INTERFACES Y SOLUCIONES S.A.S INFORME DE …repository.udistrital.edu.co/bitstream/11349/6737/4/MoyanoOrjuela... · No se ha incorporado medidas de seguridad a la computación móvil

ANEXO C - INFORME DE EVALUACIÓN Y TRATAMIENTO DE RIESGOS

Información Clasificada Versión. 1.0 Fecha: julio 2017 Página: 1 de 55

ANEXO C

INTERFACES Y SOLUCIONES S.A.S

INFORME DE EVALUACIÓN Y TRATAMIENTO DE RIESGOS

IET-SGSI-01

Elaborado Por: Revisado Por: Aprobado Por:

Yasmin Suárez Adriana Moyano

Ing. Jairo Hernández Gutiérrez

Ing. Jorge Pérez Acosta

Fecha: julio 2017 Fecha: julio 2017 Fecha: julio 2017

Cargo: Pasantes a cargo del SGSI

Cargo: Director y Asesor del trabajo de grado

Cargo: Director de Proyectos I&S



CONTENIDO

0. INTRODUCCIÓN .............................................................................................. 3

1. INFORME DE EVALUACIÓN Y TRATAMIENTO DE RIESGOS ...................... 4

1.1. IDENTIFICACIÓN DE RIESGOS .................................................................. 4

1.1. PRIORIZACIÓN DE RIESGOS ................................................................... 9

1.2. TRATAMIENTO DEL RIESGO ................................................................. 13

Estrategias de tratamiento del riesgo ............................................................. 13

Técnicas de tratamiento .................................................................................. 14

Opciones de control recomendadas ............................................................... 20



0. INTRODUCCIÓN

En el actual documento se presenta un resumen detallado de la evaluación y tratamiento de riesgos realizado a Interfaces y Soluciones, identificando el nivel de seguridad apropiado que se requiere en la compañía para el funcionamiento del SGSI, determinando así, mediante una entrevista al gerente de proyectos y los miembros activos, observación del entorno de trabajo y la verificación de la documentación existente, la identificación de los riesgos y el tratamiento de los mismos, teniendo en cuenta los dominios definidos por la norma ISO/IEC 27001:2013.



1. INFORME DE EVALUACIÓN Y TRATAMIENTO DE RIESGOS

1.1. IDENTIFICACIÓN DE RIESGOS

La evaluación inicial del riesgo permite determinar el nivel de seguridad apropiado que se requiere para el funcionamiento del SGSI en Interfaces y Soluciones. Como paso inicial se realiza la identificación de riesgos por medio de diferentes fuentes de información:

● Entrevista al gerente de proyectos y miembros activos de la organización.

● Observación del entorno de trabajo.

● Verificación de documentos disponibles.

La recopilación de datos ha estado enfocada en el entorno operativo y el cumplimiento de políticas y procedimientos, se toma en cuenta las vulnerabilidades existententes y las amenazas presentes. Para mayor detalle de la identificación de riesgos y hallazgos encontrados dirigirse al Anexo 2 - “Informe de Hallazgos”.

A continuación se listan las vulnerabilidades y vectores de amenazas identificados en los procesos y activos de información pertenecientes a interfaces y Soluciones:

- No se encuentran establecidas las responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a incidentes de seguridad

Ataque interno Fallos en el sistema y en el medio ambiente Sistemas Automatizados y Código Malicioso

- No existe protección frente a fallos en la alimentación eléctrica Fallos de dependencia Fallos en el sistema y en el medio ambiente

- No existe seguridad en el cableado frente a daños e intercepciones Ataque externo Ataque interno Fallos en el sistema y en el medio ambiente

- No existe un canal y procedimientos claros a seguir en caso de incidente de seguridad

Abuso de información privilegiada y actos no autorizados Acciones de la naturaleza



Ataque externo Ataque interno Errores y Omisiones Fallos de dependencia Fallos en el sistema y en el medio ambiente Intrusión física y/o robo Sistemas Automatizados y Código Malicioso

- No existe un control de la conexión de redes Ataque externo Ataque interno Sistemas Automatizados y Código Malicioso

- No existe un control del routing de las redes Ataque externo Ataque interno Errores y Omisiones Fallos de dependencia

- No existe una identificación única de usuario y una automática de terminales Abuso de información privilegiada y actos no autorizados Ataque interno Errores y Omisiones

- No existe una política de uso de los servicios de red Ataque externo Ataque interno Errores y Omisiones Sistemas Automatizados y Código Malicioso

- No existe una revisión de los derechos de acceso de los usuarios Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno Errores y Omisiones

- No existen condiciones contractuales de seguridad con terceros y outsourcing Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno Errores y Omisiones Fallos de dependencia Intrusión física y/o robo



- No existen controles criptográficos

Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno Errores y Omisiones

- No existen logs de los fallos detectados Abuso de información privilegiada y actos no autorizados Ataque interno Errores y Omisiones

- No existen procedimientos de etiquetado de la información Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno Errores y Omisiones Fallos de dependencia Sistemas Automatizados y Código Malicioso

- No existen procedimientos para clasificar la información Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno Errores y Omisiones Fallos de dependencia Sistemas Automatizados y Código Malicioso

- No existen programas de formación en seguridad para los empleados, clientes y terceros

Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno Errores y Omisiones Fallos de dependencia Fallos en el sistema y en el medio ambiente Sistemas Automatizados y Código Malicioso

- No se controla y restringe la asignación y uso de privilegios en entornos multi-usuario

Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno



Errores y Omisiones

- No se controlan las vulnerabilidades de los equipos Abuso de información privilegiada y actos no autorizados Ataque externo Errores y Omisiones Sistemas Automatizados y Código Malicioso

- No se dispone de una clasificación de la información según la criticidad de la misma

Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno Errores y Omisiones Fallos de dependencia

- No se ha incorporado medidas de seguridad a la computación móvil Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno Errores y Omisiones Sistemas Automatizados y Código Malicioso

- No se han establecido controles para realizar la gestión de los medios informáticos (cintas, discos, removibles, informes impresos)

Ataque externo Errores y Omisiones Sistemas Automatizados y Código Malicioso

- No se protege el acceso de los equipos desatendidos Abuso de información privilegiada y actos no autorizados Ataque externo Ataque interno Errores y Omisiones Fallos de dependencia Intrusión física y/o robo

- No se realiza gestión de contraseñas de forma segura y periódica Abuso de información privilegiada y actos no autorizados Ataque interno Errores y Omisiones



Los vectores de amenaza listados anteriormente hacen referencia a elementos que pueden poner en riesgo los activos de información pertenecientes a los procesos de Interfaces y Soluciones aprovechando la vulnerabilidad existente. Así, se definen los siguientes:

● Acciones de la naturaleza. Aquí se encuentran los desastres naturales como terremotos, lluvias, vientos, etc., que amenazan las instalaciones, los sistemas, personal, servicios públicos y operaciones.

● Condiciones peligrosas. Fuego, derrames de químicos, eventos biológicos, inestabilidad estructural, Condiciones inadecuadas de temperatura o humedad, etc., que amenazan las instalaciones, sistemas, personal y operaciones. Puede ser el resultado de eventos naturales, fallas en el control ambiental, errores humanos y / o actos violentos.

● Fallos de dependencia. Falla de un sistema o servicio fuera del control directo de los propietarios del sistema, puede dañar el sistema y/o afecta su capacidad de operación. También incluye acciones de terminación y reasignación de trabajadores. Los ejemplos incluyen Indisponibilidad del personal tras la terminación de sus contratos, fallo de un servicio o control propiedad de otra parte de la organización, Corte del suministro eléctrico.

● Fallos en el sistema y en el medio ambiente. Problemas de una computador, dispositivo, aplicación, servicio de comunicación o control ambiental o de protección que interrumpa, dañe o exponga el sistema a daños. Los ejemplos incluyen fallas del hardware, errores de configuración, caídas del sistema por sobrecargas, fallas de control ambiental y corrupción de software o datos.

● Actos violentos del hombre. Ataque físico o amenaza de ataque a nivel nacional, regional o local que afecte directamente al sistema y / o su personal o que resulte en daño indirecto o falla en la dependencia.

● Errores y omisiones. Acciones accidentales o poco aconsejadas tomadas por el personal que resultan en daño físico no intencional, interrupción del sistema y/o exposición.

● Ataque interno. Acciones tomadas por personas internas para dañar la organización y su personal, sistemas y/o datos. Los ejemplos incluyen el



compromiso del sistema, el abuso de privilegios, la escucha electrónica, la adivinación de contraseñas, la denegación de servicio y la ingeniería social.

● Abuso de información privilegiada y actos no autorizados. Acciones internas no autorizadas, ilegales o inapropiadas que causan interrupciones y/o daños. Aunque estas acciones son intencionales, los recursos informáticos son típicamente el vehículo usado para cometer el acto en lugar de su objetivo. Ejemplos incluyen el compartir o distribuir material protegido por derechos de autor, la invasión de la privacidad, la exploración de sistemas informáticos no autorizados, el uso de recursos informáticos para acosar a otros y el desprecio por los controles de seguridad.

● Ataque externo. Acciones tomadas por partes externas que buscan dañar la organización, su personal, sistemas, y/o datos. Ejemplos incluyen el compromiso del sistema, la recolección de datos y cuentas, el crimen informático, la adivinación de contraseñas, la denegación de servicio y la ingeniería social.

● Sistemas Autónomos y Código Malicioso. Acciones automatizadas en código de programa o sistemas que resulten en daño a la organización, sus sistemas, y/o sus datos. Los ejemplos incluyen virus, gusanos y sistemas de control o respuesta de inteligencia artificial.

● Intrusión física y/o robo. Compromiso de la instalación y/o robo de recursos físicos (datos, salida impresa, computadoras portátiles, sistemas, fichas de acceso, contraseñas, etc.) que puedan perjudicar directa o indirectamente a la organización o al sistema.

● Acciones Legales y Administrativas. Acciones tomadas por las autoridades policiales, regulatorias, administrativas y/o otras partes, como resultado de actos ilegales y fallas en la debida diligencia y/o debido cuidado, o en la búsqueda de una indemnización por los daños sufridos por otros. Ejemplos incluyen la legislación nacional.

1.1. PRIORIZACIÓN DE RIESGOS

Tras la identificación de riesgos se realiza una estimación de probabilidad e impacto de ocurrencia. Esto permite estimar de forma cualitativa y cuantitativa el nivel de seguridad requerido. Se ha realizado un proceso de Gestión de Riesgos



en el que se incluyen los parámetros de valoración de impacto y probabilidad. Lo cual, se puede observar con mayor detalle en el Anexo 2 - “Informe de Hallazgos” en la sección Valoración del riesgo. Se creó una matriz o mapa de riesgos que muestra la combinación de impacto y probabilidad que, a su vez, generan una prioridad de riesgo (mostrada por los tonos de color rojo, amarillo y verde). Tabla 1 Mapa de Riesgo

MAPA DE RIESGO

Probabilidad

Alta RM RC RC

Media RB RM RC

Baja RB RB RM

Bajo Medio Alto

Impacto

Fuente: Elaboración Propia Según los resultados del análisis y al evaluar la situación actual de la infraestructura de tecnologías de la información en la empresa, se puede establecer la siguiente valoración de riesgo general.

● En Riesgo Crítico se encuentran aquellas combinaciones en las cuales el riesgo supera el nivel de aceptación de la organización. Son aquellas en las que el impacto y/o probabilidad se encuentran en un nivel alto, basado en la multiplicación impacto probabilidad. Por lo tanto, se deben priorizar las medidas para mitigación y planes de acción de forma inmediata.

● En Riesgo Moderado se encuentran aquellas combinaciones que presentan un riesgo elevado. Sin embargo, puede estar en los niveles de aceptación de la entidad y por lo tanto, requieren medidas de mitigación dentro de un límite de tiempo determinado y preferiblemente a mediano plazo.

https://docs.google.com/document/d/1x5ttTr-4cqxAOHg4Gw09IecnjhI1AZ_1Gc5MzIDOfRo/edit#heading=h.1r38ucs0ctii

https://docs.google.com/document/d/1x5ttTr-4cqxAOHg4Gw09IecnjhI1AZ_1Gc5MzIDOfRo/edit#heading=h.1r38ucs0ctii



● En Riesgo Bajo se encuentran las combinaciones con un nivel de riesgo

normal, en donde la relación de impacto y probabilidad es baja y en muchas ocasiones pueden ser gestionados con procedimientos rutinarios. A este grupo pertenecen las combinaciones que no se han clasificado en Crítico o Moderado.

Con el análisis detallado de activos y amenazas, como se puede evidenciar en el “Anexo 2 - “Informe de Hallazgos”, se detectó:

● 130 combinaciones de activo, amenaza y vector que ponen en riesgo las instalaciones, los sistemas, el personal, servicios públicos y operaciones de la organización. Las cuales se agrupan en los niveles de riesgo así:

○ 27 en Riesgo Crítico

○ 49 en Riesgo Moderado

○ 54 en Riesgo Bajo

Tabla 2 Resumen valoración de riesgos 1

Vector de Amenaza RC RM RB Total

general

Abuso de información privilegiada y actos no autorizados 15 5 3 23

Acciones de la naturaleza 3 3

Ataque interno y/o Ataque externo 7 15 3 25

Condiciones peligrosas 4 4

Errores y Omisiones 4 10 20 34

Fallos de dependencia 6 2 8

Fallos en el sistema y en el medio ambiente 1 4 10 15

Intrusión física y/o robo 4 4 8

Sistemas Automatizados y Código Malicioso 5 5 10

Total general 27 49 54 130 Fuente: Elaboración Propia



El estudio de la estimación de riesgo y su criticidad según los vectores analizados se puede resumir así:

Tabla 3 Resumen valoración de riesgos 2

ID Vector V. Amenaza

Prom. Probabilidad

Prom. Impacto

Valor P*I

VA_001 Abuso de información privilegiada y actos no autorizados 2 3 6 RC

VA_002 Acciones de la naturaleza 1 1 1 RB

VA_003 Ataque interno y/o Ataque externo 2 3 6 RC

VA_004 Condiciones peligrosas 1 1 1 RB

VA_005 Errores y Omisiones 3 2 6 RC

VA_006 Fallos de dependencia 2 2 4 RM

VA_007 Fallos en el sistema y en el medio ambiente 3 2 6 RC

VA_008 Intrusión física y/o robo 2 3 6 RC

VA_009 Sistemas Automatizados y Código Malicioso 2 2 4 RM Fuente: Elaboración Propia

La matriz de riesgo generalizada y organizada de acuerdo a la combinación probabilidad - impacto presenta la criticidad y necesidad de priorización en el tratamiento como se muestra en la siguiente figura: Tabla 4 Mapa de Riesgo – Vector amenaza

Mapa de Riesgo por Vector de Amenaza

Probabilidad

3 - Alta VA_005 VA_007

2 - Media VA_006 VA_009

VA_001 VA_003 VA_008

1 - Baja VA_002 VA_004

1- Bajo 2- Medio 3 - Alto

Impacto



1.2. TRATAMIENTO DEL RIESGO

Luego de estimar el riesgo, se buscan medidas de protección, también conocidas como salvaguardas o tratamiento que permiten prevenir, impedir, reducir o controlar los riesgos identificados. El tratamiento del riesgo es un proceso cíclico de evaluación e implementación que consiste en revisar, priorizar e implementar los controles recomendados.

Estrategias de tratamiento del riesgo

La principal estrategia para el tratamiento de riesgos es estudiar la situación y determinar en cuáles de los siguientes casos se encuentra el riesgo, con el propósito de enfocarse en el objetivo correcto:

● Cuando existe una vulnerabilidad (defecto, debilidad) es necesario implementar técnicas que garanticen la reducción de la probabilidad de que la vulnerabilidad se explote.

● Cuando se puede explotar una vulnerabilidad es necesario aplicar protección en capas, diseños arquitectónicos y controles administrativos para minimizar el riesgo o prevenir esta ocurrencia.

● Cuando el costo del ataque es menor que la ganancia potencial para el atacante, es necesario aplicar protección para disminuir la motivación aumentando el costo del atacante (por ejemplo, usar controles del sistema para limitar lo que un usuario puede hacer).

● Cuando la pérdida puede ser demasiado grande es necesario aplicar principios de diseño, técnicas y procedimientos para limitar el alcance del ataque, reduciendo así el potencial de pérdida.

Teniendo en cuenta la valoración de riesgos y lo anteriormente mencionado se definen las siguientes estrategias:



Tabla 5 Estrategias para tratamiento de riesgo

ESTRATEGIAS PARA TRATAMIENTO DE RIESGO

Probabilidad

3 - Alta

3.Zona de riesgo Moderado Tratamiento: Reducir la probabilidad de ocurrencia Evitar el riesgo

6. Zona de riesgo extremo Tratamiento: Reducir el riesgo Evitar el riesgo Compartir o transferir

9.Zona de riesgo Extremo Tratamiento: Reducir el riesgo Evitar el riesgo Compartir o transferir

2 - Media

2. Zona de riesgo Bajo Tratamiento: Reducir la probabilidad de ocurrencia

4.Zona de riesgo Moderado Tratamiento: Reducir el riesgo Evitar el riesgo

6. Zona de riesgo extremo Tratamiento: Reducir el riesgo Evitar el riesgo Compartir o transferir

1 - Bajo 1. Zona de riesgo Bajo Tratamiento: Asumir el riesgo

2. Zona de riesgo Bajo Tratamiento: Reducir el riesgo Evitar el riesgo

3.Zona de riesgo Moderado Tratamiento: Reducir el riesgo Evitar el riesgo

1 - Bajo 2 - Medio 3 - Alto

Impacto

Técnicas de tratamiento

De acuerdo a las prioridades de la organización y el nivel de riesgo detectado se definen diferentes técnicas como parte del tratamiento del riesgo:

● Aceptar (A): Indica una aceptación del riesgo tras una decisión informada a favor de tomar el riesgo que tiene una muy baja probabilidad de ocurrencia. Esta técnica reconoce el riesgo y su incontrolabilidad. La aceptación es una técnica "pasiva" que se centra en permitir que cualquier resultado ocurra sin tratar de prevenir ese resultado. Esta técnica se utiliza normalmente para



los riesgos "bajos" o "muy bajos" en los que no es evidente un medio eficiente de reducir el riesgo.

● Evitar (E): Se intenta evitar la ocurrencia del riesgo puesto que presenta una probabilidad media o alta y puede ocasionar daños graves a la organización. Aquí se encuentran las salvaguardas preventivas en la que se establece anticipadamente políticas, normas, controles y procedimientos que buscan evitar las circunstancias que lo provocan y reducir las posibilidades de ocurrencia. Las ideales son las que impiden completamente la materialización de la amenaza.

● Controlar(C): Esta técnica se compone de acciones que deben tomarse

para reducir la probabilidad de riesgo o el impacto. Las acciones basadas en el control se producen en todos los puntos durante todo el ciclo de vida del programa y son típicamente la respuesta más común. Por lo general, identifican una acción o producto que se convierte en parte de los planes de trabajo y que son supervisados e informados como parte del análisis de desempeño regular y el informe de progreso del Programa.

● Investigar (I): Esta técnica difiere todas las acciones hasta que se realiza

más trabajo y/o se conocen hechos. Las respuestas basadas en la investigación no definen ninguna mitigación para reducir un riesgo individual. Son respuestas a los riesgos en los que no se identifica una solución clara, y se requiere más investigación. La investigación puede incluir análisis de causa raíz.

● Mitigar (M): Se establecen salvaguardas que actúan en el momento que se presenta o materializa la amenaza. Son medidas que limitan la posible degradación del activo o permiten detectar inmediatamente el ataque para frenar el daño que puede ocasionar. Algunas medidas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. Este tipo de tratamiento se caracteriza por la materialización de la amenaza con limitación de consecuencias.

● Transferir (T): Se busca pasar parcial o totalmente el riesgo a otra compañía, ya sea por medio de una póliza de seguro o un contrato de



outsourcing. Es una medida en la que se busca compartir el riesgo. Hay dos formas básicas de compartir riesgo1:

○ Riesgo cualitativo: se comparte por medio de la externalización de componentes del sistema, de forma que se reparten responsabilidades: unas técnicas para el que opera el componente técnico; y otras legales según el acuerdo que se establezca de prestación del servicio.

○ Riesgo cuantitativo: se comparte por medio de la contratación de seguros, de forma que a cambio de una prima, el tomador reduce el impacto de las posibles amenazas y el asegurador corre con las consecuencias. Hay multitud de tipos y cláusulas de seguros para concretar el grado de responsabilidad de cada una de las partes.

Conforme a la situación se determinan las Técnicas de tratamiento adecuadas. Para el presente caso están dadas así: Tabla 6 Técnicas de Tratamiento por riesgo ID Riesgo Riesgo V. Amenaza A C E I M T

R_001 Abuso de privilegios de acceso

Abuso de información privilegiada y actos no autorizados X X

R_002 Acceso no autorizado

Abuso de información privilegiada y actos no autorizados X X

R_003 Alteración de la información Ataque interno y/o Ataque externo X X

R_004 Caída del sistema por sobrecarga Fallos en el sistema y en el medio ambiente X X

R_005 Condiciones inadecuadas de temperatura o humedad Condiciones peligrosas X X

R_006 Corrupción de la información Ataque interno y/o Ataque externo X X

R_007 Corte del suministro eléctrico Fallos de dependencia X X X

R_008 Afectación de los soportes de almacenamiento de la información Errores y Omisiones X X

1 Magerit_v3



R_009 Denegación de servicio

Sistemas Automatizados y Código Malicioso X X

R_010 Desastres naturales Acciones de la naturaleza X X X

R_011 Difusión de software dañino

Sistemas Automatizados y Código Malicioso X X

R_012 Errores de configuración Fallos en el sistema y en el medio ambiente X

R_013 Errores de los usuarios Errores y Omisiones X X

R_014

Errores de mantenimiento / actualización de equipos (hardware) Errores y Omisiones X X

R_015

Errores de mantenimiento / actualización de programas (software) Errores y Omisiones X X X

R_016 Errores del administrador Errores y Omisiones X X

R_017 Extorsión Ataque interno y/o Ataque externo X X

R_018 Fuego Condiciones peligrosas X X

R_019 Fuga de información

Abuso de información privilegiada y actos no autorizados X X X

R_020 Indisponibilidad del personal Fallos de dependencia X X X

R_021 Ingeniería social Ataque interno y/o Ataque externo X X

R_022 Interceptación de información (escucha)

Ataque interno y/o Ataque externo X

R_023 Introducción de falsa información Ataque interno y/o Ataque externo X

R_024 Pérdida de equipos Fallos de dependencia X X X

R_025 Robo de equipos Intrusión física y/o robo X X X X

R_026 Robo de información Intrusión física y/o robo X X Fuente: Elaboración Propia



Cuando se identifica la necesidad de una estrategia de tratamiento de riesgo, entonces se toman medidas para implementar las acciones de control más adecuadas. Con el propósito de mitigar los riesgos basados en su impacto potencial.

Los pares de vulnerabilidad/amenaza, nombrados aquí como riesgo, necesitan una acción correctiva inmediata para proteger la información de la empresa. La prioridad se estima de acuerdo al nivel de riesgo y la inmediatez que se requiere para la implementación de los controles. A continuación se define la prioridad para los riesgos detectados, siendo 5 la prioridad más alta y 1 la menor.

Tabla 7 Priorización del Riesgo

ID Riesgo Riesgo V. Amenaza RB RC RM Prioridad

R_001 Abuso de privilegios de acceso

Abuso de información privilegiada y actos no autorizados X 5

R_002 Acceso no autorizado


R_003 Alteración de la información Ataque interno y/o Ataque externo X 5

R_004 Caída del sistema por sobrecarga

Fallos en el sistema y en el medio ambiente X 4

R_005 Condiciones inadecuadas de temperatura o humedad Condiciones peligrosas X 1

R_006 Corrupción de la información Ataque interno y/o Ataque externo X 5

R_007 Corte del suministro eléctrico Fallos de dependencia X 2

R_008

Afectación de los soportes de almacenamiento de la información Errores y Omisiones X 3

R_009 Denegación de servicio Sistemas Automatizados y Código Malicioso X 3

R_010 Desastres naturales Acciones de la naturaleza X 1



R_011 Difusión de software dañino Sistemas Automatizados y Código Malicioso X 3

R_012 Errores de configuración Fallos en el sistema y en el medio ambiente X 3

R_013 Errores de los usuarios Errores y Omisiones X 3

R_014

Errores de mantenimiento / actualización de equipos (hardware) Errores y Omisiones X 4

R_015

Errores de mantenimiento / actualización de programas (software) Errores y Omisiones X 4

R_016 Errores del administrador Errores y Omisiones X 3

R_017 Extorsión Ataque interno y/o Ataque externo X 3

R_018 Fuego Condiciones peligrosas X 2

R_019 Fuga de información


R_020 Indisponibilidad del personal Fallos de dependencia X 3

R_021 Ingeniería social Ataque interno y/o Ataque externo X 3

R_022 Interceptación de información (escucha)

Ataque interno y/o Ataque externo X 5

R_023 Introducción de falsa información

Ataque interno y/o Ataque externo X 5

R_024 Pérdida de equipos Fallos de dependencia X 3

R_025 Robo de equipos Intrusión física y/o robo X 3

R_026 Robo de información Intrusión física y/o robo X 3 Fuente: Elaboración Propia

Los riesgos en nivel Crítico y Moderado exigen una respuesta más rápida comparado con los riesgos en nivel Bajo.



Opciones de control recomendadas

La selección de controles está conectada con los 14 dominios definidos por la norma ISO/IEC 27001:2013. Para tener presente los controles definidos por la norma son: Tabla 8 Grupo de controles ISO 27001:2013 Fuente: Elaboración Propia

ID Dominio Control

A5 Política de seguridad Orientación de la dirección para la gestión de la seguridad de la información

A6 Organización de la SI Organización interna Dispositivos móviles y teletrabajo

A7 Seguridad de los RRHH Antes de asumir el empleo Durante la ejecución del empleo Terminación y cambio de empleo

A8 Gestión de activos Responsabilidad por los activos Clasificación de la información Manejo de medios

A9 Control de accesos Requisitos del negocio para el control de acceso Gestión de acceso de usuarios Responsabilidades de los usuarios Control de acceso a sistemas y aplicaciones

A10 Criptografía Controles criptográficos

A11 Seguridad física y ambiental Áreas seguras Equipos

A12 Seguridad en las operaciones

Procedimientos operacionales y responsabilidades Protección contra códigos maliciosos Copias de respaldo Registro y seguimiento Control de software operacional Gestión de la vulnerabilidad técnica Consideraciones sobre auditorías de sistemas de información

A13 Seguridad en las comunicaciones Gestión de la seguridad de las redes Transferencia de información

A14 Adquisición de sistemas, desarrollo y mantenimiento

Requisitos de seguridad de los sistemas de información Seguridad en los procesos de Desarrollo y de Soporte Datos de prueba

A15 Relación con proveedores Seguridad de la información en las relaciones con los proveedores Gestión de la prestación de servicios de proveedores

A16 Gestión de los incidentes de seguridad Gestión de incidentes y mejoras en la seguridad de la información

A17 Continuidad del negocio Continuidad de Seguridad de la información Redundancias

A18 Cumplimiento con requerimientos legales y contractuales

Cumplimiento de requisitos legales y contractuales Revisiones de seguridad de la información



● A5-Política de seguridad

Inicialmente, el mayor inconveniente o vulnerabilidad de la organización hace referencia a la falta de documentos formales que concienticen e informen al personal sobre sus responsabilidades y las reglas básicas que permiten mantener la seguridad de la información. Esta sección ha sido desarrollada pensando en la vulnerabilidad nombrada y que en gran medida es la causante de los riesgos detectados. Por ello, se definen las políticas de seguridad de la información como se evidencia en el ANEXO 4 - “Políticas de Seguridad”. El cual incluye:

Tabla 9 Lista de Políticas

ID Política Dominio Objetivo

P_0001 Política de Seguridad de la Información A5 - A18

Definir los principios y reglas básicas para una gestión segura y confiable de la información disponible.

P_0002

Política de Dispositivos Móviles y Teletrabajo

A5, A6, A9

Evitar el acceso no autorizado a dispositivos ubicados tanto dentro como fuera de las instalaciones de la organización

P_0003

Política de Seguridad de los Recursos Humanos

A5, A7

Garantizar que los recursos humanos que tienen acceso a los recursos tecnológicos dispuestos por I&S, están identificados y sus acciones controladas de manera que contribuyan a mantener un ambiente seguro para el beneficio de todos los implicados en las operaciones de la organización

P_0004 Política de Control de Accesos A5, A9

Definir las reglas de acceso para los diversos sistemas, equipos, instalaciones e información basados en los requerimientos de negocio y de seguridad.

P_0005 Política de Controles Criptográficos A5, A10

Definir las reglas para el uso de los controles y claves criptográficas con el fin de proteger la confidencialidad, integridad, autenticidad e inviolabilidad de la información.

P_0006 Política de Seguridad Física y del Entorno A5, A11

Establecer los requisitos básicos para garantizar que el acceso físico a las instalaciones de operación de equipos de cómputo y de telecomunicaciones se realiza bajo medidas de



seguridad adecuadas.

P_0007 Política de escritorio y pantalla limpios A5, A11

Definir los requisitos mínimos para mantener un "escritorio y pantalla limpios" con el fin de evitar el acceso no autorizado a la información en los puestos de trabajo, como también a las instalaciones y a los equipos compartidos.

P_0008

Política de Almacenamiento y respaldo

A5, A11, A12

Proteger los datos de la organización en caso de un fallo en el equipo, la destrucción intencional de datos o un desastre.

P_0009

Política de Transferencia de Información

A5, A13 Asegurar la seguridad de la información y el software cuando son intercambiados dentro o fuera de la organización.

P_0010 Política de Desarrollo Seguro A5, A14

Definir los requisitos básicos para el desarrollo seguro de software y sistemas, asegurando que todos los cambios son evaluados, aprobados, implementados y revisados de manera controlada a la producción y entornos no productivos con un mínimo impacto y riesgo.

P_0011

Política de S.I aplicable a proveedores

A5, A15

Garantizar que todos los acuerdos y negociaciones entre Interfaces y soluciones y terceros cuenten con niveles aceptables de seguridad de la información para proteger los datos personales tal como se definen en la Ley 1581 y la información crítica a cargo de la organización.

P_0012 Política de Gestión de Incidentes A5, A16

Establecer la comunicación de los distintos eventos que tengan relación con la seguridad de la información, con el fin de garantizar acciones correctivas y preventivas, limitando el impacto de dichos eventos.

P_0013

Política de Gestión de la continuidad del negocio

A5, A17, A18

Definir las reglas básicas para responder a una emergencia u otra ocurrencia que puedan dañar activos críticos de información.

Fuente: Elaboración Propia



La documentación formal de políticas se establece como técnica para controlar y evitar la explotación de las vulnerabilidades. A continuación se listan las políticas correspondientes a tratar los riesgos hallados para la seguridad de la información en Interfaces y Soluciones

Tabla 10 Listado de Políticas desarrolladas

NIVEL RIESGO

ID Política Dominio V. Amenaza RB RC RM

P_0001 Política de Seguridad de la Información

A5 - A18

Abuso de información privilegiada y actos no autorizados X


Errores y Omisiones X

Intrusión física y/o robo X

P_0002 Política de Dispositivos Móviles y Teletrabajo

A5, A6, A9


Sistemas Automatizados y Código Malicioso X

P_0003 Política de Seguridad de los Recursos Humanos

A5, A7


Errores y Omisiones X X

P_0004 Política de Control de Accesos A5, A9


Fallos de dependencia X


P_0005 Política de Controles Criptográficos A5, A10 Abuso de información privilegiada y actos no autorizados X





P_0006 Política de Seguridad Física y del Entorno

A5, A11 Fallos de dependencia X


P_0007 Política de escritorio y pantalla limpios

A5, A11 Abuso de información privilegiada y actos no autorizados

X

P_0008 Política de Almacenamiento y respaldo

A5, A11, A12




P_0009 Política de Transferencia de Información

A5, A13




Intrusión física y/o robo

X

P_0010 Política de Desarrollo Seguro A5, A14 Abuso de información privilegiada y actos no autorizados X





P_0011 Política de S.I aplicable a proveedores

A5, A15



P_0012 Política de Gestión de Incidentes A5, A16


Acciones de la naturaleza X

Ataque interno y/o Ataque externo X X

Condiciones peligrosas X

Errores y Omisiones X X

Fallos de dependencia X X

Fallos en el sistema y en el medio ambiente X X



P_0013 Política de Gestión de la continuidad del negocio

A5, A17, A18


Acciones de la naturaleza X

Ataque interno y/o Ataque externo X X



Condiciones peligrosas X


Fallos de dependencia X X

Fallos en el sistema y en el medio ambiente X X



Es de vital importancia su comunicación y capacitación a todos los implicados. Las políticas deben ser revisadas, ajustadas y actualizadas periódicamente con el fin de generar un mayor rango de madurez en el SGSI.

● A6-Organización de la SI

La organización de la seguridad de la información incluye la definición de roles y responsabilidades a nivel interno de la organización, mantener actualizada la cadena de contactos y las medidas de seguridad de soporte para proteger la información a la que se tiene acceso, que es procesada o almacenada. Aquí también se incluye la protección de información que se puede ver afectada por el teletrabajo y el uso de dispositivos móviles.

✓ Como salvaguarda principal se debe designar un líder para la administración de la seguridad y comité de seguridad. Adicionalmente, se puede diseñar e implementar una base de datos que permita de forma amigable una fácil administración de personas, responsabilidades, acuerdos, riesgos, activos, etc.

✓ Es importante mantener un registro documental de los derechos y obligaciones del personal y las medidas que se deben tener en cuenta con las labores de cada uno de ellos.

✓ Los deberes y áreas de responsabilidad en conflicto se deben separar para reducir las posibilidades de modificación no autorizada o no intencional, o el uso indebido de los activos de la organización.



Los controles definidos permiten prevenir la materialización de las amenazas, reduciendo la probabilidad de ataques internos, errores y omisiones por desconocimiento de la responsabilidad de cada miembro de la organización.

Tabla 11 Opciones de Tratamiento A6

A6 - Organización de la SI Opción de

Tratamiento

Control Vector Amenaza Riesgo C E

Acuerdo de confidencialidad.

Errores y Omisiones

Errores de mantenimiento / actualización de equipos (hardware)

X

Errores de mantenimiento / actualización de programas (software)

X

Errores del administrador X X

Base de Datos que permita gestionar personas, responsabilidades, acuerdos, riesgos, activos, etc.

Errores y Omisiones


X


X

Errores del administrador X

Designar un líder para la administración de la seguridad y comité de seguridad.

Abuso de información privilegiada y actos no autorizados

Abuso de privilegios de acceso X

Ataque interno y/o Ataque externo

Introducción de falsa información X

Errores y Omisiones




Registro documental de derechos y obligaciones del personal.



Separación de deberes.



Errores y Omisiones


X


Posteriormente se debe documentar los procedimientos de actualización, auditoría y generación de informes que permitan el seguimiento de la implementación del control.

● A7-Seguridad de los RRHH

Los controles a nivel de seguridad de los recursos humanos deben aplicarse teniendo en cuenta tres situaciones:

1. Antes de asumir el empleo. a. Fijar roles y responsabilidades b. Verificación de hojas de vida c. Fijar términos y condiciones del contrato

2. Durante el empleo. a. Entrenamiento en seguridad de la información, en el que se incluye:

i. Procedimientos para el uso adecuado de cuentas y contraseñas.

ii. Uso adecuado de los activos de información. iii. Información referente al proceso disciplinario y sanciones

b. Generación de conciencia y compromiso con la seguridad de la información

c. Aplicación de medidas disciplinarias 3. Terminación o cambio de empleo.

a. Revocar derechos



b. Formalizar devolución de recursos y finalización de

responsabilidades Tabla 12 Opciones de Tratamiento A7

A7 - Seguridad de los RRHH Opción de

Tratamiento

Control Vector Amenaza Riesgo C E M

Aplicación de medidas disciplinarias



Acceso no autorizado X

Fuga de información X


Ingeniería social X


Errores y Omisiones

Afectación de los soportes de almacenamiento de la información

X

Errores de los usuarios X


X


X


Fallos de dependencia

Indisponibilidad del personal X


Robo de información X

Entrenamiento en seguridad de la información



Ataque interno y/o Ingeniería social X



Ataque externo Introducción de falsa información X

Errores y Omisiones


X



X


X






Fijar roles y responsabilidades antes de contratación







Errores y Omisiones


X



X


X








Fijar términos y condiciones del contrato





Errores y Omisiones Errores de los usuarios X



Formalizar devolución de recursos y finalización de responsabilidades




Errores y Omisiones


X






Generación de conciencia y compromiso con la seguridad de la información.










Errores y Omisiones


X



X


X






Revocar derechos tras finalización de contrato


X


Errores y Omisiones Errores del administrador X





Verificación de hojas de vida










● A8-Gestión de activos

Este control busca proteger los activos de información, por ello se aconseja el diseño e implementación de una base de datos que contenga el inventario de estos y permita conocer:

- Recursos informáticos disponibles - Ubicación - Responsable - Uso - Garantías o contratos próximos a vencer

Así mismo se plantea desarrollar e implementar procedimientos adecuados para clasificar y etiquetar la información, de acuerdo a los criterios de confidencialidad, disponibilidad e integridad definidos en la gestión de riesgos. Tabla 13 Opciones de Tratamiento A8

A8 - Gestión de activos Opción de

Tratamiento

Control Vector Amenaza Riesgo C E M

Clasificar y etiquetar la información

Errores y Omisiones

Afectación de los soportes de almacenamiento de la información X


Robo de equipos X


Inventario de Activos

Errores y Omisiones

Afectación de los soportes de almacenamiento de la información X

Fallos de dependencia Pérdida de equipos X

Intrusión física y/o robo Robo de equipos X




● A9-Control de accesos

Los controles aquí definidos están enfocados a la gestión de accesos de usuarios y el control de acceso a redes, sistemas y aplicaciones. Motivos por los cuales se recomienda:

➢ Diseñar e implementar procedimientos para la gestión adecuada de usuarios en los que se considere desde el registro hasta la revocación de los privilegios asignados.

➢ Establecer puntos de control para validar a los usuarios y tomar las decisiones correspondientes cuando se trata de violaciones de seguridad.

➢ Implementación de Firewalls. Un firewall es dispositivo de seguridad de la red que monitorea el tráfico de red -entrante y saliente- y decide si permite o bloquea tráfico específico en función de un conjunto definido de reglas de seguridad2.

➢ Aislar los elementos sensibles del resto de la infraestructura, especialmente los servidores primarios.

➢ Configurar VPNs. Permitir el acceso indiscriminado a la red propia de la organización desde Internet no es adecuado. Aunque el acceso esté protegido con una contraseña, podría ser capturada en un punto de acceso WiFi público o avistada por un observador malintencionado.Por el contrario, el riesgo disminuye si el trabajador y la empresa se conectan mediante una conexión VPN. El acceso está protegido, la conexión está previsiblemente cifrada y el trabajador tiene el mismo acceso que si estuviera presencialmente ahí3.

Puesto que se recomienda la configuración de firewalls y VPN para la seguridad de la red se presenta como propuesta la compra e instalación de un dispositivo UTM, que suele combinar en forma flexible las funciones de un firewall de inspección activa con prevención de intrusiones y antivirus.

Se hizo una comparación de costos y características de tres dispositivos UTM pertenecientes a marcas reconocidas en el mercado por sus productos para redes y seguridad informática: Cisco, Juniper y Fortinet. Los dispositivos seleccionados son ideales para pequeñas y medianas empresas y ofrecen firewall, control de aplicaciones, protección avanzada contra amenazas, IPS, VPN y filtrado web.

2(«¿Qué es un firewall? - Cisco», s. f.) 3 («VPN: qué es y para qué sirve usar una», s. f.)



Buscando un equilibrio entre costos y beneficios se puede observar que la opción de Fortinet FortiGate-60D es destacable.

Tabla 14 Opciones UTM recomendadas

Tabla. Opciones UTM recomendadas

CARACTERÍSTICAS CISCO JUNIPER FORTINET

Referencia Meraki MX64 Small

Branch SRX320 FortiGate-60D

Precio $2.373.636,41 $1.296.125,44 $1.812.732,55

Imagen

Máx. nro de clientes recomendado

50 100

Interfaces 5 × GbE

802.11ac WiFi USB 3G/4G

6 x GbE 2 x GbE (SFP)

10x GE RJ45

Rendimiento firewall stateful

250 Mbps 1 Gbps 1.5 / 1.5 / 1.5 Gbps

Rendimiento VPN 85 Mbps 250 Mbps 200 Mbps

Rendimiento IPS 100 Mbps 200 /41 Mbps

Máximo de sesiones simultáneas

64.000 500.000

Máximo de políticas de seguridad

1.000 5.000

Stateful firewall Sí SÍ Sí

Auto VPN ™ autoconfiguración VPN sitio a sitio

Sí - -



Integración de Active Directory

Sí - -

Identity-based policies Sí SÍ Sí

Cliente VPN (IPsec) Sí Sí Sí Fuente: Elaboración Propia La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados al dominio de control de accesos. Tabla 15 Opciones de Tratamiento A9

A9 -Control de accesos Opción de

Tratamiento

Control Vector Amenaza Riesgo E

Firewall

Abuso de información privilegiada y actos no autorizados Acceso no autorizado

X


Interceptación de información (escucha)

X

Intrusión física y/o robo Robo de información X

Sistemas Automatizados y Código Malicioso Denegación de servicio

X

Gestión de Contraseñas





Gestión(creación, modificación, bloqueado, eliminación) de Usuarios basada en roles





Reglas de Abuso de información Abuso de privilegios de acceso X



acceso(IP, Protocolo,Puertos)

privilegiada y actos no autorizados Acceso no autorizado X



X


VPN

Abuso de información privilegiada y actos no autorizados Acceso no autorizado

X



X



● A10-Criptografía

La implementación de controles criptográficos permite proteger la información cuando ésta sale de los límites de la organización. Por ello, se recomienda que los dispositivos (por ejemplo, USB, Discos externos, etc.) y elementos (por ejemplo, archivos, correos) con información sensible sean cifrados.

➢ Cifrado de clave pública. Se basa en el uso de dos claves: la pública (que se podrá difundir sin ningún problema a todas las personas que necesiten enviar a la organización algo cifrado) y la privada (que no debe de ser revelada nunca)4. Existen herramientas gratuitas como Veracrypt, TrueCrypt, Kleopatra que permiten generar las claves.

➢ Firmas digitales. Otro propósito de este sistema es también el de poder firmar documentos, certificando que el emisor es quien dice ser, firmando con la clave privada y verificando la identidad con la pública. Un mensaje firmado con la clave privada del remitente puede ser verificado por cualquier persona que tenga acceso a la clave pública del remitente, lo que demuestra que el remitente tenía acceso a la clave privada (y por lo tanto,

4 (Gutiérrez, 2013)



es probable que sea la persona asociada con la clave pública utilizada) y la parte del mensaje que no se ha manipulado5.

➢ Encriptación de las unidades de disco. Una encriptación de disco es un método de codificar datos en el disco duro. A diferencia de otros métodos de encriptación este tipo de encriptación de disco aplica la codificación a todo el disco duro en lugar de un segmento específico. El tipo de encriptación es útil para discos que se pueden robar fácilmente, tales como los que hay en los ordenadores portátiles o los discos duros externos. Este encriptado normalmente se hace por medio de un programa6. DiskCryptor es la herramienta sugerida para este control. Es un software que puede encriptar el disco duro completo o sus particiones individuales, incluyendo la de sistema. El programa usa algoritmos seguros AES-256, Twofish ó Serpent.La encriptación se realiza en AES, Twofish, AES-Twofish, Serpent, Serpent-AES y otros. En el caso de los CD/DVD y de los pendrives, hay que tener en cuenta que para llevarlos a otro sitio y poder utilizarlos, también se necesita contar con DiskCryptor instalado.

La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados al dominio de Criptografía. Tabla 16 Opciones de Tratamiento A10

A10 -Criptografía Opción de

Tratamiento


Cifrado de clave pública





Alteración de la información X

Corrupción de la información X


X

5 («Criptografía - FdIwiki ELP», s. f.) 6



Errores y Omisiones Afectación de los soportes de almacenamiento de la información

X


Firmas digitales





Introducción de falsa información

X


Encriptación de las unidades de disco.


X


● A11-Seguridad física y ambiental

Si el acceso a una instalación de la organización no está correctamente protegido, se incrementa la probabilidad de ataques a los sistemas de información. Por ello se requiere:

➢ Seguridad perimetral. Implantar controles físicos que eviten el acceso no autorizado en las zonas de entrada, como por ejemplo, video vigilancia, alarmas de seguridad o barreras arquitectónicas.

➢ Registro de Ingresos. El ingreso de visitantes y/o terceros a las áreas con activos críticos de información debe ser registrado con fecha y hora. Siempre debe ser supervisado por algún responsable durante la visita.

➢ Medidas de protección y alarmas contra incendios/humo. La selección de extintores debe contemplar el uso de un gas que no sea conductor de energía y que al descargarse no deje residuos ni sustancias corrosivas. Debe ser especial para áreas de equipos. Además, se debe mantener una adecuada señalización de las salidas para evacuación.



➢ Control de refrigeración y ventilación. Debido a que la densidad de potencia

de los equipos informáticos va aumentando con el tiempo y, como resultado, los equipos informáticos distribuidos, como los routers de VoIP o servidores a menudo se sobrecalientan o fallan antes de tiempo debido a un enfriamiento inadecuado. Se sugiere estudiar una solución adecuada para el enfriamiento.

○ Las salas pueden enfriarse por medio de una ventilación hacia el aire del ambiente del edificio. Esta ventilación puede ser pasiva, utilizando orificios o perforaciones adecuadamente ubicados.

○ En el caso de los portátiles es necesario que cuenten con una base refrigerante.

➢ Ubicación y protección de los equipos. Los equipos deben de estar

ubicados y protegidos para reducir los riesgos de amenazas y peligros del entorno, y las posibilidades de acceso no autorizado. se deben proteger contra fallas de energía y otras interrupciones causadas por fallas en los servicios de suministro.

La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados a la seguridad física y ambiental de las instalaciones y activos de información de la organización. Tabla 17 Opciones de Tratamiento A11

A11 - Seguridad física y ambiental Opción de

Tratamiento

Control Vector Amenaza Riesgo A E M

Control de refrigeración y ventilación

Condiciones peligrosas Condiciones inadecuadas de temperatura o humedad X X

Medidas Contra Incendios (extintores)

Condiciones peligrosas Fuego X

Registro de Ingresos






Seguridad Perimetral





Ubicación y protección de los equipos

Acciones de la naturaleza Desastres naturales X

Condiciones peligrosas

Condiciones inadecuadas de temperatura o humedad X

Fuego X





● A12-Seguridad en las operaciones

En este apartado se busca asegurar una correcta gestión de todas las operaciones de procesamiento de información. Para ello se propone:

➢ Separación de los ambientes de desarrollo, pruebas y operación, con ello se busca reducir los riesgos de acceso o cambios no autorizados al ambiente de operación. Por lo tanto es indispensable que:

○ Los desarrolladores realicen su trabajo exclusivamente en ambiente de desarrollo, nunca en otros ambientes directamente. Debe ser un ambiente distinto a los de pruebas y producción.

○ Se utilicen nombres de dominio diferentes para los ambientes de producción, pruebas y desarrollo, a efectos de evitar confusión durante la ejecución de las pruebas.

➢ Protección contra códigos maliciosos. Con el fin de proteger la integridad del software y la información se debe:



○ Verificar periódicamente que los equipos tengan instalado y

actualizado el antivirus designado por la organización.

○ Verificar que los archivos de origen incierto o recibido a través de redes poco confiables no contengan virus antes de hacer uso de ellos.

○ Bloquear los sitios reportados como falsos o atacantes.

➢ Respaldo de la información. Es de gran importancia generar copias de respaldo y de recuperación, así como, la preparación del personal para implementar las prácticas y procedimientos adecuados. Aquí se incluye el almacenamiento de copias recientes de información en una ubicación remota (Discos externos, servicios en nube,etc) a una distancia suficiente como para evitar daños provenientes de un desastre en el sitio principal. Se propone el uso de herramientas como Cobian Backup para automatizar esta tarea. Puede ejecutarse en el momento, diaria, semanal, mensual, anualmente, o en un tiempo especificado. Hace copias completas, incrementales y diferenciales.

➢ Control de software operacional. Se hace necesario realizar procedimientos para controlar la instalación de software en sistemas operativos, para lo cual se debe tener en cuenta:

○ Adquirir programas a proveedores acreditados o productos ya evaluados. Es recomendable mantener un listado y evaluación de los proveedores de confianza.

○ Coordinar la implementación de modificaciones o nuevos programas en el entorno de Producción.

○ Verificar periódicamente que los equipos tienen el software autorizado y aprobado.

➢ Restricciones sobre la instalación de software. Mediante directivas de restricción de software sobre los equipos integrados con los servicios de dominio de Microsoft Active Directory y Directiva de grupo se puede limitar el software a instalar en los equipos de la organización.



La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados a la seguridad en las operaciones.


A12 - Seguridad en las operaciones Opción de

Tratamiento

Control Vector Amenaza Riesgo E M

Control de software operacional




Extorsión X


Errores y Omisiones


X


X

Fallos de dependencia Indisponibilidad del personal X

Protección contra códigos maliciosos



Extorsión X


Errores y Omisiones


X


X


Respaldo de la información







Extorsión X

Errores y Omisiones


X

Errores de mantenimiento / actualización de programas (software) X


Restricciones sobre la instalación de software




Extorsión X


X


X


Separación de los ambientes de desarrollo, pruebas y operación









Errores y Omisiones Errores de mantenimiento / actualización de programas (software)

X





● A13-Seguridad en las comunicaciones

Con los controles del dominio A13 se pretende establecer medidas de seguridad técnicas en redes, equipos y sitios web, junto con, la gestión segura de los soportes con información y los intercambios de información. Por medio de:

➢ Análisis periódico del tráfico de la red. Conocer el tráfico que normalmente circula por la red y saberlo analizar, genera un escudo bastante seguro para protegerla ante los problemas que se puedan presentar. De hecho, posibilita una solución de problemas más rápida. Herramientas como Wireshark, permiten escuchar y mostrar el tráfico que se mueve en la red.

➢ Segmentación de redes para prevenir la intrusión en la información. Entre los motivos fundamentales para dividir una LAN en segmentos es aislar el tráfico entre fragmentos, y obtener un ancho de banda mayor por usuario. Si la LAN no se divide en segmentos, se congestionarían rápidamente con tráfico y saturación y virtualmente no ofrecerían ningún ancho de banda. La implementación de dispositivos como switches y routers divide la LAN en partes más pequeñas, más eficaces y fáciles de administrar. Adicional, facilita establecer límites en la red para prevenir ataques a la información.

➢ FTP/SSL. Es una extensión de FTP mediante SSL para el cifrado de los datos. Puede realizar transferencias de ficheros seguras utilizando dos canales. Cada forma conlleva el uso de una capa SSL/TLS debajo del protocolo estándar FTP para cifrar los canales de control y/o datos. Aunque también se puede utilizar SFTP que sólo usa un canal de comunicación, envía y recibe los mensajes en binario (y no en formato texto como hace FTP). SFTP es más avanzado pero presenta problemas de compatibilidad con algunos dispositivos, como por ejemplo, móviles, consolas, etc7.

7 (Luz, 2011)



La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados a la seguridad en las comunicaciones.


A13 - Seguridad en las comunicaciones Opción de

Tratamiento


Análisis periódico del tráfico de la red





X

Fallos en el sistema y en el medio ambiente

Errores de configuración X

FTP/SSL



X



Segmentación de redes para prevenir la intrusión en la información









● A14-Adquisición de sistemas, desarrollo y mantenimiento

Debido a que para asegurar una correcta implementación de la seguridad es necesaria una adecuada administración de la infraestructura de base, Sistemas Operativos y Software, se definen los siguientes controles:



➢ Protección de datos de prueba. Los datos de prueba pueden ser extraídos

del entorno operativo. Sin embargo, deben ser protegidos y para ello se deben establecer normas y procedimientos que contemplen:

○ Prohibir el uso de bases con datos reales de producción. En caso contrario se deben anonimizar los datos antes de su uso. Aplicar idénticos procedimientos de control de acceso que en la base de producción.

○ Solicitar autorización formal para realizar una copia de la base operativa como base de prueba, llevando registro de la autorización.

○ Al terminar las pruebas, los datos de información operativa deben ser eliminados.

➢ Validación en la entrada y salida de datos. Se debe asegurar que el procesamiento de la información ingresada a los sistemas informáticos de la organización, ya sea de forma automática o manual, son los correctos y apropiados para los fines designados. Se debe asegurar que los datos de entrada no contienen código malicioso que pueda alterar el correcto funcionamiento de la aplicación. Por lo tanto, se requiere:

○ Siempre validar los parámetros de entrada en el servidor antes de procesarlos, puesto que un atacante puede utilizar varias técnicas (como desactivar JavaScript, utilizar telnet, o utilizar un proxy de pruebas de seguridad, tales como WebScarab) para omitir la validación del lado del cliente8.

○ Rechazar cualquier entrada que no corresponda estrictamente a las especificaciones.

○ Escapar caracteres para evitar que por medio de caracteres específicos propios de los lenguajes de programación que pueden ser interpretados por el lenguaje se produzcan alteraciones en el correcto funcionamiento de las aplicaciones desarrolladas.

➢ Revisión técnica de las aplicaciones. Cuando se cambian las plataformas de operación, se deben revisar las aplicaciones críticas del negocio, y

8 («Validación de los datos de entrada | Marco de Desarrollo de la Junta de Andalucía», s. f.)



someter a prueba para asegurar que no haya impacto adverso en las operaciones o seguridad de la organización.

La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados a la adquisición de sistemas, desarrollo y mantenimiento.


A14 - Adquisición de sistemas, desarrollo y mantenimiento Opción de

Tratamiento


Protección de datos de prueba






X





Revisión técnica de las aplicaciones








Validación en la entrada y salida de datos






X




● A15-Relación con proveedores

El principal objetivo de los controles definidos para esta sección busca garantizar el nivel apropiado de seguridad de la información en los casos que se realizan contratos con terceros y proveedores.

➢ Cláusulas de seguridad para proveedores. Se deben establecer y acordar todos los elementos de seguridad de la información a los cuales los proveedores pueden acceder, procesar, almacenar, comunicar o suministrar componentes o soporte a la infraestructura de tecnologías de la información de I&S.

La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados a la relación con los proveedores.


A15 - Relación con proveedores Opción de

Tratamiento


Cláusulas de seguridad para proveedores



Ataque externo Difusión de software dañino X



Errores y Omisiones Errores de mantenimiento / actualización de equipos (hardware) X


A16-Gestión de los incidentes de seguridad

Con los controles seleccionados del dominio A16 se busca asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades.

➢ Reporte de eventos de seguridad de la información. Las incidencias son cualquier suceso que provoque o pueda provocar una vulneración de la seguridad (confidencialidad, integridad, disponibilidad) de los datos. De forma que, cualquier evento debe ser reportado al líder del SGSI, quien clasificara el evento tras un estudio detallado y gestionará las medidas correspondientes. El reporte y registro de eventos de seguridad de la información deben distribuirse a través de los canales apropiados lo más rápidamente posible.

➢ Reporte de debilidades de seguridad de la información. Todo el personal de la organización, usuarios de los sistemas y terceros pueden fácilmente encontrar debilidades en la seguridad de la información que puede generar una incidencia.Así que, se debe exigir a todos los empleados y contratistas que usan los servicios y sistemas de información de la organización, que observen y reporten cualquier debilidad de seguridad de la información observada o sospechada en los sistemas o servicios. Las notificaciones deben ser gestionadas por el líder a cargo del SGSI.

Se debe recolectar, mantener y presentar evidencia para la acción de seguimiento sobre una persona u organización después de un incidente en la seguridad de la información, principalmente, en los casos que se involucra una acción legal.

Con el fin de resolver de forma temprana y eficaz las incidencias, se aconseja diseñar una base de conocimiento que permita medir, monitorear y controlar las incidencias, notificadas, gestionadas, resueltas y sin resolver.

La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados a la gestión de incidentes de seguridad.




A16 - Gestión de los incidentes de seguridad Opción de Tratamiento

Control Vector Amenaza Riesgo C E I M

Reporte de debilidades de seguridad de la información





Extorsión X



Caída del sistema por sobrecarga X

Sistemas Automatizados y Código Malicioso

Denegación de servicio X

Difusión de software dañino X

Reporte de eventos de seguridad de la información





Extorsión X





Fallos de dependencia Corte del suministro eléctrico X


Caída del sistema por sobrecarga X



Difusión de software dañino X


● A17-Continuidad del negocio

Aquí se definen los controles con los cuales se busca contrarrestar los efectos de fallos o desastres que afecten el funcionamiento normal de los sistemas críticos de información.

➢ Redundancia. Es necesario garantizar la disponibilidad de las operaciones sin importar la ocurrencia de fallos o desastres. Por ello, se aconseja implementar modelos redundantes para garantizar alta disponibilidad en el sistema y así mitigar los fallos, reducir los tiempos de respuesta. En especial de los servidores donde se procesan las operaciones críticas de la organización y la información clasificada como crítica.

➢ Verificar la validez y la efectividad de las medidas de continuidad. Interfaces y Soluciones debe verificar a intervalos regulares los controles de continuidad de la seguridad de la información establecidos e implementados, con el fin de asegurar que son válidos y eficaces durante situaciones adversas. La política de contingencias debe ser constantemente revisada y actualizada para asegurar que las medidas adoptadas son las más adecuadas.

La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados a la continuidad del negocio.




A17 - Continuidad del negocio Opción de

Tratamiento

Control Vector Amenaza Riesgo C E M T

Control técnico de las pólizas

de seguro Intrusión física y/o robo Robo de equipos X

Redundancia

Acciones de la naturaleza

Desastres naturales X



X


Pérdida de equipos X


Caída del sistema por sobrecarga

X



Verificar la validez y la

efectividad de las medidas de

continuidad

Acciones de la naturaleza

Desastres naturales X









● A18-Cumplimiento con requerimientos legales y contractuales

Con los controles seleccionados en el dominio A18 se tiene como principal objetivo evadir todos los incumplimientos de obligaciones legales o contractuales.

➢ Privacidad y protección de información de datos personales. Se deben definir y reconocer los requisitos legales y contractuales, así como el reglamento, en lo que respecta a la privacidad y la protección de los datos, determinando los respectivos procedimientos, con el fin de reconocer los activos que requieren protección de información de datos personales.

➢ Derechos propiedad intelectual (DPI). Se deben determinar los

procedimientos a seguir, y de esta forma cumplir con la Ley de Protección Intelectual (LPI), considerando la adquisición de software a través de fuentes confiables, la duplicidad de documentos sin que sea permitido por la ley de derechos de autor, planteando políticas para el uso legal del software y generando las respectivas medidas en caso de infracciones.

La siguiente tabla presenta los controles sugeridos para cada uno de los riesgos asociados al cumplimiento con requerimientos legales y contractuales: Tabla 24 Opciones de Tratamiento A18

A18 - Cumplimiento con requerimientos legales y contractuales Opción de

Tratamiento


Derechos propiedad intelectual (DPI)


Extorsión X

Privacidad y protección de información de datos personales






Extorsión X

Interceptación de información (escucha) X




Aunque es poco probable eliminar todo el riesgo, el grupo delegado para ser parte del comité de seguridad de información de lnterfaces y Soluciones debe gestionar y supervisar que se emplean los controles apropiados para reducir el riesgo a un nivel aceptable, utilizando un enfoque de equilibrio entre costos y beneficios. De forma que el tratamiento no impacte de forma adversa las operaciones de la organización.

Documents

INTERFACES Y SOLUCIONES S.A.S INFORME DE …repository.udistrital.edu.co/bitstream/11349/6737/4/MoyanoOrjuela... · No se ha incorporado medidas de seguridad a la computación móvil