GESTIN DE LA SEGURIDAD DEL AMBIENTE INFORMTICO

Ejemplo de Administracin de Riesgos para los

recursos de SI/TI.
Basado en el Trabajo Prctico Integrador del Grupo 7 Ciclo
Lectivo 2008

Autores:
Mio, Jos D.
Rodriguez Da Fonseca, Claudio Rumich, Fabin

Manejo de los riesgos en la sucursal Chaco rea Control de Clandestinos.

Equipamiento bajo riesgo:

Recurso

Cantidad

Valor Un.

Equipo PC

22

$10000

$ 220.000

Monitor 23 Hdmi Vga 1920x1080

$3350

$ 23450

Impresora Laser Hp Impresora Laser 4

Hp P1102w Wifi Wireless

$4000

Impresora Epson Stylus InkjetPhoto 1

1430 Wifi A3 Dvd Fotos 33 X 48

$8000

Plotter De Impresion Canon Ipf 750 1

De 91 Cm De Ancho

$25000

Total

35

Monto

$ 16000
$ 8.000
$ 25.000
$292.450

Manejo de los riesgos en la sucursal Chaco rea Control de Clandestinos.

Informacin bajo riesgo:

Recurso

Cantidad

Base de datos de Registros:

clandestinos
1000

Valor Un.

Monto

$705
cuota $8.883.000
mensual
anual
(12X1000X70
5) + 5%
intereses por
mora
resarcimiento

Manejo de los riesgos en la sucursal Chaco rea Control de Clandestinos.

Activos vulnerables:

Archivos de trabajo: Archivos que se manejan en las terminales utilizadas por los
empleados del rea Control de Clandestinos para realizar sus tareas, los principales son
planos, archivos de multimedia de publicidades y planillas de clculo que contienen los
cmputos y presupuestos.
Terminales: Se incluye tanto el software y hardware de los puestos de trabajo por los
empleados del rea Control de Clandestinos.
Elementos de comunicacin: Comunican las terminales del rea Control de
Clandestinos de la sucursal con los servidores del MSO. Incluyen tanto el hardware como
la configuracin de los sistemas que facilitan el acceso a los recursos centrales y locales.
NOTA: No se incluye la base de datos y los servidores como activos vulnerables ya que
los riesgos asociados a estos activos los maneja el MSO.

Fase 1: Identificacin de Riesgos

Accidentales
Fsicas

Deliberadas

- Fallas de HW en los Equipos P4 por falta de mantenimiento

- Robo de Equipos
- Fallas de energa: corte de la alimentacin elctrica de la P4
red que conecta con el MSO por no disponer de Generadores -.
- Fallas en la Conexin a la red local:
- Puerto que da acceso a la terminal de trabajo del rea
Control de Clandestinos no est habilitado por falta de
planificacin .

Lgicas

- Errores de Configuracin de acceso a las bases de clandestinos

locales:
-No aparezca la pantalla de login (bug del sistema no testeado)
-.
- Errores de Usuarios del rea Control de Clandestinos:
Introduccin de claves en mayscula falta de difusin de la poltica
de claves
-.

- Fraude:
-habilitar como legal
una
conexin
clandestina
-.

Fase 2: Anlisis de Riesgos

Riesgo

Prdida Potencial

Consecuencias primarias

Consecuencias secundaria

- Avera de HW
- Prdida de SW
- Alteracin y/o
prdida de Datos.

- Prdida de disponibilidad e
integridad servicios, as como de
los datos existentes en los puestos
de trabajo.
- Prdida de disponibilidad de
aplicaciones.

- reas que dependen de servicios y/o datos

accesibles a travs de las lneas de
comunicacin no pueden realizar su trabajo.
- Tareas se demoran porque las terminales
son indispensables para su realizacin.

Fallas de energa:
- Corte de la
alimentacin
elctrica
de las red que
conecta con el MSO

- Incomunicacin

- Prdida de disponibilidad
- Perdida de disponibilidad de
aplicaciones.

- reas que dependen de servicios y/o datos

accesibles a travs de las lneas de
comunicacin no pueden realizar su trabajo.
- Tareas se demoran porque las terminales
son indispensables para su realizacin.

Fraude:
- Habilitar como
legal una conexin
clandestina

- Alteracin de
datos del negocio.

- Prdida integridad de datos.

- Prdida de Seguridad en el
sistema.

- conexin ilegal a la red de cable habilitada

- prdida de facturacin

Fallas en los
equipos P4

Fase 2: Anlisis de Riesgos_ continuacin

A continuacin se analizar la prdida potencial y esperada

segn las probabilidades de agresin y xito de cada
amenaza.
Se considerar el siguiente rango de probabilidades:
Baja 0 a 30%,
Media 30% a 65%,
Alta 65% a 100%.

Fase 2: Anlisis de Riesgos_ continuacin

Amenaza
Fallas en los
equipos P4
Fallas de energa:
corte de la
alimentacin
elctrica

Probabilidad de
agresin

Probabilidad de
xito

Frec. de
la
prdida

Prdida
Potencial

Prdida
Esperada

Baja

25%

Media

50%

12%

$ 220.000

$ 26.400

Media

50%

Media

50%

25%

$ 234.792

$ 58.698

Alta

85%

Alta

85%

73%

$ 8.883.000

$ 6.484.590

de las red que

conecta con el MSO
Fraude
- Habilitar como
legal una conexin
clandestina

Fase 3: Manejo de Riesgos

Estrategias de manejo:
Prevenir (PR)
Reducir (RE)
Asumir (AS)
Transferir (TR)

Riesgo

Contra medidas

peridica de utilidades de anlisis y diagnsticos de componentes hardware

Fase 3: Manejo- Ejecucin
de Riesgos_continuacin
Fallas de equipos P4

Fallas de energa: corte de

la alimentacin elctrica
de las red que conecta con
el MSO
Hacking

Fraude: - Habilitar como

legal una conexin
clandestina

(PR).
- Solicitar servicio tcnico peridicamente (PR).
- Backup de archivos de trabajo (PR).
- Implementacin de protectores ante fallas de energa (Estabilizador de tensin,
Fuentes de Alimentacin Ininterrumpida (UPSs)) (PR).

-Solicitar servicio tcnico peridicamente (PR).

-Equipo Generador de C.A. (RE)
- Planificar Backup de archivos de trabajo (PR).
- Efectuar el monitoreo de sistemas (PR).
- Instalar un sistema de deteccin de intrusos (PR)
- Chequeo diario de log de transacciones local (PR)
- Sistema de deteccin de intrusos (PR) (RE)
- Inaccesibilidad al pblico del rea de Control de Clandestinos (PR)
- Polticas de seguridad sobre claves (PR) (RE)
- Poltica de Recursos Humanos especfica del rea y sobre las responsabilidades del
personal correspondiente (PR) (RE)

POLTICAS DE SEGURIDAD PARA LA EMPRESA OPERADORA

DE VIDEO CLAVE - EJEMPLOS

POLTICAS DE SEGURIDAD

Propsito: Establecer estndares para la creacin y

administracin de las claves de acceso a la red.
Alcance: Todo el personal de la Empresa Sucursal
Resistencia con acceso a la intranet.

POLTICAS DE SEGURIDAD_ continuacin

Polticas de gestin de cuentas de usuarios (perfiles):

El control de acceso y asignacin de perfiles debe establecerse
por una nica persona, que ser el Responsable de Sistemas o
alguien designado por ste. (Prohibitiva)
Poltica control de accesos de los usuarios:
Los accesos deben ser grabados en una nica lista de Control de
Accesos la cual debe ser tratada como un documento confidencial,
debidamente resguardada y protegida, bajo la responsabilidad
del Gerente de Sistemas de la Sucursal Litoral. (Prohibitiva)

 Poltica
de accesos de los usuarios:
POLTICAS DE SEGURIDAD_ continuacin
Los usuarios podrn acceder a los aplicativos y cuentas slo
con su clave y durante su horario laboral. (Prohibitiva)
Poltica de generacin de claves:
Las claves tendrn al mximo 8 caracteres de longitud, y
deben incluyendo una combinacin de caracteres alfabticos
y numricos, y exceptuando caracteres especiales.
(Prohibitiva)
La misma pero en forma permisiva: Las claves de usuarios
no pueden contener caracteres especiales en su
conformacin

POLTICAS DE SEGURIDAD_ continuacin

Poltica de generacin de claves:

El blanqueo de claves de red se ejecutar solo por el
Responsable de Sistemas. (Prohibitiva)
Poltica control de accesos de los usuarios:
Los usuarios tendrn prohibido dejar su terminal, sin
haber cerrar su sesin. (Permisiva)

IMPLEMENTACIN
Condiciones actuales:
Para el rea de servidores de aplicaciones, bases de datos y de acceso a
Internet, el esquema de seguridad es responsabilidad del MSO, por lo cual
queda fuera del alcance de lo tratado en esta seccin. El MSO tambin se
encarga de manejar los perfiles de acceso a aplicaciones, entre las que se
encuentran el sistema Lucas, el GIS y otros.
Se dispone de un servicio de seguridad a cargo de personal de vigilancia que
controla la entrada y salida de personas al edificio. Tambin existe para todo el
edificio un servicio de alarma que incluye sensores de movimiento y de
incendio y una red de extintores de incendio.
Herramientas para Seguridad Lgica
Activos a proteger: terminales de los puestos de trabajo del rea Control de
Clandestinos y la infraestructura de red que conecta tales terminales con los
servidores del MSO.

HERRAMIENTAS _ continuacin

Primera lnea de defensa (prevencin)

Propsito: Controlar el acceso a los sistemas y a los datos responsabilidad del personal
del rea Control de Clandestinos.
Claves (passwords) y perfiles: Se aplicarn medidas de restriccin de acceso mediante
grupos de usuarios y contraseas, junto con un pin aleatorio que figurar en una imagen
y que tambin se deber ingresar. La cuenta del usuario se bloquear para intentar
nuevos ingresos a la misma despus de que ocurran tres intentos fallidos. nicamente el
Responsable de Sistemas, o alguien designado por ste, podr desbloquear la cuenta.
Todas las claves de acceso a la red debern ser renovadas cada dos meses por el
propietario y no deber repetirse con ninguna de las anteriores para una misma cuenta.
Ante un blanqueo de clave, el usuario propietario deber renovar su clave dentro las 2
hs de blanqueada o esta cuenta ser revocada.

Fase 4: Planificacin de contingencias

Actualmente en caso de que ocurra alguna contingencia en el ambiente
informtico de la sucursal, el suceso se reporta al MSO quien evala la
situacin y procede segn lo previsto. Contingencias menores pueden ser
manejadas a nivel local, pero son solo tendientes a poder seguir trabajando
an que con capacidad reducida en algunos casos. Esta situacin, resultante
de la alto nivel de centralizacin del rea SI/TI (a cargo del MSO en nuestro
caso), genera inconvenientes entre los que se encuentran demoras en la
restablecimiento del servicio por inconvenientes que, a nuestro criterio, no
siempre tienen el nivel de gravedad que justifique la asistencia desde el MSO.
Se propone un plan de contingencia que apunte a solucionar las
necesidades locales y que puede ser factible dadas las actuales polticas del
MSO.

Fase 4: Planificacin de contingencias_continuacin

Avera del 95% del equipamiento informtico debido a falla elctrica.
1 Reportar lo sucedido al MSO y el gerente de la sucursal, indicando dando a conocer detalles mnimos del
suceso. El informe deber cubrir las siguientes cuestiones: fecha y hora del incidente, posibles causa(s), y una
descripcin breve de las reas organizacionales afectadas y con una mnima indicacin de la gravedad en que
fueron afectadas. Esta tarea estar a cargo por los integrantes del rea de sistema local, es decir el Responsable
de Sistema, el Tcnico de Mantenimiento y el Administrador de Base de Datos. Tiempo: 1 hora, ni bien ocurrido
el incidente.
2 El Tcnico de Mantenimiento ser responsable de relevar los equipos afectos por el incidente, lo cual
informar al Responsable de Sistemas. El informe deber dar detalle de cada uno de los equipos afectado, el
nivel de gravedad de la avera que ha sufrido, personal usuario del equipo y los procesos dependientes de ese
equipo. Tambin incluir en su reporte las condiciones en las que se encuentran los backups de archivos de
trabajo y del servidor de archivos. Tiempo: 1 hora mxima desde la finalizacin del paso 1.
3 El Responsable de Sistemas, acompaado del DBA, se encargar de relevar el estado de los servicios en
las distintas reas, es decir, identificar las reas y procesos afectados detallando la capacidad operacional que
mantienen, estado de los servidores, accesibilidad a las aplicaciones, accesibilidad a las bases de datos. Tiempo:
1,2 hora mxima desde la finalizacin del paso 1.

Fase 4: Planificacin de contingencias_continuacin

4 El Gerente de la Sucursal, junto al rea de sistema y un representante del MSO,
clasificarn los servicios afectados en cuanto a su criticidad y detallarn las necesidades de
equipamiento informticos y necesidades de soporte tcnico ad-hoc para restablecer los
servicios imprescindibles para el funcionamiento mnimo de la sucursal. Tiempo:.
5 El rea de sistema se encargar de la provisin de equipamiento detallada en el paso
anterior, y el Gerente de la sucursal acompaado del Responsable de Sistemas local se
encargarn de la provisin del soporte tcnico ad-hoc. Tiempo:.
6
a) El Tcnico de Mantenimiento, el DBA y el soporte tcnico ad-hoc procedern a
realizar las instalaciones, configuraciones y restauracin de datos necesarias para
restablecer los servicios imprescindibles. Tiempo:.
b) El Gerente de la Sucursal, el Responsable del rea de sistema local y
representantes del MSO se reunirn para analizar la situacin y desarrollar detalladamente
un plan de recuperacin final, especfico para el caso, para restablecer la normalidad de
los servicios. Tiempo:.
7 Ejecutar el plan de recuperacin final.