Soho Chile Julio 2013

Transcripción

1 Diagnóstico de Seguridad de la Información ISO/IEC 27001:2005 Soho Chile Julio 2013

2 Tabla de Contenidos Resumen Ejecutivo... 2 Recomendaciones Generales Introducción Objetivos Alcances Metodología del Proyecto Criterios de Evaluación Resultados Detallado del Análisis Gráfico de Resultados por Objetivos de Control Resultado Detallado de la Evaluación de Controles... 9 A.5 Política de Seguridad... 9 A.6 Organización de la Seguridad de la Información... 9 A.7 Gestión de Activos A.8 Seguridad de los Recursos Humanos A.9 Seguridad Física y Ambiental A.10 Gestión de las Comunicaciones y las Operaciones A.11 Control de Acceso A.12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información A.13 Gestión de Incidentes de Seguridad de la Información A.14 Gestión de Continuidad del Negocio A.15 Cumplimiento

3 Resumen Ejecutivo El diagnóstico de seguridad de la información realizado de acuerdo al estándar ISO/IEC27001:2007 ha arrojado como resultado una falta de integración de la seguridad en la organización, encontrando a Soho en un nivel de cumplimiento del 29,54% a 30 puntos porcentuales del nivel esperado. Nivel alcanzado 29,54 % Nivel esperado 60 % El bajo nivel de cumplimiento para cada uno de los dominios puede ser observado en la siguiente gráfica. 2

4 De los resultados globales obtenidos, fue posible determinar que nueve de once dominios arrojaron bajos índices de acuerdo al cumplimiento esperado. Dominio % Alcanzado % Esperado Política de Seguridad 40% 60% Organización de la Seguridad de la Información 33% 58% Gestión de Activos 30% 60% Seguridad Ligada a los Recursos Humanos 38% 60% Seguridad Física y Ambiental 33% 60% Gestión de las Comunicaciones y Operaciones 32% 60% Control de Acceso 29% 60% Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información 22% 63% Gestión de Incidentes en la Seguridad de la Información 20% 60% Gestión de la Continuidad del Negocio 44% 60% Cumplimiento 4% 60% De la evaluación de los niveles de madurez de los controles, se observa que la mayor cantidad se encuentran en un estado Inicial y Repetible lo que define principalmente que: El enfoque general hacia la administración de la seguridad es desorganizado. No hay entrenamiento o comunicación formal de los procedimientos de seguridad. Se da un alto grado de confianza en el conocimiento del personal. Las normas y procedimientos no se han estandarizado y documentado. 3

5 Recomendaciones Generales Es importante señalar que dentro del proceso de la integración de la seguridad en la organización, recomendamos a Soho poner principal foco en la protección de la información y a partir de ahí, evaluar los costos de inversión para enfrentar los riesgos y amenazas a los que están expuestos los activos de la compañía. Las normas, procedimientos y controles no están documentados. Si bien existe una política general de seguridad de alto nivel aprobada por la gerencia, recomendamos la elaboración de un cuerpo normativo de seguridad alineado a las estrategias de la compañía. Los puntos evaluados respecto a la organización de la seguridad indicaron deficiencias, por lo que es importante para mejorar su evaluación se considere la definición formal de un equipo de trabajo y sus responsabilidades, y que este equipo tenga como objetivo entregar directrices claras, gestionar la seguridad y facilitar la toma de decisiones alineado con las estrategias comerciales de la compañía. Respecto a los temas de clasificación de activos; si bien existe un inventario en proceso de desarrollo, es importante considerar sobre ellos, la ejecución de un análisis de riesgo. Esto permitirá determinar con mayor claridad cuáles son las amenazas a las que están expuestos los activos, cuales son los controles y medidas que deben ser implementados y cuantificar los costos de protección. Dentro de los procesos de seguridad de los recursos humanos, recomendamos definir y ejecutar planes de concientización y capacitación de seguridad, lo que entregará a los empleados un mejor conocimiento, y preparación para evitar riesgos que afecten la seguridad de la información. De los aspectos derivados de la seguridad física y ambiental, identificamos que el edificio cuenta con medidas de seguridad perimetrales, cámaras de monitoreo, elementos para combatir incendios y vías de escape, pero no hay un control efectivo en la identificación y registro para la entrada de visitas y externos. Al interior de las oficinas se observan importantes deficiencias a la seguridad, principalmente en la sala donde se encuentran los servidores debido a la presencia de materiales inflamables y la ausencia de controles de humedad, temperatura, humo y prevención de incendios. En relación a los temas de seguridad de los equipos y sistemas, se recomienda definir y llevar a cabo un procedimiento periódico para la mantención tanto a nivel de hardware como software. Recomendamos también ejecutar de forma periódica actividades de análisis de vulnerabilidades y/o pruebas de Ethical Hacking. Esto permitirá identificar los problemas de seguridad técnicos que deben ser resueltos y minimizar los riesgos que puedan afectar la confidencialidad, integridad o disponibilidad de la información, así como también fortalecer la continuidad operativa. Como medida preventiva para reducir los riesgos de seguridad TI y prevenir la fuga de información, se recomienda a Soho adoptar estándares de configuración para los sistemas operativos, implementar políticas y herramientas para el cifrado de datos en equipos portátiles, proteger la información de respaldo y cifrar los canales de comunicación por donde transite información sensible. 4

6 Derivado de la evaluación de gestión de comunicaciones y operaciones, se ha identificado que no existe documentación de los procedimientos, así como también la falta de segregación física y lógica de los entornos de red. Por lo tanto; para tratar estos puntos, recomendamos que las actividades administrativas y operacionales se encuentren documentadas y segregadas, así como también que las tareas que requieren aprobación y ejecución sean definidas a distintas personas o equipos de trabajo o bien sean supervisadas. Del análisis realizado al control de acceso lógico, recomendamos que sea mejorado hasta el nivel que la administración pueda ser gestionada de forma centralizada. Permitiendo de esta forma, administrar efectivamente la seguridad y políticas de configuración de cuentas, controlar el acceso a los sistemas y mejorar la gestión de usuarios. Otro de los temas de seguridad TI donde se necesita un esfuerzo importante, es en desarrollar un plan a mediano plazo para actualizar y mejorar la capacidad de los equipos de comunicaciones, fortalecer la seguridad perimetral y la seguridad de redes, poniendo foco en la integración de elementos para la prevención de intrusos, implementar filtros para los contenidos de internet e implementación de herramientas para monitorear de forma centralizada los eventos de seguridad de los dispositivos y sistemas de red. Para mejorar la seguridad en el desarrollo de aplicaciones y software, es necesaria la integración de una metodología para la evaluación de seguridad y acordar las especificaciones mínimas para la aprobación y paso a producción. Se sugiere la implementación de 2 fases de revisión, la primera mediante pruebas estáticas al código fuente y la segunda mediante pruebas dinámicas de tipo Ethical Hacking, esta última ejecutada previo a la puesta en producción y que idealmente involucre todo el entorno donde se soporta el proyecto. En referencia a los planes de continuidad de negocio, se recomienda poner a prueba cada uno de los procedimientos de recuperación definidos en el plan y documentar los resultados, así como también documentar las fallas, problemas y medidas que permitan mejorar los tiempos de respuestas y procesos de recuperación. De los últimos puntos evaluados en este análisis, se sugiere a Soho poner principal preocupación en la identificación de la legislación aplicable para cada uno de los proyectos donde se involucre el manejo de información sensible o que pueda estar sujeto a leyes o estatutos legales y tomar todas las precauciones que así lo requieran. Se recomienda finalmente realizar auditorías por lo menos una vez al año para evaluar el cumplimiento de las políticas, normas y estándares que sean definidos y junto con ello desarrollar una metodología para incorporar una mejora continua a la seguridad de la información. 5

7 1. Introducción Soho Chile se ha propuesto realizar un diagnóstico de Seguridad de la Información alineado al estándar ISO/IEC 27001:2005. Los resultados de esta evaluación permiten obtener una mejor orientación, determinar las prioridades y acciones de gestión adecuadas para la administración de los riesgos relativos a la seguridad de la información. 2. Objetivos Realizar un diagnóstico de seguridad para identificar brechas y definir planes de acción que permitan mitigar los riesgos de seguridad de la información. 3. Alcances Revisión de 11 dominios y 39 objetivos de control especificados en la ISO/IEC 27001:2005 Política de Seguridad Organización de la Seguridad de la Información Gestión de Activos Seguridad Ligada a los Recursos Humanos Seguridad Física y Ambiental Gestión de las Comunicaciones y Operaciones Control de Acceso Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información Gestión de Incidentes en la Seguridad de la Información Gestión de la Continuidad del Negocio Cumplimiento 6

8 4. Metodología del Proyecto El proyecto fue realizado en tres etapas previamente planificadas. La etapa 2 donde se centra principalmente el diagnóstico, se desarrolló mediante entrevistas realizadas a Edson Fuentes, jefe de desarrollo de Soho Chile y fue complementada con la entrega de evidencias y documentación respectiva al marco de evaluación. 5. Criterios de Evaluación Para realizar la evaluación se utilizó un modelo basado en los niveles de madurez de COBIT que consiste en una puntuación de 0 a 5, donde el menor (0) significa "No existente" y el mayor (5) "Optimizado". Madurez Descripción Cumplimiento 0 No existente 1 Inicial 2 Repetible 3 Definido 4 Administrado 5 Optimizado Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. La empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar, en su lugar existen enfoques que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que las personas decidan utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida. 0% 20% 40% 60% 80% 100% 7

9 6. Resultados Detallado del Análisis 6.1 Gráfico de Resultados por Objetivos de Control El siguiente gráfico muestra los resultados porcentuales obtenidos en comparación con el esperado para cada uno de los objetivos de control. 8

10 6.2 Resultado Detallado de la Evaluación de Controles A.5 Política de Seguridad 5.1 Política de Seguridad de la Información Objetivo: Proporcionar lineamientos e indicaciones para la gestión de seguridad de la información de acuerdo con los requisitos empresariales y la legislación y normativas aplicables. Score: 40% Nivel de Madurez: Repetible Documento de política de seguridad de la información Revisión de la política de seguridad de la información. Existe una política general de seguridad y privacidad de la Información aprobada durante el mes de junio del Existe una planificación definida para la revisión la política y que se llevará a cabo dentro de un periodo de 6 meses y para cuando existan cambios significativos. - La política aún no está disponible para toda la organización. - No se ha definido un cuerpo normativo y los procedimientos que apoyen las prácticas de seguridad. Comunicar y poner a disposición de los empleados la política general de seguridad de la información. Documentar normas y procedimientos para los dominios cubiertos en la política general de seguridad. A.6 Organización de la Seguridad de la Información 6.1 Organización Interna Objetivo: Gestionar la seguridad de la información dentro de la organización. Score: 33% Compromiso de la gerencia con la seguridad de la información Coordinación de la seguridad de la información Asignación de las responsabilidades Proceso de autorización para los nuevos medios de procesamiento Acuerdos de confidencialidad Contacto con las autoridades Contacto con grupos de interés Revisión independiente de la seguridad de la información. - Las políticas normas y procedimientos aún no han sido difundidos y puestos a disposición del personal. - Existe un rol para canalizar los temas de seguridad el cual ha sido 9

11 asignado a Edson Fuentes Jefe de Desarrollo pero no se ha definido formalmente un equipo de trabajo y sus responsabilidades para tratar los temas de seguridad. - No se ha desarrollado una norma o procedimiento formal para la autorización de los nuevos medios de procesamiento (solicitud, evaluación, aprobación). Las responsabilidades de los temas generales de seguridad han sido especificados en los contratos de trabajo. La empresa firma acuerdos de confidencialidad tanto con empleados como con clientes para el tratamiento de información sensible. La revisión actual es la primera revisión general e independiente de seguridad realizada. Definición de un equipo de trabajo para abordar los temas de seguridad. Difusión de las políticas y directrices de la seguridad de la información para todo el personal. Desarrollo de procedimientos y normativas para la autorización de nuevos recursos de procesamiento de información. 6.2 Partes Externas Objetivo: Mantener la seguridad de la información de la organización y de los dispositivos de procesamiento que son accedidos o administrados por terceros. Score: 33% Identificación de riesgos asociados a terceras partes Tratamiento de la seguridad cuando se trabaja con clientes Tratamiento de la seguridad en contratos con terceros. - No se ha definido una norma y procedimiento formal para otorgar accesos y análisis de riesgo de terceros cuando acceden a la red sistemas e instalaciones de Soho. - No se realiza medición o evaluación de los niveles de servicios contratados a empresas externas. Existen accesos lógicos controlados para el acceso de terceros a la red wireless y ambientes de QA. Estos se encuentra lógicamente aislados de la red interna. Soho declara que generalmente no hay relaciones laborales con proveedores o clientes físicamente en sus instalaciones, debido a que los servicios principalmente se encuentran en la nube o instalaciones de los clientes. Dentro de los contratos de servicios se firman acuerdos de confidencialidad para el tratamiento de información sensible. Definir una norma y procedimiento para la evaluación y análisis de riesgo cuando se otorgan acceso a terceros a instalaciones, sistemas, aplicaciones y redes. Documentar los servicios externos contratados y evaluar su nivel de cumplimiento. 10

12 A.7 Gestión de Activos 7.1 Responsabilidades de los Activos Objetivo: Lograr y mantener una apropiada protección de los activos de la organización. Score: 40% Nivel de Madurez: Repetible Inventario de activos Propiedad de los activos Uso aceptable de los activos. Existe evidencia de un inventario de activos en proceso de desarrollo en el cual a la fecha se han declarado los activos más importantes de la organización. En el inventario también se han definido los dueños de los activos, responsables de manipulación, se ha desarrollado un análisis criticidad, se ha especificado su ubicación y se ha definido un criterio de clasificación de confidencialidad. - No se ha documentado una normativa para el manejo y tratamiento adecuado de los activos. - No se ha realizado un análisis de riesgo sobre los activos. Identificar todos los activos de la organización, sus dependencias, funciones y criticidad. Realizar un análisis de riesgo sobre los activos. Definir los dueños y responsables del cumplimiento de seguridad para cada uno de los activos inventariados. 7.2 Clasificación de la Información Objetivo: Asegurar que la información reciba un nivel de protección apropiado. Score: 20% Guía para la clasificación Identificación y manejo de la información. - No existe una guía, norma o procedimiento para la clasificación de la información. - Si bien en los contratos se especifica cláusulas generales respecto a no hacer mal uso de los activos de la organización. No se ha documentado una normativa para el manejo adecuado de los activos. Definir una normativa y procedimiento para la clasificación y manejo de los activos de acuerdo a su criticidad, requisitos de confidencialidad, disponibilidad e integridad. 11

13 A.8 Seguridad de los Recursos Humanos 8.1 Previo al Empleo Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para cumplir los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. Score: 53% Nivel de Madurez: Repetible Funciones y Responsabilidades Investigación de antecedentes Términos y condiciones de contratación. Existe una política que define los requisitos para la contratación del personal, sin embargo no existe un procedimiento formal. De acuerdo a la evidencia entregada, en los contratos se definen roles y responsabilidades del trabajo a desempeñar como también términos generales de seguridad y de confidencialidad que se deben cumplir. Todos los empleados cuentan con sus respectivos contratos de trabajo. - Falta desarrollar una normativa para abordar y definir de forma específica los roles y responsabilidad para los temas de seguridad de la información. Adopción de un procedimiento formal de contratación, chequeo de antecedentes laborales, legales y académicos. Desarrollo de una política que defina claramente los roles y responsabilidades que se deben cumplir en materia de seguridad. 8.2 Durante el Empleo Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas de la seguridad de la información, sus responsabilidades y obligaciones, y estén preparadas para apoyar la política de seguridad en el curso de su trabajo normal, y reducir el riesgo de error humano. Score: 20% Responsabilidades de la gerencia Concienciación, formación y capacitación Proceso disciplinario. - No se ha comunicado ni puesto a disposición del personal las políticas de seguridad de la información. - No se han desarrollado concientizaciones, capacitaciones y evaluaciones del conocimiento de las políticas y normas de seguridad. Se firman términos generales de responsabilidad en temas de 12

14 seguridad en contratos de trabajo. En los contratos se definen los tipos de faltas y sanciones. Comunicar y poner a disposición de los empleados la política de seguridad. Definir de forma específica los roles y responsabilidades de seguridad. Realizar actividades de concientización en seguridad. 8.3 Finalización o Cambio de Empleo Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organización o cambien de empleo de una manera ordenada. Score: 40% Nivel de Madurez: Repetible Finalización de responsabilidades Devolución de los activos Retiro de los derechos de acceso. En los contratos existen políticas que definen condiciones para el término del empleo en caso de incumplimiento de los términos generales de seguridad. - No ha sido definido formalmente un proceso y responsable para gestionar la terminación o cambio de empleo y devolución de activos. - No se ha documentado un procedimiento formal para las tareas de eliminación de cuentas y retiros de acceso Documentar un procedimiento para la devolución de activos, retiro de accesos y derechos de usuarios en casos de término o cambio de empleo, Definir un responsable para llevar a cabo el proceso de gestión de término o cambio de empleo. A.9 Seguridad Física y Ambiental 9.1 Áreas Seguras Objetivo: Prevenir el acceso físico no autorizado, daño e intromisiones en las instalaciones y en la información de la organización. Score: 32% Controles de seguridad física Controles físicos de entrada Seguridad de las oficinas e instalaciones Protección contra las amenazas externas y de origen ambiental Trabajo en áreas seguras. 13

15 9.1.6 Áreas de acceso público, entrega y carga (N/A). Edificio: El edificio cuenta con cámaras de seguridad y guardias en la entrada principal. Se identifica el uso cámaras de vigilancia, vías de evacuación, red de agua y extintores para cada piso del edificio y entrada de las oficinas. El acceso a la oficina es controlado por sistema digital de clave numérica. - No se lleva un registro estricto para personal externo o visitas que acceden a las instalaciones. Al interior de las instalaciones: - No se lleva registro del personal externo o visita. - Sólo se cuenta con un extintor para toda la oficina. - No se identifica sensores de humo o elementos automáticos contra incendios. - No se evidencia cámaras de video vigilancia. La oficina está aislada de fuentes de inundación y disturbios. Se han identificado correctamente las vías de evacuación. Sala de cómputo: - No hay presencia cercana de extintores. - La sala no está equipada con las condiciones básicas de seguridad (Control de temperatura, humedad e incendio). - Existe un sistema de respaldo en la misma ubicación física. - El cableado no se encuentra ordenado ni rotulado. - No existe un sitio de contingencia en otro edificio. - Dentro de la sala existen elementos de fácil propagación al fuego (cajas y muebles). Se cuenta con una UPS para soportar interrupciones de 30 minutos. El control de acceso físico es sólo mediante llave que posee el personal autorizado. Reforzar el control acceso a la entrada del edificio, mediante un proceso de validación de visitas y registro. Mejorar la capacidad de extintores, sensores y mecanismo de prevención de incendios al interior del edificio. Implementar un mecanismo para el registro y control de visitas o cámaras de video vigilancia al interior de las oficinas. Adaptar la sala de cómputo para que cumpla las condiciones mínimas de seguridad física y ambiental (mejorar el sistema de control de acceso, alejar todos los elementos que puedan ser fácilmente consumidos por el fuego e implementar sensores de calor, humedad y humo). Implementar mecanismo para detectar y contrarrestar automáticamente los incendios. Mantener sistemas de respaldo en otra ubicación física protegida, alejada de la sala principal. 14

16 9.2 Seguridad de los Equipos. Objetivo: Evitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la organización. Score: 33% Ubicación y protección de equipamiento Servicios de suministro público Seguridad en el cableado Mantenimiento de los equipos Seguridad del equipo fuera de las instalaciones Reutilización o eliminación segura de los equipos Retiro de los equipos fuera de las instalaciones (N/A). El ingreso principal a la oficina es mediante clave numérica digital y llave física para las salas al interior. - No hay vigilancia a través de cámaras al interior de la oficina. - No se lleva un registro para el personal externo o visita. - No se cuenta con más de un enlace para salir a internet. - No se cuenta con un site de contingencia. Existe una UPS para soportar 30 minutos de interrupción eléctrica. Fuera de la sala de cómputo, el cableado está protegido por una canaleta. El cable de red se encuentra separado del eléctrico. - El acceso al site es restringido solo mediante llave física de acceso a la sala. - No se ha definido un procedimiento formal para el mantenimiento de los equipos (hardware y software) Existe una política sobre el uso y la seguridad de dispositivos móviles. Los notebooks no tienen software para el cifrado de datos. - No existen procedimientos formales para la eliminación o reutilización de los equipos y su información. Mejorar el control y registro de acceso a las oficinas. Implementar cámaras de video vigilancia al interior de la oficina. Preparar sistemas físicos o virtuales fuera de las instalaciones para enfrentar contingencias. Separar los sistemas de respaldos de la sala de cómputo. Mejorar los controles de acceso y seguridad ambiental de la sala de cómputo. Desarrollar procedimientos para las tareas de mantenimiento de hardware y software. Implementar protección de cifrado de datos para equipos portátiles. Desarrollar procedimientos para la eliminación de información y reutilización de equipos. 15

17 A.10 Gestión de las Comunicaciones y las Operaciones 10.1 Responsabilidad y Procedimientos Operacionales Objetivo: Asegurar la operación correcta y segura de los medios de procesamiento de la información. Score: 30% Procedimientos operaciones documentados Gestión del cambio Segregación de tareas Separación de los medios de desarrollo, prueba y operación. - Los procedimientos operacionales y de administración no están documentados. - No existe un procedimiento formal para el control de cambios y vuelta atrás. - Los ambientes de desarrollo y QA se han segregados lógicamente, pero mantienen un alto grado de comunicación e integración debido a que se encuentran alojados en el mismo sistema. Se han definido perfiles de usuarios para el acceso a intranet y servidor de desarrollo. Documentar los procedimientos operacionales de administración y respaldo. Segregar las tareas y funciones de los equipos de desarrollo y QA Implementar distintos recursos y medios para segregar entornos de desarrollo y QA. Mejorar la segregación de redes de operación, desarrollo y QA Gestión de la Entrega de Servicios de Terceros Objetivo: Implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros. Score: 40% Nivel de Madurez: Repetible Entrega de servicios Supervisión y revisión de los servicios de terceros Gestión de cambios en los servicios prestados por terceros (N/A). - No existen evaluaciones para medir el cumplimiento de los servicios prestados por terceros. Existen clausulas de confidencialidad en contratos de servicios que se establecen con terceros Documentar y evaluar los servicios prestados por terceros,: (hosting, mail e internet). 16

18 10.3 Planificación y Aceptación del Sistema Objetivo: Minimizar el riesgo de fallas en el sistema. Score: 30% Gestión de la capacidad Aceptación del sistema. De acuerdo a lo indicado por Soho, existe un equipo de trabajo que evalúa los proyectos, antes de su desarrollo, donde se planifica la capacidad y recursos requeridos. Existen ambientes de desarrollo y QA. Se lleva un registro en la intranet de las tareas y actividades de desarrollo. - No se realizan pruebas de stress o carga al desarrollo de software. - No existe un proceso formal para la aceptación y traspaso a producción del software. - No se ha definido una política para la aceptación del sistema. Definición de políticas de aceptación del sistema. Integración de pruebas de stress y carga. Definición de procedimiento para la validación y aceptación del desarrollo de software Protección Contra el Código Móvil y Malicioso Objetivo: Proteger la integridad del software y la información. Score: 30% Controles contra software malicioso Controles contra el código descargado en el cliente. Soho tiene implementado en las estaciones de trabajo el cliente de antivirus AVG - La administración del sistema antivirus no se encuentra no se encuentra centralizada. Los servicios de en la nube provistos por google integran un control para la detección de software malicioso y antispam. - No existen políticas formales para la restricción de instalación de software no autorizado. - No se realiza detección y evaluación de vulnerabilidades o código maliciosos de forma periódica. - No existe un proxy para el filtro de contenido web. 17

19 - No existe un sistema de detección o prevención de intrusos sobre la red. Implementar un sistema de detección y prevención de intrusos. Definir una política para la restricción de instalación de software no autorizado. Implementar un proxy para el filtro de contenido web. Definir e implementar un proceso para la evaluación y gestión de vulnerabilidades y parches de seguridad Copias de Seguridad Objetivo: Mantener la integridad y disponibilidad de la información y de los medios de procesamiento. Score: 40% Nivel de Madurez: Repetible Copia de respaldo de información. Hay un proceso y sistema destinado para el respaldo de la información. Existen copias de seguridad tanto en la nube, discos externos, como también en servidor local. - No hay un procedimiento documentado formalmente. - No se han desarrollado actividades para la revisión y validación de los respaldos. - Las copias locales se guardan físicamente en la misma oficina y sala de cómputo. - No se han documentado procedimientos de restauración de copias. - Los respaldos locales de información no se almacenan de forma cifrada. Definir procedimientos de respaldos, validación y restauración. Proteger lógica y/o físicamente los respaldos (cifrado) Gestión de Seguridad de las Redes Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte. Score: 30% Controles de red Seguridad de los servicios de la red. Existe un control y monitoreo de la red a través de Firewall. - No existen switches administrables que permitan mayor control de la red. - Existe sólo un enlace para la salida de internet. 18

20 - No existe un sistema de monitoreo de eventos de seguridad. Los logs son revisados bajo demanda. - No existe un sistema para la detección o prevención de intrusos. Los servicios accedidos a la nube (mail), son accedidos mediante canales seguros (SSL/TLS) Existen clausulas de confidencialidad en los contratos con los proveedores de servicios. - La red no está segmentada. Implementar switches administrables que permitan gestionar los puertos, recursos y segregar entornos de red. Implementar sistema para la detección de intrusos. Implementar sistemas para el monitoreo de logs. De ser necesaria alta disponibilidad en el consumo de servicios en la nube, evaluar la contratación un segundo proveedor de servicio de internet Manipulación de los Soportes Objetivo: Evitar la divulgación no-autorizada; modificación, eliminación o destrucción de activos; y la interrupción de las actividades comerciales. Score: 15% Gestión de los medios removibles Retirada de soportes Procedimientos para la manipulación de la información Seguridad de la documentación del sistema - No existen políticas ni procedimientos para el uso de medios removibles y tratamiento de su información. - No se emplean mecanismos para el cifrado de datos en medios removibles. El administrador indica que realiza las tareas de eliminación de datos en medios removibles y soportes cada vez que ha sido necesario. - No se ha definido procedimientos para la manipulación y eliminación segura de la información en soportes físicos y medios removibles. Desarrollar políticas y procedimientos para el uso de medios removibles, físicos y tratamiento de la información. Desarrollar procedimientos para la eliminación segura de los medios e información en medios removibles. Implementar mecanismos de cifrados para proteger información sensible en medios removibles. Proteger la información de configuraciones e interconexiones de sistemas. 19

21 10.8 Intercambio de Información. Objetivo: Mantener la seguridad en el intercambio de información y software dentro de la organización y con cualquier otra entidad externa. Score: 44% Nivel de Madurez: Repetible Políticas y procedimientos de intercambio de información Acuerdos de intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información empresarial. Se firman acuerdos de confidencialidad tanto con los empleados como con terceros para resguardar la confidencialidad en el intercambio de información. El acceso a mensajes de correo electrónico está protegido mediante certificado de seguridad provisto por el prestador de servicio (google) quien además presta servicios de protección contra código malicioso. - No existen procedimientos definidos para el uso de comunicaciones inalámbricas. - No se han desarrollado capacitaciones del personal para tomar las precauciones de seguridad respecto al tratamiento de información sensible. Desarrollar una política de intercambio de información. Definir procedimientos para el uso seguro de comunicaciones móviles Capacitar al personal para enseñar las precauciones de seguridad que se deben seguir para el tratamiento y comunicación de información sensible 10.9 Servicios de Comercio Electrónico Objetivo: Asegurar la seguridad de los servicios de comercio electrónico y su uso seguro. Score: N/A Comercio Electrónico Transacciones en-línea Información puesta a disposición pública. N/A - 20

22 10.10 Monitoreo Objetivo: Detectar las actividades de procesamiento de información no autorizadas. Score: 30% Registro de eventos Monitoreo del uso de los sistemas Protección del registro de información Registros del administrador y operador Registro de fallas Sincronización de relojes. - No existe una política que defina la configuración y uso de registros de auditorías y eventos de seguridad. Los registros de eventos y auditoría se encuentran configurado como también los registros de operador administrador en los servidores, sistemas y dispositivos, pero los procesos de revisión de acuerdo a lo que indica Soho, son realizados de forma manual bajo demanda. El uso de los sistemas es monitoreado a nivel de red (ancho de banda y conexiones a través de FW). - No se monitorea lo recursos de sistemas mediante protocolo de gestión SNMP. Las fallas en sistemas son registradas a nivel de sistema operativo pero no son monitoreados en tiempo real y de forma centralizada. - No se mantiene un respaldo de los eventos de auditoría. - No se generan informes de los eventos de auditoría y seguridad. Los servidores de Soho se encuentran sincronizados con el servidor de horario NTP de la Universidad de Chile. Los equipos clientes mantienen la configuración por default de acuerdo a la zona horaria nacional. - No existe un procedimiento documentado para la configuración horaria. Definir una política de configuración y retención de registros de auditoría y seguridad para cada uno de los sistemas y dispositivos de red. Implementar un sistema de administración y monitoreo centralizado de eventos de logs. Definir e implementar una política de respaldo de eventos de auditoría y seguridad. 21

23 A.11 Control de Acceso 11.1 Requerimientos de Negocio para el Control del Acceso Objetivo: Controlar el acceso a la información. Se debiera controlar el acceso a la información, medios de procesamiento de la información y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad. Score: 20% Política de control de acceso. - No existe una política o normativa para el control de acceso lógico. - El acceso al sistema operativo es mediante el uso de cuentas de administrador local. - Se emplea LDAP solo para la administración de cuentas de acceso a las unidades de red del servidor de desarrollo. El acceso a la intranet CEO cuenta con roles y perfiles definidos. No se evidencia el uso cuentas de usuarios genéricas. Todas las cuentas de acceso a base de datos están protegidas con contraseñas. Las cuentas de administración son manejadas de forma privada. - No existe un procedimiento formal para la realización de auditorías de cuentas. - No existe evidencia de la realización de auditoría de cuentas. Definir y documentar una normativa para el control de acceso lógico en sistemas y aplicaciones. Integrar LDAP para el manejo de cuenta de usuario del sistema operativo y servicios de red. Realizar periódicamente auditorías de cuentas, permisos y privilegios de acceso Gestión de Accesos de Usuarios Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de información. Score:35% Registro de usuarios Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de usuario. A través de LDAP se controla el permiso y privilegios de las cuentas de usuarios para el acceso al servidor principal de desarrollo. La intranet contiene su propio modulo de gestión de cuentas y 22

24 privilegios así como también el servicio de correo en la nube (google) - No existe un procedimiento formal para gestión de cuentas y privilegios a través de LDAP - La gestión de cuentas de usuarios y privilegios es descentralizada. - No existe un estándar de configuración de cuentas de usuarios de red, la creación de cuentas locales en sistema operativo se deja a definición del usuario y restricciones propias del sistema operativo. Mejora en la integración de LDAP para la administración de cuentas y privilegios de usuarios para el acceso a sistemas y aplicaciones. Definición y desarrollo de un procedimiento para la administración de cuentas a través de LDAP. Definición de un estándar para la configuración de seguridad de cuentas de usuarios Responsabilidades de Usuario Objetivo: Prevenir el acceso de usuarios no autorizados, evitar el compromiso o robo de la información o de los medios de procesamiento. Score: 27% Uso de contraseñas Equipo del usuario desatendido Política de puesto de trabajo y pantalla limpia. - No se ha definido y puesto a disposición de los usuarios un documento con las guías de buenas prácticas para el uso de contraseñas y protección de los equipos desatendidos. - No se ha configurado el protector de pantalla para la protección de los equipos desatendidos. En los contratos de trabajo se ha definido de forma general una política de puesto de trabajo, pero esta no se cumple a totalidad. Desarrollar y difundir guía de buenas prácticas para el uso de contraseñas. Configurar e protector de pantalla para proteger los equipos desatendidos Control de Acceso a Redes Objetivo: Prevenir el acceso no autorizado a los servicios de red. Score: 30% Política para el uso de servicios de red Autenticación de usuario para conexiones externas. 23

25 Identificación de los equipos en las redes (N/A) Diagnóstico remoto y protección de los puertos de configuración Segregación de las redes Control de conexión a la red Control de enrutamiento de la red. - No existe una normativa para el uso de los servicios de red. - El administrador de red es quien otorga los accesos de usuario de acuerdo a los requisitos de negocio pero no existe un proceso de validación. No se otorgan accesos VPN. - No existe una política para el acceso remoto. El acceso a los sistemas locales, aplicaciones y servicios de red en la nube se encuentran protegidos mediante contraseñas de acceso. - No existen controles avanzado para limitar la conexión a la red. - La red lan no se encuentra segmentada, solo existe segregación de la red wireless y ambiente QA, el cual se encuentra separado lógicamente dentro del servidor principal de desarrollo. - Soho indica que las reglas del firewall son revisadas bajo demanda, no se ha definido un proceso formal de revisión. Los controles de conexión a la red y ancho de banda son aplicados bajo demanda a través del firewall. Se aplican configuraciones a nivel de firewall para definir reglas de acceso a entorno QA y reglas de enrutamiento sobre conexiones y servicios wan, wireless y lan. Documentar una política para el uso de las redes y los servicios red. Definir un procedimiento para otorgar accesos y validar cuentas de usuarios. Definir una normativa de seguridad para el acceso remoto a los servicios en la nube e internos. Integrar un sistema y protocolo que facilite las tareas de monitoreo y diagnóstico de los sistemas. Implementar switches administrables para mejorar la segregación de los entornos de red. Realizar un chequeo y reporte periódico de las reglas de firewall, conexiones y consumo de ancho de banda Control de Acceso al Sistema Operativo Objetivo: Evitar el acceso no autorizado a los sistemas operativos. Score: 20% Procedimientos de inicio seguro de sesión Identificación y autenticación del usuario Sistema de gestión de contraseñas Uso de los recursos del sistema Cierres de sesión automáticos por inactividad Limitación del tiempo de conexión. 24

26 - Los usuarios cuentan con permisos de administrador al sistema operativo de la estación de trabajo. Se emplea LDAP sólo para la administración de cuentas de usuarios de red que tienen acceso al servidor principal de desarrollo. No se incluyen las estaciones de trabajo. - No se ha implementado un sistema de gestión centralizada que administre todas las cuentas de usuarios y privilegios. - No existen guías de buenas prácticas o estándares de configuración de contraseñas. Existen distintos perfiles y privilegios para las cuentas de usuario de acceso y administración a bases de datos, aplicación intranet en la nube y acceso a servidor de desarrollo. - No se han desarrollado reportes de gestión de cuentas. - No existe un procedimiento para la creación, modificación o eliminación de cuentas o privilegios. - No se han configurado controles de protección para la inactividad de usuarios en los equipos (protectores de pantallas y cierres de sesión). Desarrollar políticas de seguridad para la configuración de contraseñas. Fortalecer LDAP para integrar y administrar en lo posible todas las cuentas de usuarios y aplicar políticas de configuración y seguridad. Realizar actividades de levantamiento de cuentas y privilegios. Desarrollar un procedimiento para crear, modificar y eliminar cuentas y privilegios de usuarios Configurar cierres de sesión automáticos en equipos de usuarios 11.6 Control de Acceso a las Aplicaciones y a la Información Objetivo: Prevenir el acceso no autorizado a la información que contienen las aplicaciones. Score: 30% Restricción de acceso a la información Aislamiento de sistemas sensibles. Resultados - No existen estándares de configuración de seguridad para los sistemas. - El servidor de desarrollo y QA se encuentra lógicamente segregado, pero en el mismo servidor. Las aplicaciones y acceso a servidores cuentan con perfiles y privilegios para los usuarios y administradores. - Las funciones en los sistemas no se encuentran completamente segregadas. El servidor de desarrollo comparte servicio web para montar ambiente de QA. - El servidor de gateway realiza funciones de ( Firewall, DHCP, DNS interno, control de ancho de banda y portal cautivo wireless) - El sitio y la intranet de Soho se encuentran en un hosting compartido susceptible a vulnerabilidades externas que podrían 25

27 contener otros sitios alojados. El acceso a los sistemas operativos es protegido mediante passwords de acceso. El acceso a las aplicaciones en la nube es protegido mediante passwords de acceso. - El acceso web a la intranet no fuerza el uso de cifrado seguro de comunicación. Adoptar estándares de configuración de seguridad para los sistemas operativos. Emplear sistemas dedicados para la entrega de servicios internos y externos. Segregar en sistemas dedicados los entornos de QA y desarrollo. Migrar a un hosting dedicado. Implementar certificado de seguridad para el acceso a la intranet y todos aquellos accesos web externos que requieran autenticación. Levantar y evaluar la seguridad de toda la información de Soho expuesta a internet Computación Móvil y Teletrabajo Objetivo: Garantizar la seguridad de la información cuando se utiliza medios de computación portátiles y teletrabajo. Score: 30% Computación y comunicaciones móviles Teletrabajo. Se ha definido una política de seguridad, que establece las medidas de configuraciones y controles de seguridad para dispositivos móviles. Soho indica que no se entregan accesos remotos a la red interna mediante VPN. - Los notebooks y equipos portátiles no emplean mecanismos de cifrado de datos. - No se han realizado capacitaciones de personal respecto a los riesgos del uso de dispositivos móviles. - No existe una normativa de teletrabajo. Realizar respaldos de la información de los dispositivos móviles Implementar elemento de protección contra código malicioso y cifrado de datos. Desarrollar planes de concientización para la seguridad en el uso de dispositivos móviles. Desarrollar una política, para las actividades de tele-trabajo y acceso seguro a los recursos en la nube. 26

28 A.12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información 12.1 Requerimientos de Seguridad de los Sistemas de Información Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de información. Score: 20% Análisis y especificaciones de los requerimientos de seguridad. - No se han adoptados guías o estándares de configuración de seguridad para los sistemas de información, - El procedimiento de instalación de los sistemas es realizado por el administrador sin un procedimiento formal. Soho indica que durante el proceso de instalación de estaciones de trabajo, se instala las aplicaciones básicas requeridas para desempeñar el trabajo y antivirus como regla general. - La seguridad no se ha integrado como una etapa más en los proyectos de desarrollo de software. - No existe una política que defina hacer uso de las últimas versiones y paquetes de software. Adoptar guías de buenas prácticas para la configuración de sistemas operativos. Desarrollar procedimientos de instalación de software base. Definir e implementar un proceso para la evaluación de seguridad en las etapas claves del desarrollo de software. Definir los requisitos mínimos de seguridad que deben cumplir los sistemas y desarrollos. Desarrollar una metodología y procedimientos para realizar actualizaciones y uso de las últimas versiones de software Procesamiento Correcto en las Aplicaciones Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones. Score: 35% Validación de los datos de entrada Control del procesamiento interno Integridad de los mensajes Validación de los datos de salida. Existe un equipo de QA que realiza actividades para evaluar errores de procesamiento de las aplicaciones y medir su calidad y usabilidad, así como también la correcta salida de los datos. - No se ha adoptado una metodología de evaluación de seguridad para cubrir el proceso y ciclo de desarrollo de software. 27

29 - Para los proyectos de desarrollo no se realizan evaluaciones de seguridad al código fuente. - No se realizan evaluaciones dinámicas de seguridad previo al paso a producción (Ethical Hacking) - Los problemas de seguridad de las aplicaciones son identificados por la experiencia de desarrolladores y resueltos bajo demanda. Adoptar y difundir guías de seguridad y buenas prácticas para el proceso de desarrollo de software. Definir una metodología de evaluación de seguridad para el desarrollo de software y aplicaciones. Integrar pruebas de seguridad para evaluar el código fuente Integrar pruebas dinámicas de seguridad de tipo Ethical hacking previo al paso de producción. Integrar pruebas de carga y stress cuando sea identificado como requisito de seguridad. Definir los requerimientos mínimos para la aceptación de seguridad de los sistemas y aplicaciones Controles Criptográficos Objetivo: Proteger la confidencialidad, autenticidad o integridad a través de medios criptográficos. Score: 20% Política en el uso de controles de cifrado Gestión de claves criptográficas (N/A). - No existe una política que defina el uso de controles de cifrado. Se aplican controles de cifrado para los canales de comunicación cuando los proyectos de desarrollo de aplicaciones lo requieren y por solicitud de los clientes. El canal de acceso al servicio de mail se encuentra protegido. - El acceso web a la intranet no está forzado para emplear seguridad del tipo SSL/TLS (HTTPS) - La información y o datos sensibles en base de datos y equipos portátiles no se mantiene cifrada. - No existe un sistema de gestión de claves criptográficas. Definir una normativa para el uso de controles criptográficos Implementar certificados de seguridad y protocolo SSL/TLS para todos los accesos web en internet que requieran el uso de passwords y donde se intercambie información sensible. Proteger la información sensible de las bases de datos mediante el uso de cifrado. Implementar el cifrado de datos en equipos portátiles. 28