin Universitaria Colegio Mayor del Cauca, es de vital importancia
asumir una postura consiente de que se deben iniciar procesos, esfuerzos y
planes que lleven a la implementacin de un Sistema de seguridad de la
informacin (SGSI) apoyndose en las normas actuales vigentes ya mencionadas
que apliquen en el pas, buscando mantener en cierto grado un nivel de seguridad
de la informacin aceptable..
Numero 005
documento
POLTICA PARA LA
Fecha de 28/03/14 ADMINISTRACIN DE SERVIDORES
elaboracin
Fecha rea: Elaborado Aprobado
actualizacin por: por:
TIC JJPR &
MCC
Introduccin
En redes locales los servidores facilitan el acceso a la red y sus recursos de una
manera apropiada y eficaz adems de segura, partiendo claro esta del buen
manejo, mantenimiento y administracin que se efecte sobre los mismos.
De igual manera se debe garantizar a los usuarios la integridad, la confiabilidad y
la disponibilidad de la informacin.
Finalidad
La finalidad de la poltica para la administracin de servidores se basa en la
descripcin de los requerimientos y acciones mnimas a tener presentes para
tratar y eliminar virus de cmputo adems de prevenir sus variantes.
Definiciones:
133
Numero 005
documento
POLTICA PARA LA
Fecha de 28/03/14 ADMINISTRACIN DE SERVIDORES
elaboracin
Fecha rea: Elaborado Aprobado
actualizacin por: por:
TIC JJPR &
MCC
134
Numero 005
documento
POLTICA PARA LA
Fecha de 28/03/14 ADMINISTRACIN DE SERVIDORES
elaboracin
Fecha rea: Elaborado Aprobado
actualizacin por: por:
TIC JJPR &
MCC
135
Numero 005
documento
POLTICA PARA LA
Fecha de 28/05/14 ADMINISTRACIN DE SERVIDORES
elaboracin
Fecha rea: Elaborado Aprobado
actualizacin por: por:
TIC JJPR &
MCC
136
Numero 005
documento
POLTICA PARA LA
Fecha de 28/03/14 ADMINISTRACIN DE SERVIDORES
elaboracin
Fecha rea: Elaborado Aprobado
actualizacin por: por:
TIC JJPR &
MCC
Alcance
Sanciones Disciplinarias
137