MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin)

Los responsables y los usuarios de la tecnologa de la informacin son conscientes de la necesidad de disponer de instrumentos tales como metodologas que ayuden a la investigacin del estado de seguridad de los sistemas de informacin (SI) y a la seleccin de medidas de seguridad proporcionadas, tanto para disminuir las insuficiencias de los sistemas existentes, como para aquellos otros que precisen de reforma o de nuevo desarrollo.

No es posible una aplicacin racional de medidas de seguridad sin antes analizar los riesgos para as implantar las medidas proporcionadas.

Para responder a esta necesidad, el Consejo Superior de Administracin Electrnica ha elaborado la Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, MAGERIT, un mtodo formal para investigar los riesgos que soportan los Sistemas de Informacin, y para recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos.

La razn de ser de MAGERIT est directamente relacionada con la generalizacin del uso de los medios electrnicos, informticos y telemticos, que supone unos beneficios evidentes para los ciudadanos, las empresas y la propia Administracin Pblica, pero que tambin da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en su utilizacin.

MAGERIT propone la realizacin de un anlisis de los riesgos que implica la evaluacin del impacto que una violacin de la seguridad tiene en la organizacin;

seala los riesgos existentes, identificando las amenazas que acechan al sistema de informacin, y determina la vulnerabilidad del sistema de prevencin de dichas amenazas, obteniendo unos resultados que permitirn a la gestin de riesgos seleccionar e implantar las medidas de seguridad adecuadas para conocer, impedir, reducir o controlar los riesgos identificados y as reducir al mnimo su potencialidad o sus posibles perjuicios.

Este Anlisis y Gestin de Riesgos determina la implantacin de medidas de salvaguarda que responden al objetivo de mantener la continuidad de los procesos organizacionales soportados por los sistemas de informacin. Asimismo intenta minimizar tanto el coste global de la ejecucin de dichos procesos como las prdidas de los recursos asignados a su funcionamiento. El Anlisis y Gestin de Riesgos es, en consecuencia, el corazn de toda actuacin organizada de materia de seguridad y, por tanto, de la gestin global de la seguridad. Influye incluso en las fases y actividades de tipo estratgico (implicacin de la direccin, objetivos, polticas) y condiciona la profundidad de las fases y actividades de tipo logstico (planificacin, organizacin, implantacin de salvaguardas, sensibilizacin, accin diaria y mantenimiento). La figura 7 muestra el ciclo de fases de la gestin global de la seguridad:

Ciclo de fases de la gestin global de la seguridad

Herramienta EAR/PILAR

El entorno de anlisis de riesgos EAR Pilar es una herramienta informtica para el anlisis de riesgos, basado en MAGERIT. Este software puede descargarse gratuitamente, en su versin de prueba, desde el enlace www.ar-tools.com/pilar.

PILAR dispone de una biblioteca estndar de propsito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son: ISO/IEC 27002:2005 - Cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin.

SP800-53:2006 - Recommended Security Controls for Federal Information Systems.

Criterios de Seguridad, Normalizacin y Conservacin del Consejo Superior de Informtica y para el Impulso de la Administracin Electrnica.

Para el desarrollo y planificacin del anlisis de riesgos se ha seguido: Magerit versin 2 (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin), elaborada por el Consejo Superior de

Administracin Electrnica. PILAR (Procedimiento Informtico y Lgico del Anlisis de Riesgos) se ha utilizado tanto para la valoracin de activos, como para la de

Amenazas y la estimacin del riesgo potencial. En funcin del marco normativo, y sin entrar en demasiados detalles, puede asumirse que el esquema sobre el que finalmente se construye el SGP es el clsico

PILAR Es una aplicacin, para el anlisis y gestin de riesgos de un Sistema de Informacin que Magerit ofrece. Las herramientas EAR (Entorno de Anlisis de Riesgos) soportan el anlisis y la gestin de riesgos de un sistema de informacin siguiendo la metodologa Magerit,

Los activos estn expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que est expuesto el sistema. Degradacin y frecuencia califican la vulnerabilidad del sistema. El gestor del sistema de informacin dispone de salvaguardas, que o bien reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantacin de estas salvaguardas, el sistema pasa a una nueva estimacin de riesgo que se denomina riesgo residual.

PILAR - Anlisis y Gestin de Riesgos Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad (accountability). Para tratar el riesgo se proponen salvaguardas (o contra medidas) normas de seguridad procedimientos de seguridad

PILAR, contiene un conjunto de herramientas que actualmente ofrece Anlisis cualitativo. Las valoraciones de los elementos (activos, amenazas y salvaguardas) se realiza por niveles, desde la irrelevancia hasta la mxima importancia o criticidad. Esto hace un anlisis rpido del que lo ms importante es la relativizacin de impactos y riesgos. Anlisis cuantitativo. Las valoraciones son numricas, tpicamente en trminos dinerarios. Esto hace el anlisis mucho ms preciso, si se consigue validar los datos empleados. El anlisis puede llegar a ofrecer resultados de recuperacin de la inversin en salvaguardas, en trminos de riesgo menguante. Es importante destacar el papel de la herramienta como ayuda al analista. primero, para introducir y consolidar datos, calculando los impactos y riesgos que se derivan de los valores introducidos. Y segundo, la herramienta permite la navegacin entre los diferentes puntos de vista, ayudando a la comprensin del sistema y de las razones que llevan a conclusiones. Anlisis y gestin no pueden verse como procesos ciegos que metabolizan de forma mgica los datos que entran. Muy al contrario, muchas veces el por qu es ms importante que el resultado final. Las herramientas emplean el concepto de categora de activos para organizar el inventario y para ayudar al analista en la identificacin de amenazas y salvaguardas relevantes. Las herramientas pueden hacer sugerencias al analista, basndose en la categora de los activos involucrados. Tambin se soporta la presentacin del riesgo como acumulado sobre los activos de soporte o repercutido en los servicios prestados. La herramienta busca un amplio espectro de utilizacin. En su vertiente ms ejecutiva (casi con toda seguridad, cualitativa) se busca poder levantar un primer plano de riesgos en una jornada, con resultados al menos orientados en la direccin correcta. La captura de datos y automatizacin permite que aquel esbozo rpido pueda ser refinado y mantenido capturando una caracterizacin ms precisa (probablemente cuantitativa) de la organizacin.

ETAPAS Planificacin Se establecen las consideraciones necesarias para arrancar el proyecto. Se definen los objetivos que ha de cumplir y el dominio (mbito) que abarcar. Se planifican los medios materiales y humanos para su realizacin. Se procede al lanzamiento del proyecto.

Anlisis de riesgos Se identifican los activos a tratar, las relaciones entre ellos y la valoracin que merecen. Se identifican las amenazas significativas sobre aquellos activos y se valoran en trminos

de frecuencia de ocurrencia y degradacin que causan sobre el valor del activo afectado.
Se identifican las protecciones existentes y se valora la eficacia de su implantacin. Se estima el impacto y el riesgo al que estn expuestos los activos del sistema. Se interpreta el significado del impacto y el riesgo.

Gestin de riesgos Se elige una estrategia para mitigar impacto y riesgo. Se determinan las protecciones oportunas para el objetivo anterior. Se disea un plan de seguridad (plan de accin o plan director) para llevar el impacto y el riesgo a niveles aceptables.

Creacin del Proyecto en Pilar

Inventario de activos

El primer paso fue generar un plano de la topologa de la red para determinar la ubicacin de los activos. El plano de la red de la Institucin se muestra en la Figura 10.

Topologa de la red del HSLV

Se realiz un inventario de activos el cual se puede consultar en el anexo C. De estos activos los principales son: [BK] BACKUP: Este activo representa las copias de seguridad de la informacin de la base de datos que se realizan de forma automtica cada 8 horas y se guarda en un disco duro de un servidor, adems se realiza una copia diaria en DVD y una semanal externa que se entrega al jefe del rea de Informtica, Este activo es importante para la institucin en cuanto a que debe protegerse el acceso a las copias de seguridad porque contienen los datos de historia clnica y otros documentos que son de carcter confidencial por ley.

[SO] SISTEMAS OPERATIVOS: Este activo agrupa todos los sistemas operativos presentes en los equipos del hospital como son Windows server 2003, Windows

XP, Windows Vista, Windows Seven y Centos los cuales poseen licencias empresariales.

[OF] SOFTWARE OFIMTICO: Este activo agrupa todos los paquetes ofimticos instalados en los equipos del hospital como son Office 2003, Office 2007, Office 2010 y open office los cuales poseen sus respectivas licencias.

[DE] SOFTWARE DE DESARROLLO: Este activo agrupa todos los paquetes software que se utilizan para el desarrollo de aplicaciones en la institucin como son Microsoft Visual Studio 2008, Microsoft Visual Fox pro 8.0, Microsoft SQL server 2008 los cuales cuentan con sus respectivas licencias y paquetes de licencia GPL como MYsql, PHP.

[NA] NAVEGADORES: Agrupa todos los navegadores instalados en los equipos del hospital como son: Internet Explorer, Mozilla Firefox, Google Chrome.

[SM] SENDMAIL: Es el "agente de transporte de correo" (MTA - Mail Transport Agent) en Internet, cuya tarea consiste en "encaminar" los mensajes correos de forma que estos lleguen a su destino y se configuro para prestar el servicio de correo interno a los funcionarios del Hospital.

[UV] VNC SERVIDOR CLIENTE: VNC es un programa de software libre basado en una estructura cliente-servidor el cual permite tomar el control del ordenador servidor remotamente a travs de un ordenador cliente y se utiliza en el hospital para acceder remotamente a los servidores desde la oficina de Informtica.

[FS] FIRESTARTER:

Firestarter es una herramienta de cortafuegos personal

libre y de cdigo abierto que usa el sistema (iptables/ipchains) Netfilter incluido en el ncleo Linux y se configuro satisfacer los requerimientos mnimos de seguridad de la red del hospital.

[EJ]: EJABBERD es un servidor de mensajera instantnea (M.I) de cdigo abierto (GNU GPL) para plataformas Unix (BSD, GNU/Linux, etc), Microsoft Windows y otras.

[PA] PANDION: Un cliente de mensajera instantnea es una aplicacin que permite al usuario hacer uso de la mensajera instantnea. [AN] ANTIVIRUS: Es una herramienta cuyo objetivo es detectar y eliminar virus informticos. En el hospital se encuentra instalado el antivirus Symantec Endpoint Protection.

[DG] DINAMICA GERENCIAL: DGH es un Sistema Modular Completamente Integrado para el Manejo Mdico, Operativo y Financiero para IPS Pblicas y Privadas. Consta de ms de 35 mdulos que integran totalmente el rea Cientfica con la Facturacin y Contabilidad. Es decir, desde el mismo acto mdico (Historia Clnica Digital) se afecta en forma automtica todo el sistema de informacin. DGH cumple con todas las normas exigidas por la Ley para el manejo Financiero, Facturacin Ley 100 e Historia Clnica, adems que cumplimos con estndares internacionales como HL7, XML, DICOM, TELEMEDICINA, entre otros. Dinmica Gerencial fue comprada por el hospital y es el programa principal de interaccin de los usuarios del hospital con las bases de datos de informacin.

[PH] PLATAFORMA DEL HOSPITAL: Es una aplicacin creada por el desarrollador de aplicaciones del hospital para satisfacer necesidades de informacin propias de la institucin.

[SQ] SQL SERVER: Microsoft SQL Server es un sistema para la gestin de bases de datos producido por Microsoft.

[TB] THUNDERBIRD: Es un cliente de correo electrnico el cual permite a los funcionarios tener un acceso fcil a sus correos internos.

[IIS] INTERNET INFORMATION SERVICES (IIS): Es un servidor web y un conjunto de servicios para el sistema operativo Microsoft Windows. Este servicio convierte a una PC en un servidor web para Internet o una intranet, es decir que en las computadoras que tienen este servicio instalado se pueden publicar pginas web tanto local como remotamente. Este servidor se instal para permitir la creacin del sitio web que utiliza la aplicacin Dinmica Gerencial para sus actualizaciones.

Este inventario se ingres en la herramienta Pilar como se muestra en la Figura 11

Activos

Despus de ingresar los activos y clasificarlos se realiza la ponderacin mediante un anlisis cualitativo de los mismos. Se realiza la ponderacin en base a cinco aspectos fundamentales que son:

[I] (INTEGRIDAD DE LOS DATOS): Que pondera el impacto que tendra en la organizacin el hecho de que la informacin que se maneja para prestar el servicio fuera incorrecta o incompleta. [C] (CONFIDENCIALIDAD DE LOS DATOS): Que pondera el impacto que tendra en la organizacin el hecho de que la informacin que se maneja para prestar el servicio fuera accedida por personas no autorizadas. [A] (AUTENTICIDAD DE LOS DATOS): Que pondera el impacto que tendra en la organizacin el hecho de que no se pueda saber a ciencia cierta quin ha accedido a la informacin que se maneja para prestar el servicio. [T] (TRAZABILIDAD DE LOS DATOS):Que pondera el impacto que tendra en la organizacin el hecho de que no se pueda saber qu se ha hecho con la informacin que se maneja para prestar el servicio o no se pudiera conocer quin hace qu y cundo con el servicio. [D] (DISPONIBILIDAD): Que pondera el impacto que tendra en la organizacin el hecho de que se dejara de prestar el servicio.

De esta ponderacin se obtuvo que los activos ms crticos para la institucin son: En la categora de aplicaciones SQL SERVER, DINAMICA GERENCIAL Y EL BACKUP ya que estos utilizan la informacin de historia clnica y financiera de la institucin y estas ltimas son el core del negocio de la institucin. La Figura 12 muestra la ponderacin obtenida para este grupo de activos
Figura 1 Ponderacin de activos aplicaciones

En la categora de equipos los activos ms crticos son servidor de base de datos ya que este contiene las aplicaciones de gestin de base de datos y el servidor de antivirus ya que es muy importante que evitar que se pueda propagar un virus por medio de la red y afectar el funcionamiento del sistema de informacin. Se puede observar tambin que el servidor eros tiene una alta ponderacin en cuanto a disponibilidad ya que es el controlador de dominio y permite el ingreso a los terminales a los usuarios. La ponderacin para este grupo de activos se muestra en la Figura 13.

Figura 2 Ponderacin activos equipos

En la categora de servicios son los servicios de bases de datos y antivirus ya que de ellos depende disponibilidad y estabilidad del sistema de informacin por las razones mencionadas en las categoras anteriores. La ponderacin para este grupo de activos se muestra en la Figura 14.
Figura 3 Ponderacin activos Servicios internos

Se debe tener en cuenta que las reas de servidores cuentan con dos circuitos elctricos de respaldo, ups y el hospital cuenta con plantas elctricas de respaldo. Los servidores de bases de datos tienen una configuracin en clster para respaldar la cada de un servidor. De esta forma se determina que los activos relacionados con la base de datos son los ms crticos porque el acceso a esta debe tener una alta disponibilidad.

Identificacin de amenazas

Se realiz una evaluacin de amenazas basado en la frecuencia de materializacin de la amenaza para lo cual se define la frecuencia como:

Frecuencia: Cuando una amenaza se valora, permite definir la posibilidad de que ocurra en funcin de la cantidad de veces que se puede materializar dicha

amenaza en un ao (esta es la opcin por defecto) y se utiliz la siguiente escala: 0,1 - una vez cada 10 aos 1 - todos los aos Todos los meses 100 - todos los das

Como se puede observar en la Figura 15 el activo Backup es el que presenta mayores posibilidades de materializacin de amenazas ya que el acceso no autorizado puede materializarse todos los das y tiene varias amenazas con frecuencia de 10 que significa que se pueden materializar en cada mes.
Amenazas activos Backup

Con respecto a los activos de aplicaciones la amenaza ms frecuente es los errores de mantenimiento o actualizacin de software como se muestra en la

Figura 16 debido a que se produciran cuando se realice mantenimiento programado sobre los equipos o por a una falla de las aplicaciones de los mismos.

Figura 4 Amenazas activos aplicaciones

Con respecto a los activos de equipos la amenaza ms frecuente es la cada del sistema por agotamiento de recursos como se muestra en la figura 17, ya que de estos los ms esenciales como son los servidores y switches principales se encuentran en reas con acceso solo al personal autorizado por lo cual la amenaza depende de los recursos instalados en los equipos.
Figura 5 Amenazas activos equipos

En los activos de comunicaciones la amenaza ms frecuente es la denegacin de servicio como se muestra en la Figura 18 ya que puede ocasionar la cada de servicios en diferentes partes de la empresa.
Figura 6 Amenazas activos comunicaciones

Con respecto a los activos de servicios internos las amenazas ms frecuentes son la cada del sistema por agotamiento de recursos como se muestra en la Figura 19 ya que depende de los recursos del equipo donde se encuentra instalado el servicio y denegacin de servicio porque est expuesto a ataques software como hardware.
Figura 7 Amenazas activos Servicios internos

Impacto

El anlisis de impacto nos indica que las consecuencias de las materializaciones de las amenazas son crticas para los activos SQL SERVER, DINAMICA GERENCIAL Y EL BACKUP como se observa en la Figura 20.

El impacto se muestra con la siguiente escala de colores segn su valor: {5} o ms: Crtico (Rojo) {4}: Muy alto (Rosado) {3}: Alto (Amarillo) {2}: Medio (Azul) {1}: Bajo (Verde) {0}: Despreciable {OFF}: Este activo, o uno del que depende, est marcado como /indisponible.

Figura 8 Impacto

Riesgos

En la Figura 21 se puede observar que los riesgos son ms crticos para los activos de backup, los activos relacionados con la base de datos y el software de Dinmica Gerencial. Figura 9 Riesgos

Identificacin de Vulnerabilidades

La identificacin de vulnerabilidades se realiz mediante una visita a las instalaciones para realizar una inspeccin visual de los activos, entrevistas con el personal encargado del manejo de los recursos informticos y la utilizacin de herramientas de ethical hacking y anlisis de vulnerabilidades.