Universidad Internacional de la Rioja Máster Universitario en Seguridad Informática Gestión de la seguridad Actividad No
Views 197 Downloads 8 File size 181KB
Universidad Internacional de la Rioja Máster Universitario en Seguridad Informática Gestión de la seguridad Actividad No. 2: Caso práctico proyectos de seguridad Estudiante: Javier Leonardo Díaz García
1. Desarrollo de la actividad 1.1 Contexto de la organización: 1.1.1. Descripción Somos una empresa especialista en fabricación de Maquinaria Industrial y poseemos un amplio surtido de maquinaria diseñada y fabricada para diversos sectores de la Industria. Nos encargamos de llevar a cabo todas las fases del proyecto, abarcando desde la Ingeniería y diseño de la maquinaria hasta la implantación, puesta en marcha y la entrega final en las instalaciones del cliente, aportando siempre soluciones eficientes e innovadoras. Ofrecemos la Integración de Robótica Industrial en su maquinaria, instalaciones o líneas, que le ayudarán a la mejora del rendimiento de su maquinaria.
1.1.2. Análisis de cuestiones internas y externas:1 CUESTIONES INTERNAS
Debilidades
-
-
Fortalezas
Dificultades relacionadas con identificación, análisis y valoración de riesgos de seguridad informática, en los procesos de Diseño y Producción. Gestión incorrecta de las vulnerabilidades técnicas Seguridad física deficiente Baja seguridad en las redes de la empresa
-
Equipo consultor en seguridad de la información idóneo. Lealtad y satisfacción de los clientes Estabilidad laboral del personal y alto sentido de pertenencia con la empresa.
CUESTIONES EXTERNAS
Amenazas
-
-
1
Aumento de los niveles de actos de ciber criminales a través de internet buscando beneficios Falta de asesoría por parte de los entes gubernamentales con respecto al cumplimiento de los requerimientos relacionados con seguridad de la información (Habeas Data)
ISO/IEC 27001:2013
Oportunidades
-
Necesidad creciente de implementar programas o sistemas de gestión de la seguridad informática, debido a requerimientos legales y comerciales.
1.1.3. Necesidades y expectativas de las partes interesadas:2 PARTE INTERESADA
Junta directiva del grupo
NECESIDAD O EXPECTATIVA
-
Clientes
-
Proveedores
-
Empleados Entes de control
-
Cumplimiento de políticas y directrices corporativas relacionadas con la seguridad de la información. Garantizar la seguridad de la información relacionada con diseños e información confidencial acerca del proceso industrial, para el cual se va a producir la maquinaria. Evaluación de los servicios y en caso de ser necesario, correcciones y sugerencias para mejora. Capacitaciones adecuadas para el correcto desempeño de las funciones asignadas, que tienen que ver con seguridad de la información. Cumplimiento de las leyes relacionadas con seguridad de la información, que en su mayoría tratan de protección de datos personales.
1.1.4. Alcance del SGSI Asegurar la información relativa a las tareas de diseño y producción de la maquinaria industrial desarrollada para nuestros clientes, así como los procesos y sistemas que almacenan, manejan y soportan la información, mediante el mantenimiento de la integridad, disponibilidad y confidencialidad de la misma.
1.2. Identificación de riesgos relacionados con seguridad de la información3 TIPO
HARDWARE
SOFTWARE
RED
VULNERABILIDAD
Mantenimiento insuficiente de equipos y medidas de seguridad física. Ausencia de esquemas de reemplazo periódico Susceptibilidad a la humedad, el polvo y humedad Falta de protección a variaciones de voltaje Asignación errada de derechos de usuario Ausencia de documentación Configuración incorrecta de parámetros Falta de mecanismos de identificación y autenticación Ausencia de copias de respaldo Líneas de comunicación sin protección Tráfico sensible sin protección Conexión deficiente de los cables Arquitectura insegura de la red Transferencia de contraseñas en claro Gestión inadecuada de la red
LUGAR
ORGANIZACIÓN
2 3
Uso inadecuado o descuidado del control de acceso físico a edificaciones y/o recintos Red eléctrica inestable Ausencia de protección física de la edificación, puertas y ventanas Ausencia de mecanismos de monitoreo para detectar brechas de seguridad Falta de seguimiento a activos fuera de la empresa
ISO/IEC 27001:2013 NTC-ISO/IEC 27005:2009
RIESGO
-
Daños y robos de equipos Pérdida de información Corrupción de datos
-
Corrupción de datos Abuso de derechos Error en el uso Pérdida o robo de información
-
Error en el uso de la información Espionaje remoto Fallas en los equipos Falsificación de derechos de acceso Saturación de la red Hurto de equipos Destrucción de equipos o medios Acceso físico a los equipos por parte de personal no autorizado Abuso de derechos Usos no autorizados
-
Ausencia de procedimientos y directrices para empleados y usuarios Ausencia de procedimientos adecuados de identificación y gestión de riesgos. Gestión incorrecta de las vulnerabilidades técnicas.
-
Incumplimientos contractuales Sanciones legales y/o contractuales
1.3. Priorización de proyecto 1 Gestión de vulnerabilidades técnicas 2 Mejoras de la seguridad física 3 Incremento en la seguridad de las redes Justificación: En el proceso de gestión de vulnerabilidades técnicas, se pueden revisar los aspectos inherentes a los otros dos aspectos mencionados en la actividad, el de seguridad física y la seguridad en las redes. Es debido a esto que se prioriza la gestión de vulnerabilidades, teniendo en cuenta que en el plan de trabajo se considerarán aspectos relacionados a los otros dos ítems antes mencionados.
1.3.1. Mitigación de riesgos identificados TIPO
VULNERABILIDAD
HARDWARE
Mantenimiento insuficiente de equipos y medidas de seguridad física. Ausencia de esquemas de reemplazo periódico Susceptibilidad a la humedad, el polvo y humedad Falta de protección a variaciones de voltaje Asignación errada de derechos de usuario Ausencia de documentación
SOFTWARE
Configuración incorrecta de parámetros Falta de mecanismos de identificación y autenticación Ausencia de copias de respaldo Líneas de comunicación sin protección Tráfico sensible sin protección Conexión deficiente de los cables
RED
Arquitectura insegura de la red Transferencia de contraseñas en claro Gestión inadecuada de la red
LUGAR
ORGANIZACIÓN
Uso inadecuado o descuidado del control de acceso físico a edificaciones y/o recintos Red eléctrica inestable Ausencia de protección física de la edificación, puertas y ventanas Ausencia de mecanismos de monitoreo para detectar brechas de seguridad Falta de seguimiento a activos fuera de la empresa
CONTROL
Plan de mantenimiento de equipos, con verificación. Instalación de sistema de control de ambiente Instalación de UPS Definición y socialización de procedimiento de cuentas de usuario Definición de procedimiento de control documental Desarrollo de manuales de configuración Definición y socialización de procedimiento de cuentas de usuario Definición de mecanismos de BackUp Establecimiento de canales cifrados Plan de mantenimiento de equipos, con verificación. Diseño e implementación de red segura, por fases. Establecimiento de canales cifrados Establecimiento de comités de seguridad informática con personal idóneo Plan de mejoramiento de seguridad física Instalación de UPS Plan de mejoramiento de seguridad física Procedimiento de inspecciones periódicas a la red. Definición de herramienta gestión de equipos fuera de las oficinas. Ej: Gsuite Business Plan
1.4. Desarrollo del proyecto 1.4.1. Descripción general del proyecto Se va a realizar la identificación, evaluación y gestión de vulnerabilidades de la organización. La metodología tendrá en cuenta aspectos tales como fondos asignados, tecnología disponible, personal idóneo, entre otros. Se realizarán tres pruebas específicas:
Exploración de vulnerabilidades por medio de herramienta automática Prueba y evaluación de la seguridad, de forma manual y aleatoria. Pruebas de penetración
-
1.4.2. Objetivo y alcance Este proceso se realiza con el fin de obtener información acerca de las vulnerabilidades técnicas de los sistemas de información, para identificarlas y evaluarlas, además de conocer el nivel de exposición de la organización a las diferentes amenazas tanto internas como externas.
1.4.3. Tiempo estimado Teniendo en cuenta el número de equipos, empleados y que el proceso se tiene que realizar por fases para afectar en la menor medida posible, las actividades diarias del personal, el proyecto se desarrollará en 50 días calendario, teniendo presente que pueden presentarse actividades relacionadas al control de vulnerabilidades que superen este tiempo, debido a limitaciones de recursos económicos, humano y técnico de la organización.
1.4.4. Plan de acción del proyecto4 No. 1 2 3 4
5
6 7 8 9 10
4
Actividad Definición de roles y responsabilidades para todo el personal que va a tener relación con el proyecto de gestión de vulnerabilidades. Identificación de recursos a utilizar para identificar vulnerabilidades Definición de procedimientos de pruebas, tiempos y resultados esperados Definición de registros de auditoria de las pruebas. Desarrollo de pruebas definidas: - Exploración de vulnerabilidades por medio de herramienta automática - Prueba y evaluación de la seguridad, de forma manual y aleatoria. - Pruebas de penetración Análisis de eficacia de controles Evaluación de la capacidad del sistema para tolerar intentos de acceso o ataques malintencionados. Identificación de vulnerabilidades y evaluación de riesgos asociados, según resultado de pruebas. Definición del nivel de riesgo de la organización Definición de medidas para contrarrestar vulnerabilidades: - Adaptar o adicionar controles a los existentes - Definir controles nuevos
GTC-ISO/IEC 27002:2015
Entregable o evidencia Acta de conformación de equipo para gestión de vulnerabilidades
Plan de pruebas
Informe de vulnerabilidades
Plazo CP
CP
análisis
de
Matriz de riesgos asociados a vulnerabilidades encontradas Plan de acción vulnerabilidades
para
MP
MP
MP - LP
Incrementar seguimiento a vulnerabilidades difíciles de controlar - Toma de conciencia Priorización de medidas teniendo en cuenta: - Urgencia - Relación Costo vs beneficio - Tiempos de implementación - Gestión del cambio relacionada a los controles Plan de implementación de controles a las vulnerabilidades, relacionado con la gestión de incidentes de la organización. -
11
12
2. -
13
Seguimiento a la implementación de controles
14
Seguimiento al proceso de gestión de vulnerabilidades
Verificación del plan de implementación Plan de auditoria, teniendo en cuenta este ítem específico
MP-LP
Bibliografía / Webgrafía ISO/IEC 27001:2013 Técnicas de seguridad. Sistemas de gestión de la seguridad de la información. Requisitos GTC-ISO/IEC 27002:2015 Técnicas de seguridad. Código de práctica para controles de seguridad NTC-ISO/IEC 27005:2009 Técnicas de seguridad. Gestión del riesgo en la seguridad de la información Basin, D., Schaller, P., & Schlapfer, M. (2011). Applied information security. Berlin: Springer. Stallings, W., & Brown, L. (2015). Computer security. Boston, Mass: Pearson.
LP