Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
POR:
supervisión.
Marzo 2013
_______________________
DIRECTOR DE TESIS
_______________________
CODIRECTOR DE TESIS
ii
DECLARACIÓN DE RESPONSABILIDAD
DECLARO QUE:
conforme las citas que constan al pie de las páginas correspondientes, cuyas
Marzo 2012
CI: 172043160-8
iii
AUTORIZACIÓN
Marzo 2012
CI: 172043160-8
iv
DEDICATORIA
que cada día me hacen llegar, y fueron mis pilares desde siempre para no decaer
v
AGRADECIMIENTO
A DIOS por permitirme escribir cada una de estas palabras, por siempre haberme
seguir adelante.
A la Universidad donde fui formada y a mis maestros que fueron más que
docentes, por impartir el conocimiento durante todo el tiempo que duro mi carrera.
A mis tíos ROBINSON Y WILMA, que de una u otra forma contribuyeron para que
vi
ÍNDICE DE CONTENIDOS
CAPÍTULO 1 ........................................................................................................... 2
1. GENERALIDADES ........................................................................................ 2
CAPÍTULO 2 ......................................................................................................... 10
2. FUNDAMENTACIÓN TEÓRICA........................................................................ 10
INFORMÁTICA...................................................................................................... 10
vii
2.4.1 “EL MÉTODO” (LIBRO I) ................................................................... 20
CAPÍTULO 3 ......................................................................................................... 28
CAMPO ................................................................................................................. 28
INFORMÁTICA...................................................................................................... 45
viii
3.6.1 INFORME TÉCNICO DE LAS FALENCIAS ENCONTRADAS. ......... 49
27002……………............................................................................................ 52
CAPITULO 4 ......................................................................................................... 55
4. INFORMES ....................................................................................................... 55
4.2.1 INTRODUCCIÓN............................................................................... 67
4.2.3 OBJETIVOS....................................................................................... 68
4.2.4 ALCANCE.......................................................................................... 68
6. BIBLIOGRAFÍA.......................................................................................... 114
ix
LISTADO DE TABLAS
CAPÍTULO 3
de la Información…………………..………………………………………………..….33
Operaciones…………………………………………………………………………..…35
de Sistemas de Información………………………………………………………...…36
de Seguridad…………………………..…………………………………………….….37
x
Tabla 3.2.11 Resultados del Dominio: Gestión de la Continuidad
del Negocio….........................................................................................................37
y 27002.………………………………………………………………………..………...52
CAPÍTULO 4
xi
LISTADO DE FIGURAS
CAPÍTULO 2
CAPÍTULO 3
CAPÍTULO 4
Seguridad) …………………………………………………………………………… 70
Seguridad)…………………………………………………………………………… 70
xii
Figura 4.2.5.3 Gráfico de Hallazgos encontrados en PILAR (Gestión de
Activos) ……………………………………………………………………………… 77
Activos)………………………………………………………………………………. 78
Comunicaciones y operaciones)………………………………………………….. 90
Comunicaciones y operaciones)…………………………………………………… 92
Acceso)………………………………………………………………………………. 95
Acceso)……………………………………………………………………………… 97
xiii
Figura 4.2.5.9 Gráfico de Hallazgos encontrados en PILAR (Gestión de
xiv
LISTADO DE ANEXOS
ANEXO A
ANEXO B
ANEXO C
ANEXO D
xv
RESUMEN
la tecnología, economía, educación entre otros. Sin tener en cuenta que conlleva
organizaciones.
sobre las Normas ISO 27000, la misma que está encargada gestionar la
seguridad Informática, también se utilizarán los Normas ISO 27001 y 27002 para
método formal para investigar los riesgos que soportan los sistemas de
Cotopaxi, la misma que cuenta con un Datacenter, el mismo que tiene sus
1
CAPÍTULO 1
1. GENERALIDADES
1.1 INTRODUCCIÓN
organizaciones
evidentes para los usuarios, e interesa a todos aquellos que trabajan con
3
La Herramienta PILAR, es una Herramienta de Análisis y Control de
tratamiento
información que tienen las bases de datos en los servidores que pueda ser
4
Dada la importancia de un diagnóstico previo para la aplicación de
1.2 ANTECEDENTES.
5
recomendaciones que servirían a la Institución, ya que la Brigada “Patria” no
está libre de tener riesgos y amenazas que atenten contra la información, por
Informática.
1.3 JUSTIFICACIÓN
sus Sistemas.
6
Durante el desarrollo del Proyecto de Grado, se realizará la Evaluación o
1.4 OBJETIVOS.
27002.
7
Elaborar la matriz de riesgo informático de las seguridades del Data
Center.
27002.
1.5 ALCANCE
Este trabajo cubre las seguridades de las instalaciones del Data Center de
posteridad.
de campo.
siguientes aspectos:
8
Política de seguridad
Gestión de activos
Control de acceso
Cumplimiento
9
CAPÍTULO 2
2. FUNDAMENTACIÓN TEÓRICA
INFORMÁTICA
informática son:
análisis.
1
Fuente: Libro Informática; Glosario de Términos y Siglas, Antonio Baquero, Mc. Grow Hill
10
Control: Los controles incluyen características de seguridad, restricciones
organización.
cada activo, así como saber en qué medida estas características están en
peligro.
2
Fuente: Libro I – Magerit (Método), Ministerio de Administraciones Públicas, Madrid
11
Integridad: Mantenimiento de las características de completitud y
no la observen.
3
Fuente: Libro II – Magerit (Catálogo de Elementos), Ministerio de Administraciones Públicas, Madrid
MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
4
Fuente: Libro I – Magerit (Método), Ministerio de Administraciones Públicas, Madrid
5
Fuente: http://www.sre.gob.mx/images/stories/docnormateca/historico/dgpop/guia_elab_manu_org.pdf
12
Estándar6: Un estándar es una especificación que regula la realización de
interoperabilidad.
6
Fuente: http://osluz.unizar.es/files/presentacion_pdi.pdf
7
Fuente: http://dspace.ups.edu.ec/bitstream/123456789/216/3/Capitulo%202.pdf
8
Fuente: http://www.iso27000.es
13
de la Seguridad de la Información (SGSI) para contribuir en la
Política de Seguridad
Gestión de Activos
14
Seguridad Ligada a los Recursos Humanos
Control de Acceso
Información
Información
Cumplimiento
la información y a los recursos relacionados con ella toda vez que sea
requerida.
acciones:
15
Establecer los requerimientos de seguridad
Implementación de controles
requerimientos de seguridad.
operaciones.
personal
16
o Protección de registros y documentos de la Organización.
Información
información.
factores concretos:
objetivos de la empresa.
17
Distribución de guías sobre políticas y estándares de seguridad
9
Fuente: http://administracionelectronica.gob.es
18
salvaguardas. Esta parte conceptual ha sido refrendada por el paso del
tiempo y sigue siendo el eje alrededor del cual se vertebran las fases
Magerit.
detallan a continuación:
19
Objetivos Directos:
Objetivos Indirectos:
continuación.
En este libro se describen los pasos y las tareas básicas para realizar
aspectos prácticos.
10
Fuente:
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_General&langPae=es&iniciativa=magerit
11
Fuente: Libro I – Método, Metodología de Análisis y Gestión de riesgos de los Sistemas de Información
20
Se describen las tareas básicas para realizar un proyecto de análisis
tanto los riesgos a que están expuestos, como los riesgos que las
Este libro también trae con sigo apéndices que recogen material de
consulta:
Glosario
esta metodología
y gestión
gestión de riesgos
en esta versión 2.
21
2.4.2 “EL CATÁLOGO DE ELEMENTOS” (LIBRO II)12
Tipos de activos
12
Fuente: Libro II – Catálogo de Elementos, Metodología de Análisis y Gestión de riesgos de los Sistemas de Información
22
Homogeneizar los resultados de los análisis, promoviendo una
Análisis algorítmico
Árboles de ataque
Técnicas generales
Análisis coste-beneficio
Diagramas de procesos
Técnicas gráficas
Planificación de proyectos
Valoración Delphi
13
Fuente: Libro III – Guía de Técnicas, Metodología de Análisis y Gestión de riesgos de los Sistemas de Información
23
específicas, de las que esta guía busca ser una introducción, así como
presentadas.
Metodología Magerit.
Los riesgos son tratados mediante una serie elementos como: Normas
24
información o los servicios que se prestan gracias a ella son valiosos,
PILAR les permitirá saber cuánto de este valor está en juego y les
ayudará a protegerlo.
Objetivo:
ISO/IEC 27000.
el Sistema.
14
Fuente: Herramienta Pilar, Utilización de EAR/ PILAR José Mañas
25
2.5.2 RESULTADOS EN PILAR
los siguientes:
Mapa de riesgos.
Las ventajas:
26
2.5.3 PERSONALIZACIÓN DE LAS HERRAMIENTAS PILAR
27
CAPÍTULO 3
DE CAMPO
OBJETIVOS:
instalaciones
recursos informáticos.
28
dominios que indican las NORMAS ISO 27001 e ISO 27002 y de la matriz
misma que fue realizada a todo el personal del área tecnología, porque es
29
resguardo y la integridad de la información dentro de un sistema
informático.
la red.
encuesta.
30
Como se muestra a continuación el resultado de SI es del 52.33%,
Brigada “Patria”.
Si No
86 100 86 100
45 X 41 X
X= 52.33% X= 47.67%
encuesta:
31
Política de seguridad.
manera adecuada.
Si No
5 100 5 100
2 X 3 X
X= 40.00% X= 60.00%
32
Si No
3 100 3 100
2 X 1 X
X= 66.67% X= 33.33%
Seguridad de la Información
Gestión de activos
regular.
Si No
14 100 14 100
8 X 6 X
X= 57.14% X= 42.86%
33
de la Brigada de Fuerzas Especiales No.9 “Patria”, no se están
cumpliendo.
Si No
10 100 10 100
7 X 3 X
X= 70.00% X= 30.00%
Humanos
manera esperada.
Si No
17 100 17 100
8 X 9 X
X= 47.06% X= 52.94%
Si No
6 100 6 100
4 X 2 X
X= 66.67% X= 33.33%
Operaciones
Control de acceso
Si No
5 100 5 100
1 X 4 X
X= 20.00% X= 80.00%
35
Adquisición, desarrollo y mantenimiento de sistemas de
información
Si No
10 100 10 100
6 X 4 X
X= 60.00% X= 40.00%
información
36
Si No
5 100 5 100
1 X 4 X
X= 20.00% X= 80.00%
Seguridad
Si No
4 100 4 100
2 X 2 X
X= 50.00% X= 50.00%
Negocio
Cumplimiento
37
puede concluir que el cumplimiento dentro de la Brigada de Fuerzas
Si No
7 100 7 100
4 X 3 X
X= 57.14% X= 42.86%
Una vez que se analizaron los resultados arrojados por las encuestas, se
No.9 “Patria”.
analizados.
38
3.4 DATOS DEL SISTEMA DE SEGURIDAD INFORMÁTICA.
riesgos, que indica que los pasos 1, 2, 3,4 y 5 se siguen primero, obviando el
paso 3, de forma que las valoraciones del impacto y/o riesgos sean realizadas sin
impacto y/o riesgo potencial, para luego proceder a aplicar las salvaguardas
institución con cada una de sus relaciones, teniendo en cuenta las dimensiones
39
La dependencia entre activos ayuda a identificar y valorar, tomando en cuenta
en que puede ser perjudicado un activo superior por medio de las amenazas que
un activo es valioso.
40
Figura 3.4.3 Valoración de Activos
sobre cada activo, teniendo en cuenta las relaciones de las posibles amenazas.
41
Para la valoración de las amenazas, se estima la frecuencia y la degradación
B: Bajo, M: Medio, A: Alto y MA: muy Alto que es la degradación por niveles y
porcentajes.
Valor Criterio
15
Fuente: Metodología Magerit, Administración Española
42
En la tarea de estimación del impacto se tiene el impacto residual y potencial al
Usuarios Finales.
43
permisos, mantenimiento, respaldos, entre otros. Mientras que los usuarios
dependencias.
análisis de riesgos.
reflejadas en pilares.
dependencias.
tomada en porcentaje.
44
Una vez realizado el proceso anterior se procede a la obtención de los
resultados.
inferiores.
se encuentren.
45
A las tecnologías de información: Se tomó en cuenta la posición de
mismas.
física y lógica.
o Identificación de usuarios.
control de acceso.
47
Como se otorgan y suspenden los derechos y privilegios
de acceso.
48
Figura 3.5 Matriz del Riesgo Acumulado
Introducción.
PILAR.
Datacenter y para dar una visión a la Brigada de cómo contrarrestarlos y así tome
Para poder identificar de mejor manera las amenazas dentro del centro de
49
herramienta PILAR, el mismo que se muestra en matrices dando a conocer los
Hallazgos
Una vez verificado el informe de amenazas, se puede verificar cuales son los
Denegación de servicio
Fuego
Desastres naturales
Acceso no autorizado
Ataque destructive
Conclusiones:
50
Se debe destacar que el sistema ofimático no ha sido explotado en su
totalidad.
Recomendaciones:
Sistemas de Fuego.
periódico.
Datacenter.
implementaciones y actualización.
51
3.6.2 ANÁLISIS CONFRONTATIVO CON LAS NORMAS ISO 27001 Y
27002
Tabla 3.5.2 Análisis Confrontativo con las Normas ISO 27001 y 27002
52
En la actualidad se tiene en mente que las normas ISO 27001 e ISO
27002 son equivalentes, pero eso no es verdad, ya que son muy distintas.
Las diferencia principal entre estas dos normas es que la norma (27002)
53
ISO 27002 sería simplemente un esfuerzo aislado de implementación para
la seguridad de la información.
ESPACIO EN BLANCO
INTENCIONAL
54
CAPITULO 4
4. INFORMES
al Datacenter.
55
DOMINIO CONTROLES
A. Política de seguridad Documento de política de seguridad
de la información
56
Intercambios de información
Servicios de comercio electrónico
Supervisión
G. Control de acceso Requisitos de Control de Acceso
Gestión de Usuarios
Responsabilidades de los Usuarios
Control de Acceso a la Red
Control de acceso a sistemas de
operación
Control de acceso a datos y a
operaciones
Equipos móviles y tele-trabajo
H. Desarrollo y Comunicación de incidentes y
mantenimiento de los debilidades
sistemas Gestión de incidentes y mejoras
I. Manejo de la continuidad Seguridad de la información en relación a
de la empresa la gestión de la continuidad
J. Cumplimiento o Satisfacción de requisitos legales
Conformidad Cumplimiento de políticas, normas y
reglamentos técnicos
Consideraciones sobre auditoria de
los sistemas de información
K. Cumplimiento Satisfacción de requisitos legales
57
A. Dominio: Política de Seguridad
Observación:
Riesgo:
Causa:
Recomendaciones:
Observación:
Seguridad.
58
Riesgo:
capacitación continua.
Causa:
manera correcta.
Recomendación:
informática.
Observación:
dentro de la organización
Riesgo:
59
Causa:
Recomendación:
Observación:
Riesgo:
instalaciones.
Causa:
Recomendación:
60
E. Dominio Seguridad Física y del Entorno
Observación:
Riesgos:
actividades ilícitas.
Se puede tener daño de los equipos por falta del suministro eléctrico.
Causa:
No existe una persona que se encargue de verificar quien entra al área del
Centro de datos.
Recomendaciones:
Datacenter.
funcionando correctamente.
61
F. Dominio: Gestión de Comunicaciones y operaciones
Observación:
Riesgos:
Perdida de información.
Causas:
Recomendaciones:
la información.
62
G. Dominio: Control de Acceso
Observación:
atención.
Riesgos:
Causas:
Recomendaciones:
Información
Observación:
Causas:
perderse.
Recomendaciones:
Observación:
Riesgo:
que ocurran
64
Causa:
eficiente
Recomendaciones:
Observación:
Riesgo:
Causa:
Recomendaciones:
65
K. Dominio: Cumplimiento
Observación:
Riesgo:
información.
Causa:
Recomendaciones:
66
4.2 INFORME DETALLADO
4.2.1 INTRODUCCIÓN
institución.
4.2.2 METODOLOGÍA
cada dominio se divide en objetivos de control, los cuales poseen los controles
cada control de la norma ISO 27002, y se tomaron las más importantes para
evaluados.
67
4.2.3 OBJETIVOS
4.2.4 ALCANCE
ISO 27002, con cada uno de las salvaguardas que se han implementado para
siguientes aspectos:
Política de seguridad
Gestión de activos
Cumplimiento
Los resultados de este proyecto, servirán para que los usuarios y encargados
confiable y oportuna.
herramienta PILAR.
Control:
Objetivo:
regulaciones relevantes.
69
Principios:
Condición:
Evidencia:
Gráfico:
Seguridad)
70
Riesgo:
Causa:
Salvaguardas:
Gráfico:
Seguridad)
71
Recomendaciones:
Información
Controles:
Organización Interna.
Objetivo:
Principios:
Organización.
empresa externa.
Evidencia:
Gráfico
Riesgo:
Organización Interna.
73
Causa:
manera inadecuada.
Salvaguardas:
Acuerdos de confidencialidad
laborales
Recomendaciones:
74
Gráfico:
Controles:
Clasificación de la Información.
Objetivos:
Organización
75
Principios:
Condición:
criticidad.
Evidencia:
76
Gráfico:
Activos)
Riesgo:
Causa:
Salvaguardas:
Recomendaciones:
77
Gráfico:
Activos)
Control:
Previa a la Contratación.
Objetivo:
instalaciones y medios.
78
organización en el desempeño de sus labores diarias, para reducir el riesgo
Principios:
de la organización.
Condición:
personal.
79
Evidencia:
Gráfico:
Riesgo:
instalaciones.
Causa:
80
Salvaguardas:
Funciones y responsabilidades
trabajo
Acuerdos de confidencialidad
laborales
Procedimiento Disciplinario
tarjetas, etc.)
Recomendaciones:
81
Gráfico:
Control:
Áreas seguras.
Objetivo:
82
Principios:
interferencias.
robo.
Condición:
Evidencia:
83
Gráfico:
del Entorno)
Riesgo:
actividades ilícitas.
Se puede tener daño de los equipos por falta del suministro eléctrico.
Causa:
Datacenter.
Salvaguardas:
guardia
motobomba, etc.)
Suministros
Point on Failure)
85
[AUX6a]Hay protección prevista contra daños o intercepciones no
etc.)
Mantenimiento de Equipos
elevados
Recomendaciones:
Datacenter.
86
Gráfico:
del Entorno)
Controles:
Copias de seguridad.
87
Tratamiento de soportes de información.
Intercambios de información
Supervisión
Objetivos:
información.
información y comunicación
infraestructura de apoyo.
Principios:
88
asegurar que los servicios que se prestan cumplen con todos los
su puntual recuperación.
Condición:
encuentran en tránsito.
Evidencia:
89
Gráfico:
Comunicaciones y operaciones)
Riesgo:
Perdida de información.
90
Causas:
Salvaguardas:
Gestión de Cambios
elevados
91
Seguridad de los servicios de Red
Recomendaciones:
la información.
Gráfico:
Comunicaciones y operaciones)
92
4.2.5.7 Dominio: Control de Acceso
Controles:
Gestión de Usuarios.
Objetivos:
93
Principios:
información.
efectiva.
conectados en red.
Condición:
94
Evidencia:
Gráfico:
Riesgo:
Causas:
95
Salvaguardas:
Gestión de Privilegios
responsabilidades y de función
organización
Registro de Usuarios
Uso de Contraseñas
contraseñas
sospecha de ello
conjetura
96
Aislamiento de Sistemas Críticos
Recomendaciones:
Gráfico:
97
4.2.5.8 Dominio: Adquisición, Desarrollo y Mantenimiento de los
Sistemas de Información
Controles:
Requisitos de Seguridad.
Controles Criptográficos.
Gestión de Vulnerabilidades.
Objetivos:
información.
información.
técnicas publicadas.
98
Principios:
salida.
de los programas.
proyectos y de soporte.
confirmen su efectividad.
Condición:
99
Evidencia:
Gráfico:
Riesgos:
Causa:
perderse.
100
Acceso a la red de información sin los perfiles necesarios.
Salvaguardas:
Gestión de Claves
por el proveedor
Recomendaciones:
101
Gráfico:
Controles:
Objetivo:
102
Garantizar que se aplica un enfoque consistente y eficaz para la gestión de
Principios:
procedimientos de escalado.
Condición:
Evidencia:
103
Gráfico:
de seguridad de Información)
Riesgo:
que ocurran.
Causa:
eficiente.
Salvaguardas:
Gestión de Incidencias
104
Recomendaciones:
Gráfico:
Controles:
105
Objetivo:
información.
Principios:
Condición:
Evidencia:
106
Gráfico:
Riesgo:
Causa:
Salvaguardas:
107
Plan de Continuidad
Recomendación:
Gráfico:
Controles:
108
Consideraciones sobre auditoria de los sistemas de información.
Objetivos:
seguridad de la Organización.
Principios:
de información.
sistemas de información.
Condición:
109
Evidencia:
Gráfico:
Riesgo:
información.
Causa:
Salvaguardas:
110
Recomendaciones:
apropiados y actualizados.
Gráfico:
111
CAPÍTULO 5
5. CONCLUSIONES Y RECOMENDACIONES
5.1 CONCLUSIONES
incluyendo la información que ésta contiene, por lo que debe ser tratado
112
5.2 RECOMENDACIONES
salvaguardas.
materialicen para poder tratarlos sin que se vea afectados activos que
113
6. BIBLIOGRAFÍA
de Http://www.iso27000.es
McGrow Hill.
http://osluz.unizar.es/files/presentacion_pdi.pdf
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_
General&langPae=es&iniciativa=magerit
Recuperado el 15 de 05 de 2012, de
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_
General&langPae=es&iniciativa=magerit
2011, de
http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=PAE_PG_CTT_
General&langPae=es&iniciativa=magerit
cert.cni.es/publico/herramientas/pilar5/ec/magerit/meth-en-v11.pdf
114
Públicas, M. d. (20 de 06 de 2006). MAGERIT Versión 2. Recuperado el 15 de
cert.cni.es/publico/herramientas/pilar5/en/magerit/tech-en-v11.pdf
cert.cni.es/publico/herramientas/pilar5/en/magerit/cat-en-v11.pdf
115
BIOGRAFÍA
ELABORADA(O) POR
___________________________________
DIRECTOR DE LA CARRERA
___________________________________