Escolar Documentos
Profissional Documentos
Cultura Documentos
ANLISIS Y GESTIN DE RIESGOS DEL SERVICIO IMAT DEL SISTEMA DE INFORMACIN DE I.C.A.I.
AUTOR:
ndice
MAGERIT ................................................................................................ 36
Introduccin a MAGERIT........................................................................................37 Objetivos de Magerit .............................................................................................. 38 El anlisis y gestin de riesgos en su contexto....................................................... 39 Realizacin del anlisis y gestin de riesgos............................................................41 Anlisis de Riesgos................................................................................................. 42 Gestin de Riesgos ................................................................................................. 54 Fases de un anlisis y gestin de riesgos..................................................................58 Planificacin ........................................................................................................... 58 Anlisis de riesgos .................................................................................................. 61 Gestin de riesgos................................................................................................... 63
EAR............................................................................................................ 67
Introduccin..............................................................................................................68 PILAR..................................................................................................................... 68 3
ndice Especificaciones .......................................................................................................68 Anlisis cualitativo ................................................................................................. 70 Anlisis cuantitativo ............................................................................................... 70 Presentacin del AGR en EAR.................................................................................71
iMat............................................................................................................ 75
Desarrollo y funcionamiento ....................................................................................76 Arquitectura en tres capas....................................................................................... 77 Funcionamiento ...................................................................................................... 81 Servidores .................................................................................................................82 Datos / Informacin ..................................................................................................86 Seguridad de la informacin.....................................................................................88 Aplicaciones asociadas a iMat..................................................................................90 Interfaz de iMat con el usuario .................................................................................90 Posibles riesgos ........................................................................................................96
ndice Actividad A3.1: Toma de decisiones.................................................................... 164 Actividad A3.2: Plan de seguridad ....................................................................... 171 Actividad A3.3: Ejecucin del plan...................................................................... 175 Calificacin segn la ISO/IEC 17799:2005 ...........................................................182 Clasificacin segn la CSNC .................................................................................184 Clasificacin segn la RD994 ................................................................................186
Bibliografa.............................................................................................. 356
ndice INDICE DE FIGURAS Figura 1. Gestin de la Seguridad de TI......................................................................... 23 Figura 2. Gestin de la Seguridad de TI......................................................................... 31 Figura 3. Metodologa MAGERIT ................................................................................ 33 Figura 4. Anlisis y Gestin de Riesgos en su Contexto................................................ 39 Figura 5.Submodelo de Procesos visto desde el Submodelo de elementos ................... 53 Figura 6. Relacin entre los Componentes del Modelo MAGERIT .............................. 57 Figura 7. Ciclo de vida de un Anlisis y Gestin de riesgos .......................................... 58 Figura 8. Ciclo de vida detallado de un Anlisis y Gestin de riesgos .......................... 66 Figura 9. EAR. Pantalla principal................................................................................... 72 Figura 10. EAR. Etapas de Magerit................................................................................ 73 Figura 11. EAR. Informes contemplados y calificaciones evaluadas: ........................... 74 Figura 12. Arquitectura en tres capas ............................................................................. 79 Figura 13. Arquitectura en tres capas detallada.............................................................. 80 Figura 14. Esquema en tres capas de UPCO .................................................................. 80 Figura 15. iMat, Validacin............................................................................................ 91 Figura 16. iMat, Validacin aceptada............................................................................. 91 Figura 17. iMat, informacin del plan de estudios de la carrera. ................................... 92 Figura 18.iMat, informacin para el alumno en relacin a las restricciones.................. 92 Figura 19. iMat, Seleccin de asignaturas por parte del alumno................................... 93 Figura 20. iMat, Presentacin por parte de iMat de las asignaturas seleccionadas........ 93 Figura 21. iMat, solicitud de informacin adicional. ..................................................... 94 Figura 22. iMat, Presentacin final de la matrcula........................................................ 95 Figura 23. iMat, matrcula aceptada. .............................................................................. 95 Figura 24. Representacin empleada en los diagramas de proceso.............................. 107 Figura 25. Impresin de matrcula a travs de iMatBecarios ....................................... 108
ndice Figura 26. Procesos de Matriculacin realizado por un alumno .................................. 109 Figura 27. Modificacin de la matrcula ...................................................................... 110 Figura 28. Diagrama de contexto ................................................................................. 112 Figura 29. Diagrama conceptual................................................................................... 113 Figura 30. Autenticacin .............................................................................................. 114 Figura 31. Procesado de matrcula ............................................................................... 115 Figura 32Sistema de matriculacin Becarios ............................................................... 115 Figura 33 Sistema de matriculacin escuelas ............................................................... 116 Figura 34. Sistema SG .................................................................................................. 116 Figura 35. Dependencia entre activos [MAA06]....................................................... 129 Figura 36. Dependencia entre activos........................................................................... 131 Figura 37. Impacto acumulado potencial y residual en servicios, aplicaciones, informacin y personal relacionados con iMat............................................................. 153 Figura 38. Impacto acumulado potencial y residual en BBDD, equipamiento y locales relacionados con iMat................................................................................................... 153 Figura 39. Impacto acumulado potencial y residual en iMatBecarios. ........................ 154 Figura 40. Anlisis y Gestin de Riesgos sin amenazas implantadas .......................... 160 Figura 41. Riesgos potenciales y residuales en iMat teniendo en cuenta las salvaguardas actuales. ........................................................................................................................ 161 Figura 42. Riesgos potenciales y residuales en iMatBecarios teniendo en cuenta las salvaguardas actuales.................................................................................................... 162 Figura 43. Insercin de salvaguardas con el fin de obtener un impacto y riesgo residual asumible para la direccin ............................................................................................ 171 Figura 44. Impacto acumulado potencial y residual en cada una de las fases (Servicios, datos, aplicaciones)....................................................................................................... 175 Figura 45. Impacto acumulado potencial y residual en cada de las fases (BBDD, parte del equipamiento). ........................................................................................................ 176
ndice Figura 46. Impacto acumulado potencial y residual en cada una de las fases (parte del equipamiento, locales y personal) ................................................................................ 176 Figura 47. Riesgos acumulados potenciales y residuales en cada una de las fases (Servicios, datos y aplicaciones). ................................................................................. 177 Figura 48. Riesgos acumulados potenciales y residuales en cada una de las fases (BBDD y parte del equipamiento)................................................................................ 178 Figura 49. Riesgos acumulados potenciales y residuales en cada una de las fases (parte del equipamiento, locales y personal)........................................................................... 179 Figura 50. Impacto repercutido en cada una de las fases. ............................................ 180 Figura 51. Riesgo repercutido en cada una de las fases. .............................................. 181 Figura 52. Calificacin de la seguridad segn la ISO/IEC 17799:2005....................... 182 Figura 53. Presentacin de la calificacin ISO/IEC 17799:2005 en EAR ................... 183 Figura 54. Calificacin segn la CSNC ....................................................................... 184 Figura 55. Presentacin de la CSCN en EAR. ............................................................. 185 Figura 56. Clasificacin segn la RD994..................................................................... 186 Figura 57. Presentacin de la RD994 en EAR. ............................................................ 186
NDICE DE TABLAS
Tabla 1. Restricciones................................................................................................... 107 Tabla 2. Posibles activos a considerar en un AGR....................................................... 125 Tabla 3. Valoracin cualitativa, escala a seguir en el AGR iMat................................. 133 Tabla 4. Valoracin propia de los activos. ................................................................... 135 Tabla 5. Valoracin acumulada de los activos ............................................................. 137 Tabla 6. Resumen de la eficacia de las salvaguardas agrupadas por tipos................... 143 Tabla 7. Marco de gestin. Salvaguardas. .................................................................... 144 Tabla 8. Seguridad fsica. Salvaguardas....................................................................... 145 Tabla 9.Comunicaciones. Salvaguardas. ...................................................................... 146 8
ndice Tabla 10. Datos/Informacin. Salvaguardas................................................................. 146 Tabla 11. Aplicaciones informticas (SW). Salvaguardas. .......................................... 147 Tabla 12. Equipos informticos (HW). Salvaguardas. ................................................. 147 Tabla 13. Personal. Salvaguardas. ................................................................................ 148 Tabla 14. Elementos auxiliares. Salvaguardas. ............................................................ 148 Tabla 15. Servicios. Salvaguardas................................................................................ 149 Tabla 16. Impacto potencial muy alto .......................................................................... 151 Tabla 17. impacto potencial alto................................................................................... 152 Tabla 18. Impacto potencial medio y bajo ................................................................... 152
Resumen
10
Resumen La importancia que los sistemas de informacin han tomado en las organizaciones, llegando stas a depender de stos, ha provocado que la atencin crezca en torno a los sistemas TI1. Los sistemas de informacin se crean y disean a partir de las necesidades de negocio de las empresas/instituciones, de sus estrategias de negocio. Por este motivo la consecucin de los objetivos de la organizacin dependen en gran medida de sus sistemas de informacin. Esto hace imprescindible tener que garantizar el funcionamiento y la seguridad de los sistemas de informacin en las organizaciones. En este proyecto se pretende concienciar al lector de la importancia de asegurar convenientemente los sistemas TI y analizar los riesgos que stos corren. Para ello se ha de explicar que es un anlisis y gestin de riesgos, las formas que hay de realizarlo y lo que se pretende con l. Una vez explicadas las distintas formas de hacer un AGR2 se va a explicar uno en concreto: MAGERIT (Metodologa para el Anlisis y Gestin de Riesgos de los Sistemas de Informacin), metodologa creada por el Ministerio de Administraciones Pblicas. MAGERIT ofrece un mtodo estructurado y sistemtico para la realizacin de un AGR, ayudando al analista a contemplar todos los aspectos relevantes en un AGR. Los objetivos que se pretenden alcanzar con Magerit son: Directos: Concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo. Ofrecer un mtodo sistemtico para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Indirectos: Preparar a la organizacin para procesos de evaluacin, auditoria, certificacin o acreditacin, segn corresponda en cada caso. Dar uniformidad a los informes.
1 2
11
Resumen Para que la explicacin de un AGR sea completa se va a analizar un sistema de informacin siguiendo todos los pasos descritos por Magerit, explicando lo que se pretende en cada uno de ellos y desarrollando el ejemplo de forma clara y explcita. El sistema de informacin que se va a analizar es el sistema de matriculacin de la Universidad Pontificia de Comillas (iMat). iMat ha sido desarrollado por el STIC (Servicio de Sistemas y tecnologas de la Informacin y Comunicacin).Dicho sistema de informacin tiene una gran importancia para la organizacin (la Universidad Pontificia de Comillas) debido a que todos los alumnos de primer y segundo ciclo la pueden emplear para realizar sus matrculas. Es interesante el dato: de los, aproximadamente 7500 alumnos potenciales de primer y segundo ciclo, 7000 de ellos realizan sus matrcula a travs de iMat. La importancia que tiene iMat la universidad es enorme segn se puede concluir de la informacin mostrada, siendo uno de los pilares en su estrategia de negocio y una fuente potencial para captar nuevos alumnos (clientes). La gran ventaja de utilizar MAGERIT es la existencia de herramientas informticas hechas para el anlisis y gestin de riesgos mediante esta metodologa. Una de estas herramientas es EAR, la cual se va a emplear para analizar iMat. La gran ventaja de EAR es que integra la consecucin de todos los objetivos a alcanzar segn MAGERIT. EAR3 es una herramienta informtica que soporta el anlisis y gestin de riesgos de un sistema de informacin siguiendo la metodologa Magerit. Dicha herramienta est estructurada de tal forma que todas las fases de Magerit tienen su relacin en la misma. Contempla la planificacin del anlisis, el anlisis, la evaluacin del impacto y el riesgo de los activos del sistema, la gestin de los planes de seguridad que se requieran, etc. No hay que olvidar que vivimos en la sociedad de la tecnologa y el conocimiento, o lo que es lo mismo: la sociedad de la informacin; donde garantizar su seguridad y la de los sistemas que la emplean es un aspecto fundamental en las organizaciones, estando dentro de sus presupuestos lograr este objetivo. Para que un sistema de informacin sea considerado como un sistema seguro ha de cumplir las propiedades de seguridad que se requieren en un sistema de informacin: confidencialidad, integridad y disponibilidad.
12
Resumen A estas propiedades, tambin llamadas dimensiones de la seguridad, se pueden aadir la autenticidad y la trazabilidad. Una organizacin que pierda su informacin no vale nada, una organizacin que falle a la hora de dar sus servicios pierde valor, pierde oportunidades de negocio y credibilidad: pierde imagen. En resumen, a lo largo del proyecto se pretende dar a conocer como analizar y gestionar los riesgos de un sistema de informacin de forma efectiva mediante un mtodo estructurado y especfico como es Magerit, ayudndose de un herramienta informtica que sigue dicha metodologa (EAR); se pretende lograr que el lector tome conciencia de la importancia de los sistemas de informacin en una organizacin y porque su seguridad es tan importante. Adems de todo lo mencionado cabe destacar la importancia que este tema est adquiriendo en las organizaciones, siendo un tema fundamental a la hora de elaborar el presupuesto anual.
13
Abstract
ABSTRACT
The importance that have taken information systems in organisations, even at times becoming dependant on them, have caused an rise in the attention payed in information technology systems. Information systems are created and designed based on the business/enterprises necessities, and business strategies. Due to this, the accomplishment of the enterprises goals, depend in great measure on their information systems. This makes guaranteeing the correct operation and security in information systems essential. This project is meant make the reader aware of the importance of assuring conveniently the information technology systems and also the importance of analyzing the corresponding risks. In order to do this it is ought to explain that it is an analysis and management of risks, the methods that we have to do it, and the purpose of it. Once we have explained the different methods of doing one AMR (Analysis and Management of Risk) we will proceed to explain one in concrete: MAGERIT (methodology for the analysis and management of risks for information systems), created by the public administration Ministry. MAGERIT offers an structured and systematic method for the achievement of an AMR helping the analyzer to contemplate all the relevant aspects in an AMR. The objectives to achieve with Magerit are: Directs: Make the responsible people for information systems aware of the existence of risks and the necessity of finding them in time. Offer a systematic method for analysing these risks. Help to discover and to plan the required measures to prevent and maintain risks under control Indirect: Prepare the organisation for evaluation, auditing, certification, or accreditation procedures, according to each case. Give uniformity to the reports.
14
Abstract In order to the explanation of an AMR to be complete we are going to analyze one information system following the steps described by Margerit. Explaining the purpose of each one of them and develop a clear and specific example. The information system that we will analyze is the Pontifica of Comillas University enrolment (iMat). iMat has been developed by STIC (Systems and information communication technologies services).This information system has a great importance for the organisation (Pontifica of Comillas University) due to that all alumni of the first and second cycle are able to use to enrol themselves in the university each academic year. The data is interesting: out of the, approximately 7500 potential alumni of first and second cycle, 7000 of them make their enrolment through iMat. The importance of iMat for the university is being one of their basic assets in their business strategy and a principal source of getting new alumni. (Clients) The great advantage of using Magerit is the existence of computer tools made for the analysis and management of risks. One of these tools is EAR4, which is going to be used to accomplish all the objectives of Magerit. EAR is a computer tool that stands the analysis and management of risks of an information system according to Magerit methodology. The above-mentioned tool is structured so that all the stages of Magerit are related with it. It contemplates the plannification of the analysis, the analysis itself, the impact evaluation and the risk of the system assets, the management of the security plans required, etc. We must not forget that we live in the society of the technology and knowledge, or what is the same the society of information; where guaranteeing its security and the one of the systems used in it, is a fundamental aspect in organisations, this being inside their proposed objectives. For information systems to be considered secure they must fulfil the proprieties of an information system: confidentiality, integrity, and availability. To these proprieties also called security dimensions we can add authenticity and Trazability. An organisation that loses it information it is not worth a thing, an organisation that fails when giving it services, it loses value, business opportunities and credibility: it loses image.
15
Abstract Summarising, during this project we pretend to show how to analyze and manage the risks of an information system effectively, by means of a structured and specific method as is Magerit helped by a computer tool that follows that methodology, EAR. It is pretended to make the reader aware of the importance of the information systems in an organisation and why the importance of its security. Apart from everything else mentioned we should highlight the rise in the importance in organisations, becoming a fundamental issue when elaborating the annual budget.
16
Definicin del problema La proteccin de los sistemas de TI5, o de los sistemas de informacin y comunicaciones, ha pasado a ser un objetivo crtico por la importancia que la informacin que manejan tiene en la consecucin de los objetivos de las diferentes organizaciones. Se puede definir, en primera instancia, que la seguridad tiene como finalidad la proteccin de los bienes, o tambin llamados activos y recursos, de una organizacin. En relacin con un sistema de informacin estos bienes sern el hardware, el software y los datos o informacin; todos ellos en base a asegurar el correcto funcionamiento dado por los servicios del sistema de informacin.. Por consiguiente, la seguridad de las redes y de la informacin se puede definir como la capacidad de las redes o de los sistemas de informacin de resistir con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles [ARIA05]. Los objetivos o dimensiones de la seguridad, los cuales se han de intentar salvaguardar en todo sistema son cuatro [ARIA05]: Confidencialidad o que la informacin llegue solamente a las personas autorizadas: propiedad por la que la informacin es revelada exclusivamente a los usuarios, entidades o procesos autorizados, en la forma y tiempo determinada. Contra la confidencialidad o secreto nos encontramos con fugas y filtraciones de informacin y accesos no autorizados. La confidencialidad es una propiedad de difcil recuperacin, pudiendo minar la confianza de los dems en la organizacin que no es diligente en el mantenimiento del secreto, y pudiendo suponer el incumplimiento de normas y regulaciones respecto del cuidado de los datos. Integridad o mantenimiento de las caractersticas de completitud y correccin de servicios o datos: propiedad por la que la informacin solamente puede ser creada, modificada o borrada por usuarios, entidades o procesos autorizados. Contra la integridad podemos encontrarnos
18
Definicin del problema informacin manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeo de las funciones de la organizacin. Disponibilidad o disposicin de ser usados cuando sea necesario: propiedad por la que la informacin debe de estar accesible o utilizable en el momento, lugar y forma que lo requieran los usuarios, entidades o procesos autorizados. La carencia de disponibilidad supone la interrupcin del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones. Autenticidad (del origen de los datos): Que haya duda de quien se hace responsable de una informacin o prestacin de un servicio, tanto a fin de confiar en l como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad nos encontramos con suplantaciones y engaos que buscan realizar un fraude. La autenticidad es la posibilidad de luchar contra el repudio y, como tal, se convierte en una dimensin bsica para fundamentar el llamado comercio electrnico o la administracin electrnica, permitiendo confiar sin papeles ni presencia fsica. Adicionalmente se puede tener en cuenta una dimensin ms como es la trazabilidad. Esta dimensin cobra especial importancia al hablar de comercio electrnico o administracin electrnica; siendo fundamental para poder prestar el servicio y perseguir los fallos Con objeto de conseguir la proteccin adecuada en un sistema de informacin es necesario implantar un conjunto proporcionado de medidas de seguridad, tanto tcnicas como organizativas, que permitan la creacin de un entorno seguro para los datos, la informacin, las aplicaciones y los sistemas que sustentan a todos. Las cuatro dimensiones pueden ser requeridas o no dependiendo de cada caso. Cuando se requieren es necesario poner recursos y esfuerzo para conseguirlas. A racionalizar este esfuerzo se dedican las metodologas de anlisis y gestin de riesgos que comienzan con una definicin: Riesgo: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la organizacin. El riesgo se puede considerar como una funcin de probabilidad de que una vulnerabilidad del sistema afecta a la autenticacin o a la disponibilidad, autenticidad, 19
Definicin del problema integracin o confidencialidad de los datos procesados o transferidos y la gravedad de esa incidencia, resultante de la utilizacin intencionada o no intencionada de esa vulnerabilidad [ARIA05]. El riesgo indica lo que le podra pasar a los activos si no se protegieran adecuadamente. Es importante saber qu caractersticas son de inters en cada activo, as como saber en qu medida estas caractersticas estn en peligro, es decir, analizar el sistema (anlisis de riesgos). Una vez analizado el sistema y conocer los riesgos que tiene cada activo, as como la posibilidad que existe de que ocurra hay que tomar las decisiones adecuadas (gestin de riesgos) para evitar que ocurra o asumir que ocurra. La seguridad es un concepto relativo ya que no es posible conseguirla de forma plena porque siempre existirn unos riesgos residuales por muy cuantiosas que sean las inversiones en seguridad, pero teniendo en cuenta que a mayores riesgos, mayores debern ser las medidas de seguridad a adoptar, lo que se conoce como principio de proporcionalidad. As, el riesgos es una combinacin de las amenazas (entendidas como la capacidad potencial para producir un compromiso o prdida de activos o informacin) a los que est expuesto, sus vulnerabilidades (entendidas como la debilidad o falta de control que pueda permitir o facilitar la actuacin de una amenaza) y el valor del activo. Todos los servicios, medidas y mecanismos de seguridad han de estar orientados a conseguir los objetivos de seguridad descritos. Para ello se establece lo que denomina Gestin de la Seguridad.
20
Gestin de la Seguridad de TI
Gestin de la Seguridad
Como ya se ha mencionado anteriormente la seguridad de la informacin tiene como finalidad la proteccin de los bienes, o tambin llamados activos y recursos, de una organizacin. En relacin con un sistema de informacin estos bienes sern el hardware, el software y los datos o informacin. Para lograr esto se han de cubrir las cuatro dimensiones (objetivos) de la seguridad de la informacin: Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad
Depende del sistema las dimensiones que hay que considerar. No siempre es necesario tener en cuenta todas ellas. Sin embargo las tres primeras siempre suelen estar consideradas. Las organizaciones dependen crecientemente de la informacin para el desarrollo de sus actividades. As, la prdida de confidencialidad, integridad, disponibilidad y/o autenticidad de su informacin y/o servicios puede tener para ellas un impacto negativo. En consecuencia, es necesario proteger la informacin y gestionar la seguridad de los sistemas de TI dentro de las organizaciones. Este requisito de proteger la informacin es particularmente importante, dado que numerosas organizaciones estn conectadas a redes de sistemas de TI interna y externamente. La gestin de la seguridad de TI es el proceso para alcanzar y mantener niveles apropiados de autenticidad, confidencialidad, integridad y disponibilidad. Las funciones de gestin de la seguridad de TI incluyen6 [UNE01]: Determinacin de los objetivos, estrategias y polticas organizativas de la seguridad de TI. Determinacin de los requisitos organizativos de la seguridad de TI.
UNE 71501-1:2001IN
21
Gestin de la Seguridad de TI
Especificacin de las salvaguardas apropiadas (gestin de riesgos). Seguimiento de la implantacin y operacin de las salvaguardas apropiadas. Desarrollo e implantacin de un plan de concienciacin en la seguridad. Deteccin y reaccin ante incidentes.
22
Gestin de la Seguridad de TI
Objetivos, estrategias y polticas de seguridad Objetivos y estrategias de seguridad de TI Poltica de seguridad de TI de la organizacin
Enfoque combinado Anlisis de riesgos de alto nivel Anlisis de Riesgos Detallado Enfoque de mnimos
Seleccin de Salvaguardas Aceptacin de Riesgos Poltica de Seguridad del Sistema Plan de la Seguridad
Implantacin del Plan de Seguridad Implantacin de salvaguardas Concienciacin de la seguridad Formacin en seguridad
Seguimiento Comprobacin del cumplimiento de los requisitos de seguridad Mantenimiento Gestin de la configuracin. Gestin de cambios Supervisin y control
Tratamiento de incidencias
UNE 71501-3: 2001: Tecnologa de la Informacin (TI). Gua para la gestin de la seguridad de TI. Parte 3: Tcnicas para la gestin de la seguridad de TI.
23
Gestin de la Seguridad de TI
Gestin de la Seguridad de TI
puede tener para la organizacin conociendo, por tanto, el riesgo que corre [ARIA05]. Conlleva el anlisis de los activos, amenazas y vulnerabilidades valorndose los riesgos en trminos de impacto potencial que podra ser causado por la prdida de confidencialidad, integridad y disponibilidad de la informacin y recursos del sistema. 2. La gestin de riesgos, que, basndose en el anlisis de riesgos, permite seleccionar las medidas o salvaguardas de seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y as reducir al mnimo su potencialidad o sus posibles impactos [ARIAS05]. El anlisis de riesgos de un sistema de informacin tiene por objeto identificar los riesgos, las amenazas y vulnerabilidades existentes en un sistema de informacin determinando su magnitud, mostrando la situacin de la seguridad presente en una organizacin respecto al procesado, transmisin y almacenamiento de la informacin, y como consecuencia reuniendo los hecho bsicos necesarios para seleccionar las contramedidas y los procedimientos adecuados para minimizar las amenazas y las vulnerabilidades al/del sistema. Un riesgo de seguridad se puede definir como la probabilidad de que una vulnerabilidad de un sistema o red sea explotada por una amenaza, comprometiendo de esta forma al sistema o su informacin. Debido al carcter cambiante de las amenazas, un anlisis de riesgos debe ser actualizado peridicamente. Todo sistema de informacin tiene unos riesgos inherentes al mismo. El anlisis de riesgos permite establecer los riesgos que existen y, a partir de ah, establecer los requisitos de seguridad necesarios para prevenir una determinada situacin, contener su efecto, o simplemente reconocer que existe un riesgo potencial de prdida de datos. Por ello el anlisis de riesgos es necesario y recomendable en todo sistema o red, ayudando a identificarlos as como en la toma de decisiones a adoptar para eliminar el riesgo, minimizarlo o asumirlo, pero con el conocimiento de su existencia, riegos e impacto.
25
Gestin de la Seguridad de TI
Gestin de la Seguridad de TI
No se requiere el aprendizaje de habilidades adicionales para hacer este tipo de anlisis. Puede ser adecuado en pequeas organizaciones.
Sin embargo posee varias desventajas: Sin un enfoque estructurado, aumenta la posibilidad de pasar por alto algunos riesgos, as como reas potencialmente problemticas. Debido a su carcter informal, los resultados pueden venir influenciados por perspectivas subjetivas y por prejuicios del analista. La seleccin de las salvaguardas no se encuentra argumentada o razonada; por lo tanto, los gastos en las mismas pueden ser difciles de justificar. Pasado un tiempo sin que hayan realizado revisiones peridicas puede ser difcil gestionar los cambios con impacto importante en la seguridad. 3. Anlisis y gestin de riesgos detallado Esta opcin implica la realizacin del anlisis y gestin de riesgos mediante la identificacin y valoracin de los activos, la evaluacin de las amenazas y de las vulnerabilidades de los activos frente a las amenazas, estimacin de los posibles impactos y la valoracin de los riesgos en base a lo anterior. Esta opcin soporta la identificacin, seleccin y adopcin de salvaguardas en base a los riesgos identificados y la reduccin de los mismos a un nivel aceptable definido por la direccin. Suele ser un proceso costoso tanto en tiempo como en recursos de personal y debera realizarse utilizando metodologas formales y a ser posible apoyadas por aplicaciones software. Por consiguiente, las ventajas que nos encontramos al aplicar este enfoque son: Se identifica un nivel de seguridad acorde con las necesidades de seguridad de cada sistema. Cada sistema posee un estudio propio y que se ajusta al mismo. La gestin de los cambios con impacto importante en la seguridad se beneficiar de la informacin adicional obtenida a partir del anlisis y gestin de riesgos detallado. La mayor desventaja de esta opcin es:
27
Gestin de la Seguridad de TI
Requiere una considerable cantidad de tiempo, esfuerzo y pericia para lograr resultados visibles.
4. Enfoque combinado Esta opcin para la ejecucin del anlisis y gestin de riesgos consiste en identificar primeramente aquellos sistemas que estn expuestos a un alto riesgo o que son crticos en relacin a la actividad de la empresa, mediante un anlisis y gestin de riesgos realizado a alto nivel, clasificando as a los sistemas en dos grupos: los que requieren un anlisis y gestin de riesgos detallado para conseguir la proteccin adecuada y los que slo necesitan la proteccin a nivel bsico. Las ventajas de este enfoque son: Un enfoque de alto nivel para recoger la informacin necesaria antes de comprometer recursos significativos facilita la aceptacin del plan anlisis y gestin de riesgos. Debe ser posible configurar a nivel estratgico una visin del plan de seguridad de la organizacin, que puede utilizarse como soporte a la planificacin. Los recursos pueden invertirse donde vayan a ser ms beneficiosos, y de forma que los sistemas de alto riesgo puedan ser tratados antes. La desventaja con la que nos encontramos en esta opcin es: Si el anlisis y gestin de riesgos a alto nivel produce resultados errneos, algunos sistema en los que se necesita un anlisis y gestin de riesgos detallado podran no ser completados. En la mayora de los casos esta opcin ofrece el enfoque ms eficaz en trminos de costes y es la opcin de anlisis y gestin de riesgos ms recomendable para la mayora de las organizaciones.
Seleccin de Salvaguardas
Una vez identificadas las amenazas, vulnerabilidades, riegos, etc. Se pasa a la seleccin de salvaguardas. Las salvaguardas son procedimientos o dispositivos fsicos o lgicos que pueden proteger contra una amenaza, reducir la vulnerabilidad, limitar el impacto de un incidente no deseado y facilitar la recuperacin. Las salvaguardadas no son independientes unas de otras y frecuentemente funcionan conjuntamente. La seguridad 28
Gestin de la Seguridad de TI
efectiva requiere con frecuencia una combinacin de salvaguardas para proporcionar niveles adecuados de seguridad. El proceso de seleccin debe tener en cuenta las interdependencias entre salvaguardas; as tambin debe verificarse que no quedan lagunas. Dichas lagunas hacen posible la burla de las salvaguardas existentes y permiten que amenazas accidentales puedan materializarse y causar daos. Cualquiera de las opciones presentadas en el apartado anterior proporcionan recomendaciones suficientes para reducir los riesgos en la seguridad a un nivel aceptable, aunque de los cuatro enfoques, en la mayora de los casos, la opcin del Enfoque combinado es la ms eficaz en trminos de costes y suele ser la opcin de anlisis y gestin de riesgos ms recomendable para la mayora de las organizaciones. Las salvaguardas seleccionadas permiten conocer, prevenir, impedir, reducir, controlar, corregir y recuperarse de incidentes no deseados. No suelen ser independientes unas de otras y frecuentemente funcionan conjuntamente necesitando una gestin que asegure de forma eficaz y sin ocasionar gastos indebidos tanto de gestin como de uso. Su implantacin puede estar ligada a un plan de concienciacin en la seguridad, a una gestin de cambios y a una gestin de la configuracin.
Aceptacin de Riesgos
Tras la implantacin de las salvaguardas seleccionadas, siempre existe un riesgo residual. Esto es debido a que no puede haber ningn sistema absolutamente seguro (principio fundamental de la seguridad de la informacin) y a que ciertos activos pueden haberse dejado sin proteccin intencionadamente porque se asume un bajo riesgo o por los altos costes de la salvaguarda con relacin al valor estimado del activo a proteger [UNE01]. El primer paso del proceso de aceptacin de riesgos es revisar las salvaguardas seleccionadas e identificar y valorar todos los riesgos residuales pasando, posteriormente, a clasificar los riesgos residuales en aceptables o inaceptables para la organizacin [UNE01]. Es obvio, que los riesgos inaceptables no pueden tolerarse y, por tanto, debern considerarse salvaguardas adicionales para bajar el riesgo residual a un nivel aceptable.
29
Gestin de la Seguridad de TI
Acreditacin
Muchos anlisis y gestin de riesgos tienen como finalidad lograr certificaciones de seguridad del un producto o sistema; estar preparado para una posible auditoria de seguridad o evaluar el sistema [MAGE05].
Seguimiento
Al igual que todo estudio, la gestin de la seguridad nunca termina. Una vez hecho el anlisis y gestin de riesgos y la implantacin del plan de seguridad se ha de llevar un continuo mantenimiento del sistema de informacin. Se ha comprobar que se ha cumplido todo lo establecido, llevar una supervisin, estar preparado a posibles cambios o a nuevos anlisis a realizar. Se da por hecho que tambin se evala en este seguimiento continuo que todas las incidencias que pueden pasar, y que han sido identificadas en el estudio, tienen un tratamiento correcto. Para ello se suele realizar lo que se denomina plan de continuidad o contingencias (dependiendo del alcance del Plan: continuidad suele ir ms dirigido a la continuidad de los procesos y funciones de negocio de una organizacin, mientras que contingencia suele ir ms encaminada a la continuidad o solucin de problemas en sistemas de informacin) [MAGE05]. Todas las salvaguardas requieren un mantenimiento para asegurar que estn funcionando correctamente y que lo continuarn haciendo de una manera predecible y adecuada. La obsolescencia de las salvaguardas debe ser puesta de manifiesto por acciones planificadas ms que por un descubrimiento casual. Adems, la verificacin de la conformidad con los requisitos de seguridad, la verificacin del entorno operativo, la revisin de eventos y la gestin de incidentes tambin son necesarias para asegurar la continuidad en la seguridad [MAGE05].
30
Implantacin de Salvaguardas
Seguimiento
Figura 2. Gestin de la Seguridad de TI8
La gestin de la seguridad es una accin permanente, cclica y recurrente (es decir, que se ha de reemprender continuamente debido a cambios en el sistema y en su entorno) que a su vez comprende otros procesos. La implantacin de salvaguardas se realiza llevando a cabo los planes de seguridad establecidos y acordados previamente.
Concienciacin de la seguridad
La concienciacin es un elemento esencial para la seguridad efectiva. La ausencia de concienciacin, junto con las malas costumbres en materia de seguridad por parte del personal de la organizacin, puede reducir significativamente la efectividad de las salvaguardas. Con el fin de asegurar que existe un nivel de concienciacin en la seguridad adecuado, es importante establecer y mantener un plan efectivo de concienciacin en la seguridad. El propsito de este plan de concienciacin en la seguridad es explicar a los diversos actores [MAGE05]: los objetivos, estrategias y polticas de seguridad, y
UNE 71501-1: 2001: Tecnologa de la Informacin (TI). Gua para la gestin de la Seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI
31
Gestin de la Seguridad de TI
Un plan de concienciacin en la seguridad debera implantarse a todos los niveles de la organizacin desde la alta direccin hasta las personas encargadas de las actividades diarias. Un factor crtico es que la direccin sea consciente de la necesidad de la seguridad. El objeto de un plan de concienciacin es convencer de que existen riesgos significativos para los sistemas de TI y que la prdida, modificacin no autorizada y revelacin de informacin, podran tener importantes consecuencias para la organizacin y su personal.
32
Para ello se va usar la Metodologa MAGERIT versin 2 (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, creada) creada por el Ministerio de
Los conceptos que aparecen en los pasos pautados a seguir se definen en la parte de MAGERIT. En
dicha parte se pueden encontrar los conceptos y los pasos explicados de forma detallada.
33
Administraciones Pblicas. As mismo se a contar con una herramienta de software basada en la metodologa MAGERIT y que trabaja contra listas de seguridad como la ISO 17799/2002, norma que se va aplicar en el proyecto para seleccionar las salvaguardas de seguridad en el ejemplo concreto en apoyo del proyecto. Dicha herramienta ser PILAR (Procedimiento Informtico-Lgico para el Anlisis de Riesgos) o EAR (Entorno de Anlisis de Riesgos), an por determinar. Dichas herramientas son la misma; la diferencia se encuentra en la primera es de uso privado para el CNI y los ministerios, mientras que la segunda se encuentra disponible para uso comercial. EAR est basada en PILAR, la cual ha sido financiada por el Centro Nacional de Inteligencia (CNI), establecidos sus requisitos por el Centro Criptolgico Nacional (CNN) y supervisado su desarrollo por el CCN, y la Fbrica Nacional de Moneda y Timbre, entre otras instituciones. Lo primero que se va a hacer es explicar MAGERIT, los pasos que sigue, la nomenclatura adoptada, etc. Una vez explicada la metodologa se va a aplicar a un ejemplo concreto apoyndose en una herramienta informtica que a su vez usa dicha metodologa como base para realizar el anlisis y la gestin de riesgos. De este modo se pretende poner a disposicin del lector como realizar un anlisis y gestin de riesgos de forma eficiente, eficaz y correcta. El ejemplo sobre el que se va a hacer el anlisis y gestin de riesgos est basado en el sistema de matriculacin de la Universidad Pontificia de Comillas (iMat). Sobre este sistema es sobre el que los alumnos proceden a realizar anualmente su matrcula, modificarla o borrarla. Dicho sistema es un sistema montado sobre el sistema de informacin de la universidad, por lo que se puede considerar un sistema de informacin autnomo. Se cree que este sistema es apropiado y bastante ilustrativo para poder comprender un anlisis y gestin de riesgos.
Introduccin a iMat
iMat, sistema de matriculacin de la Universidad Pontificia de Comillas, es una aplicacin basada en la estructura de 3 capas, acceso a datos, lgica de negocio y presentacin claramente diferenciadas. La presentacin se hace en pginas ASP, la lgica de negocios se encuentra encapsulada en unos componentes en COM+ desarrollados con Visual Basic mientras que el acceso a datos se realiza con otros componentes en COM+ que actan contra una base de datos SQL Server 2000. 34
Por otro lado, los 3 servidores Web IIS 6.0 que mantienen la Web de Comillas estn balanceados por hardware de tal forma que en funcin de la carga de uno u otro se le redirige al usuario al que menos lo este. El servidor de datos y el de componentes Se sitan detrs de un firewall, as como el acceso a los datos se hace a travs del usuario que levanta, que esta configurado en COM+, de tal forma que nicamente un usuario de dominio especfico tiene acceso a los datos. Por otro lado, el sistema de Matriculacin funciona, bsicamente, del siguiente modo: en funcin del alumno validado con su clave y contrasea se estudia su expediente y las normas que establecen al respecto cada facultad o escuela, una vez comparado su expediente contra estas normas al alumno se le categoriza de tal forma que lleva implcita la oferta de asignaturas de la que puede matricularse. Una vez presentada la oferta de asignaturas, el alumno podr seleccionar de entre ellas las que considere y se le comprueba que est dentro de los intervalos de crditos establecidos.
35
MAGERIT
36
MAGERIT
Introduccin
Introduccin a MAGERIT
La CSAE1 ha elaborado y promueve MAGERIT2 como respuesta a la percepcin de la Administracin (y en general toda la sociedad) depende de forma creciente de las tecnologas de la informacin para la consecucin de sus objetivos de servicio. La razn de ser de Magerit est directamente relacionada con la generalizacin del uso de los medios electrnicos, informticos y telemticos, que supone unos beneficios evidentes para los ciudadanos; pero tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de tales medios. El anlisis de riesgos se ha consolidado como paso necesario para la gestin de la seguridad. As se recoge claramente en las guas de la OCDE3 que, en su principio 6 dice: 6. Evaluacin del riesgo. Los participantes deben llevar a cabo evaluaciones de riesgo. Conocer los riesgos al que estn sometidos los sistemas de informacin con los que se trabaja es imprescindible para poder gestionarlos y por este motivo existen multitud de guas informales para la realizacin del anlisis y gestin de riesgos, aproximaciones metdicas y herramientas de soporte. Todas ests guas (informales, metdicas) buscan poder evaluar cuanto de seguros (o inseguros) estn los sistemas de informacin, para evitar llevarse a engao. Una aproximacin metdica no dejar lugar a la improvisacin, como es el caso de Magerit, no depende de la arbitrariedad del analista. El asunto no es tanto conocer la ausencia de incidentes como la confianza en que estn bajo control: se sabe qu puede pasar y se sabe que hacer cuando pasa.
1 2
CSAE: Consejo Superior de Administracin Electrnica. MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin. La
informacin mostrada en este captulo ha sido obtenida de dicha metodologa, elaborada por el Ministerio de Administraciones Pblicas. Por este motivo no se van a exponer referencias a esta metodologa a lo largo del captulo.
3
Guas de la OCDE para la seguridad de los sistemas de informacin y redes. Hacia una cultura de
seguridad. 2002.
37
MAGERIT
Introduccin
Objetivos de Magerit
Directos: 1. concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo. 2. ofrecer un mtodo sistemtico para analizar tales riesgos. 3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control Indirectos: 1. preparar a la Organizacin para procesos de evaluacin, auditoria, certificacin o acreditacin A su vez se ha buscado dar uniformidad a los informes que recogen los hallazgos y las conclusiones de un proyecto de anlisis y gestin de riesgos. Modelo de valor Caracterizacin del valor que representan los activos para la Organizacin as como de las dependencias entre los diferentes activos. Mapa de riesgos Relacin de las amenazas a las que estn expuestos los activos. Evaluacin de Salvaguardas Evaluacin de la eficacia de las salvaguardas existentes en relacin al riesgo que afrontan. Estado de riesgo Caracterizacin de los activos por su riesgo residual; es decir, por lo que puede pasar teniendo en cuenta las salvaguardas desplegadas. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre un sistema. Plan de seguridad
38
MAGERIT
Introduccin
Conjunto de programas de seguridad que permiten materializar las decisiones de gestin de riesgos.
Planificacin
Organizacin
Implantacin de salvaguardas
Concienciacin y formacin
Incidencias y recuperacin
La implantacin de los controles de seguridad requiere una organizacin gestionada y la participacin informada de todo el personal que trabaja con el sistema de informacin. Este esquema de trabajo debe ser repetitivo pues los sistema de informacin raramente con inmutables; ms bien se encuentran sometidos a evolucin continua tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisin peridica en la que se aprende de la experiencia y se adapta al nuevo contexto. Por este motivo la concienciacin y formacin del personal es un elemento muy importante a la hora de llevar a cabo una poltica de gestin de seguridad. La colaboracin activa de las personas involucradas en el sistema de informacin es vital para su posterior xito. Para 39
MAGERIT
Introduccin
ello se ha de crear lo que se llama una cultura de seguridad en la cual estn implicados todos los niveles de la empresa desde la alta direccin hasta el ms bajo nivel. El anlisis de riesgos proporciona un modelo del sistema en trminos de activos, amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La gestin de riesgos es la estructuracin de as acciones de seguridad para satisfacer las necesidades detectadas por el anlisis.
Incidencias y recuperacin
Es importante crear una cultura de responsabilidad, asociada a la cultura de seguridad, donde los problemas potenciales, detectados por los que estn cercanos a los activos afectados, puedan ser canalizados hacia los puntos de decisin. De esta forma el sistema de salvaguardas responder a la realidad. Cuando se produce una incidencia, el tiempo empieza a correr contra el sistema: sus supervivencia depende de la presteza y correccin de las actividades de reporte y reaccin. La madurez de la organizacin se refleja en la pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las salvaguardas de todo tipo, desde medidas tcnicas hasta una ptima organizacin.
40
1 2
MAGERIT versin 2. Mtodo Parte 2. El riesgo se defini de forma detallada en la introduccin del proyecto.
41
Informalmente, se puede decir que la gestin de la seguridad de un sistema de informacin es la gestin de sus riesgos y que el anlisis permite racionalizar dicha gestin.
Anlisis de Riesgos
El anlisis de riesgos es una aproximacin metdica para determinar el riesgo siguiendo unos pasos pautados3: 1. determinar los activos relevantes para la Organizacin, su interrelacin y su valor, en el sentido de qu perjuicio (coste) supondra su degradacin. 2. determinar a qu amenazas estn expuestos aquellos activos. 3. determinar qu salvaguardas hay dispuestas y cun eficaces son frente al riesgo. 4. estimar el impacto, definido como el dao sobre el activo derivado de la materializacin de la amenaza. 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectacin de materializacin) de la amenaza. Con el objeto de organizar la presentacin, se tratan primero los pasos 1, 2, 4 y 5, obviando el paso 3, de forma que las estimaciones de impacto y riesgo sean potenciales: caso de que no hubiera salvaguarda alguna desplegada. Una vez obtenido este escenario terico, se incorporan las salvaguardas del paso 3, derivando estimaciones realistas de impacto y riesgo.
Paso 1: Activos
Se denominan activos los recursos del sistema de informacin o relacionados con ste, necesarios para que la Organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. El activo esencial es la informacin que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes:
Se muestran cinco de los seis puntos mostrados en el alcance del proyecto. El sexto punto pertenece a la
42
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.
Las aplicaciones informticas (software) que permiten manejar los datos. Los equipos informticos (hardware) y que permiten hospedar datos, aplicaciones y servicios.
Los soportes de informacin que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que complementa el material informtico. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones que acogen equipos informticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados.
No todos los activos poseen la misma importancia y por ello las salvaguardas varan dependiendo de la importancia de los mismos. Por ejemplo, hay datos regulados por ley y otros que no; datos de carcter confidencial o de acceso reservado. Dependencias Los datos y los servicios suelen ser los activos ms importantes; pero dichos activos dependen a su vez de otros activos ms prosaicos como pueden ser los equipos, las comunicaciones o las frecuentemente olvidadas personas que los utilizan. Esto es el motivo de la aparicin del concepto llamado dependencias entre activos o la medida en que un activo superior se vera afectado por un incidente de seguridad en un activo inferior. Se dice que un activo superior depende de otro activo inferior cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras palabras, cuando la materializacin de una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el activo superior. Aunque en cada caso hay que adaptarse a la Organizacin objeto del anlisis, con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores: capa 1: el entorno o equipamiento y suministros: energa, climatizacin, comunicaciones
43
o personal: de direccin, de operacin, de desarrollo, etc. o otros: edificios, mobiliario, etc. capa 2: el sistema de informacin o equipos informticos (hardware) o aplicaciones (software) o comunicaciones o soportes de informacin: discos, cintas, etc. capa 3: la informacin o datos o meta-datos: estructuras, ndices, claves de cifra, etc.
capa 4: las funciones de la Organizacin, que justifican la existencia del sistema de informacin y le dan finalidad o objetivos y misin o bienes y servicios producidos
La importancia de garantizar la seguridad de las capas superiores hace necesario comenzar la seguridad desde las capas inferiores para evitar un riesgo sobre las capas superiores. Valoracin de activos Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay que intentar averiguar y proteger. El valor de un activo puede ser propio o acumulado. Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos. Se dice que el valor nuclear suele estar en la informacin (o datos) que el sistema maneja. Las dependencias entre activos permiten relacionar los dems activos con datos y servicios. En un rbol de dependencias, donde los activos superiores dependen de los inferiores, es imprescindible valorar los activos superiores, los que son importantes por s mismos.
44
Automticamente este valor se acumula en los inferiores, lo que no es bice para que tambin puedan merecer, adicionalmente, su valoracin propia. La valoracin es la determinacin del coste que supondra salir de una incidencia que destrozara el activo. La valoracin puede ser cuantitativa (con una cantidad numrica) o cualitativa (en alguna escala de niveles). Los criterios ms importantes a respetar son: la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, as como poder determinar si es ms grave el dao en una dimensin o en otra,
la relatividad: es importante poder relativizar el valor de un activo en comparacin con otros activos.
Todos estos criterios se satisfacen con valoraciones econmicas (coste dinerario requerido para curar el activo) y es frecuente la tentacin de ponerle precio a todo. Si se consigue, excelente. Incluso es fcil ponerle precio a los aspectos ms tangibles (equipamiento, horas de trabajo, etc.); pero al entrar en valoraciones ms abstractas (intangibles como la credibilidad de la Organizacin) la valoracin econmica exacta puede ser escurridiza y motivo de agrias disputas entre expertos. Dimensiones De un activo puede interesar calibrar diferentes dimensiones4: Autenticidad: qu perjuicio causara no saber exactamente quien hace o ha hecho cada cosa? Esta valoracin es tpica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) Confidencialidad: qu dao causara que lo conociera quien no debe? Esta valoracin es tpica de datos.
45
Integridad: qu perjuicio causara que estuviera daado o corrupto? Esta valoracin es tpica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos.
Disponibilidad: qu perjuicio causara no tenerlo o no poder utilizarlo? Esta valoracin es tpica de los servicios.
En sistemas dedicados a la administracin electrnica o al comercio electrnico, el conocimiento de los actores es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, adems de la autenticidad, interesa calibrar la: la trazabilidad del uso del servicio: qu dao causara no saber a quin se le presta tal servicio? O sea, quin hace qu y cundo?
la trazabilidad del acceso a los datos: qu dao causara no saber quin accede a qu datos y qu hace con ellos?
Casi todas las dimensiones mencionadas anteriormente permiten una valoracin simple, cualitativa o cuantitativa. Pero hay una excepcin, la disponibilidad. No es lo mismo interrumpir un servicio una hora o un da o un mes. Puede que una hora de detencin sea irrelevante, mientras que un da sin servicio causa un dao moderado; pero un mes detenido suponga la terminacin de la actividad. Por ello hay que saber valorar que es lo que interesa evitar de forma que se ahorren esfuerzos (no slo econmicos) para interrupciones de disponibilidad irrelevantes pasando directamente a evaluar los relevantes.
Paso 2: Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un dao. Hay accidentes naturales (terremotos, inundaciones,...) y desastres industriales (contaminacin, fallos elctricos,...) ante los cuales el sistema de informacin es vctima pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay amenazas causadas por las personas, bien errores, bien ataques intencionados.
46
No todas las amenazas afectan a todos los activos, sino que hay una cierta relacin entre el tipo de activo y lo que le podra ocurrir. Valoracin de las amenazas Cuando un activo es vctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuanta. Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cun vulnerable es el activo, en dos sentidos: Degradacin: cun perjudicado resultara el activo Frecuencia: cada cunto se materializa la amenaza
La degradacin mide el dao causado por un incidente en el supuesto de que ocurriera. La degradacin se suele caracterizar como una fraccin del valor del activo y as aparecen expresiones como que un activo se ha visto totalmente degradado, o degradado en una pequea fraccin. Cuando las amenazas no son intencionales, probablemente baste conocer la fraccin fsicamente perjudicada de un activo para calcular la prdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchsimo dao de forma selectiva. La frecuencia pone en perspectiva aquella degradacin, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materializacin; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un dao considerable. La frecuencia se modela como una tasa anual de ocurrencia, siendo valores tpicos 100 10 1 Muy frecuente Frecuente Normal A diario Mensualmente Una vez al ao
47
El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor acumulado y de la degradacin causada. El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo. El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado. El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de informacin, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: proteccin de los equipos, copias de respaldo, etc. Impacto repercutido Es el calculado sobre un activo teniendo en cuenta su valor propio las amenazas a que estn expuestos los activos de los que depende.
El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor propio y de la degradacin causada.
48
El impacto es tanto mayor cuanto mayor es el valor propio de un activo. El impacto es tanto mayor cuanto mayor sea la degradacin del activo atacado. El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado. El impacto repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las consecuencias de las incidencias tcnicas sobre la misin del sistema de informacin. Es pues una presentacin gerencial que ayuda a tomar una de las decisiones crticas de un anlisis de riesgos: aceptar un cierto nivel de riesgo. Agregacin de valores de impacto Los prrafos anteriores determinan el impacto que sobre un activo tendra una amenaza en una cierta dimensin. Estos impactos singulares pueden agregarse bajo ciertas condiciones: puede agregarse el impacto repercutido sobre diferentes activos, puede agregarse el impacto acumulado sobre activos que no sean dependientes entre s, ni dependan de ningn activo superior comn, no debe agregarse el impacto acumulado sobre activos que no sean independientes, pues ello supondra sobre ponderar el impacto al incluir varias veces el valor acumulado de activos superiores, puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qu medida las diferentes amenazas son independientes y pueden ser concurrentes,
49
Riesgo acumulado Es el calculado sobre un activo teniendo en cuenta el impacto acumulado sobre un activo debido a una amenaza y la frecuencia de la amenaza
El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor acumulado, la degradacin causada y la frecuencia de la amenaza. El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de informacin, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: proteccin de los equipos, copias de respaldo, etc. Riesgo repercutido Es el calculado sobre un activo teniendo en cuenta el impacto repercutido sobre un activo debido a una amenaza y la frecuencia de la amenaza
El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada dimensin de valoracin, siendo una funcin del valor propio, la degradacin causada y la frecuencia de la amenaza. El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las consecuencias de las incidencias tcnicas sobre la misin del sistema de informacin. Es pues una presentacin gerencial que ayuda a tomar una de las decisiones crticas de un anlisis de riesgos: aceptar un cierto nivel de riesgo. Agregacin de riesgos Los prrafos anteriores determinan el riesgo que sobre un activo tendra una amenaza en una cierta dimensin. Estos riesgos singulares pueden agregarse bajo ciertas condiciones: puede agregarse el riesgo repercutido sobre diferentes activos, puede agregarse el riesgo acumulado sobre activos que no sean dependientes entre s, ni dependan de ningn activo superior comn,
50
no debe agregarse el riesgo acumulado sobre activos que no sean independientes, pues ello supondra sobre ponderar el riesgo al incluir varias veces el valor acumulado de activos superiores,
puede agregarse el riesgo de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qu medida las diferentes amenazas son independientes y pueden ser concurrentes,
Paso 3: Salvaguardas
En los pasos anteriores no se han tomado en consideracin las salvaguardas desplegadas. Se miden, por tanto, los impactos y riesgos a que estaran expuestos los activos si no se protegieran en absoluto. En la prctica no es frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo que ocurrira si se retiraran las salvaguardas presentes. Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnolgicos que reducen el riesgo. Hay amenazas que se conjuran simplemente organizndose adecuadamente, otras requieren elementos tcnicos (programas o equipos), otras necesitan seguridad fsica y, por ltimo, est la poltica de personal. Las salvaguardas entran en el clculo del riesgo de dos formas: Reduciendo la frecuencia de las amenazas. Llamadas salvaguardas preventivas. Una salvaguarda preventiva ideal mitiga completamente la amenaza. Limitando el dao causado. Hay salvaguardas que directamente limitan la posible degradacin, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradacin avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperacin del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan. Las salvaguardas se caracterizan, adems de por su existencia, por su eficacia frente al riesgo que pretenden conjurar. 51
Dicha figura ya ha sido expuesta anteriormente, por ello la numeracin corresponde con la primera vez
que apareci.
52
Con el dibujo mostrado arriba se pretende ilustrar la relacin entre los diversos pasos. La parte puesta en rojo es aquella que se realiza al aadir las salvaguardas precisas, las cuales se deciden en la gestin de riesgos que se explica a continuacin. 53
Gestin de Riesgos
El anlisis de riesgos determina impactos y riesgos. Los impactos recogen daos absolutos, independientemente de que sea ms o menos probable que se d la circunstancia. En cambio el riesgo pondera la probabilidad de que ocurra. El impacto refleja el dao posible, mientras que el riesgo refleja el dao probable. Si el impacto y el riesgo residuales son despreciables, se ha terminado. Si no, hay que hacer algo.
Seleccin de salvaguardas
Las amenazas hay que conjurarlas, por principio y mientras no se justifique lo contrario. Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el impacto como el riesgo, reduciendo bien la degradacin del activo (minimizando el dao), bien reduciendo la frecuencia de la amenaza (minimizando sus oportunidades). Toda amenaza debe ser conjurada profesionalmente, lo que quiere decir que hay que:
54
1. establecer una poltica de la Organizacin al respecto; o sea, unas directrices generales de quin es responsable de cada cosa. 2. establecer una norma; o sea, unos objetivos a satisfacer para poder decir con propiedad que la amenaza ha sido conjurada 3. establecer unos procedimientos; o sea, instrucciones paso a paso de qu hay que hacer 4. desplegar salvaguardas tcnicas que efectivamente se enfrenten a las amenazas con capacidad para conjurarlas 5. desplegar controles que permitan saber que todo lo anterior est funcionando segn lo previsto A este conjunto de elementos se le encasilla habitualmente bajo el nombre de Sistema de Gestin de la Seguridad de la Informacin (SGSI), aunque se est gestionando tanto como actuando. El prrafo anterior puede llamar a engao si el lector interpreta que hay que llevar a cabo todos y cada uno de los puntos para cada amenaza. No. En la prctica lo dicho se traduce en desarrollar una poltica, unas normas y unos procedimientos junto con el despliegue de una serie de salvaguardas y controles y, ahora s, verificar que todas y cada una de las amenazas tienen una respuesta adecuada. Para ello existen las polticas de seguridad desarrolladas por la Organizacin, que ayudan a establecer las salvaguardas adecuadas. Tipos de salvaguardas Un sistema debe considerar prioritariamente las salvaguardas de tipo preventivo que buscan que la amenaza no ocurra o su dao sea despreciable. Es decir, impedir incidentes o ataques. En la prctica, no todo es previsible, ni todo lo previsible es econmicamente razonable atajarlo en sus orgenes. Tanto para enfrentar lo desconocido como para protegerse de aquello a lo que se permanece expuesto, es necesario disponer de elementos que detecten el inicio de un incidente y permitan reaccionar con presteza impidiendo que se convierta en un desastre. Tanto las medidas preventivas como las de emergencia admiten una cierta degradacin de los activos por lo que habr que disponer por ltimo de medidas de recuperacin que 55
devuelvan el valor perdido por los activos. Es de sentido comn intentar actuar de forma preventiva para que las cosas no puedan ocurrir o no puedan causar mucho dao; pero no siempre es posible y hay que estar preparados para que ocurran. Lo que no debe ser de ninguna manera es que un ataque pase inadvertido: hay que detectarlo, registrarlo y reaccionar primero con un plan de emergencia (que pare y limite el incidente) y despus con un plan de continuidad y recuperacin para regresar a donde se debe estar. Hay que recordar que conviene llegar a un cierto equilibrio entre salvaguardas tcnicas: en aplicaciones, equipos y comunicaciones salvaguardas fsicas: protegiendo el entorno de trabajo de las personas y los equipos medidas de organizacin: de prevencin y gestin de las incidencias poltica de personal: que, a fin de cuentas, es el eslabn imprescindible y ms delicado: poltica de contratacin, formacin permanente, Organizacin de reporte de incidencias, plan de reaccin y medidas disciplinarias. Una proteccin absoluta puede se imposibles por mltiples razones como son el coste, las dificultad tcnica, los lmites legales, etc. Lo que no es aceptable es del desconocimiento de una posible amenaza.
56
ACTIVO
AMENAZA
57
Muchas veces la gestin de riesgos lleva consigo nuevos anlisis de riesgos debidos a las decisiones tomadas y los proyectos de seguridad surgidos.
P1: Planificacin
Planificacin
La planificacin tiene como objetivo principal el marco general de referencia para todo el proyecto. Como objetivos complementarios se pueden identificar los siguientes: Motivar, concienciar e involucrar a la Direccin o Gerencia de la Organizacin.
sobre un sistema se expone en Magerit Versin 2. Mtodo Parte 3 (Estructuracin del proyecto). Lo que se explica a continuacin es un resumen de dicha parte de la documentacin oficial que se puede encontrar en el Ministerio de Administraciones Pblicas.
2
58
Razonar la oportunidad de realizar un proyecto AGR. Afirmar y dar a conocer la voluntad de su realizacin por parte de la Direccin. Definir los objetivos y el dominio (mbito) a abarcar en el proyecto. Crear las condiciones humanas y materiales para el buen desarrollo del proyecto.
59
En esta actividad se determinan los participantes y se estructuran los diferentes grupos y comits para llevar a cabo el proyecto. El resultado de esta actividad est constituido por: Tareas: Tarea T1.3.1: Evaluar cargas y planificar entrevistas Tarea T1.3.2: Organizar a los participantes un plan de trabajo para el proyecto AGR procedimientos de gestin de la informacin generada
60
Anlisis de riesgos
Este proceso es el ncleo central de Magerit y su correcta aplicacin condiciona la validez y utilidad de todo el proyecto. La identificacin y estimacin de los activos y de las posibles amenazas que les acechan representa una tarea compleja. Este proceso tiene los siguientes objetivos: Levantar un modelo del valor del sistema, identificando y valorando los activos relevantes. Levantar un mapa de riesgos del sistema, identificando y valorando las amenazas sobre aquellos activos. Levantar un conocimiento de la situacin actual de salvaguardas. Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto potencial (sin salvaguardas), como el impacto residual (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto). Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin salvaguardas), como el riesgo residual (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto). Mostrar al comit director las reas del sistema con mayor impacto y/o riesgo.
El punto de partida de este proceso es la documentacin del anterior referente a los objetivos del proyecto, los planes de entrevistas, la evaluacin de cargas, la composicin y reglas de actuacin del equipo de participantes, el plan de trabajo y el informe de presentacin del proyecto. Este proceso se desarrolla mediante una serie de actividades y tareas.
Tareas: Tarea T2.1.1: Identificacin de los activos Tarea T2.2.2: Dependencias entre activos Tarea T2.3.3: Valoracin de los activos El objetivo de estas tareas es reconocer los activos que componen los procesos, y definir las dependencias entre ellos. As y a partir de la informacin recopilada en la actividad anterior, esta actividad profundiza el estudio de los activos con vistas a obtener la informacin necesaria para realizar las estimaciones de riesgo.
62
Tareas: Tarea T2.4.1: Estimacin del impacto Tarea T2.4.2: Estimacin del riesgo Tarea T2.4.3: Interpretacin de los resultados
Documentacin final
De esta fase se obtienen una serie de documentos que sirven para valorar el anlisis realizado. Dichos documentos son:
Modelo de valor. Informe que detalla los activos, sus dependencias, las dimensiones en las que son valiosos y la estimacin de su valor en cada dimensin. Mapa de riesgos. Informe que detalla las amenazas significativas sobre cada activo, caracterizndolas por su frecuencia de ocurrencia y por la degradacin que causara su materializacin sobre el activo. Evaluacin de salvaguardas. Informe que detalla las salvaguardas existentes calificndolas en su eficacia para reducir el riesgo que afrontan. Estado de riesgo. Informe que detalla para cada activo el impacto y el riesgo residuales frente a cada amenaza. Informe de insuficiencias. Informe que detalla las salvaguardas necesarias pero ausentes o insuficientemente eficaces.
Gestin de riesgos
Se procesan los impactos y riesgos identificados en el proceso anterior, bien asumindolos, bien afrontndolos. Para afrontar los riesgos que se consideren inaceptables se llevar a cabo un plan de seguridad que corrija la situacin actual. Un plan de seguridad se materializa en una coleccin de programas de seguridad. Algunos programas sern sencillos, mientras que otros alcanzarn suficiente nivel de complejidad y coste como para que su ejecucin se convierta en un proyecto propiamente dicho. La serie de programas (y, en su caso, proyectos) se planifica en el tiempo por medio del denominado Plan de Seguridad que ordena y organiza las
63
actuaciones encaminadas a llevar el estado de riesgo a un punto aceptable y aceptado por la Direccin. En la gestin de riesgos se toman una serie de decisiones entre las que destacan: Elegir una estrategia para mitigar el impacto y el riesgo. Determinar las salvaguardas oportunas para la decisin anterior. Determinar la calidad necesaria para dichas salvaguardas. Disear un plan de seguridad para llevar el impacto y el riesgo a niveles aceptables. Llevar a cabo el plan de seguridad.
64
Documentacin final
La documentacin final ser el Plan de Seguridad proyectado en base al anlisis de riesgos realizado as como los informes descritos en Magerit. En relacin a la Gestin de Seguridad la Direccin de la Organizacin tiene mucho que decir y ha de aprobar todos los proyectos de seguridad planteados en el plan de seguridad.
65
Actividad A1.3: Planificacin del proyecto Tarea T1.3.1: Evaluar cargas y planificar entrevistas Tarea T1.3.2: Organizar a los participantes Tarea T1.3.3: Planificar el trabajo Actividad A1.4: Lanzamiento del proyecto Tarea T1.4.1: Adaptar los cuestionarios Tarea T1.4.2: Criterios de evaluacin Tarea T1.4.3: Recursos necesarios Tarea T1.4.4: Sensibilizacin
66
EAR
67
Introduccin
EAR1 es una herramienta informtica que soporta el anlisis y gestin de riesgos de un sistema de informacin siguiendo la metodologa Magerit. Esta herramienta est basada en otra herramienta denominada PILAR2 [MAGE05]. La diferencia entre EAR y PILAR es el pblico al que va destinado. Mientras que PILAR es de uso exclusivo del Estado y las Instituciones pertenecientes al mismo; EAR est destinada a empresas privadas y a todo aquel que desee adquirir la licencia de la misma.
PILAR
PILAR es una herramienta desarrollada bajo la especificacin del CNI3 para soportar el anlisis de riesgos de los sistemas de informacin siguiendo la metodologa Magerit. En el desarrollo de la herramienta se ha contado con la colaboracin del CCN4, estableciendo requisitos, y la Fbrica Nacional de Moneda y Timbre.
Especificaciones
Tanto PILAR como EAR estn desarrolladas en Java, pudindose emplear sobre cualquier plataforma que soporte este entorno de programacin, sin depender de licencias de productos de terceras partes. El resultado es una aplicacin grfica monopuesto5 [MAGE05]. La herramienta soporta todas las fases del mtodo Magerit: Caracterizacin de los activos: identificacin, clasificacin, dependencias y valoracin
1 2 3 4 5
Entorno de Anlisis de Riesgos Procedimiento Informtico-Lgico para el Anlisis de Riesgos Centro Nacional de Inteligencia Centro Criptolgico Nacional La aplicacin se ha de instalar en un equipo de trabajo, siendo ste el nico equipo desde el que se
68
La herramienta incorpora los catlogos del "Catlogo de Elementos" de Magerit, permitiendo una homogeneidad en los resultados del anlisis: tipos de activos dimensiones de valoracin criterios de valoracin catlogo de amenazas
Para incorporar este catlogo, EAR (as como PILAR) diferencia entre el motor de clculo de riesgos y la biblioteca de elementos, que puede ser reemplazada para seguir el paso de la evolucin en el tiempo de los catlogos de elementos. La herramienta evala el impacto y el riesgo, acumulado y repercutido, potencial y residual, presentndolo de forma que permita el anlisis de por qu se da cierto impacto o cierto riesgo. Las salvaguardas se califican por fases, permitiendo la incorporacin a un mismo modelo de diferentes situaciones temporales. Tpicamente se puede incorporar el resultado de los diferentes programas de seguridad a lo largo de la ejecucin del plan de seguridad, monitorizando la mejora del sistema. Los resultados se presentan en varios formatos: informes RTF, grficas y tablas para incorporar a hojas de clculo. De esta forma es posible elaborar diferentes tipos de informes y presentaciones de los resultados. Por ltimo, la herramienta calcula calificaciones de seguridad siguiendo los epgrafes de normas de iure o de facto de uso habitual. Cabe citarse: Criterios de Seguridad, normalizacin y conservacin UNE-ISO/IEC 17799:2005: sistemas de gestin de la seguridad RD 994/1999: datos de carcter personal
Por ltimo hay que destacar que EAR y PILAR incorporan tanto los modelos cualitativos como cuantitativos, pudiendo alternarse entre uno y otro para extraer el
69
mximo beneficio de las posibilidades tericas de cada uno de ellos. La versin de EAR que se va a usar para realizar el AGR es EAR 3.0 BETA.
Anlisis cualitativo
La herramienta permite un anlisis cualitativo, de trazo grueso, utilizando escalas simples para valorar activos, amenazas y salvaguardas [MAA06]. Un anlisis cualitativo se recomienda como primer paso, antes de entrar en un anlisis detallado. Dicho anlisis permite: Identificar los activos relevantes. Identificar las amenazas relevantes. Identificar las salvaguardas inexistentes. Determinar los activos crticos (sujetos a mximo riesgo).
Anlisis cuantitativo
La herramienta permite un anlisis cuantitativo, el cual permite [MAA06]: Detallar el valor econmico de los daos causados por las amenazas sobre los activos. Precisar la tasa esperada de ocurrencia (frecuencia). Precisar el grado de eficacia de las salvaguardas, sus coste de implantacin y de mantenimiento anual. Precisar la justificacin de un gasto en seguridad como diferencia entre lo que cuesta protegerse (ms) y lo que se arriesga perder.
70
71
La relacin entre EAR y Magerit es completa. Una de las razones por las que se ha empleado Magerit como metodologa AGR ha sido la existencia de EAR como herramienta informtica que facilita el proceso AGR y la consecucin de todos los hitos marcados. Gracias a EAR el AGR es mucho ms sencillo, dinmico y flexible; pudiendo en todo momento volver a revisar un paso anterior sin tener que dar marcha atrs, hacer el AGR de forma vertical y no horizontal (analizar una parte de los activos con sus amenazas de forma independiente del resto de activos y posteriormente volver atrs para analizar el resto de activos), ver los resultados de forma grfica o mediante indicadores6, etc.
En la ayuda contenida en la aplicacin se pueden ver los distintos indicadores y su significado. La ayuda
permite ver esto y acta de forma dinmica mediante pginas HTML que se cargan dependiendo de donde se pida la ayuda y lo que se quiera ver.
72
La parte referente a proyecto puede ser todo lo relacionado con el proceso de planificacin, mientras que los dos siguientes procesos estn definidos en la herramienta con el mismo nombre que en Magerit (A, G). En los datos del proyecto se puede poner todo aquello referente a la gestin del proyecto que se creo conveniente. As por ejemplo se puede poner el nombre del proyecto, la propietaria del mismo y/o del sistema de informacin analizado, la persona que lo lleva a cabo, la versin en la que se encuentra, la fecha o cualquier otro tipo de informacin. El subconjunto de dimensiones a analizar se define (selecciona) en el apartado D (Proyecto). Hay que recordar que Magerit define siete dimensiones diferentes, las cuales se pueden tener en cuenta en el anlisis o no.
73
Uno de los objetivos de Magerit es dar uniformidad a los informes presentados en un AGR. EAR contempla esto, soportando la creacin de todos los informes descritos en Magerit. Los informes se obtienen desde el apartado llamado con el mismo nombre (I). EAR soporta realizar el AGR frente a tres normas de calidad: ISO/IEC 17799:2005 Criterios de seguridad, normalizacin y conservacin Reglamento de medidas de seguridad
En el apartado criterios de valoracin se puede ver en que medida se cumplen cada una de las normas y donde hay que mejorar el sistema.
74
iMat
75
iMat
Desarrollo y funcionamiento
La matriculacin en una universidad es uno de los procesos ms importantes por ser la forma en que las universidades obtienen a sus clientes (alumnos). Por ello el sistema de matriculacin ha de ser rpido, dinmico y efectivo, sin obligar al alumno a hacer grandes esfuerzos a la hora de matricularse. En la Universidad Pontificia de Comillas los alumnos de primer y segundo ciclo realizan su matriculacin a travs de la Web. Este sistema adems de ser efectivo es una muestra de la modernidad y dinamismo que la universidad pretende mostrar, caractersticas que se encuentran dentro de la misin de la organizacin y, por lo tanto, es importante lograr su conservacin de forma efectiva. Actualmente la Universidad Pontificia de Comillas posee 11000 alumnos, de los cuales 7500 son alumnos de primer y segundo ciclo, de los cuales, aproximadamente, 7000 realizan la matriculacin por Internet. Por ello este sistema de informacin ha de funcionar correctamente y asegurar su disponibilidad, confidencialidad e integridad en todo momento.
Desarrollo y funcionamiento
iMat, Sistema de Matriculacin de la Universidad Pontificia de Comillas, es un sistema basado en una estructura de 3 capas: acceso a datos, lgica de negocio y presentacin claramente diferenciadas. La interfaz con el usuario se realiza mediante pginas Web desarrolladas en ASP, la lgica de negocios se encuentra encapsulada en unos componentes en COM+1 desarrollados con Visual Basic (VB) mientras que el acceso a datos se realiza con otros componentes en COM+ que actan contra una base de datos SQL Server 2000. Por consiguiente, los componentes que acceden a los datos y que tienen la lgica de negocio estn en desarrollados VB 6.0, funcionando en COM+ de tal forma que nicamente un usuario de dominio especfico tiene acceso a los datos. Los 3
controlar que las transacciones funcionen (no se quede a medias una matrcula), optimiza los hilos de ejecucin y permite configurar en el mismo servidor cual es el usuario que, por ejemplo, levanta los componentes. Algo que se suele utilizar para declarar en ese sitio cual es el usuario de NT que levanta el componente y que es el que utilizar posteriormente los componentes de acceso a datos para hacer las conexiones a la BD.
76
iMat
Desarrollo y funcionamiento
servidores Web IIS 6.0 que mantienen la Web de Comillas estn balanceados por hardware de tal forma que en funcin de la carga de uno u otro se le redirige al usuario al que menos lo este. La aplicacin, iMat, solo est instalada en los servidores Web de la Universidad. Cuando un usuario se conecta a la universidad, bien sea para realizar la matrcula, conectarse al portal de recursos, SIFO, o navegar por la Web; el sistema de la universidad almacena la direccin IP del usuario y su informacin (claves, contraseas, etc.), teniendo de esta forma control de lo que se hace en el sistema y quien lo hace. Esta informacin es almacenada en un log. La conexin a Internet es suministrada mediante dos fibras pticas gestionadas por las RedIRIS (como sucede en todas las universidades). Sin embargo, no se dispone de un proveedor de servicios secundario. Por lo tanto existe un riesgo latente en el caso de que la RedIRIS falle; hay una dependencia total en relacin a este servicio. De todos modos, hay que tener en cuenta que sin Internet la red interna s que funcionara correctamente, siendo Internet lo que dejara de funcionar.
iMat
Desarrollo y funcionamiento
Las capas que existen en iMat (y en todo sistema estructurado en tres capas) son: 1. Capa de presentacin 2. Capa de negocio. 3. Capa de Datos. La capa de presentacin es la capa mostrada al usuario. Presenta el sistema al usuario, le comunica la informacin, obteniendo tambin informacin del mismo. Para ello se ha realizar un mnimo de proceso (realizando un filtrado previo para comprobar que no hay errores de formato). Esta capa se comunica nicamente con la capa de negocio. En el caso de iMat la presentacin se realiza mediante pginas Web desarrolladas en ASP que se encuentran almacenadas en el servidor de ficheros y son mostradas a los usuarios desde los servidores Web. Como se ha comentado anteriormente, antes de comunicarse con la capa de negocio, iMat realiza un filtrado para comprobar que no hay errores de formato (como por ejemplo un DNI no vlido, un telfono incorrecto, etc.). La capa de negocio o lgica de negocio es donde residen los programas que se ejecutan, recibiendo las peticiones del usuario y enviando las respuestas tras el proceso. Se denomina capa de negocio debido a que es aqu donde se establecen todas las reglas que deben cumplirse. Esta capa se comunica con la capa de presentacin, para recibir las solicitudes y presentar los resultados, y con la capa de datos, para solicitar al gestor de base de datos el almacenamiento o recuperacin de datos de l. En iMat la lgica de negocio se encuentra encapsulada en componentes COM+ desarrollados en VB 6.02, que se encuentran en el servidor de ficheros, siendo donde se ejecutan para enviar la informacin a la capa de presentacin. La capa de datos es la capa donde residen los datos. Est formada por uno o ms gestores de bases de datos que realizan todo el almacenamiento de datos, reciben solicitudes de almacenamiento o recuperacin de informacin desde la capa de negocio. En UPCO3, el gestor de bases de datos es SQL Server 2000, habiendo una nica base de datos donde reside toda la informacin acadmica de la universidad y a la que acceden todas aquellas aplicaciones que necesiten usar dicha informacin, incluyendo a iMat.
2 3
78
iMat
Desarrollo y funcionamiento
Todas estas capas pueden residir en un nico ordenador, si bien lo ms usual es que haya una multitud de ordenadores donde reside la capa de presentacin (clientes en una arquitectura cliente/servidor). Las capas de negocio y de datos pueden residir en el mismo ordenador, y si el crecimiento de las necesidades lo aconseja se pueden separar en dos o mas ordenadores. As, si el tamao o complejidad de la base de datos aumenta, se puede separar en varios ordenadores los cuales recibirn las peticiones del ordenador en que resida la capa de negocio.
Si fuese la complejidad en la capa de negocio lo que obligase a la separacin, esta capa de negocio podra residir en uno o ms ordenadores que realizaran solicitudes a una nica base de datos. En el caso de iMat la capa de presentacin se encuentra en los tres servidores Web IIS 6.0, la capa de negocio en el servidor de ficheros y la de datos en el servidor de datos (donde reside la base de datos); existiendo un servidor de balanceo para gestionar las conexiones con los clientes. Todo lo relativo a los servidores se encuentra explicado ms adelante. En una arquitectura de tres niveles, los trminos capas y niveles no significan lo mismo ni son similares. El trmino capa hace referencia a la forma como una solucin es segmentada desde el punto de vista lgico (Presentacin/ Lgica de Negocio/ Datos).
79
iMat
Desarrollo y funcionamiento
En cambio, el trmino nivel, corresponde a la forma en que las capas lgicas se encuentran distribuidas de forma fsica.
4 5
80
iMat
Desarrollo y funcionamiento
Funcionamiento
El sistema de Matriculacin funciona, bsicamente, del siguiente modo: en funcin del alumno validado con su clave y contrasea se estudia su expediente y las normas que establecen al respecto cada facultad o escuela, una vez comparado su expediente contra estas normas al alumno se le categoriza de tal forma que lleva implcita la oferta de asignaturas de la que puede matricularse. Una vez presentada la oferta de asignaturas, el alumno podr seleccionar de entre ellas las que considere y se le comprueba que est dentro de los intervalos de crditos establecidos. Si lo vemos desde el punto de vista del hardware, el alumno se valida y es aceptado por el servidor de balanceo, una vez comprobada la validacin comparando la informacin con la base de datos. Al ser aceptado el servidor de balanceo le reenva al servidor Web que considera mejor en ese momento. Una vez en el servidor Web el alumno solicita la informacin que desea, si esa informacin es de la universidad se busca en el servidor de ficheros y se devuelve al usuario (que est en un servidor Web); si la informacin no es de la universidad, se busca en Internet (protegido por el firewall) y se muestra al alumno pasando por el servidor de balanceo y Web. En el caso de iMat las pginas ASP se buscan en el servidor de ficheros y la informacin en la base de datos (servidor de datos). iMat tiene su grado mximo de utilizacin en los meses de septiembre y octubre, cuando se realizan ms matrculas. En estos meses pueden llegar a alcanzarse hasta 1000 accesos en un mismo da. Existe una demanda potencial al ao de 7500 alumnos que pueden usar dicha aplicacin, siendo usada por aproximadamente 7000 de ellos. Comillas posee 11000 alumnos de los cuales 7500 son de primer y segundo ciclos, que son los clientes potenciales de iMat. El resto pertenecen a doctorados o postgrados.
81
iMat
Servidores
Servidores
iMat se ayuda de tres servidores balanceados para desempear sus funciones. Los tres servidores Web IIS 6.0 que mantienen la Web de Comillas estn balanceados por hardware (mediante un servidor de balanceo) de tal forma que en funcin de la carga de uno u otro se redirige al usuario al servidor que menos cargado se encuentre. Dichos servidores no se usan en exclusiva para iMat sino para la Web en general, y en consecuencia para iMat entre otras muchas aplicaciones. Cada servidor Web es capaz de soportar 20000 conexiones. La informacin se encuentra en el servidor de Base de Datos de Produccin, en un nico sitio y en consecuencia a esa base de datos acceden otras aplicaciones, como por ejemplo la aplicacin de gestin acadmica (utilizada en Secretaria General) que accede a la misma informacin. Por este motivo no es necesario para la secretaria general saber la clave de los alumnos para acceder a los datos de los mismos. Para acceder a la informacin de los alumnos se ayudan de buscadores capaces de acceder a los datos mediante el nombre, DNI, apellidos,... carreras,... etc. Una vez seleccionado al alumno, acceden a toda su informacin acadmica, incluyendo su matrcula. Agrupando los servidores se puede decir que hay: Un servidor de balanceo, para distribuir la carga de trabajo entre los servidores de presentacin. Tres servidores de presentacin (Web), para presentar la informacin solicitada por los usuarios en pginas ASP. Un servidor de datos, para gestionar la informacin manejada por el sistema. Un servidor de ficheros, donde se encuentran algunas aplicaciones instaladas y que se comunica con los servidores de Web para dar informacin que se presentar ms tarde. En este servidor es donde se encuentra, entre otras aplicaciones, iMat instalada y funcionando. Las pginas Web que se cargan en los servidores de presentacin se encuentran almacenadas en el servidor de ficheros. Este servidor es el que lleva la lgica de negocio.
82
iMat
Servidores
Seguridad y localizacin
Los servidores se encuentran en la sede de Alberto Aguilera 23, 3 planta, en una habitacin especial con acceso autorizado exclusivamente por tarjeta. La tarjeta de acceso solamente la posee el personal autorizado. Dicha habitacin cuenta con un sistema antiincendios; est protegida mediante alarma y se mantiene a una temperatura especial. El tamao de dicha habitacin es de aproximadamente 12 m2. El servidor de datos y el de componentes se sitan detrs de un firewall, as como el acceso a los datos se hace a travs del usuario que levanta, que esta configurado en COM+ para evitar informacin incoherente en caso de que el usuario se caiga del sistema. Por este motivo nicamente un usuario de dominio especfico1 tiene acceso a los datos. El modelo de tres capas deja ver que el servidor que gestiona la carga de trabajo y balancea el resto de servidores es un elemento crtico en el sistema. A su vez el servidor de datos no posee un soporte de seguridad inmediato. En relacin a la informacin almacenada en el servidor de datos se realiza una copia de seguridad cada 5 minutos a otro servidor localizado en Alberto Aguilera 25 (AA25). A su vez cada hora se realiza un Back-up de seguridad. En caso de error en el servidor de datos, el servidor de datos secundario situado en AA25 no se suele utilizar por tener que iniciarse el cambio de servidor de forma manual. Se considera menos costoso perder unas horas en arreglar el principal y volver a ponerlo en funcionamiento que cambiar de servidor. Si se diese el caso lo mximo que se puede perder son 5 minutos de informacin, ya que es el periodo transcurrido entre cada volcado al servidor secundario. Como ya se ha comentado, cada servidor Web pueden tener hasta 20000 conexiones a la vez. En total se pueden servir a 60000 conexiones en el mismo instante. Esa es la frontera que posee el sistema de Comillas (no iMat). Esta barrera est considerada como inalcanzable. Sin embargo en el caso terico que se alcanzase no hay ningn procedimiento, mecanismo, etc. que corte las conexiones entrantes.
Por usuario de dominio especfico se entiende que slo puede haber un usuario con la misma clave
conectado al sistema a la vez. La clave de una alumno es lo que vulgarmente se entiende como usuario; en el caso de la universidad esa clave es el nmero de alumno.
83
iMat
Servidores
iMat Balanceador de carga. Alteon AD3. 8 puerto 10/100 + 1 puerto 1000 SX (Fibra) Servidor replicacin base de datos. Inves Pentium 4 HT. 2 GB RAM. Disco sistema. Disco datos
Servidores
85
iMat
Datos/Informacin
Datos / Informacin
Como se ha explicado anteriormente, la informacin acadmica que se maneja es la misma para todas las aplicaciones de la universidad, obteniendo la informacin del mismo servidor de datos. El servicio responsable de la gestin y mantenimiento de los datos es el servicio de Gestin Acadmica (Secretaria General). Dicho servicio tiene acceso a toda la informacin. Por lo tanto el sistema de matriculacin (iMat) no es el responsable de mantener la informacin, simplemente se encarga de obtener la necesaria para cada usuario y gestiona las partes implicadas en la matriculacin. A la hora de hacer la matrcula, cada alumno ha de realizar la suya propia, pudiendo llegar a modificarla, sin intervencin del servicio de Gestin Acadmica, en tres ocasiones. Si necesita o quiere modificarlo ms veces debe solicitarlo en Gestin Acadmica que le conceder o negar el permiso. Para poder conceder o denegar el permiso es necesario logarse con un usuario de SG que tenga acceso a dicho privilegio (no todos los usuarios de SG tienen este permiso). Lgicamente los usuarios con permiso para modificar la informacin de los alumnos pueden modificar y acceder a la informacin de las matrculas (o a cualquier otra informacin) las veces que quieran. Es importante saber distinguir entre el servicio de Gestin Acadmica y el Servicio de Matriculacin. Ambos estn estrechamente relacionados, pero cada uno tiene un campo de accin definido con respecto a los datos (informacin). El sistema de matriculacin, iMat, lo nico (aunque muy importante) que hace es cargar informacin sobre as matrculas de los alumnos y gestionar stas, pero otra cosa es la gestin o visualizacin que se haga de los datos desde otros sistemas (con otros usuarios). En el momento en que el usuario que accede a la matrcula (de forma legal y admitida por el sistema) no es el alumno al que pertenece, es porque el acceso se hace con un usuario, del servicio de Gestin Acadmica normalmente, siendo este sistema el que est usando los datos (no iMat). iMat se encarga del proceso de matriculacin del alumno, pero en ningn momento de los datos del mismo. Los nicos datos modificados por iMat son los relativos a la matrcula del alumno que ha accedido al sistema de matriculacin. Ya se ha especificado anteriormente que la autenticacin se realiza mediante usuario (nmero de alumno) y contrasea. A su vez, mediante componentes COM+, se verifica que cada usuario slo pueda tener levantada una sesin al mismo tiempo. Estos componentes COM+ se encuentran situados en la capa de negocio. 86
iMat
Datos/Informacin
Para acortar el alcance del sistema a analizar se va a tener en cuenta el acceso hecho por los alumnos y los becarios. En relacin a SG, slo se va a tener en cuenta lo relacionado con la matriculacin (permisos de modificacin).
87
iMat
Seguridad de la Informacin
Seguridad de la informacin
Con relacin a la seguridad de la informacin se realiza un backup diario del servidor de Base de Datos, donde se encuentra dicha informacin. Este Backup se hace en cintas. Para el ltimo mes (es ms reciente) se guardan las cintas de todos los das. El resto de los meses poseen un Backup mensual. Para mayor seguridad tambin se realiza un Backup trimestral y anual. En resumen: Realizacin de un Backup diario en cintas. Almacenamiento diario de los backups del ltimo mes. Almacenamiento de la informacin del resto de los meses (en tres cintas). Almacenamiento de la informacin trimestral (en cuatro cintas). Almacenamiento de la informacin anual (en tres cintas).
Estos backups, realizados en cintas, se guardan en una caja de seguridad especial, antimagntica y antiincendios. La llave de seguridad de dicha caja slo a posee el personal autorizado. El servidor de datos cuenta con un servidor de back-up situado en Alberto Aguilera 25. Cada cinco minutos se realiza una copia entera del servidor al servidor de back-up para, en caso de error en el servidor de datos, no perder la informacin. Como mucho se pueden perder cinco minutos. iMat est programado en VB 6.0 y se almacenan copias de seguridad de versiones anteriores mediante Microsoft Visual Sourcesafe. Este programa permite volver e versiones anteriores de programa o cdigo en caso de fallo en la versin actual. Se han hecho algunas pruebas para comprobar que esta regresin es posible aunque en momentos excepcionales, sin llegar a establecer un mtodo formal para pruebas de regresin. En lo referente al acceso a iMat, la conexin se realiza mediante HTTPS, inicindose con un proceso de validacin en el que se pide el usuario y su contrasea. La informacin se enva a los servidores de forma cifrada y mediante componentes COM+ para garantizar su integridad. Si la conexin se realiza dentro desde un ordenador de la universidad, no se sale de la Intranet de la organizacin (conexin ms rpida y segura). Si por el contrario se realiza 88
iMat
Seguridad de la Informacin
desde otra localizacin, la conexin usa Internet para enviar los datos. Para garantizar la disponibilidad de la informacin y que se pueda siempre realizar esta conexin, la universidad dispone de una conexin de fibra ptica suministrada por la RedIRIS. Esta conexin posee una conexin de back-up que acta de modo redundante por si falla la otra conexin. En caso de que la universidad se quedase sin conexin a Internet, los alumnos que lo sufriran seran nicamente los que se quisiesen matricular desde casa. Si se quiere matricular desde la universidad sera posible por estar usando slo la Intranet. Por ello es importante saber que el nmero de alumnos que realizan su matrcula en lugares diferentes a la universidad est aumentando ao a ao por la comodidad que supone, por lo que garantizar Internet es algo fundamental hoy en da.
89
iMat
90
iMat
Una vez se ha comprobado la autenticidad y validez del usuario (alumno) se comprueba la carrera que est haciendo para mostrar en pantalla una respuesta positiva a la validacin.
91
iMat
Se comprueban los datos que se han de cargar para la matriculacin del alumno (asignaturas de prximo curso, asignaturas pendientes, itinerarios, etc.), as como las reglas y restricciones existentes (mximo nmero de crditos permitidos, seleccin de un solo itinerario, restriccin de asignaturas por no haber cursado algunas previas, etc.). Todas estas restricciones se le muestran al alumno para facilitarle la matriculacin.
92
iMat
El siguiente paso es el ncleo central para el alumno: la seleccin de las asignaturas. Una vez el alumno ha decidido las asignaturas y pulsado el botn para pasar a la siguiente fase, iMat ha de comprobar que todas las reglas se cumplen.
Figura 20. iMat, Presentacin por parte de iMat de las asignaturas seleccionadas.
93
iMat
A continuacin se le piden al alumno unos datos para completar la matrcula. Hay que recordar que hasta la ltima pantalla, donde se dice claramente que la matrcula ha sido aceptada, no termina el proceso de matriculacin y, por consiguiente, la matrcula no es vlida hasta ese momento.
94
iMat
95
iMat
Posibles riesgos
iMat es considerado un subsistema seguro dentro del sistema de informacin de la universidad. Los riesgos descritos a continuacin son los considerados por el personal de STIC, encargado de gestionar y administrar iMat, antes de realizar el AGR sobre el sistema. Aunque lograr que iMat no funcionase correctamente sera tremendamente difcil, podra darse el caso que no todos los posibles escenarios estuviesen cubiertos o tenidos en consideracin. Ese es el objetivo del anlisis y gestin de riesgos, lograr que el sistema sea todo lo seguro que la organizacin est dispuesta a asumir (en relacin a los costes que esto supondra). A ser un ejemplo terico se va a considerar que se busca la lograr que el sistema sea lo ms seguro posible, en trminos tericos. Un posible mal funcionamiento del sistema provocara que los alumnos no pudiesen matricularse, con el descontento que esto provocara. Ese descontento se traducira en prdida de clientes y beneficios para la universidad y, lo que es ms importante a largo plazo, una prdida de imagen enorme. Algunos errores tipo de errores podran darse a la hora de calcular el precio de la matrcula o al presentar la oferta de asignaturas, si esto no fuese correcto podran darse casos de matrculas incorrectas e invlidas que el sistema aceptara, el alumno realizara pero la universidad rechazara. Los fallos que se consideran en STIC que pueden llegar a darse son los que tienen que ver con la presentacin de las pginas presentadas. Puede que algn campo no est controlado, que no se hayan capado los valores que provocaran errores (ej. DNI demasiado largo). Es importante recordar que iMat tambin controla el nivel de ocupacin de los grupos de asignaturas optativas y de libre eleccin para decidir si se presentan o no. Si se presentasen asignaturas que estuvieran llenas o que no fuesen vlidas podran darse casos de matrculas invlidas. Otro tipo de errores podran darse en los equipos, provocados por un estudio insuficiente de la dimensin del sistema y los equipos necesarios para su correcto funcionamiento, por un accidente en las instalaciones o por un error en los equipos. La conexin a Internet es suministrada mediante dos fibras pticas gestionadas por las RedIRIS (como a todas las universidades). No se dispone de un proveedor secundario. 96
iMat
Por lo tanto hay un riesgo latente en el caso de que la RedIRIS falle, hay una dependencia total en relacin a este servicio. Hay que tener en cuenta que sin Internet la red interna (Intranet) s que funcionara correctamente. Todos los posibles riesgos han de ser estudiados en un Anlisis y Gestin de Riesgos, siendo el propsito del siguiente captulo.
97
El objetivo de este anlisis y gestin de riesgos es plasmar mediante un ejemplo la forma en la que se ha de realizar un AGR. El sistema de informacin a analizar es iMat, explicado en el captulo anterior. En cada una de las actividades y tareas a realizar se va a explicar en qu consiste, qu se ha de alcanzar y cmo hacerlo. EAR es la herramienta informtica que se va a usar para llevar a cabo el AGR siguiendo la metodologa Magerit.
P1: Planificacin
A1.1: Estudio de oportunidad
El objetivo de esta actividad es lograr sensibilizar a la Direccin de la Organizacin de la necesidad de elaborar un proyecto AGR.
99
El sistema de matriculacin, iMat, de la Universidad Pontificia de Comillas (Organizacin) es el medio por el cual se realizan las matrculas en la universidad. El mtodo alternativo es realizar la matricula en Secretaria General de forma manual; mtodo lento, con mayor posibilidad a fallos y que supone un coste de tiempo y personal grande para la universidad en periodos de matriculacin. El servicio facilita la realizacin y modificacin de la matrcula a travs de la intranet de la universidad o desde cualquier otro lugar. Slo se necesita tener un ordenador con acceso a Internet e introducir el usuario y la contrasea necesaria para acceder a la informacin acadmica del alumno y hacer la matrcula. Dependiendo del alumno las posibilidades que se le ofrecen varan, incluyendo el nmero de crditos que de los que puede matricularse, las asignaturas que puede cursar, etc. Si en algn momento iMat o los datos necesarios fallan, la matriculacin de todos los alumnos puede llegar a ser catica, principalmente si esto pasa en verano (de junio a septiembre), octubre o febrero, donde el nmero de matrculas a realizar puede llegar a ascender hasta un nmero mximo potencial de 7500. La nica alternativa posible sera encargar al personal de Secretaria (Gestin Acadmica) la realizacin de las matrculas manualmente ayudndose de personal temporal que habra que contratar para este servicio. Los gastos derivados en tiempo perdido por el personal que desviara su actividad principal a este propsito, as las prdidas econmicas por prdidas de futuros alumnos y lo que puede llegar a ser ms importante: el dao de imagen que causara a la universidad (no hay que olvidar que una universidad se alimenta del prestigio que posee de cara a la sociedad). Hasta la fecha los nicos momentos crticos que se recuerdan son fallos puntuales de los servidores Web, pero nunca se pueden descartar los riesgos potenciales. Cabe destacar que durante los meses de septiembre y octubre, meses crticos para iMat, pueden llegar a producirse 1000 accesos diarios a iMat (creacin, modificacin y/o visualizacin de matrculas). Anualmente se realizan aproximadamente 7000 matrculas usando iMat sobre las 7500 potenciales. Comillas posee 11000 alumnos aproximadamente, de los cuales 7500 son de primer o segundo ciclo y el resto pertenecen a postgrado o doctorado. Estos ltimos no usan iMat. Del mismo modo existen aplicaciones como iMatBecarios o aplicaciones especiales 100
para personal autorizado (directores, decanos, etc.) que se apoyan en los servicios de iMat para crear funciones especiales. Por ejemplo iMatBecarios es la aplicacin usada por los becarios, en los periodos de matriculacin, que les permite visualizar las matrculas de los alumnos para imprimirla y agilizar el proceso de presentacin en Secretaria General (SG). Los directores de departamentos pueden usar una aplicacin que les permite ver las asignaturas de libre eleccin en tiempo real para ver su grado de ocupacin y poder gestionar dichas asignaturas de forma mejor. Por todo ello se considera la necesidad de llevar a cabo un anlisis y gestin de riesgos sobre iMat y los datos que maneja para reducir los posibles riesgos al mnimo as como ayudar a saber que hacer en caso de fallo, solventando dicho fallo en el menor tiempo posible.
Comit de seguimiento1
Director del proyecto (Isdefe2 - Departamento de Seguridad): Ramn Arias Ruiz de Somavia (rarias@isdefe.es) Promotor y analista: Eduardo Ferrero Recasns (eduardo.ferrero.recasens@gmail.com) Subdirector de STIC3; y Coordinador del grupo de trabajo de la Web de Comillas: Jos Mara Ortiz Lozano (jmortiz@stic.upcomillas.es)
En este caso el comit est formado por las personas que han colaborado de forma activa en el proyecto.
Es un comit informal que para el ejemplo se considera vlido, aunque en la prctica habra que establecer formalmente a los participantes en el proyecto y sus responsabilidades.
2
Isdefe (Ingeniera de Sistemas para la Defensa de Espaa, S.A.). Empresa pblica espaola creada en el
ao 1985 con objeto de proporcionar apoyo tcnico de ingeniera y servicios de consultora en tecnologas avanzadas, tanto en el sector de defensa como en el mbito civil. (http://www.isdefe.es)
3
Pontificia de Comillas.
101
102
acceder al sistema de Gestin Acadmica e imprimir las matrculas, as como para otorgar ms permisos de modificacin de matrcula. Durante los periodos de matriculacin se suelen facilitar unos ordenadores en el pasillo del edificio de ICADE (Alberto Aguilera 25) que son usados en exclusiva para realizar las matrculas. Al lado de estos ordenadores se instala el puesto de trabajo de los becarios que ayudan en el proceso de matriculacin (dicho puesto consta de ordenadores e impresora). Este montaje temporal se tendr en cuenta, pero siempre sabiendo que no es un elemento imprescindible para la realizacin de matrculas.
Seguridad de la Informacin. Noviembre de 2005. Se aplicar esta norma por ser la usada en EAR 3.0 BETA, herramienta usada en el anlisis.
104
Restricciones Polticas o gerenciales Al tratarse de un ejemplo no se considera este factor. El sistema influye en gran medida en el prestigio de la Estratgicas Universidad por el la forma en que alumnos (nuevos o no) realizan su matrcula. Es la imagen inicial de la universidad de cara al pblico. Geogrficas La informacin y el centro de procesos del sistema se encuentra en Alberto Aguilera 23, tercera planta El proyecto ha de acabarse antes del periodo de matriculacin para dar a conocer los datos del mismo al STIC (al ser un ejemplo no se va a poner en prctica). Temporales Los periodos crticos de matriculacin: Desde Junio hasta Octubre (incluidos) y Febrero. La informacin que maneja iMat ha de estar actualizada en tiempo real para evitar inconsistencias.
UNE 71501: Tecnologa de la informacin (TI). Gua para la Gestin de la Seguridad de TI. Noviembre
de 2001. Norma creada por AENOR. Esta norma se divide en tres partes: Parte 1: Conceptos y modelos para la Seguridad de TI. Parte 2. Gestin y planificacin de la seguridad de TI. Parte 3: Tcnicas para la gestin de la seguridad de TI.
105
iMat es la forma de realizar la matrcula para alumnos de licenciaturas y diplomaturas. No existe otro mtodo vlido a menos que iMat falle. Estructurales Los datos manejados por iMat son los que se usan para todos los sistemas de la universidad que necesiten informacin del mismo tipo (acerca de los alumnos). iMat es la forma de captar alumnos y crecer. Funcionales El funcionamiento correcto de iMat permite liberar carga de trabajo al personal de SG y escuelas. La informacin manejada se rige por la LOPD3, por Legales lo que ha de cumplir unos controles concretos y ser manejada correctamente. El Servicio de Gestin Acadmica usa el sistema para apoyarse en la gestin de los datos de los alumnos. Relacionadas con el personal Becarios, profesores, directores, han de poder desempear sus funciones relacionadas con la matriculacin. Los datos manejados por iMat son los que se usan Metodolgicas para todos los sistemas de la universidad que necesiten informacin del mismo tipo (acerca de los alumnos, asignaturas, etc.). Culturales Poltica de innovacin adoptada por la universidad de cara al pblico.
106
Presupuestarias
Control
Entrada
Actividad
Salida
Mecanismos
El tipo de diagrama de procesos usado es SADT (Structured Analysis and Design Technique).
107
Clave y contrasea
Adquisicin de permisos
Clave alumno
Imprimir matrcula
3
Matrcula imprimida
108
Alumno de la universidad o aceptado y situacin Grado de ocupacin de las asignaturas Clave y contrasea alumno
Asignaturas seleccionadas
Seleccin de asignaturas
2
Confirmacin matrcula
3
Gestin de asignaturas
4
**
* Se estudia el expediente del alumno y las normas que se establecen al respecto cada facultad o escuela. Una vez comparado su expediente contra estas normas al alumno se le categoriza de tal forma que lleva implcita la oferta de asignaturas de la que puede matricularse. ** Confirmacin o liberacin de la reserva de las asignaturas
109
Modificacin de la matrcula
Matrcula existente
Modificar
Nuevas asignaturas seleccionadas
matrcula
Confirmacin
Aceptacin / Rechazo
matrcula
Gestin de asignaturas
4
No siempre es posible modificar la matrcula por parte de un alumno. Un alumno puede modificar su matrcula tres veces. Si desea hacerlo ms veces ha de solicitarlo en SG, otorgndole ms modificaciones (una cada vez que lo solicita). Las unidades involucradas en el sistema de matriculacin son: STIC, encargado de gestionar iMat y mantener su correcto funcionamiento. SG, encargada del proceso y gestin de matriculacin de los alumnos. A su vez es la que otorga nuevos permisos para la modificacin de la matrcula a los alumnos.
110
Departamentos que usan la informacin (directores de departamento, jefes de estudio, becarios, etc.). El dominio del sistema engloba principalmente el uso de los servidores y las aplicaciones que facilitan todas las funcionalidades existentes en el proceso de matriculacin. Entre estas funcionalidades ya se han comentado algunas como iMatBecarios, aplicaciones para la gestin por parte de directores de departamento o jefes de estudio, as como la propia aplicacin de matriculacin (iMat propiamente dicho). A su vez se considera que el personal no es objeto de estudio por su movilidad e implicacin parcial en este sistema, teniendo otras funciones principales. Como ya se ha comentado anteriormente, se considera que las aulas de informtica no son objeto del dominio por poder usar todos los ordenadores de la escuela o los de cualquier lugar (casa, oficina, cibercaf). Sin embargo, s se van a tener en cuenta los ordenadores facilitados exclusivamente para la matriculacin. Dichos ordenadores, as como el puesto de becarios, se encuentra situado en el pasillo de la planta baja de Alberto Aguilera 23. En los diagramas de procesos realizados se ha podido comprobar que lo nico imprescindible para la existencia de iMat son los servidores y las aplicaciones especficas. Esto se explicar en la parte de anlisis del sistema. Los datos, aunque esencial, no son propios de iMat, a pesar de que s se van a tener en cuenta a la hora de realizar el anlisis.
111
Para realizar la identificacin del entorno se van a usar diagramas de flujo de datos y proceso. Con los diagramas de flujo de datos se podrn identificar los movimientos de informacin que se realizan en el sistema. As mismo, los diagramas de proceso, hechos en la tarea T1.2.2, nos sirven para identificar las distintas actividades. Todos los diagramas estn acotados al problema que nos interesa, obviando el resto de informacin, procesos o funcionalidades que puedan existir. Diagramas de flujo de datos[BARR01] [MAGE05]
a Alumnos Autenticacin M atrcula Datos Bancarios Confirmacin OK Datos alumno M atrcula b Secretaria general (SG)
c Escuelas y departamentos
OK M odif. asig.
OK
d Becarios
112
Autenticacin
1.1
OK
M atrcula
1.4 Info. Asig. Sistema M atrculacin Becarios Sistema M atriculacin Escuelas M odif. asig.
Sistema SG
113
A utenticacin
Datos alumno
1.1.2
Permisos
Datos alumno
D1
A lumnos
D2
Personal
D3
Reglas y Escuelas
1.1.3
O btencin de permisos
O K
114
1.2.1
1.2.2
Comprobacin de matrcula
Reglas a aplicar
D1 Alumnos
Reglas D3 y Escuelas
M atrcula
1.2.4
1.2.3
O K/REJ_iM at
Confirmacin
Datos Bancarios
Confirmacin
Datos Bancarios
1.3.2
Imprimir matrcula
M atrcula
D1
Alumnos
115
Asignatura
Reglas D3 y Escuelas
OK
Datos alumno
Info. alumno
D1 Alumnos
116
117
118
Explicacin de la gestin de la seguridad de TI. Marzo: Explicacin de iMat y planificacin del proyecto. Hasta el 20 de Febrero: Explicacin de MAGERIT y definicin detallada del ejemplo terico que se va a analizar. Abril: Caracterizacin de los activos. Caracterizacin de las amenazas. Caracterizacin de las salvaguardas. Estimacin del estado de riesgo. Mayo: Gestin de riesgos: Seleccin de las salvaguardas ISO, plan de seguridad (planificacin). Conclusin y revisin del proyecto.
119
120
Determinar los niveles de valoracin de activos. Incluyendo una gua unificada de criterios para asignar un cierto nivel a un cierto activo. Determinar los niveles de valoracin de las amenazas: Frecuencia y degradacin. Un activo puede ser valioso desde diferentes puntos de vista. A estos distintos puntos de vista es a lo que se llama dimensiones. Un aspecto, diferenciado de otros posibles aspectos, respecto del que podemos medir el valor de un activo en el sentido del perjuicio que nos causara su prdida de valor. (Definicin de dimensin segn Magerit) [MAGE05]. Las dimensiones definidas por Magerit son [MAGE05]: Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados. Integridad. Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento. Confidencialidad. Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso. Autenticidad. Aseguramiento de la identidad u origen. Trazabilidad (accountability). Aseguramiento de que en todo momento se podr determinar quin hizo qu y en qu momento. Esta ltima se ha aadido debido a la importancia de saber que se hace con los datos y quien lo hace en cada momento. Las dos ltimas cada vez estn siendo ms importantes en contextos como el comercio electrnico o la administracin electrnica. EAR, de acuerdo con las especificaciones realizadas en Magerit, divide estas cuatro dimensiones en siete. [D] Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.
121
[C] Confidencialidad. Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso.
[T_S] Trazabilidad del servicio. Aseguramiento de que en todo momento podremos determinar quin hizo qu y en qu momento.
[T_D] Trazabilidad de los datos. Aseguramiento de que en todo momento podremos determinar quin hizo qu y en qu momento.
En el AGR1 que se va a realizar se van a tener en cuenta las dimensiones D, I, C. Estas son las dimensiones que se tienen en cuenta normalmente en las organizaciones as como en la OTAN o ISDEFE. Las amenazas que se van a contemplar son las especificadas en Magerit y recomendadas por la UNE-ISO/IEC 177992. De estas amenazas se van a suprimir las que se consideran no factibles o irrelevantes para el estudio del sistema. En el aparatado A2.2 se especificarn y estudiarn con mayor detalle las amenazas a considerar.
1 2
AGR: Anlisis y Gestin de Riesgos. UNE-ISO/IEC 17799 Tecnologa de la informacin. Cdigo de buenas prcticas para la Gestin de la
Seguridad de la Informacin.
122
T1.4.4: Sensibilizacin
En esta tarea se han de entregar los informes pertinentes a la direccin, informar de las intenciones y objetivos perseguidos con la realizacin del proyecto, etc. Objetivos Informar a las unidades afectadas. Crear un ambiente de conocimiento general de los objetivos, responsables y plazos. En el caso del proyecto que nos ocupa esta tarea no se puede realizar por no existir direccin alguna. Para compensar esto se ha acordado aprobar los objetivos del proyecto por parte de todos los implicados.
123
Anlisis de Riesgos
124
Es frecuente que las tareas relacionadas con los activos se realicen concurrentemente con las tareas relacionadas con las amenazas sobre dichos activos (A2.2) e identificacin de las salvaguardas actuales (A2.3), simplemente porque suelen coincidir las personas y es difcil que el interlocutor no tienda de forma natural a tratar cada activo verticalmente, viendo todo lo que le afecta antes de pasar al siguiente.
125
Los datos/informacin es lo que se pretende proteger en ltima instancia. Por este motivo la informacin merece una clasificacin ms detallada: Datos / Informacin [per]datos de carcter personal [com] de inters comercial [adm] administracin pblica [int] administracin interna [conf] configuracin
126
Los datos pueden ser de varios tipos segn la clasificacin de confidencialidad que se les otorgue: [S] Secretos [R] Reservados [C] Confidenciales [DL] De difusin limitada [SC] Sin clasificar
Los activos en iMat son: [S] Servicios [MAT] Matriculacin [IMPR_BEC] Impresin Becarios [I] Informacin [I_A] Informacin Alumnos [I_B] Informacin Becarios [I_ASIG] Informacin Asignaturas [I_DEP] Informacin departamentos [I_STIC] Informacin STIC [I_CONF] Informacin de configuracin [I_LOG] Informacin de Log [I_COD] Cdigo Fuente [A] Aplicaciones [IMAT] iMat [IMATBEC] iMatbecarios [SW_BASE] Software base [BBDD] SQL Server 2000
[SO] Sistema Operativo [VB] Visual Basic 6.0 [E] Equipamiento [SERV] Servidores [SERV_DAT] Servidor de Datos [SERV_BAL] Servidor de balanceo [SERV_FICH] Servidor de Ficheros [SERV_WEB] Servidores Web [SERV_BACK] Servidor de back-up [IMP_BEC] Impresora becarios [PC_BEC] PC Becarios [PC_MAT] PC Matriculacin [SWITCH] Switch [CAJ_SEG] Caja de Seguridad [LAN] Red de rea local [INT] Internet [FIRE] Firewall [POWER] Sistema de alimentacin [POWER_AA23] Sistema de Alimentacin de la sala de servidores [POWER_AA25] Sistema alimentacin sala auxiliar [TEMP] Sistema de climatizacin [TEMP_AA23] Sistema de climatizacin de la sala de servidores [TEMP_AA25] sistema climatizacin sala auxiliar [L] Locales [SERV_AA23] Servidores [SERV_AA25] Servidor auxiliar [BEC_AA21] Emplazamiento becarios [P] Personal [ADM] Administradores [SG] Secretara General [BEC] Becarios [ALUM] Alumnos
Para ver con ms detalle los activos mirar el modelo de valor, situado en el anexo informes.
Servicios
Informacin (datos)
Equipamiento (HW)
Locales
Figura 35. Dependencia entre activos [MAA06]
Para realizar esto se tienen en cuenta la tarea anterior (T2.1.1) as como los diagramas de flujo y de procesos realizados en la planificacin. La figura 35 muestra la
dependencia entre activos de forma general. Se puede comprobar como los servicios dados por el sistema de informacin dependen de forma directa de la informacin manejada y las aplicaciones usadas; y de forma indirecta de todos los activos del sistema. Por este motivo la valoracin posterior deber hacerse en los activos de nivel superior (servicios e informacin), dejando que las dependencias den la valoracin al resto de activos. Si se han hecho entrevistas o se ha tenido la posibilidad de realiza una valoracin Delphi1 tambin es conveniente tenerlas en cuenta. En el caso de iMat se han realizado entrevistas.
Valoracin Delphi. Tcnica cualitativa que permite abordar y comprender con una alta precisin
problemas complejos. Para ello se cuenta con un comit de expertos que identifican los problemas y las posibles soluciones a realizar. Cada experto valora el problema de forma individual mediante cuestionarios u otras tcnicas y posteriormente se da a todos a conocer el resultado para obtener un consenso.
Valor 10 7-9 4-6 1-3 0 Muy alto Alto Medio Bajo Despreciable
Criterio Dao muy grave a la organizacin Dao grave a la organizacin Dao importante a la organizacin Dao menor a la organizacin Irrelevante a efectos prcticos
El modelo de valor de iMat se puede encontrar como anexo, donde se detalla todo lo referente a los activos de iMat. Hay que tener en cuenta que tanto la caracterizacin de activos como sus relaciones de dependencia y valoracin, son tareas subjetivas que, a pesar de tener informacin para hacerlas, dependen del analista y su forma de entender el sistema. No hay dos modelos de valor iguales. La valoracin de los activos estudiados y clasificados en iMat es la que se muestra a continuacin: ACTIVO [S] Servicios [MAT] Matriculacin [IMPR_BEC] Impresin Becarios [I] Informacin [I_A] Informacin Alumnos [I_B] Informacin Becarios [I_ASIG] Informacin Asignaturas [I_DEP] Informacin departamentos [I_STIC] Informacin STIC [I_CONF] Informacin de configuracin [3] [3] [2] [1] [6] [7] [3] [D] [I] [C]
[I_LOG] Informacin de Log [I_COD] Cdigo Fuente [A] Aplicaciones [IMAT] iMat [IMATBEC] iMatbecarios [SW_BASE] Software base [BBDD] SQL Server 2000 [SO] Sistema Operativo [VB] Visual Basic 6.0 [E] Equipamiento [SERV] Servidores [SERV_BAL] Servidor de balanceo [SERV_WEB] Servidores Web [SERV_FICH] Servidor de Ficheros [SERV_DAT] Servidor de Datos [SERV_BACK] Servidor de back-up [IMP_BEC] Impresora becarios [PC_BEC] PC Becarios [PC_MAT] PC Matriculacin [SWITCH] Switch [CAJ_SEG] Caja de Seguridad [LAN] Red de rea local [INT] Internet [FIRE] Firewall [POWER] Sistema de alimentacin [POWER_AA23] Sistema de Alimentacin sala servidores [POWER_AA25] Sistema alimentacin sala auxiliar [TEMP] Sistema de climatizacin [TEMP_AA23] Sistema de climatizacin sala servidores [TEMP_AA25] sistema climatizacin sala auxiliar [L] Locales
[1]
[1]
[1]
[7]
[2]
[4]
[4]
[SERV_AA23] Servidores [SERV_AA25] Servidor auxiliar [BEC_AA21] Emplazamiento becarios [P] Personal [ADM] Administradores [SG] Secretara General [BEC] Becarios [ALUM] Alumnos
Tabla 4. Valoracin propia de los activos.
Para ver el por qu de esta valoracin ver el anexo informes, modelo de valor. Valoracin acumulada: ACTIVO [S] Servicios [MAT] Matriculacin [IMPR_BEC] Impresin Becarios [I] Informacin [I_A] Informacin Alumnos [I_B] Informacin Becarios [I_ASIG] Informacin Asignaturas [I_DEP] Informacin departamentos [I_STIC] Informacin STIC [I_CONF] Informacin de configuracin [I_LOG] Informacin de Log [I_COD] Cdigo Fuente [A] Aplicaciones [IMAT] iMat [IMATBEC] iMatbecarios [SW_BASE] Software base [BBDD] SQL Server 2000 [SO] Sistema Operativo [7] [7] [6] [7] [7] [7] [1] [6] [2] [7] [1] [1] [7] [3] [7] [7] [1] [1] [1] [1] [6] [1] [3] [3] [2] [1] [1] [7] [3] [D] [I] [C]
[VB] Visual Basic 6.0 [E] Equipamiento [SERV] Servidores [SERV_BAL] Servidor de balanceo [SERV_WEB] Servidores Web [SERV_FICH] Servidor de Ficheros [SERV_DAT] Servidor de Datos [SERV_BACK] Servidor de back-up [IMP_BEC] Impresora becarios [PC_BEC] PC Becarios [PC_MAT] PC Matriculacin [SWITCH] Switch [CAJ_SEG] Caja de Seguridad [LAN] Red de rea local [INT] Internet [FIRE] Firewall [POWER] Sistema de alimentacin [POWER_AA23] Sistema de Alimentacin sala servidores [POWER_AA25] Sistema alimentacin sala auxiliar [TEMP] Sistema de climatizacin [TEMP_AA23] Sistema de climatizacin sala servidores [TEMP_AA25] sistema climatizacin sala auxiliar [L] Locales [SERV_AA23] Servidores [SERV_AA25] Servidor auxiliar [BEC_AA21] Emplazamiento becarios [P] Personal [ADM] Administradores [SG] Secretara General [BEC] Becarios [ALUM] Alumnos [7] [7] [7] [7] [7] [1] [1] [7] [6] [6] [2] [6] [7] [1] [1] [7] [2] [6] [7] [1] [7] [2] [6] [7] [1] [7] [2] [6] [7] [7] [7] [7] [7] [7] [7] [1] [1] [1] [1] [7] [7] [4] [7] [7] [7] [6] [4] [6] [6] [6] [7] [7] [7] [7] [2] [6] [6] [6] [6]
Los elementos marcados son aquellos cuyos valores provienen de sus dependencias con otros activos.
Las causas intencionadas pueden ser robo, fraude, espionaje, intercepcin pasiva o activa, etc. En EAR las amenazas estandarizadas por Magerit. Segn la misma, las amenazas estn clasificadas en cuatro grupos: [N] Desastres Naturales [I] De origen industrial [E] Errores y fallos no intencionados [A] Ataque intencionados
Dentro de estos grupos se definen las amenazas existentes. Para comprobar la amenazas existentes ver el anexo Amenazas.
amenaza-activo es directa. Sin embargo, es un criterio intuitivo. EAR permite aplicar las amenazas estndar sobre cada activo de forma automtica dejando que sea posteriormente el analista el que considere si las relaciones son factibles o hay que poner otras. Otro mtodo de identificacin de amenazas es mediante una valoracin Delphi o rboles de ataque1. En el AGR de iMat se van a emplear la clasificacin por activos. Para la relacin entre las amenazas y los activos ver el anexo informes, mapa de riesgos.
Los rboles de ataque son una tcnica para modelar las diferentes formas de alcanzar un objetivo.
Aunque han existido durante aos con diferentes nombres, se hicieron famosos a partir de los trabajos de B. Schneier que propuso su sistematizacin en el rea de los sistemas de informacin. El objetivo del atacante se usa como raz del rbol. A partir de este objetivo, de forma iterativa e incremental se van detallando como ramas del rbol las diferentes formas de alcanzar aquel objetivo, convirtindose las ramas en objetivos intermedios que a su vez pueden refinarse. Los posibles ataques a un sistema se acaban modelando como un bosque de rboles de ataque. Un rbol de ataque pasa revista a cmo se puede atacar un sistema y por tanto permite identificar qu salvaguardas se necesita desplegar para impedirlo. Tambin permiten estudiar la actividad del atacante y por tanto lo que necesita saber y lo que necesita tener para realizar el ataque; de esta forma es posible refinar las posibilidades de que el ataque se produzca si se sabe a quin pudiera interesar el sistema y/o la informacin y se cruza esta informacin con la habilidades que se requieren. Para ms informacin, Guas Tcnicas, Magerit Versin 2. Se puede encontrar en
http://www.csi.map.es/csi/pg5m20.htm
Como ya se ha mencionado anteriormente2, hay que determinar el grado de degradacin y la frecuencia de ocurrencia de cada amenaza sobre cada activo con el fin de saber el impacto y el riesgo potencial de dicha amenaza sobre dicho activo. Este proceso se realiza en EAR usando como criterio de ocurrencia (frecuencia) el siguiente: 1: 2: 10: 100 0,5: 0,1: una vez al ao dos veces al ao (semestral) mensual diario cada dos aos cada diez aos
El grado de degradacin se especifica para activo, amenaza y dimensin. La degradacin se evala entre el 0% y el 100%. Posteriormente esta degradacin se extiende debido a la dependencia entre activos, obteniendo el impacto y el riesgo, tanto acumulado con repercutido antes de aplicar las salvaguardas. Si un activo A depende de otro B, el valor del impacto acumulado de A se acumula B en la proporcin en la que depende. Por otro lado, el impacto repercutido indica que el dao en B repercute en A en la proporcin en la que A depende de B. [MAA06] En relacin al riesgo. En relacin al riesgo acumulado el valor de A se acumula en B en la proporcin en que depende. El riesgo repercutido es el impacto repercutido multiplicado por la frecuencia de ocurrencia. Impacto = Valor x Degradacin Riesgo = Impacto x Frecuencia De esta tarea se obtiene el mapa de riesgos del sistema. El mapa de riesgos es un informe en el que se relacionan las amenazas de cada activo con el dao que causaran a la empresa y la frecuencia con la que se espera que ocurran. Visto desde otro punto de vista, el mapa de riesgos es un resumen de las actividades A2.1 y A2.2.
Para ms informacin sobre la limitacin y/o mitigacin de amenazas ver la parte correspondiente a
Relaciones con terceros Servicios Datos / Informacin Aplicaciones informticas (SW) Equipos informticos (HW) Comunicaciones Elementos auxiliares Seguridad fsica Personal
La disponibilidad del personal propio para responsabilizarse de la direccin (y, en su caso, ejecucin) de las tareas programadas.
Otros factores como puede ser la elaboracin del presupuesto anual de la organizacin, las relaciones con otras organizaciones, la evolucin del marco legal, reglamentario o contractual, etc.
En el caso del AGR expuesto se va a tener en cuenta el primero de los factores. Tambin se va a valorar el grado de implantacin que tienen. La eficiencia de las salvaguardas desplegadas se puede ver en el anexo evaluacin de las salvaguardas. Salvaguarda Marco de gestin Relaciones con terceros Servicios Datos / Informacin Aplicaciones informticas (SW) Equipos informticos (HW) Comunicaciones Elementos auxiliares Seguridad fsica Personal Presente 59% na2 86% 98% 78% 88% 90% 93% 72% 78%
La forma en que calculan los porcentajes de eficiencia depende de ciertos criterios que se valoran de forma ponderada. Estos criterios son los que vamos a analizar a continuacin. Cada grupo de salvaguardas se compone de varios subgrupos que, a su vez, se componen de ms subgrupos. En la explicacin mostrada a continuacin se han tenido en cuenta todos los factores; sin embargo, para facilitar la comprensin, slo se muestran los factores principales, estando completamente desplegados en el anexo informes, evaluacin de las salvaguardas.
No se estudia en el AGR
Se puede comprobar que el aspecto que peor se encuentra es el relacionado con el marco de gestin, donde, si se analiza a fondo, se comprueba que no existe una metodologa de actuacin formal en la organizacin en relacin a los sistemas de informacin y, en particular, a iMat. No existe un documento de anlisis de riesgos, ni un plan de seguridad escrito. La mayora de los procedimientos escritos se encuentran incompletos y no contemplan casos excepcionales o procedimientos de emergencia en caso de que ocurran este tipo de incidencias (si suelen existir procedimientos para casos o incidencias habituales). La difusin de los documentos existentes es limitada e insuficiente. Las polticas seguidas son las dadas por la directiva de STIC, aunque no siempre se cumplen, por no estar escritas. A su vez, los errores reparados no siempre son documentados, lo que puede llegar a dificultar una futura incidencia similar si el personal ha cambiado. Marco de gestin Organizacin Normativa de seguridad Identificacin y autenticacin Control de acceso lgico Gestin de incidencias Revisin de la seguridad de los sistemas de informacin Continuidad del negocio (contingencia)
Tabla 7. Marco de gestin. Salvaguardas.
La seguridad fsica es el segundo grupo de salvaguardas ms desprotegido, aunque se considera que el riesgo existente, debido a estas salvaguardas implantadas, es muy bajo. Las salvaguardas implantadas son las correctas, fallando en la normativa formal de seguridad (causa directa del marco de gestin). La seguridad falla en lo relacionado con las normativas establecidas (prohibido fumar, cmaras de video, etc.) para el acceso en la sala de servidores y los procedimientos de seguridad existentes. El diseo falla como consecuencia de la normativa y de no existir una separacin entre el rea de seguridad y el acceso al pblico. A STIC se puede acceder desde el edificio principal, subiendo por ascensor hasta el tercer piso, sin requerirse identificacin de ningn tipo. La sala de servidores si contempla la restriccin de acceso mediante tarjetas.
La proteccin frente a desastres es muy buena a pesar de haber salvaguardas a mejorar como el sistema antiincendios, ya que hay un solo extintor a la entrada de la sala (fuera) y ningn mecanismo de extincin automtico para periodos en los que no haya personal para extinguir el incendio. S se dispone de alarma antiincendios. Seguridad fsica Inventario de instalaciones Normativa Procedimientos Diseo Control de los accesos fsicos Proteccin del permetro Vigilancia Iluminacin de seguridad Proteccin frente a desastres
Tabla 8. Seguridad fsica. Salvaguardas.
Por el contrario, en lo referente a las comunicaciones, los datos, los elementos auxiliares o de soporte, la forma en que se prestan los servicios (iMat e iMatBecarios), el diseo y seguridad de HW y SW; el sistema goza una gran seguridad y un buen diseo en estos aspectos. Cabe destacar la seguridad de la informacin y las comunicaciones. Sin embargo, aunque las comunicacin tienen una valoracin del 90% de eficacia, es un elemento crtico que lo evidencia en el diseo del servicio de comunicaciones con el exterior (Internet): Slo existe un proveedor de servicios de Internet, lo que hace que se depende de forma directa de este elemento para garantizar el servicio de iMat a travs de Internet (usado por ms del 50% de los usuarios que acceden a iMat) [HUIT00]. Comunicaciones Inventario de servicios de comunicacin Disponibilidad Adquisicin o contratacin Instalacin Operacin Cambios (actualizaciones y mantenimiento) 90% 83% 93% 92% 100% 98% 63%
Terminacin
Tabla 9.Comunicaciones. Salvaguardas.
100%
La informacin manejada, activo ms importante de la organizacin, est protegida de forma casi perfecta (98%). Si hubiese que fijarse en algo sera en el inventario y su revisin peridica, pero ese aspecto es el menos importante de todos los analizados y por lo tanto se considera que no merece la pena. Datos / Informacin Inventario de activos de informacin Clasificacin de la informacin Disponibilidad Integridad Criptografa
Tabla 10. Datos/Informacin. Salvaguardas.
Aunque las salvaguardas implantadas en SW y HW son muy buenas, la documentacin en los mismos no es tan buena, consecuencia directa del marco de gestin y la normativa escrita. Este factor hay que corregirlo no slo en SW y HW, sino en todo el sistema. Esta falta de documentacin afecta al inventario que se posee de las aplicaciones. El uso de Microsoft Visual Soursafe facilita la gestin de versiones y copias de seguridad, pero no garantiza una correcta regresin. Las pruebas de regresin no existen, habindose hecho alguna, pero sin ser un aspecto formal y que se repita como procedimiento peridico. No se ha evaluado el impacto potencial al cambio. Aplicaciones informticas (SW) Inventario de aplicaciones Copias de seguridad Adquisicin Desarrollo Puesta en produccin Explotacin Cambios (actualizaciones y mantenimiento) Terminacin 78% 37% 66% na 91% 100% 80% 73% na
Como sucede con el SW, en el HW no se ha contemplado el impacto que producira el cambio de equipos por diferentes modelos en caso de tener que hacerse de forma inmediata. La identificacin de los requisitos de seguridad se hace una vez implantados los sistemas HW y no previamente, lo que puede llegar a perjudicar el desarrollo de HW por no existir un plan de documentacin en el que se especifican el por qu de los equipos con relacin a cada una de las aplicaciones y sistemas que soportan. Sin embargo el margen para el error es amplio y difcil de alcanzar por este motivo ya que la dimensin del sistema es mucho mayor que las necesidades reales por parte de los sistemas de informacin implantados (incluyendo iMat). S existe un inventario del HW y una documentacin de los cambios realizados. Lo que no existe son planes de contingencia. Equipos informticos (HW) Inventario de equipos Disponibilidad Adquisicin de HW Desarrollo de HW Instalacin Operacin Cambios (actualizaciones y mantenimiento) Terminacin
Tabla 12. Equipos informticos (HW). Salvaguardas.
El personal
mantenimiento de los sistemas, cubriendo todos los puestos necesarios para gestionar iMat y el resto de sistemas de la informacin de la universidad. Sin embargo, se debe mejorar la poltica de formacin en relacin a su evaluacin y planificacin. Las necesidades de formacin se identifican cuando dicho personal considera que lo necesita, sin haber un plan de formacin continuo o una revisin y evolucin del mismo y sus resultados. Personal Relacin de personal 78% 100%
Puestos de trabajo Contratacin Formacin Poltica del puesto de trabajo despejado y bloqueo de pantalla Proteccin del usuario frente a coacciones
Tabla 13. Personal. Salvaguardas.
100% na 55% na na
Los elementos auxiliares que ayuda y garantizan el buen funcionamiento de iMat como el control de temperatura o el suministro elctrico est convenientemente implantados y garantizados para, en caso de fallo, funcionar correctamente. Elementos auxiliares Inventario de equipamiento auxiliar Disponibilidad Instalaciones Suministro elctrico Climatizacin Proteccin del cableado Otros suministros
Tabla 14. Elementos auxiliares. Salvaguardas.
Los servicios prestados por el sistema de informacin (sistema de matriculacin por Internet e impresin de matrculas por parte de los becarios) se encuentra bien definidos, correctamente explotados, desarrollados y estudiados. el porcentaje obtenido en la disponibilidad se debe a que no se estudiado la posibilidad de que los servidores Web superen el nmero mximo de conexiones, lo que provocara un error de disponibilidad en las capacidades mximas y en la prestacin del servicio. Se sabe que ese nmero (60000 conexiones) es inalcanzable, pero puede darse un ataque aprovechando esto. Todo sistema ha de contemplar medidas de control, aunque sean tericamente inalcanzables. Servicios Inventario de servicios Disponibilidad 86% 88% 63%
[I] Integridad
[IMAT] iMat [BBDD] SQL Server 2000 [SERV_BAL] Servidor de balanceo [SERV_WEB] Servidores Web
[SERV_BAL] Servidor de balanceo [SERV_WEB] Servidores Web [SERV_FICH] Servidor de Ficheros [SERV_DAT] Servidor de Datos [SWITCH] Switch [LAN] Red de rea local [FIRE] Firewall [POWER_AA23] Sistema de Alimentacin sala servidores [SERV_AA23] Servidores
[SERV_FICH] Servidor de Ficheros [SERV_DAT] Servidor de Datos [FIRE] Firewall [ADM] Administradores [ALUM] Alumnos
Impacto alto (7-5, el 4 se ha considerado bajo, aunque en mucho casos se considera un impacto alto) [D] Disponibilidad [I] Integridad
[SERV_AA23] Servidores
[C] Confidencialidad
[I_A] Informacin Alumnos [IMAT] iMat
[IMATBEC] iMatbecarios [INT] Internet [TEMP_AA23] Sistema de climatizacin sala servidores [I_ASIG] Informacin Asignaturas [I_DEP] Informacin departamentos [I_CONF] Informacin de configuracin
[SERV_BAL] Servidor de balanceo [SERV_WEB] Servidores Web [SERV_FICH] Servidor de Ficheros [SERV_DAT] Servidor de Datos [LAN] Red de rea local [FIRE] Firewall [ADM] Administradores
Impacto medio o bajo (medio: 4-3, bajo:2-1) [D] Disponibilidad [I] Integridad
[SERV_BACK] Servidor de back-up
[C] Confidencialidad
[I_ASIG] Informacin Asignaturas [I_DEP] Informacin departamentos
[BEC_AA21] Emplazamiento becarios [POWER_AA25] Sistema de Alimentacin sala auxiliar [TEMP_AA25] Sistema de climatizacin sala auxiliar
El impacto residual es, en todos los activos, igual o menor a 3 en todos los casos. Esto significa que el impacto de cualquier amenaza sobre iMat es bajo. Esto se debe a que el diseo del sistema de informacin es bueno. Sin embargo, se debera mejorar la forma de gestionar los sistemas en lo relacionado con el aspecto formal y escrito. En los anexos se podrn encontrar todas las valoraciones de impacto (activo-amenaza). Se recomienda ver el anexo relativo al mapa de riesgos, el informe de insuficiencias y el estado de riesgo. En estado de riesgo se podrn ver los impactos y riesgos potenciales y residuales.
Figura 37. Impacto acumulado potencial y residual en servicios, aplicaciones, informacin y personal relacionados con iMat1.
Figura 38. Impacto acumulado potencial y residual en BBDD, equipamiento y locales relacionados con iMat.
Impacto acumulado potencial y residual en iMatBecarios que no tienen relacin con iMat, a excepcin
de la BBDD y algunos tipos de informacin. Hay activos que aparecen en los grficos anteriores y tambin estn relacionados con iMatBecarios. El impacto (rojo) representa el impacto potencial y el presente (azul) el impacto residual.
Una vez valoradas las amenazas se puede concluir que existe un riesgo intrnseco (potencial) en iMat, es decir, sin tomar ninguna medida de seguridad: Existe un riesgo muy alto de amenazas de: -
[I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad, debido a la gran cantidad de mquinas y el tamao de las habitaciones de servidores. Es necesario acondicionar estas habitaciones para garantizar unas condiciones ptimas para el hardware.
[I.8] Fallo de servicios de comunicaciones. Hay que considerar la gran cantidad de comunicaciones y la compleja infraestructura de la misma. Un fallo en las comunicaciones puede darse por numerosos motivos, como un error en la red de la universidad o en las comunicaciones con el exterior; un fallo en los servidores Web, o de balanceo, un fallo en el switch, etc.
[E.1] Errores de los usuarios, debido fundamentalmente a la falta de informacin en usuarios de primer curso y en la gran cantidad de matrculas que se realizan.
[E.2] Errores del administrador, debido a la formacin que no reciben. No hay que olvidar que se est analizando el riesgo intrnseco.
[E.3] Errores de monitorizacin (log). El firewall es un elemento crtico en el sistema de informacin. Un fallo en la monitorizacin de la red puede suponer la entrada de SW daino (virus, troyanos, etc.)
[E.8] Difusin de software daino, debido en muchos casos a programas piratas instalados por el personal a causa de la falta de concienciacin.
[E.9] Errores de [re-]encaminamiento en el servidor de balanceo, provocando la prdida de informacin para los usuarios que lo sufran. Este error puede suponer un riesgo muy importante para la disponibilidad del sistema.
[E.24] Cada del sistema por agotamiento de recursos, debido a la gran cantidad de recursos manejados y el nmero de accesos producidos en iMat en periodos de matriculacin.
[A.5] Suplantacin de la identidad del usuario, debido a obtenciones de clave de otros usuarios o al uso de sesiones abiertas por otros usuarios. Al dar de alta a un alumno en el sistema se establece como contrasea inicial el DNI del alumno (la clave o usuario es siempre el nmero de alumno). Aunque esta contrasea inicial se puede cambiar fcilmente a travs de la intranet de la universidad la mayora de los alumnos no la cambian. Si a este hecho le sumamos que hasta el 2004 se poda ver en los ordenadores de la universidad el nombre del usuario que tenia la sesin abierta acompaado del DNI, la obtencin de contraseas era relativamente sencilla. A partir de 2004 el DNI se suprimi de la cadena de informacin que se mostraba, pero no se quitaron de las cadenas de alumnos anteriores a 2004. Debido a este proyecto se estn suprimiendo los DNI de los alumnos anteriores al curso especificado. Dejar una sesin abierta es un error de usuario (alumnos) que se comete de forma diaria. Este despiste puede permitir a otras personas suplantar al usuario y obtener su clave y contrasea en la terminal donde la sesin se ha dejado abierta mediante el procedimiento de obtencin de contraseas comentado en el prrafo anterior (si el alumno es anterior a 2004. En breve este procedimiento desaparecer por completo a eliminarse el DNI de las cadenas mostradas a los usuarios).Para acceder a iMat se usan las mismas claves y contraseas que en el resto de servicios de la universidad, por lo que este error afecta a iMat.
[A.11] Acceso no autorizado que, aunque, los usuarios tengan las garantas y habilitaciones de seguridad adecuadas, esto no garantiza que accedan a la informacin para la cual estn autorizados acrecentndolo, adems, por el principio de la necesidad de conocer. A su vez pueden producirse accesos no autorizados a las salas de servidores si stas no poseen las medidas de seguridad adecuadas.
[A.15] Modificacin de informacin, por la misma razn que E.16, pero en este caso se debe propsitos intencionados por parte de los usuarios.
[A.16] Introduccin de falsa informacin, misma razn que A.15. [A.22] Manipulacin de programas, aunque el personal es confiable y seguro, pueden darse casos de personal malintencionado que intenta sabotear de alguna
forma el sistema de informacin; y si tiene acceso a los programas y su cdigo puede llegar a materializar esta amenaza. [A.24] Denegacin de servicio, por errores de programacin que no permiten a usuarios autorizados acceder al sistema. Esta amenaza suele darse por una reaccin en cadena con otras amenazas. [A.29] Extorsin
Existe un riesgo alto de amenazas de: [N.1] Fuego, debido a la concentracin de equipos electrnicos y material inflamable (mobiliario, paredes, etc.) en una zona localizada y concreta, es decir, en la sala donde se encuentran los servidores. Lo mismo sucede en el emplazamiento de becarios. [I.5] Avera de origen fsico o lgico, debido a la concentracin de equipo que puede sufrir una avera por su uso continuo o una avera fsica provocada por el mal estado de los componentes. [E.18] Destruccin de la informacin, por una fallo de hardware o un error de software no probado en la fase de pruebas.
-
[E.21] Errores de mantenimiento / actualizacin de programas (software), por no seguir especificaciones del fabricante o un mantenimiento peridico que permita detectar errores y atajarlos.
[A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.14] Intercepcin de informacin (escucha), debido a una inexistencia de controles (como, por ejemplo, un firewall correctamente configurado).
[A.19] Divulgacin de informacin, por un error en la programacin, una carencia de medidas de seguridad o polticas de la organizacin.
Existe un riesgo medio de amenazas de: [E.4] Errores de configuracin, por carencias en la formacin de los empleados.
[E.7] Deficiencias en la organizacin, por falta de polticas de seguridad o errores en la forma de comunicarlas.
[E.14] Escapes de informacin, por carencias en las polticas de seguridad. [E.16] Introduccin de falsa informacin, debido a errores a la hora de rellenar formularios por parte de alumnos, becarios, administradores. En la mayora de los casos es por falta de atencin o conocimientos.
[E.20] Vulnerabilidades de los programas (software), por errores de programacin y no saber detectarlos en la fase de pruebas, lo que evidenciara una mala poltica de desarrollo.
[E.23] Errores de mantenimiento / actualizacin de equipos (hardware), al no seguir las especificaciones del fabricante y/o llevar una poltica excesivo, nivel de detalle, etc.) de mantenimiento insuficiente (intervalos de tiempo entre cada mantenimiento
[A.4] Manipulacin de la configuracin, por carencias en la seguridad de acceso a las salas de servidores. Tambin puede modificarse la configuracin de los programas por accesos no autorizados a al cdigo o partes del programa o datos que no deberan estar disponibles para ciertos usuarios.
[A.28] Indisponibilidad del personal debido fundamentalmente a la falta de procedimientos y recursos en las labores claves de mantenimiento, soporte y monitorizacin del sistema.
[I.7] Condiciones inadecuadas de temperatura y/o humedad, ya que al ser un recinto cerrado los equipos pueden fallar a causa de estas causas.
[A.25] Robo de equipos, estando todos concentrados en lugares concretos. [A.26] Ataque destructivo, de equipos principalmente. Una vez se accede a las salas de servidores, la destruccin de equipos es sencilla. A su vez la destruccin de los ordenadores facilitados en los el pasillo en periodo de matriculacin es
relativamente sencilla. Sin embrago, la importancia de estos ordenadores para el sistema de informacin es nula, importando exclusivamente el aspecto econmico, aspecto no tratado en este AGR. El riesgo residual, al que est sometido el sistema teniendo en cuenta el valor de los activos y la valoracin de las amenazas, as como la eficacia de las salvaguardas actualmente desplegadas., se puede ver en el anexo informes (informe de insuficiencias y estado de riesgo) .
Por los riesgos existentes y los impactos que tienen sobre los activos se puede considerar que los elementos crticos en el sistema son los servidores y las comunicaciones. Del mismo modo hay que garantizar la seguridad en el SW y el HW, mediante procesos y polticas convenientemente acordadas. Los programas han de hacerse segn unas polticas de desarrollo establecidas, con fases de desarrollo y pruebas diferenciadas. La existencia de una metodologa en la organizacin, para comunicar el estado de la seguridad y los procesos de instalacin, mantenimiento y actualizaciones de SW y HW, ha de considerarse algo imprescindible; siendo un proceso organizado y formal. La formacin del personal de STIC (administradores) es importante para garantizar el correcto funcionamiento. Esa formacin ha de incluir procesos para inculcar la importancia de la seguridad y documentarla.
Figura 41. Riesgos potenciales y residuales en iMat teniendo en cuenta las salvaguardas actuales.
Se puede comprobar en el grfico que los servidores y el firewall son elementos crticos en el sistema. As mismo el switch y las comunicaciones tambin. No hay que olvidar que iMat funciona mediante la red local (LAN) e Internet. El riesgo residual es bajo gracias a las salvaguardas desplegadas.
Figura 42. Riesgos potenciales y residuales en iMatBecarios teniendo en cuenta las salvaguardas actuales.
Se puede comprobar por el grfico que el emplazamiento de los becarios no tiene ninguna importancia para los fines del sistema de informacin. No hay que olvidar que activos como los servidores, el firewall o la sala de servidores tambin influyen en el correcto funcionamiento de iMatBecarios aunque se hayan incluido en la figura 32 y no en la 33, haciendo esto para facilitar la comprensin del sistema.
Gestin de Riesgos
En el caso concreto de iMat este proceso se va a desarrollar de forma ficticia y sin consulta previa con la direccin ni el STIC. Los planes de seguridad van a crearse slo a efectos de estudio.
Si la ltima opcin es la escogida, aceptacin del riesgo, hay que justificar las razones que han llevado a ello. Algunas de las razones pueden ser: El impacto residual es despreciable. El riesgo residual es despreciable. El coste de las salvaguardas oportunas es desproporcionado en comparacin al impacto y riesgo residuales.
El plan de seguridad partir de esta clasificacin para estimar las polticas de correccin y eliminacin de amenazas. En las actividades A2.3 y A.4 se han estudiado y explicados las salvaguardas existentes y los impactos y riesgos potenciales y residuales. Adems, se puede ver el estado de riesgo del sistema de informacin en el informe de insuficiencias y el estado de riesgos (anexos incluidos en los informes presentados). Si resumimos los riesgos residuales del sistema (riesgo teniendo en cuenta las salvaguardadas existentes) podemos comprobar que no existe un riesgo muy alto o alto en el sistema, lo que verifica la teora inicial que se tena del sistema al empezar el AGR sobre iMat: El sistema est conveniente protegido. Sin embargo, por el principio bsico de la seguridad (no existe un sistema 100% seguro), las salvaguardas aplicadas y la forma en que aseguran el sistema, s que existen riesgos en iMat. Existe un riegos residual medio (nivel 3 sobre 5) de: [I.1] Fuego. Debido a la concentracin de equipos en un espacio reducido de 12m2 como es la sala de servidores o la sala auxiliar de servidores (donde se encuentra el servidor de back-up). Adems hay que tener en cuenta que no existen normas de comportamiento dentro de las salas de servidores (como por ejemplo prohibido fumar). Se cuenta con alarma antiincendios y sistema de extincin para minimizar los riesgos. [E.1]
puede dar en la aplicacin (iMat) debido al desconociendo de los usuarios a la hora de interaccionar con iMat o bien por la introduccin de informacin errnea que provoque errores. Los errores e usuarios pueden daar el sistema en las dimensiones de disponibilidad e integridad de datos. Por este motivo se han de controlar los posibles fallos de los usuarios desde la aplicacin antes de enviar informacin a otras partes del sistema como puede ser el servidor de datos. [E.8] Difusin de software daino. Esta amenaza se debe a la gran cantidad de amenazas existentes hoy en da en la red y la imposibilidad de poder garantizar 100% la seguridad de los sistemas frente virus. Puede daar a iMat en todas las
dimensiones analizadas (D, I, C) No hay creerse algunos tpicos existentes como1: o El sistema no es importante para un hacker. Este tpico se basa en la idea de que no introducir contraseas seguras en una empresa no entraa riesgos pues quien va a querer obtener informacin de la organizacin? Sin embargo, dado que los mtodos de contagio se realizan por medio de programas automticos, desde unas mquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. o El sistema est protegido pues no abro archivos que no conozco. Esto es falso, pues existen mltiples formas de contagio, adems los programas realizan acciones sin la supervisin del usuario poniendo en riesgo los sistemas. o El sistema dispone de antivirus, est protegido. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicacin. o El sistema se encuentra detrs de un firewall, no hay posibilidad de contagio. Esto nicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son mltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entraar riesgos.
-
[A.5] Suplantacin de la identidad del usuario. Ya se explic la facilidad que existe para averiguar usuarios y contraseas a travs de los ordenadores de la universidad de alumnos anteriores a 2004 (ir a T2.4.1); debido a los errores (despistes) de los alumnos a la hora de abandonar las salas de ordenadores sin
cerrar la sesin2 o por no haber cambiado la contrasea. Esta facilidad afecta directamente a todas las dimensiones analizadas, pudiendo ser dainas para iMat (aplicacin) y como consecuencia a la base de datos y al servidor de datos, pudiendo ser informacin no segura por poder ser modificada por la persona que suplanta al usuario. Tambin es cierto que este fallo de seguridad slo existe a nivel de usuario (alumno) y no de administrador, por lo que la informacin que se vera afecta sera la de los alumnos y nunca la informacin de configuracin o administradores. Existe un riesgo residual bajo (nivel 2 sobre 5) de.
[E.1]
de usuarios es menor en relacin a la base de datos que a iMat porque desde iMat a la hora de introducir informacin siempre se pide confirmacin varias veces (por ejemplo a la hora de verificar las asignaturas o los datos personales) antes de enviar la informacin a al servidor de datos para guardarla.
-
[E.8] Difusin de software daino. En este caso nos referimos a iMatBecarios. El riesgo de software daino es menor que en iMat por usar slo la red local de la universidad sin salir de la misma en ningn momento. Es cierto que iMat no sale de la red local, pero al poder realizarse la matrcula desde Internet (lugares externos a la universidad), el riesgo de contagio es mayor en iMat que en iMatBecarios. An as en ninguno de los dos sistemas existe un riesgo alto de contagio, es un riesgo terico considerado por los principios expuestos anteriormente al explicar el riesgo en iMat y clasificarlo como riesgo medio.
[A.26] Ataque destructivo a los ordenadores facilitados en el pasillo en periodo de matriculacin. Estos ordenadores se encuentran en el pasillo sin proteccin alguna exceptuando la vigilancia de los becarios. Por este motivo puede darse el caso de un ataque destructivo (fsico) contra ellos.
Este fallo de seguridad exista a la hora de empezar a hacer el anlisis de riesgos y estudiar las
salvaguardas existentes. Hoy en da puede que este fallo haya sido reparado y no exista. Es cierto que esto se encuentra contemplado mediante la desconexin automtica de las sesiones sin actividad a los 20 min.
[I.7] Condiciones inadecuadas de temperatura y/o humedad. Existen mecanismos para garantizar las condiciones de temperatura y humedad en las salas de servidores. Sin embargo, debido al continuo funcionamiento de los equipos HW instalados, puede darse el caso que esas condiciones cambien por un fallo en algunas de las mquinas o en el sistema de climatizacin. En ese caso hay que procurar que los servidores no sufran condiciones prejudiciales para su correcto funcionamiento. Este riesgo perjudicara a la disponibilidad de los sistemas de informacin. [E.2] Errores del administrador (SQL, iMat, iMatBecarios)
[E.3] Errores de monitorizacin (log). Ya se ha comentado que la seguridad no se puede garantizar completamente. Por ese motivo puede asegurarse que el firewall fallar a la hora de controlar las entradas al sistema. Es un error que se considera de riesgo bajo, segn las salvaguardas implantadas.
[E.9] Errores de [re-]encaminamiento. El servidor de balanceo es un elemento crtico del sistema que, como tal est convenientemente asegurado y estudiado. Un error en el mismo provocara errores que afectaran a algunos usuarios y por tanto a la disponibilidad del sistema con relacin a los mismos. Debido a gran nmero de operaciones realizadas por este servidor un error es posible, aunque improbable.
[E.24] Cada del sistema por agotamiento de recursos. Ya se explic que aunque el sistema est dimensionado convenientemente contando con recursos de sobra para prestar los servicios requeridos. Esto hara fallara al sistema dejando de dar el servicio (como ocurre en un ordenador cuando se le piden ms tareas de las que es capaz de soportar). Un sistema seguro ha de controlar siempre la capacidad y tener medidas para ello. Esta carencia de medidas puede ser aprovechada para atacar al sistema. Sin embargo el riesgo es pequeo por los recursos con los que cuenta, soportando hasta 60000 conexiones en los servidores Web.
[E.21] Errores de mantenimiento / actualizacin de programas (software). Debido a las carencias en el marco de gestin y las normativas y metodologas escritas para la realizacin de tareas.
[E.16] Introduccin de falsa informacin, afectando a la integridad de la informacin. Puede darse por errores de administracin al crear/actualizar el servidor de ficheros (pginas ASP, aplicaciones como iMat o iMatBecarios, etc.), o al introducir la informacin de las asignaturas (crditos, etc.) dada por las escuelas e introducidas por STIC. La introduccin de informacin siempre es supervisada y repasada, as como testeada en la fase de pruebas. Un error puede darse por no contemplar algo en la fase de pruebas, algo difcil.
Existe un riesgo residual muy bajo (grado 1 sobre 5) de. [I.5] Avera de origen fsico o lgico. Las revisiones de mantenimiento siguiendo las especificaciones de los fabricantes y los recambios minimizan el riesgo de averas de origen fsico o lgico. Sin embargo es un riesgo que es imposible llevar al cero. [I.9] Interrupcin de otros servicios y suministros esenciales. La redundancia de todos los sistemas (comunicaciones, servidores, HW, repuestos) hace del sistema un sistema robusto en cuento a la forma de prestar los servicios, siendo el riesgo casi nulo. Los sistemas de alimentacin y climatizacin se encuentran respaldados por sistemas de reserva en las salas de servidores, as como en toda la universidad.
-
[I.6] Corte del suministro elctrico. Para evitar esto se cuenta con un sistema secundario de alimentacin. Cabe destacar que las salvaguardas implantadas han bajado este riesgo de se un riesgo muy alto a riesgo muy bajo, casi inexistente.
[E.2] Errores del administrador. El administrador es el personal de STIC encargado de gestionar el sistema. Un error en la forma de hacerlo puede afectar a la configuracin del firewall, a las aplicaciones de iMat o iMatBecarios, a la base de datos, etc. Por ello hay que tener polticas de formacin y contratacin de personal, normativas y metodologas de documentacin, comportamiento y gestin en relacin a los sistemas de informacin, etc.
[E.24] Cada del sistema por agotamiento de recursos. En este caso nos estamos refiriendo al servidor de ficheros. Un agotamiento de recursos es casi impensable pues es un servidor que almacena informacin preestablecida, no se introduce en l informacin durante el funcionamiento del sistema (exceptuando aquella temporal para pedir informacin del servidor).
[E.8] Difusin de software daino. Refirindose de nuevo al servidor de ficheros y por la misma razn (la informacin se introduce antes de empezar a funcionar el sistema, siendo informacin de lectura). Sin embargo, la seguridad nunca es del 100% en un servidor.
[E.20] Vulnerabilidades de los programas (software). Para minimizar los riesgos y detectarlos existen los programas de pruebas. Aunque el programa de pruebas es muy bueno y cumple todas las salvaguardas recomendadas, el riesgo existe. Nunca se puede garantizar que un SW es 100% seguro, un ejemplo claro es un sistema operativo, donde los parches son frecuentes, al igual que lo programas corporativos (SAP, Meta4, etc.). Esta afirmacin puedo asegurarla por haber trabajado en Meta4 en el rea de calidad arreglando un programa de calidad que controla los fallos en el resto de programas.
[A.25] Robo de equipos. Las salvaguardas implantadas han bajado este riesgo de riesgo muy alto a muy bajo. Sin embargo hay salvaguardas que hay que mejorar como, por ejemplo, la forma de gestionar las tarjetas o el incluir un acceso a STIC ms restringido, que al menos cuente con una persona intermedia entre STIC y el resto de la universidad (vigilante, secretaria, etc.). La sala de servidores se encuentra protegida por un acceso restringido mediante tarjeta, pero con un registro de visitas de personas invitadas (s que cuenta con un registro de visitas del personal que introduce la tarjeta para acceder).
Figura 43. Insercin de salvaguardas con el fin de obtener un impacto y riesgo residual asumible para la direccin
Los planes de seguridad que se recomiendan, una vez evaluados los riesgos residuales, las salvaguardas existentes y comprobar que la mayora de ellos se deban a las carencias ya mencionadas el marco de gestin1: P1. Normativas de seguridad P1.1: Documentacin de los cambios, reparaciones y mantenimientos (SW, y HW) Crear una poltica de seguridad donde todo se encuentre correctamente documentado (de manera formal) y donde exista un anlisis de riesgos que valore el estado del sistema. Documentar todos los procedimientos de trabajo, revisando loas actuales y aadiendo los que falten. P1.2: Documentacin de los cambios, reparaciones y mantenimientos (SW, y HW) De esta forma se han evitar casos en los que no se sepan las posibles causas de un error o materializacin de amenaza, acotando las posibles causas. Todos los documentos han de incluir: Fecha. Responsable. Activos implicados. Tareas realizadas. Comentarios adicionales.
P1.3: Normativa en relacin a la seguridad fsica Se han de establecer normas de conducta cerca de los servidores, lugares de trabajo, etc. se han de cumplir todas las normativas de sanidad y seguridad existentes para el tipo de instalaciones con las que se cuenta.
Al ser un ejemplo terico, aunque basado en un ejemplo real, los planes de seguridad sugeridos no se
van a llevar a cabo. Por esta razn no se van a asignar responsables, otorgar recursos ni dar estimaciones temporales. Los planes de seguridad se van a limitar a dar recomendaciones sobre el sistema.
La limitacin o vigilancia de acceso a STIC y, por tanto, a los servidores es una salvaguardas que ha de estudiarse si merece la pena llevarla a cabo. La realizacin de este plan de seguridad limitara los riesgos las amenazas I.1, I.5, E.1, E.3, E.7, E.8. E.9, E.20, E.21, E.24 entre otras. P2: Eliminar fallos de seguridad evidentes Un aspecto que hay que intentar minimizar es la posibilidad de obtener nombres de usuario y contraseas desde los ordenadores de la universidad. Se han de buscar controles para evitar que los usuarios dejen las sesiones abiertas o mantengan de forma permanente el DNI como contrasea. Las medidas a tomar se basan en la eliminacin del DNI de las cadenas a mostrar cuando se ve el usuario conectado a la mquina. Para los alumnos anteriores a 2004 este riesgo es mucho mayor por estar su DNI ligado a la cadena de informacin mostrada. Se han de suprimir los DNI de las cadenas de informacin en alumnos anteriores a 2004; los alumnos posteriores no tienen este problema. Cabe destacar que este problema se est solucionando actualmente gracias a este proyecto. Actualmente las sesiones se pueden cerrar de forma remota por el personal encargado de las salas de ordenadores para evitar que un usuario deje una sesin abierta de forma indefinida, pero esto no garantiza nada. Este fallo es crtico para el sistema y limitara riesgos de amenazas tales como E.1, E.8, A.5 (este de forma importante), E.16, y E.20. Las contraseas iniciales son inevitables (sin ellas no puede entrar el usuario por primera vez). La nica medida posible es concienciar a los alumnos de la necesidad de cambiar esa contrasea. Una forma puede ser el primer da de clase, ir a la sala de ordenadores y que todos cambien su contrasea, evitando el riesgo evidente de que la contrasea sea el DNI. Otra forma es obligar al usuario a cambiar la contrasea la primera vez que se conecta al sistema. P3: Clasificacin del inventario (SW, HW, Ficheros, Elementos auxiliares) El HW ya se encuentra correctamente estudiado en relacin al inventario, sin embargo el HW y los elementos auxiliares han de estudiarse. Los ficheros como pueden ser las pginas ASP de iMat se encuentran ya localizadas y correctamente
estudiadas. Lo que se debe hacer es valorar el grado de comentario del cdigo, estudiar el SW crtico, las necesidades de HW, etc. P4: Formacin y evaluacin continua La poltica de formacin actual es buena pero no correcta. Se ha de establecer una poltica de formacin basada en el seguimiento continuo y evaluado de la misma. Actualmente se llevan a cabo planes de formacin segn lo pide el personal de STIC, sin motivar el aprendizaje continuo por parte de la organizacin. Si se desea obtener un certificado de seguridad hay que lograr superar las clasificaciones de la ISO o cualquier otro criterio exigido. El estado del sistema con relacin a la ISO/IEC 17799:2005, la CSNC2 o el RD9943 se encuentra a continuacin de la gestin de riesgos.
2 3
Figura 44. Impacto acumulado potencial y residual en cada una de las fases (Servicios, datos, aplicaciones).
Figura 45. Impacto acumulado potencial y residual en cada de las fases (BBDD, parte del equipamiento).
Figura 46. Impacto acumulado potencial y residual en cada una de las fases (parte del equipamiento, locales y personal)
RIESGOS
Figura 47. Riesgos acumulados potenciales y residuales en cada una de las fases (Servicios, datos y aplicaciones).
Figura 48. Riesgos acumulados potenciales y residuales en cada una de las fases (BBDD y parte del equipamiento).
Figura 49. Riesgos acumulados potenciales y residuales en cada una de las fases (parte del equipamiento, locales y personal).
IMPACTO REPERCUTIDO El impacto repercutido es aquel impacto que tienen los activos debido a las dependencias con activos inferiores. Si un activo inferior falla, afecta al funcionamiento de los activos superiores con los que est relacionado. Por este motivo un impacto en un activo afecta a los activos de orden superior. Al hacer la valoracin acumulada se pasaban los valores de los activos superiores a los inferiores por la misma razn: si un activo tiene una valoracin X, los activos de los que depende tambin porque una amenaza para ellos puede afectar a activos superiores.
RIESGO REPERCUTIDO
Se puede comprobar lo que ya se ha comentado en varias ocasiones: la seguridad fsica, de comunicaciones, SW, HW, y datos est convenientemente contemplada en el estado presente del sistema de informacin. Sin embargo la poltica de seguridad en sus aspectos formales no se ha contemplado convenientemente. No existe una gestin de la continuidad del negocio a largo plazo, as como la gestin de incidentes puede mejorarse. Donde falla la gestin de incidentes es en el aspecto formal y que no contempla incidencias excepcionales o de poca probabilidad. La continuidad del negocio no est contemplada en el sistema de informacin actual por no haber un anlisis de riesgos hecho y no tener una documentacin de seguridad ni una normativa. Aspectos que tambin influyen en la poltica de seguridad, la cual contempla aspectos mnimos como son la delegacin de responsabilidades o el trato con la directiva, pero no valorar aspectos profundos y formales como los comentados. No hay que olvidar que la solucin dada es terica y no real, mostrando la clasificacin del sistema en caso de realizarse completamente.
El apartado [6] no se encuentra valorado porque hay aspectos que no se han tenido en cuenta en el AGR hecho a iMat. Esto no significa que no se encuentren valorados ciertos aspectos de este apartado.
Clasificacin CSNC
Los aspectos peor valorados son los relacionados con la normalizacin y gestin del sistema en su aspecto formal. As por ejemplo se puede ver como el apartado 18 es el peor valorado por referirse a dicho aspecto formal y la documentacin de incidencias. Las auditorias (20) y el plan de contingencias (19) o las polticas de seguridad (3) son aspectos a mejorar. No hay que olvidar que la solucin dada es terica y no real, mostrando la clasificacin del sistema en caso de realizarse completamente. Aspecto como la seguridad de la red o de los datos se encuentran muy bien valorados segn estos criterios. El control de acceso es muy bueno, fallando de forma mnima por el fallo de seguridad comentado en mltiples ocasiones.
Clasificacin CSNC
El aparatado 9 no se muestra porque no todo los factores que lo componen se han valorado en el AGR realizado sobre iMat. Sin embargo s hay factores valorados acerca de la autenticacin.
Clasificacin CSNC
No hay que olvidar que la solucin dada es terica y no real, mostrando la clasificacin del sistema en caso de realizarse completamente.
Conclusin
187
Conclusin A lo largo de este proyecto se ha intentado dar a conocer la importancia del funcionamiento y la seguridad (en sus aspectos de confidencialidad, integridad y disponibilidad) de los sistemas de informacin en las empresas y las organizaciones debido a que, cada vez ms, las TI (Tecnologas de la Informacin) y la informacin son ms imprescindibles en sus procesos de negocio. Para ello se ha explicado la importancia de realizar un Anlisis y Gestin de Riesgos en aquellos sistemas cuya importancia para el correcto funcionamiento de la organizacin es vital. Realizar un AGR es una tarea costoso en tiempo y esfuerzos, por ello hay que saber hasta donde se quiere abarcar, que se va a tener en cuenta y que tipo de AGR se va a realizar. En este proyecto se ha aplicado una metodologa especfica para llevar a cabo esta tarea: Magerit. Aplicar un mtodo como el propuesto por Magerit es costoso en tiempo pero efectivo a la hora de llevar a cabo todos los pasos sin dejar nada a la improvisacin o al descuido. Otra gran ventaja de aplicar Magerit es la posibilidad que se ha tenido de usar una herramienta informtica diseada especficamente para Magerit. Esta herramienta, EAR, ha facilitado el anlisis, el retroceso en los casos en los que sido necesario, ha permitido automatizar muchas de las tareas que sin EAR hubiesen supuesto un gran esfuerzo (generacin de informes, mapas, esquemas, etc.). En relacin al sistema analizado, iMat, mencionar que gracias a l se ha podido comprobar que el punto dbil en los sistemas de informacin no suele estar en el propio sistema, sino en la forma de gestin: documentacin, pruebas peridicas, etc. iMat se ha mostrado como un sistema robusto, preparado para afrontar las amenazas que pueda sufrir. El mayor riesgo de iMat se encuentra en la falta de documentacin, lo que seria una grave amenaza en caso de cambio de personal o asignacin de nuevas responsabilidades al personal existente. Esta falta de documentacin es algo que falta en muchos sistemas de informacin y que ha sido reconocido por multitud de personas que trabajan en el sector, tanto en el mantenimiento del sistema de informacin como en la creacin de AGR. Para concluir, a modo personal, la importancia de este proyecto radica en la posibilidad de ver que un sistema de informacin no se queda en la superpie del cdigo o el diseo de hardware o las comunicaciones; hay toda una estructura detrs que ha de funcionar para que el sistema no sufra una amenaza frente a la cual no est preparado. Los recursos tcnicos, humanos, la logstica, la jerarqua de mando, la divisin de tareas, la estructura conocida del sistema, etc. son factores muy importantes en un sistema de 188
Conclusin informacin. Disear es importante, evaluar es importante, documentar es importante, planificar es importante, todo es importante en un SI. Pero hay otra propiedad que hay que tener en cuenta: la seguridad debe ser diseada e implantada a partir de la realizacin de un AGR que permita conocer de forma exacta cuales son los riegos a los que un sistema est sometido. Un sistema de informacin es, en muchos casos, la base para el correcto funcionamiento de una organizacin; hay que saber mantenerlo y estar preparado para cualquier incidencia. Por ltimo dar las gracias a dos personas que han hecho posible este proyecto y me han ayudado en todo lo que han podido, dndome consejos y alentndome a realizarlo. stas dos personas son Ramn Arias Ruiz de Somavia quien me ha dirigido y ayudado en todo lo que le he pedido y ha estado en su mano, y Jos Mara Ortz Lozano quien me ha proporcionado toda la informacin que le he pedido acerca de iMat y me ha ayudado en todo lo que he necesitado, incluso en momentos en los que no tenia tiempo ni para su propio trabajo. Muchas gracias a los dos.
189
Anexos
190
Anexo
Amenazas
Amenazas
Las amenazas presentadas a continuacin son las descritas en Magerit y por consiguiente, las que se aplican en el AGR de iMat, realizado con EAR. Los activos se asocian a las amenazas que, se cree, pueden sufrir. Esta relacin amenaza-activo se encuentra descrita en Magerit en el captulo Catlogo de elementos. Para ver la relacin en iMat se recomienda consultar el informe mapa de riesgos, obtenido del anlisis de riesgos.
191
Anexo [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.7] Deficiencias en la organizacin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.15] Alteracin de la informacin [E.16] Introduccin de falsa informacin [E.17] Degradacin de la informacin [E.18] Destruccin de la informacin [E.19] Divulgacin de la informacin [E.20] Vulnerabilidades de los programas (software)
Amenazas
[E.21] Errores de mantenimiento/actualizacin de programas (software) [E.23] Errores de mantenimiento/actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [E.28] Indisponibilidad del personal
192
Anexo [A.10] Alteracin de la secuencia [A.11] Acceso no autorizado [A.12] Anlisis de trfico [A.13] Repudio [A.14] Intercepcin de informacin (escucha) [A.15] Modificacin de informacin [A.16] Introduccin de falsa informacin [A.17] Corrupcin de la informacin [A.18] Destruccin de la informacin [A.19] Divulgacin de la informacin [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo [A.27] Ocupacin enemiga [A.28] Indisponibilidad del personal [A.29] Extorsin [A.30] Ingerira Social
Amenazas
193
Anexo
Definiciones y Acrnimos
Definiciones y Acrnimos
Definiciones
ACREDITACIN: Autorizacin otorgada a un sistema para manejar cierto tipo de informacin como, por ejemplo, informacin clasificada hasta un determinado nivel y en unas condiciones especificas. ACTIVO: Recurso del Sistema de Informacin o relacionado con ste, necesario para que la organizacin funcione correctamente y alcance los objetivos propuestos por la direccin. AMENAZA: Evento que puede desencadenar un incidente en la organizacin, produciendo daos o prdidas materiales o inmateriales en sus activos. ANLISIS DE RIESGOS: Proceso que permite la identificacin de las amenazas que acechan a los distintos activos del sistema de informacin para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede tener para la organizacin, obteniendo cierto conocimiento del riesgo que se corre. CONFIDENCIALIDAD: Condicin de seguridad que garantiza que la informacin no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. DISPONIBILIDAD: Situacin que se produce cuando se puede acceder a la informacin contenida en un Sistema, a sus recursos y servicios, conforme a las especificaciones del mismo. Previene contra la denegacin no autorizada de acceso a la informacin o sistemas. 194
Definiciones y Acrnimos Proceso basado en los resultados obtenidos del Anlisis de Riesgos, que permite seleccionar e implantar las medidas o salvaguardas de seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados reduciendo de esta manera al mnimo su potencialidad o sus posibles perjuicios.
IMPACTO:
INCIDENTE:
Cualquier evento no esperado o no deseado que pueda comprometer la seguridad del sistema.
INFOSEC:
Proteccin de la informacin almacenada, procesada o transmitida, por Sistemas de Informacin y Telecomunicaciones, mediante la aplicacin de las medidas necesarias que aseguren o garanticen la confidencialidad, integridad y disponibilidad de la informacin y la integridad y disponibilidad de los propios sistemas.
INTEGRIDAD:
Condicin
de
seguridad
que
garantiza
que
la
informacin/sistema no ha sido modificada o alterada por personas, entidades o procesos no autorizados. LIMITACIONES: Son restricciones o factores a considerar cuando se seleccionan o implantan las salvaguardas de seguridad, como por ejemplo, limitaciones organizativas, financieras, ambientales, legales, tcnicas, culturales, sociales, etc.
195
Definiciones y Acrnimos Conjunto de normas reguladoras, reglas, procedimientos, responsabilidades y prcticas que determinan el modo en que los activos, incluyendo la informacin considerada como sensible, son gestionados, protegidos y distribuidos dentro de una organizacin.
RIESGO RESIDUAL:
RIESGO:
Posibilidad de que se produzca un impacto determinado en un activo, en un conjunto de activos o en toda la organizacin causando un dao en alguna de sus dimensiones.
SISTEMA DE INFORMACIN;
Conjunto de elementos hardware, software, datos y usuarios, que interconectados transmisin, permiten el y almacenamiento, transformacin
recuperacin de la informacin. VULNERABILIDAD: Debilidad de un activo que puede ser explotada por una amenaza para materializar una agresin sobre dicho activo.
196
Anexo
Definiciones y Acrnimos
Acrnimos
AENOR: ADP: AGR: ASP: CCN: CD-ROM: CNI: COM+: CPD: CSNC: DES: DFD: DRES: EAR: HTTP: HTTPS: HW: IEC: IIS: Asociacin Espaola de Normalizacin y Certificacin. Automatic Data Processing. Anlisis y Gestin de Riesgos. Active Server Pages. Centro Criptolgico Nacional. Compact Disc-Read-Only Memory. Centro Nacional de Inteligencia. Component Object Model. Centro de Produccin de Documentos. Criterios de Seguridad, Normalizacin y Conservacin. Data Encryption Standard. Data Flor Diagram. Declaracin de Requisitos Especficos de Seguridad. Entorno de Anlisis de Riesgos. Hyper Text Transport Protocol. Hyper Text Transport Protocol Secure. Hardware. International Electrotechnical Commission. Internet Information Services/Server.
197
Anexo iMat: IPSEC: ISDEFE: ISO: LAN: MAGERIT: Sistema de Matriculacin de UPCO. Internet Protocol Secure.
Definiciones y Acrnimos
Ingeniera de Sistema para la Defensa de Espaa S.A. International Organization for Standardization. Red de rea Local. Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin.
Media Access Control. Microsoft. Organizacin del Tratado del Atlntico Norte. Personal Computer. Procedimiento Informtico-Lgico para el Anlisis de Riesgos Procedimientos Operativos de Seguridad. Redundant Array of Independent Disks. Reglamento de medidas de seguridad. Structured Analysis and Design Technique.
S.O.:
Sistema Operativo.
Sistema de Alimentacin Ininterrumpida. Small Computer System Interface. Security Operating Procedures.
198
Anexo SQL: STIC: SW: TCP/IP: TI: UE: UNE: UPCO USB: VB 6.0: Structured Query Language.
Definiciones y Acrnimos
Servicio de Sistemas y tecnologas de la Informacin y Comunicacin. Software. Transport Control Protocol / Internet Protocol. Tecnologa de la Informacin. Unin Europea. Una Norma Espaola. Universidad Pontificia de Comillas. Universal Serial Bus. Visual Basic 6.0.
199
Modelo de Valor
Proyecto: IMAT Sistema de Matriculacin 1. Datos del proyecto .............................................................................. 202 2. Dimensiones......................................................................................... 202 3. Activos ................................................................................................. 202
rbol de activos ......................................................................................................202 Resumen de valoracin ...........................................................................................203 Grupos de activos....................................................................................................205 3.1.1. [SERV] Servidores...................................................................................... 205 3.1.2. [POWER] Sistema de alimentacin............................................................ 205 3.1.3. [TEMP] Sistema de climatizacin .............................................................. 205 Descripcin detallada..............................................................................................205 [MAT] Matriculacin..............................................................................................205 [IMPR_BEC] Impresin Becarios ..........................................................................206 [I_A] Informacin Alumnos ...................................................................................206 [I_B] Informacin Becarios ....................................................................................207 [I_ASIG] Informacin Asignaturas ........................................................................207 [I_DEP] Informacin departamentos......................................................................208 [I_STIC] Informacin STIC ...................................................................................209 [I_CONF] Informacin de configuracin ...............................................................209 [I_LOG] Informacin de Log .................................................................................209 [I_COD] Cdigo Fuente .........................................................................................210 [IMAT] iMat ...........................................................................................................210 200
[IMATBEC] iMatbecarios ......................................................................................211 [BBDD] SQL Server 2000......................................................................................212 [SO] Sistema Operativo ..........................................................................................212 [AV] Antivirus ........................................................................................................212 [VB] Visual Basic 6.0 .............................................................................................213 [MON_TRANS] Monitor Transaccional ................................................................213 [SERV_BAL] Servidor de balanceo.......................................................................213 [SERV_WEB] Servidores Web ..............................................................................214 [SERV_FICH] Servidor de Ficheros ......................................................................214 [SERV_DAT] Servidor de Datos............................................................................215 [SERV_BACK] Servidor de back-up .....................................................................216 [IMP_BEC] Impresora becarios .............................................................................217 [PC_BEC] PC Becarios ..........................................................................................217 [PC_MAT] PC Matriculacin.................................................................................218 [SWITCH] Switch ..................................................................................................218 [CAJ_SEG] Caja de Seguridad...............................................................................219 [LAN] Red de rea local .........................................................................................219 [INT] Internet..........................................................................................................220 [FIRE] Firewall.......................................................................................................220 [POWER_AA23] Sistema de Alimentacin sala servidores ..................................221 [POWER_AA25] Sistema alimentacin sala auxiliar ............................................221 [TEMP_AA23] Sistema de climatizacin sala servidores......................................222 [TEMP_AA25] sistema climatizacin sala auxiliar ...............................................222 [SERV_AA23] Servidores......................................................................................222 [SERV_AA25] Servidor auxiliar............................................................................223 [BEC_AA21] Emplazamiento becarios ..................................................................223 201
[ADM] Administradores.........................................................................................224 [SG] Secretara General ..........................................................................................224 [BEC] Becarios .......................................................................................................224 [ALUM] Alumnos ..................................................................................................225
Dimensiones
o [D] disponibilidad o [I] integridad de los datos o [C] confidencialidad de los datos
Activos
rbol de activos
[S] Servicios [MAT] Matriculacin [IMPR_BEC] Impresin Becarios [I] Informacin [I_A] Informacin Alumnos [I_B] Informacin Becarios [I_ASIG] Informacin Asignaturas [I_DEP] Informacin departamentos [I_STIC] Informacin STIC [I_CONF] Informacin de configuracin [I_LOG] Informacin de Log [I_COD] Cdigo Fuente [A] Aplicaciones [IMAT] iMat [IMATBEC] iMatbecarios [SW_BASE] Software base [BBDD] SQL Server 2000 [SO] Sistema Operativo [AV] Antivirus [VB] Visual Basic 6.0 [MON_TRANS] Monitor Transaccional
202
Resumen de valoracin
[S] Servicios
activo [D] [I] [C] [MAT] Matriculacin [7](1) [IMPR_BEC] Impresin Becarios [3](2) (1) (2) [7.lg.b] por afectar gravemente a las relaciones con el pblico en general [3.po] Orden pblico: causa de protestas puntuales
[I] Informacin
activo [D] [I_A] Informacin Alumnos [I_ASIG] Informacin Asignaturas [I_DEP] Informacin departamentos [I_STIC] Informacin STIC [I_CONF] Informacin de configuracin [I] [C] [6](1) [3](2) [3](3) [2](4) [1](5)
203
(8)
[6.lbl] Datos clasificados como de difusin limitada [3.lbl] Datos clasificados como de difusin limitada [3.lbl] Datos clasificados como de difusin limitada [2.lbl] Datos clasificados como sin clasificar [1.lbl] Datos clasificados como sin clasificar [1.olm] Pudiera mermar la eficacia o seguridad de la misin operativa o logstica (alcance local) [1.lg] Pudiera causar una prdida menor de la confianza dentro de la Organizacin [1.olm] Pudiera mermar la eficacia o seguridad de la misin operativa o logstica (alcance local) [1.iio] Pudiera causar algn dao menor a misiones importantes de inteligencia o informacin [1.lg] Pudiera causar una prdida menor de la confianza dentro de la Organizacin [1.olm] Pudiera mermar la eficacia o seguridad de la misin operativa o logstica (alcance local) [1.iio] Pudiera causar algn dao menor a misiones importantes de inteligencia o informacin
[A] Aplicaciones
activo [D] [I] [C] [IMAT] iMat [7](1) (1) [7.da] Probablemente cause una interrupcin seria de las actividades propias de la Organizacin con un impacto significativo en otras organizaciones [7.adm] Administracin y gestin: probablemente impedira la operacin efectiva de la organizacin [7.lg.b] por afectar gravemente a las relaciones con el pblico en general [7.olm] Probablemente cause perjudique la eficacia o seguridad de la misin operativa o logstica [7.cei.c] causa de graves prdidas econmicas
[E] Equipamiento
activo [SERV_WEB] Servidores Web [SERV_BACK] Servidor de back-up [IMP_BEC] Impresora becarios [PC_MAT] PC Matriculacin [CAJ_SEG] Caja de Seguridad (1) [D] [I] [C] [7](1) [1](2) [2](3) [1](4) [1](5) [4](6) [4](7)
[7.adm] Administracin y gestin: probablemente impedira la operacin efectiva de la organizacin [5.da] Probablemente cause la interrupcin de actividades propias de la Organizacin con impacto en otras organizaciones [1.iio] Pudiera causar algn dao menor a misiones importantes de inteligencia o informacin [2.cei.b] de bajo valor comercial [1.iio] Pudiera causar algn dao menor a misiones importantes de inteligencia o informacin [1.po] Orden pblico: pudiera causar protestas puntuales [0.1] no afectara a la seguridad de las personas
204
[0.2] sera causa de inconveniencias mnimas a las partes afectadas [1.po] Orden pblico: pudiera causar protestas puntuales [4.lbl] Datos clasificados como de difusin limitada [4.pi1] Informacin personal: probablemente afecte a un grupo de individuos [4.pi2] Informacin personal: probablemente quebrante leyes o regulaciones [4.crm] Dificulte la investigacin o facilite la comisin de delitos [4.lbl] Datos clasificados como de difusin limitada
Grupos de activos
1.1.1. [SERV] Servidores
o o o o o [SERV_BAL] Servidor de balanceo [SERV_WEB] Servidores Web [SERV_FICH] Servidor de Ficheros [SERV_DAT] Servidor de Datos [SERV_BACK] Servidor de back-up
205
Valoracin dimensin valor valor acumulado [D] disponibilidad [7](1) [7] (1) [7.lg.b] por afectar gravemente a las relaciones con el pblico en general
206
Superiores (activos que dependen de este) o [MAT] Matriculacin o [I_LOG] Informacin de Log Inferiores (activos de los que depende este) o [IMAT] iMat o [SG] Secretara General Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [1] [C] confidencialidad de los datos [6](1) [6] (1) [6.lbl] Datos clasificados como de difusin limitada
207
Informacin relativa a las asignaturas existentes en la universidad y que pueden llegar a impartirse
Superiores (activos que dependen de este) o [MAT] Matriculacin o [I_LOG] Informacin de Log Inferiores (activos de los que depende este) o [IMAT] iMat Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [1] [C] confidencialidad de los datos [3](1) [3] (1) [3.lbl] Datos clasificados como de difusin limitada
208
Superiores (activos que dependen de este) o [MAT] Matriculacin o [IMPR_BEC] Impresin Becarios Inferiores (activos de los que depende este) o [IMAT] iMat o [IMATBEC] iMatbecarios Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [C] confidencialidad de los datos [1](1) [1] (1) [1.lbl] Datos clasificados como sin clasificar
209
(3)
[1.olm] Pudiera mermar la eficacia o seguridad de la misin operativa o logstica (alcance local) [1.lg] Pudiera causar una prdida menor de la confianza dentro de la Organizacin [1.olm] Pudiera mermar la eficacia o seguridad de la misin operativa o logstica (alcance local) [1.iio] Pudiera causar algn dao menor a misiones importantes de inteligencia o informacin [1.lg] Pudiera causar una prdida menor de la confianza dentro de la Organizacin [1.olm] Pudiera mermar la eficacia o seguridad de la misin operativa o logstica (alcance local) [1.iio] Pudiera causar algn dao menor a misiones importantes de inteligencia o informacin
[IMAT] iMat
o [SW] Aplicaciones (software) o [SW.prp] desarrollo propio (in house)
210
[IMATBEC] iMatbecarios
o [SW] Aplicaciones (software) o [SW.prp] desarrollo propio (in house)
211
Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [1] [C] confidencialidad de los datos [2]
[AV] Antivirus
o [SW] Aplicaciones (software) o [SW.std] estndar (off the shelf) o [SW.std.av] anti virus
212
213
Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [7] [C] confidencialidad de los datos [6]
215
Localizacin Alberto Aguilera 23, Tercera panta, habitacin de servidores situado en STIC Disponibilidad Asegurada mediante un HW idntico de reserva por si hay que hacer un recambio de componentes o un cambio completo de la mquina. A su vez existe una garanta 24x7x4. Usa discos RAID se hace una copia cada cinco minutos en un servidor localizado en un lugar Back-up remoto (Alberto Aguilera 21) Superiores (activos que dependen de este) o [BBDD] SQL Server 2000 o [SERV_BACK] Servidor de back-up Inferiores (activos de los que depende este) o [FIRE] Firewall o [ADM] Administradores Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [7] [C] confidencialidad de los datos [6]
216
[PC_BEC] PC Becarios
o o o o o o o [SW] Aplicaciones (software) [SW.std] estndar (off the shelf) [SW.std.browser] navegador web [SW.std.os] sistema operativo [HW] Equipamiento informtico (hardware) [HW.pc] informtica personal [HW.easy] fcilmente reeemplazable
217
[PC_MAT] PC Matriculacin
o o o o o o o o o [SW] Aplicaciones (software) [SW.std] estndar (off the shelf) [SW.std.browser] navegador web [SW.std.www] servidor de presentacin [SW.std.os] sistema operativo [SW.std.other] otra ... [HW] Equipamiento informtico (hardware) [HW.pc] informtica personal [HW.easy] fcilmente reeemplazable
[SWITCH] Switch
o o o o o [HW] Equipamiento informtico (hardware) [HW.network] soporte de la red [HW.network.switch] switches [HW.network.firewall] cortafuegos [HW.network.wap] punto de acceso wireless
218
Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [7] [C] confidencialidad de los datos [6]
219
Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [7] [C] confidencialidad de los datos [6]
[INT] Internet
o [COM] Redes de comunicaciones o [COM.Internet] Internet o [COM.other] otras ...
[FIRE] Firewall
o o o o o o [SW] Aplicaciones (software) [SW.std] estndar (off the shelf) [SW.std.av] anti virus [HW] Equipamiento informtico (hardware) [HW.network] soporte de la red [HW.network.firewall] cortafuegos
220
de datos (BBDD), al de ficheros, al de balanceo y a los servidores Web. Esto desencadenaria un error en cadena en todo el sistema de informacin Superiores (activos que dependen de este) o [SERV_BAL] Servidor de balanceo o [SERV_DAT] Servidor de Datos Inferiores (activos de los que depende este) o [SWITCH] Switch Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [7] [C] confidencialidad de los datos [6]
221
[SERV_AA23] Servidores
o [L] Instalaciones o [L.site] emplazamiento o [L.building] edificio
222
Inferiores (activos de los que depende este) o [POWER_AA23] Sistema de Alimentacin sala servidores o [TEMP_AA23] Sistema de climatizacin sala servidores Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [7] [C] confidencialidad de los datos [6]
223
[ADM] Administradores
o o o o [P] Personal [P.adm] administradores de sistemas [P.com] administradores de comunicaciones [P.dba] administradores de BBDD
[BEC] Becarios
o [P] Personal o [P.ui] usuarios internos o [P.op] operadores
Valoracin dimensin valor valor acumulado [D] disponibilidad [7] [I] integridad de los datos [1] [C] confidencialidad de los datos [2]
[ALUM] Alumnos
o [P] Personal o [P.ue] usuarios externos o [P.ui] usuarios internos
225
Mapa de Riesgos
Proyecto: IMAT
Sistema de Matriculacin
1. Datos del proyecto .............................................................................. 230 2. Dimensiones......................................................................................... 230 3. Amenazas por activo .......................................................................... 230
3.1. [MAT] Matriculacin.......................................................................................230 3.2. [IMPR_BEC] Impresin Becarios ...................................................................230 3.3. [I_A] Informacin Alumnos ............................................................................230 3.4. [I_B] Informacin Becarios .............................................................................231 3.5. [I_ASIG] Informacin Asignaturas .................................................................231 3.6. [I_DEP] Informacin departamentos ...............................................................231 3.7. [I_STIC] Informacin STIC ............................................................................232 3.8. [I_CONF] Informacin de configuracin ........................................................232 3.9. [I_LOG] Informacin de Log ..........................................................................232 3.10. [I_COD] Cdigo Fuente ................................................................................232 3.11. [IMAT] iMat ..................................................................................................233 3.12. [IMATBEC] iMatbecarios .............................................................................233 3.13. [BBDD] SQL Server 2000.............................................................................234 3.14. [SO] Sistema Operativo .................................................................................234 3.15. [AV] Antivirus ...............................................................................................234 3.16. [VB] Visual Basic 6.0 ....................................................................................235 3.18. [SERV_BAL] Servidor de balanceo..............................................................236 3.19. [SERV_WEB] Servidores Web .....................................................................237
226
3.20. [SERV_FICH] Servidor de Ficheros .............................................................237 3.21. [SERV_DAT] Servidor de Datos...................................................................238 3.22. [SERV_BACK] Servidor de back-up ............................................................239 3.23. [IMP_BEC] Impresora becarios ....................................................................240 3.24. [PC_BEC] PC Becarios .................................................................................240 3.25. [PC_MAT] PC Matriculacin........................................................................241 3.26. [SWITCH] Switch .........................................................................................241 3.27. [CAJ_SEG] Caja de Seguridad......................................................................242 3.28. [LAN] Red de rea local ................................................................................242 3.29. [INT] Internet.................................................................................................243 3.30. [FIRE] Firewall..............................................................................................243 3.31. [POWER_AA23] Sistema de Alimentacin sala servidores .........................244 3.32. [POWER_AA25] Sistema alimentacin sala auxiliar ...................................244 3.33. [TEMP_AA23] Sistema de climatizacin sala servidores.............................245 3.34. [TEMP_AA25] sistema climatizacin sala auxiliar ......................................245 3.35. [SERV_AA23] Servidores.............................................................................245 3.36. [SERV_AA25] Servidor auxiliar...................................................................245 3.37. [BEC_AA21] Emplazamiento becarios .........................................................246 3.38. [ADM] Administradores................................................................................246 3.39. [SG] Secretara General .................................................................................246 3.40. [BEC] Becarios ..............................................................................................246 3.41. [ALUM] Alumnos .........................................................................................246
227
4.3. [N.*] Desastres naturales .................................................................................247 4.4. [I.1] Fuego........................................................................................................247 4.5. [I.2] Daos por agua ........................................................................................248 4.6. [I.*] Desastres industriales...............................................................................248 4.7. [I.3] Contaminacin mecnica .........................................................................248 4.8. [I.4] Contaminacin electromagntica.............................................................249 4.9. [I.5] Avera de origen fsico o lgico...............................................................249 4.10. [I.6] Corte del suministro elctrico ................................................................250 4.11. [I.7] Condiciones inadecuadas de temperatura y/o humedad ........................250 4.12. [I.8] Fallo de servicios de comunicaciones....................................................250 4.13. [I.9] Interrupcin de otros servicios y suministros esenciales .......................250 4.14. [I.11] Emanaciones electromagnticas ..........................................................251 4.15. [E.1] Errores de los usuarios..........................................................................251 4.16. [E.2] Errores del administrador......................................................................251 4.17. [E.3] Errores de monitorizacin (log)............................................................252 4.18. [E.4] Errores de configuracin.......................................................................252 4.19. [E.7] Deficiencias en la organizacin ............................................................253 4.20. [E.8] Difusin de software daino .................................................................253 4.21. [E.9] Errores de [re-]encaminamiento ...........................................................254 4.22. [E.10] Errores de secuencia ...........................................................................254 4.23. [E.14] Escapes de informacin ......................................................................254 4.24. [E.15] Alteracin de la informacin ..............................................................255 4.25. [E.16] Introduccin de falsa informacin ......................................................255 4.26. [E.17] Degradacin de la informacin...........................................................255 4.27. [E.18] Destruccin de la informacin............................................................255 4.28. [E.19] Divulgacin de informacin ...............................................................255 228
4.29. [E.20] Vulnerabilidades de los programas (software) ...................................256 4.30. [E.21] Errores de mantenimiento / actualizacin de programas (software)...256 4.31. [E.23] Errores de mantenimiento / actualizacin de equipos (hardware)......257 4.32. [E.24] Cada del sistema por agotamiento de recursos ..................................257 4.33. [E.28] Indisponibilidad del personal..............................................................257 4.34. [A.4] Manipulacin de la configuracin ........................................................257 4.35. [A.5] Suplantacin de la identidad del usuario..............................................258 4.36. [A.6] Abuso de privilegios de acceso ............................................................258 4.37. [A.8] Difusin de software daino.................................................................259 4.38. [A.9] [Re-]encaminamiento de mensajes.......................................................259 4.39. [A.10] Alteracin de secuencia......................................................................259 4.40. [A.11] Acceso no autorizado .........................................................................260 4.41. [A.12] Anlisis de trfico...............................................................................261 4.42. [A.14] Intercepcin de informacin (escucha) ..............................................261 4.43. [A.15] Modificacin de informacin .............................................................261 4.44. [A.16] Introduccin de falsa informacin......................................................261 4.45. [A.17] Corrupcin de la informacin.............................................................261 4.46. [A.18] Destruccin de la informacin ...........................................................262 4.47. [A.19] Divulgacin de informacin...............................................................262 4.48. [A.22] Manipulacin de programas ...............................................................262 4.49. [A.24] Denegacin de servicio ......................................................................262 4.50. [A.25] Robo de equipos .................................................................................263 4.51. [A.26] Ataque destructivo..............................................................................263 4.52. [A.28] Indisponibilidad del personal .............................................................263 4.53. [A.29] Extorsin ............................................................................................263 4.54. [A.30] Ingeniera social .................................................................................264 229
Dimensiones
o [D] disponibilidad o [I] integridad de los datos o [C] confidencialidad de los datos
amenaza frecuencia [D] [E.1] Errores de los usuarios 100 10% [E.2] Errores del administrador 50 40% [E.3] Errores de monitorizacin (log) 1 50% [E.4] Errores de configuracin 0,5 50% [E.15] Alteracin de la informacin 10 [E.16] Introduccin de falsa informacin 100 [E.18] Destruccin de la informacin 10 20% [E.19] Divulgacin de informacin 1 [A.4] Manipulacin de la configuracin 0,1 50% [A.11] Acceso no autorizado 100 [A.15] Modificacin de informacin 10 [A.16] Introduccin de falsa informacin 20 [A.17] Corrupcin de la informacin 10 [A.18] Destruccin de la informacin 10 100% [A.19] Divulgacin de informacin 10
100%
231
232
[IMAT] iMat
amenaza [I.5] Avera de origen fsico o lgico [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas frecuencia 1 100 2 1 2 100 0,5 0,1 0,5 1 10 1 100 5 10 0,1 0,05 5 0,5 20 [D] 50% 20% 20% 20% 50% 50% [I] 50% 20% 10% 50% 1% 10% 20% 40% [C] 10% 10% 10% 50% 10% 20% 20% 40%
50% 50% 50% 80% 10% 10% 100% 100% 100% 10% 100% 50% 10% 50% 50% 100% 100% 100%
[IMATBEC] iMatbecarios
amenaza [I.5] Avera de origen fsico o lgico [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas frecuencia 1 100 2 1 2 100 0,5 0,1 0,5 1 10 1 20 5 10 0,1 0,05 5 0,5 20 [D] 50% 1% 20% 50% 10% [I] 10% 20% 10% 10% 1% 10% 20% 1% [C] 10% 10% 10% 10% 1% 20% 1%
1% 1% 50%
50% 50% 50% 50% 10% 10% 100% 100% 100% 10% 100% 50% 10% 50% 50% 100% 100%
233
1% 1% 50%
50% 50% 100% 100% 10% 10% 100% 100% 100% 10% 100% 50% 10% 50% 50% 100% 100%
[AV] Antivirus
amenaza frecuencia [D] [I] [C]
234
[I.5] Avera de origen fsico o lgico [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas
235
[E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas
1% 10% 20% 10% 10% 10% 10% 20% 1% 10% 10% 10% 10% 1% 20% 1%
236
1% 10% 20% 10% 10% 1% 10% 20% 1% 10% 10% 10% 10% 1% 20% 1%
1% 1% 10%
50% 50% 100% 50% 10% 50% 100% 100% 100% 10% 100% 50% 10% 50% 50% 100% 100% 100% 100% 10% 100%
237
[I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.11] Emanaciones electromagnticas [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.15] Alteracin de la informacin [E.16] Introduccin de falsa informacin [E.17] Degradacin de la informacin [E.18] Destruccin de la informacin [E.19] Divulgacin de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.15] Modificacin de informacin [A.16] Introduccin de falsa informacin [A.17] Corrupcin de la informacin [A.18] Destruccin de la informacin [A.19] Divulgacin de informacin [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
238
[I.7] Condiciones inadecuadas de temperatura y/o humedad [I.11] Emanaciones electromagnticas [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
1% 1% 10%
50% 50% 100% 100% 10% 50% 100% 100% 100% 10% 100% 50% 10% 50% 100% 100% 100% 100% 100% 10% 100%
50% 50%
1% 1%
239
[E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
[PC_BEC] PC Becarios
amenaza [N.*] Desastres naturales [I.1] Fuego [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.11] Emanaciones electromagnticas [E.1] Errores de los usuarios [E.4] Errores de configuracin [E.8] Difusin de software daino [E.10] Errores de secuencia [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos frecuencia 0,1 0,5 0,1 1 1 1 20 1 20 2 100 0,1 1 10 1 [D] [I] [C] 100% 100% 50% 10% 50% 100% 100% 1% 50% 10% 1% 1% 10%
240
[PC_MAT] PC Matriculacin
amenaza [N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.11] Emanaciones electromagnticas [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo frecuencia 0,1 0,5 0,1 0,1 1 1 1 20 1 20 2 1 2 100 0,5 0,1 0,5 1 10 1 10 1 20 5 10 0,1 0,05 5 0,5 20 10 5 100 [D] [I] [C] 100% 100% 100% 50% 10% 50% 100% 100% 1% 50% 50% 10%
[SWITCH] Switch
amenaza frecuencia [D] [I] [C]
241
[N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.11] Emanaciones electromagnticas [E.2] Errores del administrador [E.4] Errores de configuracin [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
242
[I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [I.11] Emanaciones electromagnticas [E.2] Errores del administrador [E.4] Errores de configuracin [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.12] Anlisis de trfico [A.14] Intercepcin de informacin (escucha) [A.24] Denegacin de servicio
50%
[INT] Internet
[I] [C] amenaza frecuencia [D] [N.1] Fuego 0,1 100% [N.2] Daos por agua 0,1 50% [N.*] Desastres naturales 0,1 100% [I.*] Desastres industriales 0,1 100% [I.3] Contaminacin mecnica 0,05 50% [I.4] Contaminacin electromagntica 1 10% [I.5] Avera de origen fsico o lgico 1 50% [I.6] Corte del suministro elctrico 1 100% [I.7] Condiciones inadecuadas de temperatura y/o humedad 10 100% [I.8] Fallo de servicios de comunicaciones 100 100% [I.11] Emanaciones electromagnticas 1 1% [E.2] Errores del administrador 1 50% 1% 10% [E.4] Errores de configuracin 1 50% 1% 10% [E.9] Errores de [re-]encaminamiento 5 1% 1% [E.10] Errores de secuencia 2 10% [E.24] Cada del sistema por agotamiento de recursos 1 50% [A.4] Manipulacin de la configuracin 1 50% 10% 20% [A.6] Abuso de privilegios de acceso 1 10% 50% [A.9] [Re-]encaminamiento de mensajes 2 10% 10% [A.11] Acceso no autorizado 10 10% 50% [A.12] Anlisis de trfico 0,33 2% [A.14] Intercepcin de informacin (escucha) 5 20% [A.24] Denegacin de servicio 10 50%
[FIRE] Firewall
amenaza [N.*] Desastres naturales frecuencia [D] 0,1 100% [I] [C]
243
[I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.11] Emanaciones electromagnticas [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.14] Escapes de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
1% 1% 10%
50% 50% 10% 50% 100% 100% 100% 10% 100% 50% 10% 50% 50% 100% 100% 100% 100% 100%
80% 50%
244
[I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.9] Interrupcin de otros servicios y suministros esenciales
[SERV_AA23] Servidores
amenaza frecuencia [D] [I] [C] [N.*] Desastres naturales 0,5 50% [I.1] Fuego 1 50% [I.*] Desastres industriales 1 50% [A.11] Acceso no autorizado 0,5 10% 10% [A.26] Ataque destructivo 0,5 100% 50%
245
[ADM] Administradores
amenaza frecuencia [D] [I] [C] [E.7] Deficiencias en la organizacin 1 10% [E.19] Divulgacin de informacin 1 [E.28] Indisponibilidad del personal 1 1% [A.19] Divulgacin de informacin 1 [A.28] Indisponibilidad del personal 1 10% [A.29] Extorsin 0,9 100% 100% [A.30] Ingeniera social 0,5 100% 100%
[BEC] Becarios
amenaza frecuencia [D] [I] [C] [E.7] Deficiencias en la organizacin 1 10% [E.19] Divulgacin de informacin 1 [E.28] Indisponibilidad del personal 1 1% [A.19] Divulgacin de informacin 1 [A.28] Indisponibilidad del personal 1 10% [A.29] Extorsin 0,9 100% 100% [A.30] Ingeniera social 0,5 100% 100%
[ALUM] Alumnos
amenaza frecuencia [D] [I] [C] [E.19] Divulgacin de informacin 1 [E.28] Indisponibilidad del personal 1 1% [A.19] Divulgacin de informacin 1 [A.29] Extorsin 0,9 100% 100% [A.30] Ingeniera social 0,5 100% 100%
246
[I.1] Fuego
activo [SERV_BAL] Servidor de balanceo [SERV_WEB] Servidores Web [SERV_FICH] Servidor de Ficheros [SERV_DAT] Servidor de Datos [SERV_BACK] Servidor de back-up [IMP_BEC] Impresora becarios [PC_BEC] PC Becarios [PC_MAT] PC Matriculacin [SWITCH] Switch [CAJ_SEG] Caja de Seguridad [FIRE] Firewall frecuencia 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 [D] [I] [C] 100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
247
248
249
250
251
50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50%
252
20% 10% 10% 10% 10% 50% 10% 10% 50% 10% 10%
50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50%
1% 1% 1% 10%
253
254
1% 1% 1% 1% 1% 1%
activo frecuencia [D] [I] [C] [I_A] Informacin Alumnos 1 40% [I_B] Informacin Becarios 1 10% [I_COD] Cdigo Fuente 1 [SERV_FICH] Servidor de Ficheros 1 10% [CAJ_SEG] Caja de Seguridad 1 10% [ADM] Administradores 1 [SG] Secretara General 1 [BEC] Becarios 1 [ALUM] Alumnos 1
20% 20%
256
257
50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50% 50%
50%
258
259
260
261
262
[A.29] Extorsin
activo frecuencia [D] [I] [C] [ADM] Administradores 0,9 100% 100% [SG] Secretara General 0,9 100% 100% [BEC] Becarios 0,9 100% 100% [ALUM] Alumnos 0,9 100% 100%
263
264
Evaluacin de Salvaguardas
Proyecto: IMAT Sistema de Matriculacin 1. Datos del proyecto .............................................................................. 265 2. Planos................................................................................................... 265 3. Fases..................................................................................................... 265 4. Plano: [base] Matriculacin .............................................................. 266
4.1. Marco de gestin..............................................................................................266 4.2. Servicios...........................................................................................................271 4.3. Datos / Informacin .........................................................................................273 4.4. Aplicaciones informticas (SW) ......................................................................276 4.5. Equipos informticos (HW).............................................................................278 4.6. Comunicaciones...............................................................................................280 4.7. Elementos auxiliares ........................................................................................284 4.8. Seguridad fsica................................................................................................285 4.9. Personal............................................................................................................287
Planos
o [base] Matriculacin
Fases
265
Marco de gestin
salvaguarda Organizacin Comit de gestin de seguridad de la informacin (forum) Est respaldado por la direccin Define claramente las funciones de seguridad Aprueba las designaciones de responsables de seguridad Identifica los objetivos de seguridad Revisa, evala y aprueba la poltica de seguridad Asegura la coordinacin en materia de seguridad dentro de la organizacin Coordinacin de la seguridad de la informacin Se garantiza que las actividades de seguridad se llevan a cabo segn la poltica Se aprueban metodologas, procedimientos, normas, etc. Asignacin de responsabilidades para la seguridad de la informacin Se identifican claramente los activos y los procesos de seguridad asociados con cada sistema especfico Se nombra al responsable de cada activo o proceso de seguridad Se documentan los detalles de cada responsabilidad Se definen y documentan claramente los niveles de autorizacin Roles identificados Responsable de seguridad TIC Responsable de seguridad de la informacin Responsable de seguridad del sistema (RSS) (autoridad delegada) Se dispone de asesoramiento especializado en seguridad Cooperacin entre organizaciones Se mantienen contactos con las autoridades Se mantienen contactos con los organismos reguladores Se mantienen contactos con los proveedores de servicios de informacin Se mantienen contactos con los operadores de telecomunicaciones Normativa de seguridad Poltica de Seguridad (documento) Poltica derivada de la Poltica de Seguridad Global de la Organizacin Est aprobado y respaldado por el responsable de la organizacin Todo el personal de la organizacin tiene acceso al documento Conocido y aceptado por los afectados Referencia normativa y procedimientos especficos Revisin peridica Documentacin de seguridad del sistema Documento de seguridad [Presente] 55% 40% 50% 30% 30% 60% 40% 20% n.a. n.a. n.a. 63% 70% 70% 50% n.a. 85% 100% 70% 40% 0% 55% 50% 50% 70% 50% 25% 21% 30% 30% 30% 10% 30% 10% 0% 0% [Solucin 1] 83% 83% 100% 90% 30% 60% 100% 100% 100% 100% 100% 92% 100% 70% 100% 100% 100% 100% 100% 100% 50% 55% 50% 50% 70% 50% 88% 73% 100% 100% 70% 70% 30% 50% 96% 100%
266
Documento de seguridad (LOPD) Los documentos de seguridad tienen asignado un responsable Documentacin basada en el anlisis de riesgos Est aprobado/respaldado por el responsable de la organizacin Todo el personal del sistema tiene acceso al documento Proceso de revisin definido (considera todos los posibles cambios que pueden afectar a los riesgos) Procedimientos operativos Guas para todas las funciones ordinarias Guas para situaciones excepcionales Revisin peridica Criterios de aceptacin para versiones o sistemas nuevos Documentacin Documentacin de seguridad Definicin y prueba de los procedimientos de operacin del sistema Definicin de procedimientos de recuperacin ante errores y de reinicio Comprobacin de la facilidad de uso Estudio de los efectos en el rendimiento y en la seguridad de su implantacin Definicin de un plan de contingencia Definicin de las medidas de seguridad a implantar Pruebas de aceptacin Formacin Certificacin independiente Acreditacin de sistemas Validacin de la documentacin de seguridad Plan de inspeccin Revisin Seguridad Fsica Revisin Seguridad de Personal Revisin Seguridad de Documentos Revisin INFOSEC Revisin Seguridad Criptogrfica Identificacin y autenticacin Identificacin de usuario Identificacin nica de todos los usuarios Registro de las identificaciones El sistema mantiene las autorizaciones de los usuarios Solo se permite una (1) sesin activa por usuario Herramientas de Identificacin y Autenticacin de usuario Modificacin o eliminacin de los autenticadores incluidos por defecto en los productos Limitacin del nmero de autenticadores necesarios por usuario Verificacin de la identidad de los usuarios previa entrega del autenticador Compromiso escrito de mantener la confidencialidad del autenticador Confirmacin de la recepcin de los autenticadores por los interesados {or} Mecanismo de autenticacin Contraseas
267
Gestin de contraseas Las contraseas iniciales sern temporales con una duracin limitada (mnima y mxima) Se cifran las contraseas almacenadas en el sistema Las contraseas de administracin se custodian en sobre lacrados convenientemente guardados en cajas de seguridad Uso de contrasea Los usuarios garantizan la confidencialidad de las contraseas Las contraseas no se incluyen en procesos automticos de conexin (cdigo SW, pginas Web, etc.) Se seleccionan contraseas fciles de recordar pero de difcil conjetura Contienen caracteres alfanumricos, con maysculas y minsculas No coinciden con el identificador de usuario, con nombres o fechas de nacimiento {xor} Token Generador de contraseas de un slo uso Token implementado en SW, con generador de nmeros pseudoaleatorio segn FIPS 140-2 o equivalente Token implementado en HW, con generador de nmeros pseudoaleatorio segn FIPS 140-2 o equivalente Token implementado en HW FIPS 140-2 de nivel 4 o equivalente {xor} Biometra Huella dactilar Geometra de la mano Iris Retina Tecleo Voz Texto manuscrito Otros ... Control de acceso lgico Norma para el control de accesos Basada en los requisitos de seguridad y del negocio Revisin de la norma Restriccin de acceso a la informacin Acceso a la informacin basado en la autorizacin y la necesidad de conocer Establecimiento de mens especficos para controlar los accesos a las funciones de las aplicaciones Control de los privilegios de los usuarios (lectura, escritura, borrado, ejecucin) Control de los privilegios de otras aplicaciones Segregacin de tareas Segregacin de tareas en roles Usuario del sistema Entrada de datos Autorizacin de datos Administrador del Sistema
78% 85% 100% 70% 100% 100% 100% 100% 100% 66% 87% 100% 100% 100% 100%
94% 85% 100% 70% 100% 100% 100% 100% 100% 93% 93% 100% 100% 100% 100%
268
Administrador de Seguridad Desarrollo y mantenimiento de sistemas Administracin de cambios Auditora de seguridad Medidas adicionales de control Prevenir la modificacin de datos de produccin por los operadores Prevenir el inicio de transacciones por los operadores Restriccin de acceso a las aplicaciones Control de acceso a la consola de logs Revisin de los periodos de vacaciones previstos de los operadores y programadores Supervisin de operaciones crticas Formacin en las funciones de cada rol del sistema Monitorizacin de todas las operaciones Registro de las operaciones Registro de usuario Procedimiento y registro de alta, activacin, modificacin y baja de las cuentas de usuario Comprobacin previa de la identidad de los usuarios y de los privilegios requeridos Aprobacin de los derechos de acceso por el propietario del servicio o de la informacin Comunicacin por escrito de sus derechos de acceso a los usuarios, y confirmacin de stos de su conocimiento Gestin de privilegios Identificacin de los perfiles de acceso y sus privilegios asociados Asignacin de los privilegios mnimos e imprescindibles para realizar las tareas autorizadas Separacin de responsabilidades Procedimiento de autorizacin de acceso Transaccin Aplicacin Proceso Informacin Registro de los privilegios de acceso Diferentes perfiles de acceso para administracin y seguridad Revisin de los derechos de acceso de los usuarios Revisin peridica de los registros de actividad en busca de acciones inapropiadas Registro y revisin peridica de los cambios en las autorizaciones de acceso Conexin en terminales (logon) Nmero limitado de intentos fallidos Tras un intento fallido existe un retardo hasta que el siguiente intento sea posible Slo se solicita la mnima informacin requerida durante la conexin No se ofrecen mensajes de ayuda durante la conexin Se valida la informacin de conexin slo tras rellenar todos sus datos de entrada No mostrar identificacin del sistema o aplicacin hasta que
269
termine el proceso de conexin Las contraseas no podrn ser almacenadas en ningn proceso automtico (macros, teclas de funcin, etc.) Identificacin automtica de terminales Identificacin de todos los terminales conectados a un "host" / servidor (direcciones MAC, IPs estticas, etc.) Identificacin no alterable por el usuario Desconexin automtica de terminales Desconexin automtica de sesiones o terminales inactivos de alto riesgo Gestin de incidencias Procedimientos de gestin de incidentes Definicin de procedimientos a seguir para todos los tipos potenciales de incidencias Procedimiento para fallos del sistema y prdidas de servicio Procedimiento en caso de denegacin de servicio Procedimiento ante errores que resultan de datos del negocio inexactos o incompletos Procedimiento ante violaciones de la confidencialidad Esquema de gestin Suspensin de los trabajos en el sistema afectado hasta que la incidencia sea resuelta Anlisis e identificacin de la causa Planificacin e implantacin de medidas Comunicacin con los afectados e implicados en la recuperacin de la incidencia Comunicacin de las acciones a la autoridad respectiva de la organizacin Recogida de pistas de auditora, atendiendo a su validez, calidad y completitud Evidencias en documentos en papel Registro de la persona que encontr el documento, lugar y fecha Testigos del descubrimiento Comprobacin de que el documento no ha sido modificado Evidencias en medios electrnicos Realizacin de copias de los medios electrnicos en medios de alta fiabilidad Registro de todas las acciones del proceso de copia Testigos del proceso de copia Anlisis del impacto del incidente Control formal del proceso de recuperacin ante el incidente Identificacin y autorizacin del personal que gestione el incidente Registro de todas las acciones realizadas Cada accin de emergencia es aprobada por la Direccin Comprobacin de la integridad de los sistemas y las medidas de control de seguridad Comunicacin de las incidencias de seguridad Procedimiento para la comunicacin de las incidencias Procedimiento para la respuesta ante las incidencias Registro
270
Tipo de incidencia Momento en que se ha producido Persona que realiza la notificacin A quin se le comunica Efectos derivados de la misma Acciones tomadas Difusin de los procedimientos Prueba y revisin de los procedimientos Mecanismos para cuantificacin y monitorizacin (indicadores) de las incidencias Se aprende de los incidentes y se proponen mejoras Revisin de la seguridad de los sistemas de informacin Se realiza regularmente un anlisis de riesgos Se revisan peridicamente las amenazas y las vulnerabilidades Se evala peridicamente la idoneidad de los controles implantados {or} Revisin del cumplimiento de los requisitos tcnicos de los sistemas de informacin Revisin por un equipo de auditora interna Revisin por un auditor/empresa especializado e independiente Registro de revisiones Revisin y anlisis peridicos Revisin al menos cada dos aos Continuidad del negocio (contingencia) Plan de gestin de crisis Seguros contra interrupciones en el negocio
Servicios
salvaguarda Inventario de servicios Registro de servicios a usuarios Registro de servicios internos Identificacin del propietario (persona responsable) Revisin peridica del inventario Disponibilidad Proteccin frente a DoS Identificacin de los eventos que pueden causarlo Dimensionamiento adecuado de los dispositivos accesibles (cortafuegos, servidores, ...) para soportar la mxima carga Dimensionamiento adecuado de la capacidad de almacenamiento de los dispositivos de registro (logs) de la actividad Proveedor de servicios alternativo Procedimientos operativos Monitorizacin Desarrollo Planificacin de capacidades Necesidades de procesamiento Necesidades de software Dependencia de otros servicios Dependencia de servicios internos Dependencia de servicios proporcionados por terceros [Presente] 88% 90% 60% 100% 100% 63% 63% 70% 60% 50% 0% 100% 100% 95% 90% 90% 100% 75% 50% 100% [Solucin 1] 88% 90% 60% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 95% 90% 90% 100% 75% 50% 100%
271
Necesidades de almacenamiento Necesidades de transmisin Requisitos de autenticidad Explotacion Norma de condiciones de uso Proteccion de la integridad de la informacion publicada electronicamente Cumplimiento de la normativa vigente referente a la publicacin de datos Controles contra el acceso no autorizado a las redes a las que se conecta el sistema Declaracin pblica sobre el nivel de compromiso de la organizacin ante los datos publicados y su uso Infraestructura de clave pblica Polticas y Procedimientos Poltica de certificacin Declaracin de prcticas de certificacin Gestin de claves Generacin de claves Distribucin de claves Almacenamiento de las claves Borrado de las claves Recuperacin de las claves Proteccin del servidor de nombres de dominio (DNS) Instalacin de ltima versin de SW Actualizacin peridica del SW (parches, versiones, etc.) Autenticacin y registro de las modificaciones de los datos EDI Integridad y autenticidad Integridad de los datos {xor} Mecanismo Mecanismo basado en paridad, CRC-16, CRC-32, etc. Mecanismo basado en MAC (Cdigo de Autenticacin de Mensaje) Mecanismo basado en MAC con "hash" (HMAC) segn FIPS 140-2 {xor} Mecanismo de hash "Hash" segn FIPS 140-2, SHA-1 o superior Otros Firma electrnica Norma sobre firma electrnica Procedimiento de firma y verificacin Certificado electrnico {xor} Formato del certificado X.509 de identidad X.509 de atributos PGP Otro {xor} Sujeto del certificado {xor} Identifica persona Reconocido No reconocido
272
Dispositivo Fsico Dispositivo Lgico {xor} Mecanismo de hash "Hash" segn FIPS 140-2, SHA-1 o superior Otros {xor} Mecanismo de firma digital Basado en algoritmo asimtrico segn FIPS 140-2 RSA (Rivest-Shamir-Adleman) 1024 o superior DSA (Digital Signature Algorithm) 1024 o superior ECDSA (Elliptic Curve Digital Signature Algorithm) 256 o superior Otro Autenticacin/comprobacin del origen de los mensajes Registro de envo de mensajes Comprobacin de entrega {xor} Mecanismo de cifrado {xor} Basado en algoritmo de cifrado segn FIPS 140-2 Skipjack DES 3DES AES Basado en mdulo criptogrfico validado segn FIPS 140-2 (AES 128 o superior), o equivalente Otros Teletrabajo Autorizacin previa Terminacin Terminacin de Servicio Autorizacin previa Estudio de los efectos Almacenamiento seguro o destruccin de la informacin
Datos / Informacin
salvaguarda Inventario de activos de informacin Identificacin del propietario (persona responsable) Revisin peridica del inventario Clasificacin de la informacin La responsabilidad de la clasificacin/reclasificacin es del generador de la informacin Directrices de clasificacin definidas por la LOPD Directrices de clasificacin definidas por la organizacin Disponibilidad Copias de seguridad de los datos Norma de back-ups Identificacin de la informacin crtica para el negocio Frecuencia de las copias Requisitos de almacenamiento en el propio lugar, y en lugares alternativos Controles para el acceso autorizado a las copias de respaldo [Presente] 90% 100% 80% 100% 100% 100% 100% 99% 99% 99% 90% 100% 100% 100% [Solucin 1] 90% 100% 80% 100% 100% 100% 100% 99% 99% 99% 90% 100% 100% 100%
273
Procedimientos de copia y restauracin Prueba peridica de las copias de seguridad y de los procedimientos de restauracin Almacenamiento de las copias de seguridad y de los procedimientos en lugares alternativos {xor} Mecanismo de back-up Copias de seguridad en soportes Identificacin de soportes de copia Nombre Fecha de creacin {or} Soporte Papel {or} Soporte magntico Disquetes Cinta Cartucho Cinta DAT Cinta 8 mm {xor} Microfilm Polister Halgeno de plata {xor} Soporte ptico CD ROM, CD-R, CD-RW DVD-ROM, DVD-RAM, DVD-R, DVD-RW Mediante copias de seguridad en remoto ("electronic vaulting", "remote journaling") Mediante reparto de carga entre servidores (server load balancing) Mediante replicacin de discos sncrona o asncrona Integridad Procedimientos de explotacin adecuados a la proteccin de la integridad Procedimientos de copias de respaldo, proteccin y conservacin En transacciones, adoptar herramientas o procedimientos que aseguren la integridad Verificacin de la ausencia de cdigo daino empotrado Criptografa Norma de uso de los controles criptogrficos Requisitos legales o contractuales Algoritmos y parmetros de configuracin Roles y responsabilidades Requisitos de identificacin y autenticacin Procedimiento para alta, baja, modificacin de privilegios Requisitos de aplicabilidad (confidencialidad, integridad, autenticidad y no repudio) Requisitos de proteccin para los mecanismos criptogrficos Requisitos de control de los mecanismos criptogrfico (registro, contabilidad, auditora, etc.) Poltica de gestin de las claves Necesidades de interoperabilidad, y previsiones futuras Poltica de adquisicin Revisin peridica de las vulnerabilidades de los algoritmos
274
Gestin de claves Generacin de claves Distribucin de claves Almacenamiento de las claves Borrado de las claves Recuperacin de las claves {xor} Mecanismo de cifrado Certificado por la Autoridad Nacional Criptogrfica {xor} Basado en algoritmo de cifrado segn FIPS 140-2 Skipjack DES 3DES AES Basado en mdulo criptogrfico validado segn FIPS 140-2 (AES 128 o superior), o equivalente Otros {xor} Mecanismo de integridad Mecanismo basado en paridad, CRC-16, CRC-32, etc. Mecanismo basado en MAC (Cdigo de Autenticacin de Mensaje) Mecanismo basado en MAC con "hash" (HMAC) segn FIPS 140-2 {xor} Mecanismo de hash Certificado por la Autoridad Nacional Criptogrfica "Hash" segn FIPS 140-2, SHA-1 o superior Otros Firma electrnica Norma sobre firma electrnica Procedimiento de firma Procedimiento de verificacin Certificado electrnico {xor} Formato del certificado X.509 de identidad X.509 de atributos PGP Otro {xor} Sujeto del certificado {xor} Identifica persona Reconocido No reconocido Dispositivo Fsico Dispositivo Lgico Otro {xor} Mecanismo de hash Certificado por la Autoridad Nacional Criptogrfica "Hash" segn FIPS 140-2, SHA-1 o superior Otros {xor} Mecanismo de firma digital Certificado por la Autoridad nacional criptogrfica {xor} Basado en algoritmo asimtrico segn FIPS 140-2 RSA (Rivest-Shamir-Adleman) 1024 o superior
275
DSA (Digital Signature Algorithm) 1024 o superior ECDSA (Elliptic Curve Digital Signature Algorithm) 256 o superior Otro
276
pruebas Registro de las copias y uso de la informacin de produccin a efectos de auditora Autorizacin previa cada vez que se copie datos de produccin a un entorno de pruebas Puesta en produccin Prueba previa del SW antes de su paso a produccin Explotacin Procedimiento para el control de software en produccin Los sistemas en produccin no contienen compiladores Los sistemas de produccin no contienen herramientas de desarrollo Aislamiento de sistemas sensibles Identificacin del nivel de sensibilidad de la informacin Instalacin de aplicaciones crticas en mquinas dedicadas Identificacin de los recursos compartidos y autorizacin por el responsable Seguridad de las aplicaciones Validacin de los datos de entrada Control de errores Comprobacin del rango de valores Comprobacin del tipo de datos de entrada Comprobacin de la completitud de los datos de entrada Comprobacin del volumen de datos Comprobacin de datos no autorizados o inconsistentes Comprobacin de la integridad de los datos mediante revisin peridica de campos clave o ficheros de datos Procedimientos de respuesta ante errores de validacin Procedimientos para comprobar la plausibilidad de los datos de entrada Verificacin de la consistencia Controles de sesin o de lotes, para conciliacin de cuadres de ficheros tras las actualizaciones de transacciones Controles de cuadre para comprobacin de cuadres de apertura con cuadres previos de cierre Controles de pasada en pasada Totales de actualizacin de ficheros Controles de programa a programa Validacin de los datos generados por el sistema Comprobaciones de integridad de datos o del software transferidos desde o hacia el ordenador central Hash de registros y ficheros Comprobaciones que aseguren que los programas de las aplicaciones se ejecutan en el momento adecuado Comprobaciones que aseguren que los programas se ejecutan en el orden correcto, que finalizan en caso de fallo y que no sigue el proceso hasta que el problema se resuelve Registro de las actividades Validacin de los datos de salida Validaciones de verosimilitud para comprobacin de los datos de salida Cuentas de control de conciliacin para asegurar el proceso de
100% 100% 80% 100% 100% 100% 83% 90% 80% 80% 100% 100% 98% 100% 100% 100% 100% 90% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
100% 100% 82% 100% 100% 100% 100% 100% 100% 100% 100% 100% 98% 100% 100% 100% 100% 90% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100% 100%
277
todos los datos Suministro de suficiente informacin al lector o a un sistema de proceso subsiguiente para poder determinar la exactitud, completitud, precisin y clasificacin de la informacin Procedimientos para contestar los cuestionarios de validacin de salidas Definicin de las responsabilidades de todos los implicados en el proceso de salida de datos Registro de las actividades Seguridad de los ficheros de datos de la aplicacin Confidencialidad Integridad Autenticidad Seguridad de los ficheros de configuracin Confidencialidad Integridad Autenticidad Seguridad de los mecanismos de comunicacin entre procesos Confidencialidad Integridad Autenticidad Cambios (actualizaciones y mantenimiento) Seguimiento permanente de actualizaciones y parches Evaluacion del impacto potencial del cambio Impacto en la prestacin de los servicios Impacto en la confidencialidad de los datos Impacto en la integridad de los datos Impacto en los controles de monitorizacin Definicin del proceso de cambio de forma que minimice la interrupcin del servicio Retencin de versiones anteriores de software como medida de precaucin para contingencias Pruebas de regresin Registro de toda actualizacin de SW Documentacin Documentacin de todos los cambios Actualizacin de la documentacin del sistema Control de versiones de toda actualizacin del software Actualizacin de todos los procedimientos de explotacin afectados Actualizacin de los planes de contingencia
278
{xor} Redundancia Equipo alternativo Equipo de alta disponibilidad con sistema de almacenamiento RAID Equipo alternativo preconfigurado con replicacin de discos sncrona o asncrona Cluster con sistema de almacenamiento RAID Redundancia de los elementos crticos del "host" Sistema redundante propio en centro alternativo Contrato de prestacin de servicio con el proveedor del sistema, de acuerdo a los requisitos del negocio Adquisicin de HW Identificacin de los requisitos de seguridad de acuerdo a los condicionantes del negocio Estndares aplicables Poltica de seguridad de la organizacin Requisitos funcionales Certificaciones y/o acreditaciones Certificacin de la calidad y exactitud del trabajo realizado segn estndares requeridos Acuerdos para hacerse cargo en el caso de fallo de terceros Protocolo de pruebas del producto Necesidades de formacin Necesidades de repuestos Garantas sobre actualizacin del producto Clusulas de penalizacin Desarrollo de HW Identificacin de los requisitos de seguridad Metodologa de desarrollo Plan de Proyecto Plan de Calidad Plan de Pruebas Plan de Documentacin Documento de Requititos Especificaciones de Diseo Diseo de Arquitectura Protocolo de pruebas Plan de Pruebas Diario de Pruebas Evaluacin Documentacin sobre HW Esquema Hardware Descripcin detallada de Componentes Descripcin de Herramientas de desarrollo utilizadas Descripcin de Herramientas de verificacin utilizadas Documentacin sobre SW Cdigo fuente del SW de seguridad Definicin detallada de Funciones y Procedimientos Descripcin de Herramientas de desarrollo utilizadas Descripcin de Herramientas de verificacin utilizadas Instalacin Evitar que por acceder a este equipo se abra el acceso a otros
83% 48% 80% 50% 60% 0% 50% 100% 100% 70% 100% 100% 100% 73% 70% 80% 100% 100% 100% 50% 50% 80% 80% 70% 80% 50% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 100% 100%
83% 48% 80% 50% 60% 0% 50% 100% 100% 70% 100% 100% 100% 73% 70% 80% 100% 100% 100% 50% 50% 80% 80% 70% 80% 50% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 80% 100% 100%
279
Evitar acceso visual a pantallas y monitores por personas no autorizadas Operacin Proteccin fsica de los equipos Distribucin adecuada de los equipos (evitar accesos innecesarios, daos por agua, observacin no autorizada, etc.) Los elementos que requieran especial proteccin se aislarn para reducir el nivel general de proteccin requerido Control de los accesos a equipos de presentacin (impresoras, pantallas, etc.) Proteccin de los dispositivos de red Autorizacin previa para su utilizacin Deshabilitacin de todos los servicios o utilidades no empleados Control de acceso a las consolas de administracin Desconexin automtica de sesiones inactivas Eliminacin o modificacin de cuentas y contraseas preconfiguradas Prohibicin de grupos de cuentas de administracin compartidas {xor} Administracin remota Se restringe la administracin remota No se permite la administracin remota Se emplean protocolos seguros para la administracin remota Reproduccin de documentos Asignacin de cuentas de usuario Autorizacin previa para realizar copias, y numeracin de las mismas Registro y revisin de la actividad de los dispositivos de reproduccin (nmeros de copias, usuarios que las han realizado, etc.) Cambios (actualizaciones y mantenimiento) Seguimiento permanente de actualizaciones Evaluacion del impacto potencial del cambio Impacto en la prestacin de los servicios Impacto en la confidencialidad de los datos Impacto en la integridad de los datos Impacto en los controles de monitorizacin Definicin del proceso de cambio de forma que minimice la interrupcin del servicio Pruebas de regresin Procedimientos de control de cambios Comunicacin de los detalles del cambio al personal relacionado Procedimientos y asignacin de responsabilidades para abortar y, en su caso recuperar, la situacin inicial antes de un cambio Registro de todo cambio Documentacin Documentacin de todos los cambios Actualizacin de la documentacin del sistema Archivo o destruccin de la documentacin anterior Control de versiones de todo cambio de hw Actualizacin de los planes de contingencia
Comunicaciones
280
Inventario de servicios de comunicacin Registro de servicios Identificacin del responsable Revisin peridica del inventario Disponibilidad Proteccin de la disponibilidad Identificacin y eliminacin de los "puntos nicos de fallo" (SPFSingle Point of Failure) Conexin redundante (mediante doble tarjeta de red) de los dispositivos crticos Monitorizacin de enlaces y dispositivos de red Dimensionamiento y adquisicin de repuestos Mantenimiento peridico segn especificaciones de los fabricantes {xor} Garantas de disponibilidad Redundancia de los enlaces con esquema activo-pasivo, incluyendo los dispositivos de red Redundancia de los enlaces con reparto de carga, incluyendo los dispositivos de red Redundancia de los enlaces, con dispositivos de red tolerantes a fallos (doble CPU, doble fuente de alimentacin, y doble interfaz de red) Dispositivos de red tolerantes a fallos (doble CPU, doble fuente de alimentacin) Adquisicin o contratacin Planificacin Definicin de los requisitos de seguridad para las conexiones a establecer Planificacin de capacidades Revisin de la arquitectura de la red de la organizacin Tipos de redes existentes (redes de rea local, de rea metropolitana, de rea extensa) Protocolos empleados Aplicaciones de red (emulacin de terminales, cliente-servidor, ...) Identificacin del tipo de conexin a establecer Revisin de las caractersticas de la solucin propuesta (sobre red pblica o privada, de datos, de voz y datos, etc.) Identificacin de los riesgos de la solucin propuesta, y de las salvaguardas necesarias Documentacin de la solucin propuesta Instalacin Evitar que el acceso fsico para operacin o mantenimiento abra el acceso a otros activos Operacin Control de acceso a la red Acceso remoto Autenticacin para conexiones externas Autenticacin fuerte de usuario Autenticacin del origen de la conexin
92% 92% 100% 90% 100% 100% 100% 100% 100% 100% 80% 60% 100% 100% 98% 100% 100% 100% 100% 100%
92% 92% 100% 90% 100% 100% 100% 100% 100% 100% 80% 60% 100% 100% 98% 100% 100% 100% 100% 100%
281
{xor} mecanismo de autenticacin Redes privadas virtuales (VPN) Comprobacin de la direccin de red Control de conexin a las redes Restricciones basadas en requisitos de negocio Control y filtrado de trfico Por tipo Por sentido del flujo Por perodos de tiempo Por origen/destino {xor} Sistema de proteccin perimetral Cortafuegos Filtrado de todas las conexiones externas (deben pasar todas a travs del cortafuegos) {xor} Tipo de filtrado Cortafuegos de filtrado de paquetes Cortafuegos de inspeccin de estados Cortafuegos con agentes proxy Cortafuegos con servidores proxy Limitar el nmero de servicios disponibles Accesos de administracin de forma segura (va consola segura, cifrado, redes separadas, etc.) Registro de la actividad Posibilidad de generar informes Comprobaciones regulares de la poltica Actualizacin peridica del sistema (parches) Plan de contingencia especfico Copias de seguridad peridicas NAT (Network Address Translation) Gateway Zona desmilitarizada (DMZ) Dispositivo de sentido nico Norma de uso de los servicios de red Identificacin de las redes y los servicios a los que se puede acceder Procedimiento para las autorizaciones de acceso a las redes y servicios Procedimientos para la proteccin de los accesos a las redes y servicios Medios y dispositivos que se autorizan para el acceso a redes y servicios {xor} Proteccin de puertos de diagnstico remoto Prohibicin de diagnstico remoto Proteccin del diagnstico remoto Proteccin fsica de los puertos Autenticacin del usuario Limitacin de privilegios Registro y revisin de acciones durante el diagnstico Cifrado Autorizacin previa de la accin de diagnstico Retirada de los datos de explotacin antes del diagnstico Segregacin de las redes en dominios
282
Segregacin de los usuarios en dominios Autenticacin de nodos de la red {xor} mecanismo de autenticacin mediante contraseas Control del encaminamiento Basado en los flujos de informacin permitidos Comprobacin de direcciones de origen y destino {or} mecanismo de control Lneas o nmeros de telfono dedicados Conexin automtica de puertos a sistemas de aplicaciones especficas o a pasarelas (gateways) de seguridad Limitacin de opciones de men para usuarios Evitar los recorridos cclicos ilimitados en la red Forzar el uso por usuarios de redes externas de ciertos sistemas de informacin especficos y/o pasarelas (gateways) de seguridad Control activo de las comunicaciones permitidas de origen a destino por medio de pasarelas de seguridad (cortafuegos) Restriccin de acceso a la red estableciendo dominios lgicos separados, como redes privadas virtuales para ciertos grupos de usuarios dentro de la Organizacin Criptografa Norma de uso de los controles criptogrficos Requisitos legales o contractuales Algoritmos y parmetros de configuracin Roles y responsabilidades Requisitos de identificacin y autenticacin Procedimiento para alta, baja, modificacin de privilegios Requisitos de aplicabilidad (confidencialidad, integridad, autenticidad y no repudio) Requisitos de proteccin para los mecanismos criptogrficos Requisitos de control de los mecanismos criptogrfico (registro, contabilidad, auditora, etc.) Poltica de gestin de las claves Necesidades de interoperabilidad, y previsiones futuras Poltica de adquisicin Revisin peridica de las vulnerabilidades de los algoritmos Gestin de claves Generacin de claves Distribucin de claves Almacenamiento de las claves Borrado de las claves Recuperacin de las claves {xor} Mecanismo de cifrado {xor} Basado en algoritmo de cifrado segn FIPS 140-2 Skipjack DES 3DES AES Basado en mdulo criptogrfico validado segn FIPS 140-2 (AES 128 o superior), o equivalente Otros
283
Integridad de los datos {xor} Mecanismo de integridad Mecanismo basado en paridad, CRC-16, CRC-32, etc. Mecanismo basado en MAC (Cdigo de Autenticacin de Mensaje) Mecanismo basado en MAC con "hash" (HMAC) segn FIPS 140-2 {xor} Mecanismo de hash "Hash" segn FIPS 140-2, SHA-1 o superior Otros Seguridad de los servicios de red Monitorizacin de los servicios de red Monitorizacin de excepciones e incidentes de seguridad Seguimiento de los incidentes y errores, y correccin Revisiones peridicas de la seguridad Proteccin de las comunicaciones Internet Herramienta de monitorizacin del trfico Registro de Navegacin Web Cambios (actualizaciones y mantenimiento) Seguimiento permanente de actualizaciones Evaluacin del impacto potencial del cambio Impacto en la prestacin de los servicios Impacto en la confidencialidad de los datos Impacto en la integridad de los datos Impacto en los controles de monitorizacin Definicin del proceso de cambio de forma que minimice la interrupcin del servicio Pruebas de regresin Procedimientos de control de cambios Procedimiento formal de aprobacin de cambios Comunicacin de los detalles del cambio al personal relacionado Procedimientos y asignacin de responsabilidades para abortar y, en su caso recuperar, la situacin inicial antes de un cambio Registro de toda actuacin Documentacin Documentacin de todos los cambios Actualizacin de la documentacin del sistema Actualizacin de todos los procedimientos de operacin afectados Terminacin Norma para la terminacin de servicios de comunicaciones
Elementos auxiliares
salvaguarda Inventario de equipamiento auxiliar Registro de equipamiento auxiliar Revisin peridica del inventario Disponibilidad Suministro elctrico Dimensionamiento del sistema considerando necesidades futuras Instalacin de acuerdo a la normativa vigente [Presente] 95% 100% 90% 100% 94% 100% 90% [Solucin 1] 95% 100% 90% 100% 94% 100% 90%
284
Proteccin de las lneas de alimentacin del sistema frente a fluctuaciones y sobrecargas Interruptor general de la alimentacin del sistema situado en la entrada de cada rea Interruptores etiquetados, y protegidos frente a activaciones accidentales Alimentacin de respaldo Procedimiento de emergencia Pruebas Revisin y mantenimiento peridicos {or} Redundancia Sistema de alimentacin ininterrumpida (SAI) que permite el funcionamiento de los equipos crticos, hasta su correcto cierre y apagado Sistema de alimentacin redundante que garantiza el funcionamiento de los equipos crticos, y la continuidad de las operaciones Acometida redundante (dos suministradores) Climatizacin Dimensionamiento adecuado del sistema Control de temperatura Control de humedad Revisin y mantenimiento peridicos Proteccin del cableado Gestin centralizada Etiquetado de los cables Planos actualizados del cableado Procedimiento para la modificacin del cableado Cableado tolerante a fallos (redundancia de lneas crticas, etc.) Control de todos los accesos al cableado Proteccin contra daos o intercepciones no autorizadas (conductos blindados, cajas o salas cerradas, ...)
100% 85% 100% 100% 100% 40% 90% 100% 100% 100% 30% 100% 100% 100%
100% 85% 100% 100% 100% 40% 90% 100% 100% 100% 30% 100% 100% 100%
Seguridad fsica
salvaguarda Inventario de instalaciones Registro de instalaciones propias Registro de instalaciones de terceros Revisin peridica del inventario Normativa Normas de conducta (prohibicin de fumar, beber, comer, ...) Prohibicin de equipos de registro (fotografa, video, audio, telefona, etc.) salvo autorizacin especial Procedimientos Inspeccin y aprobacin de las reas de seguridad Revisiones peridicas Plan de seguridad Plan de emergencia Procedimientos escritos para el acceso fsico a las instalaciones en caso de emergencia [Presente] 87% 100% 100% 60% 0% 0% 0% 63% 80% 80% 40% 52% 20% [Solucin 1] 87% 100% 100% 60% 100% 100% 100% 63% 80% 80% 40% 52% 20%
285
Autorizacin de acceso Registro de accesos al area en caso de emergencia Accesos autorizados por la autoridad apropiada de la organizacin Diseo Diseo observando reglas y normas relevantes sobre salud y sanidad Situar equipos sensibles en reas separadas Separacin de reas de seguridad y de acceso pblico Separacin de reas gestionadas por terceros Acceso a travs de un rea de recepcin Control de los accesos fsicos Control de los accesos Procedimiento de control de accesos Verificacin previa de las autorizaciones de acceso del personal Registro de los accesos Revisin peridica del registro de accesos Se investiga cualquier sospecha o intento de acceso fsico no autorizado Sistema automtico de control de accesos Alimentacin redundante {xor} Mecanismo de identificacin Basado en PIN o tarjeta Basado en tarjeta y PIN Basado en biometra Basado en biometra y tarjeta Revisin y mantenimiento peridicos Sistema de Deteccin de Intrusin centralizado Instalacin por empresa autorizada Alimentacin redundante Comprobacin peridica Revisin y mantenimiento peridicos Salidas y procedimientos de emergencia garantizan que solo el personal autorizado pueda acceder a las instalaciones Control de las visitas Autorizaciones previas para el acceso de visitas, personal de mantenimiento, o personal de empresas contratistas Comprobacin de la identidad de las visitas Registro de entrada/salida (nombre, empresa, fecha y horas de entrada y salida, objeto del acceso, y persona que recibe) Escolta y montorizacin de las actividades Pases o identificadores Obligatorio empleo de un pase (ej. tarjeta) en el interior del recinto Diseo difcil de falsificar Incluyen fotografa de la persona a la que se emiten No contienen datos que permitan, en caso de prdida, obtener informacin acerca de su finalidad (simplemente contiene una direccin para su envo) Se cierran y controlan peridicamente cuando estn vacas Control de llaves, combinaciones o dispositivos de seguridad Las reas de seguridad disponen de algn tipo de llave, combinacin o dispositivo de seguridad para acceder a las mismas
50% 85% 100% 100% 50% 90% 100% 75% 100% 100% 0% 100% 100% 100% 100% 100% 100% 100% 75% 100%
50% 85% 100% 100% 50% 90% 100% 75% 100% 100% 0% 100% 100% 100% 100% 100% 100% 100% 75% 100%
286
Solamente el personal autorizado puede usarlos Las combinaciones se cambian o modifican cuando haya cambios de personal que haya tenido acceso a las mismas Proteccin del permetro {xor} Puertas de acceso Puertas de acceso reforzadas Puertas de acceso blindadas Puertas de acceso acorazadas Mnimo nmero de entradas Proteccin de conductos y aberturas (falso techo, conductos de aire, etc.) Proteccin frente a desastres Iluminacin de emergencia cubre todas las reas necesarias para garantizar la continuidad de las misiones crticas Proteccin frente a incendios Vas de evacuacin Pulsadores de alarma Sistema automtico de deteccin de incendios Medios manuales de extincin de incendios (extintores porttiles, hidrantes, BIE's, etc.) Sistema automtico de extincin de incendios (sprinkler, etc.) Plan de mantenimiento y verificacin de los dispositivos y los sistemas contra incendios Iluminacin de emergencia Sealizacin (planos de evacuacin, de planta, etc.) Evacuacin de humos Plan de autoproteccin Seguros Pliza de continente (edificios) Pliza de continente y contenido (edificios y su contenido)
Personal
salvaguarda Relacin de personal Identificacin del responsable Puestos de trabajo Identificacin y especificacin de los puestos de trabajo Formacin Identificacin de necesidades de formacin segn roles y responsabilidades Evaluacin y revisin del plan de formacin [Presente] 100% 100% 100% 100% 55% 70% 40% [Solucin 1] 100% 100% 100% 100% 55% 70% 40%
287
Estado de Riesgo
Proyecto: IMAT Sistema de Matriculacin Fase: [Presente] Situacin actual 1. Datos del proyecto .............................................................................. 290 2. Fases..................................................................................................... 290 3. Activos ................................................................................................. 290
3.1. [MAT] Matriculacin.......................................................................................290 3.2. [IMPR_BEC] Impresin Becarios ...................................................................292 3.3. [I_A] Informacin Alumnos ............................................................................293 3.4. [I_B] Informacin Becarios .............................................................................295 3.5. [I_ASIG] Informacin Asignaturas .................................................................295 3.6. [I_DEP] Informacin departamentos ...............................................................297 3.7. [I_STIC] Informacin STIC ............................................................................298 3.8. [I_CONF] Informacin de configuracin ........................................................299 3.9. [I_LOG] Informacin de Log ..........................................................................299 3.10. [I_COD] Cdigo Fuente ................................................................................301 3.11. [IMAT] iMat ..................................................................................................301 3.12. [IMATBEC] iMatbecarios .............................................................................303 3.13. [BBDD] SQL Server 2000.............................................................................304 3.14. [SO] Sistema Operativo .................................................................................305 3.15. [AV] Antivirus ...............................................................................................305 3.16. [VB] Visual Basic 6.0 ....................................................................................305 3.17. [MON_TRANS] Monitor Transaccional.......................................................305 288
3.18. [SERV_BAL] Servidor de balanceo..............................................................305 3.19. [SERV_WEB] Servidores Web .....................................................................306 3.20. [SERV_FICH] Servidor de Ficheros .............................................................309 3.21. [SERV_DAT] Servidor de Datos...................................................................311 3.22. [SERV_BACK] Servidor de back-up ............................................................312 3.23. [IMP_BEC] Impresora becarios ....................................................................314 3.24. [PC_BEC] PC Becarios .................................................................................315 3.25. [PC_MAT] PC Matriculacin........................................................................315 3.26. [SWITCH] Switch .........................................................................................316 3.27. [CAJ_SEG] Caja de Seguridad......................................................................317 3.28. [LAN] Red de rea local ................................................................................318 3.29. [INT] Internet.................................................................................................319 3.30. [FIRE] Firewall..............................................................................................320 3.31. [POWER_AA23] Sistema de Alimentacin sala servidores .........................321 3.32. [POWER_AA25] Sistema alimentacin sala auxiliar ...................................322 3.33. [TEMP_AA23] Sistema de climatizacin sala servidores.............................322 3.34. [TEMP_AA25] sistema climatizacin sala auxiliar ......................................323 3.35. [SERV_AA23] Servidores.............................................................................323 3.36. [SERV_AA25] Servidor auxiliar...................................................................323 3.37. [BEC_AA21] Emplazamiento becarios .........................................................323 3.38. [ADM] Administradores................................................................................323 3.39. [SG] Secretara General .................................................................................324 3.40. [BEC] Becarios ..............................................................................................324 3.41. [ALUM] Alumnos .........................................................................................324
289
Fases
o o [Presente] Situacin actual [Solucin 1] Posible situacin futura
Activos
[MAT] Matriculacin
Impacto acumulado amenaza impacto [Presente] [Solucin 1] [E.1] Errores de los usuarios [4] [1] [0] [E.2] Errores del administrador [6] [2] [1] [E.3] Errores de monitorizacin (log) [5] [1] [0] [E.4] Errores de configuracin [7] [2] [1] [E.24] Cada del sistema por agotamiento de recursos [7] [2] [1] [A.4] Manipulacin de la configuracin [6] [2] [1] [A.24] Denegacin de servicio [5] [1] [0] Impacto repercutido amenaza [N.1] Fuego [N.2] Daos por agua [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [I.9] Interrupcin de otros servicios y suministros esenciales [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.7] Deficiencias en la organizacin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.18] Destruccin de la informacin impacto [Presente] [7] [6] [7] [7] [6] [7] [6] [4] [7] [7] [7] [7] [6] [5] [6] [6] [7] [4] [6] [6] [5] [1] [1] [3] [3] [2] [3] [2] [1] [2] [2] [2] [1] [2] [1] [2] [1] [2] [2] [2] [1] [1] [Solucin 1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [0] [1] [1] [1] [1] [1] [1] [0]
290
[E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [E.28] Indisponibilidad del personal [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.8] Difusin de software daino [A.18] Destruccin de la informacin [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo [A.28] Indisponibilidad del personal
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [E.1] Errores de los usuarios {5} {2} {2} [E.2] Errores del administrador {5} {2} {1} [E.3] Errores de monitorizacin (log) {3} {1} {0} [E.4] Errores de configuracin {4} {1} {0} [E.24] Cada del sistema por agotamiento de recursos {4} {1} {0} [A.4] Manipulacin de la configuracin {3} {0} {0} [A.24] Denegacin de servicio {5} {2} {1} Riesgo repercutido amenaza [N.1] Fuego [N.2] Daos por agua [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [I.9] Interrupcin de otros servicios y suministros esenciales [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.7] Deficiencias en la organizacin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.18] Destruccin de la informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de riesgo [Presente] {4} {3} {4} {4} {4} {4} {4} {3} {4} {5} {5} {5} {4} {5} {5} {5} {4} {3} {5} {5} {4} {1} {5} {0} {0} {1} {2} {1} {2} {1} {1} {1} {1} {2} {2} {1} {3} {2} {2} {1} {1} {3} {2} {1} {0} {2} [Solucin 1] {0} {0} {0} {0} {0} {0} {0} {0} {0} {0} {1} {2} {0} {2} {1} {1} {0} {0} {2} {1} {0} {0} {1}
291
programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [E.28] Indisponibilidad del personal [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.8] Difusin de software daino [A.18] Destruccin de la informacin [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo [A.28] Indisponibilidad del personal
292
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [E.2] Errores del administrador {2} {0} {0} [E.3] Errores de monitorizacin (log) {1} {0} {0} [E.4] Errores de configuracin {2} {0} {0} [E.24] Cada del sistema por agotamiento de recursos {2} {0} {0} [A.4] Manipulacin de la configuracin {1} {0} {0} [A.24] Denegacin de servicio {1} {0} {0} Riesgo repercutido amenaza [N.1] Fuego [N.2] Daos por agua [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [I.9] Interrupcin de otros servicios y suministros esenciales [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.8] Difusin de software daino [A.18] Destruccin de la informacin [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo riesgo [Presente] {1} {1} {1} {2} {1} {2} {1} {2} {2} {3} {4} {2} {3} {2} {3} {2} {3} {3} {2} {3} {2} {3} {3} {3} {3} {3} {2} {2} {0} {0} {0} {1} {0} {1} {0} {0} {1} {2} {2} {0} {2} {2} {1} {1} {2} {2} {1} {1} {0} {2} {1} {1} {2} {1} {0} {1} [Solucin 1] {0} {0} {0} {0} {0} {0} {0} {0} {0} {1} {2} {0} {2} {1} {1} {0} {2} {1} {1} {1} {0} {2} {1} {1} {1} {1} {0} {0}
293
amenaza impacto [Presente] [Solucin 1] [E.1] Errores de los usuarios [4] [1] [0] [E.2] Errores del administrador [6] [1] [0] [E.3] Errores de monitorizacin (log) [6] [1] [0] [E.4] Errores de configuracin [6] [1] [0] [E.18] Destruccin de la informacin [5] [1] [0] [E.19] Divulgacin de informacin [5] [1] [0] [A.4] Manipulacin de la configuracin [6] [1] [0] [A.11] Acceso no autorizado [5] [1] [0] [A.16] Introduccin de falsa informacin [1] [0] [0] [A.17] Corrupcin de la informacin [1] [0] [0] [A.18] Destruccin de la informacin [7] [1] [0] [A.19] Divulgacin de informacin [6] [1] [0] Impacto repercutido amenaza [E.1] Errores de los usuarios [E.2] Errores del administrador [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.14] Escapes de informacin [E.19] Divulgacin de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.11] Acceso no autorizado [A.12] Anlisis de trfico [A.14] Intercepcin de informacin (escucha) [A.19] Divulgacin de informacin [A.22] Manipulacin de programas [A.25] Robo de equipos [A.29] Extorsin [A.30] Ingeniera social impacto [Presente] [3] [3] [4] [5] [3] [4] [5] [4] [5] [5] [6] [6] [6] [6] [6] [1] [6] [6] [6] [6] [6] [6] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [2] [1] [2] [2] [1] [0] [1] [1] [1] [2] [3] [3] [Solucin 1] [0] [0] [0] [0] [0] [0] [0] [0] [0] [1] [1] [1] [1] [1] [1] [0] [1] [0] [1] [1] [1] [1]
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [E.1] Errores de los usuarios {5} {2} {1} [E.2] Errores del administrador {5} {2} {1} [E.3] Errores de monitorizacin (log) {4} {0} {0} [E.4] Errores de configuracin {4} {0} {0} [E.18] Destruccin de la informacin {4} {1} {0} [E.19] Divulgacin de informacin {3} {0} {0} [A.4] Manipulacin de la configuracin {3} {0} {0} [A.11] Acceso no autorizado {5} {2} {1} [A.16] Introduccin de falsa informacin {2} {1} {1}
294
295
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [E.2] Errores del administrador {4} {0} {0} [E.4] Errores de configuracin {4} {0} {0} [E.16] Introduccin de falsa informacin {3} {2} {1} [A.11] Acceso no autorizado {2} {0} {0} [A.15] Modificacin de informacin {3} {2} {1} [A.19] Divulgacin de informacin {3} {1} {1} Riesgo repercutido amenaza [E.8] Difusin de software daino [E.14] Escapes de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.19] Divulgacin de informacin riesgo [Presente] {3} {1} {1} {2} {2} {4} {3} {3} {1} {4} {3} {3} {2} {0} {0} {1} {0} {2} {1} {1} {0} {2} {1} {1} [Solucin 1] {2} {0} {0} {1} {0} {2} {0} {1} {0} {1} {1} {1}
296
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [E.2] Errores del administrador {3} {0} {0} [E.4] Errores de configuracin {4} {0} {0} [A.4] Manipulacin de la configuracin {3} {0} {0} [A.11] Acceso no autorizado {3} {2} {1} [A.19] Divulgacin de informacin {3} {1} {0} Riesgo repercutido amenaza [E.8] Difusin de software daino [E.14] Escapes de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.4] Manipulacin de la configuracin riesgo [Presente] {3} {1} {1} {2} {2} {2} {0} {0} {1} {0} [Solucin 1] {2} {0} {0} {1} {0}
297
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [A.4] Manipulacin de la configuracin {0} {0} {0} [A.11] Acceso no autorizado {3} {2} {1} Riesgo repercutido amenaza [E.8] Difusin de software daino [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino riesgo [Presente] {3} {2} {1} {3} {2} {3} {2} {1} {0} {2} {1} {1} [Solucin 1] {1} {1} {0} {2} {0} {1}
298
299
Riesgo repercutido amenaza riesgo [Presente] [Solucin 1] [N.1] Fuego {0} {0} {0} [N.*] Desastres naturales {0} {0} {0} [I.1] Fuego {1} {0} {0} [I.*] Desastres industriales {0} {0} {0} [I.5] Avera de origen fsico o lgico {1} {0} {0} [I.6] Corte del suministro elctrico {1} {0} {0} [I.7] Condiciones inadecuadas de temperatura y/o humedad {2} {1} {1} [I.8] Fallo de servicios de comunicaciones {3} {2} {1} [E.16] Introduccin de falsa informacin {3} {2} {1} [E.24] Cada del sistema por agotamiento de recursos {2} {1} {1} [A.5] Suplantacin de la identidad del usuario {3} {2} {2} [A.6] Abuso de privilegios de acceso {2} {0} {0} [A.8] Difusin de software daino {2} {1} {1} [A.9] [Re-]encaminamiento de mensajes {0} {0} {0} [A.11] Acceso no autorizado {3} {2} {1} [A.14] Intercepcin de informacin (escucha) {2} {1} {1} [A.15] Modificacin de informacin {3} {2} {1} [A.16] Introduccin de falsa informacin {3} {2} {1} [A.17] Corrupcin de la informacin {2} {1} {0}
300
impacto [Presente] [6] [5] [4] [6] [4] [4] [1] [1] [1] [5] [6] [2] [1] [1] [2] [1] [1] [0] [0] [0] [1] [2]
301
riesgo [Presente] {4} {5} {4} {3} {4} {5} {2} {2} {3} {3} {5} {4} {5} {3} {5} {3} {3} {4} {3} {5} {1} {3} {1} {1} {1} {3} {0} {0} {0} {1} {2} {1} {3} {1} {2} {0} {0} {1} {1} {2}
riesgo [Presente] {5} {5} {3} {5} {4} {3} {2} {3} {3} {2} {1} {3} {2} {1} {1} {2}
302
[IMATBEC] iMatbecarios
Impacto acumulado amenaza [I.5] Avera de origen fsico o lgico [E.1] Errores de los usuarios [E.2] Errores del administrador [E.4] Errores de configuracin [E.8] Difusin de software daino [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas Riesgo acumulado amenaza [I.5] Avera de origen fsico o lgico [E.1] Errores de los usuarios [E.2] Errores del administrador [E.4] Errores de configuracin [E.8] Difusin de software daino [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) impacto [Presente] [6] [1] [5] [6] [4] [1] [1] [6] [1] [7] [2] [1] [1] [2] [2] [0] [1] [2] [1] [0] [0] [2] [0] [2] [1] [0] [0] [0] [Solucin 1] [1] [0] [0] [1] [0] [0] [0] [1] [0] [1] [0] [0] [0] [0] [Solucin 1] {0} {2} {0} {0} {2} {0} {1}
riesgo [Presente] {4} {3} {4} {4} {5} {1} {2} {1} {2} {1} {1} {2} {0} {1}
303
riesgo [Presente] {4} {5} {5} {4} {5} {2} {2} {3} {2} {4} {5} {3} {5} {3} {3} {1} {2} {2} {1} {2} {0} {0} {1} {1} {1} {3} {1} {2} {0} {0}
304
[SO] Sistema Operativo [AV] Antivirus [VB] Visual Basic 6.0 [MON_TRANS] Monitor Transaccional [SERV_BAL] Servidor de balanceo
Impacto acumulado amenaza [N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [E.1] Errores de los usuarios [E.2] Errores del administrador [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo Riesgo acumulado impacto [Presente] [7] [7] [7] [6] [4] [6] [7] [7] [4] [6] [6] [4] [6] [4] [5] [1] [4] [6] [6] [6] [5] [7] [6] [6] [5] [5] [7] [7] [7] [7] [2] [2] [2] [1] [1] [1] [2] [2] [1] [1] [1] [1] [1] [1] [1] [0] [1] [1] [1] [1] [1] [2] [1] [1] [1] [1] [1] [2] [2] [2] [Solucin 1] [1] [1] [1] [1] [0] [1] [1] [1] [0] [1] [1] [0] [1] [0] [1] [0] [0] [1] [1] [1] [0] [1] [1] [1] [0] [0] [1] [1] [1] [1]
305
[N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [E.1] Errores de los usuarios [E.2] Errores del administrador [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
306
[E.10] Errores de secuencia [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo Impacto repercutido amenaza [N.1] Fuego [N.2] Daos por agua [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [I.9] Interrupcin de otros servicios y suministros esenciales [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.7] Deficiencias en la organizacin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.18] Destruccin de la informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [E.28] Indisponibilidad del personal
impacto [Presente] [7] [6] [7] [7] [6] [7] [6] [4] [7] [7] [7] [7] [6] [4] [6] [6] [6] [4] [4] [6] [1] [1] [1] [4] [7] [1] [1] [1] [3] [3] [2] [3] [2] [1] [2] [2] [2] [1] [2] [1] [2] [1] [1] [2] [1] [1] [0] [0] [0] [1] [2] [0]
307
riesgo [Presente] {4} {4} {3} {3} {4} {5} {5} {4} {4} {4} {5} {2} {2} {3} {2} {3} {5} {4} {5} {4} {5} {3} {3} {4} {3} {5} {5} {5} {4} {1} {0} {0} {0} {1} {1} {2} {2} {1} {1} {2} {0} {0} {1} {1} {0} {2} {1} {3} {1} {2} {0} {0} {1} {0} {2} {2} {1} {0}
[I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [E.1] Errores de los usuarios [E.2] Errores del administrador [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo Riesgo repercutido amenaza [N.1] Fuego [N.2] Daos por agua [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales
riesgo [Presente] {4} {3} {4} {4} {4} {4} {0} {0} {1} {2} {1} {2}
308
[I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [I.9] Interrupcin de otros servicios y suministros esenciales [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.7] Deficiencias en la organizacin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.18] Destruccin de la informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [E.28] Indisponibilidad del personal [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.8] Difusin de software daino [A.18] Destruccin de la informacin [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo [A.28] Indisponibilidad del personal
309
[E.17] Degradacin de la informacin [E.18] Destruccin de la informacin [E.19] Divulgacin de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.15] Modificacin de informacin [A.16] Introduccin de falsa informacin [A.17] Corrupcin de la informacin [A.18] Destruccin de la informacin [A.19] Divulgacin de informacin [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo Riesgo acumulado amenaza [N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [E.1] Errores de los usuarios [E.2] Errores del administrador [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.15] Alteracin de la informacin [E.16] Introduccin de falsa informacin [E.17] Degradacin de la informacin [E.18] Destruccin de la informacin [E.19] Divulgacin de informacin [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software)
riesgo [Presente] {4} {4} {4} {3} {3} {4} {5} {5} {4} {4} {4} {5} {2} {2} {2} {3} {2} {2} {2} {3} {2} {0} {0} {0} {0} {0} {0} {0} {1} {1} {1} {1} {2} {0} {0} {1} {2} {1} {1} {0} {0} {1}
310
[E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.15] Modificacin de informacin [A.16] Introduccin de falsa informacin [A.17] Corrupcin de la informacin [A.18] Destruccin de la informacin [A.19] Divulgacin de informacin [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
311
riesgo [Presente] {4} {4} {4} {3} {3} {4} {5} {5} {4} {4} {4} {5} {2} {2} {3} {2} {3} {5} {4} {5} {4} {5} {3} {3} {4} {4} {5} {5} {5} {4} {0} {1} {0} {0} {0} {1} {1} {2} {2} {1} {1} {2} {0} {0} {1} {1} {0} {2} {1} {3} {1} {2} {0} {0} {1} {0} {2} {2} {1} {0}
[N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [E.1] Errores de los usuarios [E.2] Errores del administrador [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
312
impacto [Presente] [1] [1] [1] [1] [1] [1] [1] [1] [1] [2] [2] [1] [2] [1] [1] [1] [2] [2] [0] [0] [0] [0] [0] [0] [0] [0] [0] [0] [0] [0] [0] [0] [0] [0] [1] [1]
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [N.*] Desastres naturales {0} {0} {0} [I.1] Fuego {1} {0} {0} [I.*] Desastres industriales {0} {0} {0} [I.6] Corte del suministro elctrico {1} {0} {0} [I.7] Condiciones inadecuadas de temperatura y/o humedad {2} {1} {1} [A.4] Manipulacin de la configuracin {1} {0} {0} [A.8] Difusin de software daino {3} {1} {1} [A.10] Alteracin de secuencia {0} {0} {0} [A.24] Denegacin de servicio {2} {1} {1} [A.25] Robo de equipos {1} {0} {0} [A.26] Ataque destructivo {0} {0} {0} Riesgo repercutido amenaza [N.1] Fuego [N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.6] Corte del suministro elctrico riesgo [Presente] [Solucin 1] {0} {0} {0} {0} {0} {0} {1} {0} {0} {0} {0} {0} {1} {0} {0}
313
[I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.8] Difusin de software daino [A.10] Alteracin de secuencia [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo [A.29] Extorsin [A.30] Ingeniera social
impacto [Presente] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [0] [0] [0] [0] [0] [0] [0] [0] [0] [0] [0]
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [N.*] Desastres naturales {0} {0} {0} [I.1] Fuego {1} {0} {0} [I.6] Corte del suministro elctrico {1} {0} {0} [I.7] Condiciones inadecuadas de temperatura y/o humedad {2} {1} {1} [A.24] Denegacin de servicio {2} {1} {1} [A.25] Robo de equipos {1} {0} {0} Riesgo repercutido
314
amenaza riesgo [Presente] [Solucin 1] [N.1] Fuego {0} {0} {0} [N.*] Desastres naturales {0} {0} {0} [I.1] Fuego {1} {0} {0} [I.*] Desastres industriales {0} {0} {0} [I.6] Corte del suministro elctrico {1} {0} {0} [I.7] Condiciones inadecuadas de temperatura y/o humedad {2} {1} {1} [I.8] Fallo de servicios de comunicaciones {3} {1} {1} [A.8] Difusin de software daino {2} {1} {1} [A.24] Denegacin de servicio {2} {1} {1} [A.25] Robo de equipos {2} {1} {0} [A.26] Ataque destructivo {0} {0} {0}
[PC_BEC] PC Becarios
Impacto acumulado amenaza [N.*] Desastres naturales [I.1] Fuego [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [A.8] Difusin de software daino [A.24] Denegacin de servicio [A.25] Robo de equipos impacto [Presente] [1] [1] [1] [1] [1] [1] [1] [0] [0] [0] [0] [0] [0] [0] [Solucin 1] [0] [0] [0] [0] [0] [0] [0]
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [N.*] Desastres naturales {0} {0} {0} [I.1] Fuego {1} {0} {0} [I.6] Corte del suministro elctrico {1} {0} {0} [I.7] Condiciones inadecuadas de temperatura y/o humedad {2} {1} {1} [A.8] Difusin de software daino {2} {1} {1} [A.24] Denegacin de servicio {2} {1} {1} [A.25] Robo de equipos {2} {1} {0}
[PC_MAT] PC Matriculacin
Impacto acumulado amenaza [N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [A.8] Difusin de software daino [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo impacto [Presente] [1] [1] [1] [1] [1] [1] [1] [1] [1] [0] [0] [0] [0] [0] [0] [0] [0] [0] [Solucin 1] [0] [0] [0] [0] [0] [0] [0] [0] [0]
315
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [N.*] Desastres naturales {0} {0} {0} [I.1] Fuego {1} {0} {0} [I.*] Desastres industriales {0} {0} {0} [I.6] Corte del suministro elctrico {1} {0} {0} [I.7] Condiciones inadecuadas de temperatura y/o humedad {2} {1} {1} [A.8] Difusin de software daino {2} {1} {1} [A.24] Denegacin de servicio {2} {1} {1} [A.25] Robo de equipos {2} {1} {0} [A.26] Ataque destructivo {3} {2} {2} Riesgo repercutido amenaza riesgo [Presente] [Solucin 1] [N.1] Fuego {0} {0} {0} [N.*] Desastres naturales {0} {0} {0} [I.1] Fuego {1} {0} {0} [I.*] Desastres industriales {0} {0} {0} [I.6] Corte del suministro elctrico {1} {0} {0} [I.7] Condiciones inadecuadas de temperatura y/o humedad {2} {1} {1} [I.8] Fallo de servicios de comunicaciones {3} {1} {1} [A.8] Difusin de software daino {2} {1} {1} [A.24] Denegacin de servicio {2} {1} {1} [A.25] Robo de equipos {2} {1} {0} [A.26] Ataque destructivo {3} {2} {2}
[SWITCH] Switch
Impacto acumulado amenaza [N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico impacto [Presente] [7] [7] [7] [6] [4] [6] [2] [2] [2] [1] [1] [1] [Solucin 1] [1] [1] [1] [1] [1] [1]
316
[I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [E.2] Errores del administrador [E.4] Errores de configuracin [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo Riesgo acumulado amenaza [N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [E.2] Errores del administrador [E.4] Errores de configuracin [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
riesgo [Presente] {4} {4} {4} {3} {3} {4} {5} {5} {4} {4} {3} {5} {4} {3} {4} {2} {5} {5} {4} {0} {1} {0} {0} {1} {1} {1} {2} {1} {1} {1} {2} {1} {0} {1} {0} {2} {1} {0}
317
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [E.19] Divulgacin de informacin {1} {0} {0} [A.11] Acceso no autorizado {4} {2} {1} [A.19] Divulgacin de informacin {4} {1} {0} [A.25] Robo de equipos {2} {0} {0} Riesgo repercutido amenaza riesgo [Presente] [Solucin 1] [E.19] Divulgacin de informacin {1} {0} {0} [A.11] Acceso no autorizado {4} {2} {1} [A.19] Divulgacin de informacin {4} {1} {0} [A.25] Robo de equipos {2} {0} {0}
riesgo [Presente] [Solucin 1] {4} {0} {0} {3} {0} {0} {4} {0} {0} {4} {0} {0}
318
[I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [E.2] Errores del administrador [E.4] Errores de configuracin [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.5] Suplantacin de la identidad del usuario [A.6] Abuso de privilegios de acceso [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.12] Anlisis de trfico [A.14] Intercepcin de informacin (escucha) [A.24] Denegacin de servicio
[INT] Internet
Impacto acumulado amenaza [N.1] Fuego [N.2] Daos por agua [N.*] Desastres naturales [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [E.2] Errores del administrador [E.4] Errores de configuracin [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.9] [Re-]encaminamiento de mensajes [A.11] Acceso no autorizado [A.12] Anlisis de trfico [A.14] Intercepcin de informacin (escucha) [A.24] Denegacin de servicio Riesgo acumulado amenaza impacto [Presente] [7] [6] [7] [7] [6] [4] [6] [7] [7] [7] [6] [6] [1] [4] [6] [6] [5] [4] [5] [1] [4] [6] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [1] [0] [1] [1] [1] [1] [1] [1] [0] [1] [1] [Solucin 1] [1] [1] [1] [1] [1] [0] [1] [1] [1] [1] [1] [1] [0] [0] [1] [1] [1] [0] [1] [0] [0] [1]
319
[N.1] Fuego [N.2] Daos por agua [N.*] Desastres naturales [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.8] Fallo de servicios de comunicaciones [E.2] Errores del administrador [E.4] Errores de configuracin [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.9] [Re-]encaminamiento de mensajes [A.11] Acceso no autorizado [A.12] Anlisis de trfico [A.14] Intercepcin de informacin (escucha) [A.24] Denegacin de servicio
[FIRE] Firewall
Impacto acumulado amenaza [N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino impacto [Presente] [7] [7] [7] [6] [4] [6] [7] [7] [4] [6] [6] [6] [4] [3] [4] [5] [1] [4] [7] [6] [5] [7] [2] [2] [2] [1] [1] [1] [2] [2] [1] [1] [1] [1] [1] [1] [1] [1] [0] [1] [2] [1] [1] [2] [Solucin 1] [1] [1] [1] [1] [0] [1] [1] [1] [0] [1] [1] [1] [0] [0] [0] [1] [0] [0] [1] [1] [0] [1]
320
riesgo [Presente] {4} {4} {4} {3} {3} {4} {5} {5} {4} {4} {5} {4} {5} {2} {2} {3} {2} {3} {5} {4} {4} {5} {3} {3} {4} {3} {5} {5} {5} {4} {0} {1} {0} {0} {0} {1} {1} {2} {2} {1} {2} {1} {2} {0} {0} {1} {1} {0} {2} {1} {1} {2} {0} {0} {1} {0} {2} {2} {1} {0}
[N.*] Desastres naturales [I.1] Fuego [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [E.1] Errores de los usuarios [E.2] Errores del administrador [E.3] Errores de monitorizacin (log) [E.4] Errores de configuracin [E.8] Difusin de software daino [E.9] Errores de [re-]encaminamiento [E.10] Errores de secuencia [E.20] Vulnerabilidades de los programas (software) [E.21] Errores de mantenimiento / actualizacin de programas (software) [E.23] Errores de mantenimiento / actualizacin de equipos (hardware) [E.24] Cada del sistema por agotamiento de recursos [A.4] Manipulacin de la configuracin [A.6] Abuso de privilegios de acceso [A.8] Difusin de software daino [A.9] [Re-]encaminamiento de mensajes [A.10] Alteracin de secuencia [A.11] Acceso no autorizado [A.14] Intercepcin de informacin (escucha) [A.22] Manipulacin de programas [A.24] Denegacin de servicio [A.25] Robo de equipos [A.26] Ataque destructivo
321
Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [N.*] Desastres naturales {4} {1} {0} [I.1] Fuego {4} {1} {0} [I.*] Desastres industriales {4} {1} {0} [I.3] Contaminacin mecnica {4} {1} {0} [I.4] Contaminacin electromagntica {3} {1} {0} [I.5] Avera de origen fsico o lgico {4} {1} {0} [I.6] Corte del suministro elctrico {5} {1} {0} [I.7] Condiciones inadecuadas de temperatura y/o humedad {5} {2} {1} [I.9] Interrupcin de otros servicios y suministros esenciales {4} {1} {0}
[POWER_AA25] Sistema alimentacin sala auxiliar [TEMP_AA23] Sistema de climatizacin sala servidores
Impacto acumulado amenaza [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico [I.7] Condiciones inadecuadas de temperatura y/o humedad [I.9] Interrupcin de otros servicios y suministros esenciales [A.25] Robo de equipos Riesgo acumulado amenaza [N.*] Desastres naturales [I.1] Fuego [I.2] Daos por agua [I.*] Desastres industriales [I.3] Contaminacin mecnica [I.4] Contaminacin electromagntica [I.5] Avera de origen fsico o lgico [I.6] Corte del suministro elctrico impacto [Presente] [7] [7] [6] [7] [6] [4] [6] [7] [7] [6] [5] [2] [2] [2] [2] [2] [1] [2] [2] [2] [2] [2] [Solucin 1] [1] [1] [1] [1] [1] [0] [1] [1] [1] [1] [1]
riesgo [Presente] [Solucin 1] {4} {1} {0} {4} {1} {0} {4} {1} {0} {4} {1} {0} {4} {1} {0} {3} {1} {0} {4} {1} {0} {5} {1} {0}
322
[I.7] Condiciones inadecuadas de temperatura y/o humedad [I.9] Interrupcin de otros servicios y suministros esenciales [A.25] Robo de equipos
[ADM] Administradores
Impacto acumulado amenaza impacto [Presente] [Solucin 1] [E.7] Deficiencias en la organizacin [4] [2] [1] [E.28] Indisponibilidad del personal [1] [0] [0] [A.28] Indisponibilidad del personal [4] [2] [1] [A.29] Extorsin [7] [3] [1] [A.30] Ingeniera social [7] [3] [1] Riesgo acumulado
323
amenaza riesgo [Presente] [Solucin 1] [E.7] Deficiencias en la organizacin {3} {1} {0} [E.28] Indisponibilidad del personal {1} {0} {0} [A.28] Indisponibilidad del personal {3} {1} {0} [A.29] Extorsin {5} {2} {1} [A.30] Ingeniera social {4} {2} {0}
[BEC] Becarios
Impacto acumulado amenaza impacto [Presente] [Solucin 1] [E.7] Deficiencias en la organizacin [4] [2] [1] [E.28] Indisponibilidad del personal [1] [0] [0] [A.28] Indisponibilidad del personal [4] [2] [1] [A.29] Extorsin [2] [1] [0] [A.30] Ingeniera social [2] [1] [0] Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [E.7] Deficiencias en la organizacin {3} {1} {0} [E.28] Indisponibilidad del personal {1} {0} {0} [A.28] Indisponibilidad del personal {3} {1} {0} [A.29] Extorsin {2} {1} {0} [A.30] Ingeniera social {1} {0} {0}
[ALUM] Alumnos
Impacto acumulado amenaza impacto [Presente] [Solucin 1] [E.28] Indisponibilidad del personal [1] [0] [0] [A.29] Extorsin [7] [3] [1] [A.30] Ingeniera social [7] [3] [1] Riesgo acumulado amenaza riesgo [Presente] [Solucin 1] [E.28] Indisponibilidad del personal {1} {0} {0}
324
325
1. Datos del proyecto .............................................................................. 326 2. Planos................................................................................................... 326 3. Fases..................................................................................................... 326 4. Plano: [base] Matriculacin .............................................................. 327
4.1. Marco de gestin..............................................................................................327 4.2. Servicios...........................................................................................................330 4.3. Datos / Informacin .........................................................................................330 4.4. Aplicaciones informticas (SW) ......................................................................331 4.5. Equipos informticos (HW).............................................................................332 4.6. Comunicaciones...............................................................................................332 4.7. Elementos auxiliares ........................................................................................333 4.8. Seguridad fsica................................................................................................333 4.9. Personal............................................................................................................334
Planos
o [base] Matriculacin
Fases
o [Presente] Situacin actual
326
Marco de gestin
salvaguarda Organizacin Comit de gestin de seguridad de la informacin (forum) Est respaldado por la direccin Define claramente las funciones de seguridad Aprueba las designaciones de responsables de seguridad Revisa, evala y aprueba la poltica de seguridad Asegura la coordinacin en materia de seguridad dentro de la organizacin Asignacin de responsabilidades para la seguridad de la informacin Se documentan los detalles de cada responsabilidad Roles identificados Responsable de seguridad del sistema (RSS) (autoridad delegada) Se dispone de asesoramiento especializado en seguridad Cooperacin entre organizaciones Se mantienen contactos con las autoridades Se mantienen contactos con los organismos reguladores Se mantienen contactos con los operadores de telecomunicaciones Normativa de seguridad Poltica de Seguridad (documento) Poltica derivada de la Poltica de Seguridad Global de la Organizacin Est aprobado y respaldado por el responsable de la organizacin Todo el personal de la organizacin tiene acceso al documento Conocido y aceptado por los afectados Referencia normativa y procedimientos especficos Revisin peridica Documentacin de seguridad del sistema Documento de seguridad Documenacin acreditacin Concepto de Operacin del Sistema POS DRES Documento de seguridad (LOPD) Procedimientos operativos Guas para todas las funciones ordinarias Guas para situaciones excepcionales Revisin peridica Criterios de aceptacin para versiones o sistemas nuevos Documentacin Documentacin de seguridad [Presente] 55% 40% 50% 30% 30% 40% 20% 63% 50% 85% 40% 0% 55% 50% 50% 50% 25% 21% 30% 30% 30% 10% 30% 10% 0% 0% 0% 0% 0% 0% 0% 30% 50% 10% 10% 45% 50% 0% [Solucin 1] 83% 83% 100% 90% 30% 100% 100% 92% 100% 100% 100% 50% 55% 50% 50% 50% 88% 73% 100% 100% 70% 70% 30% 50% 96% 100% n.a. n.a. n.a. n.a. 100% 92% 100% 70% 100% 88% 80% 80%
327
Definicin y prueba de los procedimientos de operacin del sistema Definicin de procedimientos de recuperacin ante errores y de reinicio Definicin de un plan de contingencia Certificacin independiente Acreditacin de sistemas Plan de inspeccin Revisin Seguridad Fsica Revisin Seguridad de Documentos Revisin Seguridad Criptogrfica Identificacin y autenticacin Herramientas de Identificacin y Autenticacin de usuario Compromiso escrito de mantener la confidencialidad del autenticador {or} Mecanismo de autenticacin Contraseas Gestin de contraseas Las contraseas iniciales sern temporales con una duracin limitada (mnima y mxima) Las contraseas de administracin se custodian en sobre lacrados convenientemente guardados en cajas de seguridad {xor} Token Generador de contraseas de un slo uso Token implementado en SW, con generador de nmeros pseudoaleatorio segn FIPS 140-2 o equivalente Token implementado en HW, con generador de nmeros pseudoaleatorio segn FIPS 140-2 o equivalente Token implementado en HW FIPS 140-2 de nivel 4 o equivalente {xor} Biometra Huella dactilar Geometra de la mano Iris Retina Tecleo Voz Texto manuscrito Otros ... Control de acceso lgico Segregacin de tareas Segregacin de tareas en roles Auditora de seguridad Monitorizacin de todas las operaciones Registro de las operaciones Registro de usuario Comunicacin por escrito de sus derechos de acceso a los usuarios, y confirmacin de stos de su conocimiento Conexin en terminales (logon) Nmero limitado de intentos fallidos Tras un intento fallido existe un retardo hasta que el siguiente intento sea posible
94% 93% 93% 60% 80% 100% 100% 100% 86% 100% 0%
328
Las contraseas no podrn ser almacenadas en ningn proceso automtico (macros, teclas de funcin, etc.) Desconexin automtica de terminales Activacin automtica del protector de pantalla con contrasea tras un perodo de inactividad Gestin de incidencias Procedimientos de gestin de incidentes Definicin de procedimientos a seguir para todos los tipos potenciales de incidencias Procedimiento para fallos del sistema y prdidas de servicio Procedimiento en caso de denegacin de servicio Procedimiento ante errores que resultan de datos del negocio inexactos o incompletos Procedimiento ante violaciones de la confidencialidad Esquema de gestin Planificacin e implantacin de medidas Comunicacin con los afectados e implicados en la recuperacin de la incidencia Recogida de pistas de auditora, atendiendo a su validez, calidad y completitud Evidencias en documentos en papel Registro de la persona que encontr el documento, lugar y fecha Testigos del descubrimiento Comprobacin de que el documento no ha sido modificado Evidencias en medios electrnicos Realizacin de copias de los medios electrnicos en medios de alta fiabilidad Registro de todas las acciones del proceso de copia Testigos del proceso de copia Comunicacin de las incidencias de seguridad Procedimiento para la comunicacin de las incidencias Procedimiento para la respuesta ante las incidencias Registro Tipo de incidencia Momento en que se ha producido Persona que realiza la notificacin A quin se le comunica Efectos derivados de la misma Acciones tomadas Prueba y revisin de los procedimientos Mecanismos para cuantificacin y monitorizacin (indicadores) de las incidencias Revisin de la seguridad de los sistemas de informacin Se realiza regularmente un anlisis de riesgos Se revisan peridicamente las amenazas y las vulnerabilidades Se evala peridicamente la idoneidad de los controles implantados {or} Revisin del cumplimiento de los requisitos tcnicos de los sistemas de informacin Revisin por un equipo de auditora interna Revisin por un auditor/empresa especializado e independiente Registro de revisiones
329
Servicios
salvaguarda Disponibilidad Proteccin frente a DoS Dimensionamiento adecuado de la capacidad de almacenamiento de los dispositivos de registro (logs) de la actividad Proveedor de servicios alternativo Desarrollo Planificacin de capacidades Dependencia de otros servicios Dependencia de servicios internos Explotacion EDI Integridad y autenticidad Firma electrnica Norma sobre firma electrnica Procedimiento de firma y verificacin Certificado electrnico {xor} Formato del certificado X.509 de identidad X.509 de atributos PGP Otro {xor} Sujeto del certificado {xor} Identifica persona Reconocido No reconocido Dispositivo Fsico Dispositivo Lgico {xor} Mecanismo de hash "Hash" segn FIPS 140-2, SHA-1 o superior Otros {xor} Mecanismo de firma digital Basado en algoritmo asimtrico segn FIPS 140-2 RSA (Rivest-Shamir-Adleman) 1024 o superior DSA (Digital Signature Algorithm) 1024 o superior ECDSA (Elliptic Curve Digital Signature Algorithm) 256 o superior Otro Terminacin Terminacin de Servicio Estudio de los efectos [Presente] 63% 63% 50% 0% 95% 90% 75% 50% 92% 80% 60% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 87% 87% 20% [Solucin 1] 100% 100% 100% 100% 95% 90% 75% 50% 92% 80% 60% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 0% 93% 93% 60%
Datos / Informacin
330
salvaguarda [Presente] [Solucin 1] Disponibilidad 99% 99% Copias de seguridad de los datos 99% 99% {xor} Mecanismo de back-up 100% 100% Copias de seguridad en soportes 100% 100% {or} Soporte 100% 100% Papel 0% 0% {xor} Microfilm 0% 0% Polister 0% 0% Halgeno de plata 0% 0% {xor} Soporte ptico 0% 0% CD ROM, CD-R, CD-RW 0% 0% DVD-ROM, DVD-RAM, DVD-R, DVD-RW 0% 0% Mediante replicacin de discos sncrona o asncrona 0% 0%
331
83% 48% 50% 0% 50% 73% 80% 50% 50% 70% 50% 91% 90% 20% 100% 68% 50% 63% 50% 0%
83% 48% 50% 0% 50% 73% 80% 50% 50% 70% 50% 91% 90% 20% 100% 68% 50% 63% 50% 0%
Comunicaciones
salvaguarda Disponibilidad Proteccin de la disponibilidad {xor} Garantas de disponibilidad Redundancia de los enlaces con esquema activo-pasivo, incluyendo los dispositivos de red Redundancia de los enlaces, con dispositivos de red tolerantes a fallos (doble CPU, doble fuente de alimentacin, y doble interfaz de red) [Presente] 93% 93% 100% [Solucin 1] 93% 93% 100%
332
Dispositivos de red tolerantes a fallos (doble CPU, doble fuente de alimentacin) Cambios (actualizaciones y mantenimiento) Pruebas de regresin Procedimientos de control de cambios Procedimiento formal de aprobacin de cambios Comunicacin de los detalles del cambio al personal relacionado Procedimientos y asignacin de responsabilidades para abortar y, en su caso recuperar, la situacin inicial antes de un cambio Registro de toda actuacin Documentacin Documentacin de todos los cambios
Elementos auxiliares
salvaguarda Suministro elctrico Alimentacin de respaldo Procedimiento de emergencia Revisin y mantenimiento peridicos {or} Redundancia Sistema de alimentacin ininterrumpida (SAI) que permite el funcionamiento de los equipos crticos, hasta su correcto cierre y apagado Sistema de alimentacin redundante que garantiza el funcionamiento de los equipos crticos, y la continuidad de las operaciones Climatizacin Revisin y mantenimiento peridicos Proteccin del cableado Procedimiento para la modificacin del cableado [Presente] 94% 72% 50% 40% 100% [Solucin 1] 94% 72% 50% 40% 100%
Seguridad fsica
salvaguarda Normativa Normas de conducta (prohibicin de fumar, beber, comer, ...) Prohibicin de equipos de registro (fotografa, video, audio, telefona, etc.) salvo autorizacin especial Procedimientos Plan de seguridad Plan de emergencia Procedimientos escritos para el acceso fsico a las instalaciones en caso de emergencia Diseo Diseo observando reglas y normas relevantes sobre salud y sanidad Situar equipos sensibles en reas separadas Separacin de reas de seguridad y de acceso pblico Acceso a travs de un rea de recepcin Control de los accesos fsicos Control de los accesos [Presente] 0% 0% 0% 63% 40% 52% 20% 37% 0% 50% 30% 0% 87% 96% [Solucin 1] 100% 100% 100% 63% 40% 52% 20% 73% 100% 80% 50% 50% 87% 96%
333
Sistema automtico de control de accesos {xor} Mecanismo de identificacin Basado en tarjeta y PIN Basado en biometra Basado en biometra y tarjeta Revisin y mantenimiento peridicos Sistema de Deteccin de Intrusin centralizado Comprobacin peridica Control de las visitas Registro de entrada/salida (nombre, empresa, fecha y horas de entrada y salida, objeto del acceso, y persona que recibe) Control de llaves, combinaciones o dispositivos de seguridad Las combinaciones se cambian o modifican cuando haya cambios de personal que haya tenido acceso a las mismas Proteccin del permetro {xor} Puertas de acceso Puertas de acceso blindadas Puertas de acceso acorazadas Proteccin frente a desastres Proteccin frente a incendios Vas de evacuacin Sistema automtico de extincin de incendios (sprinkler, etc.) Sealizacin (planos de evacuacin, de planta, etc.)
50% 85% 50% 75% 0% 75% 0% 100% 100% 89% 72% 50% 0% 0%
50% 85% 50% 75% 0% 75% 0% 100% 100% 89% 72% 50% 0% 0%
Personal
salvaguarda [Presente] [Solucin 1] Formacin 55% 55% Evaluacin y revisin del plan de formacin 40% 40%
334
2. Planos
o [base] Matriculacin
Fases
o [Presente] Situacin actual o [Solucin 1] Posible situacin futura
335
336
337
338
[15] Conformidad
339
[1] Requisitos legales [1] Identificacin de legislacin aplicable [2] Derechos de propiedad intelectual [3] Proteccin de los registros de la organizacin [4] Proteccin de datos e informacin de carcter personal [5] Prevencin frente al mal uso de los medios de tratamiento de la informacin [6] Regulacin de controles criptogrficos [2] Satisfaccin de polticas, normas y reglamentos tcnicos [1] Satisfaccin de polticas y normas [2] Verificacin de la satisfaccin de reglamentos tcnicos [3] Consideraciones sobre auditora de sistemas [1] Controles de auditora [2] Proteccin de las herramientas de auditora
340
341
Planos
o [base] Matriculacin
Fases
o [Presente] Situacin actual o [Solucin 1] Posible situacin futura
342
[2] Se debe informar al propietario de la aplicacin y de los ficheros de los riesgos detectados al objeto de que pueda tomar decisiones sobre la poltica de seguridad a seguir. [3] Los riesgos y las salvaguardas de la aplicacin se deben revisar peridicamente, as como siempre que las circunstancias lo aconsejen, como una parte ms de la gestin de la seguridad.
78%
94%
343
[1] Se debe situar el equipamiento que soporta a la aplicacin as como los soportes de informacin en reas seguras y protegidas adecuadamente. [2] Se debe definir de forma proporcionada las medidas que garanticen la seguridad de los locales a proteger en relacin con los requisitos de seguridad de la informacin que se almacene o procese. [3] Se debe construir barreras fsicas del suelo al techo para prevenir entradas no autorizadas o contaminacin del entorno. Las ventanas y puertas de las reas seguras deben estar cerradas y controlarse peridicamente. Las ventanas deben protegerse externamente. Se pueden necesitar barreras adicionales y perimetrales entre reas con diferentes requisitos de seguridad dentro del permetro global de seguridad. [4] Se debe construir las instalaciones de forma discreta y minimizar las indicaciones sobre su propsito, evitando signos obvios (fuera o dentro del edificio) que identifiquen la presencia de las actividades cuya seguridad se desea. No informar al personal que no est directamente implicado de las actividades que se hacen dentro de las reas seguras. [5] No se debe identificar en directorios telefnicos y de los vestbulos de la organizacin las localizaciones informticas (excepto las oficinas y reas de recepcin). [6] Se debe proteger los locales de amenazas potenciales: elctricas, incendios, clima, agua, interferencias, agentes qumicos y otros. [7] Se debe documentar debidamente los procedimientos de emergencia y revisar esta documentacin de forma regular. [8] Se debe formar al personal en el funcionamiento de todos los sistemas instalados, realizando simulaciones de contingencias. [9] Se deben implantar medidas para proteger los cables de lneas de datos contra escuchas no autorizadas, contra daos (por ejemplo, evitando rutas a travs de reas pblicas o fcilmente accesibles), o interferencias (por ejemplo, evitando recorridos paralelos y cercanos a lneas elctricas). Instalar las lneas de suministro y telecomunicaciones para servicios de los sistemas de informacin en instalaciones comunes, subterrneas cuando sea posible, o tener medidas alternativas de proteccin adecuada. [10] Se debe ubicar los terminales que manejen informacin y datos sensibles en lugares donde se reduzca el riesgo de que aquellos estn a la vista. [11] Se debe almacenar los materiales peligrosos y/o combustibles a una distancia de seguridad del emplazamiento de los ordenadores. Por ejemplo, los suministros informticos como el papel no se deben almacenar en la sala de ordenadores (hasta que se necesiten). Inspeccionar el material entrante, para evitar amenazas potenciales, antes de llevarlo al punto de uso o almacenamiento. [12] Se debe ubicar el equipamiento alternativo y copias de respaldo en sitios diferentes y a una distancia conveniente de seguridad. Estas copias de respaldo se almacenarn en armarios ignfugos (vase el Captulo Proteccin de soportes de informacin y copias de respaldo). [13] Se debe controlar la entrada en exclusiva al personal autorizado a las reas que se hayan definido como reas a ser protegidas. Autorizar slo con propsitos especficos y controlados los accesos a estas reas, registrando los datos y tiempos de entrada y salida. Obligar a todo el personal que lleve una identificacin visible dentro del rea segura y
37%
73%
90% n.a.
90% n.a.
n.a.
n.a.
n.a.
n.a.
344
que observe e informe de la presencia de personal extrao al rea. En stas se deben prohibir los trabajos no autorizados en solitario para evitar la oportunidad de accin maliciosa. Cerrar la puerta externa del rea, cuando la interna est abierta. [14] Se debe restringir el acceso a las reas seguras del personal de los proveedores o de mantenimiento a los casos en que sea requerido y autorizado. Aun con acceso autorizado deben restringirse sus accesos y controlarse sus actividades (especialmente en zonas de datos sensibles). [15] Se deben definir normas y controles relativos a la posible salida/entrada fsica de soportes de informacin (impresos, cintas y disquetes, CDs, etc.), as como de los responsables de cada operacin.
n.a.
n.a.
n.a.
n.a.
[9] Autenticacin
control [1] Se deben adoptar medidas de identificacin y autenticacin proporcionadas a la naturaleza de la informacin y de los tratamientos, de los riesgos a los que estn expuestos y del estado del arte de la tecnologa. [2] Se debe elaborar y mantener una lista de usuarios autorizados; stos deben tener un conjunto de atributos de seguridad que puedan ser mantenidos individualmente. [3] Se debe asignar a cada usuario un identificador nico para su uso exclusivo y personal, de forma que cualquier actuacin suya pueda ser trazada. Con el identificador de usuario el administrador de seguridad debe poder identificar al usuario especfico. [4] El sistema debe exigir que cada usuario se identifique y autentifique su identidad, antes de que se le permita realizar cualquier accin, para acceder a la aplicacin y a otros recursos (tambin al puesto local, al servidor, al dominio de red, etc.). [5] La identificacin y autenticacin fuerte, se realizar mediante al menos un par de claves complementarias, una pblica y otra privada, generadas con algoritmos de cifrado asimtrico RSA-1024 o equivalente, acompaadas del correspondiente certificado reconocido de autenticidad que cumplir las especificaciones x.509 v3 o superiores. [6] La autenticacin basada en identificador de usuario y contrasea fija slo es adecuada en el mbito donde haya datos a los que haya que aplicar las medidas denominadas de nivel bsico. [Presente] 89% [Solucin 1] 96%
82% 100%
95% 100%
79%
93%
75%
75%
[10] Confidencialidad
control [1] Se debe cifrar la informacin cuando la naturaleza de los datos y de los tratamientos y los riesgos a los que estn expuestos lo requiera, tanto en transacciones o comunicaciones como en almacenamiento, en particular cuando se trate de datos de carcter personal a los que haya que aplicar las medidas de nivel alto. Informacin dinmica: En los intercambios entre puestos, servidores y otros dispositivos, as como en transacciones electrnicas y transmisiones a travs de redes de telecomunicaciones. Informacin esttica: En servidores, en soportes electrnicos de informacin o en ordenadores personales o estaciones de trabajo de los usuarios. [Presente] 100% [Solucin 1] 100%
345
[2] Los algoritmos deben permitir una longitud mnima de claves de 128 bits, y se utilizarn preferentemente 3DES, IDEA, RC4, RC5, AES, o equivalentes. [3] Para el establecimiento de sesin web cifrada se debe utilizar el protocolo SSL v3/TLS v1 o superior con cifrado simtrico de, al menos, 128 bits. [4] En correo electrnico seguro se debe utilizar el estndar S/MIME v2 o superior. [5] En sesiones de administracin remota se debe utilizar SSH. [6] Se deben implantar procedimientos de apoyo a los mecanismos de cifrado (control de acceso fsico y lgico, autenticacin, gestin de claves, etc.) para evitar la divulgacin no autorizada de la informacin almacenada en dispositivos y soportes electrnicos o en trnsito a travs de redes de telecomunicaciones. [7] El borrado de los datos debe realizarse mediante mecanismos adecuados, como por ejemplo los basados en ciclos de reescritura de los ficheros. El procedimiento de borrado tendr en cuenta la naturaleza de los datos o al riesgo aparejado a su desvelamiento. [8] Para salvaguarda de la confidencialidad se debe tener en cuenta tambin lo previsto en los captulos "Seguridad fsica", "Autenticacin", "Control de acceso", "Acceso a travs de redes" y "Proteccin de los soportes de informacin y copias de respaldo". [9] Cuando el mecanismo de proteccin de la confidencialidad en las comunicaciones de la Administracin con el ciudadano utilice algoritmos de clave pblica, adems de los de clave simtrica, el par de claves complementarias, pblica y privada han de ser independientes de los utilizados para autenticidad. Sern de RSA-1024 o equivalente y certificado reconocido conforme con la norma UIT X.509 v3 o versiones posteriores. La Administracin deber informar al ciudadano de las medidas que permitan descifrar la informacin.
n.a.
n.a.
n.a.
n.a.
n.a.
n.a.
[11] Integridad
control [1] Se deben implantar procedimientos de explotacin de la aplicacin y de los sistemas adecuados a la proteccin de la integridad. [2] Se deben implantar procedimientos de copias de respaldo de ficheros y bases de datos, y de proteccin y conservacin de soportes de informacin. [3] Se deben generar copias de los documentos emitidos en soportes no reescribibles de tipo "mltiple lectura nica escritura" (WORM), como, por ejemplo, CD-ROM o DVD (Vase en "Criterios de Conservacin", en el captulo "Soportes" el apartado "Tipos de soportes de almacenamiento de la informacin"). [4] Se deben aplicar tcnicas de comprobacin de la integridad de la informacin: funciones resumen o hash, firma electrnica, etc. (en particular a documentos y mensajes) para verificar la integridad de la misma y, en su caso, de fechado electrnico. [5] Se deben proteger los archivos de informacin mediante el atributo de solo lectura. [6] En las aplicaciones que ejecuten transacciones o procesos donde se produzcan mltiples actualizaciones de datos que se encuentren [Presente] n.a. 99% n.a. [Solucin 1] n.a. 99% n.a.
100%
100%
100% n.a.
100% n.a.
346
relacionados entre s, se deben adoptar herramientas o procedimientos que aseguren la integridad de estos datos en el caso de que se produzca un fallo de proceso y no se pueda completar la transaccin. [7] Se debe realizar un anlisis peridico de los accesos y de los recursos utilizados. [8] Se deben adoptar medidas de proteccin frente a cdigo daino en los servidores de aplicacin, en los equipos de los usuarios y en los soportes circulantes (disquetes, CD's, otros): [9] Se debe aplicar el fechado electrnico a los documentos o informacin cuya fecha y hora se desea acreditar. La sincronizacin de la fecha y la hora se deber realizar con el Real Instituto y Observatorio de la Armada, de conformidad con lo previsto sobre la hora legal en el Real Decreto 1308/1992 de 23 de octubre y segn las condiciones tcnicas y protocolos que el citado Organismo establezca. En particular los registros telemticos y los servicios de notificacin electrnica deben adoptar servicios de fechado electrnico para la acreditacin de fecha y hora.
[12] Disponibilidad
control [1] Se deben adoptar los procedimientos de explotacin que garanticen la fiabilidad de la aplicacin y de los soportes en los que resida la informacin. [2] Los equipos que soporten la aplicacin y cuya interrupcin accidental pueda provocar alteracin o prdida de datos o documentos administrativos, deben estar protegidos contra fallos de suministro elctrico mediante sistemas de alimentacin ininterrumpida. [3] Si la naturaleza de los tratamientos y de los datos lo hacen apropiado, se deben implantar equipos dotados de mecanismos tolerantes a fallos. [4] Los equipos deben mantenerse de acuerdo con las especificaciones de los suministradores respectivos. [5] Se deben adoptar las medidas apropiadas de seguridad fsica en el entorno donde se encuentren los equipos que den soporte a la aplicacin. (Vase captulo "Seguridad fsica") [6] Se deben proteger los sistemas y las aplicaciones contra el cdigo daino. Cabe adoptar las siguientes medidas: [7] Se deben proteger los sistemas y las aplicaciones contra los ataques de denegacin de servicio. [8] Se deber preparar y mantener operativo un plan de contingencias. (Vase captulo "Plan de contingencias"). [Presente] 82% n.a. [Solucin 1] 82% n.a.
347
[3] Se debe limitar el acceso a los recursos segn la funcin o la necesidad de conocer. [4] Se deben revisar peridicamente y mediante procedimiento formal los derechos de acceso de los usuarios [5] Se debe formar a los usuarios en relacin con el control de acceso a los recursos protegidos. [6] Se deben adoptar medidas en relacin con el trabajo desde fuera de las instalaciones de la organizacin. [7] Se deben adoptar medidas adicionales especficas para los equipos porttiles. [8] Se deben adoptar medidas adicionales especficas para el control de acceso de terceras partes
348
83%
93%
n.a. 99%
n.a. 99%
n.a.
n.a.
n.a. 100%
n.a. 100%
n.a.
n.a.
349
ficheros. El procedimiento de borrado tendr en cuenta la naturaleza de los datos o al riesgo aparejado a su desvelamiento.
n.a.
n.a.
80% 45%
90% 88%
55% n.a.
71% n.a.
n.a.
n.a.
0%
85%
n.a.
n.a.
350
a los datos manejados con el tipo de incidencia, momento, persona que realiza la notificacin, a quin lo notifica y los efectos de la misma. Esta informacin junto con otra relativa a la seguridad se debe conservar para aprender de estas experiencias, con objeto de minimizar los posibles daos y consecuencias, para investigaciones futuras y para el control de los accesos. [4] Si sospecha que el mal funcionamiento es debido a problemas de software (por ejemplo un virus), el usuario debe: observar los sntomas, dejar de usar la aplicacin e informar inmediatamente.
42%
89%
0%
50%
50%
75%
30%
79%
n.a.
n.a.
n.a.
n.a.
n.a.
n.a.
351
[6] Se debe controlar peridicamente la utilizacin de los distintos componentes del sistema. [7] Se debe asegurar que la funcin de auditoria accede en su caso a la informacin relativa a las medidas de seguridad, pero no a los datos. [8] En las aplicaciones que se citan a continuacin, el registro de eventos guardar al menos traza: en el servicio de direccin electrnica nica y en el registro telemtico.
352
Anexo: RD994
2. Planos
o [base] Matriculacin
3. Fases
o o [Presente] Situacin actual [Solucin 1] Posible situacin futura
353
Anexo: RD994
[c] personal [d] estructura de los ficheros y sistemas [e] procedimiento de notificacin [f] copias de respaldo [3] Revisin y actualizaoin [4] Ajuste a normativa [9] Funciones y obligaciones del personal [1] Definicin [2] Difusin [10] Registro de incidencias [11] Identificacin y autenticacin [1] Relacin y procedimientos [2] Gestin de contraseas [3] Cambio de contraseas [12] Control de acceso [1] Control de acceso [2] Gestin de derechos de acceso [3] Registro de usuarios [4] Gestin de privilegios [13] Gestin de soportes [1] Gestin interna [2] Gestin de soportes en trnsito [14] Copias de respaldo y recuperacin [1] Gestin de backups [2] Procedimientos de backup [3] Periodicidad
354
Anexo: RD994
[1] Datos registrados [2] Identificacin del registro accedido [3] Control del responsable [4] Periodo de conservacin [5] Revisin peridica [25] Copias de respaldo y recuperacin [26] Telecomunicaciones n.a. n.a. 0% n.a. n.a. 100% 100%
355
Bibliografa
356
Bibliografa AENOR; Informacin obtenida de Internet (13 de Junio de 2006). http://www.aenor.es/desarrollo/centroinformacion/faqs/faqs2.asp [ARIA05] ARIAS RUIZ DE SOMAVIA, RAMN; Anlisis de Riesgos del Sistema de Informacin clasificado de Isdefe. Informe interno de la empresa. 2005. [ARIAS05]ARIAS RUIZ DE SOMAVIA, RAMN; Gestin de la Seguridad del Sistema de Informacin clasificado de Isdefe. Informe interno de la empresa. 2005. Arquitectura en tres capas. Obtenido de Internet (21 de Febrero de 2006). http://es.wikipedia.org/wiki/Programaci%C3%B3n_por_capas. La informacin mostrada en iMAt en relacin a la arquitectura en tres capas ha sido obtenida de esta direccin y los enlaces que contiene. [BARR01] BARRANCO DE AREBA, JESS; Metodologa del anlisis estructurado de sistemas. Publicaciones de la Universidad Pontifica de Comillas, Segunda Edicin. 2001. [HUIT01] HUITEMA, CHRISTIAN; Routing in the Internet; Second Edition. Prentice Hall, 2000. ISO/IEC 17799:2005; Information Technology Security techniques Code of practice for information security management. Second Edition, 15/06/2005. [MAGE05] MINISTERIO DE ADMINISTRACIONES PBLICAS; MAGERIT-versin 2 (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin). Madrid, 2005. [MAA06] MAAS, JOS A.; Magerit, Metodologa de Anlisis y Gestin de Riesgos. Diapositivas. Madrid, 2006. [MAA04 ]MAAS, JOS A; PILAR. Herramientas para el Anlisis y la Gestin de Riesgos.2004. Manual para EAR (Entorno de anlisis de riesgos). Obtenido de Internet (23 de Enero de 2006) de la pgina http://ar-tools.com/index.html. Pgina usada para obtener informacin acerca de la herramienta EAR.
357
Bibliografa [UNE01] UNE 71501 1 IN; Tecnologa de la informacin, gua para la gestin de la seguridad de TI. Noviembre 200154. Parte 1: Conceptos y modelos para la seguridad de TI. Parte 2: Gestin para la planificacin de la seguridad de TI Parte 3: Tcnicas para la Gestin de la Seguridad de TI. Seguridad Informtica. Obtenido de Internet (21 de Febrero de 2006). http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica. Usado a lo largo del trabajo para la explicacin de iMat y la evaluacin de riesgos.
54
358