ANÁLISIS Y GESTIÓN DE RIESGOS DEL SERVICIO IMAT DEL SISTEMA DE INFORMACIÓN DE I.C.A.I.

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ANÁLISIS Y GESTIÓN DE RIESGOS DEL SERVICIO IMAT DEL SISTEMA DE INFORMACIÓN DE I.C.A.I."

Transcripción

1 UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN INFORMÁTICA PROYECTO FIN DE CARRERA ANÁLISIS Y GESTIÓN DE RIESGOS DEL SERVICIO IMAT DEL SISTEMA DE INFORMACIÓN DE I.C.A.I. AUTOR: Eduardo Ferrero Recaséns MADRID, Junio de 2006

2 Autorizada la entrega del proyecto del alumno: Eduardo Ferrero Recaséns EL DIRECTOR DEL PROYECTO Ramón Arias Ruiz de Somavia Fdo.: Fecha: / / VºBº del Coordinador de Proyectos Mario Castro Ponce Fdo.: Fecha: / /

3 Índice ÍNDICE Resumen Definición del problema Gestión de la Seguridad...21 Objetivos, estrategias y políticas de seguridad Análisis y Gestión de Riegos Implantación del Plan de Seguridad Acreditación Seguimiento Concienciación de la seguridad Alcance del proyecto...33 Introducción a imat MAGERIT Introducción a MAGERIT...37 Objetivos de Magerit El análisis y gestión de riesgos en su contexto Realización del análisis y gestión de riesgos...41 Análisis de Riesgos Gestión de Riesgos Fases de un análisis y gestión de riesgos...58 Planificación Análisis de riesgos Gestión de riesgos EAR Introducción...68 PILAR

4 Índice Especificaciones...68 Análisis cualitativo Análisis cuantitativo Presentación del AGR en EAR...71 imat Desarrollo y funcionamiento...76 Arquitectura en tres capas Funcionamiento Servidores...82 Datos / Información...86 Seguridad de la información...88 Aplicaciones asociadas a imat...90 Interfaz de imat con el usuario...90 Posibles riesgos...96 Análisis y Gestión de Riesgos en imat P1: Planificación...99 A1.1: Estudio de oportunidad A1.2: Determinación del alcance del proyecto A1.3: Planificación del proyecto A1.3: Lanzamiento del proyecto P2: Análisis de Riesgos A2.1: Caracterización de activos A2.2: Caracterización de las amenazas A2.3: Caracterización de las Salvaguardas A2.4: Estimación del estado de riesgo P3: Gestión de Riesgos

5 Índice Actividad A3.1: Toma de decisiones Actividad A3.2: Plan de seguridad Actividad A3.3: Ejecución del plan Calificación según la ISO/IEC 17799: Clasificación según la CSNC Clasificación según la RD Conclusión Anexos Amenazas Definiciones y Acrónimos Modelo de Valor Mapa de Riesgos Evaluación de Salvaguardas Estado de Riesgo Informe de Insuficiencias (50%) Calificación [17799_2005] ISO/IEC 17799: Calificación [csnc] Criterios de seguridad, normalización y conservación Calificación [rd994] Reglamento de medidas de seguridad Bibliografía

6 Índice INDICE DE FIGURAS Figura 1. Gestión de la Seguridad de TI Figura 2. Gestión de la Seguridad de TI Figura 3. Metodología MAGERIT Figura 4. Análisis y Gestión de Riesgos en su Contexto Figura 5.Submodelo de Procesos visto desde el Submodelo de elementos Figura 6. Relación entre los Componentes del Modelo MAGERIT Figura 7. Ciclo de vida de un Análisis y Gestión de riesgos Figura 8. Ciclo de vida detallado de un Análisis y Gestión de riesgos Figura 9. EAR. Pantalla principal Figura 10. EAR. Etapas de Magerit Figura 11. EAR. Informes contemplados y calificaciones evaluadas: Figura 12. Arquitectura en tres capas Figura 13. Arquitectura en tres capas detallada Figura 14. Esquema en tres capas de UPCO Figura 15. imat, Validación Figura 16. imat, Validación aceptada Figura 17. imat, información del plan de estudios de la carrera Figura 18.iMat, información para el alumno en relación a las restricciones Figura 19. imat, Selección de asignaturas por parte del alumno Figura 20. imat, Presentación por parte de imat de las asignaturas seleccionadas Figura 21. imat, solicitud de información adicional Figura 22. imat, Presentación final de la matrícula Figura 23. imat, matrícula aceptada Figura 24. Representación empleada en los diagramas de proceso Figura 25. Impresión de matrícula a través de imatbecarios

7 Índice Figura 26. Procesos de Matriculación realizado por un alumno Figura 27. Modificación de la matrícula Figura 28. Diagrama de contexto Figura 29. Diagrama conceptual Figura 30. Autenticación Figura 31. Procesado de matrícula Figura 32Sistema de matriculación Becarios Figura 33 Sistema de matriculación escuelas Figura 34. Sistema SG Figura 35. Dependencia entre activos [MAÑA06] Figura 36. Dependencia entre activos Figura 37. Impacto acumulado potencial y residual en servicios, aplicaciones, información y personal relacionados con imat Figura 38. Impacto acumulado potencial y residual en BBDD, equipamiento y locales relacionados con imat Figura 39. Impacto acumulado potencial y residual en imatbecarios Figura 40. Análisis y Gestión de Riesgos sin amenazas implantadas Figura 41. Riesgos potenciales y residuales en imat teniendo en cuenta las salvaguardas actuales Figura 42. Riesgos potenciales y residuales en imatbecarios teniendo en cuenta las salvaguardas actuales Figura 43. Inserción de salvaguardas con el fin de obtener un impacto y riesgo residual asumible para la dirección Figura 44. Impacto acumulado potencial y residual en cada una de las fases (Servicios, datos, aplicaciones) Figura 45. Impacto acumulado potencial y residual en cada de las fases (BBDD, parte del equipamiento)

8 Índice Figura 46. Impacto acumulado potencial y residual en cada una de las fases (parte del equipamiento, locales y personal) Figura 47. Riesgos acumulados potenciales y residuales en cada una de las fases (Servicios, datos y aplicaciones) Figura 48. Riesgos acumulados potenciales y residuales en cada una de las fases (BBDD y parte del equipamiento) Figura 49. Riesgos acumulados potenciales y residuales en cada una de las fases (parte del equipamiento, locales y personal) Figura 50. Impacto repercutido en cada una de las fases Figura 51. Riesgo repercutido en cada una de las fases Figura 52. Calificación de la seguridad según la ISO/IEC 17799: Figura 53. Presentación de la calificación ISO/IEC 17799:2005 en EAR Figura 54. Calificación según la CSNC Figura 55. Presentación de la CSCN en EAR Figura 56. Clasificación según la RD Figura 57. Presentación de la RD994 en EAR ÍNDICE DE TABLAS Tabla 1. Restricciones Tabla 2. Posibles activos a considerar en un AGR Tabla 3. Valoración cualitativa, escala a seguir en el AGR imat Tabla 4. Valoración propia de los activos Tabla 5. Valoración acumulada de los activos Tabla 6. Resumen de la eficacia de las salvaguardas agrupadas por tipos Tabla 7. Marco de gestión. Salvaguardas Tabla 8. Seguridad física. Salvaguardas Tabla 9.Comunicaciones. Salvaguardas

9 Índice Tabla 10. Datos/Información. Salvaguardas Tabla 11. Aplicaciones informáticas (SW). Salvaguardas Tabla 12. Equipos informáticos (HW). Salvaguardas Tabla 13. Personal. Salvaguardas Tabla 14. Elementos auxiliares. Salvaguardas Tabla 15. Servicios. Salvaguardas Tabla 16. Impacto potencial muy alto Tabla 17. impacto potencial alto Tabla 18. Impacto potencial medio y bajo

10 10 Resumen

11 Resumen La importancia que los sistemas de información han tomado en las organizaciones, llegando éstas a depender de éstos, ha provocado que la atención crezca en torno a los sistemas TI 1. Los sistemas de información se crean y diseñan a partir de las necesidades de negocio de las empresas/instituciones, de sus estrategias de negocio. Por este motivo la consecución de los objetivos de la organización dependen en gran medida de sus sistemas de información. Esto hace imprescindible tener que garantizar el funcionamiento y la seguridad de los sistemas de información en las organizaciones. En este proyecto se pretende concienciar al lector de la importancia de asegurar convenientemente los sistemas TI y analizar los riesgos que éstos corren. Para ello se ha de explicar que es un análisis y gestión de riesgos, las formas que hay de realizarlo y lo que se pretende con él. Una vez explicadas las distintas formas de hacer un AGR 2 se va a explicar uno en concreto: MAGERIT (Metodología para el Análisis y Gestión de Riesgos de los Sistemas de Información), metodología creada por el Ministerio de Administraciones Públicas. MAGERIT ofrece un método estructurado y sistemático para la realización de un AGR, ayudando al analista a contemplar todos los aspectos relevantes en un AGR. Los objetivos que se pretenden alcanzar con Magerit son: Directos: Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. Ofrecer un método sistemático para analizar tales riesgos. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Indirectos: Preparar a la organización para procesos de evaluación, auditoria, certificación o acreditación, según corresponda en cada caso. Dar uniformidad a los informes. 1 TI, Tecnologías de la Información 2 AGR, Análisis y Gestión de Riesgos 11

12 Resumen Para que la explicación de un AGR sea completa se va a analizar un sistema de información siguiendo todos los pasos descritos por Magerit, explicando lo que se pretende en cada uno de ellos y desarrollando el ejemplo de forma clara y explícita. El sistema de información que se va a analizar es el sistema de matriculación de la Universidad Pontificia de Comillas (imat). imat ha sido desarrollado por el STIC (Servicio de Sistemas y tecnologías de la Información y Comunicación).Dicho sistema de información tiene una gran importancia para la organización (la Universidad Pontificia de Comillas) debido a que todos los alumnos de primer y segundo ciclo la pueden emplear para realizar sus matrículas. Es interesante el dato: de los, aproximadamente 7500 alumnos potenciales de primer y segundo ciclo, 7000 de ellos realizan sus matrícula a través de imat. La importancia que tiene imat la universidad es enorme según se puede concluir de la información mostrada, siendo uno de los pilares en su estrategia de negocio y una fuente potencial para captar nuevos alumnos (clientes). La gran ventaja de utilizar MAGERIT es la existencia de herramientas informáticas hechas para el análisis y gestión de riesgos mediante esta metodología. Una de estas herramientas es EAR, la cual se va a emplear para analizar imat. La gran ventaja de EAR es que integra la consecución de todos los objetivos a alcanzar según MAGERIT. EAR 3 es una herramienta informática que soporta el análisis y gestión de riesgos de un sistema de información siguiendo la metodología Magerit. Dicha herramienta está estructurada de tal forma que todas las fases de Magerit tienen su relación en la misma. Contempla la planificación del análisis, el análisis, la evaluación del impacto y el riesgo de los activos del sistema, la gestión de los planes de seguridad que se requieran, etc. No hay que olvidar que vivimos en la sociedad de la tecnología y el conocimiento, o lo que es lo mismo: la sociedad de la información; donde garantizar su seguridad y la de los sistemas que la emplean es un aspecto fundamental en las organizaciones, estando dentro de sus presupuestos lograr este objetivo. Para que un sistema de información sea considerado como un sistema seguro ha de cumplir las propiedades de seguridad que se requieren en un sistema de información: confidencialidad, integridad y disponibilidad. 3 Entorno de Análisis de Riesgos 12

13 Resumen A estas propiedades, también llamadas dimensiones de la seguridad, se pueden añadir la autenticidad y la trazabilidad. Una organización que pierda su información no vale nada, una organización que falle a la hora de dar sus servicios pierde valor, pierde oportunidades de negocio y credibilidad: pierde imagen. En resumen, a lo largo del proyecto se pretende dar a conocer como analizar y gestionar los riesgos de un sistema de información de forma efectiva mediante un método estructurado y específico como es Magerit, ayudándose de un herramienta informática que sigue dicha metodología (EAR); se pretende lograr que el lector tome conciencia de la importancia de los sistemas de información en una organización y porque su seguridad es tan importante. Además de todo lo mencionado cabe destacar la importancia que este tema está adquiriendo en las organizaciones, siendo un tema fundamental a la hora de elaborar el presupuesto anual. 13

14 Abstract ABSTRACT The importance that have taken information systems in organisations, even at times becoming dependant on them, have caused an rise in the attention payed in information technology systems. Information systems are created and designed based on the business/enterprise s necessities, and business strategies. Due to this, the accomplishment of the enterprise s goals, depend in great measure on their information systems. This makes guaranteeing the correct operation and security in information systems essential. This project is meant make the reader aware of the importance of assuring conveniently the information technology systems and also the importance of analyzing the corresponding risks. In order to do this it is ought to explain that it is an analysis and management of risks, the methods that we have to do it, and the purpose of it. Once we have explained the different methods of doing one AMR (Analysis and Management of Risk) we will proceed to explain one in concrete: MAGERIT (methodology for the analysis and management of risks for information systems), created by the public administration Ministry. MAGERIT offers an structured and systematic method for the achievement of an AMR helping the analyzer to contemplate all the relevant aspects in an AMR. The objectives to achieve with Magerit are: Directs: Make the responsible people for information systems aware of the existence of risks and the necessity of finding them in time. Offer a systematic method for analysing these risks. Help to discover and to plan the required measures to prevent and maintain risks under control Indirect: Prepare the organisation for evaluation, auditing, certification, or accreditation procedures, according to each case. Give uniformity to the reports. 14

15 Abstract In order to the explanation of an AMR to be complete we are going to analyze one information system following the steps described by Margerit. Explaining the purpose of each one of them and develop a clear and specific example. The information system that we will analyze is the Pontifica of Comillas University enrolment (imat). imat has been developed by STIC (Systems and information communication technologies services).this information system has a great importance for the organisation (Pontifica of Comillas University) due to that all alumni of the first and second cycle are able to use to enrol themselves in the university each academic year. The data is interesting: out of the, approximately 7500 potential alumni of first and second cycle, 7000 of them make their enrolment through imat. The importance of imat for the university is being one of their basic assets in their business strategy and a principal source of getting new alumni. (Clients) The great advantage of using Magerit is the existence of computer tools made for the analysis and management of risks. One of these tools is EAR 4, which is going to be used to accomplish all the objectives of Magerit. EAR is a computer tool that stands the analysis and management of risks of an information system according to Magerit methodology. The above-mentioned tool is structured so that all the stages of Magerit are related with it. It contemplates the plannification of the analysis, the analysis itself, the impact evaluation and the risk of the system assets, the management of the security plans required, etc. We must not forget that we live in the society of the technology and knowledge, or what is the same the society of information; where guaranteeing its security and the one of the systems used in it, is a fundamental aspect in organisations, this being inside their proposed objectives. For information systems to be considered secure they must fulfil the proprieties of an information system: confidentiality, integrity, and availability. To these proprieties also called security dimensions we can add authenticity and Trazability. An organisation that loses it information it is not worth a thing, an organisation that fails when giving it services, it loses value, business opportunities and credibility: it loses image. 4 Entorno de Análisis de Riesgos (Risk Analisis Background). 15

16 Abstract Summarising, during this project we pretend to show how to analyze and manage the risks of an information system effectively, by means of a structured and specific method as is Magerit helped by a computer tool that follows that methodology, EAR. It is pretended to make the reader aware of the importance of the information systems in an organisation and why the importance of its security. Apart from everything else mentioned we should highlight the rise in the importance in organisations, becoming a fundamental issue when elaborating the annual budget. 16

17 Definición del problema

18 Definición del problema La protección de los sistemas de TI 5, o de los sistemas de información y comunicaciones, ha pasado a ser un objetivo crítico por la importancia que la información que manejan tiene en la consecución de los objetivos de las diferentes organizaciones. Se puede definir, en primera instancia, que la seguridad tiene como finalidad la protección de los bienes, o también llamados activos y recursos, de una organización. En relación con un sistema de información estos bienes serán el hardware, el software y los datos o información; todos ellos en base a asegurar el correcto funcionamiento dado por los servicios del sistema de información.. Por consiguiente, la seguridad de las redes y de la información se puede definir como la capacidad de las redes o de los sistemas de información de resistir con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles [ARIA05]. Los objetivos o dimensiones de la seguridad, los cuales se han de intentar salvaguardar en todo sistema son cuatro [ARIA05]: Confidencialidad o que la información llegue solamente a las personas autorizadas: propiedad por la que la información es revelada exclusivamente a los usuarios, entidades o procesos autorizados, en la forma y tiempo determinada. Contra la confidencialidad o secreto nos encontramos con fugas y filtraciones de información y accesos no autorizados. La confidencialidad es una propiedad de difícil recuperación, pudiendo minar la confianza de los demás en la organización que no es diligente en el mantenimiento del secreto, y pudiendo suponer el incumplimiento de normas y regulaciones respecto del cuidado de los datos. Integridad o mantenimiento de las características de completitud y corrección de servicios o datos: propiedad por la que la información solamente puede ser creada, modificada o borrada por usuarios, entidades o procesos autorizados. Contra la integridad podemos encontrarnos 5 TI: Tecnologías de la información. 18

19 Definición del problema información manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de la organización. Disponibilidad o disposición de ser usados cuando sea necesario: propiedad por la que la información debe de estar accesible o utilizable en el momento, lugar y forma que lo requieran los usuarios, entidades o procesos autorizados. La carencia de disponibilidad supone la interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones. Autenticidad (del origen de los datos): Que haya duda de quien se hace responsable de una información o prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad nos encontramos con suplantaciones y engaños que buscan realizar un fraude. La autenticidad es la posibilidad de luchar contra el repudio y, como tal, se convierte en una dimensión básica para fundamentar el llamado comercio electrónico o la administración electrónica, permitiendo confiar sin papeles ni presencia física. Adicionalmente se puede tener en cuenta una dimensión más como es la trazabilidad. Esta dimensión cobra especial importancia al hablar de comercio electrónico o administración electrónica; siendo fundamental para poder prestar el servicio y perseguir los fallos Con objeto de conseguir la protección adecuada en un sistema de información es necesario implantar un conjunto proporcionado de medidas de seguridad, tanto técnicas como organizativas, que permitan la creación de un entorno seguro para los datos, la información, las aplicaciones y los sistemas que sustentan a todos. Las cuatro dimensiones pueden ser requeridas o no dependiendo de cada caso. Cuando se requieren es necesario poner recursos y esfuerzo para conseguirlas. A racionalizar este esfuerzo se dedican las metodologías de análisis y gestión de riesgos que comienzan con una definición: Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. El riesgo se puede considerar como una función de probabilidad de que una vulnerabilidad del sistema afecta a la autenticación o a la disponibilidad, autenticidad, 19

20 Definición del problema integración o confidencialidad de los datos procesados o transferidos y la gravedad de esa incidencia, resultante de la utilización intencionada o no intencionada de esa vulnerabilidad [ARIA05]. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida estas características están en peligro, es decir, analizar el sistema (análisis de riesgos). Una vez analizado el sistema y conocer los riesgos que tiene cada activo, así como la posibilidad que existe de que ocurra hay que tomar las decisiones adecuadas (gestión de riesgos) para evitar que ocurra o asumir que ocurra. La seguridad es un concepto relativo ya que no es posible conseguirla de forma plena porque siempre existirán unos riesgos residuales por muy cuantiosas que sean las inversiones en seguridad, pero teniendo en cuenta que a mayores riesgos, mayores deberán ser las medidas de seguridad a adoptar, lo que se conoce como principio de proporcionalidad. Así, el riesgos es una combinación de las amenazas (entendidas como la capacidad potencial para producir un compromiso o pérdida de activos o información) a los que está expuesto, sus vulnerabilidades (entendidas como la debilidad o falta de control que pueda permitir o facilitar la actuación de una amenaza) y el valor del activo. Todos los servicios, medidas y mecanismos de seguridad han de estar orientados a conseguir los objetivos de seguridad descritos. Para ello se establece lo que denomina Gestión de la Seguridad. 20

21 Definición del problema Gestión de la Seguridad de TI Gestión de la Seguridad Como ya se ha mencionado anteriormente la seguridad de la información tiene como finalidad la protección de los bienes, o también llamados activos y recursos, de una organización. En relación con un sistema de información estos bienes serán el hardware, el software y los datos o información. Para lograr esto se han de cubrir las cuatro dimensiones (objetivos) de la seguridad de la información: Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad Depende del sistema las dimensiones que hay que considerar. No siempre es necesario tener en cuenta todas ellas. Sin embargo las tres primeras siempre suelen estar consideradas. Las organizaciones dependen crecientemente de la información para el desarrollo de sus actividades. Así, la pérdida de confidencialidad, integridad, disponibilidad y/o autenticidad de su información y/o servicios puede tener para ellas un impacto negativo. En consecuencia, es necesario proteger la información y gestionar la seguridad de los sistemas de TI dentro de las organizaciones. Este requisito de proteger la información es particularmente importante, dado que numerosas organizaciones están conectadas a redes de sistemas de TI interna y externamente. La gestión de la seguridad de TI es el proceso para alcanzar y mantener niveles apropiados de autenticidad, confidencialidad, integridad y disponibilidad. Las funciones de gestión de la seguridad de TI incluyen 6 [UNE01]: Determinación de los objetivos, estrategias y políticas organizativas de la seguridad de TI. Determinación de los requisitos organizativos de la seguridad de TI. 6 UNE :2001IN 21

22 Definición del problema Gestión de la Seguridad de TI Identificación y análisis de amenazas de activos de la organización (análisis de riesgos). Especificación de las salvaguardas apropiadas (gestión de riesgos). Seguimiento de la implantación y operación de las salvaguardas apropiadas. Desarrollo e implantación de un plan de concienciación en la seguridad. Detección y reacción ante incidentes. 22

23 Definición del problema Gestión de la Seguridad de TI Objetivos, estrategias y políticas de seguridad Objetivos y estrategias de seguridad de TI Política de seguridad de TI de la organización Opciones en la estrategia de análisis y gestión de riesgos Enfoque de mínimos Enfoque informal Análisis de riesgos detallado Enfoque de combinado Enfoque combinado Análisis de riesgos de alto nivel Análisis de Enfoque de Riesgos mínimos Detallado Selección de Salvaguardas Aceptación de Riesgos Política de Seguridad del Sistema Plan de la Seguridad Implantación del Plan de Seguridad Implantación de salvaguardas Concienciación de la seguridad Formación en seguridad Acreditación del Sistema Seguimiento Comprobación del cumplimiento de los requisitos de seguridad Mantenimiento Gestión de la configuración. Gestión de cambios Supervisión y control Tratamiento de incidencias Figura 1. Gestión de la Seguridad de TI 7 7 UNE : 2001: Tecnología de la Información (TI). Guía para la gestión de la seguridad de TI. Parte 3: Técnicas para la gestión de la seguridad de TI. 23

24 Definición del problema Gestión de la Seguridad de TI Objetivos, estrategias y políticas de seguridad Como base para una seguridad efectiva de TI, se deben formular objetivos, estrategias y políticas generales de seguridad de la organización. Estos proporcionan soporte a la actividad de la organización y aseguran la consistencia entre todas las salvaguardas. Los objetivos identifican lo que se debe lograr, las estrategias, cómo conseguir estos objetivos, y las políticas, lo que debe hacerse. Los objetivos, estrategias y políticas se pueden desarrollar jerárquicamente desde el nivel más alto hasta el nivel operativo de la organización. Así mismo dichos niveles han de guardar una relación consistente que permita relacionarlos de forma clara. Lo primero a realizar es la definición concreta del sistema y el alcance que este posee, la importancia que tiene para la organización. Un vez establecido dicho alcance se han de estudiar y plantear los objetivos y estrategias que se van a adoptar para la seguridad del sistema de TI. Valiéndose de los objetivos y estrategias acordadas se obtienen una serie de políticas de seguridad de TI para la organización. La política de seguridad de la organización consta de los principios y directrices de seguridad de la organización como un todo. La política de seguridad de TI debe reflejar los principios y directrices de seguridad esenciales aplicables a la política de seguridad de la organización y al uso general de los sistemas de TI dentro de la misma. La política de seguridad de un sistema de TI concreto debe reflejar los principios y directrices expresados en la política de seguridad de TI de la organización. Debería contener los requisitos particulares de la seguridad y de las salvaguardas que deben implantarse y de cómo usarlas correctamente para garantizar la seguridad adecuada. En todos los casos es importante que el enfoque adoptado sea coherente con las necesidades debidas a la actividad de la organización. Análisis y Gestión de Riegos El primer paso, descrito anteriormente, sirve para comenzar con el análisis y gestión de riesgos. El análisis y gestión de riesgos es uno de los elementos claves de todo proceso de gestión de la seguridad informática. Se identifican dos procesos: 1. El análisis de riesgo, que permite la identificación de las amenazas que acechan a los distintos activos del sistema para determinar la vulnerabilidad del mismo ante esas amenazas y para estimar el impacto que una seguridad insuficiente 24

25 Definición del problema Gestión de la Seguridad de TI puede tener para la organización conociendo, por tanto, el riesgo que corre [ARIA05]. Conlleva el análisis de los activos, amenazas y vulnerabilidades valorándose los riesgos en términos de impacto potencial que podría ser causado por la pérdida de confidencialidad, integridad y disponibilidad de la información y recursos del sistema. 2. La gestión de riesgos, que, basándose en el análisis de riesgos, permite seleccionar las medidas o salvaguardas de seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al mínimo su potencialidad o sus posibles impactos [ARIAS05]. El análisis de riesgos de un sistema de información tiene por objeto identificar los riesgos, las amenazas y vulnerabilidades existentes en un sistema de información determinando su magnitud, mostrando la situación de la seguridad presente en una organización respecto al procesado, transmisión y almacenamiento de la información, y como consecuencia reuniendo los hecho básicos necesarios para seleccionar las contramedidas y los procedimientos adecuados para minimizar las amenazas y las vulnerabilidades al/del sistema. Un riesgo de seguridad se puede definir como la probabilidad de que una vulnerabilidad de un sistema o red sea explotada por una amenaza, comprometiendo de esta forma al sistema o su información. Debido al carácter cambiante de las amenazas, un análisis de riesgos debe ser actualizado periódicamente. Todo sistema de información tiene unos riesgos inherentes al mismo. El análisis de riesgos permite establecer los riesgos que existen y, a partir de ahí, establecer los requisitos de seguridad necesarios para prevenir una determinada situación, contener su efecto, o simplemente reconocer que existe un riesgo potencial de pérdida de datos. Por ello el análisis de riesgos es necesario y recomendable en todo sistema o red, ayudando a identificarlos así como en la toma de decisiones a adoptar para eliminar el riesgo, minimizarlo o asumirlo, pero con el conocimiento de su existencia, riegos e impacto. 25

26 Definición del problema Gestión de la Seguridad de TI Estrategias para el análisis y gestión de riesgos El análisis y gestión de riesgos se puede realizar de diversas formas, dependiendo del enfoque que se quiera tomar [UNE01]. 1. Enfoque básico El enfoque básico en la realización del análisis y gestión de riesgos implica la selección de un conjunto de salvaguardas que permita alcanzar un nivel básico de protección para todos los sistemas. Para la selección de estas salvaguardas existen documentos (normas nacionales e internacionales, recomendaciones ) o códigos de buenas prácticas como, por ejemplo, la norma ISO/IEC TR 17799, que presentan conjuntos de salvaguardas de carácter normalizado o básico. Este enfoque posee una serie de ventajas como: No es necesario asignar recursos para un análisis y gestión de riesgos detallado, y el tiempo y esfuerzo empleado en seleccionar las salvaguardas se reduce. El mismo conjunto de salvaguardas de nivel básico o con pequeñas modificaciones puede adaptarse a muchos sistemas sin un gran esfuerzo. Las desventajas de esta opción son: Si el listón que señala el nivel básico es demasiado alto, puede darse una seguridad demasiado restrictiva o demasiado costosa para algunos sistemas; por otra parte, si el listón es demasiado bajo, puede darse una seguridad insuficiente para algunos sistemas. Puede haber dificultades derivadas de cambios importantes que afecten a la gestión de la seguridad. Por ejemplo, si el sistema es actualizado, puede haber dificultades qa la hora de valorar si las salvaguardas de nivel básico originales son suficientes. 2. Enfoque informal El enfoque informal implica la realización de un análisis y gestión de riesgos informal y pragmático, en todos los sentidos, de los sistemas. No se basa en métodos estructurados, sino que aprovecha el conocimiento y experiencia de expertos, tanto internos a la organización como externos si no se tiene una gran experiencia. 26

27 Definición del problema Gestión de la Seguridad de TI Esta opción tiene como ventaja que: No se requiere el aprendizaje de habilidades adicionales para hacer este tipo de análisis. Puede ser adecuado en pequeñas organizaciones. Sin embargo posee varias desventajas: Sin un enfoque estructurado, aumenta la posibilidad de pasar por alto algunos riesgos, así como áreas potencialmente problemáticas. Debido a su carácter informal, los resultados pueden venir influenciados por perspectivas subjetivas y por prejuicios del analista. La selección de las salvaguardas no se encuentra argumentada o razonada; por lo tanto, los gastos en las mismas pueden ser difíciles de justificar. Pasado un tiempo sin que hayan realizado revisiones periódicas puede ser difícil gestionar los cambios con impacto importante en la seguridad. 3. Análisis y gestión de riesgos detallado Esta opción implica la realización del análisis y gestión de riesgos mediante la identificación y valoración de los activos, la evaluación de las amenazas y de las vulnerabilidades de los activos frente a las amenazas, estimación de los posibles impactos y la valoración de los riesgos en base a lo anterior. Esta opción soporta la identificación, selección y adopción de salvaguardas en base a los riesgos identificados y la reducción de los mismos a un nivel aceptable definido por la dirección. Suele ser un proceso costoso tanto en tiempo como en recursos de personal y debería realizarse utilizando metodologías formales y a ser posible apoyadas por aplicaciones software. Por consiguiente, las ventajas que nos encontramos al aplicar este enfoque son: Se identifica un nivel de seguridad acorde con las necesidades de seguridad de cada sistema. Cada sistema posee un estudio propio y que se ajusta al mismo. La gestión de los cambios con impacto importante en la seguridad se beneficiará de la información adicional obtenida a partir del análisis y gestión de riesgos detallado. La mayor desventaja de esta opción es: 27

28 Definición del problema Gestión de la Seguridad de TI Requiere una considerable cantidad de tiempo, esfuerzo y pericia para lograr resultados visibles. 4. Enfoque combinado Esta opción para la ejecución del análisis y gestión de riesgos consiste en identificar primeramente aquellos sistemas que están expuestos a un alto riesgo o que son críticos en relación a la actividad de la empresa, mediante un análisis y gestión de riesgos realizado a alto nivel, clasificando así a los sistemas en dos grupos: los que requieren un análisis y gestión de riesgos detallado para conseguir la protección adecuada y los que sólo necesitan la protección a nivel básico. Las ventajas de este enfoque son: Un enfoque de alto nivel para recoger la información necesaria antes de comprometer recursos significativos facilita la aceptación del plan análisis y gestión de riesgos. Debe ser posible configurar a nivel estratégico una visión del plan de seguridad de la organización, que puede utilizarse como soporte a la planificación. Los recursos pueden invertirse donde vayan a ser más beneficiosos, y de forma que los sistemas de alto riesgo puedan ser tratados antes. La desventaja con la que nos encontramos en esta opción es: Si el análisis y gestión de riesgos a alto nivel produce resultados erróneos, algunos sistema en los que se necesita un análisis y gestión de riesgos detallado podrían no ser completados. En la mayoría de los casos esta opción ofrece el enfoque más eficaz en términos de costes y es la opción de análisis y gestión de riesgos más recomendable para la mayoría de las organizaciones. Selección de Salvaguardas Una vez identificadas las amenazas, vulnerabilidades, riegos, etc. Se pasa a la selección de salvaguardas. Las salvaguardas son procedimientos o dispositivos físicos o lógicos que pueden proteger contra una amenaza, reducir la vulnerabilidad, limitar el impacto de un incidente no deseado y facilitar la recuperación. Las salvaguardadas no son independientes unas de otras y frecuentemente funcionan conjuntamente. La seguridad 28

29 Definición del problema Gestión de la Seguridad de TI efectiva requiere con frecuencia una combinación de salvaguardas para proporcionar niveles adecuados de seguridad. El proceso de selección debe tener en cuenta las interdependencias entre salvaguardas; así también debe verificarse que no quedan lagunas. Dichas lagunas hacen posible la burla de las salvaguardas existentes y permiten que amenazas accidentales puedan materializarse y causar daños. Cualquiera de las opciones presentadas en el apartado anterior proporcionan recomendaciones suficientes para reducir los riesgos en la seguridad a un nivel aceptable, aunque de los cuatro enfoques, en la mayoría de los casos, la opción del Enfoque combinado es la más eficaz en términos de costes y suele ser la opción de análisis y gestión de riesgos más recomendable para la mayoría de las organizaciones. Las salvaguardas seleccionadas permiten conocer, prevenir, impedir, reducir, controlar, corregir y recuperarse de incidentes no deseados. No suelen ser independientes unas de otras y frecuentemente funcionan conjuntamente necesitando una gestión que asegure de forma eficaz y sin ocasionar gastos indebidos tanto de gestión como de uso. Su implantación puede estar ligada a un plan de concienciación en la seguridad, a una gestión de cambios y a una gestión de la configuración. Aceptación de Riesgos Tras la implantación de las salvaguardas seleccionadas, siempre existe un riesgo residual. Esto es debido a que no puede haber ningún sistema absolutamente seguro (principio fundamental de la seguridad de la información) y a que ciertos activos pueden haberse dejado sin protección intencionadamente porque se asume un bajo riesgo o por los altos costes de la salvaguarda con relación al valor estimado del activo a proteger [UNE01]. El primer paso del proceso de aceptación de riesgos es revisar las salvaguardas seleccionadas e identificar y valorar todos los riesgos residuales pasando, posteriormente, a clasificar los riesgos residuales en aceptables o inaceptables para la organización [UNE01]. Es obvio, que los riesgos inaceptables no pueden tolerarse y, por tanto, deberán considerarse salvaguardas adicionales para bajar el riesgo residual a un nivel aceptable. 29

30 Definición del problema Gestión de la Seguridad de TI Implantación del Plan de Seguridad Una vez hecho el Análisis y Gestión de Riesgos se han implantar las decisiones acordadas. Para ello se pondrán en práctica los planes de concienciación y formación de personal, se deberán implantar las salvaguardas según los plazos establecidos, etc. A todo esto es a lo que se le denomina implantación del Plan de Seguridad [MAGE05]. Acreditación Muchos análisis y gestión de riesgos tienen como finalidad lograr certificaciones de seguridad del un producto o sistema; estar preparado para una posible auditoria de seguridad o evaluar el sistema [MAGE05]. Seguimiento Al igual que todo estudio, la gestión de la seguridad nunca termina. Una vez hecho el análisis y gestión de riesgos y la implantación del plan de seguridad se ha de llevar un continuo mantenimiento del sistema de información. Se ha comprobar que se ha cumplido todo lo establecido, llevar una supervisión, estar preparado a posibles cambios o a nuevos análisis a realizar. Se da por hecho que también se evalúa en este seguimiento continuo que todas las incidencias que pueden pasar, y que han sido identificadas en el estudio, tienen un tratamiento correcto. Para ello se suele realizar lo que se denomina plan de continuidad o contingencias (dependiendo del alcance del Plan: continuidad suele ir más dirigido a la continuidad de los procesos y funciones de negocio de una organización, mientras que contingencia suele ir más encaminada a la continuidad o solución de problemas en sistemas de información) [MAGE05]. Todas las salvaguardas requieren un mantenimiento para asegurar que están funcionando correctamente y que lo continuarán haciendo de una manera predecible y adecuada. La obsolescencia de las salvaguardas debe ser puesta de manifiesto por acciones planificadas más que por un descubrimiento casual. Además, la verificación de la conformidad con los requisitos de seguridad, la verificación del entorno operativo, la revisión de eventos y la gestión de incidentes también son necesarias para asegurar la continuidad en la seguridad [MAGE05]. 30

31 Definición del problema Gestión de la Seguridad de TI Política de Seguridad de TI Aspectos organizativos Análisis y Gestión de Riesgos Implantación de Salvaguardas Seguimiento Figura 2. Gestión de la Seguridad de TI 8 La gestión de la seguridad es una acción permanente, cíclica y recurrente (es decir, que se ha de reemprender continuamente debido a cambios en el sistema y en su entorno) que a su vez comprende otros procesos. La implantación de salvaguardas se realiza llevando a cabo los planes de seguridad establecidos y acordados previamente. Concienciación de la seguridad La concienciación es un elemento esencial para la seguridad efectiva. La ausencia de concienciación, junto con las malas costumbres en materia de seguridad por parte del personal de la organización, puede reducir significativamente la efectividad de las salvaguardas. Con el fin de asegurar que existe un nivel de concienciación en la seguridad adecuado, es importante establecer y mantener un plan efectivo de concienciación en la seguridad. El propósito de este plan de concienciación en la seguridad es explicar a los diversos actores [MAGE05]: - los objetivos, estrategias y políticas de seguridad, y 8 UNE : 2001: Tecnología de la Información (TI). Guía para la gestión de la Seguridad de TI. Parte 1: Conceptos y modelos para la seguridad de TI 31

32 Definición del problema Gestión de la Seguridad de TI - la necesidad de seguridad y sus funciones y responsabilidades asociadas. Un plan de concienciación en la seguridad debería implantarse a todos los niveles de la organización desde la alta dirección hasta las personas encargadas de las actividades diarias. Un factor crítico es que la dirección sea consciente de la necesidad de la seguridad. El objeto de un plan de concienciación es convencer de que existen riesgos significativos para los sistemas de TI y que la pérdida, modificación no autorizada y revelación de información, podrían tener importantes consecuencias para la organización y su personal. 32

33 Alcance del proyecto El proyecto se va centrar en el estudio del Análisis y Gestión de Riesgos, sin profundizar más en el resto de partes de la Gestión de la Seguridad. En el Análisis y Gestión de Riesgos se van a abarcar las cuatro actividades contenidas en el mismo. Los pasos a seguir se pueden resumir en los siguientes puntos 9 : 1. Determinar los activos relevantes para la organización. 2. Determinar a que amenazas están expuestos. 3. Determinar que salvaguardas hay expuestas y cuan eficaces son frente al riesgo. 4. Estimar el impacto. 5. Estimar el riesgo. 6. Selección de salvaguardas. Figura 3. Metodología MAGERIT Para ello se va usar la Metodología MAGERIT versión 2 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, creada) creada por el Ministerio de 9 Los conceptos que aparecen en los pasos pautados a seguir se definen en la parte de MAGERIT. En dicha parte se pueden encontrar los conceptos y los pasos explicados de forma detallada. 33

34 Administraciones Públicas. Así mismo se a contar con una herramienta de software basada en la metodología MAGERIT y que trabaja contra listas de seguridad como la ISO 17799/2002, norma que se va aplicar en el proyecto para seleccionar las salvaguardas de seguridad en el ejemplo concreto en apoyo del proyecto. Dicha herramienta será PILAR (Procedimiento Informático-Lógico para el Análisis de Riesgos) o EAR (Entorno de Análisis de Riesgos), aún por determinar. Dichas herramientas son la misma; la diferencia se encuentra en la primera es de uso privado para el CNI y los ministerios, mientras que la segunda se encuentra disponible para uso comercial. EAR está basada en PILAR, la cual ha sido financiada por el Centro Nacional de Inteligencia (CNI), establecidos sus requisitos por el Centro Criptológico Nacional (CNN) y supervisado su desarrollo por el CCN, y la Fábrica Nacional de Moneda y Timbre, entre otras instituciones. Lo primero que se va a hacer es explicar MAGERIT, los pasos que sigue, la nomenclatura adoptada, etc. Una vez explicada la metodología se va a aplicar a un ejemplo concreto apoyándose en una herramienta informática que a su vez usa dicha metodología como base para realizar el análisis y la gestión de riesgos. De este modo se pretende poner a disposición del lector como realizar un análisis y gestión de riesgos de forma eficiente, eficaz y correcta. El ejemplo sobre el que se va a hacer el análisis y gestión de riesgos está basado en el sistema de matriculación de la Universidad Pontificia de Comillas (imat). Sobre este sistema es sobre el que los alumnos proceden a realizar anualmente su matrícula, modificarla o borrarla. Dicho sistema es un sistema montado sobre el sistema de información de la universidad, por lo que se puede considerar un sistema de información autónomo. Se cree que este sistema es apropiado y bastante ilustrativo para poder comprender un análisis y gestión de riesgos. Introducción a imat imat, sistema de matriculación de la Universidad Pontificia de Comillas, es una aplicación basada en la estructura de 3 capas, acceso a datos, lógica de negocio y presentación claramente diferenciadas. La presentación se hace en páginas ASP, la lógica de negocios se encuentra encapsulada en unos componentes en COM+ desarrollados con Visual Basic mientras que el acceso a datos se realiza con otros componentes en COM+ que actúan contra una base de datos SQL Server

35 Por otro lado, los 3 servidores Web IIS 6.0 que mantienen la Web de Comillas están balanceados por hardware de tal forma que en función de la carga de uno u otro se le redirige al usuario al que menos lo este. El servidor de datos y el de componentes Se sitúan detrás de un firewall, así como el acceso a los datos se hace a través del usuario que levanta, que esta configurado en COM+, de tal forma que únicamente un usuario de dominio específico tiene acceso a los datos. Por otro lado, el sistema de Matriculación funciona, básicamente, del siguiente modo: en función del alumno validado con su clave y contraseña se estudia su expediente y las normas que establecen al respecto cada facultad o escuela, una vez comparado su expediente contra estas normas al alumno se le categoriza de tal forma que lleva implícita la oferta de asignaturas de la que puede matricularse. Una vez presentada la oferta de asignaturas, el alumno podrá seleccionar de entre ellas las que considere y se le comprueba que está dentro de los intervalos de créditos establecidos. 35

36 36 MAGERIT

37 MAGERIT Introducción Introducción a MAGERIT La CSAE 1 ha elaborado y promueve MAGERIT 2 como respuesta a la percepción de la Administración (y en general toda la sociedad) depende de forma creciente de las tecnologías de la información para la consecución de sus objetivos de servicio. La razón de ser de Magerit está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de tales medios. El análisis de riesgos se ha consolidado como paso necesario para la gestión de la seguridad. Así se recoge claramente en las guías de la OCDE 3 que, en su principio 6 dice: 6. Evaluación del riesgo. Los participantes deben llevar a cabo evaluaciones de riesgo. Conocer los riesgos al que están sometidos los sistemas de información con los que se trabaja es imprescindible para poder gestionarlos y por este motivo existen multitud de guías informales para la realización del análisis y gestión de riesgos, aproximaciones metódicas y herramientas de soporte. Todas estás guías (informales, metódicas) buscan poder evaluar cuanto de seguros (o inseguros) están los sistemas de información, para evitar llevarse a engaño. Una aproximación metódica no dejar lugar a la improvisación, como es el caso de Magerit, no depende de la arbitrariedad del analista. El asunto no es tanto conocer la ausencia de incidentes como la confianza en que están bajo control: se sabe qué puede pasar y se sabe que hacer cuando pasa. 1 CSAE: Consejo Superior de Administración Electrónica. 2 MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. La información mostrada en este capítulo ha sido obtenida de dicha metodología, elaborada por el Ministerio de Administraciones Públicas. Por este motivo no se van a exponer referencias a esta metodología a lo largo del capítulo. 3 Guías de la OCDE para la seguridad de los sistemas de información y redes. Hacia una cultura de seguridad

38 MAGERIT Introducción Objetivos de Magerit Directos: 1. concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo. 2. ofrecer un método sistemático para analizar tales riesgos. 3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control Indirectos: 1. preparar a la Organización para procesos de evaluación, auditoria, certificación o acreditación A su vez se ha buscado dar uniformidad a los informes que recogen los hallazgos y las conclusiones de un proyecto de análisis y gestión de riesgos. Modelo de valor Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos. Mapa de riesgos Relación de las amenazas a las que están expuestos los activos. Evaluación de Salvaguardas Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Estado de riesgo Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar teniendo en cuenta las salvaguardas desplegadas. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre un sistema. Plan de seguridad 38

39 MAGERIT Introducción Conjunto de programas de seguridad que permiten materializar las decisiones de gestión de riesgos. El análisis y gestión de riesgos en su contexto Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que encajan en la actividad continua de gestión de la seguridad. El análisis de riesgos permite determinar como es, cuanto vale y como de protegidos se encuentran los activos. En coordinación con los objetivos, estrategia y política de la Organización, las actividades de gestión de riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que es aceptable para la Dirección. Análisis y Gestión de riesgos Objetivos, estrategia y política Planificación Organización Implantación de salvaguardas Concienciación y formación Gestión de configuración y cambios Incidencias y recuperación Figura 4. Análisis y Gestión de Riesgos en su Contexto La implantación de los controles de seguridad requiere una organización gestionada y la participación informada de todo el personal que trabaja con el sistema de información. Este esquema de trabajo debe ser repetitivo pues los sistema de información raramente con inmutables; más bien se encuentran sometidos a evolución continua tanto propia (nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión periódica en la que se aprende de la experiencia y se adapta al nuevo contexto. Por este motivo la concienciación y formación del personal es un elemento muy importante a la hora de llevar a cabo una política de gestión de seguridad. La colaboración activa de las personas involucradas en el sistema de información es vital para su posterior éxito. Para 39

40 MAGERIT Introducción ello se ha de crear lo que se llama una cultura de seguridad en la cual estén implicados todos los niveles de la empresa desde la alta dirección hasta el más bajo nivel. El análisis de riesgos proporciona un modelo del sistema en términos de activos, amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento. La gestión de riesgos es la estructuración de as acciones de seguridad para satisfacer las necesidades detectadas por el análisis. Incidencias y recuperación Es importante crear una cultura de responsabilidad, asociada a la cultura de seguridad, donde los problemas potenciales, detectados por los que están cercanos a los activos afectados, puedan ser canalizados hacia los puntos de decisión. De esta forma el sistema de salvaguardas responderá a la realidad. Cuando se produce una incidencia, el tiempo empieza a correr contra el sistema: sus supervivencia depende de la presteza y corrección de las actividades de reporte y reacción. La madurez de la organización se refleja en la pulcritud y realismo de su modelo de valor y, consecuentemente, en la idoneidad de las salvaguardas de todo tipo, desde medidas técnicas hasta una óptima organización. 40

41 Realización del análisis y gestión de riesgos 1 Este capítulo expone de forma conceptual en qué consiste el análisis de riesgos y todo aquello derivado de su gestión, lo qué se busca en cada momento y qué conclusiones se derivan. Hay dos grandes tareas a realizar: Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que podría pasar. Elementos: 1. activos, que no son sino los elementos del sistema de información (o estrechamente relacionados con este) que aportan valor a la Organización 2. amenazas, que no son sino cosas que les pueden pasar a los activos causando un perjuicio a la Organización 3. salvaguardas (o contra medidas), que no son sino elementos de defensa desplegados para que aquellas amenazas no causen [tanto] daño. Con estos elementos se puede estimar: 1. el impacto: lo que podría pasar 2. el riesgo 2 : lo que probablemente pase El análisis de riesgos permite analizar estos elementos de forma metódica para llegar a conclusiones con fundamento. Gestión de riesgos, que permite organizar la defensa concienzuda y prudente, defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones; como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la Dirección asume. 1 MAGERIT versión 2. Método Parte 2. 2 El riesgo se definió de forma detallada en la introducción del proyecto. 41

42 Informalmente, se puede decir que la gestión de la seguridad de un sistema de información es la gestión de sus riesgos y que el análisis permite racionalizar dicha gestión. Análisis de Riesgos El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados 3 : 1. determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. 2. determinar a qué amenazas están expuestos aquellos activos. 3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo. 4. estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectación de materialización) de la amenaza. Con el objeto de organizar la presentación, se tratan primero los pasos 1, 2, 4 y 5, obviando el paso 3, de forma que las estimaciones de impacto y riesgo sean potenciales : caso de que no hubiera salvaguarda alguna desplegada. Una vez obtenido este escenario teórico, se incorporan las salvaguardas del paso 3, derivando estimaciones realistas de impacto y riesgo. Paso 1: Activos Se denominan activos los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes: 3 Se muestran cinco de los seis puntos mostrados en el alcance del proyecto. El sexto punto pertenece a la gestión del riesgo. 42

43 Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. Las aplicaciones informáticas (software) que permiten manejar los datos. Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. Los soportes de información que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que complementa el material informático. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones que acogen equipos informáticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados. No todos los activos poseen la misma importancia y por ello las salvaguardas varían dependiendo de la importancia de los mismos. Por ejemplo, hay datos regulados por ley y otros que no; datos de carácter confidencial o de acceso reservado. Dependencias Los datos y los servicios suelen ser los activos más importantes; pero dichos activos dependen a su vez de otros activos más prosaicos como pueden ser los equipos, las comunicaciones o las frecuentemente olvidadas personas que los utilizan. Esto es el motivo de la aparición del concepto llamado dependencias entre activos o la medida en que un activo superior se vería afectado por un incidente de seguridad en un activo inferior. Se dice que un activo superior depende de otro activo inferior cuando las necesidades de seguridad del superior se reflejan en las necesidades de seguridad del inferior. O, dicho en otras palabras, cuando la materialización de una amenaza en el activo inferior tiene como consecuencia un perjuicio sobre el activo superior. Aunque en cada caso hay que adaptarse a la Organización objeto del análisis, con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores: capa 1: el entorno o equipamiento y suministros: energía, climatización, comunicaciones 43

44 o personal: de dirección, de operación, de desarrollo, etc. o otros: edificios, mobiliario, etc. capa 2: el sistema de información o equipos informáticos (hardware) o aplicaciones (software) o comunicaciones o soportes de información: discos, cintas, etc. capa 3: la información o datos o meta-datos: estructuras, índices, claves de cifra, etc. capa 4: las funciones de la Organización, que justifican la existencia del sistema de información y le dan finalidad o objetivos y misión o bienes y servicios producidos capa 5: otros activos o credibilidad o buena imagen La importancia de garantizar la seguridad de las capas superiores hace necesario comenzar la seguridad desde las capas inferiores para evitar un riesgo sobre las capas superiores. Valoración de activos Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay que intentar averiguar y proteger. El valor de un activo puede ser propio o acumulado. Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos. Se dice que el valor nuclear suele estar en la información (o datos) que el sistema maneja. Las dependencias entre activos permiten relacionar los demás activos con datos y servicios. En un árbol de dependencias, donde los activos superiores dependen de los inferiores, es imprescindible valorar los activos superiores, los que son importantes por sí mismos. 44

45 Automáticamente este valor se acumula en los inferiores, lo que no es óbice para que también puedan merecer, adicionalmente, su valoración propia. La valoración es la determinación del coste que supondría salir de una incidencia que destrozara el activo. La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de niveles). Los criterios más importantes a respetar son: la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra, la relatividad: es importante poder relativizar el valor de un activo en comparación con otros activos. Todos estos criterios se satisfacen con valoraciones económicas (coste dinerario requerido para curar el activo) y es frecuente la tentación de ponerle precio a todo. Si se consigue, excelente. Incluso es fácil ponerle precio a los aspectos más tangibles (equipamiento, horas de trabajo, etc.); pero al entrar en valoraciones más abstractas (intangibles como la credibilidad de la Organización) la valoración económica exacta puede ser escurridiza y motivo de agrias disputas entre expertos. Dimensiones De un activo puede interesar calibrar diferentes dimensiones 4 : Autenticidad: qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) Confidencialidad: qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. 4 Las dimensiones de la seguridad se encuentran explicadas en la Introducción. 45

46 Integridad: qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. Disponibilidad: qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios. En sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los actores es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la: la trazabilidad del uso del servicio: qué daño causaría no saber a quién se le presta tal servicio? O sea, quién hace qué y cuándo? la trazabilidad del acceso a los datos: qué daño causaría no saber quién accede a qué datos y qué hace con ellos? Casi todas las dimensiones mencionadas anteriormente permiten una valoración simple, cualitativa o cuantitativa. Pero hay una excepción, la disponibilidad. No es lo mismo interrumpir un servicio una hora o un día o un mes. Puede que una hora de detención sea irrelevante, mientras que un día sin servicio causa un daño moderado; pero un mes detenido suponga la terminación de la actividad. Por ello hay que saber valorar que es lo que interesa evitar de forma que se ahorren esfuerzos (no sólo económicos) para interrupciones de disponibilidad irrelevantes pasando directamente a evaluar los relevantes. Paso 2: Amenazas El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las amenazas son cosas que ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Hay accidentes naturales (terremotos, inundaciones,...) y desastres industriales (contaminación, fallos eléctricos,...) ante los cuales el sistema de información es víctima pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay amenazas causadas por las personas, bien errores, bien ataques intencionados. 46

47 No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir. Valoración de las amenazas Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos: Degradación: cuán perjudicado resultaría el activo Frecuencia: cada cuánto se materializa la amenaza La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto totalmente degradado, o degradado en una pequeña fracción. Cuando las amenazas no son intencionales, probablemente baste conocer la fracción físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma selectiva. La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede ser de terribles consecuencias pero de muy improbable materialización; mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar acumulando un daño considerable. La frecuencia se modela como una tasa anual de ocurrencia, siendo valores típicos 100 Muy frecuente A diario 10 Frecuente Mensualmente 1 Normal Una vez al año 1/10 Poco frecuente Cada varios años 47

48 Paso 4: Determinación del impacto Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. La única consideración que queda hacer es relativa a las dependencias entre activos. Es frecuente que el valor del sistema de información se centre en los servicios que presta y los datos que maneja, al tiempo que las amenazas suelen materializarse en los medios. Impacto acumulado Es el calculado sobre un activo teniendo en cuenta su valor acumulado (el propio mas el acumulado de los activos que dependen de él) las amenazas a que está expuesto. El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensión de valoración, siendo una función del valor acumulado y de la degradación causada. El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un activo. El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado. El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de información, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: protección de los equipos, copias de respaldo, etc. Impacto repercutido Es el calculado sobre un activo teniendo en cuenta su valor propio las amenazas a que están expuestos los activos de los que depende. El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de valoración, siendo una función del valor propio y de la degradación causada. 48

49 El impacto es tanto mayor cuanto mayor es el valor propio de un activo. El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado. El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado. El impacto repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las consecuencias de las incidencias técnicas sobre la misión del sistema de información. Es pues una presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de riesgo. Agregación de valores de impacto Los párrafos anteriores determinan el impacto que sobre un activo tendría una amenaza en una cierta dimensión. Estos impactos singulares pueden agregarse bajo ciertas condiciones: puede agregarse el impacto repercutido sobre diferentes activos, puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí, ni dependan de ningún activo superior común, no debe agregarse el impacto acumulado sobre activos que no sean independientes, pues ello supondría sobre ponderar el impacto al incluir varias veces el valor acumulado de activos superiores, puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qué medida las diferentes amenazas son independientes y pueden ser concurrentes, puede agregarse el impacto de una amenaza en diferentes dimensiones. Paso 5: Determinación del riesgo Se denomina riesgo 5 a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la frecuencia de ocurrencia. El riesgo crece con el impacto y con la frecuencia. 5 El riesgo se encuentra definido de un modo más técnico en la introducción. 49

50 Riesgo acumulado Es el calculado sobre un activo teniendo en cuenta el impacto acumulado sobre un activo debido a una amenaza y la frecuencia de la amenaza El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada dimensión de valoración, siendo una función del valor acumulado, la degradación causada y la frecuencia de la amenaza. El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de información, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: protección de los equipos, copias de respaldo, etc. Riesgo repercutido Es el calculado sobre un activo teniendo en cuenta el impacto repercutido sobre un activo debido a una amenaza y la frecuencia de la amenaza El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de valoración, siendo una función del valor propio, la degradación causada y la frecuencia de la amenaza. El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las consecuencias de las incidencias técnicas sobre la misión del sistema de información. Es pues una presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de riesgo. Agregación de riesgos Los párrafos anteriores determinan el riesgo que sobre un activo tendría una amenaza en una cierta dimensión. Estos riesgos singulares pueden agregarse bajo ciertas condiciones: puede agregarse el riesgo repercutido sobre diferentes activos, puede agregarse el riesgo acumulado sobre activos que no sean dependientes entre sí, ni dependan de ningún activo superior común, 50

51 no debe agregarse el riesgo acumulado sobre activos que no sean independientes, pues ello supondría sobre ponderar el riesgo al incluir varias veces el valor acumulado de activos superiores, puede agregarse el riesgo de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qué medida las diferentes amenazas son independientes y pueden ser concurrentes, puede agregarse el riesgo de una amenaza en diferentes dimensiones Paso 3: Salvaguardas En los pasos anteriores no se han tomado en consideración las salvaguardas desplegadas. Se miden, por tanto, los impactos y riesgos a que estarían expuestos los activos si no se protegieran en absoluto. En la práctica no es frecuente encontrar sistemas desprotegidos: las medidas citadas indican lo que ocurriría si se retiraran las salvaguardas presentes. Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjuran simplemente organizándose adecuadamente, otras requieren elementos técnicos (programas o equipos), otras necesitan seguridad física y, por último, está la política de personal. Las salvaguardas entran en el cálculo del riesgo de dos formas: Reduciendo la frecuencia de las amenazas. Llamadas salvaguardas preventivas. Una salvaguarda preventiva ideal mitiga completamente la amenaza. Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan. Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que pretenden conjurar. 51

52 Figura 3 6. Metodología MAGERIT Revisión del paso 4: Impacto residual Si se han hecho todos los deberes a la perfección, el impacto residual debe ser despreciable. Si hay deberes a medio hacer (normas imprecisas, procedimientos incompletos, salvaguardas inadecuadas o insuficientes, o controles que no controlan) entonces se dice que el sistema permanece sometido a un impacto residual. El cálculo del impacto residual es sencillo. Como no han cambiado los activos, ni sus dependencias, sino solamente la magnitud de la degradación, se repiten los cálculos de impacto con este nuevo nivel de degradación. La magnitud de la degradación tomando en cuenta la eficacia de las salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia real. El impacto residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre los activos superiores. 6 Dicha figura ya ha sido expuesta anteriormente, por ello la numeración corresponde con la primera vez que apareció. 52

53 Revisión del paso 5: Riesgo residual Si se han hecho todos los deberes a la perfección, el riesgo residual debe ser despreciable. Si hay deberes a medio hacer (normas imprecisas, procedimientos incompletos, salvaguardas inadecuadas o insuficientes, o controles que no controlan) entonces se dice que el sistema permanece sometido a un riesgo residual. El cálculo del riesgo residual es sencillo. Como no han cambiado los activos, ni sus dependencias, sino solamente la magnitud de la degradación y la frecuencia de las amenazas, se repiten los cálculos de riesgo usando el impacto residual y la nueva tasa de ocurrencia. La magnitud de la degradación se toma en consideración en el cálculo del impacto residual. La magnitud de la frecuencia tomando en cuenta la eficacia de las salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia real. El riesgo residual puede calcularse acumulado sobre los activos inferiores, o repercutido sobre los activos superiores. Figura 5.Submodelo de Procesos visto desde el Submodelo de elementos Con el dibujo mostrado arriba se pretende ilustrar la relación entre los diversos pasos. La parte puesta en rojo es aquella que se realiza al añadir las salvaguardas precisas, las cuales se deciden en la gestión de riesgos que se explica a continuación. 53

54 Gestión de Riesgos El análisis de riesgos determina impactos y riesgos. Los impactos recogen daños absolutos, independientemente de que sea más o menos probable que se dé la circunstancia. En cambio el riesgo pondera la probabilidad de que ocurra. El impacto refleja el daño posible, mientras que el riesgo refleja el daño probable. Si el impacto y el riesgo residuales son despreciables, se ha terminado. Si no, hay que hacer algo. La interpretación de los valores de impacto y riesgo residuales Impacto y riesgo residual son una medida del estado presente, entre la inseguridad potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y riesgo a valores despreciables. Son pues una métrica de carencias. Los párrafos siguientes se refieren conjuntamente a impacto y riesgo. Si el valor residual es igual al valor potencial, las salvaguardas existentes no valen para nada, típicamente no porque no haya nada hecho, sino porque hay elementos fundamentales sin hacer. Si el valor residual es despreciable, ya está. Esto no quiere decir descuidar la guardia; pero si afrontar el día con cierta confianza. Mientras el valor residual sea más que despreciable, hay una cierta exposición. Es importante entender que un valor residual es sólo un número. Para su correcta interpretación debe venir acompañado de la relación de lo que se debería hacer y no se ha hecho. Los responsables de la toma de decisiones deberán prestar cuidadosa atención a esta relación de tareas pendientes, que se denomina Informe de Insuficiencias. Selección de salvaguardas Las amenazas hay que conjurarlas, por principio y mientras no se justifique lo contrario. Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el impacto como el riesgo, reduciendo bien la degradación del activo (minimizando el daño), bien reduciendo la frecuencia de la amenaza (minimizando sus oportunidades). Toda amenaza debe ser conjurada profesionalmente, lo que quiere decir que hay que: 54

55 1. establecer una política de la Organización al respecto; o sea, unas directrices generales de quién es responsable de cada cosa. 2. establecer una norma; o sea, unos objetivos a satisfacer para poder decir con propiedad que la amenaza ha sido conjurada 3. establecer unos procedimientos; o sea, instrucciones paso a paso de qué hay que hacer 4. desplegar salvaguardas técnicas que efectivamente se enfrenten a las amenazas con capacidad para conjurarlas 5. desplegar controles que permitan saber que todo lo anterior está funcionando según lo previsto A este conjunto de elementos se le encasilla habitualmente bajo el nombre de Sistema de Gestión de la Seguridad de la Información (SGSI), aunque se está gestionando tanto como actuando. El párrafo anterior puede llamar a engaño si el lector interpreta que hay que llevar a cabo todos y cada uno de los puntos para cada amenaza. No. En la práctica lo dicho se traduce en desarrollar una política, unas normas y unos procedimientos junto con el despliegue de una serie de salvaguardas y controles y, ahora sí, verificar que todas y cada una de las amenazas tienen una respuesta adecuada. Para ello existen las políticas de seguridad desarrolladas por la Organización, que ayudan a establecer las salvaguardas adecuadas. Tipos de salvaguardas Un sistema debe considerar prioritariamente las salvaguardas de tipo preventivo que buscan que la amenaza no ocurra o su daño sea despreciable. Es decir, impedir incidentes o ataques. En la práctica, no todo es previsible, ni todo lo previsible es económicamente razonable atajarlo en sus orígenes. Tanto para enfrentar lo desconocido como para protegerse de aquello a lo que se permanece expuesto, es necesario disponer de elementos que detecten el inicio de un incidente y permitan reaccionar con presteza impidiendo que se convierta en un desastre. Tanto las medidas preventivas como las de emergencia admiten una cierta degradación de los activos por lo que habrá que disponer por último de medidas de recuperación que 55

56 devuelvan el valor perdido por los activos. Es de sentido común intentar actuar de forma preventiva para que las cosas no puedan ocurrir o no puedan causar mucho daño; pero no siempre es posible y hay que estar preparados para que ocurran. Lo que no debe ser de ninguna manera es que un ataque pase inadvertido: hay que detectarlo, registrarlo y reaccionar primero con un plan de emergencia (que pare y limite el incidente) y después con un plan de continuidad y recuperación para regresar a donde se debe estar. Hay que recordar que conviene llegar a un cierto equilibrio entre salvaguardas técnicas: en aplicaciones, equipos y comunicaciones salvaguardas físicas: protegiendo el entorno de trabajo de las personas y los equipos medidas de organización: de prevención y gestión de las incidencias política de personal: que, a fin de cuentas, es el eslabón imprescindible y más delicado: política de contratación, formación permanente, Organización de reporte de incidencias, plan de reacción y medidas disciplinarias. Una protección absoluta puede se imposibles por múltiples razones como son el coste, las dificultad técnica, los límites legales, etc. Lo que no es aceptable es del desconocimiento de una posible amenaza. 56

57 ACTIVO AMENAZA frecuencia de materialización IMPACTO VULNERABILIDAD RIESGO reduce decisión reduce curativo FUNCIÓN/SERVICIO MECANISMOS DE SALVAGUARDA preventivo Figura 6. Relación entre los Componentes del Modelo MAGERIT 57

58 Fases de un análisis y gestión de riesgos En el la Realización del análisis y gestión de riesgos se han expuesto de forma conceptual los pasos a seguir en un análisis y gestión de riesgos. Ahora se van a explicar los pasos formales a la hora de presentar dicho análisis 1. Un documento de análisis y gestión de riesgos ha de estar dividido en tres fases: Planificación. Análisis de riesgos. Gestión de riesgos. Muchas veces la gestión de riesgos lleva consigo nuevos análisis de riesgos debidos a las decisiones tomadas y los proyectos de seguridad surgidos. P1: Planificación P2: Análisis de riesgos P3: Gestión de Riesgos Figura 7. Ciclo de vida de un Análisis y Gestión de riesgos 2 Planificación La planificación tiene como objetivo principal el marco general de referencia para todo el proyecto. Como objetivos complementarios se pueden identificar los siguientes: Motivar, concienciar e involucrar a la Dirección o Gerencia de la Organización. 1 Al usarse la metodología Magerit la forma de estructurar un documento de análisis y gestión de riesgos sobre un sistema se expone en Magerit Versión 2. Método Parte 3 (Estructuración del proyecto). Lo que se explica a continuación es un resumen de dicha parte de la documentación oficial que se puede encontrar en el Ministerio de Administraciones Públicas. 2 MAGERIT Versión 2. Método. 3.2 Desarrollo del proyecto. 58

59 Razonar la oportunidad de realizar un proyecto AGR. Afirmar y dar a conocer la voluntad de su realización por parte de la Dirección. Definir los objetivos y el dominio (ámbito) a abarcar en el proyecto. Crear las condiciones humanas y materiales para el buen desarrollo del proyecto. Este proceso se desarrolla por medio de las siguientes actividades y tareas: Actividad A1.1: Estudio de oportunidad Se fundamenta la oportunidad de la realización, ahora, del proyecto AGR, enmarcándolo en el desarrollo de las demás actividades de la Organización. El resultado de esta actividad es el informe denominado preliminar. Tareas: Tarea T1.1.1: Determinar la oportunidad Actividad A1.2: Determinación del alcance del proyecto Se definen los objetivos finales del proyecto, su dominio y sus límites. Se realiza una primera identificación del entorno y de las restricciones generales a considerar. Y por último se estima el coste que va a suponer. El resultado de esta actividad es un perfil de proyecto AGR. Tareas: Tarea T1.2.1: Objetivos y restricciones generales Tarea T1.2.2: Determinación del dominio y límites Tarea T1.2.3: Identificación del entorno Tarea T1.2.4: Estimación de dimensiones y coste Actividad A1.3: Planificación del proyecto Se determina la carga de trabajo que supone la realización del proyecto. Se planifican las entrevistas que se van a realizar para la recogida de información: quiénes van a ser entrevistados. Se elabora el plan de trabajo para la realización del proyecto. 59

60 En esta actividad se determinan los participantes y se estructuran los diferentes grupos y comités para llevar a cabo el proyecto. El resultado de esta actividad está constituido por: un plan de trabajo para el proyecto AGR procedimientos de gestión de la información generada Tareas: Tarea T1.3.1: Evaluar cargas y planificar entrevistas Tarea T1.3.2: Organizar a los participantes Actividad A1.4: Lanzamiento del proyecto Se adaptan los cuestionarios para la recogida de información adaptándolos al proyecto presente. Se eligen las técnicas principales de evaluación de riesgo a utilizar y se asignan los recursos necesarios para el comienzo del proyecto. También se realiza una campaña informativa de sensibilización a los afectados sobre las finalidades y requerimientos de su participación. El resultado de esta actividad está constituido por: los cuestionarios para las entrevistas el plan de entrevistas el catálogo de tipos de activos la relación de dimensiones de seguridad y los criterios de valoración Tareas: Tarea T1.4.1: Adaptar los cuestionarios Tarea T1.4.2: Criterios de evaluación Tarea T1.4.3: Recursos necesarios Tarea T1.4.4: Sensibilización 60

61 Análisis de riesgos Este proceso es el núcleo central de Magerit y su correcta aplicación condiciona la validez y utilidad de todo el proyecto. La identificación y estimación de los activos y de las posibles amenazas que les acechan representa una tarea compleja. Este proceso tiene los siguientes objetivos: Levantar un modelo del valor del sistema, identificando y valorando los activos relevantes. Levantar un mapa de riesgos del sistema, identificando y valorando las amenazas sobre aquellos activos. Levantar un conocimiento de la situación actual de salvaguardas. Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto potencial (sin salvaguardas), como el impacto residual (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto). Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin salvaguardas), como el riesgo residual (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto). Mostrar al comité director las áreas del sistema con mayor impacto y/o riesgo. El punto de partida de este proceso es la documentación del anterior referente a los objetivos del proyecto, los planes de entrevistas, la evaluación de cargas, la composición y reglas de actuación del equipo de participantes, el plan de trabajo y el informe de presentación del proyecto. Este proceso se desarrolla mediante una serie de actividades y tareas. Actividad 2.1: Caracterización de los activos Esta actividad busca identificar los activos relevantes dentro del sistema a analizar, caracterizándolos por el tipo de activo, identificando las relaciones entre los diferentes activos, determinando en qué dimensiones de seguridad son importantes y valorando esta importancia. El resultado de esta actividad es el informe denominado modelo de valor. 61

62 Tareas: Tarea T2.1.1: Identificación de los activos Tarea T2.2.2: Dependencias entre activos Tarea T2.3.3: Valoración de los activos El objetivo de estas tareas es reconocer los activos que componen los procesos, y definir las dependencias entre ellos. Así y a partir de la información recopilada en la actividad anterior, esta actividad profundiza el estudio de los activos con vistas a obtener la información necesaria para realizar las estimaciones de riesgo. Actividad 2.2: Caracterización de las amenazas Esta actividad busca identificar las amenazas relevantes sobre el sistema a analizar, caracterizándolas por la frecuencia estimada de ocurrencia y la estimación de daño (degradación) que causarían sobre los activos. El resultado de esta actividad es el informe denominado mapa de riesgos. Tareas: Tarea T2.2.1: Identificación de las amenazas Tarea T2.2.2: Valoración de las amenazas Actividad 2.3: Caracterización de las salvaguardas Esta actividad busca identificar las salvaguardas desplegadas en el sistema a analizar, calificándolas por su eficacia frente a las amenazas que pretenden mitigar. El resultado de esta actividad es el informe denominado evaluación de salvaguardas. Tareas: Tarea T2.3.1: Identificación de las salvaguardas existentes Tarea T2.3.2: Valoración de las salvaguardas existentes Actividad 2.4: Estimación del estado de riesgo Esta actividad procesa todos los datos recopilados en las actividades anteriores para realizar un informe del estado de riesgo: estimación de impacto y riesgo 62

63 realizar un informe de insuficiencias: deficiencias o debilidades en el sistema de salvaguardas Tareas: Tarea T2.4.1: Estimación del impacto Tarea T2.4.2: Estimación del riesgo Tarea T2.4.3: Interpretación de los resultados Documentación final De esta fase se obtienen una serie de documentos que sirven para valorar el análisis realizado. Dichos documentos son: Modelo de valor. Informe que detalla los activos, sus dependencias, las dimensiones en las que son valiosos y la estimación de su valor en cada dimensión. Mapa de riesgos. Informe que detalla las amenazas significativas sobre cada activo, caracterizándolas por su frecuencia de ocurrencia y por la degradación que causaría su materialización sobre el activo. Evaluación de salvaguardas. Informe que detalla las salvaguardas existentes calificándolas en su eficacia para reducir el riesgo que afrontan. Estado de riesgo. Informe que detalla para cada activo el impacto y el riesgo residuales frente a cada amenaza. Informe de insuficiencias. Informe que detalla las salvaguardas necesarias pero ausentes o insuficientemente eficaces. Gestión de riesgos Se procesan los impactos y riesgos identificados en el proceso anterior, bien asumiéndolos, bien afrontándolos. Para afrontar los riesgos que se consideren inaceptables se llevará a cabo un plan de seguridad que corrija la situación actual. Un plan de seguridad se materializa en una colección de programas de seguridad. Algunos programas serán sencillos, mientras que otros alcanzarán suficiente nivel de complejidad y coste como para que su ejecución se convierta en un proyecto propiamente dicho. La serie de programas (y, en su caso, proyectos) se planifica en el tiempo por medio del denominado Plan de Seguridad que ordena y organiza las 63

64 actuaciones encaminadas a llevar el estado de riesgo a un punto aceptable y aceptado por la Dirección. En la gestión de riesgos se toman una serie de decisiones entre las que destacan: Elegir una estrategia para mitigar el impacto y el riesgo. Determinar las salvaguardas oportunas para la decisión anterior. Determinar la calidad necesaria para dichas salvaguardas. Diseñar un plan de seguridad para llevar el impacto y el riesgo a niveles aceptables. Llevar a cabo el plan de seguridad. Este proceso se desarrolla por medio de las siguientes actividades y tareas: Actividad A3.1: Toma de decisiones En esta actividad se traducen las conclusiones técnicas del proceso P2 en decisiones de actuación. Tareas: Tarea T3.1.1: Calificación de los riesgos Actividad A3.2: Plan de seguridad En esta actividad se traducen las decisiones de actuación en acciones concretas: proyectos de mejora de la seguridad planificados en el tiempo. Tareas: Tarea T3.2.1: Programas de seguridad Tarea T3.2.2: Plan de ejecución Actividad A3.3: Ejecución del plan Esta actividad recoge la serie de proyectos que materializan el plan de seguridad y que se van realizando según dicho plan. Tareas: Tarea T3.3.*: Ejecución de cada programa de seguridad 64

65 Documentación final La documentación final será el Plan de Seguridad proyectado en base al análisis de riesgos realizado así como los informes descritos en Magerit. En relación a la Gestión de Seguridad la Dirección de la Organización tiene mucho que decir y ha de aprobar todos los proyectos de seguridad planteados en el plan de seguridad. 65

66 Proceso P1: Planificación Actividad A1.1: Estudio de oportunidad Tarea T1.1.1: Determinar la oportunidad Actividad A1.2: Determinación del alcance del proyecto Tarea T1.2.1: Objetivos y restricciones generales Tarea T1.2.2: Determinación del dominio y límites Tarea T1.2.3: Identificación del entorno Tarea T1.2.4: Estimación de dimensiones y coste Actividad A1.3: Planificación del proyecto Tarea T1.3.1: Evaluar cargas y planificar entrevistas Tarea T1.3.2: Organizar a los participantes Tarea T1.3.3: Planificar el trabajo Actividad A1.4: Lanzamiento del proyecto Tarea T1.4.1: Adaptar los cuestionarios Tarea T1.4.2: Criterios de evaluación Tarea T1.4.3: Recursos necesarios Tarea T1.4.4: Sensibilización Proceso P2: Análisis de riesgos Actividad A2.1: Caracterización de los activos Tarea T2.1.1: Identificación de los activos Tarea T2.1.2: Dependencias entre activos Tarea T2.1.3: Valoración de los activos Actividad A2.2: Caracterización de las amenazas Tarea T2.2.1: Identificación de las amenazas Tarea T2.2.2: Valoración de las amenazas Actividad A2.3: Caracterización de las salvaguardas Tarea T2.3.1: Identificación de las salvaguardas existentes Tarea T2.3.2: Valoración de las salvaguardas existentes Actividad A2.4: Estimación del estado de riesgo Tarea T2.4.1: Estimación del impacto Tarea T2.4.2: Estimación del riesgo Tarea T2.4.3: Interpretación de los resultados Proceso P3: Gestión de riesgos Actividad A3.1: Toma de decisiones Tarea A3.1.1: Calificación de los riesgos Actividad A3.2: Plan de seguridad Tarea T3.2.1: Programas de seguridad Tarea T3.2.2: Plan de ejecución Actividad A3.3: Ejecución del plan Tarea T3.3.*: Ejecución de cada programa de seguridad Figura 8. Ciclo de vida detallado de un Análisis y Gestión de riesgos 66

67 67 EAR

68 Introducción EAR 1 es una herramienta informática que soporta el análisis y gestión de riesgos de un sistema de información siguiendo la metodología Magerit. Esta herramienta está basada en otra herramienta denominada PILAR 2 [MAGE05]. La diferencia entre EAR y PILAR es el público al que va destinado. Mientras que PILAR es de uso exclusivo del Estado y las Instituciones pertenecientes al mismo; EAR está destinada a empresas privadas y a todo aquel que desee adquirir la licencia de la misma. PILAR PILAR es una herramienta desarrollada bajo la especificación del CNI 3 para soportar el análisis de riesgos de los sistemas de información siguiendo la metodología Magerit. En el desarrollo de la herramienta se ha contado con la colaboración del CCN 4, estableciendo requisitos, y la Fábrica Nacional de Moneda y Timbre. Especificaciones Tanto PILAR como EAR están desarrolladas en Java, pudiéndose emplear sobre cualquier plataforma que soporte este entorno de programación, sin depender de licencias de productos de terceras partes. El resultado es una aplicación gráfica monopuesto 5 [MAGE05]. La herramienta soporta todas las fases del método Magerit: Caracterización de los activos: identificación, clasificación, dependencias y valoración 1 Entorno de Análisis de Riesgos 2 Procedimiento Informático-Lógico para el Análisis de Riesgos 3 Centro Nacional de Inteligencia 4 Centro Criptológico Nacional 5 La aplicación se ha de instalar en un equipo de trabajo, siendo éste el único equipo desde el que se puede acceder y trabajar con ella. 68

69 Caracterización de las amenazas Evaluación de las salvaguardas La herramienta incorpora los catálogos del "Catálogo de Elementos" de Magerit, permitiendo una homogeneidad en los resultados del análisis: tipos de activos dimensiones de valoración criterios de valoración catálogo de amenazas Para incorporar este catálogo, EAR (así como PILAR) diferencia entre el motor de cálculo de riesgos y la biblioteca de elementos, que puede ser reemplazada para seguir el paso de la evolución en el tiempo de los catálogos de elementos. La herramienta evalúa el impacto y el riesgo, acumulado y repercutido, potencial y residual, presentándolo de forma que permita el análisis de por qué se da cierto impacto o cierto riesgo. Las salvaguardas se califican por fases, permitiendo la incorporación a un mismo modelo de diferentes situaciones temporales. Típicamente se puede incorporar el resultado de los diferentes programas de seguridad a lo largo de la ejecución del plan de seguridad, monitorizando la mejora del sistema. Los resultados se presentan en varios formatos: informes RTF, gráficas y tablas para incorporar a hojas de cálculo. De esta forma es posible elaborar diferentes tipos de informes y presentaciones de los resultados. Por último, la herramienta calcula calificaciones de seguridad siguiendo los epígrafes de normas de iure o de facto de uso habitual. Cabe citarse: Criterios de Seguridad, normalización y conservación UNE-ISO/IEC 17799:2005: sistemas de gestión de la seguridad RD 994/1999: datos de carácter personal Por último hay que destacar que EAR y PILAR incorporan tanto los modelos cualitativos como cuantitativos, pudiendo alternarse entre uno y otro para extraer el 69

70 máximo beneficio de las posibilidades teóricas de cada uno de ellos. La versión de EAR que se va a usar para realizar el AGR es EAR 3.0 BETA. Análisis cualitativo La herramienta permite un análisis cualitativo, de trazo grueso, utilizando escalas simples para valorar activos, amenazas y salvaguardas [MAÑA06]. Un análisis cualitativo se recomienda como primer paso, antes de entrar en un análisis detallado. Dicho análisis permite: Identificar los activos relevantes. Identificar las amenazas relevantes. Identificar las salvaguardas inexistentes. Determinar los activos críticos (sujetos a máximo riesgo). En el caso práctico analizado se emplea este análisis. Análisis cuantitativo La herramienta permite un análisis cuantitativo, el cual permite [MAÑA06]: Detallar el valor económico de los daños causados por las amenazas sobre los activos. Precisar la tasa esperada de ocurrencia (frecuencia). Precisar el grado de eficacia de las salvaguardas, sus coste de implantación y de mantenimiento anual. Precisar la justificación de un gasto en seguridad como diferencia entre lo que cuesta protegerse (más) y lo que se arriesga perder. 70

71 Figura 3. Metodología MAGERIT Presentación del AGR en EAR Todas las funciones de EAR están explicadas mediante la ayuda contenida en la herramienta, la cual se presenta en formato HTML. Así mismo las funciones contempladas en EAR abarcan toda la metodología Magerit, siguiendo el proceso descrito en la metodología. La presentación que EAR muestra al usuario se basa en la forma en que Magerit divide cada una de las etapas. Las partes principales de la herramienta son: D: Proyecto A: Análisis de Riesgos G: Gestión de Riesgos I: Informes E: Calificaciones d Seguridad 71

72 Figura 9. EAR. Pantalla principal. La relación entre EAR y Magerit es completa. Una de las razones por las que se ha empleado Magerit como metodología AGR ha sido la existencia de EAR como herramienta informática que facilita el proceso AGR y la consecución de todos los hitos marcados. Gracias a EAR el AGR es mucho más sencillo, dinámico y flexible; pudiendo en todo momento volver a revisar un paso anterior sin tener que dar marcha atrás, hacer el AGR de forma vertical y no horizontal (analizar una parte de los activos con sus amenazas de forma independiente del resto de activos y posteriormente volver atrás para analizar el resto de activos), ver los resultados de forma gráfica o mediante indicadores 6, etc. 6 En la ayuda contenida en la aplicación se pueden ver los distintos indicadores y su significado. La ayuda permite ver esto y actúa de forma dinámica mediante páginas HTML que se cargan dependiendo de donde se pida la ayuda y lo que se quiera ver. 72

73 Figura 10. EAR. Etapas de Magerit. La parte referente a proyecto puede ser todo lo relacionado con el proceso de planificación, mientras que los dos siguientes procesos están definidos en la herramienta con el mismo nombre que en Magerit (A, G). En los datos del proyecto se puede poner todo aquello referente a la gestión del proyecto que se creo conveniente. Así por ejemplo se puede poner el nombre del proyecto, la propietaria del mismo y/o del sistema de información analizado, la persona que lo lleva a cabo, la versión en la que se encuentra, la fecha o cualquier otro tipo de información. El subconjunto de dimensiones a analizar se define (selecciona) en el apartado D (Proyecto). Hay que recordar que Magerit define siete dimensiones diferentes, las cuales se pueden tener en cuenta en el análisis o no. 73

74 Figura 11. EAR. Informes contemplados y calificaciones evaluadas: Uno de los objetivos de Magerit es dar uniformidad a los informes presentados en un AGR. EAR contempla esto, soportando la creación de todos los informes descritos en Magerit. Los informes se obtienen desde el apartado llamado con el mismo nombre (I). EAR soporta realizar el AGR frente a tres normas de calidad: ISO/IEC 17799:2005 Criterios de seguridad, normalización y conservación Reglamento de medidas de seguridad En el apartado criterios de valoración se puede ver en que medida se cumplen cada una de las normas y donde hay que mejorar el sistema. 74

75 75 imat

76 imat Desarrollo y funcionamiento La matriculación en una universidad es uno de los procesos más importantes por ser la forma en que las universidades obtienen a sus clientes (alumnos). Por ello el sistema de matriculación ha de ser rápido, dinámico y efectivo, sin obligar al alumno a hacer grandes esfuerzos a la hora de matricularse. En la Universidad Pontificia de Comillas los alumnos de primer y segundo ciclo realizan su matriculación a través de la Web. Este sistema además de ser efectivo es una muestra de la modernidad y dinamismo que la universidad pretende mostrar, características que se encuentran dentro de la misión de la organización y, por lo tanto, es importante lograr su conservación de forma efectiva. Actualmente la Universidad Pontificia de Comillas posee alumnos, de los cuales 7500 son alumnos de primer y segundo ciclo, de los cuales, aproximadamente, 7000 realizan la matriculación por Internet. Por ello este sistema de información ha de funcionar correctamente y asegurar su disponibilidad, confidencialidad e integridad en todo momento. Desarrollo y funcionamiento imat, Sistema de Matriculación de la Universidad Pontificia de Comillas, es un sistema basado en una estructura de 3 capas: acceso a datos, lógica de negocio y presentación claramente diferenciadas. La interfaz con el usuario se realiza mediante páginas Web desarrolladas en ASP, la lógica de negocios se encuentra encapsulada en unos componentes en COM+ 1 desarrollados con Visual Basic (VB) mientras que el acceso a datos se realiza con otros componentes en COM+ que actúan contra una base de datos SQL Server Por consiguiente, los componentes que acceden a los datos y que tienen la lógica de negocio están en desarrollados VB 6.0, funcionando en COM+ de tal forma que únicamente un usuario de dominio específico tiene acceso a los datos. Los 3 1 COM+ es un servidor de componentes de transacciones distribuidas, a grandes rasgos te permite controlar que las transacciones funcionen (no se quede a medias una matrícula), optimiza los hilos de ejecución y permite configurar en el mismo servidor cual es el usuario que, por ejemplo, levanta los componentes. Algo que se suele utilizar para declarar en ese sitio cual es el usuario de NT que levanta el componente y que es el que utilizará posteriormente los componentes de acceso a datos para hacer las conexiones a la BD. 76

77 imat Desarrollo y funcionamiento servidores Web IIS 6.0 que mantienen la Web de Comillas están balanceados por hardware de tal forma que en función de la carga de uno u otro se le redirige al usuario al que menos lo este. La aplicación, imat, solo está instalada en los servidores Web de la Universidad. Cuando un usuario se conecta a la universidad, bien sea para realizar la matrícula, conectarse al portal de recursos, SIFO, o navegar por la Web; el sistema de la universidad almacena la dirección IP del usuario y su información (claves, contraseñas, etc.), teniendo de esta forma control de lo que se hace en el sistema y quien lo hace. Esta información es almacenada en un log. La conexión a Internet es suministrada mediante dos fibras ópticas gestionadas por las RedIRIS (como sucede en todas las universidades). Sin embargo, no se dispone de un proveedor de servicios secundario. Por lo tanto existe un riesgo latente en el caso de que la RedIRIS falle; hay una dependencia total en relación a este servicio. De todos modos, hay que tener en cuenta que sin Internet la red interna sí que funcionaría correctamente, siendo Internet lo que dejaría de funcionar. Arquitectura en tres capas La arquitectura de una aplicación es la vista conceptual de la estructura de esta. La arquitectura en capas tiene como objetivo principal la separación de la lógica de negocios con la lógica de diseño; un ejemplo básico de esto es separar la capa de datos de la capa de presentación al usuario. La ventaja de separar en capas es que el desarrollo del sistema se puede llevar a cabo en varios niveles y al realiza cambios en el sistema sólo se ha de atacar el nivel requerido. Al mismo tiempo, permite distribuir el trabajo de creación de una aplicación por niveles, de este modo, cada grupo de trabajo está totalmente abstraído del resto de niveles, simplemente es necesario conocer la relación que existe entre niveles. En el diseño de sistemas informáticos, como es el caso de imat, se suelen usar las arquitecturas multinivel o programación por capas. En dichas arquitecturas a cada nivel se le confía una misión simple, lo que permite el diseño de arquitecturas escalables (que pueden ampliarse con facilidad en caso de que las necesidades aumenten).el diseño más en boga actualmente es el diseño en tres niveles (o en tres capas). Este es el diseño implantado en imat. 77

78 imat Desarrollo y funcionamiento Las capas que existen en imat (y en todo sistema estructurado en tres capas) son: 1. Capa de presentación 2. Capa de negocio. 3. Capa de Datos. La capa de presentación es la capa mostrada al usuario. Presenta el sistema al usuario, le comunica la información, obteniendo también información del mismo. Para ello se ha realizar un mínimo de proceso (realizando un filtrado previo para comprobar que no hay errores de formato). Esta capa se comunica únicamente con la capa de negocio. En el caso de imat la presentación se realiza mediante páginas Web desarrolladas en ASP que se encuentran almacenadas en el servidor de ficheros y son mostradas a los usuarios desde los servidores Web. Como se ha comentado anteriormente, antes de comunicarse con la capa de negocio, imat realiza un filtrado para comprobar que no hay errores de formato (como por ejemplo un DNI no válido, un teléfono incorrecto, etc.). La capa de negocio o lógica de negocio es donde residen los programas que se ejecutan, recibiendo las peticiones del usuario y enviando las respuestas tras el proceso. Se denomina capa de negocio debido a que es aquí donde se establecen todas las reglas que deben cumplirse. Esta capa se comunica con la capa de presentación, para recibir las solicitudes y presentar los resultados, y con la capa de datos, para solicitar al gestor de base de datos el almacenamiento o recuperación de datos de él. En imat la lógica de negocio se encuentra encapsulada en componentes COM+ desarrollados en VB 6.0 2, que se encuentran en el servidor de ficheros, siendo donde se ejecutan para enviar la información a la capa de presentación. La capa de datos es la capa donde residen los datos. Está formada por uno o más gestores de bases de datos que realizan todo el almacenamiento de datos, reciben solicitudes de almacenamiento o recuperación de información desde la capa de negocio. En UPCO 3, el gestor de bases de datos es SQL Server 2000, habiendo una única base de datos donde reside toda la información académica de la universidad y a la que acceden todas aquellas aplicaciones que necesiten usar dicha información, incluyendo a imat. 2 Visual Basic UPCO, Universidad Pontificia de Comillas. 78

79 imat Desarrollo y funcionamiento Todas estas capas pueden residir en un único ordenador, si bien lo más usual es que haya una multitud de ordenadores donde reside la capa de presentación (clientes en una arquitectura cliente/servidor). Las capas de negocio y de datos pueden residir en el mismo ordenador, y si el crecimiento de las necesidades lo aconseja se pueden separar en dos o mas ordenadores. Así, si el tamaño o complejidad de la base de datos aumenta, se puede separar en varios ordenadores los cuales recibirán las peticiones del ordenador en que resida la capa de negocio. Figura 12. Arquitectura en tres capas Si fuese la complejidad en la capa de negocio lo que obligase a la separación, esta capa de negocio podría residir en uno o más ordenadores que realizarían solicitudes a una única base de datos. En el caso de imat la capa de presentación se encuentra en los tres servidores Web IIS 6.0, la capa de negocio en el servidor de ficheros y la de datos en el servidor de datos (donde reside la base de datos); existiendo un servidor de balanceo para gestionar las conexiones con los clientes. Todo lo relativo a los servidores se encuentra explicado más adelante. En una arquitectura de tres niveles, los términos capas y niveles no significan lo mismo ni son similares. El término capa hace referencia a la forma como una solución es segmentada desde el punto de vista lógico (Presentación/ Lógica de Negocio/ Datos). 79

80 imat Desarrollo y funcionamiento En cambio, el término nivel, corresponde a la forma en que las capas lógicas se encuentran distribuidas de forma física. Figura 13. Arquitectura en tres capas detallada 4 En el caso de imat la estructura del sistema es de tres capas y tres niveles. Figura 14. Esquema en tres capas de UPCO UPCO, Universidad Pontificia de Comillas 80

81 imat Desarrollo y funcionamiento Funcionamiento El sistema de Matriculación funciona, básicamente, del siguiente modo: en función del alumno validado con su clave y contraseña se estudia su expediente y las normas que establecen al respecto cada facultad o escuela, una vez comparado su expediente contra estas normas al alumno se le categoriza de tal forma que lleva implícita la oferta de asignaturas de la que puede matricularse. Una vez presentada la oferta de asignaturas, el alumno podrá seleccionar de entre ellas las que considere y se le comprueba que está dentro de los intervalos de créditos establecidos. Si lo vemos desde el punto de vista del hardware, el alumno se valida y es aceptado por el servidor de balanceo, una vez comprobada la validación comparando la información con la base de datos. Al ser aceptado el servidor de balanceo le reenvía al servidor Web que considera mejor en ese momento. Una vez en el servidor Web el alumno solicita la información que desea, si esa información es de la universidad se busca en el servidor de ficheros y se devuelve al usuario (que está en un servidor Web); si la información no es de la universidad, se busca en Internet (protegido por el firewall) y se muestra al alumno pasando por el servidor de balanceo y Web. En el caso de imat las páginas ASP se buscan en el servidor de ficheros y la información en la base de datos (servidor de datos). imat tiene su grado máximo de utilización en los meses de septiembre y octubre, cuando se realizan más matrículas. En estos meses pueden llegar a alcanzarse hasta 1000 accesos en un mismo día. Existe una demanda potencial al año de 7500 alumnos que pueden usar dicha aplicación, siendo usada por aproximadamente 7000 de ellos. Comillas posee alumnos de los cuales 7500 son de primer y segundo ciclos, que son los clientes potenciales de imat. El resto pertenecen a doctorados o postgrados. 81

82 imat Servidores Servidores imat se ayuda de tres servidores balanceados para desempeñar sus funciones. Los tres servidores Web IIS 6.0 que mantienen la Web de Comillas están balanceados por hardware (mediante un servidor de balanceo) de tal forma que en función de la carga de uno u otro se redirige al usuario al servidor que menos cargado se encuentre. Dichos servidores no se usan en exclusiva para imat sino para la Web en general, y en consecuencia para imat entre otras muchas aplicaciones. Cada servidor Web es capaz de soportar conexiones. La información se encuentra en el servidor de Base de Datos de Producción, en un único sitio y en consecuencia a esa base de datos acceden otras aplicaciones, como por ejemplo la aplicación de gestión académica (utilizada en Secretaria General) que accede a la misma información. Por este motivo no es necesario para la secretaria general saber la clave de los alumnos para acceder a los datos de los mismos. Para acceder a la información de los alumnos se ayudan de buscadores capaces de acceder a los datos mediante el nombre, DNI, apellidos,... carreras,... etc. Una vez seleccionado al alumno, acceden a toda su información académica, incluyendo su matrícula. Agrupando los servidores se puede decir que hay: - Un servidor de balanceo, para distribuir la carga de trabajo entre los servidores de presentación. - Tres servidores de presentación (Web), para presentar la información solicitada por los usuarios en páginas ASP. - Un servidor de datos, para gestionar la información manejada por el sistema. - Un servidor de ficheros, donde se encuentran algunas aplicaciones instaladas y que se comunica con los servidores de Web para dar información que se presentará más tarde. En este servidor es donde se encuentra, entre otras aplicaciones, imat instalada y funcionando. Las páginas Web que se cargan en los servidores de presentación se encuentran almacenadas en el servidor de ficheros. Este servidor es el que lleva la lógica de negocio. 82

83 imat Servidores Seguridad y localización Los servidores se encuentran en la sede de Alberto Aguilera 23, 3ª planta, en una habitación especial con acceso autorizado exclusivamente por tarjeta. La tarjeta de acceso solamente la posee el personal autorizado. Dicha habitación cuenta con un sistema antiincendios; está protegida mediante alarma y se mantiene a una temperatura especial. El tamaño de dicha habitación es de aproximadamente 12 m 2. El servidor de datos y el de componentes se sitúan detrás de un firewall, así como el acceso a los datos se hace a través del usuario que levanta, que esta configurado en COM+ para evitar información incoherente en caso de que el usuario se caiga del sistema. Por este motivo únicamente un usuario de dominio específico 1 tiene acceso a los datos. El modelo de tres capas deja ver que el servidor que gestiona la carga de trabajo y balancea el resto de servidores es un elemento crítico en el sistema. A su vez el servidor de datos no posee un soporte de seguridad inmediato. En relación a la información almacenada en el servidor de datos se realiza una copia de seguridad cada 5 minutos a otro servidor localizado en Alberto Aguilera 25 (AA25). A su vez cada hora se realiza un Back-up de seguridad. En caso de error en el servidor de datos, el servidor de datos secundario situado en AA25 no se suele utilizar por tener que iniciarse el cambio de servidor de forma manual. Se considera menos costoso perder unas horas en arreglar el principal y volver a ponerlo en funcionamiento que cambiar de servidor. Si se diese el caso lo máximo que se puede perder son 5 minutos de información, ya que es el periodo transcurrido entre cada volcado al servidor secundario. Como ya se ha comentado, cada servidor Web pueden tener hasta conexiones a la vez. En total se pueden servir a conexiones en el mismo instante. Esa es la frontera que posee el sistema de Comillas (no imat). Esta barrera está considerada como inalcanzable. Sin embargo en el caso teórico que se alcanzase no hay ningún procedimiento, mecanismo, etc. que corte las conexiones entrantes. 1 Por usuario de dominio específico se entiende que sólo puede haber un usuario con la misma clave conectado al sistema a la vez. La clave de una alumno es lo que vulgarmente se entiende como usuario; en el caso de la universidad esa clave es el número de alumno. 83

84 imat Servidores Especificaciones de los equipos: Caja fuerte. LAMPERTZ DIS-DATASAFE S, modelo S120DIS Servidor de base de datos. Dell PowerEdge Doble procesador Xeon. Doble fuente alimentación. 2GB RAM. Discos sistema RAID1. Discos de datos RAID 1+0. Conexiones Gbit. Servidores Web. Dell Optiblex GX280. Pentium 4 HT. 2GB RAM. Conexiones Gbit. Firewall. Dell Poweredge Pentium4 HT, 1GB RAM. Conexiones Gbit. Servidor paginas Web. (Servidor de ficheros). Dell Powervault 770F. Doble procesador Xeon. Doble fuente alimentación. 2GB RAM. Discos sistema RAID1 Discos de datos RAID5 Conexiones Gbit. 84

85 imat Servidores Balanceador de carga. Alteon AD3. 8 puerto 10/ puerto 1000 SX (Fibra) Servidor replicación base de datos. Inves Pentium 4 HT. 2 GB RAM. Disco sistema. Disco datos 85

86 imat Datos/Información Datos / Información Como se ha explicado anteriormente, la información académica que se maneja es la misma para todas las aplicaciones de la universidad, obteniendo la información del mismo servidor de datos. El servicio responsable de la gestión y mantenimiento de los datos es el servicio de Gestión Académica (Secretaria General). Dicho servicio tiene acceso a toda la información. Por lo tanto el sistema de matriculación (imat) no es el responsable de mantener la información, simplemente se encarga de obtener la necesaria para cada usuario y gestiona las partes implicadas en la matriculación. A la hora de hacer la matrícula, cada alumno ha de realizar la suya propia, pudiendo llegar a modificarla, sin intervención del servicio de Gestión Académica, en tres ocasiones. Si necesita o quiere modificarlo más veces debe solicitarlo en Gestión Académica que le concederá o negará el permiso. Para poder conceder o denegar el permiso es necesario logarse con un usuario de SG que tenga acceso a dicho privilegio (no todos los usuarios de SG tienen este permiso). Lógicamente los usuarios con permiso para modificar la información de los alumnos pueden modificar y acceder a la información de las matrículas (o a cualquier otra información) las veces que quieran. Es importante saber distinguir entre el servicio de Gestión Académica y el Servicio de Matriculación. Ambos están estrechamente relacionados, pero cada uno tiene un campo de acción definido con respecto a los datos (información). El sistema de matriculación, imat, lo único (aunque muy importante) que hace es cargar información sobre as matrículas de los alumnos y gestionar éstas, pero otra cosa es la gestión o visualización que se haga de los datos desde otros sistemas (con otros usuarios). En el momento en que el usuario que accede a la matrícula (de forma legal y admitida por el sistema) no es el alumno al que pertenece, es porque el acceso se hace con un usuario, del servicio de Gestión Académica normalmente, siendo este sistema el que está usando los datos (no imat). imat se encarga del proceso de matriculación del alumno, pero en ningún momento de los datos del mismo. Los únicos datos modificados por imat son los relativos a la matrícula del alumno que ha accedido al sistema de matriculación. Ya se ha especificado anteriormente que la autenticación se realiza mediante usuario (número de alumno) y contraseña. A su vez, mediante componentes COM+, se verifica que cada usuario sólo pueda tener levantada una sesión al mismo tiempo. Estos componentes COM+ se encuentran situados en la capa de negocio. 86

87 imat Datos/Información Para acortar el alcance del sistema a analizar se va a tener en cuenta el acceso hecho por los alumnos y los becarios. En relación a SG, sólo se va a tener en cuenta lo relacionado con la matriculación (permisos de modificación). 87

88 imat Seguridad de la Información Seguridad de la información Con relación a la seguridad de la información se realiza un backup diario del servidor de Base de Datos, donde se encuentra dicha información. Este Backup se hace en cintas. Para el último mes (es más reciente) se guardan las cintas de todos los días. El resto de los meses poseen un Backup mensual. Para mayor seguridad también se realiza un Backup trimestral y anual. En resumen: Realización de un Backup diario en cintas. Almacenamiento diario de los backups del último mes. Almacenamiento de la información del resto de los meses (en tres cintas). Almacenamiento de la información trimestral (en cuatro cintas). Almacenamiento de la información anual (en tres cintas). Estos backups, realizados en cintas, se guardan en una caja de seguridad especial, antimagnética y antiincendios. La llave de seguridad de dicha caja sólo a posee el personal autorizado. El servidor de datos cuenta con un servidor de back-up situado en Alberto Aguilera 25. Cada cinco minutos se realiza una copia entera del servidor al servidor de back-up para, en caso de error en el servidor de datos, no perder la información. Como mucho se pueden perder cinco minutos. imat está programado en VB 6.0 y se almacenan copias de seguridad de versiones anteriores mediante Microsoft Visual Sourcesafe. Este programa permite volver e versiones anteriores de programa o código en caso de fallo en la versión actual. Se han hecho algunas pruebas para comprobar que esta regresión es posible aunque en momentos excepcionales, sin llegar a establecer un método formal para pruebas de regresión. En lo referente al acceso a imat, la conexión se realiza mediante HTTPS, iniciándose con un proceso de validación en el que se pide el usuario y su contraseña. La información se envía a los servidores de forma cifrada y mediante componentes COM+ para garantizar su integridad. Si la conexión se realiza dentro desde un ordenador de la universidad, no se sale de la Intranet de la organización (conexión más rápida y segura). Si por el contrario se realiza 88

89 imat Seguridad de la Información desde otra localización, la conexión usa Internet para enviar los datos. Para garantizar la disponibilidad de la información y que se pueda siempre realizar esta conexión, la universidad dispone de una conexión de fibra óptica suministrada por la RedIRIS. Esta conexión posee una conexión de back-up que actúa de modo redundante por si falla la otra conexión. En caso de que la universidad se quedase sin conexión a Internet, los alumnos que lo sufrirían serían únicamente los que se quisiesen matricular desde casa. Si se quiere matricular desde la universidad sería posible por estar usando sólo la Intranet. Por ello es importante saber que el número de alumnos que realizan su matrícula en lugares diferentes a la universidad está aumentando año a año por la comodidad que supone, por lo que garantizar Internet es algo fundamental hoy en día. 89

90 imat Aplicaciones asociadas a imat Aplicaciones asociadas a imat Además de lo que se ha definido como imat, existen aplicaciones que también influyen en el servicio de matriculación de la universidad y ayudan a un mejor funcionamiento del mismo. imatbecarios es una aplicación usada por el personal de apoyo durante el periodo de matrículas (alumnos que son contratados con éste propósito). Dicha aplicación permite imprimir las matrículas de los alumnos y agilizar el proceso de presentación en Secretaría General (SG). Durante el periodo de matriculación existe otra aplicación usada únicamente por personal autorizado (directores de departamento, decanos,...) que les da la posibilidad de consultar en tiempo real el grado de ocupación de los grupos de las asignaturas de libre elección, para saber si tienen que abrir más grupos o no van a cubrir los esperados. Por último aunque existe una aplicación que permite a los jefes de estudio simular la matricula de alumnos ficticios con casuísticas diferentes para saber si están todos los casos de estudios estudiados. Por ejemplo: alumnos que no superan los créditos exigidos para pasar de curso, alumnos que cogen más créditos de los permitidos, etc. El alcance del análisis y gestión de riesgos abarcará imat, imat becarios y los datos manejados por el resto de aplicaciones asociadas. En ningún caso abarcará los centros de trabajo del personal de la universidad (despachos de directores, salas de ordenadores de la universidad, etc.). Los únicos ordenadores a tener en cuenta serán los usados por los becarios. Interfaz de imat con el usuario Para la realización de las matrículas los alumnos interactúan con imat a través de páginas ASP (capa de presentación). Para que la conexión sea segura y no se quede información incompleta, dichas páginas están encapsuladas en componentes COM+ que evitan información corrupta o incompleta. Los pasos seguidos por el alumno a la hora de realizar la matrícula comienzan mediante una validación (clave-contraseña) que se envía al servidor encapsulada y cifrada para evitar su pérdida o posibles escuchas. 90

91 imat Interfaz con el usuario Figura 15. imat, Validación. Una vez se ha comprobado la autenticidad y validez del usuario (alumno) se comprueba la carrera que está haciendo para mostrar en pantalla una respuesta positiva a la validación. Figura 16. imat, Validación aceptada. 91

92 imat Interfaz con el usuario Se comprueban los datos que se han de cargar para la matriculación del alumno (asignaturas de próximo curso, asignaturas pendientes, itinerarios, etc.), así como las reglas y restricciones existentes (máximo número de créditos permitidos, selección de un solo itinerario, restricción de asignaturas por no haber cursado algunas previas, etc.). Todas estas restricciones se le muestran al alumno para facilitarle la matriculación. Figura 17. imat, información del plan de estudios de la carrera. Figura 18.iMat, información para el alumno en relación a las restricciones. 92

93 imat Interfaz con el usuario El siguiente paso es el núcleo central para el alumno: la selección de las asignaturas. Una vez el alumno ha decidido las asignaturas y pulsado el botón para pasar a la siguiente fase, imat ha de comprobar que todas las reglas se cumplen. Figura 19. imat, Selección de asignaturas por parte del alumno. Figura 20. imat, Presentación por parte de imat de las asignaturas seleccionadas. 93

94 imat Interfaz con el usuario A continuación se le piden al alumno unos datos para completar la matrícula. Hay que recordar que hasta la última pantalla, donde se dice claramente que la matrícula ha sido aceptada, no termina el proceso de matriculación y, por consiguiente, la matrícula no es válida hasta ese momento. Figura 21. imat, solicitud de información adicional. 94

95 imat Interfaz con el usuario Figura 22. imat, Presentación final de la matrícula. Figura 23. imat, matrícula aceptada. 95

96 imat Posibles daños en el sistema Posibles riesgos imat es considerado un subsistema seguro dentro del sistema de información de la universidad. Los riesgos descritos a continuación son los considerados por el personal de STIC, encargado de gestionar y administrar imat, antes de realizar el AGR sobre el sistema. Aunque lograr que imat no funcionase correctamente sería tremendamente difícil, podría darse el caso que no todos los posibles escenarios estuviesen cubiertos o tenidos en consideración. Ese es el objetivo del análisis y gestión de riesgos, lograr que el sistema sea todo lo seguro que la organización esté dispuesta a asumir (en relación a los costes que esto supondría). A ser un ejemplo teórico se va a considerar que se busca la lograr que el sistema sea lo más seguro posible, en términos teóricos. Un posible mal funcionamiento del sistema provocaría que los alumnos no pudiesen matricularse, con el descontento que esto provocaría. Ese descontento se traduciría en pérdida de clientes y beneficios para la universidad y, lo que es más importante a largo plazo, una pérdida de imagen enorme. Algunos errores tipo de errores podrían darse a la hora de calcular el precio de la matrícula o al presentar la oferta de asignaturas, si esto no fuese correcto podrían darse casos de matrículas incorrectas e inválidas que el sistema aceptaría, el alumno realizaría pero la universidad rechazaría. Los fallos que se consideran en STIC que pueden llegar a darse son los que tienen que ver con la presentación de las páginas presentadas. Puede que algún campo no esté controlado, que no se hayan capado los valores que provocarían errores (ej. DNI demasiado largo). Es importante recordar que imat también controla el nivel de ocupación de los grupos de asignaturas optativas y de libre elección para decidir si se presentan o no. Si se presentasen asignaturas que estuvieran llenas o que no fuesen válidas podrían darse casos de matrículas inválidas. Otro tipo de errores podrían darse en los equipos, provocados por un estudio insuficiente de la dimensión del sistema y los equipos necesarios para su correcto funcionamiento, por un accidente en las instalaciones o por un error en los equipos. La conexión a Internet es suministrada mediante dos fibras ópticas gestionadas por las RedIRIS (como a todas las universidades). No se dispone de un proveedor secundario. 96

97 imat Posibles daños en el sistema Por lo tanto hay un riesgo latente en el caso de que la RedIRIS falle, hay una dependencia total en relación a este servicio. Hay que tener en cuenta que sin Internet la red interna (Intranet) sí que funcionaría correctamente. Todos los posibles riesgos han de ser estudiados en un Análisis y Gestión de Riesgos, siendo el propósito del siguiente capítulo. 97

98 Análisis y Gestión de Riesgos en imat 98

99 Análisis y Gestión de Riesgos en imat Planificación Estudio de oportunidad El objetivo de este análisis y gestión de riesgos es plasmar mediante un ejemplo la forma en la que se ha de realizar un AGR. El sistema de información a analizar es imat, explicado en el capítulo anterior. En cada una de las actividades y tareas a realizar se va a explicar en qué consiste, qué se ha de alcanzar y cómo hacerlo. EAR es la herramienta informática que se va a usar para llevar a cabo el AGR siguiendo la metodología Magerit. P1: Planificación A1.1: Estudio de oportunidad El objetivo de esta actividad es lograr sensibilizar a la Dirección de la Organización de la necesidad de elaborar un proyecto AGR. T1.1.1: Determinar la oportunidad Objetivo Identificar o suscitar el interés de la Dirección de la Organización en la realización de un proyecto AGR. Esta tarea suele realizarse mediante entrevistas y reuniones con la directiva de la Organización para, de este modo, hacer ver la necesidad de la seguridad y los problemas que pueden derivar por no tener un sistema de seguridad correcto. La dirección suele comprender las ventajas que reportan los sistemas de información (tanto para la imagen de la Organización como para la comodidad en el desempeño de las actividades) [MAGE05]. La iniciativa ha de partir de un promotor, interno o externo a la Organización, consciente de los problemas relacionados con la seguridad de los sistemas de información. Dicho promotor ha de elaborar un informa preliminar para lograr el visto bueno de la dirección [MAGE05]. Promotor del proyecto: Eduardo Ferrero Recaséns Informe preliminar 99

100 Análisis y Gestión de Riesgos en imat Planificación Estudio de oportunidad El sistema de matriculación, imat, de la Universidad Pontificia de Comillas (Organización) es el medio por el cual se realizan las matrículas en la universidad. El método alternativo es realizar la matricula en Secretaria General de forma manual; método lento, con mayor posibilidad a fallos y que supone un coste de tiempo y personal grande para la universidad en periodos de matriculación. El servicio facilita la realización y modificación de la matrícula a través de la intranet de la universidad o desde cualquier otro lugar. Sólo se necesita tener un ordenador con acceso a Internet e introducir el usuario y la contraseña necesaria para acceder a la información académica del alumno y hacer la matrícula. Dependiendo del alumno las posibilidades que se le ofrecen varían, incluyendo el número de créditos que de los que puede matricularse, las asignaturas que puede cursar, etc. Si en algún momento imat o los datos necesarios fallan, la matriculación de todos los alumnos puede llegar a ser caótica, principalmente si esto pasa en verano (de junio a septiembre), octubre o febrero, donde el número de matrículas a realizar puede llegar a ascender hasta un número máximo potencial de La única alternativa posible sería encargar al personal de Secretaria (Gestión Académica) la realización de las matrículas manualmente ayudándose de personal temporal que habría que contratar para este servicio. Los gastos derivados en tiempo perdido por el personal que desviaría su actividad principal a este propósito, así las pérdidas económicas por pérdidas de futuros alumnos y lo que puede llegar a ser más importante: el daño de imagen que causaría a la universidad (no hay que olvidar que una universidad se alimenta del prestigio que posee de cara a la sociedad). Hasta la fecha los únicos momentos críticos que se recuerdan son fallos puntuales de los servidores Web, pero nunca se pueden descartar los riesgos potenciales. Cabe destacar que durante los meses de septiembre y octubre, meses críticos para imat, pueden llegar a producirse 1000 accesos diarios a imat (creación, modificación y/o visualización de matrículas). Anualmente se realizan aproximadamente 7000 matrículas usando imat sobre las 7500 potenciales. Comillas posee alumnos aproximadamente, de los cuales 7500 son de primer o segundo ciclo y el resto pertenecen a postgrado o doctorado. Estos últimos no usan imat. Del mismo modo existen aplicaciones como imatbecarios o aplicaciones especiales 100

101 Análisis y Gestión de Riesgos en imat Planificación Estudio de oportunidad para personal autorizado (directores, decanos, etc.) que se apoyan en los servicios de imat para crear funciones especiales. Por ejemplo imatbecarios es la aplicación usada por los becarios, en los periodos de matriculación, que les permite visualizar las matrículas de los alumnos para imprimirla y agilizar el proceso de presentación en Secretaria General (SG). Los directores de departamentos pueden usar una aplicación que les permite ver las asignaturas de libre elección en tiempo real para ver su grado de ocupación y poder gestionar dichas asignaturas de forma mejor. Por todo ello se considera la necesidad de llevar a cabo un análisis y gestión de riesgos sobre imat y los datos que maneja para reducir los posibles riesgos al mínimo así como ayudar a saber que hacer en caso de fallo, solventando dicho fallo en el menor tiempo posible. Comité de seguimiento 1 Director del proyecto (Isdefe 2 - Departamento de Seguridad): Ramón Arias Ruiz de Somavia Promotor y analista: Eduardo Ferrero Recaséns Subdirector de STIC 3 ; y Coordinador del grupo de trabajo de la Web de Comillas: José María Ortiz Lozano 1 En este caso el comité está formado por las personas que han colaborado de forma activa en el proyecto. Es un comité informal que para el ejemplo se considera válido, aunque en la práctica habría que establecer formalmente a los participantes en el proyecto y sus responsabilidades. 2 Isdefe (Ingeniería de Sistemas para la Defensa de España, S.A.). Empresa pública española creada en el año 1985 con objeto de proporcionar apoyo técnico de ingeniería y servicios de consultoría en tecnologías avanzadas, tanto en el sector de defensa como en el ámbito civil. (http://www.isdefe.es) 3 STIC: Servicio de Sistemas y Tecnologías de la Información y Comunicación de la Universidad Pontificia de Comillas. 101

102 Análisis y Gestión de Riesgos en imat Planificación Estudio de oportunidad 102

103 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto A1.2: Determinación del alcance del proyecto A la hora de hacer un proyecto de análisis y gestión de riesgos se han de definir de forma concreta los límites del dominio que se va a estudiar. Tener los conceptos de dominio correctamente definidos es primordial para lograr alcanzar unos resultados finales correctos y que se ajusten a la realidad [MAGE05]. Querer abarcar un sistema de información demasiado amplio puede dar lugar a olvidos en el análisis, así como a no llegar a profundizar todo lo que se debe. Por ello se recomienda analizar sistemas acotados y bien definidos. Es conveniente realizar análisis de sistemas de información concretos y, posteriormente, unirlos para tener un análisis completo del sistema que intentar abarcar todo de una sola vez [MAGE05]. En el ejemplo a tratar el sistema de información, imat, pertenece a su vez a un sistema mucho mayor como es el de la Universidad Pontificia de Comillas. Sin embargo el análisis sólo se centra en el dominio que se refiere a imat por la razón expuesta anteriormente. imat se encuentra definida y explicada en la parte del proyecto llamado con el mismo nombre. El alcance que se le va a dar al proyecto se centra en imat y la aplicación usada por los becarios para la impresión de matrículas en periodo de matriculación (imatbecarios). También se van a tener en cuenta los servidores (Web, de balanceo, de datos, etc.), el entorno que les rodea y la información que manejan. No hay que olvidar que lo que se pretende es lograr un sistema seguro en el que los riegos estén identificados y controlados. En última instancia se pretende proteger la imagen de la Universidad de cara al público. Un fallo en imat podría suponer una pérdida de imagen y prestigio muy dura, que llevaría consigo unas pérdidas económicas elevadas, pérdidas de futuros alumnos, tiempo del personal, etc. No se van a tener en cuenta los ordenadores personales instalados en las aulas de informática por considerarse que no están pensados para este propósito. La matriculación se puede realizar desde casa a través de Internet. Sí se van a tener en cuenta los ordenadores de SG ya que son una parte fundamental del trabajo desempeñado este personal. Además, estos ordenadores son los que se usan para 103

104 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto acceder al sistema de Gestión Académica e imprimir las matrículas, así como para otorgar más permisos de modificación de matrícula. Durante los periodos de matriculación se suelen facilitar unos ordenadores en el pasillo del edificio de ICADE (Alberto Aguilera 25) que son usados en exclusiva para realizar las matrículas. Al lado de estos ordenadores se instala el puesto de trabajo de los becarios que ayudan en el proceso de matriculación (dicho puesto consta de ordenadores e impresora). Este montaje temporal se tendrá en cuenta, pero siempre sabiendo que no es un elemento imprescindible para la realización de matrículas. T1.2.1: Objetivos y restricciones generales Los participantes en esta tarea son los miembros del comité de seguimiento definido en la tarea T Objetivos Determinar los objetivos del proyecto, diferenciados según horizontes temporales a corto y medio plazo. Determinar las restricciones generales que se imponen sobre el proyecto Se han definir los objetivos del proyecto y diferenciar los horizontes temporales a corto y medio plazo. En este caso, al tratarse de un proyecto final de carrera, los objetivos son analizar el sistema y dar a conocer los resultados al personal encargado. Para ello se cuenta con el apoyo del STIC, que proporciona a través de José María Ortíz Lozano la información necesaria para realizar el análisis y gestión de riesgos. En un proyecto normal los objetivos a corto plazo serían los de asegurar el sistema de información ante los riesgos más graves y/o comunes; y a medio plazo dotar al sistema de una fiabilidad casi completa (nunca se puede asegurar la seguridad al 100%). El proyecto va a analizar el sistema basándose en la UNE/ISO especificaciones de seguridad de la UNE y en las 1 UNE-ISO/IEC 17799: tecnología de la Información. código de buenas prácticas para la Gestión de la Seguridad de la Información. Noviembre de Se aplicará esta norma por ser la usada en EAR 3.0 BETA, herramienta usada en el análisis. 104

105 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto Restricciones Políticas o gerenciales Estratégicas Geográficas Temporales Al tratarse de un ejemplo no se considera este factor. El sistema influye en gran medida en el prestigio de la Universidad por el la forma en que alumnos (nuevos o no) realizan su matrícula. Es la imagen inicial de la universidad de cara al público. La información y el centro de procesos del sistema se encuentra en Alberto Aguilera 23, tercera planta El proyecto ha de acabarse antes del periodo de matriculación para dar a conocer los datos del mismo al STIC (al ser un ejemplo no se va a poner en práctica). Los periodos críticos de matriculación: Desde Junio hasta Octubre (incluidos) y Febrero. La información que maneja imat ha de estar actualizada en tiempo real para evitar inconsistencias. 2 UNE 71501: Tecnología de la información (TI). Guía para la Gestión de la Seguridad de TI. Noviembre de Norma creada por AENOR. Esta norma se divide en tres partes: Parte 1: Conceptos y modelos para la Seguridad de TI. Parte 2. Gestión y planificación de la seguridad de TI. Parte 3: Técnicas para la gestión de la seguridad de TI. 105

106 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto imat es la forma de realizar la matrícula para alumnos de licenciaturas y diplomaturas. No existe otro método válido a menos que imat falle. Estructurales Los datos manejados por imat son los que se usan para todos los sistemas de la universidad que necesiten información del mismo tipo (acerca de los alumnos). imat es la forma de captar alumnos y crecer. Funcionales Legales El funcionamiento correcto de imat permite liberar carga de trabajo al personal de SG y escuelas. La información manejada se rige por la LOPD 3, por lo que ha de cumplir unos controles concretos y ser manejada correctamente. El Servicio de Gestión Académica usa el sistema para apoyarse en la gestión de los datos de los alumnos. Relacionadas con el personal Metodológicas Culturales Becarios, profesores, directores, han de poder desempeñar sus funciones relacionadas con la matriculación. Los datos manejados por imat son los que se usan para todos los sistemas de la universidad que necesiten información del mismo tipo (acerca de los alumnos, asignaturas, etc.). Política de innovación adoptada por la universidad de cara al público. 3 LOPD: Ley Orgánica de Protección de Datos 106

107 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto Presupuestarias Al tratarse de un ejemplo no se considera este factor. Tabla 1. Restricciones. T1.2.2: Determinación del dominio y límites Esta tarea presume un principio básico: el análisis y gestión de riesgos debe centrarse en un dominio limitado, que puede incluir varias unidades o mantenerse dentro de una sola unidad, ya que un proyecto de ámbito demasiado amplio o indeterminado podría ser inabarcable, por excesivamente generalista o por demasiado extendido en el tiempo, con perjuicio en las estimaciones de los elementos del análisis. En esta tarea se identifican las unidades objeto del proyecto así como las características generales de dichas unidades [MAGE05]. Objetivo Determinar el dominio, alcance o perímetro del proyecto AGR. Diagramas de proceso más importantes 4 [BARR01] [MAGE05] Control Entrada Actividad Salida Mecanismos Figura 24. Representación empleada en los diagramas de proceso 4 El tipo de diagrama de procesos usado es SADT (Structured Analysis and Design Technique). 107

108 Análisis y Gestión de Riesgos en imat Planificación Impresión de matrícula a través de imatbecarios Determinación del alcance del proyecto Becarios de la universidad Clave y contraseña Autenticar becario para otorgar permisos 1 Adquisición de permisos Clave alumno Acceder a la matrícula del alumno 2 Matrícula del alumno Imprimir matrícula 3 Matrícula imprimida Servidor de datos y Servidores Web Figura 25. Impresión de matrícula a través de imatbecarios 108

109 Análisis y Gestión de Riesgos en imat Planificación Procesos de Matriculación realizado por un alumno. Determinación del alcance del proyecto Alumno de la universidad o aceptado y situación Clave y contraseña alumno Autenticación del alumno* 1 Grado de ocupación de las asignaturas Listado de asignaturas posibles a seleccionar Asignaturas seleccionadas Selección de asignaturas 2 Precio estimado sin descuentos Reserva de asignaturas para el alumno Normas para descuentos Datos alumno (bancarios, familiares, personales) Confirmación matrícula 3 Matrícula confirmada o rechazada Gestión de asignaturas 4 ** Servidor de datos y Servidores Web * Se estudia el expediente del alumno y las normas que se establecen al respecto cada facultad o escuela. Una vez comparado su expediente contra estas normas al alumno se le categoriza de tal forma que lleva implícita la oferta de asignaturas de la que puede matricularse. ** Confirmación o liberación de la reserva de las asignaturas Figura 26. Procesos de Matriculación realizado por un alumno 109

110 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto Modificación de la matrícula Matrícula existente Matrícula existente Autenticación del alumno 1 Matrícula Aceptación o rechazo para modificar la matrícula (depende de SG) Nuevas asignaturas seleccionadas Modificar matrícula 2 Precio estimado sin descuentos Reserva de asignaturas para el alumno Normas para descuentos Datos alumno (bancarios, familiares, personales) Aceptación / Rechazo Confirmación matrícula 3 Matrícula confirmada o rechazada Gestión de asignaturas 4 * Servidor de datos y Servidores Web * Confirmación o liberación de la reserva de las asignaturas Figura 27. Modificación de la matrícula No siempre es posible modificar la matrícula por parte de un alumno. Un alumno puede modificar su matrícula tres veces. Si desea hacerlo más veces ha de solicitarlo en SG, otorgándole más modificaciones (una cada vez que lo solicita). Las unidades involucradas en el sistema de matriculación son: STIC, encargado de gestionar imat y mantener su correcto funcionamiento. SG, encargada del proceso y gestión de matriculación de los alumnos. A su vez es la que otorga nuevos permisos para la modificación de la matrícula a los alumnos. 110

111 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto Departamentos que usan la información (directores de departamento, jefes de estudio, becarios, etc.). El dominio del sistema engloba principalmente el uso de los servidores y las aplicaciones que facilitan todas las funcionalidades existentes en el proceso de matriculación. Entre estas funcionalidades ya se han comentado algunas como imatbecarios, aplicaciones para la gestión por parte de directores de departamento o jefes de estudio, así como la propia aplicación de matriculación (imat propiamente dicho). A su vez se considera que el personal no es objeto de estudio por su movilidad e implicación parcial en este sistema, teniendo otras funciones principales. Como ya se ha comentado anteriormente, se considera que las aulas de informática no son objeto del dominio por poder usar todos los ordenadores de la escuela o los de cualquier lugar (casa, oficina, cibercafé ). Sin embargo, sí se van a tener en cuenta los ordenadores facilitados exclusivamente para la matriculación. Dichos ordenadores, así como el puesto de becarios, se encuentra situado en el pasillo de la planta baja de Alberto Aguilera 23. En los diagramas de procesos realizados se ha podido comprobar que lo único imprescindible para la existencia de imat son los servidores y las aplicaciones específicas. Esto se explicará en la parte de análisis del sistema. Los datos, aunque esencial, no son propios de imat, a pesar de que sí se van a tener en cuenta a la hora de realizar el análisis. T1.2.3: Identificación del entorno Se realiza un estudio global de las unidades de información y el uso que hacen de los sistemas de información. Esta tarea se realiza con objeto de identificar sus funciones y finalidades principales y relaciones con el entorno, así como sus tendencias de evolución [MAGE05]. Objetivos Definir el perímetro de dominio. Definir las relaciones entre el interior del dominio y el entorno. 111

112 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto Para realizar la identificación del entorno se van a usar diagramas de flujo de datos y proceso. Con los diagramas de flujo de datos se podrán identificar los movimientos de información que se realizan en el sistema. Así mismo, los diagramas de proceso, hechos en la tarea T1.2.2, nos sirven para identificar las distintas actividades. Todos los diagramas están acotados al problema que nos interesa, obviando el resto de información, procesos o funcionalidades que puedan existir. Diagramas de flujo de datos[barr01] [MAGE05] a Alumnos Autenticación Matrícula Datos Bancarios Confirmación OK Datos alumno Matrícula b Secretaria general (SG) Datos alumno OK/REJ_iMat 1 Permiso Modificación Clave alumno Info. Asig. Sistema de Matriculación Autenticación c OK OK d Escuelas y departamentos Modif. asig. Autenticación Clave alumno Becarios Autenticación Figura 28. Diagrama de contexto 112

113 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto Datos alumno Matrícula Autenticación OK/REJ_iMat OK Autenticación Datos alumno Procesado de Matrícula Matrícula Datos Bancarios OK OK Confirmación OK Clave alumno Sistema Matrículación Becarios Sistema Matriculación Escuelas Info. Asig. Modif. asig. 1.5 Sistema SG Datos alumno Permiso Modificación Figura 29. Diagrama conceptual 113

114 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto Autenticación Datos alumno Datos alumno Permisos Validación Permisos Creación opciones matrícula Clave & Contraseña Clave & Contraseña Datos alumno Reglas a aplicar D1 Alumnos D2 Personal D3 Reglas y Escuelas Obtención de permisos OK Figura 30. Autenticación 114

115 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto Datos alumno Datos alumno Matrícula Realización matrícula Matrícula Comprobación de matrícula Reglas a aplicar D1 Alumnos D3 Reglas y Escuelas Matrícula Datos Bancarios OK/REJ_iMat Confirmación Datos Bancarios Matrícula & Datos Datos Bancarios Confirmación Datos Bancarios Figura 31. Procesado de matrícula OK Clave alumno Obtención matrícula Imprimir Imprimir matrícula Matrícula D1 Alumnos Figura 32Sistema de matriculación Becarios 115

116 Análisis y Gestión de Riesgos en imat Planificación Determinación del alcance del proyecto OK Info. Asig. Obtención asignaturas Asignaturas Modificación datos asignatura Modif. asig. Asignatura D3 Reglas y Escuelas Figura 33 Sistema de matriculación escuelas OK Datos alumno Info. alumno Datos alumno Obtención permisos Permiso Modificación D1 Alumnos Figura 34. Sistema SG T1.2.4: Estimación de dimensiones y coste Objetivos Determinar el dominio, alcance o perímetro del proyecto. Esta tarea del proyecto busca identificar las unidades de objeto, los costes que produciría incluirla en el proyecto y el beneficio que generaría. Para ello se lleva a cabo un análisis coste-beneficio [MAGE05]. Para este proyecto esta tarea no se lleva a cabo. 116

117 Análisis y Gestión de Riesgos en imat Planificación Planificación del proyecto A1.3: Planificación del proyecto En esta actividad se determinan los participantes en el proyecto, determinando sus cargas de trabajo, su estructuración en grupos y su modo de actuación. En este proyecto esta actividad se va a realizar de forma general, sin detallar demasiado. Esto será así ya que en este caso el grupo de trabajo es limitado (listado en la tarea T1.1.1) y el análisis que se va a realizar es didáctico y no práctico. T1.3.1: Evaluar cargas y planificar entrevistas Si se va a realizar alguna entrevista se ha de informar a qué persona se va a entrevistar, cuándo y con que objetivo. Es especialmente importante cuando los sujetos a entrevistar se hayan en diferentes localizaciones geográficas [MAGE05]. Es conveniente ordenar las entrevistas de forma que primero se recaben las opiniones más técnicas y posteriormente las gerenciales. Objetivos Definir los grupos de interlocutores: usuarios afectados en cada unidad. Planificar las entrevistas de recogida de información. Los grupos afectados han sido descritos en la actividad T Así mismo, la persona que proporciona la información acerca del sistema es Don José María Ortiz Lozano, subdirector de STIC y Coordinador del grupo de trabajo de la Web de Comillas. La recogida de información se llevará a cabo mediante preguntas concretas que se realizarán en el momento en que se requiera dicha información. Además se tendrá una reunión con Don José María Ortiz Lozano para entender mejor el funcionamiento del sistema y poder ver físicamente el emplazamiento de los servidores y demás hardware. Dicha entrevista tendrá lugar el 5 de Abril a las 12 del mediodía en Alberto Aguilera 23, lugar donde se encuentra imat. Así mismo se establecerán contactos periódicos con el director del proyecto, Don Ramón Arias Ruiz de Somavia con el fin de enfocar mejor la realización del análisis. 117

118 Análisis y Gestión de Riesgos en imat Planificación Planificación del proyecto T1.3.2: Organizar a los participantes Objetivos Determinar los órganos participantes en la gestión, realización, seguimiento y mantenimiento del proyecto. Realizado anteriormente. Definir las funciones y responsabilidades de los órganos participantes. Realizado anteriormente. Establecer las reglas y los modos operativos. Establecer la clasificación de la información generada. En las tareas T1.1.1 y T1.2.2 se definió y concretó el primer objetivo citado en esta actividad. Como ya se ha comentado, SG y escuelas no participan en el proyecto. STIC es la única parte de la universidad que toma parte en el proyecto. La tarea T1.1.1 también abarca el segundo objetivo de esta actividad. La información y documentación que se va a generar durante el proyecto tomará la clasificación de difusión limitada o sin clasificar. T1.3.3: Planificar el trabajo Objetivos Elaborar el calendario concreto de realización de las distintas etapas, actividades y tareas del proyecto. Establecer un calendario de seguimiento que defina las fechas tentativas de reuniones del comité de dirección, el plan de entregas de los productos, las posibles modificaciones en los objetivos marcados, etc. Al realizarse el proyecto desde la distancia, las reuniones en este caso no son importantes. La única planificada en persona es el 5 de Abril, el resto se harán vía correo electrónico. Calendario de actividades Este calendario es considerado flexible, pudiendo sufrir alteraciones. Febrero: 118

119 Análisis y Gestión de Riesgos en imat Planificación Planificación del proyecto Explicación de la gestión de la seguridad de TI. Marzo: Explicación de imat y planificación del proyecto. Hasta el 20 de Febrero: Explicación de MAGERIT y definición detallada del ejemplo teórico que se va a analizar. Abril: Caracterización de los activos. Caracterización de las amenazas. Caracterización de las salvaguardas. Estimación del estado de riesgo. Mayo: Gestión de riesgos: Selección de las salvaguardas ISO, plan de seguridad (planificación). Conclusión y revisión del proyecto. 119

120 Análisis y Gestión de Riesgos en imat Planificación Lanzamiento del proyecto A1.3: Lanzamiento del proyecto En esta etapa se termina de preparar el lanzamiento del proyecto. Se seleccionan y adaptan cuestionarios para la recogida de datos; se especifican las técnicas y reglas que se van a emplear, se asignan los recursos para la realización del proyecto y se realiza una campaña informativa de sensibilización a los implicados. En el caso de estudio los cuestionarios son las preguntas realizadas mediante correos electrónicos y llamadas telefónicas. Así mismo ya se han explicado el resto de detalles sobre la recogida de información en la actividad T Las técnicas a emplear son las que se especifican y recomiendan en MAGERIT. T1.4.1: Adaptar los cuestionarios Los cuestionarios se adaptan con el objetivo de identificar correctamente los elementos de trabajo: activos, amenazas, vulnerabilidades, impactos, salvaguardas existentes, restricciones generales, etc. en previsión de las necesidades de as actividades A2.1 (caracterización de los activos), A2.2 (caracterización de las amenazas) y A2.3 (caracterización de las salvaguardas). Objetivos Identificar la información relevante a obtener, agruparla de acuerdo a la estructura de unidades y roles de los participantes. La información relevante acerca del caso de estudio se puede consultar en la parte específica del sistema (imat). Dicha información ha sido elaborada y estructura de acuerdo con la información facilitada por el STIC por medio de José María Ortíz Lozano. La información ha sido estructurada por Eduardo Ferrero Recaséns, autor de este proyecto, y revisada por Ramón Arias Ruiz de Somavia, director del mismo. T1.4.2: Criterios de evaluación Objetivos Determinar el catálogo de tipos de activos. Determinar las dimensiones de valoración de activos. 120

121 Análisis y Gestión de Riesgos en imat Planificación Lanzamiento del proyecto Determinar los niveles de valoración de activos. Incluyendo una guía unificada de criterios para asignar un cierto nivel a un cierto activo. Determinar los niveles de valoración de las amenazas: Frecuencia y degradación. Un activo puede ser valioso desde diferentes puntos de vista. A estos distintos puntos de vista es a lo que se llama dimensiones. Un aspecto, diferenciado de otros posibles aspectos, respecto del que podemos medir el valor de un activo en el sentido del perjuicio que nos causaría su pérdida de valor. (Definición de dimensión según Magerit) [MAGE05]. Las dimensiones definidas por Magerit son [MAGE05]: Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. Integridad. Garantía de la exactitud y completitud de la información y los métodos de su procesamiento. Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. Autenticidad. Aseguramiento de la identidad u origen. Trazabilidad (accountability). Aseguramiento de que en todo momento se podrá determinar quién hizo qué y en qué momento. Esta última se ha añadido debido a la importancia de saber que se hace con los datos y quien lo hace en cada momento. Las dos últimas cada vez están siendo más importantes en contextos como el comercio electrónico o la administración electrónica. EAR, de acuerdo con las especificaciones realizadas en Magerit, divide estas cuatro dimensiones en siete. [D] Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. 121

122 Análisis y Gestión de Riesgos en imat Planificación Lanzamiento del proyecto [I] Integridad. Garantía de la exactitud y completitud de la información y los métodos de su procesamiento. [C] Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. [A_S] Autenticidad de los usuarios del servicio. Aseguramiento de la identidad u origen. [A_D] Autenticidad del origen de los datos. Aseguramiento de la identidad u origen. [T_S] Trazabilidad del servicio. Aseguramiento de que en todo momento podremos determinar quién hizo qué y en qué momento. [T_D] Trazabilidad de los datos. Aseguramiento de que en todo momento podremos determinar quién hizo qué y en qué momento. En el AGR 1 que se va a realizar se van a tener en cuenta las dimensiones D, I, C. Estas son las dimensiones que se tienen en cuenta normalmente en las organizaciones así como en la OTAN o ISDEFE. Las amenazas que se van a contemplar son las especificadas en Magerit y recomendadas por la UNE-ISO/IEC De estas amenazas se van a suprimir las que se consideran no factibles o irrelevantes para el estudio del sistema. En el aparatado A2.2 se especificarán y estudiarán con mayor detalle las amenazas a considerar. T1.4.3: Recursos necesarios Objetivos Asignar los recursos necesarios (humanos, de organización, técnicos, etc.) para la realización del proyecto AGR. Para este proyecto esta tarea no se lleva a cabo. 1 AGR: Análisis y Gestión de Riesgos. 2 UNE-ISO/IEC Tecnología de la información. Código de buenas prácticas para la Gestión de la Seguridad de la Información. 122

123 Análisis y Gestión de Riesgos en imat Planificación Lanzamiento del proyecto T1.4.4: Sensibilización En esta tarea se han de entregar los informes pertinentes a la dirección, informar de las intenciones y objetivos perseguidos con la realización del proyecto, etc. Objetivos Informar a las unidades afectadas. Crear un ambiente de conocimiento general de los objetivos, responsables y plazos. En el caso del proyecto que nos ocupa esta tarea no se puede realizar por no existir dirección alguna. Para compensar esto se ha acordado aprobar los objetivos del proyecto por parte de todos los implicados. 123

124 Análisis y Gestión de Riesgos en imat Análisis de Riesgos P2: Análisis de Riesgos Este proceso es el núcleo central de Magerit y su correcta aplicación condiciona la validez y utilidad de todo el proyecto. La identificación y estimación de los activos y de las posibles amenazas que les acechan representa una tarea compleja. Este proceso tiene los siguientes objetivos [MAGE05]: Levantar un modelo del valor del sistema, identificando y valorando los activos relevantes. Levantar un mapa de riesgos del sistema, identificando y valorando las amenazas sobre aquellos activos. Levantar un conocimiento de la situación actual de salvaguardas. Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto potencial (sin salvaguardas), como el impacto residual (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto). Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin salvaguardas), como el riesgo residual (incluyendo el efecto de las salvaguardas implementadas si se trata de un sistema actual, no de un sistema previsto). Mostrar al comité director las áreas del sistema con mayor impacto y/o riesgo. El punto de partida de este proceso es la documentación obtenida en el proceso de planificación. 124

125 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos A2.1: Caracterización de activos El objetivo de las tareas englobadas en esta actividad es reconocer los activos que componen los procesos, y definir las dependencias entre ellos. Así, y a partir de la información recopilada en las actividades anteriores, esta actividad profundiza el estudio de los activos con vistas a obtener la información necesaria para realizar las estimaciones de riesgo [MAGE05]. A la hora de identificar activos hay que saber que se puede considerar activo. Esta actividad puede llegar a ser una de las más complicadas en todo el AGR. Siempre son activos Información o (datos funcionales) Aplicaciones (SW) Equipos (HW) Comunicaciones Locales Pueden ser activos (depende de la opinión del analista) Intangibles Servicios o a usuario final (ext) o Intermedios (int) Personas o Usuarios o Operadores o Administradores o desarrolladores Tabla 2. Posibles activos a considerar en un AGR Es frecuente que las tareas relacionadas con los activos se realicen concurrentemente con las tareas relacionadas con las amenazas sobre dichos activos (A2.2) e identificación de las salvaguardas actuales (A2.3), simplemente porque suelen coincidir las personas y es difícil que el interlocutor no tienda de forma natural a tratar cada activo verticalmente, viendo todo lo que le afecta antes de pasar al siguiente. 125

126 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos T2.1.1: Identificación de los activos Objetivos Identificar los activos que componen el dominio, determinando sus características, atributos y clasificación en los tipos determinados Al hacer el proyecto con EAR, esta herramienta ayuda a organizar los activos según la metodología, estructurándola y clasificándola de forma sencilla y fácil de identificar en el análisis posteriormente. Basándose en la tabla 1, los tipos de activos pueden clasificarse de la siguiente forma: Servicios Datos/Información Aplicaciones (software) Equipos informáticos (hardware) Redes de comunicaciones Soportes de información (media) Equipamiento auxiliar Instalaciones Personal Los datos/información es lo que se pretende proteger en última instancia. Por este motivo la información merece una clasificación más detallada: Datos / Información [per]datos de carácter personal [com] de interés comercial [adm] administración pública [int] administración interna [conf] configuración 126

127 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos [src] código fuente [test] datos de prueba [log] registros Los datos pueden ser de varios tipos según la clasificación de confidencialidad que se les otorgue: [S] Secretos [R] Reservados [C] Confidenciales [DL] De difusión limitada [SC] Sin clasificar Los activos en imat son: [S] Servicios [MAT] Matriculación [IMPR_BEC] Impresión Becarios [I] Información [I_A] Información Alumnos [I_B] Información Becarios [I_ASIG] Información Asignaturas [I_DEP] Información departamentos [I_STIC] Información STIC [I_CONF] Información de configuración [I_LOG] Información de Log [I_COD] Código Fuente [A] Aplicaciones [IMAT] imat [IMATBEC] imatbecarios [SW_BASE] Software base [BBDD] SQL Server 2000

128 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos [SO] Sistema Operativo [VB] Visual Basic 6.0 [E] Equipamiento [SERV] Servidores [SERV_DAT] Servidor de Datos [SERV_BAL] Servidor de balanceo [SERV_FICH] Servidor de Ficheros [SERV_WEB] Servidores Web [SERV_BACK] Servidor de back-up [IMP_BEC] Impresora becarios [PC_BEC] PC Becarios [PC_MAT] PC Matriculación [SWITCH] Switch [CAJ_SEG] Caja de Seguridad [LAN] Red de área local [INT] Internet [FIRE] Firewall [POWER] Sistema de alimentación [POWER_AA23] Sistema de Alimentación de la sala de servidores [POWER_AA25] Sistema alimentación sala auxiliar [TEMP] Sistema de climatización [TEMP_AA23] Sistema de climatización de la sala de servidores [TEMP_AA25] sistema climatización sala auxiliar [L] Locales [SERV_AA23] Servidores [SERV_AA25] Servidor auxiliar [BEC_AA21] Emplazamiento becarios [P] Personal [ADM] Administradores [SG] Secretaría General [BEC] Becarios [ALUM] Alumnos

129 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos Para ver con más detalle los activos mirar el modelo de valor, situado en el anexo informes. T2.1.2: Dependencia entre activos Una vez los activos han sido identificados hay que valorar el grado que dependencia que tienen unos con otros. La dependencia de una activo con otro puede provocar que los riesgos que posee un activo sean muchos más que son que se creían a priori [MAGE05]. Objetivos Identificar y valorar las dependencias entre activos, es decir, la medida en que un activo de orden superior se puede ver perjudicado por una amenaza materializada sobre un activo de orden inferior. Servicios Información (datos) Software de base Aplicaciones Personal Equipamiento (HW) Locales Figura 35. Dependencia entre activos [MAÑA06] Para realizar esto se tienen en cuenta la tarea anterior (T2.1.1) así como los diagramas de flujo y de procesos realizados en la planificación. La figura 35 muestra la

130 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos dependencia entre activos de forma general. Se puede comprobar como los servicios dados por el sistema de información dependen de forma directa de la información manejada y las aplicaciones usadas; y de forma indirecta de todos los activos del sistema. Por este motivo la valoración posterior deberá hacerse en los activos de nivel superior (servicios e información), dejando que las dependencias den la valoración al resto de activos. Si se han hecho entrevistas o se ha tenido la posibilidad de realiza una valoración Delphi 1 también es conveniente tenerlas en cuenta. En el caso de imat se han realizado entrevistas. La dependencia entre activos en imat es la siguiente: 1 Valoración Delphi. Técnica cualitativa que permite abordar y comprender con una alta precisión problemas complejos. Para ello se cuenta con un comité de expertos que identifican los problemas y las posibles soluciones a realizar. Cada experto valora el problema de forma individual mediante cuestionarios u otras técnicas y posteriormente se da a todos a conocer el resultado para obtener un consenso.

131 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos Figura 36. Dependencia entre activos

132 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos T2.1.3: Valoración de los activos Objetivos Identificar en que dimensión es valioso el activo. Valorar el coste que para la Organización supondría la destrucción del activo. De esta tarea se obtiene el modelo de valor, informe que permite conocer la importancia de los activos. El modelo de valor detalla los activos, sus dependencias, las dimensiones en las que son valiosos y la estimación de su valor en cada dimensión. Este modelo puede estar hecho mediante diversos criterios de valoración. En el AGR de imat se va a seguir un criterio de valoración cualitativo. La valoración cualitativa busca relativizar el modelo de tal forma que la valoración entre todos los activos del análisis sea homogénea y comparable. Para ello se ayuda de una escala. Cada activo, en cada dimensión, recibe un valor en la escala. Esto es así porque cada dimensión recibe un análisis independiente. Las dimensiones que se van a valorar para imat son [D] disponibilidad, [I] integridad de datos y [C] confidencialidad. La disponibilidad es el aseguramiento de que los activos que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. La integridad de datos es la garantía de la exactitud y completitud de la información y los métodos de su procesamiento. La confidencialidad de los datos es el aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso. A la hora de hacer un proyecto de análisis y gestión de riesgos, la valoración se hace únicamente sobre los activos de mayor nivel (servicios y datos) y aquellos que no tengan relaciones de dependencias con ellos. El resto de activos obtendrán su valoración por las dependencias existentes. La escala de valoración que se va a emplear es la siguiente:

133 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos Valor Criterio 10 Muy alto Daño muy grave a la organización 7-9 Alto Daño grave a la organización 4-6 Medio Daño importante a la organización 1-3 Bajo Daño menor a la organización 0 Despreciable Irrelevante a efectos prácticos Tabla 3. Valoración cualitativa, escala a seguir en el AGR imat El modelo de valor de imat se puede encontrar como anexo, donde se detalla todo lo referente a los activos de imat. Hay que tener en cuenta que tanto la caracterización de activos como sus relaciones de dependencia y valoración, son tareas subjetivas que, a pesar de tener información para hacerlas, dependen del analista y su forma de entender el sistema. No hay dos modelos de valor iguales. La valoración de los activos estudiados y clasificados en imat es la que se muestra a continuación: ACTIVO [D] [I] [C] [S] Servicios [MAT] Matriculación [7] [IMPR_BEC] Impresión Becarios [3] [I] Información [I_A] Información Alumnos [6] [I_B] Información Becarios [I_ASIG] Información Asignaturas [3] [I_DEP] Información departamentos [3] [I_STIC] Información STIC [2] [I_CONF] Información de configuración [1]

134 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos [I_LOG] Información de Log [1] [1] [1] [I_COD] Código Fuente [A] Aplicaciones [IMAT] imat [7] [IMATBEC] imatbecarios [SW_BASE] Software base [BBDD] SQL Server 2000 [SO] Sistema Operativo [VB] Visual Basic 6.0 [E] Equipamiento [SERV] Servidores [SERV_BAL] Servidor de balanceo [SERV_WEB] Servidores Web [SERV_FICH] Servidor de Ficheros [SERV_DAT] Servidor de Datos [SERV_BACK] Servidor de back-up [1] [2] [IMP_BEC] Impresora becarios [1] [PC_BEC] PC Becarios [PC_MAT] PC Matriculación [1] [SWITCH] Switch [CAJ_SEG] Caja de Seguridad [4] [4] [LAN] Red de área local [INT] Internet [FIRE] Firewall [POWER] Sistema de alimentación [POWER_AA23] Sistema de Alimentación sala servidores [POWER_AA25] Sistema alimentación sala auxiliar [TEMP] Sistema de climatización [TEMP_AA23] Sistema de climatización sala servidores [TEMP_AA25] sistema climatización sala auxiliar [L] Locales

135 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos [SERV_AA23] Servidores [SERV_AA25] Servidor auxiliar [BEC_AA21] Emplazamiento becarios [P] Personal [ADM] Administradores [SG] Secretaría General [BEC] Becarios [ALUM] Alumnos Tabla 4. Valoración propia de los activos. Para ver el por qué de esta valoración ver el anexo informes, modelo de valor. Valoración acumulada: ACTIVO [D] [I] [C] [S] Servicios [MAT] Matriculación [7] [IMPR_BEC] Impresión Becarios [3] [I] Información [I_A] Información Alumnos [7] [1] [6] [I_B] Información Becarios [3] [1] [1] [I_ASIG] Información Asignaturas [7] [1] [3] [I_DEP] Información departamentos [7] [1] [3] [I_STIC] Información STIC [2] [I_CONF] Información de configuración [7] [1] [I_LOG] Información de Log [1] [1] [1] [I_COD] Código Fuente [A] Aplicaciones [IMAT] imat [7] [7] [6] [IMATBEC] imatbecarios [7] [1] [2] [SW_BASE] Software base [BBDD] SQL Server 2000 [7] [7] [6] [SO] Sistema Operativo

136 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de los activos [VB] Visual Basic 6.0 [E] Equipamiento [SERV] Servidores [SERV_BAL] Servidor de balanceo [7] [7] [6] [SERV_WEB] Servidores Web [7] [7] [6] [SERV_FICH] Servidor de Ficheros [7] [7] [6] [SERV_DAT] Servidor de Datos [7] [7] [6] [SERV_BACK] Servidor de back-up [1] [2] [IMP_BEC] Impresora becarios [1] [PC_BEC] PC Becarios [1] [PC_MAT] PC Matriculación [1] [SWITCH] Switch [7] [7] [6] [CAJ_SEG] Caja de Seguridad [4] [4] [LAN] Red de área local [7] [7] [6] [INT] Internet [7] [7] [6] [FIRE] Firewall [7] [7] [6] [POWER] Sistema de alimentación [POWER_AA23] Sistema de Alimentación sala servidores [7] [7] [6] [POWER_AA25] Sistema alimentación sala auxiliar [1] [2] [TEMP] Sistema de climatización [TEMP_AA23] Sistema de climatización sala servidores [7] [7] [6] [TEMP_AA25] sistema climatización sala auxiliar [1] [2] [L] Locales [SERV_AA23] Servidores [7] [7] [6] [SERV_AA25] Servidor auxiliar [1] [2] [BEC_AA21] Emplazamiento becarios [1] [P] Personal [ADM] Administradores [7] [7] [6] [SG] Secretaría General [7] [1] [6] [BEC] Becarios [7] [1] [2] [ALUM] Alumnos [7] [7] [6]

137 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Tabla 5. Valoración acumulada de los activos Caracterización de los activos Los elementos marcados son aquellos cuyos valores provienen de sus dependencias con otros activos.

138 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las amenazas A2.2: Caracterización de las amenazas Una amenaza es aquel evento que puede desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos [MAÑA06]. Estas amenazas se pueden focalizar en un activo en concreto y reaccionar en cadena a través de las diversas relaciones de dependencia que este posee con el resto de activos. Las amenazas pueden ser causadas de forma accidental o intencionada. Las causas accidentales pueden darse por causas [MAÑA06]: - naturales (terremotos, inundaciones, rayos...), - industriales (electricidad, emanaciones ) o - humanas (errores u omisiones). Las causas intencionadas pueden ser robo, fraude, espionaje, intercepción pasiva o activa, etc. En EAR las amenazas estandarizadas por Magerit. Según la misma, las amenazas están clasificadas en cuatro grupos: - [N] Desastres Naturales - [I] De origen industrial - [E] Errores y fallos no intencionados - [A] Ataque intencionados Dentro de estos grupos se definen las amenazas existentes. Para comprobar la amenazas existentes ver el anexo Amenazas. T2.2.1: Identificación de las amenazas Objetivos Identificar las amenazas relevantes sobre cada activo. Hay varias formas de identificar las amenazas existentes en cada activo. Uno de los métodos es mediante una clasificación por activos, relacionando cada activo con las amenazas que se cree que pueden sufrir. Lo bueno de este método es que la relación

139 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las amenazas amenaza-activo es directa. Sin embargo, es un criterio intuitivo. EAR permite aplicar las amenazas estándar sobre cada activo de forma automática dejando que sea posteriormente el analista el que considere si las relaciones son factibles o hay que poner otras. Otro método de identificación de amenazas es mediante una valoración Delphi o árboles de ataque 1. En el AGR de imat se van a emplear la clasificación por activos. Para la relación entre las amenazas y los activos ver el anexo informes, mapa de riesgos. T2.2.2: Valoración de las amenazas Objetivos Estimar la frecuencia de ocurrencia de cada amenaza sobre cada activo. Estimar la degradación que causaría la amenaza en cada dimensión del activo si llegara a materializarse. 1 Los árboles de ataque son una técnica para modelar las diferentes formas de alcanzar un objetivo. Aunque han existido durante años con diferentes nombres, se hicieron famosos a partir de los trabajos de B. Schneier que propuso su sistematización en el área de los sistemas de información. El objetivo del atacante se usa como raíz del árbol. A partir de este objetivo, de forma iterativa e incremental se van detallando como ramas del árbol las diferentes formas de alcanzar aquel objetivo, convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse. Los posibles ataques a un sistema se acaban modelando como un bosque de árboles de ataque. Un árbol de ataque pasa revista a cómo se puede atacar un sistema y por tanto permite identificar qué salvaguardas se necesita desplegar para impedirlo. También permiten estudiar la actividad del atacante y por tanto lo que necesita saber y lo que necesita tener para realizar el ataque; de esta forma es posible refinar las posibilidades de que el ataque se produzca si se sabe a quién pudiera interesar el sistema y/o la información y se cruza esta información con la habilidades que se requieren. Para más información, Guías Técnicas, Magerit Versión 2. Se puede encontrar en

140 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las amenazas Como ya se ha mencionado anteriormente 2, hay que determinar el grado de degradación y la frecuencia de ocurrencia de cada amenaza sobre cada activo con el fin de saber el impacto y el riesgo potencial de dicha amenaza sobre dicho activo. Este proceso se realiza en EAR usando como criterio de ocurrencia (frecuencia) el siguiente: 1: una vez al año 2: dos veces al año (semestral) 10: mensual 100 diario 0,5: cada dos años 0,1: cada diez años El grado de degradación se especifica para activo, amenaza y dimensión. La degradación se evalúa entre el 0% y el 100%. Posteriormente esta degradación se extiende debido a la dependencia entre activos, obteniendo el impacto y el riesgo, tanto acumulado con repercutido antes de aplicar las salvaguardas. Si un activo A depende de otro B, el valor del impacto acumulado de A se acumula B en la proporción en la que depende. Por otro lado, el impacto repercutido indica que el daño en B repercute en A en la proporción en la que A depende de B. [MAÑA06] En relación al riesgo. En relación al riesgo acumulado el valor de A se acumula en B en la proporción en que depende. El riesgo repercutido es el impacto repercutido multiplicado por la frecuencia de ocurrencia. Impacto = Valor x Degradación Riesgo = Impacto x Frecuencia De esta tarea se obtiene el mapa de riesgos del sistema. El mapa de riesgos es un informe en el que se relacionan las amenazas de cada activo con el daño que causarían a la empresa y la frecuencia con la que se espera que ocurran. Visto desde otro punto de vista, el mapa de riesgos es un resumen de las actividades A2.1 y A Ver la parte referente a Magerit, Análisis de Riesgos, Paso 2: Amenazas.

141 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las salvaguardas A2.3: Caracterización de las Salvaguardas Las salvaguardas permiten hacer frente a las amenazas [MAÑA06]. Hay diferentes aspectos en los cuales puede actuar una salvaguarda para alcanzar sus objetivos de limitación y/o mitigación del riesgo 1 : [PR] procedimientos, que siempre son necesarios; a veces bastan procedimientos, pero otras veces los procedimientos son un componente de una salvaguarda más compleja. Se requieren procedimientos tanto para la operación de las salvaguardas preventivas como para la gestión de incidencias y la recuperación tras las mismas. Los procedimientos deben cubrir aspectos tan diversos como van el desarrollo de sistemas, la configuración del equipamiento o la formalización del sistema [MAGE05]. [PER] política de personal, que es necesaria cuando se consideran sistemas atendidos por personal. La política de personal debe cubrir desde las fases de especificación del puesto de trabajo y selección, hasta la formación continua [MAGE05]. Soluciones técnicas, frecuentes en el entorno de las tecnologías de la información, que puede ser [MAGE05] [SW] aplicaciones (software) [HW] dispositivos físicos [COM] protección de las comunicaciones [FIS] seguridad física, de los locales y áreas de trabajo [MAGE05]. La protección integral de un sistema de información requerirá una combinación de salvaguardas de los diferentes aspectos comentados. Expresado de otra forma, las salvaguardas se pueden clasificar en los siguientes grupos: Marco de gestión 1 Para más información sobre la limitación y/o mitigación de amenazas ver la parte correspondiente a Magerit, Paso 3: Salvaguardas.

142 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las salvaguardas Relaciones con terceros Servicios Datos / Información Aplicaciones informáticas (SW) Equipos informáticos (HW) Comunicaciones Elementos auxiliares Seguridad física Personal T2.3.1: Identificación de las salvaguardas existentes Objetivos Identificar las salvaguardas, de cualquier tipo, que se han previsto y desplegado a fecha de realización del estudio. Las salvaguardas existentes se pueden encontrar en el anexo evaluación de las salvaguardas. En el capítulo llamado imat se puede encontrar como está concebido el sistema de información, así como las medidas de seguridad que existen. A su vez, el informe de insuficiencias muestra aquellas salvaguardas que hay que mejorar o implantar por estar por debajo del umbral establecido. Este umbral es del 50% de eficacia. T2.3.2: Valoración de las salvaguardas existentes Objetivos Determinar la eficacia de las salvaguardas desplegadas. Hay que ordenar en el tiempo los programas de seguridad teniendo en cuenta los siguientes factores [MAGE05] [MAÑA04]: - La criticidad, gravedad o conveniencia de los impactos y/o riesgos que se afrontan, teniendo máxima prioridad los programas que afronten situaciones críticas. - El coste del programa.

143 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las salvaguardas - La disponibilidad del personal propio para responsabilizarse de la dirección (y, en su caso, ejecución) de las tareas programadas. - Otros factores como puede ser la elaboración del presupuesto anual de la organización, las relaciones con otras organizaciones, la evolución del marco legal, reglamentario o contractual, etc. En el caso del AGR expuesto se va a tener en cuenta el primero de los factores. También se va a valorar el grado de implantación que tienen. La eficiencia de las salvaguardas desplegadas se puede ver en el anexo evaluación de las salvaguardas. Salvaguarda Presente Marco de gestión 59% Relaciones con terceros na 2 Servicios 86% Datos / Información 98% Aplicaciones informáticas (SW) 78% Equipos informáticos (HW) 88% Comunicaciones 90% Elementos auxiliares 93% Seguridad física 72% Personal 78% Tabla 6. Resumen de la eficacia de las salvaguardas agrupadas por tipos La forma en que calculan los porcentajes de eficiencia depende de ciertos criterios que se valoran de forma ponderada. Estos criterios son los que vamos a analizar a continuación. Cada grupo de salvaguardas se compone de varios subgrupos que, a su vez, se componen de más subgrupos. En la explicación mostrada a continuación se han tenido en cuenta todos los factores; sin embargo, para facilitar la comprensión, sólo se muestran los factores principales, estando completamente desplegados en el anexo informes, evaluación de las salvaguardas. 2 No se estudia en el AGR

144 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las salvaguardas Se puede comprobar que el aspecto que peor se encuentra es el relacionado con el marco de gestión, donde, si se analiza a fondo, se comprueba que no existe una metodología de actuación formal en la organización en relación a los sistemas de información y, en particular, a imat. No existe un documento de análisis de riesgos, ni un plan de seguridad escrito. La mayoría de los procedimientos escritos se encuentran incompletos y no contemplan casos excepcionales o procedimientos de emergencia en caso de que ocurran este tipo de incidencias (si suelen existir procedimientos para casos o incidencias habituales). La difusión de los documentos existentes es limitada e insuficiente. Las políticas seguidas son las dadas por la directiva de STIC, aunque no siempre se cumplen, por no estar escritas. A su vez, los errores reparados no siempre son documentados, lo que puede llegar a dificultar una futura incidencia similar si el personal ha cambiado. Marco de gestión 59% Organización 55% Normativa de seguridad 25% Identificación y autenticación 89% Control de acceso lógico 78% Gestión de incidencias 42% Revisión de la seguridad de los sistemas de información 30% Continuidad del negocio (contingencia) 50% Tabla 7. Marco de gestión. Salvaguardas. La seguridad física es el segundo grupo de salvaguardas más desprotegido, aunque se considera que el riesgo existente, debido a estas salvaguardas implantadas, es muy bajo. Las salvaguardas implantadas son las correctas, fallando en la normativa formal de seguridad (causa directa del marco de gestión). La seguridad falla en lo relacionado con las normativas establecidas (prohibido fumar, cámaras de video, etc.) para el acceso en la sala de servidores y los procedimientos de seguridad existentes. El diseño falla como consecuencia de la normativa y de no existir una separación entre el área de seguridad y el acceso al público. A STIC se puede acceder desde el edificio principal, subiendo por ascensor hasta el tercer piso, sin requerirse identificación de ningún tipo. La sala de servidores si contempla la restricción de acceso mediante tarjetas.

145 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las salvaguardas La protección frente a desastres es muy buena a pesar de haber salvaguardas a mejorar como el sistema antiincendios, ya que hay un solo extintor a la entrada de la sala (fuera) y ningún mecanismo de extinción automático para periodos en los que no haya personal para extinguir el incendio. Sí se dispone de alarma antiincendios. Seguridad física 72% Inventario de instalaciones 87% Normativa 0% Procedimientos 63% Diseño 37% Control de los accesos físicos 87% Protección del perímetro 100% Vigilancia na Iluminación de seguridad na Protección frente a desastres 89% Tabla 8. Seguridad física. Salvaguardas. Por el contrario, en lo referente a las comunicaciones, los datos, los elementos auxiliares o de soporte, la forma en que se prestan los servicios (imat e imatbecarios), el diseño y seguridad de HW y SW; el sistema goza una gran seguridad y un buen diseño en estos aspectos. Cabe destacar la seguridad de la información y las comunicaciones. Sin embargo, aunque las comunicación tienen una valoración del 90% de eficacia, es un elemento crítico que lo evidencia en el diseño del servicio de comunicaciones con el exterior (Internet): Sólo existe un proveedor de servicios de Internet, lo que hace que se depende de forma directa de este elemento para garantizar el servicio de imat a través de Internet (usado por más del 50% de los usuarios que acceden a imat) [HUIT00]. Comunicaciones 90% Inventario de servicios de comunicación 83% Disponibilidad 93% Adquisición o contratación 92% Instalación 100% Operación 98% Cambios (actualizaciones y mantenimiento) 63%

146 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las salvaguardas Terminación 100% Tabla 9.Comunicaciones. Salvaguardas. La información manejada, activo más importante de la organización, está protegida de forma casi perfecta (98%). Si hubiese que fijarse en algo sería en el inventario y su revisión periódica, pero ese aspecto es el menos importante de todos los analizados y por lo tanto se considera que no merece la pena. Datos / Información 98% Inventario de activos de información 80% Clasificación de la información 100% Disponibilidad 99% Integridad 98% Criptografía 100% Tabla 10. Datos/Información. Salvaguardas. Aunque las salvaguardas implantadas en SW y HW son muy buenas, la documentación en los mismos no es tan buena, consecuencia directa del marco de gestión y la normativa escrita. Este factor hay que corregirlo no sólo en SW y HW, sino en todo el sistema. Esta falta de documentación afecta al inventario que se posee de las aplicaciones. El uso de Microsoft Visual Soursafe facilita la gestión de versiones y copias de seguridad, pero no garantiza una correcta regresión. Las pruebas de regresión no existen, habiéndose hecho alguna, pero sin ser un aspecto formal y que se repita como procedimiento periódico. No se ha evaluado el impacto potencial al cambio. Aplicaciones informáticas (SW) 78% Inventario de aplicaciones 37% Copias de seguridad 66% Adquisición na Desarrollo 91% Puesta en producción 100% Explotación 80% Cambios (actualizaciones y mantenimiento) 73% Terminación na

147 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Tabla 11. Aplicaciones informáticas (SW). Salvaguardas. Caracterización de las salvaguardas Como sucede con el SW, en el HW no se ha contemplado el impacto que produciría el cambio de equipos por diferentes modelos en caso de tener que hacerse de forma inmediata. La identificación de los requisitos de seguridad se hace una vez implantados los sistemas HW y no previamente, lo que puede llegar a perjudicar el desarrollo de HW por no existir un plan de documentación en el que se especifican el por qué de los equipos con relación a cada una de las aplicaciones y sistemas que soportan. Sin embargo el margen para el error es amplio y difícil de alcanzar por este motivo ya que la dimensión del sistema es mucho mayor que las necesidades reales por parte de los sistemas de información implantados (incluyendo imat). Sí existe un inventario del HW y una documentación de los cambios realizados. Lo que no existe son planes de contingencia. Equipos informáticos (HW) 88% Inventario de equipos 100% Disponibilidad 100% Adquisición de HW 83% Desarrollo de HW 73% Instalación 100% Operación 91% Cambios (actualizaciones y mantenimiento) 68% Terminación na Tabla 12. Equipos informáticos (HW). Salvaguardas. El personal existente (STIC) está conveniente contemplado en lo que refiere al mantenimiento de los sistemas, cubriendo todos los puestos necesarios para gestionar imat y el resto de sistemas de la información de la universidad. Sin embargo, se debe mejorar la política de formación en relación a su evaluación y planificación. Las necesidades de formación se identifican cuando dicho personal considera que lo necesita, sin haber un plan de formación continuo o una revisión y evolución del mismo y sus resultados. Personal 78% Relación de personal 100%

148 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las salvaguardas Puestos de trabajo 100% Contratación na Formación 55% Política del puesto de trabajo despejado y bloqueo de pantalla na Protección del usuario frente a coacciones na Tabla 13. Personal. Salvaguardas. Los elementos auxiliares que ayuda y garantizan el buen funcionamiento de imat como el control de temperatura o el suministro eléctrico está convenientemente implantados y garantizados para, en caso de fallo, funcionar correctamente. Elementos auxiliares 93% Inventario de equipamiento auxiliar 95% Disponibilidad 100% Instalaciones na Suministro eléctrico 94% Climatización 85% Protección del cableado 90% Otros suministros na Tabla 14. Elementos auxiliares. Salvaguardas. Los servicios prestados por el sistema de información (sistema de matriculación por Internet e impresión de matrículas por parte de los becarios) se encuentra bien definidos, correctamente explotados, desarrollados y estudiados. el porcentaje obtenido en la disponibilidad se debe a que no se estudiado la posibilidad de que los servidores Web superen el número máximo de conexiones, lo que provocaría un error de disponibilidad en las capacidades máximas y en la prestación del servicio. Se sabe que ese número (60000 conexiones) es inalcanzable, pero puede darse un ataque aprovechando esto. Todo sistema ha de contemplar medidas de control, aunque sean teóricamente inalcanzables. Servicios 86% Inventario de servicios 88% Disponibilidad 63%

149 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Caracterización de las salvaguardas Desarrollo 95% Despliegue na Explotación 92% Gestión de servicios externos na Terminación 87% Tabla 15. Servicios. Salvaguardas.

150 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo A2.4: Estimación del estado de riesgo T2.4.1: Estimación del impacto Objetivos Determinar el impacto potencial al que está sometido el sistema. Determinar el impacto residual al que está sometido el sistema. En esta tarea se estima el impacto al que están expuestos los activos del sistema [MAGE05]: El impacto potencial, al que está expuesto el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas; pero no las salvaguardas actualmente desplegadas. El impacto residual, al que está expuesto el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas, así como la eficacia de las salvaguardas actualmente desplegadas. Hay amenazas que provocan impactos mayores que otras sobre el mismo activo. En las tablas presentadas a continuación sólo se presentan los activos clasificados según el mayor impacto que pueden sufrir. Para ver los impactos clasificados según amenaza y activo se recomienda consultar el informe de insuficiencias facilitado como anexo. Si resumimos el impacto y lo clasificamos por dimensiones, tenemos los siguientes impactos potenciales en los activos: Impacto muy alto: (10-7, siendo 7 una valoración del analista el clasificarlo como alto o muy alto). [D] Disponibilidad [I] Integridad [MAT] Matriculación [IMAT] imat [I_A] Información Alumnos [BBDD] SQL Server 2000 [IMAT] imat [SERV_BAL] Servidor de balanceo [BBDD] SQL Server 2000 [SERV_WEB] Servidores Web

151 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo [SERV_BAL] Servidor de balanceo [SERV_FICH] Servidor de Ficheros [SERV_WEB] Servidores Web [SERV_DAT] Servidor de Datos [SERV_FICH] Servidor de Ficheros [FIRE] Firewall [SERV_DAT] Servidor de Datos [ADM] Administradores [SWITCH] Switch [ALUM] Alumnos [LAN] Red de área local [FIRE] Firewall [POWER_AA23] Sistema de Alimentación sala servidores [SERV_AA23] Servidores Tabla 16. Impacto potencial muy alto Impacto alto (7-5, el 4 se ha considerado bajo, aunque en mucho casos se considera un impacto alto) [D] Disponibilidad [I] Integridad [C] Confidencialidad [IMATBEC] imatbecarios [SERV_AA23] Servidores [I_A] Información Alumnos [INT] Internet [IMAT] imat [TEMP_AA23] Sistema de climatización sala servidores [BBDD] SQL Server 2000 [I_ASIG] Información Asignaturas [SERV_BAL] Servidor de balanceo [I_DEP] Información departamentos [SERV_WEB] Servidores Web [I_CONF] Información de configuración [SERV_FICH] Servidor de Ficheros [SERV_DAT] Servidor de Datos [LAN] Red de área local [FIRE] Firewall [ADM] Administradores

152 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo [SG] Secretaría General [ALUM] Alumnos Tabla 17. impacto potencial alto Impacto medio o bajo (medio: 4-3, bajo:2-1) [D] Disponibilidad [I] Integridad [C] Confidencialidad [IMPR_BEC] Impresión Becarios [SERV_BACK] Servidor de back-up [I_ASIG] Información Asignaturas [SERV_AA25] Servidor auxiliar [I_DEP] Información departamentos [BEC_AA21] Emplazamiento becarios [CAJ_SEG] Caja de Seguridad [POWER_AA25] Sistema de Alimentación sala auxiliar [SERV_BACK] Servidor de back-up [TEMP_AA25] Sistema de climatización sala auxiliar Tabla 18. Impacto potencial medio y bajo El impacto residual es, en todos los activos, igual o menor a 3 en todos los casos. Esto significa que el impacto de cualquier amenaza sobre imat es bajo. Esto se debe a que el diseño del sistema de información es bueno. Sin embargo, se debería mejorar la forma de gestionar los sistemas en lo relacionado con el aspecto formal y escrito. En los anexos se podrán encontrar todas las valoraciones de impacto (activo-amenaza). Se recomienda ver el anexo relativo al mapa de riesgos, el informe de insuficiencias y el estado de riesgo. En estado de riesgo se podrán ver los impactos y riesgos potenciales y residuales.

153 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo Figura 37. Impacto acumulado potencial y residual en servicios, aplicaciones, información y personal relacionados con imat 1. Figura 38. Impacto acumulado potencial y residual en BBDD, equipamiento y locales relacionados con imat. 1 El impacto (rojo) representa el impacto potencial y el presente (azul) el impacto residual.

154 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo Figura 39. Impacto acumulado potencial y residual en imatbecarios 2. T2.4.2: Estimación del riesgo Objetivos Determinar el riesgo potencial al que está sometido el sistema. Determinar el riesgo residual al que está sometido el sistema. En esta tarea se estima el riesgo al están sometidos los activos del sistema: El riesgo potencial es el riesgo al que está sometido el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas; pero no las salvaguardas desplegadas. Las amenazas en imat y su valoración se pueden ver en el anexo informes, mapa de riesgos. 2 Impacto acumulado potencial y residual en imatbecarios que no tienen relación con imat, a excepción de la BBDD y algunos tipos de información. Hay activos que aparecen en los gráficos anteriores y también están relacionados con imatbecarios. El impacto (rojo) representa el impacto potencial y el presente (azul) el impacto residual.

155 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo Una vez valoradas las amenazas se puede concluir que existe un riesgo intrínseco (potencial) en imat, es decir, sin tomar ninguna medida de seguridad: Existe un riesgo muy alto de amenazas de: - [I.6] Corte del suministro eléctrico - [I.7] Condiciones inadecuadas de temperatura y/o humedad, debido a la gran cantidad de máquinas y el tamaño de las habitaciones de servidores. Es necesario acondicionar estas habitaciones para garantizar unas condiciones óptimas para el hardware. - [I.8] Fallo de servicios de comunicaciones. Hay que considerar la gran cantidad de comunicaciones y la compleja infraestructura de la misma. Un fallo en las comunicaciones puede darse por numerosos motivos, como un error en la red de la universidad o en las comunicaciones con el exterior; un fallo en los servidores Web, o de balanceo, un fallo en el switch, etc. - [E.1] Errores de los usuarios, debido fundamentalmente a la falta de información en usuarios de primer curso y en la gran cantidad de matrículas que se realizan. - [E.2] Errores del administrador, debido a la formación que no reciben. No hay que olvidar que se está analizando el riesgo intrínseco. - [E.3] Errores de monitorización (log). El firewall es un elemento crítico en el sistema de información. Un fallo en la monitorización de la red puede suponer la entrada de SW dañino (virus, troyanos, etc.) - [E.8] Difusión de software dañino, debido en muchos casos a programas piratas instalados por el personal a causa de la falta de concienciación. - [E.9] Errores de [re-]encaminamiento en el servidor de balanceo, provocando la pérdida de información para los usuarios que lo sufran. Este error puede suponer un riesgo muy importante para la disponibilidad del sistema. - [E.24] Caída del sistema por agotamiento de recursos, debido a la gran cantidad de recursos manejados y el número de accesos producidos en imat en periodos de matriculación.

156 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo - [A.5] Suplantación de la identidad del usuario, debido a obtenciones de clave de otros usuarios o al uso de sesiones abiertas por otros usuarios. Al dar de alta a un alumno en el sistema se establece como contraseña inicial el DNI del alumno (la clave o usuario es siempre el número de alumno). Aunque esta contraseña inicial se puede cambiar fácilmente a través de la intranet de la universidad la mayoría de los alumnos no la cambian. Si a este hecho le sumamos que hasta el 2004 se podía ver en los ordenadores de la universidad el nombre del usuario que tenia la sesión abierta acompañado del DNI, la obtención de contraseñas era relativamente sencilla. A partir de 2004 el DNI se suprimió de la cadena de información que se mostraba, pero no se quitaron de las cadenas de alumnos anteriores a Debido a este proyecto se están suprimiendo los DNI de los alumnos anteriores al curso especificado. Dejar una sesión abierta es un error de usuario (alumnos) que se comete de forma diaria. Este despiste puede permitir a otras personas suplantar al usuario y obtener su clave y contraseña en la terminal donde la sesión se ha dejado abierta mediante el procedimiento de obtención de contraseñas comentado en el párrafo anterior (si el alumno es anterior a En breve este procedimiento desaparecerá por completo a eliminarse el DNI de las cadenas mostradas a los usuarios).para acceder a imat se usan las mismas claves y contraseñas que en el resto de servicios de la universidad, por lo que este error afecta a imat. - [A.11] Acceso no autorizado que, aunque, los usuarios tengan las garantías y habilitaciones de seguridad adecuadas, esto no garantiza que accedan a la información para la cual están autorizados acrecentándolo, además, por el principio de la necesidad de conocer. A su vez pueden producirse accesos no autorizados a las salas de servidores si éstas no poseen las medidas de seguridad adecuadas. - [A.15] Modificación de información, por la misma razón que E.16, pero en este caso se debe propósitos intencionados por parte de los usuarios. - [A.16] Introducción de falsa información, misma razón que A [A.22] Manipulación de programas, aunque el personal es confiable y seguro, pueden darse casos de personal malintencionado que intenta sabotear de alguna

157 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo forma el sistema de información; y si tiene acceso a los programas y su código puede llegar a materializar esta amenaza. - [A.24] Denegación de servicio, por errores de programación que no permiten a usuarios autorizados acceder al sistema. Esta amenaza suele darse por una reacción en cadena con otras amenazas. - [A.29] Extorsión Existe un riesgo alto de amenazas de: - [N.1] Fuego, debido a la concentración de equipos electrónicos y material inflamable (mobiliario, paredes, etc.) en una zona localizada y concreta, es decir, en la sala donde se encuentran los servidores. Lo mismo sucede en el emplazamiento de becarios. - [I.5] Avería de origen físico o lógico, debido a la concentración de equipo que puede sufrir una avería por su uso continuo o una avería física provocada por el mal estado de los componentes. - [E.18] Destrucción de la información, por una fallo de hardware o un error de software no probado en la fase de pruebas. - [E.21] Errores de mantenimiento / actualización de programas (software), por no seguir especificaciones del fabricante o un mantenimiento periódico que permita detectar errores y atajarlos. - [A.4] Manipulación de la configuración - [A.6] Abuso de privilegios de acceso - [A.14] Intercepción de información (escucha), debido a una inexistencia de controles (como, por ejemplo, un firewall correctamente configurado). - [A.19] Divulgación de información, por un error en la programación, una carencia de medidas de seguridad o políticas de la organización. Existe un riesgo medio de amenazas de: - [E.4] Errores de configuración, por carencias en la formación de los empleados.

158 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo - [E.7] Deficiencias en la organización, por falta de políticas de seguridad o errores en la forma de comunicarlas. - [E.14] Escapes de información, por carencias en las políticas de seguridad. - [E.16] Introducción de falsa información, debido a errores a la hora de rellenar formularios por parte de alumnos, becarios, administradores. En la mayoría de los casos es por falta de atención o conocimientos. - [E.20] Vulnerabilidades de los programas (software), por errores de programación y no saber detectarlos en la fase de pruebas, lo que evidenciaría una mala política de desarrollo. - [E.23] Errores de mantenimiento / actualización de equipos (hardware), al no seguir las especificaciones del fabricante y/o llevar una política de mantenimiento insuficiente (intervalos de tiempo entre cada mantenimiento excesivo, nivel de detalle, etc.) - [A.4] Manipulación de la configuración, por carencias en la seguridad de acceso a las salas de servidores. También puede modificarse la configuración de los programas por accesos no autorizados a al código o partes del programa o datos que no deberían estar disponibles para ciertos usuarios. - [A.9] [Re-] encaminamiento de mensajes, por errores en la configuración de las comunicaciones. - [A.28] Indisponibilidad del personal debido fundamentalmente a la falta de procedimientos y recursos en las labores claves de mantenimiento, soporte y monitorización del sistema. - [I.7] Condiciones inadecuadas de temperatura y/o humedad, ya que al ser un recinto cerrado los equipos pueden fallar a causa de estas causas. Existe un riesgo bajo de amenazas de: - [A.25] Robo de equipos, estando todos concentrados en lugares concretos. - [A.26] Ataque destructivo, de equipos principalmente. Una vez se accede a las salas de servidores, la destrucción de equipos es sencilla. A su vez la destrucción de los ordenadores facilitados en los el pasillo en periodo de matriculación es

159 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo relativamente sencilla. Sin embrago, la importancia de estos ordenadores para el sistema de información es nula, importando exclusivamente el aspecto económico, aspecto no tratado en este AGR. El riesgo residual, al que está sometido el sistema teniendo en cuenta el valor de los activos y la valoración de las amenazas, así como la eficacia de las salvaguardas actualmente desplegadas., se puede ver en el anexo informes (informe de insuficiencias y estado de riesgo). T2.4.3: Interpretación de los resultados Objetivos Interpretar los resultados anteriores de impacto y riesgo. Establecer las relaciones de prioridad por activos o grupos de activos, bien por orden de impacto o por orden de riesgo. De esta tarea se obtienen dos de los documentos que se incluirán en la documentación final de todo proyecto AGR: Estado de Riesgo. Informe resumen del impacto y riesgo potencial y residual a que está sometido cada activo del dominio. Informe de insuficiencias. Informe que destaca las incoherencias entre las salvaguardas que se necesitan y las que existen y las divergencias entre las magnitud del riesgo y a eficacia actual de las salvaguardas. Ambos documentos se encuentran en los anexos Al final del análisis de riesgos se obtiene el impacto y el riesgo existente en el sistema. Ese impacto y riesgo que se obtiene puede verse desde dos ángulos distintos: - Sin salvaguarda alguna. - Con las salvaguardas ya implantadas en el sistema (sin gestión adicional).

160 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo Figura 40. Análisis y Gestión de Riesgos sin amenazas implantadas Por los riesgos existentes y los impactos que tienen sobre los activos se puede considerar que los elementos críticos en el sistema son los servidores y las comunicaciones. Del mismo modo hay que garantizar la seguridad en el SW y el HW, mediante procesos y políticas convenientemente acordadas. Los programas han de hacerse según unas políticas de desarrollo establecidas, con fases de desarrollo y pruebas diferenciadas. La existencia de una metodología en la organización, para comunicar el estado de la seguridad y los procesos de instalación, mantenimiento y actualizaciones de SW y HW, ha de considerarse algo imprescindible; siendo un proceso organizado y formal. La formación del personal de STIC (administradores) es importante para garantizar el correcto funcionamiento. Esa formación ha de incluir procesos para inculcar la importancia de la seguridad y documentarla.

161 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo Figura 41. Riesgos potenciales y residuales en imat teniendo en cuenta las salvaguardas actuales. Se puede comprobar en el gráfico que los servidores y el firewall son elementos críticos en el sistema. Así mismo el switch y las comunicaciones también. No hay que olvidar que imat funciona mediante la red local (LAN) e Internet. El riesgo residual es bajo gracias a las salvaguardas desplegadas.

162 Análisis y Gestión de Riesgos en imat Análisis de Riesgos Estimación del estado de riesgo Figura 42. Riesgos potenciales y residuales en imatbecarios teniendo en cuenta las salvaguardas actuales. Se puede comprobar por el gráfico que el emplazamiento de los becarios no tiene ninguna importancia para los fines del sistema de información. No hay que olvidar que activos como los servidores, el firewall o la sala de servidores también influyen en el correcto funcionamiento de imatbecarios aunque se hayan incluido en la figura 32 y no en la 33, haciendo esto para facilitar la comprensión del sistema.

163 Análisis y Gestión de Riesgos en imat Gestión de Riesgos P3: Gestión de Riesgos Se procesan los impactos y riesgos identificados en el proceso anterior, bien asumiéndolos, bien afrontándolos. Para afrontar los riesgos que se consideren inaceptables se llevará a cabo un plan de seguridad que corrija la situación actual. Un plan de seguridad se materializa en una colección de programas de seguridad. Algunos programas serán sencillos, mientras que otros alcanzarán suficiente nivel de complejidad y coste como para que su ejecución se convierta en un proyecto propiamente dicho. La serie de programas (y, en su caso, proyectos) se planifica en el tiempo por medio del denominado Plan de Seguridad que ordena y organiza las actuaciones encaminadas a llevar el estado de riesgo a un punto aceptable y aceptado por la Dirección [MAGE05]. En la gestión de riesgos se toman una serie de decisiones entre las que destacan: Elegir una estrategia para mitigar el impacto y el riesgo. Determinar las salvaguardas oportunas para la decisión anterior. Determinar la calidad necesaria para dichas salvaguardas. Diseñar un plan de seguridad para llevar el impacto y el riesgo a niveles aceptables. Llevar a cabo el plan de seguridad. En el caso concreto de imat este proceso se va a desarrollar de forma ficticia y sin consulta previa con la dirección ni el STIC. Los planes de seguridad van a crearse sólo a efectos de estudio.

164 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Toma de decisiones Actividad A3.1: Toma de decisiones En esta actividad se traducen las conclusiones técnicas del proceso P2 en decisiones de actuación. Tareas: Tarea T3.1.1: Calificación de los riesgos Objetivos Calificar los riesgos en una escala: crítico, grave, apreciable o asumible. A la hora de clasificar los riesgos existentes en el sistema hay una serie de factores que han de tenerse en cuenta siempre (gravedad del impacto/riesgo, legislación vigente, obligaciones por contrato) y otros que dependen de la política la organización. Los factores que dependen de la política la organización pueden ser muy variados, abarcando desde la imagen pública que se quiere dar a la sociedad, la política interna (empleados, contratación de personal, rotaciones, etc.), las relaciones con los proveedores, el deseo de acceder a sellos de calidad reconocidos, etc. [MAGE05]. Una vez analizados todos los factores para cada uno de los riegos existentes en el sistema de información hay que clasificarlos determinando si es - crítico en el sentido de que requiere atención urgente, - grave en el sentido de que requiere atención - apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento - asumible en el sentido de que no se van a tomar acciones para atajarlo. Si la última opción es la escogida, aceptación del riesgo, hay que justificar las razones que han llevado a ello. Algunas de las razones pueden ser: - El impacto residual es despreciable. - El riesgo residual es despreciable. - El coste de las salvaguardas oportunas es desproporcionado en comparación al impacto y riesgo residuales.

165 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Toma de decisiones El plan de seguridad partirá de esta clasificación para estimar las políticas de corrección y eliminación de amenazas. En las actividades A2.3 y A.4 se han estudiado y explicados las salvaguardas existentes y los impactos y riesgos potenciales y residuales. Además, se puede ver el estado de riesgo del sistema de información en el informe de insuficiencias y el estado de riesgos (anexos incluidos en los informes presentados). Si resumimos los riesgos residuales del sistema (riesgo teniendo en cuenta las salvaguardadas existentes) podemos comprobar que no existe un riesgo muy alto o alto en el sistema, lo que verifica la teoría inicial que se tenía del sistema al empezar el AGR sobre imat: El sistema está conveniente protegido. Sin embargo, por el principio básico de la seguridad (no existe un sistema 100% seguro), las salvaguardas aplicadas y la forma en que aseguran el sistema, sí que existen riesgos en imat. Existe un riegos residual medio (nivel 3 sobre 5) de: - [I.1] Fuego. Debido a la concentración de equipos en un espacio reducido de 12m 2 como es la sala de servidores o la sala auxiliar de servidores (donde se encuentra el servidor de back-up). Además hay que tener en cuenta que no existen normas de comportamiento dentro de las salas de servidores (como por ejemplo prohibido fumar). Se cuenta con alarma antiincendios y sistema de extinción para minimizar los riesgos. - [E.1] Errores de los usuarios a la hora de usar imat. Este tipo de errores se puede dar en la aplicación (imat) debido al desconociendo de los usuarios a la hora de interaccionar con imat o bien por la introducción de información errónea que provoque errores. Los errores e usuarios pueden dañar el sistema en las dimensiones de disponibilidad e integridad de datos. Por este motivo se han de controlar los posibles fallos de los usuarios desde la aplicación antes de enviar información a otras partes del sistema como puede ser el servidor de datos. - [E.8] Difusión de software dañino. Esta amenaza se debe a la gran cantidad de amenazas existentes hoy en día en la red y la imposibilidad de poder garantizar 100% la seguridad de los sistemas frente virus. Puede dañar a imat en todas las

166 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Toma de decisiones dimensiones analizadas (D, I, C) No hay creerse algunos tópicos existentes como 1 : o El sistema no es importante para un hacker. Este tópico se basa en la idea de que no introducir contraseñas seguras en una empresa no entraña riesgos pues quien va a querer obtener información de la organización? Sin embargo, dado que los métodos de contagio se realizan por medio de programas automáticos, desde unas máquinas a otras, estos no distinguen buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas y dejarlos sin claves es facilitar la vida a los virus. o El sistema está protegido pues no abro archivos que no conozco. Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas. o El sistema dispone de antivirus, está protegido. En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación. o El sistema se encuentra detrás de un firewall, no hay posibilidad de contagio. Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos. - [A.5] Suplantación de la identidad del usuario. Ya se explicó la facilidad que existe para averiguar usuarios y contraseñas a través de los ordenadores de la universidad de alumnos anteriores a 2004 (ir a T2.4.1); debido a los errores (despistes) de los alumnos a la hora de abandonar las salas de ordenadores sin 1 Seguridad informática, Wikipedia (http://www.wikipedia.es)

167 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Toma de decisiones cerrar la sesión 2 o por no haber cambiado la contraseña. Esta facilidad afecta directamente a todas las dimensiones analizadas, pudiendo ser dañinas para imat (aplicación) y como consecuencia a la base de datos y al servidor de datos, pudiendo ser información no segura por poder ser modificada por la persona que suplanta al usuario. También es cierto que este fallo de seguridad sólo existe a nivel de usuario (alumno) y no de administrador, por lo que la información que se vería afecta sería la de los alumnos y nunca la información de configuración o administradores. Existe un riesgo residual bajo (nivel 2 sobre 5) de. - [E.1] Errores de los usuarios en relación a la base de datos. El riesgo de errores de usuarios es menor en relación a la base de datos que a imat porque desde imat a la hora de introducir información siempre se pide confirmación varias veces (por ejemplo a la hora de verificar las asignaturas o los datos personales) antes de enviar la información a al servidor de datos para guardarla. - [E.8] Difusión de software dañino. En este caso nos referimos a imatbecarios. El riesgo de software dañino es menor que en imat por usar sólo la red local de la universidad sin salir de la misma en ningún momento. Es cierto que imat no sale de la red local, pero al poder realizarse la matrícula desde Internet (lugares externos a la universidad), el riesgo de contagio es mayor en imat que en imatbecarios. Aún así en ninguno de los dos sistemas existe un riesgo alto de contagio, es un riesgo teórico considerado por los principios expuestos anteriormente al explicar el riesgo en imat y clasificarlo como riesgo medio. - [A.26] Ataque destructivo a los ordenadores facilitados en el pasillo en periodo de matriculación. Estos ordenadores se encuentran en el pasillo sin protección alguna exceptuando la vigilancia de los becarios. Por este motivo puede darse el caso de un ataque destructivo (físico) contra ellos. 2 Este fallo de seguridad existía a la hora de empezar a hacer el análisis de riesgos y estudiar las salvaguardas existentes. Hoy en día puede que este fallo haya sido reparado y no exista. Es cierto que esto se encuentra contemplado mediante la desconexión automática de las sesiones sin actividad a los 20 min.

168 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Toma de decisiones - [I.7] Condiciones inadecuadas de temperatura y/o humedad. Existen mecanismos para garantizar las condiciones de temperatura y humedad en las salas de servidores. Sin embargo, debido al continuo funcionamiento de los equipos HW instalados, puede darse el caso que esas condiciones cambien por un fallo en algunas de las máquinas o en el sistema de climatización. En ese caso hay que procurar que los servidores no sufran condiciones prejudiciales para su correcto funcionamiento. Este riesgo perjudicaría a la disponibilidad de los sistemas de información. [E.2] Errores del administrador (SQL, imat, imatbecarios) - [E.3] Errores de monitorización (log). Ya se ha comentado que la seguridad no se puede garantizar completamente. Por ese motivo puede asegurarse que el firewall fallar a la hora de controlar las entradas al sistema. Es un error que se considera de riesgo bajo, según las salvaguardas implantadas. - [E.9] Errores de [re-]encaminamiento. El servidor de balanceo es un elemento crítico del sistema que, como tal está convenientemente asegurado y estudiado. Un error en el mismo provocaría errores que afectarían a algunos usuarios y por tanto a la disponibilidad del sistema con relación a los mismos. Debido a gran número de operaciones realizadas por este servidor un error es posible, aunque improbable. - [E.24] Caída del sistema por agotamiento de recursos. Ya se explicó que aunque el sistema está dimensionado convenientemente contando con recursos de sobra para prestar los servicios requeridos. Esto haría fallara al sistema dejando de dar el servicio (como ocurre en un ordenador cuando se le piden más tareas de las que es capaz de soportar). Un sistema seguro ha de controlar siempre la capacidad y tener medidas para ello. Esta carencia de medidas puede ser aprovechada para atacar al sistema. Sin embargo el riesgo es pequeño por los recursos con los que cuenta, soportando hasta conexiones en los servidores Web. - [E.21] Errores de mantenimiento / actualización de programas (software). Debido a las carencias en el marco de gestión y las normativas y metodologías escritas para la realización de tareas.

169 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Toma de decisiones - [E.16] Introducción de falsa información, afectando a la integridad de la información. Puede darse por errores de administración al crear/actualizar el servidor de ficheros (páginas ASP, aplicaciones como imat o imatbecarios, etc.), o al introducir la información de las asignaturas (créditos, etc.) dada por las escuelas e introducidas por STIC. La introducción de información siempre es supervisada y repasada, así como testeada en la fase de pruebas. Un error puede darse por no contemplar algo en la fase de pruebas, algo difícil. Existe un riesgo residual muy bajo (grado 1 sobre 5) de. - [I.5] Avería de origen físico o lógico. Las revisiones de mantenimiento siguiendo las especificaciones de los fabricantes y los recambios minimizan el riesgo de averías de origen físico o lógico. Sin embargo es un riesgo que es imposible llevar al cero. - [I.9] Interrupción de otros servicios y suministros esenciales. La redundancia de todos los sistemas (comunicaciones, servidores, HW, repuestos) hace del sistema un sistema robusto en cuento a la forma de prestar los servicios, siendo el riesgo casi nulo. Los sistemas de alimentación y climatización se encuentran respaldados por sistemas de reserva en las salas de servidores, así como en toda la universidad. - [I.6] Corte del suministro eléctrico. Para evitar esto se cuenta con un sistema secundario de alimentación. Cabe destacar que las salvaguardas implantadas han bajado este riesgo de se un riesgo muy alto a riesgo muy bajo, casi inexistente. - [E.2] Errores del administrador. El administrador es el personal de STIC encargado de gestionar el sistema. Un error en la forma de hacerlo puede afectar a la configuración del firewall, a las aplicaciones de imat o imatbecarios, a la base de datos, etc. Por ello hay que tener políticas de formación y contratación de personal, normativas y metodologías de documentación, comportamiento y gestión en relación a los sistemas de información, etc. - [E.4] Errores de configuración. Provocados por errores del administrador.

170 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Toma de decisiones - [E.24] Caída del sistema por agotamiento de recursos. En este caso nos estamos refiriendo al servidor de ficheros. Un agotamiento de recursos es casi impensable pues es un servidor que almacena información preestablecida, no se introduce en él información durante el funcionamiento del sistema (exceptuando aquella temporal para pedir información del servidor). - [E.8] Difusión de software dañino. Refiriéndose de nuevo al servidor de ficheros y por la misma razón (la información se introduce antes de empezar a funcionar el sistema, siendo información de lectura). Sin embargo, la seguridad nunca es del 100% en un servidor. - [E.20] Vulnerabilidades de los programas (software). Para minimizar los riesgos y detectarlos existen los programas de pruebas. Aunque el programa de pruebas es muy bueno y cumple todas las salvaguardas recomendadas, el riesgo existe. Nunca se puede garantizar que un SW es 100% seguro, un ejemplo claro es un sistema operativo, donde los parches son frecuentes, al igual que lo programas corporativos (SAP, Meta4, etc.). Esta afirmación puedo asegurarla por haber trabajado en Meta4 en el área de calidad arreglando un programa de calidad que controla los fallos en el resto de programas. - [A.25] Robo de equipos. Las salvaguardas implantadas han bajado este riesgo de riesgo muy alto a muy bajo. Sin embargo hay salvaguardas que hay que mejorar como, por ejemplo, la forma de gestionar las tarjetas o el incluir un acceso a STIC más restringido, que al menos cuente con una persona intermedia entre STIC y el resto de la universidad (vigilante, secretaria, etc.). La sala de servidores se encuentra protegida por un acceso restringido mediante tarjeta, pero con un registro de visitas de personas invitadas (sí que cuenta con un registro de visitas del personal que introduce la tarjeta para acceder). - [A.26] Ataque destructivo. Por las mismas causas que A.25.

171 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Plan de seguridad Actividad A3.2: Plan de seguridad Tarea T3.2.1: Programas de seguridad Objetivos Elaborar un conjunto de programas de seguridad. Partiendo de la tarea anterior se tomarán en consideración todos los escenarios de impacto y riesgo creados (críticos, graves, apreciables, asumibles o un mezcla de estos). Se crearán una serie de programas de seguridad con el propósito de dar respuesta a los diferentes escenarios creados [MAGE05]. Los programas de seguridad los que pretenden en última instancia es la implantación de una serie de salvaguardas que lleven impacto y riesgo a niveles residuales asumibles por la dirección [MAGE05]. Figura 43. Inserción de salvaguardas con el fin de obtener un impacto y riesgo residual asumible para la dirección

172 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Plan de seguridad Los planes de seguridad que se recomiendan, una vez evaluados los riesgos residuales, las salvaguardas existentes y comprobar que la mayoría de ellos se deban a las carencias ya mencionadas el marco de gestión 1 : P1. Normativas de seguridad P1.1: Documentación de los cambios, reparaciones y mantenimientos (SW, y HW) Crear una política de seguridad donde todo se encuentre correctamente documentado (de manera formal) y donde exista un análisis de riesgos que valore el estado del sistema. Documentar todos los procedimientos de trabajo, revisando loas actuales y añadiendo los que falten. P1.2: Documentación de los cambios, reparaciones y mantenimientos (SW, y HW) De esta forma se han evitar casos en los que no se sepan las posibles causas de un error o materialización de amenaza, acotando las posibles causas. Todos los documentos han de incluir: - Fecha. - Responsable. - Activos implicados. - Tareas realizadas. - Comentarios adicionales. P1.3: Normativa en relación a la seguridad física Se han de establecer normas de conducta cerca de los servidores, lugares de trabajo, etc. se han de cumplir todas las normativas de sanidad y seguridad existentes para el tipo de instalaciones con las que se cuenta. 1 Al ser un ejemplo teórico, aunque basado en un ejemplo real, los planes de seguridad sugeridos no se van a llevar a cabo. Por esta razón no se van a asignar responsables, otorgar recursos ni dar estimaciones temporales. Los planes de seguridad se van a limitar a dar recomendaciones sobre el sistema.

173 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Plan de seguridad La limitación o vigilancia de acceso a STIC y, por tanto, a los servidores es una salvaguardas que ha de estudiarse si merece la pena llevarla a cabo. La realización de este plan de seguridad limitaría los riesgos las amenazas I.1, I.5, E.1, E.3, E.7, E.8. E.9, E.20, E.21, E.24 entre otras. P2: Eliminar fallos de seguridad evidentes Un aspecto que hay que intentar minimizar es la posibilidad de obtener nombres de usuario y contraseñas desde los ordenadores de la universidad. Se han de buscar controles para evitar que los usuarios dejen las sesiones abiertas o mantengan de forma permanente el DNI como contraseña. Las medidas a tomar se basan en la eliminación del DNI de las cadenas a mostrar cuando se ve el usuario conectado a la máquina. Para los alumnos anteriores a 2004 este riesgo es mucho mayor por estar su DNI ligado a la cadena de información mostrada. Se han de suprimir los DNI de las cadenas de información en alumnos anteriores a 2004; los alumnos posteriores no tienen este problema. Cabe destacar que este problema se está solucionando actualmente gracias a este proyecto. Actualmente las sesiones se pueden cerrar de forma remota por el personal encargado de las salas de ordenadores para evitar que un usuario deje una sesión abierta de forma indefinida, pero esto no garantiza nada. Este fallo es crítico para el sistema y limitaría riesgos de amenazas tales como E.1, E.8, A.5 (este de forma importante), E.16, y E.20. Las contraseñas iniciales son inevitables (sin ellas no puede entrar el usuario por primera vez). La única medida posible es concienciar a los alumnos de la necesidad de cambiar esa contraseña. Una forma puede ser el primer día de clase, ir a la sala de ordenadores y que todos cambien su contraseña, evitando el riesgo evidente de que la contraseña sea el DNI. Otra forma es obligar al usuario a cambiar la contraseña la primera vez que se conecta al sistema. P3: Clasificación del inventario (SW, HW, Ficheros, Elementos auxiliares) El HW ya se encuentra correctamente estudiado en relación al inventario, sin embargo el HW y los elementos auxiliares han de estudiarse. Los ficheros como pueden ser las páginas ASP de imat se encuentran ya localizadas y correctamente

174 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Plan de seguridad estudiadas. Lo que se debe hacer es valorar el grado de comentario del código, estudiar el SW crítico, las necesidades de HW, etc. P4: Formación y evaluación continua La política de formación actual es buena pero no correcta. Se ha de establecer una política de formación basada en el seguimiento continuo y evaluado de la misma. Actualmente se llevan a cabo planes de formación según lo pide el personal de STIC, sin motivar el aprendizaje continuo por parte de la organización. Si se desea obtener un certificado de seguridad hay que lograr superar las clasificaciones de la ISO o cualquier otro criterio exigido. El estado del sistema con relación a la ISO/IEC 17799:2005, la CSNC 2 o el RD994 3 se encuentra a continuación de la gestión de riesgos. Tarea T3.2.2: Plan de ejecución Objetivos Ordenar temporalmente los programas de seguridad. El orden de los planes de seguridad puede ser P2, P1, P3, P4. Se considera que erradicar fallos de seguridad es lo primero, seguido de forma inmediata por P1. P4 es un plan de seguridad recomendado pero no imprescindible para el correcto funcionamiento de imat e imatbecarios. 2 Criterios de seguridad, normalización y conservación 3 Reglamento de medidas de seguridad

175 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Ejecución del plan Actividad A3.3: Ejecución del plan Esta actividad recoge la serie de proyectos que materializan el plan de seguridad y que se van realizando según dicho plan. Tarea T3.3.*: Ejecución de cada programa de seguridad Objetivos Alcanzar los objetivos previstos en el plan de seguridad para cada programa planificado. Para el ejemplo se considera que todos los planes de seguridad se han llevado a cabo. Si esto fuese así los impactos y riesgos residuales serían los siguientes: IMPACTOS Figura 44. Impacto acumulado potencial y residual en cada una de las fases (Servicios, datos, aplicaciones).

176 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Ejecución del plan Figura 45. Impacto acumulado potencial y residual en cada de las fases (BBDD, parte del equipamiento). Figura 46. Impacto acumulado potencial y residual en cada una de las fases (parte del equipamiento, locales y personal)

177 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Ejecución del plan RIESGOS Figura 47. Riesgos acumulados potenciales y residuales en cada una de las fases (Servicios, datos y aplicaciones).

178 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Ejecución del plan Figura 48. Riesgos acumulados potenciales y residuales en cada una de las fases (BBDD y parte del equipamiento).

179 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Ejecución del plan Figura 49. Riesgos acumulados potenciales y residuales en cada una de las fases (parte del equipamiento, locales y personal).

180 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Ejecución del plan IMPACTO REPERCUTIDO El impacto repercutido es aquel impacto que tienen los activos debido a las dependencias con activos inferiores. Si un activo inferior falla, afecta al funcionamiento de los activos superiores con los que está relacionado. Por este motivo un impacto en un activo afecta a los activos de orden superior. Al hacer la valoración acumulada se pasaban los valores de los activos superiores a los inferiores por la misma razón: si un activo tiene una valoración X, los activos de los que depende también porque una amenaza para ellos puede afectar a activos superiores. Figura 50. Impacto repercutido en cada una de las fases.

181 Análisis y Gestión de Riesgos en imat Gestión de Riesgos Ejecución del plan RIESGO REPERCUTIDO Lo mismo que se ha explicado para el impacto repercutido afecta al riesgo repercutido. Figura 51. Riesgo repercutido en cada una de las fases.

182 Análisis y Gestión de Riesgos en imat Clasificación según la ISO/IEC 17799:2005 Calificación según la ISO/IEC 17799:2005 Figura 52. Calificación de la seguridad según la ISO/IEC 17799:2005 Se puede comprobar lo que ya se ha comentado en varias ocasiones: la seguridad física, de comunicaciones, SW, HW, y datos está convenientemente contemplada en el estado presente del sistema de información. Sin embargo la política de seguridad en sus aspectos formales no se ha contemplado convenientemente. No existe una gestión de la continuidad del negocio a largo plazo, así como la gestión de incidentes puede mejorarse. Donde falla la gestión de incidentes es en el aspecto formal y que no contempla incidencias excepcionales o de poca probabilidad. La continuidad del negocio no está contemplada en el sistema de información actual por no haber un análisis de riesgos hecho y no tener una documentación de seguridad ni una normativa. Aspectos que también influyen en la política de seguridad, la cual contempla aspectos mínimos como son la delegación de responsabilidades o el trato con la directiva, pero no valorar aspectos profundos y formales como los comentados. No hay que olvidar que la solución dada es teórica y no real, mostrando la clasificación del sistema en caso de realizarse completamente.

183 Análisis y Gestión de Riesgos en imat Clasificación según la ISO/IEC 17799:2005 Figura 53. Presentación de la calificación ISO/IEC 17799:2005 en EAR El apartado [6] no se encuentra valorado porque hay aspectos que no se han tenido en cuenta en el AGR hecho a imat. Esto no significa que no se encuentren valorados ciertos aspectos de este apartado.

184 Análisis y Gestión de Riesgos en imat Clasificación CSNC Clasificación según la CSNC Criterios de Seguridad, Normalización y Conservación Figura 54. Calificación según la CSNC Los aspectos peor valorados son los relacionados con la normalización y gestión del sistema en su aspecto formal. Así por ejemplo se puede ver como el apartado 18 es el peor valorado por referirse a dicho aspecto formal y la documentación de incidencias. Las auditorias (20) y el plan de contingencias (19) o las políticas de seguridad (3) son aspectos a mejorar. No hay que olvidar que la solución dada es teórica y no real, mostrando la clasificación del sistema en caso de realizarse completamente. Aspecto como la seguridad de la red o de los datos se encuentran muy bien valorados según estos criterios. El control de acceso es muy bueno, fallando de forma mínima por el fallo de seguridad comentado en múltiples ocasiones.

185 Análisis y Gestión de Riesgos en imat Clasificación CSNC Figura 55. Presentación de la CSCN en EAR. El aparatado 9 no se muestra porque no todo los factores que lo componen se han valorado en el AGR realizado sobre imat. Sin embargo sí hay factores valorados acerca de la autenticación.

186 Análisis y Gestión de Riesgos en imat Clasificación CSNC Clasificación según la RD994 Reglamento de medidas de seguridad Figura 56. Clasificación según la RD994 No hay que olvidar que la solución dada es teórica y no real, mostrando la clasificación del sistema en caso de realizarse completamente. Figura 57. Presentación de la RD994 en EAR.

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

PILAR. HERRAMIENTAS PARA EL ANÁLISIS Y LA GESTIÓN DE RIESGOS

PILAR. HERRAMIENTAS PARA EL ANÁLISIS Y LA GESTIÓN DE RIESGOS PILAR. HERRAMIENTAS PARA EL ANÁLISIS Y LA GESTIÓN DE RIESGOS José A. Mañas Catedrático de Universidad Dept. Ingeniería de Sistemas Telemáticos. E.T.S.I. de Telecomunicación. Universidad Politécnica de

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

LUIS GERARDO RUIZ AGUDELO

LUIS GERARDO RUIZ AGUDELO MANUAL DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA LA CORPORACIÓN UNIVERSITARIA SANTA ROSA DE CABAL UNISARC DE ACUERDO A LAS NORMAS ISO/IEC 27001 LUIS GERARDO RUIZ AGUDELO CORPORACIÓN UNIVERSITARIA

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

DISEÑO DE UN SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASADO EN LA NORMA BASC PARA LA EMPRESA TRANSPORTES Y SERVICIOS ASOCIADOS SYTSA CÍA. LTDA.

DISEÑO DE UN SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASADO EN LA NORMA BASC PARA LA EMPRESA TRANSPORTES Y SERVICIOS ASOCIADOS SYTSA CÍA. LTDA. DISEÑO DE UN SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASADO EN LA NORMA BASC PARA LA EMPRESA TRANSPORTES Y SERVICIOS ASOCIADOS SYTSA CÍA. LTDA. Erika Moncayo, Mauricio Campaña, Fernando Solís 1 Universidad

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Sistema de Control Domótico

Sistema de Control Domótico UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI) INGENIERO EN ELECTRÓNICA Y AUTOMATICA PROYECTO FIN DE CARRERA Sistema de Control Domótico a través del bus USB Directores:

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013)

Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013) Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013) 1) Qué documentos y registros son necesarios? La siguiente lista detalla la cantidad mínima de documentos y registros requeridos

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

RESUMEN DE TRABAJO DE GRADO

RESUMEN DE TRABAJO DE GRADO RESUMEN DE TRABAJO DE GRADO Universidad Nueva Esparta. Facultad de Ciencias de la Informática. Escuela de Computación. Autores: Barrios M. Cesar E, Céspedes Nelson Tutor: Gabriel Méndez Titulo: Implantación

Más detalles

Auditoría Informática en la Administración: Un Reto para los Profesionales TIC

Auditoría Informática en la Administración: Un Reto para los Profesionales TIC 80 Auditoría Informática en la Administración: Un Reto para los Profesionales TIC LAS ORGANIZACIONES EXITOSAS SON AQUELLAS QUE, ENTRE OTRAS COSAS, RECONOCEN LOS BENEFICIOS QUE LAS TIC LES PROPORCIONAN

Más detalles

I - Método. MAGERIT versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información MINISTERIO DE ADMINISTRACIONES PÚBLICAS

I - Método. MAGERIT versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información MINISTERIO DE ADMINISTRACIONES PÚBLICAS MINISTERIO DE ADMINISTRACIONES PÚBLICAS MAGERIT versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información I - Método MINISTERIO DE ADMINISTRACIONES PÚBLICAS Madrid, 20 de junio

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

XII JICS 25 y 26 de noviembre de 2010

XII JICS 25 y 26 de noviembre de 2010 Sistema de Gestión Integrado según las normas ISO 9001, ISO/IEC 20000 e ISO/IEC 27001TI Antoni Lluís Mesquida, Antònia Mas, Esperança Amengual, Ignacio Cabestrero XII Jornadas de Innovación y Calidad del

Más detalles

La gestión de la seguridad en la empresa:

La gestión de la seguridad en la empresa: EN PORTADA La gestión de la seguridad en la empresa: Introducción Vivimos en un mundo globalizado y cada vez más competitivo, en el que las empresas se encuentran con nuevos desafíos que hacen necesaria

Más detalles

Cómo citar el artículo Número completo Más información del artículo Página de la revista en redalyc.org

Cómo citar el artículo Número completo Más información del artículo Página de la revista en redalyc.org REICIS. Revista Española de Innovación, Calidad e Ingeniería del Software E-ISSN: 1885-4486 reicis@ati.es Asociación de Técnicos de Informática España Mesquida, Antoni Lluís; Mas, Antònia; Amengual, Esperança;

Más detalles

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE INTRODUCCIÓN El avance informático actual es muy alto comparado con lo se tenía en los años 90, al hablar de desarrollo de software se hace más notable, en el

Más detalles

24 de junio de 2004. Madrid, junio de 2004 NIPO 326-04-044-9 Catálogo general de publicaciones oficiales http://publicaciones.administracion.

24 de junio de 2004. Madrid, junio de 2004 NIPO 326-04-044-9 Catálogo general de publicaciones oficiales http://publicaciones.administracion. MINISTERIO DE ADMINISTRACIONES PÚBLICAS SECRETARÍA GENERAL PARA LA ADMINISTRACIÓN PÚBLICA CONSEJO SUPERIOR DE INFORMÁTICA Y PARA EL IMPULSO DE LA ADMINISTRACIÓN ELECTRÓNICA Aplicaciones utilizadas para

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

Guía Docente 2013-14

Guía Docente 2013-14 Guía Docente 2013-14 Auditoria y Peritaje Audit and computer expert witness Grado en Ingeniería Informática Presencial Rev. 10 Universidad Católica San Antonio de Murcia Tlf: (+34) 902 102 101 info@ucam.edu

Más detalles

Guía Docente 2015/2016

Guía Docente 2015/2016 Guía Docente 2015/2016 Proyecto Integral de Tecnologías de la Información Information Technology Project Grado en Ingeniería Informática Modalidad a distancia lf: Índice Proyecto Integral de Tecnologías

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 0 Introducción Generalidades La adopción de un sistema de gestión de la calidad debería ser una decisión estratégica de la organización. El diseño y la implementación

Más detalles

ADAPTACIÓN DE REAL TIME WORKSHOP AL SISTEMA OPERATIVO LINUX

ADAPTACIÓN DE REAL TIME WORKSHOP AL SISTEMA OPERATIVO LINUX ADAPTACIÓN DE REAL TIME WORKSHOP AL SISTEMA OPERATIVO LINUX Autor: Tomás Murillo, Fernando. Director: Muñoz Frías, José Daniel. Coordinador: Contreras Bárcena, David Entidad Colaboradora: ICAI Universidad

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Diseño y creación de un cubo de información para analizar el impacto cuando una red de telefonía deja de funcionar

Diseño y creación de un cubo de información para analizar el impacto cuando una red de telefonía deja de funcionar Diseño y creación de un cubo de información para analizar el impacto cuando una red de telefonía deja de funcionar Cesar Alberto Cuenca Tinoco Facultad de Ingeniería Eléctrica y Computación Escuela Superior

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

Los cambios del borrador ISO 14001:2015

Los cambios del borrador ISO 14001:2015 Los cambios del borrador ISO 14001:2015 Se incluye a continuación un avance del contenido, en fase de discusión como anteriormente se ha comentado, de los apartados que va a incluir la nueva versión de

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006 INTERNATIONAL STANDARD SAFETY AND SECURITY CAB Spanish Version SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA NO COPYING WITHOUT PERMISSION OF AMERICAN CERTIFICATION

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Ana Andrés Luis Gómez Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

Administración del Tiempo en el Desarrollo de un Sistema de Información

Administración del Tiempo en el Desarrollo de un Sistema de Información Administración del Tiempo en el Desarrollo de un Sistema de Información José Jimmy Camacho Martínez (1) Ramón David Chávez Cevallos (2) Ing. Lennin Freire (3) Facultad de Ingeniería en Electricidad y Computación

Más detalles

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de 2002. Mario López de Ávila Muñoz

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de 2002. Mario López de Ávila Muñoz I Programa Sectorial ANEI Gestión de la Seguridad de la Información Presentación Madrid, 4 noviembre de 2002 Mario López de Ávila Muñoz Introducción Sobre la Información, la Seguridad y cómo facilitar

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA... 7 Tarea DSI 1.1: Definición de Niveles de Arquitectura... 9 Tarea DSI

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

dit-upm Seguridad de la Información gestión de riesgos (versión corta)

dit-upm Seguridad de la Información gestión de riesgos (versión corta) -upm Seguridad de la Información (versión corta) José A. Mañas < http://www.dit.upm.es/~pepe/> Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad Politécnica de

Más detalles

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática Categoría Seguridad Informática Securización de Base de Datos distribuidas de Gestión Procesal adscritas al Ministerio de Justicia (Memoria) Securización de Base de Datos distribuidas de Gestión Procesal

Más detalles

MAGERIT versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I - Método

MAGERIT versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I - Método MAGERIT versión 3.0 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro I - Método TÍTULO: MAGERIT versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Manual de Aplicación Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Johana Sosa Contenido Introducción... 3 1. Conceptos

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

El Análisis de Riesgo en la seguridad de la información

El Análisis de Riesgo en la seguridad de la información Publicaciones en Ciencias y Tecnología. Vol 4, 2010 N 0 2, pp.33 37, ISSN:1856-8890,Dep.Legal pp200702la2730 El Análisis de Riesgo en la seguridad de la información * Manuel Mujica, ** Yenny Alvarez Recibido:

Más detalles

ÁREA DE CALIDAD Página 1 de 28 MODELOS DE GESTIÓN DE SISTEMAS DE CALIDAD: ISO 9001:2008

ÁREA DE CALIDAD Página 1 de 28 MODELOS DE GESTIÓN DE SISTEMAS DE CALIDAD: ISO 9001:2008 Página 1 de 28 4.1 Conocimiento de la organización y de su contexto La organización debe determinar las cuestiones externas e internas que son pertinentes para su propósito y que afectan a su capacidad

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Examen de muestra EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Palabras Clave Amenazas, Vulnerabilidades, Redes Inalámbricas, Seguridad de la Información, Usuarios SoHo, Análisis y Gestión de Riesgos.

Palabras Clave Amenazas, Vulnerabilidades, Redes Inalámbricas, Seguridad de la Información, Usuarios SoHo, Análisis y Gestión de Riesgos. RESUMEN Este artículo explica el estudio que se realizó para proporcionar a los Usuarios SoHo(Small Office, Home Officce) una herramienta que mide el nivel de riesgo que puede tener una red inalámbrica

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC Exposición de motivos La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos establece el marco de relación entre

Más detalles

Implantación de un Sistema de Gestión en Prevención de Riesgos Laborales (SGPRL).

Implantación de un Sistema de Gestión en Prevención de Riesgos Laborales (SGPRL). PROCEDIMIENTOS BASADOS EN LAS NORMAS OSHAS 18000 PARA SU IMPLANTACION EN PYMES DEL SUBSECTOR FABRICACIÓN DE PRODUCTOS METÁLICOS. Implantación de un Sistema de Gestión en Prevención de Riesgos Laborales

Más detalles

Taller de Gestión de Riesgos. Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática

Taller de Gestión de Riesgos. Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática Taller de Gestión de Riesgos Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática Agenda www.ongei.gob.pe Introducción Definiciones Enfoque a procesos

Más detalles

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

1. Disposiciones generales

1. Disposiciones generales Sevilla, 30 de noviembre 2010 BOJA núm. 234 Página núm. 7 1. Disposiciones generales CONSEJERÍA DE ECONOMÍA, INNOVACIÓN Y CIENCIA ACUERDO de 16 de noviembre de 2010, del Consejo de Gobierno, por el que

Más detalles

Taller de análisis e interpretación de la norma ISO 9001:2008

Taller de análisis e interpretación de la norma ISO 9001:2008 Instituto Politécnico Nacional Taller de análisis e interpretación de la norma ISO 9001:2008 Secretaría de Extensión e Integración Social Unidad Politécnica para el Desarrollo y la Competitividad Empresarial

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Tesis de Maestría titulada

Tesis de Maestría titulada Tesis de Maestría titulada EL ANALISIS DE CONFIABILIDAD COMO HERRAMIENTA PARA OPTIMIZAR LA GESTIÓN DEL MANTENIMIENTO DE LOS EQUIPOS DE LA LÍNEA DE FLOTACIÓN EN UN CENTRO MINERO RESUMEN En la presente investigación

Más detalles

Universidad César Vallejo, Escuela de Ingeniería de Sistemas Filial Piura.

Universidad César Vallejo, Escuela de Ingeniería de Sistemas Filial Piura. DISEÑO DE UNA MÉTRICA PARA EVALUAR EL GRADO DE CUMPLIMIENTO DEL PLAN DE CONTINUIDAD DE NEGOCIO EN TECNOLOGÍAS DE INFORMACIÓN EN LA EMPRESA ALTAMAR FOODS PERÚ S.A.C Orozco Vinces, Yeniffer Orozco Universidad

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA...7 Tarea DSI 1.1: Definición de Niveles de Arquitectura...9 Tarea DSI 1.2:

Más detalles

NORMA INTERNACIONAL ISO 9001-2008 Cuarta edición 2008-11-15 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements

NORMA INTERNACIONAL ISO 9001-2008 Cuarta edición 2008-11-15 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements NORMA INTERNACIONAL ISO 9001-2008 Cuarta edición 2008-11-15 Sistemas de gestión de la calidad Requisitos Quality management systems Requirements Systèmes de management de la qualité Exigences Publicado

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN

MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN NORMAS ISO 9000 : 2000 (CALIDAD) NORMAS ISO 14000 : 1996 (MEDIOAMBIENTE) NORMA

Más detalles

Final Project (academic investigation)

Final Project (academic investigation) Final Project (academic investigation) MÁSTER UNIVERSITARIO EN BANCA Y FINANZAS (Finance & Banking) Universidad de Alcalá Curso Académico 2015/16 GUÍA DOCENTE Nombre de la asignatura: Final Project (academic

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles