Beruflich Dokumente
Kultur Dokumente
A continuacin haremos una descripcin detallada de los pasos con que cuenta nuestra metodologa de anlisis de riesgo, la cual consideramos el punto central de la definicin de una estrategia de seguridad, perfectamente alineada con la visin de la organizacin, dentro de su entorno de operacin. Esta metodologa es el resultado de la combinacin de diferentes propuestas existentes en la industria, y utiliza mtodos tanto cualitativos, como cuantitativos, los primeros permiten agilidad en el proceso y facilidad en la asignacin de valores de impacto o riesgo, y los segundos nos permiten la precisin y exactitud, necesarias a la hora de tomar decisiones de tipo financiero, por ejemplo, en el caso de la seleccin de los controles adecuados, para mitigar un posible evento negativo a la operacin y continuidad del negocio.
1.1 Entrevistas
Mediante este tipo de aproximacin a la organizacin, se busca entender los diferentes aspectos que la conforman, tanto en el aspecto tecnolgico, como en los procesos crticos, los cuales a su vez, son soportados por las aplicaciones y la infraestructura tecnolgica. SISTESEG identificar los siguientes elementos en el marco de la norma de seguridad ISO17799/ISO 27001:
Descripcin de la Organizacin y sus Objetivo. Entendimiento de la organizacin, sus reas funcionales y su ubicacin geogrfica. El levantamiento del detalle topolgico de la infraestructura de tecnologa existente, en el cual se especificar y detallar la plataforma de hardware, software, comunicaciones y procesos utilizados por XXX. Listas de verificacin de la Infraestructura Tecnolgica: El objetivo de las listas de chequeo es identificar las vulnerabilidades de las plataformas tecnolgicas.
SISTESEG
La probabilidad de una amenaza La magnitud del impacto sobre el sistema, la cual se mide por el nivel de degradacin de uno o combinacin de alguno de los siguientes elementos: confidencialidad, disponibilidad, integridad.
Nivel
Alta = 5
Definicin
La amenaza esta altamente motivada y es suficientemente capaz de llevarse a cabo. La amenaza est fundamentada y es posible.
Media-Alta =4
Media = 3
La amenaza es posible.
Media-Baja = 2
Baja = 1
.
Tabla 1. Probabilidad de ocurrencia de un evento determinado.
SISTESEG
De esta manera se define una escala en la cual, a una probabilidad alta, le asignamos el valor P=5, para una probabilidad media le asignamos el valor P=3 y por ltimo para una probabilidad baja le asignamos el valor P=1, esta asignacin se define en proporcin directa al numero de veces que el evento puede ocurrir en un periodo de un ao. Para el caso P=5 se considera que ocurre al menos dos veces al ao.
Tambin con el fin de realizar una correspondencia con los datos obtenidos por medio de las listas de verificacin, contamos con el uso de una herramienta especializada fabrica por GFI Languard, la cual identifica vulnerabilidades en los sistemas operativos, ayudndonos de esta forma en el proceso de identificacin de vulnerabilidades. A continuacin mostramos algunas de las caractersticas de esta herramienta:
Directorios compartidos, puertos abiertos, cuentas no usadas. Revisin de actualizaciones aplicadas en los sistemas operativos. Deteccin de dispositivos USB
SISTESEG
2 DEFINICION DE POLITICAS
Se entiende por poltica, las reglas generales de comportamiento definidas para la interaccin entre los usuarios y los activos informticos. Las polticas son independientes de los ambientes propios de la entidad y representan la base de un modelo de seguridad. Las Polticas de seguridad dependen de la cultura de la organizacin. Por esta razn las polticas y procedimientos deben estar hechos a la medida, segn los requerimientos especficos de cada organizacin. Para la definicin de las polticas y procedimientos se realiza un proceso de validacin en conjunto con la organizacin con el fin de generar polticas y procedimientos que se ajusten a esta. Como punto de partida para la definicin de las polticas se tendr como referencia el anlisis de riesgo realizado, los controles del ISO 1 7799/ISO 27001. Las polticas cubrirn los siguientes temas: Seguridad en la Organizacin: o o Roles y Responsabilidades de Seguridad de la Informacin Polticas para la conexin con terceros.
Seguridad en el recurso Humano: o Responsabilidades de seguridad de la informacin para los diferentes cargos.
SISTESEG
Entrenamiento a empleados en seguridad de la informacin como parte de su proceso de induccin y mejoramiento continuo.
Seguridad Fsica: o Seguridad ambiental o Control de Acceso fsico. Administracin de las operaciones de cmputo y comunicaciones. o Polticas sobre el uso del correo electrnico o Polticas sobre el uso de Internet. o Polticas sobre el uso de recursos. Control de Acceso. Desarrollo y mantenimiento de Sistemas. Continuidad de Negocio. Conformidad con leyes civiles, legales y contractuales. Las polticas constan de: Audiencia Introduccin Definiciones Objetivo Enunciado de la Poltica Polticas y Procedimientos relacionados Roles y responsabilidades Violaciones a la poltica
3 DEFINICION DE PROCEDIMIENTOS
Los procedimientos son la descripcin detallada de la manera como se implanta una poltica. El procedimiento incluye todas las actividades requeridas, los roles y responsabilidades de las personas encargadas de llevarlos a cabo. Los procedimientos a definir son los siguientes: Administracin de cuentas de usuario. Manejo de Incidentes Manejo de Virus Administracin de cuentas privilegiadas. Procedimiento de Control de Cambios. Procedimiento de Acceso al edificio. Procedimiento de acceso al centro de Cmputo. Procedimiento de respaldo Los procedimientos constan:
SISTESEG
Introduccin Objetivo Alcance Responsable de su administracin Responsables de la implementacin y ejecucin. Responsable del control
4 DEFINICION DE ESTANDARES
Es la definicin cuantitativa o cualitativa de un valor o parmetro determinado que puede estar incluido en una poltica o procedimiento. Algunos de los principales estndares a definir son:
Longitudes de contraseas Histrico de contraseas Eventos a registrar en logs Switches Routers Firewall VPNs Sistema Operativo Windows
AUTOR: EL ing Rodrigo Ferrer (rodrigo.ferrer@sisteseg.com) es egresado de la universidad de los Andes como ingeniero Elctrico, en donde tambin ha realizado estudios de postgrado y especializacin en telecomunicaciones y Gestin de sistemas de informacin. Se ha desempeado laboralmente en empresas de redes y seguridad tales como: 3com, Extreme Networks, Sonicwall, Sisteseg, desempendose como Network Consultant para la regin andina y como acadmico en varias universidades del pas. Recibi en el 2006 la certificacin CISSP (Certified Information System Security Profesional) del International Information Systems Security Certification Consortium (www.isc2.org), la certificacin internacional ms reconocida a nivel mundial en el rea de seguridad de la informacin, seguridad fsica y seguridad en redes. Tambien esta en proceso de obtener la certificacin CISA de ISACA y es LEAD AUDITOR 27001. Como complemento a su formacin tecnolgica, ha realizado tambin realizado estudios de educacin continuada en la Universidad de Cambridge en el Reino Unido y actualmente est finalizando la Maestra en Filosofa, en la Universidad Javeriana orientado al tema "filosofa de la ciencia y la tecnologa".
SISTESEG