Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PLURINACIONAL
DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN V.7
ÍNDICE DE CONTENIDO
ii
ÍNDICE DE CONTENIDO..............................................................................................iii
ÍNDICE DE FIGURAS....................................................................................................v
ÍNDICE DE TABLAS......................................................................................................v
ÍNDICE DE ANEXOS.....................................................................................................v
CAPITULO I GENERALIDADES...............................................................................1
1.1 INTRODUCCIÓN..................................................................................................1
1.2 ANTECEDENTES DE LA INSTITUCIÓN.............................................................2
a) Normativa legal...................................................................................................2
b) Misión..................................................................................................................5
c) Visión...................................................................................................................5
d) Organigrama.......................................................................................................6
1.3 PLANTEAMIENTO DEL PROBLEMA..................................................................6
1.3.1 Problema central............................................................................................7
1.4 OBJETIVOS..........................................................................................................7
1.4.1 Objetivo General............................................................................................7
1.4.2 Objetivos específicos.....................................................................................7
1.5 Matriz de consistencia..........................................................................................8
1.6 Justificación..........................................................................................................9
1.6.1 Justificación Teórica.......................................................................................9
1.6.2 Justificación Técnica....................................................................................10
1.6.3 Justificación Social.......................................................................................10
1.6.4 Justificación Económica...............................................................................10
1.7 ALCANCE...........................................................................................................10
CAPITULO II PROPUESTA.....................................................................................11
2.1 DESARROLLO DE LA PROPUESTA................................................................11
a) Establecimiento del contexto............................................................................11
b) Identificación de Activos....................................................................................12
c) Valoración de los Activos..................................................................................13
d) Evaluación del Riesgo.......................................................................................14
e) Tratamiento del riesgo......................................................................................16
iii
2.2. CRONOGRAMA DE IMPLEMENTACIÓN........................................................17
REFERENCIA BIBLIOGRÁFICA.................................................................................19
GLOSARIO DE TÉRMINOS........................................................................................20
ÍNDICE DE FIGURAS
iv
Figura 2.1. CLASIFICACION DE LA VULNERABILIDAD DEL ACTIVO.....................14
Figura 2.2. IMPACTO DEL RIESGO DEL ACTIVO.....................................................15
ÍNDICE DE TABLAS
ÍNDICE DE ANEXOS
v
PLAN DE GESTIÓN DE RIESGOS PARA EL SISTEMA DE GESTIÓN
SATELITAL DEL HUB SANTIVAÑEZ DE ENTEL
CAPITULO I GENERALIDADES
1.1 INTRODUCCIÓN.
Para ello se hace necesario conocer y gestionar de manera ordenada los riesgos a
los que está sometido el sistema informático, considerar procedimientos adecuados y
planificar e implantar los controles de seguridad que correspondan en base a
directrices establecidas en el ámbito interno, extraídos de los Lineamientos para la
elaboración e implementación de los Planes Institucionales de Seguridad de la
Información de las entidades del sector público. Todo lo mencionado anteriormente
se expone en el presente documento enfocado específicamente a la gestión de
riesgos del sistema de gestión satelital del Hub Santivañez de Entel.
1
Por ello el plan de gestión del riesgo a desarrollar inicia con el establecimiento del
contexto, es decir el conocimiento del entorno interno y externo enfocado a la
realización de su misión.
Una segunda labor referida a la identificación del riesgo, relacionado a los activos
que componen el sistema de gestión.
Una tercera tarea referido a la evaluación del riesgo, enfocado a establecer las
prioridades a tratar de acuerdo al tipo de riesgo e impacto. Y como última tarea la del
tratamiento del riesgo mediante el establecimiento de los controles pertinentes ante
los riesgos identificados. De esta manera el plan de gestión del riesgo se constituye
en fuente para el desarrollo y elaboración del Plan Institucional de Seguridad de la
Información (PISI) de la empresa de Telecomunicaciones Entel.
a) Normativa legal.
En la siguiente tabla se describen todas las normas vigentes en Bolivia, bajo las
cuales se rige la empresa:
2
Comunicación información y comunicación, del
servicio postal y el sistema de
regulación, en procura del vivir bien
garantizando el derecho humano
individual y colectivo a la
comunicación, con respeto a la
pluralidad económica, social,
jurídica, política y cultural de la
totalidad de las bolivianas y los
bolivianos, las naciones y
pueblos indígena originario
campesinos, y las comunidades
interculturales y afrobolivianas
del Estado Plurinacional de Bolivia.
Título I, Articulo 5:
Continuidad: Los servicios de
telecomunicaciones y tecnologías de
información y comunicación, así como
el servicio postal, deben prestarse en
forma permanente y sin
interrupciones, salvo los casos
previstos por norma
TITULO III, Articulo 7:
Promover la provisión de servicios en
telecomunicaciones y tecnologías de
información y comunicación y postal
en el marco de los principios de
acceso universal, continuidad,
calidad y solidaridad.
Objeto:
DS No. 1793 Decreto que Se aprueba el Reglamento General a
3 De fecha: 13 aprueba el la Ley Nº 164,
3
de reglamento a ley de 8 de agosto de 2011, Ley
noviembre 164 General de
de 2013 Telecomunicaciones, Tecnologías de
Información y Comunicación.
Objeto:
Reglamentar las actividades del sector
de telecomunicaciones en aplicación a
la Ley Nº 164, de 8 de agosto de
2011, General de
4 Reglamento Reglamento General Telecomunicaciones, Tecnologías de
general a la a la Ley Nº 164, de 8 Información y Comunicación para el
LEY 164 de agosto de 2011, Sector de Telecomunicaciones.
De fecha: 24 de General de Titulo X, Capítulo I, Articulo 164:
octubre de 2012 telecomunicaciones, (Continuidad del servicio) Sin
tecnologías de perjuicio de los derechos establecidos
información en la Ley Nº 164, cuando la ATT
tramite reclamaciones, respecto a los
servicios de telecomunicaciones
disponibles al público; previo análisis
podrá ordenar al operador o
proveedor que mantenga el servicio o
que, en el plazo que el indique,
proceda a su reconexión, según
corresponda, mientras resuelva el
reclamo presentado
DS No. 1497 Decreto Supremo Objeto:
5 De fecha: 20 de 1497 El presente Decreto Supremo tiene
febrero de 2013 por objeto establecer: los Convenios
Marco y el Registro Único de
Proveedores de servicios del Estado –
RUPE.
Objeto:
4
El presente Estatuto, en el marco de
los preceptos
Ley 2027 Ley del Estatuto del de la Constitución Política del Estado,
6 De fecha: 27 de Funcionario Público tiene por objeto regular la relación del
octubre de 1999 Estado con sus servidores públicos,
garantizar el desarrollo de la carrera
administrativa y asegurar la dignidad,
transparencia, eficacia y vocación de
servicio a la colectividad en el ejercicio
de la función pública, así como la
promoción de su eficiente desempeño
y productividad.
Fuente: Elaboración propia.
b) Misión.
c) Visión.
Para el año 2025, nos comprometemos a sumar todos nuestros esfuerzos para lograr
mantener a ENTEL Bolivia como una empresa líder en el ramo de las
telecomunicaciones, con el fin de satisfacer la demanda y las necesidades de los
habitantes del Estado Plurinacional de Bolivia. [2]
5
d) Organigrama.
Fuente: http://www.entel.bo
Asimismo cuenta un sistema de gestión satelital (Hughes), que funciona las 24 horas,
los 7 días de la semana y 365 días del año, dicho sistema permiten controlar y
monitorear el funcionamiento de los equipos satelitales instalados en las áreas
rurales.
6
Este sistema, como cualquier otro, está expuesto a diferentes tipos de riesgos que
pueden afectar su normal funcionamiento y esto provocaría una situación alarmante
y grave en la estación terrena Santivañez además de atenerse a las sanciones
impuestas por la ATT a empresas de telecomunicaciones, siendo necesario elaborar
un plan de gestión de riesgos que ayude a identificar y gestionar de manera
ordenada los riesgos a los que está sometido el sistema informático, con el fin de
reducir el nivel de riesgo de forma significativa y con ello la materialización de las
amenazas y la reducción del impacto considerando procedimientos adecuados,
planificando e implantando los controles de seguridad que correspondan en base a
directrices establecidas en el ámbito interno del País.
¿Cuáles son las vulnerabilidades, riesgos y amenazas de los activos del sistema de
gestión satelital del Hub Santivañez, que permitan implementar controles de
seguridad para la reducción del impacto del riesgo?
1.4 OBJETIVOS.
7
Tratar el riesgo aplicando la mejor opción para su atención mediante las
directrices establecidas en el PISI.
8
activos de la escala de
valoración de
activos
1.5 Valoración de
activos
identificados
Evaluar las 1.6 Identificación
vulnerabilidades, de la escala de
amenazas y clasificación de
riesgos más vulnerabilidades y
probables amenazas de
activos e impacto
del riesgo
1.7 Evaluación del
riesgo de los
activos
identificados
Tratamiento del 1.8. Establecer los
riesgo controles a
implementar
Fuente: Elaboración propia.
1.6 Justificación.
El conocimiento de la gestión del riesgo, así como los procesos que lo componen
proveen a la Institución de una estrategia y/o herramienta para que no se responda
de manera reactiva ante situaciones adversas que afecten el cumplimiento de los
objetivos, sino más bien proactiva, mediante la identificación de los riesgos y su
reducción. Así también se provee a la MAE de un análisis que apoye a la toma de
decisiones respecto a los riesgos latentes. [3]
9
1.6.2 Justificación Técnica.
La interrupción por agentes externos o internos de los servicios ofrecidos por una
empresa de telecomunicaciones, que afecte el normal desarrollo de las actividades,
genera sin duda costes económicos, daño a la imagen institucional, sanciones por
las autoridades reguladoras de Telecomunicaciones e incluso malestar social.
En tal sentido gestionar el riesgo hace que la Institución esté preparada ante la
materialización de los riesgos para minimizar sus consecuencias, logrando reducir
costes económicos por pérdidas o daños.
1.7 ALCANCE.
10
CAPITULO II PROPUESTA
El plan de gestión del riesgo es un conjunto de tareas que se deben realizar para
minimizar la ocurrencia de un incidente mediante el establecimiento de controles.
Ahora bien, estas tareas se operativizarán mediante una MATRIZ DE RIESGOS que
se demostrara de manera gráfica de acuerdo al desarrollo de la propuesta [3]:
11
b) Identificación de Activos.
Computadoras de escritorio a
Hardware – Oficina de
Pcs de través de las cuales se accede a
1 Equipamiento monitoreo
gestión la interfaz gráfica del software
informático del Hub
de gestión satelital.
12
c) Valoración de los Activos.
13
Valoración de activos identificados.
14
Figura 2.2. CLASIFICACION DE LA VULNERABILIDAD DEL ACTIVO
Fuente: Modelo PAI.
Nivel
# Activo Amenaza Situación Vulnerabilidad Probabilidad Impacto de
Riesgo
Condiciones
Daños al Susceptibilidad
inadecuadas
Pcs de equipo / a las
1 de PROBABLE MODERADO MEDIO
gestión Perdida de variaciones de
temperatura y
Datos temperatura
humedad
Un acceso
no
autorizado al
software d
Manipulación podría ser Gestión
Software de las aprovechado deficiente de
2 PROBABLE CRÍTICO ALTO
de gestión configuracion para las
es manipular las contraseñas
configuracion
es de los
equipos
remotos.
Red de Tráfico
Robo de Robo de POCO
3 datos sensible sin SEVERO MEDIO
información información PROBABLE
interna protección
15
Avería de
Servidor Interrupción Mantenimiento
4 origen físico o PROBABLE CRÍTICO ALTO
Hughes del servicio insuficiente
lógico
Implementaci Falta de
Operadore Errores del ón de conciencia
5 PROBABLE MODERADO MEDIO
s administrador software no acerca de la
seguro seguridad
Controles a implementar.
16
Implementar controles para el
Red de resguardo de la integridad,
Robo de
3 datos 7,1,1 v confidencialidad y
información
interna disponibilidad de la
información.
Realizar mantenimientos
periódicos y pruebas de
Avería de
Servidor funcionalidad por personal
4 origen físico o 5,2,1 v
Hughes calificado al equipamiento de
lógico
acuerdo a las especificaciones
del fabricante
Los controles que se emplearán en base a la evaluación de los riegos de los activos
identificados se aplicarán de la siguiente manera:
ACTIVIDADES OBSERVACIONES
JUNIO JULIO AGOSTO SEPTIEMBRE OCTUBRE
Entrega del
1 plan
X
Sustentación
2 del plan
X
Aplicación
3 CONTROL 1
X
Aplicación
4 CONTROL 2
X
Aplicación
5 CONTROL 3
X
Aplicación
6 CONTROL 4
X
Aplicación
7 CONTROL 5
X
Evaluación
8 Controles X
implementados
17
CAPITULO III CONCLUSIONES Y RECOMENDACIONES
3.1 CONCLUSIONES.
Como conclusión se puede decir que se cumplió con el objetivo general y los
objetivos específicos del plan ya que se realizó la identificación de los activos más
relevantes para el funcionamiento del sistema de gestión satelital del Hub
Santivañez.
También se puede afirmar que el análisis de riesgos nos permitió determinar los
controles a establecer para minimizar el impacto de un posible incidente, previniendo
sucesos perjudiciales y al tiempo estar preparados de manera proactiva ante los
riesgos y seguir operando en las mejores condiciones; de esta manera se puede
concluir que con la implementación de este plan el riesgo se reduce a un nivel
residual asumible.
3.2 RECOMENDACIONES.
18
REFERENCIA BIBLIOGRÁFICA
19
GLOSARIO DE TÉRMINOS
20
Estación terrena o Hub Un Tele puerto, Estación terrestre o Hub es una
estación de radio terrestre para telecomunicaciones
para la retransmisión de distintos servicios de
televisión, voz y datos vía satélite.
21
ANEXOS
22
ANEXO 2. FODA ENTEL
Fortalezas
1 Cobertura y conectividad a nivel nacional
2 Empresa líder en telecomunicaciones
3 Vanguardia tecnológica en equipos de telecomunicaciones
4 Implementación de proyectos de telecentros y radio bases satelitales, dirigidos a
brindar cobertura total en áreas rurales del país
5 Solidez financiera
Oportunidades
1 Alta demanda de telefonía móvil en el país
2 Políticas de gobierno a favor de empresas estatales
3 Precios más bajos en planes de telefonía e internet en comparación a TIGO y VIVA
4 Tiene acuerdos de ROAMING que las otras empresas no tienen
5 Incursionar y crecer en nuevos negocios
Debilidades
1 La mayoría de sus ingresos están concentrados en telefonía móvil, lo cual
representa una debilidad al tener poca diversidad de riesgo al no poseer otras
líneas de negocios
2 Pocos acuerdos en el mercado de los Smartphone
3 Problemas de conexiones por enlaces satelitales en áreas rurales
4 Fuerte presencia de TIGO en el occidente del país
5 Dependencia de empresas privadas para mantener la operación de sus servicios
Amenazas
1 Surgimiento de un nuevo competidor de telefonía móvil
2 Inversiones altas por la demanda de equipos más especializados ante el constante
avance tecnológico
3 Disconformidad de los usuarios por problemas en enlaces satelitales
4 Necesidad de cambiar la tecnología satelital por otra tecnología más estable
5 Mayor probabilidad de recibir sanciones por fallos de servicios
23
ANEXO 3. TIPOS DE ACTIVOS MAGIRET
DATOS E INFORMACIÓN
Los datos son el corazón que permite a una organización prestar sus servicios. La
información es un activo abstracto que será almacenado en equipos o soportes de
información (normalmente agrupado como ficheros o bases de datos) o será
transferido de un lugar a otro por los medios de transmisión de datos.
CLAVES CRIPTOGRÁFICAS
La criptografía se emplea para proteger el secreto o autenticar a las partes.
Las claves criptográficas, combinando secretos e información pública, son
esenciales para garantizar el funcionamiento de los mecanismos criptográficos.
24
[encrypt] claves de cifra
[x509] certificados de clave pública
(1) Por ejemplo, DES, 3-DES,
AES,etc.
(2) Por ejemplo, RSA, Diffie Hellman,
curvas elípticas, etc.
SERVICIOS
Función que satisface una necesidad de los usuarios (del servicio).
Esta sección contempla servicios prestados por el sistema.
25
Y activando los servicios de aprovisionamiento asociados a sus cambios de estado
respecto de la organización.
(3)
Servicios asociados a sistemas de criptografía de clave pública, incluyendo
especialmente la gestión de certificados
APLICACIONES SOFTWARE
Con múltiples denominaciones (programas, aplicativos, desarrollos, etc.) se refiere
a
tareas que han sido automatizadas para su desempeño por un equipo informático.
Las aplicaciones gestionan, analizan y transforman los datos permitiendo la
explotación de la información para la prestación de los servicios.
No preocupa en este apartado el denominado “código fuente” o programas que
serán datos de interés comercial, a valorar y proteger como tales. Dicho código
aparecería como datos.
26
temporales o permanentes de los datos, soporte de ejecución de las aplicaciones
informáticas o responsables del procesado o la transmisión de datos.
(1)
Se caracterizan por haber pocos, frecuentemente uno sólo, ser económicamente
gravosos y requerir un entorno específico para su operación. Son difícilmente
reemplazables en caso de destrucción.
(2)
Se caracterizan por haber varios, tener un coste económico medio tanto de
adquisición como de mantenimiento e imponer requerimientos estándar como
entorno de operación.
No es difícil reemplazar los en caso de destrucción.
(3)
Se caracterizan por ser multitud, tener un coste económico relativamente pequeño
27
e imponer solamente unos requerimientos mínimos como entorno de operación.
Son fácilmente reemplazables en caso de destrucción.
(4)
Se caracterizan por ser equipos afectos a la clasificación como informática personal
que, además, son fácilmente transportables de un sitio a otro, pudiendo estar tanto
dentro del recinto propio de la organización como en cualquier otro lugar.
(5)
Son aquellos equipos preparados para hacerse cargo inmediato de los equipos en
producción.
(6)
Dícese de impresoras y servidores de impresión.
(7)
Son los equipos que se instalan entre dos zonas de confianza.
(8)
Dícese de equipamiento necesario para transmitir datos: routers, módems, etc.
28
REDES DE COMUNICACIONES
SOPORTES DE INFORMACIÓN
En este epígrafe se consideran dispositivos físicos que permiten almacenar
información de forma permanente o al menos, durante largos periodos de tiempo.
29
[non_electronic] no electrónicos
[printed] material impreso
[tape] cinta de papel
[film] microfilm
[cards] tarjetas perforadas
EQUIPAMIENTO AUXILIAR
En este epígrafe se consideran otros equipos que sirven de soporte a los sistemas
de información, sin estar directamente relacionados con datos.
Nomenclatura Tipos de equipamiento auxiliar
[power] fuentes de alimentación
[ups] sistemas de alimentación ininterrumpida
[gen] generadores eléctricos
[ac] equipos de climatización
[cabling] cableado
[wire] cable eléctrico
[fiber] fibra óptica
[robot] robots
[tape] ... de cintas
[disk] ... de discos
[supply] suministros esenciales
equipos de destrucción de soportes de
[destroy]
información
[furniture] mobiliario: armarios, etc
[safe] cajas fuertes
INSTALACIONES
En este epígrafe entran los lugares donde se hospedan los sistemas de
información y comunicaciones.
Ciones. Tipos de instalaciones
[site] recinto
[building] edificio
[local] cuarto
[mobile] plataformas móviles
[car] vehículo terrestre: coche, camión, etc.
[plane] vehículo aéreo: avión, etc.
[ship] vehículo marítimo: buque, lancha, etc.
[shelter] contenedores
[channel] canalización
[backup] instalaciones de respaldo
30
PERSONAS
En este epígrafe aparecen las personas relacionadas con los sistemas de
información.
Nomenclatura Tipos de Pesonal
[ue] usuarios externos
[ui] usuarios internos
[op] operadores
[adm] administradores de sistemas
[com] administradores de comunicaciones
[dba] administradores de BBDD
[sec] administradores de seguridad
[des] desarrolladores / programadores
[sub] subcontratas
[prov] proveedores
ANEXO 4. CATALOGO DE AMENAZAS (MAGIRET)
31
Errores de monitorización (log) x
Errores de configuración x
Deficiencias en la organización x
Difusión de software dañino x x x
Errores de [re-]encaminamiento x
Errores de secuencia x
Escapes de información x x
Alteración accidental de la información x
Destrucción de información x
Fugas de información x
Vulnerabilidades de los programas
x x x
(software)
Errores de mantenimiento /
x x
actualización de programas (software)
Errores de mantenimiento /
x
actualización de equipos (hardware)
Caída del sistema por agotamiento de
x
recursos
Pérdida de equipos x x
Indisponibilidad del personal x
Ataques intencionados
Manipulación de los registros de
x
actividad (log)
Manipulación de la configuración x x x
Suplantación de la identidad del
x x x
usuario
Abuso de privilegios de acceso x x x
Uso no previsto x x x
Difusión de software dañino x x x
[Re-]encaminamiento de mensajes x
Alteración de secuencia x
Acceso no autorizado x x
Análisis de tráfico x
32
ANEXO 5. EJEMPLO DE VULNERABILIDADES
33
Software nuevo o inmaduro
Especificaciones incompletas o no claras para los
desarrolladores
Ausencia de control de cambios eficaz
En términos de tiempo utilización de datos errados en los
programas de aplicación
Ausencia de mecanismos de identificación y
autentificación como la autentificación de usuario
Gestión deficiente de las contraseñas
Falla en la producción de informes de gestión
Ausencia de copias de respaldo
Ausencia de pruebas de envío o recepción de mensajes
Lineas de comunicación sin protección
Tráfico sensible sin protección
Conexión deficiente de los cables
Punto único de falla
Redes de
comunicaciones Ausencia de identificación y autentificación de emisor y
receptor
Arquitectura insegura de la red
Transferencia de contraseñas en claro
Gestión inadecuada de la red (Tolerancia a fallos en el
enrutamiento)
Ausencia del personal
Procedimientos inadecuados de contratación
Entrenamiento insuficiente en seguridad
Uso incorrecto de software y hardware
Personal Falta de conciencia acerca de la seguridad
Ausencia de mecanismos de monitoreo
Trabajo no supervisado de personal externo o de limpieza
Ausencia de políticas para el uso de los medios de
telecomunicaciones y mensajería
Uso inadecuado o descuidado del control de acceso físico
a las edificaciones o recintos
Ubicación en un área susceptible de inundación
Instalaciones
Red energética inestable
Ausencia de protección física de la edificación, puertas y
ventanas
34