TRABAJO FINAL DE CARRERA: GESTION DE LA SEGURIDAD BASADA EN LA ISO/IEC 27001

Transcripción

1 TRABAJO FINAL DE CARRERA: GESTION DE LA SEGURIDAD BASADA EN LA ISO/IEC Autor: Xavier Duch Titulación: Ingeniero Técnico de Informática de Gestión Consultor: Cristina Perez Fecha de entrega:

2 Contenido TRABAJO FINAL DE CARRERA:... 1 GESTION DE LA SEGURIDAD BASADA EN LA ISO/IEC Autor: Xavier Duch... 1 Titulación: Ingeniero Técnico de Informática de Gestión... 1 Consultor: Cristina Perez... 1 Fecha de entrega: Contenido Licencia Dedicatoria y agradecimientos Descripción del proyecto Tablas y Figuras Introducción Justificación del TFC i contexto: punto de partida i aportación del TFC Objetivos del TFC Enfoque y metodología Planificación del proyecto Productos obtenidos Resumen descripción de los otros puntos de la memoria Análisis, Requisitos y Diseño Implementación Memoria y Producto Final Análisis y Diseño Análisis de la Situación Actual La gestión de la seguridad de EkinderGarden donde está actualmente? Personal Activos Tecnología Política de Seguridad Gestión del Riesgo Análisis de Riesgo Tratamiento de Riesgos Hacia dónde vamos? Plan de Implementación

3 Nuevos Servicios en el sistema Implementación Canales Comunicación Implementación de sistema Team Fundation Server Implementación Portal SharePoint Implementación Sistema Monitorización Implementación Firewall Avanzado Implementación IPS Firewall Hosting Implementación Veeam Backup Replication Implementación Cloud Google Diseño del Alcance Diseño de sistema Team Fundation Server Diseño Portal SharePoint Diseño Sistema Monitorización Diseño Firewall Avanzado Diseño IPS Firewall Hosting Diseño Veeam Backup Replication Diseño Cloud Google Apps Nuevo Esquema Tecnológico Diseño de canales de comunicación Descripción de las funcionalidades Empleados Proveedores / posibles proveedores Clientes / posibles Clientes Diseño Conclusiones Análisis de Riesgo Inventariado Activos Informe Análisis Riesgo Tratamiento de Riesgo Requisitos Revisión Puntos Control SOA Implementación Implementación de Mejoras

4 7.1.1 Implementación Canales de Comunicación Revisión de las políticas de Seguridad A.5 Política de Seguridad A6. Organización de la Seguridad A7. Gestión de Activos A8. Seguridad en Recursos Humanos A.9 Seguridad Física y Ambiental A.10 Gestión de las comunicaciones y operaciones A.11 Control de Accesos A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información A.13 Gestión de Incidencias de Seguridad A.14 Gestión de la Continuidad del Negocio Revisión de Indicadores Indicadores Resultado indicadores Conclusiones y líneas de trabajo futuro Conclusiones Finales Implementaciones Líneas de Trabajo Futuro Auditorias Revisión Posterior Propuesta de Mejoras Primera mejora Segunda Mejora Tercera mejora Glosario Análisis de riesgos Auditoría de seguridad Autenticación Confidencialidad Cortafuegos Disponibilidad Incidente de seguridad Integridad

5 10.9 IPS ISO/IEC Plan de contingencia Política de Seguridad Vulnerabilidad No conformidad Observación Oportunidad de Mejora Bibliografía Anexos Anexo 1 Requisitos Seguridad, software, Hardware Sistema Team Fundation Server Portal SharePoint Sistema Monitorización Firewall Avanzado IPS Firewall Hosting Veeam Backup Replication Cloud Google Apps Canales Comunicación Anexo 2 Documentos de seguridad del SGI Anexo 3 Registros Nuevos Activos Anexo 4 Gestión Capacidad Servidores

6 1 Licencia Esta obra está sujeta a una licencia de reconocimiento no comercial sin obra derivada 3.0 España de Creative Commons. 2 Dedicatoria y agradecimientos Quiero dedicar este proyecto en especial a mis padres por haberme apoyado en todo momento, por sus consejos, sus valores, por la motivación constante que me ha permitido ser la persona quien soy ahora. A mis abuelos de los que siempre me han apoyado en estudiar, en avanzar y me han dado toda su alegría. También a toda mi familia que siempre está ahí cuando se la necesita. Gracias Familia. A mis amigos para aguantarme en estos momentos de máxima concentración y para apoyarme en todo momento. Finalmente quería agradecer toda la ayuda y consejos que me ha ofrecido Cristina Perez, en este proyecto. Gracias Cristina. 3 Descripción del proyecto Este proyecto se inicia en base a la necesidad de mejorar la seguridad de la información en mi empresa actual, EkinderGarden. Recibí la responsabilidad en mi puesto de trabajo, como Responsable de Sistemas, en dedicarme a la seguridad de la información, tanto en funciones técnicas como de gestión. A partir de este momento pensé en presentar el proyecto final de carrera en el área de seguridad. Actualmente EkinderGarden está certificada en la normativa de seguridad ISO cumpliendo con los estándares de todos los procesos implicados. Después de la certificación se detectó que el cumplimiento y gestión solo está en el alcance de los responsables de su implementación sin ningún valor añadido y desvinculada de la parte del negocio concretamente en todas las partes interesadas. La solución propuesta consiste en diseñar un canal de comunicación e interacción entre las diferentes partes interesadas (empleados, candidatos a empleados, proveedores, clientes y posibles clientes), dentro el sistema de la seguridad de EkinderGarden con el fin de mejorar la gestión de la seguridad en todos los niveles, la percepción de valor y conseguir un incremento de la eficiencia dentro de mi puesto de trabajo. Adicionalmente están aprobadas en dirección una serie de mejoras tecnológicas dentro del ámbito de la seguridad de la información que harán posible el cumplimiento de los objetivos de este proyecto. En las próximas líneas describiremos con más detalle los objetivos propuestos y finalmente la conclusión de los resultados. 6

7 4 Tablas y Figuras Figura 1 Metodología Figura 2 Planificación Inicial Figura 3 Ciclo trabajo análisis y diseño Figura 4 Personal Figura 6 Gestión de Riesgos Figura 7 Team Fundation Server Figura 8 SharePoint Figura 9 Monitorización Figura 10 Firewall Avanzado Figura 11 IPS ASA Figura 12 Veeam Backup Figura 13 Cloud Google Apps Figura 14 Sistema Final Figura 15 Canales Comunicación Figura 16 Empleados Figura 17 Proveedores1 Figura 18 Proveedores2 Figura 19 Clientes Figura 20 Ciclo trabajo Implementación Figura 21 Requisitos Figura 22 Vulnerabilidades Figura 23 Nagios Figura 24 OpsView Figura 25 SonicWall Figura 26 SharePoint Figura 27 Veeam Backup Figura 28 Antivirus Figura 29 Protección Firewall Figura 30 Gestión Incidentes Tabla1 Planificación Tabla 2 Inventariado Activos Tabla 3 Valoración Activos 7

8 5 Introducción 5.1 Justificación del TFC i contexto: punto de partida i aportación del TFC Para el desarrollo de este proyecto partimos inicialmente con una aceptación, por parte de Dirección de EkinderGarden, para la implementación de los cambios que describiremos en las próximas páginas. Mi aportación en el TFC es como Responsable de Sistemas y con suficientes conocimientos y privilegios para poder desarrollar e implementar la totalidad del TFC. 5.2 Objetivos del TFC En este punto definiremos los diferentes objetivos de seguridad necesarios para resolver el problema. El objetivo principal para la resolución del problema consiste en mejorar la gestión de la seguridad en todo el alcance que compone el sistema de la seguridad de la información de EkinderGarden y darle un valor añadido a la certificación ISO Los objetivos secundarios relacionados con el objetivo principal son los siguientes: Concienciación de la seguridad en las partes interesadas. Eficiencia en la gestión e implementación de los controles de seguridad Mejorar la imagen de la organización 5.3 Enfoque y metodología La metodología que utilizaremos para la implementación de este proyecto es la metodología PDCA. Cada una de las siguientes fases de esta metodología será aplicada al trabajo de este proyecto. Figura 1. Metodología del TFC Planificar En esta fase tiene lugar la creación del SGSI, con la definición del alcance y la Política de Seguridad. El núcleo fundamental de esta fase y del SGSI es la realización de un análisis de riesgos que refleje la situación actual de la entidad. A partir del resultado de este análisis se definirá un plan de tratamiento de riesgos que conlleva la implantación en la organización de una serie de controles de seguridad con el objetivo de mitigar los riesgos no asumidos por la Dirección. Hacer Esta fase cubre la implantación del plan de tratamiento de riesgos, su ejecución. Incluye también la formación y concienciación de los empleados en materia de seguridad y la definición de métricas e indicadores que sirvan para evaluar la eficacia de los controles implantados. 8

9 Comprobar Durante esta fase se realizan diferentes tipos de revisiones para comprobar la correcta implantación del sistema. Entre ellos, se realiza una auditoría interna independiente y objetiva, así como una revisión global por Dirección, con el objetivo de marcarse nuevas metas a cubrir en el próximo ciclo. Mejorar El resultado de las revisiones debe reflejarse en la definición e implantación de acciones correctivas, preventivas y de mejora para avanzar en la consecución de un sistema eficaz y eficiente. La metodología PDCA describe una serie de tareas que deben realizarse para el cumplimiento y seguimiento de los objetivo de seguridad y aplicados a este proyecto. Las fases enlazadas a la metodología son las siguientes: Planificar corresponderá a la fase 1 y fase 2 de nuestra planificación Hacer corresponderá a la fase 3 de nuestra planificación. Comprobar corresponderá a las líneas de trabajo futuras. Mejorar corresponderá a las líneas de trabajo futuras. El resultado esta descrito en el siguiente apartado 5.4 Planificación del proyecto Planificación Inicial Describiremos las tareas de las cuales están formadas las diferentes fases del proyecto. Estas sub-tareas están diseñadas mediante la aplicación Project y especificadas mediante el Diagrama de Gantt. El resultado es el siguiente La especificación de las tareas es la siguiente: Nombre de tarea Duración Comienzo Fin Fase 1 Plan de Trabajo 14 días mié 26/02/14 lun 17/03/14 Buscar Recursos 2 días mié 26/02/14 jue 27/02/14 Definición del Proyecto 2 días vie 28/02/14 lun 03/03/14 Creación de Objetivos 3 días mar 04/03/14 jue 06/03/14 Definición de Metodología 1 día vie 07/03/14 vie 07/03/14 Creación de Tareas 2 días lun 10/03/14 mar 11/03/14 Planificación 2 días mié 12/03/14 jue 13/03/14 Estado del Arte 2 días vie 14/03/14 lun 17/03/14 Fase 2 Análisis, Requisitos y Diseño 20 días mar 18/03/14 lun 14/04/14 Análisis de la situación Actual 1 día mar 18/03/14 mar 18/03/14 Plan de Implementación 2 días mié 19/03/14 jue 20/03/14 Revisión Políticas de Seguridad 2 días jue 20/03/14 vie 21/03/14 Diseño del Alcance 2 días lun 24/03/14 mar 25/03/14 Análisis de los Riesgos 3 días mié 26/03/14 vie 28/03/14 Inventariado Activos 1 día mié 26/03/14 mié 26/03/14 Informe de Análisis Riesgo 2 días jue 27/03/14 vie 28/03/14 Tratamiento Riesgo 2 días mar 01/04/14 mié 02/04/14 Requisitos Seguridad, Hardware, Software 2 días jue 03/04/14 vie 04/04/14 Diseño de canales comunicación 3 días lun 07/04/14 mié 09/04/14 Revisión Puntos control SOA 2 días jue 10/04/14 vie 11/04/14 Elaboración del informe PAC2 1 día lun 14/04/14 lun 14/04/14 Fase 3 Implementación 25 días mar 15/04/14 lun 19/05/14 Revisión Objetivos + Indicadores Seguridad 1 día mar 15/04/14 mar 15/04/14 Implementación Mejoras 8 días mié 16/04/14 vie 25/04/14 Implementación Canales comunicación 2 días mié 16/04/14 jue 17/04/14 Implementación de Acceso Web a Clientes 3 días vie 18/04/14 mar 22/04/14 Implementación de Concienciación Seguridad Empleados 1 día mié 23/04/14 mié 23/04/14 Implementación de Gestión Auditorias Proveedores 2 días jue 24/04/14 vie 25/04/14 Documentación de las políticas de Seguridad 15 días mar 29/04/14 lun 19/05/14 Política de Seguridad 1 día mar 29/04/14 mar 29/04/14 Organización de la Seguridad 1 día mié 30/04/14 mié 30/04/14 Seguridad en Recursos Humanos 1 día jue 01/05/14 jue 01/05/14 Seguridad física y ambiental 1 día vie 02/05/14 vie 02/05/14 Gestión de las comunicaciones y operaciones 3 días lun 05/05/14 mié 07/05/14 9

10 Nueva Política de Auditoria 1 día lun 05/05/14 lun 05/05/14 Nueva política de Gestión de Vulnerabilidades 1 día mar 06/05/14 mar 06/05/14 Nueva Política de Gestión de la Capacidad 1 día mié 07/05/14 mié 07/05/14 Control de Accesos 4 días jue 08/05/14 mar 13/05/14 Nueva Política Control de Accesos 1 día jue 08/05/14 jue 08/05/14 Nueva Política de Red 1 día vie 09/05/14 vie 09/05/14 Nueva política de contraseñas 1 día lun 12/05/14 lun 12/05/14 Nueva Política de encriptación 1 día mar 13/05/14 mar 13/05/14 Adquisición, desarrollo y mantenimiento de SI 1 día mié 14/05/14 mié 14/05/14 Seguridad en el Desarrollo 0,5 días mié 14/05/14 mié 14/05/14 Gestión en las vulnerabilidades 0,5 días mié 14/05/14 mié 14/05/14 Gestión de incidentes de seguridad del servicio 1 día jue 15/05/14 jue 15/05/14 Gestión de la continuidad del servicio 1 día vie 16/05/14 vie 16/05/14 Cumplimiento Legal 1 día lun 19/05/14 lun 19/05/14 Fase 4 Memoria y producto final 19 días mar 20/05/14 vie 13/06/14 Recopilación de la documentación 5 días mar 20/05/14 lun 26/05/14 Documentación resumen del proyecto 4 días mar 27/05/14 vie 30/05/14 Elaboración del producto final 10 días lun 02/06/14 vie 13/06/14 Fase 5 Presentación 5 días lun 16/06/14 vie 20/06/14 Elaboración de Presentación Final 2 días lun 16/06/14 mar 17/06/14 Elaboración de video 3 días mié 18/06/14 vie 20/06/14 Tabla 1 Planificación Planificación final Durante las diferentes fases del proyecto hemos realizado algunos cambios en la planificación. Los cambios realizados son: Tareas en la fase Análisis, requisitos y diseño Hemos cambiado el orden de las siguientes tareas: Revisión de políticas seguridad: la revisión de las políticas de seguridad dentro un sistema de seguridad de la información deben realizarse una vez finalizado la gestión del riesgo, por lo tanto esta tarea se moverá al final dentro la fase 2 de diseño. Diseño canales de comunicación: el diseño de cualquier solución en seguridad de la información debe realizarse antes del análisis, por la tanto esta tarea debe ir antes de la gestión del riesgo. Tareas la fase de Implementación Hemos cambiado las siguientes tareas: Revisión de indicadores: la revisión de los indicadores debe definirse en la parte final de las implementaciones como medida de revisión de la eficacia dentro del sistema de seguridad de la información, por lo tanto moveremos esta tarea al final de esta fase. Adicionalmente la tarea de revisión de objetivos la describiremos en este documento de memoria del proyecto. Visión General de la Documentación: hemos creado una nueva tarea para resumir las conclusiones finales en la fase de implementación y remarcar la existencia de las auditorias de seguridad como revisión de la eficacia dentro el sistema de seguridad de la información. 5.5 Productos obtenidos En este TFC no se ha desarrollado ningún producto de software pero si se ha implementado una serie de políticas de seguridad mediante unos cambios en el sistema de seguridad de la información con la finalidad mejorar la seguridad en todos los ámbitos. Por lo tanto el producto obtenido consiste en mejorar las políticas de seguridad en un sistema de seguridad en base a la normativa de seguridad ISO Las políticas que hemos gestionado y producto obtenido son las siguientes: Política de protección de código malicioso Política de seguridad en la gestión de recursos humanos Política de gestión documental 10

11 Política de protección de redes Política de gestión de incidentes Política de continuidad del negocio Política de copias de seguridad Política de control de acceso Adicionalmente en la parte de presentación del proyecto se realizará una visualización de las implementaciones realizadas en este proyecto como parte de demostración del producto final a las mejora de las políticas de seguridad. 5.6 Resumen descripción de los otros puntos de la memoria Una vez obtenida la planificación de este proyecto describiremos un resumen de la composición de los puntos de la memoria. El resultado es el siguiente: Análisis, Requisitos y Diseño En esta parte realizaremos el análisis, requisitos y diseño de todo el TFC. Describiremos la situación actual dentro el sistema de la seguridad, el alcance, el análisis de seguridad enlazado a los activos de todo el sistema, realizaremos un análisis de riesgos de todos los activos y si obtenemos activos con riesgos no aceptable realizaremos su tratamiento. Implementación En esta parte realizaremos toda la implementación en base el diseño, los requisitos definidos en la anterior fase, la revisión de las nuevas políticas de seguridad y finalmente la implementación de las políticas, procesos y de todos los controles a modificar en base a la normativa ISO Memoria y Producto Final Esta parte está formada por todos los puntos anteriores, las conclusiones finales y la revisión del cumplimiento de los objetivos finales en del TFC. 6 Análisis y Diseño Después de realizar la planificación del proyecto de Gestión de la Seguridad en EkinderGarden nos centraremos en la parte de análisis de requisitos y diseño de la solución. Para la realización de la parte de análisis de requisitos y diseño debemos aplicar la metodología PDCA de la norma ISO 27001, concretamente la parte de PLANIFICAR. Dicha parte fue descrita en la fase de planificación y está formada por una serie de tareas que complementan la resolución de esta parte. Las Tareas a implementar son las siguientes: Análisis de la situación Actual Diseño del Alcance Diseño canales de comunicación Análisis de los Riesgos Tratamiento de Riesgos Requisitos de Seguridad, Hardware y Software Plan de implementación Revisión Puntos Control SOA El siguiente gráfico describe el ciclo de trabajo de este documento: 11

12 Figura 3 Ciclo trabajo análisis y diseño 6.1 Análisis de la Situación Actual El análisis de la situación actual del sistema de gestión de la seguridad en EkinderGarden se centra principalmente en el manual de Seguridad de la información. Dicho manual contiene todos los puntos necesarios para el cumplimiento de la normativa ISO Las palabras que definen mejor el análisis de la situación actual: si pudiéramos saber primero donde estamos y hacia dónde vamos, podríamos juzgar mejor que hacer y cómo hacerlo. La gestión de la seguridad de EkinderGarden donde está actualmente? Actualmente la gestión de la seguridad está formada por: Personal Activos Tecnología Política de Seguridad Gestión del Riesgos Personal EkinderGarden está formado por 51 profesionales en diferentes áreas de trabajo. El siguiente organigrama describe la estructura de la organización. Figura 4 Personal SGI Todo el personal de EkinderGarden, directamente o indirectamente, está dentro el alcance del sistema de la seguridad. El personal dentro del alcance directo es el siguiente: 12

13 El responsable de Seguridad Asegurarse de que la plantilla cuenta con la formación adecuada, conoce y comprende la Política de Seguridad y pone en práctica las directrices de seguridad. Asegurarse de que el software que se utiliza tiene licencia y cumple con los requisitos de las normas de referencia que les aplican. Asegurarse de que los soportes y equipos que contengan información son desechados según lo establecido. Implementar las medidas de seguridad necesarias para evitar fraudes, robos o interrupción en los servicios. Mantener documentación actualizada de todas las funciones críticas para asegurar la continuidad de las operaciones en caso de que alguien no esté disponible. Comité de Dirección Comunicar a la organización de la importancia de satisfacer los requerimientos de los clientes así como los legales y reglamentarios. Establecer la Política de Gestión Integral. Establecer y aprobar los Objetivos del Sistema de Gestión Integrado. Revisar los correspondientes registros del Sistema de Gestión Integrado Activos Actualmente los activos del sistema de la información de EkinderGarden están clasificados en diferentes agrupaciones. Estas agrupaciones son: Personas: contiene todas las áreas y personas dentro el alcance de la normativa ISO Comunicaciones: contiene los activos de todos los dispositivos de comunicaciones, Routers, Firewalls, switches. Infraestructura: contiene los activos de todos los dispositivos físicos: Servidores, edificios, CPD Software: contiene los activos todos los aplicativos de software: Sistemas Operativos, aplicaciones... Información: contiene los activos de los repositorios de información: Archivos de datos, repositorio código fuente. Intangibles: contiene los activos de la reputación y la imagen de la empresa Tecnología El sistema de la información de EkinderGarden está físicamente formado por dos CPD. El CPD de Barcelona y el CPD del proveedor de Hosting. La situación actual de los 2 CPD de la infraestructura informática EkinderGarden, esta implementada en: CPD Hosting, compuesto por 3 servidores virtuales. CPD Barcelona, compuesto por 3 servidores físicos y 3 virtuales. CPD Hosting Los 3 servidores de nuestro Hosting están situados en el CPD de Nexica, implementados con el sistema Windows Server 2008 Web Edition y el sistema donde se almacenan los datos de nuestros clientes es SQL Server A parte de los 3 servidores virtuales existe una red de copias de seguridad y 13

14 monitorización configurada con Veritas Backup para copias de seguridad y CACTI monitorización de todos los servicios de los servidores. para la CPD Barcelona El CPD de Barcelona dispone de una sala de servidores formado por dos armarios Rack: Un armario para las comunicaciones externas e internas y otro armario para los servidores. La principal tecnología de los servidores es la virtualización de máquinas virtuales. Los servidores trabajan bajo sistema operativo Vmware. Los servidores virtuales que ofrecen los principales servicios trabajan con sistema Windows Server 2008, por ejemplo, el servidor de ficheros, el servidor de correo electrónico y los servidores de desarrollos y test de las aplicaciones. Las comunicaciones de nuestra red están configuradas mediante VPN IPSEC. Los usuarios con permiso pueden acceder al sistema mediante VPN cliente. La tecnología de nuestras redes es CISCO Política de Seguridad La política de seguridad implementada en el sistema de seguridad de EkinderGarden es al siguiente: Aplicamos estándares de seguridad en nuestros procesos de diseño, implantación, comunicación y administración de soluciones de retribución flexible basados en la confidencialidad, la disponibilidad y la integridad para asegurar un tratamiento seguro de los datos. Trabajamos para que nuestros servidores tengan una disponibilidad mínima del 99%, asegurando que nuestros partners tecnológicos cumplan nuestros mismos requisitos y testeando anualmente nuestros planes de continuidad. La política de seguridad es la base del funcionamiento de todo el sistema de seguridad aplicado en la normativa ISO/IEC 27001, por lo tanto su cumplimiento es fundamental para que toda la gestión de la seguridad se aplique correctamente Gestión del Riesgo EkinderGarden ha implementado un proceso de gestión de riesgos para identificar sus activos de información y proporcionar servicio al Cliente. La gestión del riesgo es la base de toda la gestión de la seguridad del sistema de la información. Activos Los activos de información se agrupan en base a las necesidades del negocio. La responsabilidad de un activo de información recae sobre un propietario designado a tal efecto, que será el responsable de asegurar que se mantiene la protección adecuada sobre el mismo. Asimismo, se ha asignado a cada activo de información un administrador cuya función es la de hacer el mantenimiento correspondiente. Valoración Activos Cada activo de información se ha valorado en función de los términos de confidencialidad, disponibilidad e integridad y, por tanto, a cada uno le corresponde un nivel de riesgo que depende de su impacto en caso de ocurrencia. En base a los criterios antes mencionados, EkinderGarden ha clasificado los riesgos según su importancia para la Organización. Integridad Alto (2) Normal (1) Tabla 3 Valoración Activos El alto nivel de integridad deberá ser seleccionada para los objetos, si la modificación no autorizada podría dar lugar a daños para Compensa. Ejemplos de ello son la información que se publica en Internet (Información pública), el código fuente o los registros financieros. El nivel de integridad Normal deberá ser seleccionado para los objetos dónde la modificación no autorizada no daría lugar a un daño significativo para Compensa. Ejemplos de ello son la correspondencia y la información publicada en el portal del empleado de Compensa. 14

15 Disponibilidad Alto (3) Normal (2) Bajo (1) Tabla 3 Valoración Activos El nivel de disponibilidad Alto deberá ser seleccionado para los objetos si: - La falta de disponibilidad de los objetos de más de 4-24 horas podría dar lugar a graves consecuencias para Compensa - La pérdida de datos aceptables en el caso de un desastre es menor a 12 horas. - El requisito de nivel de servicio es alto El nivel de disponibilidad Normal deberá ser seleccionado para los objetos si: - La falta de disponibilidad de los objetos de más de 24 a 72 horas conduciría a consecuencias moderadas para Compensa - La pérdida de datos aceptables en el caso de un desastre es menor a 24 horas - El requisito de nivel de servicio es de tamaño medio El nivel de disponibilidad Bajo deberá ser seleccionado para los objetos si: - Los objetos no están disponible en más de 72 horas - La pérdida de datos aceptables en el caso de un desastre es más de 24 horas - El requisito de nivel de servicio es baja Tiempo Recuperación > 4 hrs < 24 hrs > 24 hrs < 72 hrs < 1 semana Confidencialidad Confidencial (3) Uso Interno (2) Público (1) El nivel de confidencialidad muy alta deberá ser seleccionado para los objetos, si el acceso no autorizado o la revelación del objeto severamente los daños y perjuicios Compensa llegar a tener repercusiones comerciales extensa. Ejemplos de ello son los datos financieros consolidados, la información de patentes, información personal altamente sensible. El nivel de confidencialidad Alto deberá ser seleccionada para los objetos, si el acceso no autorizado o la revelación del objeto que conlleva un para el negocio de Compensa Ejemplos de ello son la información técnica relacionada con los productos actuales o futuros o servicios, los planes de acuerdos, de negocios o de mercado, datos financieros, datos de personal, Ejemplos de ello son la información publicada en la intranet de Compensa, la correspondencia, etc. El nivel de confidencialidad No serán seleccionados para la información y los sistemas de la información cuando hay una decisión tomada por un organismo autorizado de Compensa o funcionario para que la información abierta para cualquier persona fuera de Compensa. Ejemplos de ello son los comunicados de prensa, información sobre los sitios web para el público en general ( etc. Tabla 3 Valoración Activos Ejemplo El Activo Servidor Datos tiene un valor de confidencialidad de 3, disponibilidad 3 e integridad 3. Sumando los tres obtenemos un valor en el activo de 9. Este valor será utilizado para calcular el riesgo del activo. Metodología La metodología utilizada para la gestión del riesgo se basa en MAGERIT. La figura6 describe el proceso de toda la gestión. La gestión del riesgo se divide en dos procesos. Análisis de Riesgo y Tratamiento del riesgo Figura 6 Gestión del Riesgo 15

16 6.1.6 Análisis de Riesgo Para la realización del análisis de riesgo primero, como ya hemos descrito anteriormente, debemos identificar y valorar los activos. Los activos son los elementos más importantes dentro el sistema de la información. Los activos se clasifican en infraestructura, software, comunicaciones y personas. El análisis de riesgo basado en MAGERIT está formado por los siguientes conceptos: Probabilidad de Amenaza La probabilidad de ocurrencia de una amenaza tendrá un valor entre 1 y 100. Por ejemplo una amenaza del 5 quiere indicar que habrá una probabilidad de ocurrencia de amenaza del 5%, es decir, una probabilidad baja de que ocurra dicha amenaza. Ejemplo de Probabilidad de Amenaza Para calcular la probabilidad de ocurrencia de una amenaza nos basaremos en la experiencia del pasado y en cada uno de los controles de seguridad implementados en dicho momento. Por ejemplo si tenemos el activo Servidor de Datos sin actualizar su sistema y sin antivirus podemos realizar una aproximación de cálculo de la probabilidad de ocurrencia de la amenaza con el valor 20 en referencia a la amenaza de software dañino. Por lo tanto un 20% de las veces que circule software dañino por este servidor, será infectado. Nivel de impacto El último criterio a ponderar es el impacto que puede provocar que se materialicen una o más amenazas del activo. 5 La materialización de la amenaza podría originar un impacto superior a La materialización de la amenaza podría originar un impacto de entre y La materialización de la amenaza podría originar un impacto entre y La materialización de la amenaza podría originar un impacto de hasta La materialización de la amenaza podría originar un impacto prácticamente nulo en la organización. Nivel de riesgo El nivel de riesgo vendrá dado por la siguiente fórmula para cada activo de: Probabilidad de amenaza * Nivel de impacto * Valoración del activo El valor obtenido es el que permite clasificar los riesgos según su importancia para la organización. La valoración del riesgo es la siguiente: Los riesgos definidos después del cálculo entre la probabilidad de amenaza e impacto son entre 1 y El valor 4500 identifica el riesgo más alto y el valor 1 el riesgo más bajo. La estructura del registro de riesgos es la siguiente: Activo: nombre del activo. Valoración: valoración del activo: de 1 a 9. Amenazas del activo: amenazas que afectan al activo. Vulnerabilidad: vulnerabilidades del activo. 16

17 Probabilidad de ocurrencia de Amenaza: valor entre 1 a 100. Impacto: valor del impacto: de 1 a 5. Valoración del Riesgo: de 1 a 9. Riesgo Actual: valor del riesgo calculado con la formula Probabilidad de amenaza * Nivel de impacto * Valoración del activo. La frecuencia de análisis del riesgo es la siguiente: Cada vez que agregamos nuevos activos debemos realizar un análisis de los posibles riesgos. Cuatrimestralmente se realizara un análisis de riesgos completo de todos los activos. Para la reducción del riesgo de las vulnerabilidades obtenidas en el Análisis de Riesgos se ha establecido un Plan de Tratamiento. El período de seguimiento de la vulnerabilidad es desde mensual a anual, en función a la criticidad de la misma Tratamiento de Riesgos El tratamiento de riesgos implicará seleccionar e implantar las medidas técnicas y organizativas necesarias para impedir, reducir o controlar los riesgos identificados, de forma que los perjuicios que puedan causar se eliminen o, si esto no es posible, se reduzcan lo máximo posible. Las estrategias de tratamiento de los riesgos son las siguientes: Aceptar el riesgo. Aceptar el riesgo y no implantar controles para su disminución o eliminación. Evitar el riesgo. Eliminar la causa o la consecuencia de dicho riesgo. Disminuir el riesgo. Limitar el riesgo implementando controles que disminuyan el impacto Transferir el riesgo. o Pasar el riesgo a otros, como por ejemplo una aseguradora. o Transferir el riesgo significa que el tercero realiza las acciones necesarias para disminuir el riesgo, como por ejemplo: Evidencia de contrato de mantenimiento de Hosting Evidencia de SLA Informes de resoluciones de incidentes de seguridad Seguimiento de proveedor respecto a la seguridad. o Se tiene que realizar seguimiento de las acciones del tercero o Registrar las evidencias en el plan de tratamiento de riesgos El tratamiento de los niveles de riesgo de EkinderGarden son los siguientes: De 1 a 249 son considerados niveles de riesgos aceptados automáticamente sin realizar tratamiento. > 250: se tendrá que realizar tratamiento y dirección decide si se aceptan o no. Finalmente hemos terminado de escribir la situación actual. Después de definir el plan de implementación de este proyecto realizaremos un Análisis de Riesgos de los activos nuevos. En el punto Análisis de Riesgos se pueden apreciar los detalles. Posteriormente nos hacemos la siguiente pregunta: Hacia dónde vamos? La respuesta ya la descubrimos en la planificación de este proyecto. Mejorar la gestión de la seguridad en todo el alcance que compone el sistema de la seguridad de la información de EkinderGarden y darle un valor añadido a la certificación ISO

18 Para llegar a nuestra meta primero tenemos que realizar una serie de tareas. En los siguientes puntos describiremos lo necesario para conseguirlo. 6.2 Plan de Implementación En este punto describiremos las funcionalidades de las diferentes implementaciones de los cambios informáticos que se realizaran en este proyecto de la Gestión de la seguridad de la información basada en ISO 27001/IEC. Nuevos Servicios en el sistema Se ha presentado a dirección las mejoras tecnológicas en el sistema de seguridad de la información con el fin de mejorar la seguridad. Los servicios son los siguientes: Implementación Canales Comunicación La implementación de los canales de comunicación tiene como objetivo mejorar la gestión seguridad en las partes interesadas del sistema de la información. Para más detalles de esta implementación ir al punto 4.3 de diseño de canales de comunicación Implementación de sistema Team Fundation Server La implementación del sistema Team Fundation Server tiene como objetivo mejorar la seguridad en el ciclo de la vida de las aplicaciones desarrolladas en la organización. El sistema Team Fundation Server consiste en implementar un servidor de repositorio del código fuente de las aplicaciones internas que trabaja la organización. El servidor trabaja con acceso web con sistema Windows Server 2008, SQL Server 2018 e Internet Information Server IIS 7.5 y los clientes trabajan con la herramienta Visual Studio Finalmente esta implementación implica realizar cambios en los controles de seguridad del Anexo 12 y 14 de la normativa ISO Implementación Portal SharePoint La implementación del Portal SharePoint tiene como objetivo mejorar la gestión documental de los procedimientos, controles y registros del sistema de la información. Esta implementación consiste en construir un servidor Windows Server mediante un Internet Information Server IIS 7.5 más SQL Server 2008 y SharePoint Fundation Los usuarios podrán acceder a un entorno web y trabajar con la documentación del sistema de la información con un control de versiones, aprobaciones y auditoria de seguimiento. La gestión de la documentación es uno de los requisitos principales en cuanto a la gestión de la seguridad de la información. Por lo tanto esta implementación implica realizar cambios en los controles de seguridad de punto 4 y el Anexo 14 de la normativa ISO Implementación Sistema Monitorización La implementación del sistema de monitorización tiene como objetivo detectar los incidentes de seguridad y prevenir los posibles fallos de los diferentes servicios en el sistema de la información. También podemos realizar la gestión de la seguridad de los incidentes y la gestión de la capacidad de los activos. La implementación del sistema de monitorización consiste en construir un servidor Linux Centos 5.5 más un servidor WEB Apache y finalmente el software de monitorización NAGIOS y OPSVIEW 18

19 También implementaremos el software Veeam One Monitor para la monitorización en el sistema VMWARE. Para esta implementación dispondremos de un acceso web podremos controlar los diferentes recursos de los activos del sistema de la información. Dispondremos de alertas que nos informaran del estado del servidor. Finalmente esta implementación implica realizar cambios en los controles de seguridad del Anexo 10 y 13 de la normativa ISO Implementación Firewall Avanzado La implementación de un Firewall Avanzado tiene como objetivo mejorar la protección de las amenazas entre la red externa, internet y la red interna del sistema de la información. Para el cumplimiento de este objetivo se debe instalar un firewall avanzado de la marca SONICWALL. Este sistema de firewalls lleva las siguientes funciones. Filtraje de contenido web: filtraje de contenidos web no permitidos dentro el sistema de la información mediante una política específica dentro el firewall. Análisis del trafico: con esta función el firewall analiza el tráfico procedente del exterior e identifica posibles virus, spyware. IDS: con esta función el firewall realiza la detección de intrusos procedentes del exterior, es decir desde Internet. Finalmente esta implementación implica realizar cambios en los controles de seguridad del Anexo 10, 11 y 14 de la normativa ISO Implementación IPS Firewall Hosting La implementación del sistema IPS en el Firewall del Hosting tiene como objetivo mejorar la protección de los accesos a los activos más importantes del sistema de la información y prevenir los ataques externos hacia los servidores del Hosting. El sistema IPS estará unido al Firewall ASA del Hosting y tendrá una serie de políticas de seguridad contra los ataques externos en todos los niveles de las aplicaciones y amenazas externas, como por ejemplo prevención de ataques SQL Injection y de Cross Site Scripting. Finalmente esta implementación implica realizar cambios en los controles de seguridad del Anexo 10, 11 y 12 de la normativa ISO Implementación Veeam Backup Replication La implementación de la aplicación Veeam Backup Replication tiene como objetivo mejorar los procesos de copias de seguridad y en concreto la disponibilidad de los servidores virtuales. El sistema Veeam Backup Replication 7.0 se construye en el servidor de copias de seguridad y se instala la aplicación del fabricante Veeam. Esta solución implica mejorar las copias de seguridad de los servidores virtuales y replicar todos los servidores en el servidor de backup mejorando la disponibilidad de la información y reduciendo su riesgo. Finalmente esta implementación implica realizar cambios en los controles de seguridad del Anexo 10 y 14 de la normativa ISO Implementación Cloud Google La implementación de Cloud Google Apps tiene como objetivo: 19

20 Reducción del riesgo de pérdida de negocio, tiempo y dinero por la inestabilidad y fragilidad del sistema informático. Aumentar la disponibilidad de los servicios tecnológicos. Facilidad de compartición y acceso a la información La implementación de Google Apps es una construcción de un sistema complejo dentro el sistema de la información. La construcción consiste en migrar la información actual en el sistema cloud de Google. Desde el correo corporativo hasta la información compartida. Las aplicaciones que utilizaremos son: Google Mail Google Docs Google Calendar Google Drive Google Sites Google Hangouts Google Vault La implementación de Google Apps implica realizar un análisis en los diferentes procedimientos y controles de la seguridad del sistema de la información. 6.3 Diseño del Alcance En este punto describiremos el nuevo alcance según la planificación de implementación y los nuevos activos necesarios para el cumplimiento de los objetivos de este proyecto. El alcance principal de la certificación es: Diseño, implantación, comunicación y administración de políticas y soluciones de retribución flexible Este alcance está diseñado en relación a todos los activos del sistema de la información de la organización. De cada implementación comentada en el plan de implementaciones realizaremos un diseño de los nuevos activos que posteriormente será gestionado su valoración en la gestión de riesgo. En los siguientes apartados realizaremos un esquema del diseño de las diferentes implementaciones Diseño de sistema Team Fundation Server El diseño de esta implementación es la siguiente: Figura 7 Team Fundation Server 20

21 Para el diseño de la implementación del servicio Team Fundation Server necesitaremos un servidor Windows Server con la aplicación Team Fundation Server y los equipos clientes en Informática necesitaran la aplicación Visual Studio 2012 para conectarse al servidor Diseño Portal SharePoint El diseño de esta implementación es la siguiente: Figura 8 SharePoint Para el diseño de la implementación del portal SharePoint necesitaremos un servidor Windows Server con las aplicaciones SharePoint Fundation 2010 y SQL Server 2012 y los equipos clientes necesitaran conexión de red local y un navegador web Diseño Sistema Monitorización El diseño de esta implementación es la siguiente: Figura9 Monitorización Para el diseño de la implementación del sistema de monitorización necesitaremos un servidor Linux Server con las aplicaciones Opsview y Nagios y el equipo cliente se conectara mediante un navegador web. Se monitorizarán todos los servidores del sistema. 21

22 6.3.4 Diseño Firewall Avanzado El diseño de esta implementación es la siguiente: Figura 10 Firewall Avanzado Para el diseño de la implementación del portal Firewall Avanzado necesitaremos un dispositivo firewall con el sistema SonicWalll implementado en la red local de Barcelona donde se controlaran todos los accesos, tanto internos como internos, de los equipos clientes Diseño IPS Firewall Hosting El diseño de esta implementación es la siguiente: Figura 11 IPS ASA Para el diseño de la implementación del IPS Firewall ASA necesitaremos un dispositivo firewall con el sistema CISCO implementado en la red local del Hosting donde se controlaran todos los accesos, tanto internos como internos. 22

23 6.3.6 Diseño Veeam Backup Replication El diseño de esta implementación es la siguiente: Figura 12 Veeam Backup Para el diseño de la implementación del sistema de Backup Veam Backup Replication necesitaremos un Servidor Windows con la aplicación Veeam Backup Replication y las aplicaciones agente en cada uno de los servidores de virtualización para poder replicar los diferentes servidores virtuales del sistema. Adicionalmente necesitaremos un dispositivo Nas para almacenar la copia de las máquinas virtuales Diseño Cloud Google Apps El diseño de esta implementación es la siguiente: Figura 13 Google Apps Para el diseño de la implementación del Cloud de Google Apps necesitaremos contratar el servicio de Google Apps con todos los requisitos de seguridad analizados e implementar conexiones seguras entre la red local y la nube. Las aplicaciones clientes necesarias serán instaladas en todos los equipos clientes, principalmente Google Mail y Google Drive 23

24 6.3.8 Nuevo Esquema Tecnológico La implementación de cambios definidos en el plan de implementación implica un cambio en el esquema tecnológico del sistema de la información. El resultado es el siguiente: Sistema Final Figura Diseño de canales de comunicación EL diseño de los canales de comunicación dentro el sistema de la información de EkinderGarden consiste en: Descripción de las funcionalidades Diseño Conclusiones Descripción de las funcionalidades Las funcionalidades de la implementación de canales de comunicación consisten en mejorar la gestión de la seguridad de la información en las partes interesadas. Estas partes son las siguientes Empleados Proveedores /Posibles Proveedores Clientes / Posibles Clientes Empleados Los empleados están dentro del alcance de la seguridad de la información. Uno de los requisitos de la normativa ISO implica que los usuarios del sistema de la información tienen que estar formados continuamente en seguridad y en el caso de los empleados deben estar concienciados en la seguridad. La solución consiste en implementar los siguientes puntos: Acceso privado al portal del Empleado: acceso seguro mediante protocolo SSL con un usuario y contraseña segura. Sitio web Cliente: creación de sitio web para el acceso de los empleados. 24

25 Normativa interna: la normativa interna son las obligaciones y normas de seguridad que debe concienciarse un empleado incluida la política de seguridad. Los empleados realizan la aceptación de la normativa electrónicamente. Documento de seguridad: documento de normas de seguridad y requisitos legales que todos los empleados deben conocer. Documentos en políticas secundarias: documentación de políticas de seguridad implicadas a la seguridad del sistema. Continuamente se están documentando nuevas políticas y controles de seguridad debido a los cambios que se van produciendo, como por ejemplo las mejoras que implementaremos. Indicadores de Seguridad: seguimiento de los valores de los indicadores de seguridad de la información. Los empleados estarán actualizados con el seguimiento de la seguridad en el sistema. El diseño del repositorio consiste en crear una web dentro el portal del empleado con todas las partes y documentos comentados anteriormente. Proveedores / posibles proveedores La Descripción de esta funcionalidad para a los proveedores de EkinderGarden consiste en la creación de un sitio web personalizado para la gestión de la seguridad de la información. En dicha web tendrán que realizar una auditoría de Seguridad. El objetivo principal para esta gestión consiste en mantener el sistema seguro de las amenazas y vulnerabilidades y ofrecer a los clientes una seguridad óptima en el tratamiento y servicio que ofrece EkinderGarden, para ello también es importante que nuestros proveedores o posibles proveedores formen parte de este proceso. El resultado de esta solución consiste en implementar los siguientes puntos: Acceso privado a la web Corporativa: acceso seguro mediante protocolo SSL con un usuario y contraseña segura. Sitio web Cliente: creación de sitio web para el acceso de los proveedores. Cuestionario auditoria seguridad: consiste en cumplimentar una serie de preguntas de cumplimento de la ISO Todos los proveedores deben realizar esta auditoría para ser aprobados en el sistema de la información. Las preguntas serán desde seguridad física, lógica hasta la política de vulnerabilidades de su sistema. Contrato de confidencialidad de la información: contrato de confidencialidad que debe firmar cada proveedor con acceso a la información. De esta forma nuestros proveedores y posibles proveedores estarán compartiendo la filosofía de seguridad en el sistema de la información y cumplirán estrictamente los requisitos de seguridad. Clientes / posibles Clientes Cada vez más nuestros clientes y posibles nos exigen el cumplimiento de requisitos de seguridad en relación a la normativa ISO Para solventar esta necesidad debemos implementar una solución adecuada con la finalidad de superar sus auditorías de seguridad y ofrecer más confianza en el servicio que ofrece EkinderGarden a sus clientes. La solución consiste en implementar los siguientes puntos: Acceso privado a la web Corporativa: acceso seguro mediante protocolo SSL con un usuario y contraseña segura. Sitio web Cliente: creación de sitio web para el acceso de los clientes. Certificados: documentación de las certificaciones de seguridad que EkinderGarden. Documentos Seguridad: relación de documentos de seguridad en relación a la norma ISO del sistema de gestión de la seguridad de EkinderGarden. 25

26 El resultado de este punto consiste en formalizar un acceso a la web corporativa para los clientes posibles clientes para que accedan a la información de los requisitos de seguridad que nos exigen cuando evalúan la posibilidad de ofrecer nuestros servicios Diseño El siguiente gráfico muestra el diseño de los canales de comunicación para brindar la solución esperada Figura 15 Canales Comunicación Conclusiones Las conclusiones de la implementación de los canales de comunicación son las siguientes: Esta implementación implica realizar un análisis en los diferentes procedimientos y controles de la seguridad del sistema de la información. No se agregará ningún activo nuevo en el sistema. Los activos afectados por este cambio son: o web de portal de empleado y clientes o web corporativa Concienciar y formar a los empleados dentro el sistema de la seguridad de la información. Mejorar la selección de proveedores que cumplan con los requisitos de seguridad de la información. Mejorar la efectividad y agilidad de las auditorías con clientes en base a la seguridad de la información. 6.5 Análisis de Riesgo Como ya describimos en la situación actual la metodología que se utiliza para el análisis de riesgo se basa en la metodología Magerit. En los siguientes puntos realizaremos el análisis de riesgo del primer cuatrimestre de este año 2014, siguiendo la estructura de la valoración: 1. Identificar los nuevos activos de las nuevas implementaciones 2. Valorar el activo en confidencialidad, disponibilidad e integridad 3. Identificamos las posibles amenazas y vulnerabilidades 4. Valorar la probabilidad de ocurrencia 26

27 5. Valorar el impacto en el negocio 6. Obtener el valor del Riesgo de los tres valores anteriores: Probabilidad amenaza*nivel impacto*valor del activo 7. Realizamos el tratamiento de Riesgo Inventariado Activos Este apartado corresponde a las acciones de los puntos 1 y 2. Identificación y valoración de activos en función de la confidencialidad, integridad y disponibilidad. Después de definir las acciones del análisis del riesgo tendremos que inventariar y valorar los nuevos activos ya que su valor será imprescindible y necesario para obtener el valor del riesgo final. Los nuevos activos del sistema de la información obtenidos en base a las implementaciones nuevas son los siguientes: Compensa14: activo del servidor de gestión de documentación. Compensa15: activo del servidor de Team Fundation Server. Team Fundation Server 2012: activo de software de Team Fundation Server. Opsview y Veeam Monitor: activos del servidor de monitorización de los servicios y gestión de la capacidad del sistema. Firewall SonicWall: activo del firewall avanzado para la protección de la red de Barcelona. Veeam Backup Replicacion 7: activo de software para la replicación de máquinas virtuales. IPS Hosting: activo del sistema de prevención de intrusos implementado en el firewall del hosting. GoogleApps: activo para la gestión de las aplicaciones de Google y el almacenaje de la información en el Cloud de Google. num ACTIVO Sede Conf. Disp. Int. Valoración Persona Responsable Descripción 200 Comunicaciones 212 IPS Hosting Hosting Sistemas Sistema de detección intrusos 207 Firewall SonicWall Barcelona Sistemas Firewall Personalizado para Barcelona con sistema prevención intrusos 300 Infraestructura 335 Compensa14 Barcelona Sistemas Servidor SharePoint, FTP 339 Compensa15 Barcelona Sistemas Servidor de Team Fundation Server 400 Software 416 Google Apps Google Sistemas Gestión de la información en entorno de Cloud de Google 418 Team Fundation Server Barcelona Sistemas Aplicación Server de desarrollo Software Veeam Backup Barcelona Sistemas Aplicación de Backup de máquinas virtuales Replication OpsView Core Barcelona Sistemas Aplicación de Monitorización sistema 428 Veeam Monitor Barcelona Sistemas Aplicación de Monitorización Servidores Virtuales Tabla 2 Inventariado Activos En total 9 activos más en el sistema de la información. Por ejemplo el activo IPS Hosting ubicado en la sede Hosting tiene un valor 3 de Confidencialidad, valor 3 de Disponibilidad y 3 Integridad, en total un valor de 8 en el activo. Ver Criterios de Valoración activos. Este valor será utilizado en la valoración el riesgo. En el siguiente punto tendremos que realizar el análisis de riesgo de los nuevos activos y de los activos que forman parte del sistema de la información. 27

28 6.5.2 Informe Análisis Riesgo Para el resultado del informe de Análisis de riesgo realizaremos las acciones de los puntos 3 al 6. Finalmente después de realizar el análisis de riesgo describiremos el informe del resultado. Ejemplo de cómo calcular un riesgo de un activo. Activo compensa14: o Probabilidad de ocurrencia: Valor de probabilidad de ocurrencia de vulnerabilidades de software, teniendo un sistema actualizado y con antivirus la probabilidad de ocurrencia es de un 4 %. o Impacto del activo: La materialización de la amenaza podría originar un impacto de hasta en el servidor de gestión documental, por lo tanto un valor 2 de impacto. o Valor del activo: el resultado de valoración de la confidencialidad, disponibilidad e integridad es de 7. o Valoración final: probabilidad de ocurrencia * impacto * valor del activo = 4*2*7=56. Hemos analizado los riesgos de los nuevos 9 activos. No existe ningún riesgo de estos activos con un valor más alto de 250, por lo tanto se acepta automáticamente su riesgo y no se realizara ningún tratamiento. El total de activos restante es 93 y el valor del riesgo obtenido un supera el valor 250 por lo tanto Todos los riesgos obtenidos se aceptan automáticamente sin realizar ningún tratamiento. El nivel de riesgos de los activos del sistema está por debajo del riesgo no aceptable por lo tanto el sistema de seguridad de EkinderGarden está protegido de las amenazas o vulnerabilidades en este instante. Posteriormente se tendrán que realizar nuevos análisis de riesgos, en concreto cuando se introduzcan nuevos activos y cuatrimestralmente, con el objetivo de mantener y conservar un nivel de riesgo que no exponga a la seguridad del sistema de la información. 6.6 Tratamiento de Riesgo En este punto no tendremos que realizar ninguna acción ya que el resultado del análisis de riesgo obtenido nos indica que el nivel de riesgo está por debajo de la actuación del tratamiento de los activos. 6.7 Requisitos Antes de iniciar la parte de implementación de este proyecto debemos realizar el estudio de requisitos de todas las nuevas implementaciones. Los requisitos están descritos en el Anexo Revisión Puntos Control SOA Finalmente en relación al diseño del plan de implementación realizaremos una revisión de las políticas de seguridad que debemos modificar siguiente la normativa ISO La revisión esta descrita en el Anexo 2. 7 Implementación Después de realizar el diseño y requisitos del proyecto de Gestión de la Seguridad en EkinderGarden nos centraremos en la parte de implementación. 28

29 Para la realización de la parte de implementación debemos aplicar la metodología PDCA de la norma ISO 27001, concretamente la parte de DO. Dicha parte fue descrita en la fase de planificación y está formada por una serie de tareas que complementan la resolución de esta parte. Las Tareas a implementar son las siguientes: Implementación Mejoras Documentación de las políticas de Seguridad Revisión Indicadores de Seguridad 7.1 Implementación de Mejoras Las implementaciones de mejoras descritas en el documento anterior serán descritas en este punto Implementación Canales de Comunicación Las implementaciones en los canales de comunicación son las siguientes: Empleados El resultado de la implementación es la siguiente: Portal del Empleado con acceso para los empleados Desarrollo final en el portal del empleado del acceso para empleados. El usuario tendrá un acceso a la web mediante protocolo SSL y podrá consultar la documentación necesaria para la concienciación de la seguridad en el sistema. La documentación está definida en normativa interna, políticas de seguridad, manual de seguridad e indicadores de seguridad. El resultado es el siguiente: Figura 16 Empleados Conclusiones Finales Las conclusiones finales sobre esta implementación son: Este acceso está en producción. 29

30 Con esta implementación los empleados de Compensa tendrán mayor concienciación y formación y noticias en relación a la seguridad de la información. Todos los empleados de EkinderGarden deberán cumplir con estos requisitos. Proveedores El resultado de la implementación es la siguiente: Web Corporativa con acceso para proveedores Desarrollo final en la web corporativa del acceso para proveedores. El usuario tendrá un acceso a la web mediante protocolo SSL y podrá consultar la documentación necesaria para realizar la auditoria. La documentación inicial definida en este proyecto es el contrato de confidencialidad y la plantilla de auditoria de seguridad. Figura 17 Proveedores1 Plantilla Auditoria Este es una parte del documento de la auditoria de seguridad que debe realizar. 30

31 Figura 18 Proveedores2 Conclusiones Finales Las conclusiones finales sobre esta implementación son: Este acceso es un prototipo del resultado final. Con esta implementación la gestión y elección de proveedores para Compensa será más eficiente. Todos los proveedores con acceso a la información del sistema de EkinderGarden deberán cumplir con estos requisitos. Clientes El resultado de la implementación es la siguiente: Web Corporativa con acceso para Clientes Desarrollo final en la web corporativa del acceso para Clientes. El usuario tendrá un acceso a la web mediante protocolo SSL y podrá consultar la documentación necesaria en relación a la seguridad en EkinderGarden. La documentación está formada en base a todos los puntos de control de la norma ISO 27001, desde seguridad física, gestión de terceros, hasta el plan de continuidad. En el siguiente gráfico muestra un ejemplo de la documentación que podrá acceder un cliente o posible cliente. 31

32 Figura 19 Clientes Conclusiones Finales Las conclusiones finales sobre esta implementación son: Este desarrollo es un prototipo del resultado final. Todos los clientes o posibles clientes con acceso a la información del sistema de EkinderGarden podrán revisar el cumplimiento de los requisitos de seguridad. Mejorará la contratación de los diferentes servicios que ofrece EkinderGarden. 7.2 Revisión de las políticas de Seguridad Todas las implementaciones descritas en el apartado de implementación de mejoras conllevaran una revisión de las políticas de seguridad. Ver Anexo 2. Deberemos describir todos los cambios realizados en todos los puntos de control, según la norma ISO Los controles de seguridad de la normativa ISO son los siguientes: A.5 Política de Seguridad A.6 Organización de la Seguridad A.7 Gestión de Activos A.8 Seguridad en Recursos Humanos A. 9 Seguridad Física y Ambiental A.10 Gestión de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición, desarrollo y mantenimiento de SI A.13 Gestión de incidentes de seguridad A.14 Gestión de la continuidad del negocio A.15 Cumplimiento Legal Procedimiento del flujo de trabajo para la revisión de las políticas de seguridad. 32

33 Figura El funcionamiento de la revisión de la documentación consiste en realizar las siguientes acciones: Figura 20 Ciclo Trabajo Implementación A.5 Política de Seguridad Las implementaciones realizadas en el sistema de la gestión de la seguridad no implican ningún cambio en la política de seguridad general. Los cambios serán aplicados a las políticas de seguridad secundarias A6. Organización de la Seguridad Los cambios aplicados a este punto de control son los siguientes: A Contacto de grupo de Interés Descripción Las implementaciones relacionadas con este punto de control son: implementación Team Fundation Server, implementación SharePoint, implementación Firewall Avanzado, implementación Veeam Backup, Implementación Cloud Google. En este punto debemos mantener los contactos apropiados con grupos de interés especial, u otros foros, y asociaciones profesionales especializadas en seguridad. Procedimientos y Registros La revisión de este punto implica modificar la política de gestión de vulnerabilidades del documento PSEG03-Gestion de Vulnerabilidades. El documento está formado por: Indicadores: o Revisión de vulnerabilidades o % Vulnerabilidades resueltas Detección de Tecnologías utilizadas: lista de tecnologías que utilizamos en el sistema. Captura de Vulnerabilidades: o Google Alert: captura de nuevas vulnerabilidades de cada tecnología. o Páginas Web de vulnerabilidades: inscripciones de los foros de cada tecnología. Registros y control de Vulnerabilidades: R-PSEG03-Vulnerabilidades técnicas. 33

34 Acciones a realizar Las acciones a desarrollar para el cumplimiento de este punto de control consisten: Obtener la lista de nuevas tecnologías en el sistema de la información. Agregar la alerta en Google Alerts. Inscribirse en el foro de seguridad de cada nueva tecnología. Registrar vulnerabilidades en el caso de recibir alertas. Documentación El en documento del sistema de gestión de la seguridad PSEG03-Gestion de Vulnerabilidades se ha incluido los siguientes puntos: Lista de las nuevas tecnologías: incorporación de las nuevas tecnologías en base a las nuevas implementaciones. Las nuevas tecnologías son: o SharePoint Fundation: aplicación de gestión documental. o SonicWall: firewall implementado en el sistema. o Nagios: monitorización de la red y servidores. o Opsview: monitorización de la red y servidores. o Veeam Backup: Software de replicación y backup de servidores virtuales. o Google Apps: aplicaciones en el Cloud de Google Apps. o Cisco: sistema operativo del Firewall del Hosting. Google Alerts: actualización de las alertas de Google Alerts. Figura 22 vulnerabilidades Inscripción a los foros de seguridad de la nueva tecnología. El resultad es el siguiente: 34

35 Nagios Figura 23 Nagios OpsView Figura 24 Opsview SonicWall Figura 25 SonicWall SharePoint desde Windows 35

36 Figura 26 SharePoint Veeam Backup Veeam Bakup Figura 27 Conclusiones Las conclusiones para la implementación de los nuevos controles en relación a este punto de control de la Norma ISO son las siguientes: Control de las vulnerabilidades y novedades de las nuevas tecnologías. La inscripción a los nuevos foros de las tecnologías, en relación a la seguridad, prevendrá las posibles amenazas en el sistema. Finalmente indicar que este punto de control también es aplicable para el punto A.12.6 Gestión de las vulnerabilidades técnicas A Tratamiento de seguridad en relación Clientes Descripción Las implementaciones relacionadas con este punto de control son: implementación Canales Comunicación. En este punto debemos identificar todos los requisitos de seguridad antes de dar acceso a los activos o a la información en relación a los clientes. 36

37 Procedimientos y Registros La revisión de este punto implica revisar y modificar la plantilla de contrato para un cliente. Los puntos que debemos modificar es la parte de requisitos de seguridad de los diferentes servicios que ofrece EkinderGarden. Acciones a realizar. Las acciones a desarrollar para el cumplimiento de este punto de control consisten: Política de contraseña en el acceso a la web corporativa Auditorias de seguridad de la información en relación al acceso a la documentación de la web corporativa. Documentación La documentación agregada en la plantilla del contrato para un cliente es la siguiente: La política de contraseña descrita en el contrato de clientes o o o o o o o o Longitud mínima de ocho caracteres alfanuméricos. Vigencia máxima de 90 días. Bloqueo de contraseña a los 4 intentos. La contraseña no puede contener ni el nombre, ni los apellidos ni el DNI del usuario. El histórico de contraseñas es ilimitado. Autoservicio de reinicio contraseña. No se puede cambiar contraseña hasta pasadas 24 horas. Desconexión automática de la sesión pasados 30 min. En relación a la auditoría de seguridad: Los clientes pueden acceder a una serie de documentación con los requisitos de seguridad de la norma ISO de los servicios que ofrece EkinderGarden. Conclusiones Las conclusiones para la implementación de los nuevos controles en relación a este punto de control de la Norma ISO son las siguientes: Control de los requisitos de seguridad de la información personal y confidencia de los clientes. Auto-Auditoría de seguridad del cumplimiento de los requisitos de seguridad. A Tratamiento de seguridad en relación Proveedores Descripción Las implementaciones relacionadas con este punto de control son: implementación Canales Comunicación. En este punto debemos identificar todos los requisitos de seguridad antes de dar acceso a los activos o a la información en relación a los proveedores. Procedimientos y Registros La revisión de este punto implica revisar y modificar la plantilla de contrato para un proveedor. Los puntos que debemos modificar es la parte de requisitos de seguridad en relación a la confidencialidad de la información entre el proveedor y EkinderGarden. Acciones a realizar. Las acciones a desarrollar para el cumplimiento de este punto de control consisten: Política de contraseña en el acceso a la web corporativa. 37

38 Auditorías de seguridad de la información en relación al acceso a la documentación de la web corporativa. Documentación La documentación agregada en la plantilla del contrato de confidencialidad para un proveedor es la siguiente: La política de contraseña descrita en el contrato de clientes Longitud mínima de ocho caracteres alfanuméricos. Vigencia máxima de 90 días. Bloqueo de contraseña a los 4 intentos. La contraseña no puede contener ni el nombre, ni los apellidos ni el DNI del usuario. El histórico de contraseñas es ilimitado. Autoservicio de reinicio contraseña. No se puede cambiar contraseña hasta pasadas 24 horas. Desconexión automática de la sesión pasados 30 min. En relación a la auditoria de seguridad: La empresa tiene el derecho de auditar anualmente los acuerdos y responsabilidades de seguridad definidos en el contrato cuando un proveedor tiene acceso a información personal y confidencial. Conclusiones Las conclusiones para la implementación de los nuevos controles en relación a este punto de control de la Norma ISO son las siguientes: Control de los requisitos de seguridad de proveedor con acceso a información personal y confidencial Previsión de fugas de información en la relación de proveedores con acceso información personal y confidencial A7. Gestión de Activos Los cambios aplicados a este punto de control son los siguientes: A Inventario de Activos Descripción Las implementaciones relacionadas con este punto de control son todas las implementaciones que implican un nuevo activo en el sistema. En este punto debemos identificar, elaborar y mantenerse un inventario de todos los activos importantes. Procedimientos y Registros La revisión de este punto implica modificar los registros del documento R-PSEG04-Gestion ActivosRiesgos. El documento está formado por: Nombre de Activo Sede Persona Responsable Descripción 38

39 Acciones a realizar Las acciones a desarrollar para el cumplimiento de este punto de control consisten en registrar los nuevos activos en el sistema con los campos definidos anteriormente. Documentación Para ver el registro de los nuevos activos ver Anexo 3 Conclusiones Con la identificación de los activos tenemos un control de todos los activos que contienen información en el sistema de la gestión de la seguridad de EkinderGarden A8. Seguridad en Recursos Humanos Los cambios aplicados a este punto de control son los siguientes: A8.2.2 Concienciación, formación y entrenamiento de la seguridad de la información Descripción Las implementaciones relacionadas con este punto de control son: implementación Canales Comunicación. En este punto todos los empleados de la organización, contratistas y terceros, deben recibir una adecuada concienciación y capacitación con actualizaciones periódicas sobre las políticas y procedimientos de la organización, según corresponda a su puesto de trabajo. Procedimientos y Registros La revisión de este punto implica modificar la normativa interna. El documento está formado por: Política de Seguridad Recursos IT Acciones a Desarrollar Las acciones a realizar para el cumplimiento de este punto consisten en documentar los cambios en la normativa interna en relación a la implementación de los canales de comunicación en la parte de los empleados. Documentación La documentación agregada a la normativa interna informa de la disponibilidad de la documentación en la parte de Recursos IT de la seguridad que afecta al empleado para su autoformación, concienciación dentro el sistema de seguridad de la información. El empleado tiene disponible en su portal la siguiente documentación: Normativa Interna: debe leer y aceptar la política de seguridad. Documento de seguridad: documento de normas de seguridad y requisitos legales que todos los empleados deben conocer. Documentos en políticas secundarias: documentación de políticas de seguridad implicados a la seguridad del sistema. Continuamente se están documentando nuevas políticas y controles de seguridad debido a los cambios que se van produciendo, como por ejemplo las mejoras que implementaremos. Indicadores de Seguridad: debe estar informado de los cambios de los indicadores principales. 39

40 Conclusiones Con el portal del empelado y los recursos en relación a seguridad de la información los empleados e implicados en la seguridad tienen la información y canal necesario para la concienciación y formación en la seguridad de la información A.9 Seguridad Física y Ambiental Las implementaciones realizadas en el sistema de la gestión de la seguridad no implican ningún cambio en el punto de control de seguridad física y ambiental A.10 Gestión de las comunicaciones y operaciones A Documentación de los procedimientos de operación Descripción Las implementaciones relacionadas con este punto de control son todas las nuevas implementaciones. En este punto debemos documentar y mantener los procedimientos de operación y ponerse a disposición de todos los usuarios que los necesiten. Procedimientos y Registros La revisión de este punto implica modificar el PSEG07-ProcedimientosOperaciones. Acciones a Desarrollar Las acciones a realizar para el cumplimiento de este punto consisten documentar procedimientos de administración, implementación y manual del usuario para los diferentes perfiles de usuarios en el sistema. Documentación La documentación de este punto de control es la creación de diferentes documentos en los diferentes perfiles. No se describirán cuales son pero se comentara que todos los proyectos dentro un sistema de gestión se deben documentar para un resultado coherente. A Gestión de Capacidades Descripción Las implementaciones relacionadas con este punto de control son: implementación Team Fundation Server, implementación SharePoint, implementación Firewall Avanzado e implementación Veeam Backup. En este punto debemos supervisar, ajustar y realizar proyecciones de los requisitos futuros de capacidad, para garantizar el comportamiento requerido del sistema. Procedimientos y Registros La revisión de este punto implica modificar el registro Gestión Capacidad Infraestructura. El documento está formado por: Infraestructura: descripción de infraestructura Gestión Servidores: gestión capacidad Servidores Acciones a Realizar Las acciones a realizar para el cumplimiento de este punto consisten en analizar la capacidad del sistema una vez se hayan realizado las diferentes implementaciones para garantizar que el sistema tiene los recursos suficientes para realizar sus funciones y garantizar su correcto comportamiento. 40

41 Documentación La documentación agregada al registro de Gestión de Capacidad de la Infraestructura es el siguiente; Infraestructura: descripción de la nueva infraestructuras implementadas en el sistema. Las nuevas infraestructuras o Servidor SharePoint: servidor de gestión de la documentación del SGI o Servidor Team Fundation: servidor de repositorio de código fuente de las aplicaciones. o Sistema de Backups: Almacena las copias de seguridad de los datos de los servidores, las copias se hacen diariamente. o Sistema Monitorización: Monitorizamos los servicios de cada servidor mediante la herramienta OpsView. o Comunicaciones: Firewall SonicWall: filtraje web y control de acceso al exterior. Gestión Servidores: descripción de la capacidad actual de los servidores. Ver Anexo 4. Conclusiones El objetivo principal de este documento es decidir si es necesario o no ampliar alguno de los recursos del servidor principal y controlar los cambios de los recursos. El umbral para la ampliación de alguno de los recursos es de 75 %. Después de analizar el consumo de los recursos del servidor principal podemos afirmar lo siguiente: El consumo del servidor principal no llega al umbral definido. El consumo más elevado es la memoria RAM 73 %. Finamente después de gestionar los recursos del servidor principal podemos afirmar que no es necesario realizar ninguna ampliación. A Controles contra código malicioso Descripción Las implementaciones relacionadas con este punto de control son: implementación Team Fundation Server, implementación SharePoint, implementación Firewall Avanzado, implementación Veeam Backup e implementación del IPS en el Firewall del Hosting. En este punto debemos deben implementar los controles de detección, prevención y recuperación que sirvan como protección contra código malicioso. Procedimientos y Registros La revisión de este punto implica modificar el procedimiento PSEG10-ProteccionCodigoMalicioso.El documento está formado por las diferentes protecciones de código malicioso de las diferentes tecnologías que forma el sistema. Acciones a Realizar Las acciones a realizar para el cumplimiento de este punto consisten en la incorporación de los controles de código malicioso en relación a la implementación del Firewall Avanzado. Describir todas las características que ofrece. Finalmente incorporar protección de código malicioso en los nuevos servicios implementados. 41

42 Documentación El resultado de la documentación de este punto de control se ha clasificado en tres áreas de protección: Protección servidores Protección Red interna Protección Red Externa 1. Protección Servidores Para los nuevos servidores con los servicios, Team Fundation Server, Veeam Bakup Replication y SharePoint se ha instalado un antivirus cliente llamado End Point Protecction con el fin de proteger de las amenazas del código malicioso. Las protecciones de este producto son: Protección en tiempo real del sistema de ficheros Protección proactiva del tráfico de red y las amenazas Figura 28 Antivirus 2. Protección Red Interna La protección interna sobre el Firewall Avanzado está estructurada en diferentes funciones para brindar la máxima protección contra código malicioso. Aplicaciones Peer to Peer Para proteger que los usuarios descarguen software no deseado, música etc. Bloqueo contenido Web Existe una política de bloqueo de contenido web en el firewall de Barcelona y redes sociales excepto LinkEdin, Twitter y Facebook. Sistema IPS Servicio de detección de intrusos para prevenir cualquier código malicioso, ataque externo y cualquier indicio que pudiera provocar un error de seguridad en el sistema de la información. Gateway Antivirus Existe el servicio de Gateway Antivirus que consiste en un análisis del tráfico entrante que controla el Firewall y detecta a nivel de tramas si existe código malicioso. 42

43 Figura 29 Protección Firewall 3. Protección Red Externa La protección externa sobre el IPS del Hosting está estructurada en diferentes funciones para brindar la máxima protección contra código malicioso. La protección externa de código malicioso sobre el IPS del Hosting tiene las siguientes características: Configurado de forma automática para la detección y bloqueo de intrusos. Actualización diaria de la base de datos de CISCO de los nuevos virus y software malicioso. El sistema realiza función de prevención y bloqueo en: o Virus o Spyware o File blocking Conclusión La implementación del Firewall Avanzado y el IPS en el Firewall del Hosting mejorar y aseguran la protección de código malicioso en las nuevas tecnológicas implementadas y en todo el alance del sistema. A10.5 Copias de Seguridad Descripción Las implementaciones relacionadas con este punto de control son todas las implementaciones. La implementación más importante en este punto es la configuración del nuevo activo de software de copias de seguridad Veeam Backup Replication. Las copias de seguridad son uno de los procedimientos que EkinderGarden realiza para permitir que los datos puedan ser recuperados con el mínimo de pérdidas en caso de desastre o corrupción informática. Procedimientos y Registros La revisión de este punto implica modificar el procedimiento PSEG05-Copias de Seguridad. El documento está formado por la política de copias de seguridad. Dicha política contiene la programación de las copias de seguridad y la política de restauraciones. Acciones a Realizar 43

44 Las acciones a realizar para el cumplimiento de este punto consisten en configurar el nuevo software de copias de seguridad (Veeam Backup Replication) y agregar las programaciones de copias de seguridad y restauraciones en los nuevos y existentes activos. Documentación El resultado de la documentación de este punto de control está definido por la modificación de la política de copias de seguridad. El resultado es el siguiente: Configuración del software Veeam Backup Replication en la política de copias de seguridad. Configuración de todas las máquinas virtuales del sistema en la programación de copias. Configuración del servicio copias de seguridad de Google Apps para la copia de seguridad de todos los datos del Cloud en Google Apps. Agregación de dos máquinas virtuales, servidor de Team Fundation Server y Servidor de SharePoint, en la programación de copias de seguridad. Modificación de la política de restauración y pruebas de recuperación de las copias de seguridad para comprobar la integridad de las copias de seguridad. Conclusión Las implementaciones realizadas en este punto de control mejoran la disponibilidad e integridad de la información del sistema. Con un sistema más avanzado y seguro de copias de seguridad con el software Veeam Backup Replication también se mejora la contingencia y continuidad en todo el sistema. A Controles de Red Descripción La implementación relacionada con este punto de control es el Firewall Avanzado Sonic Wall. En este punto debemos controlar y gestionar las redes para mantenerlas protegidas frente a posibles amenazas y mantener la seguridad en los sistemas y aplicaciones. Procedimientos y Registros La revisión de este punto implica modificar el procedimiento PSEG11-Seguridad Lógica. Este documento contiene una serie de políticas de seguridad. La política relacionada con los controles de seguridad describe las protecciones de todas redes del sistema. Acciones a realizar Las acciones a realizar para el cumplimiento de este punto consisten en implementar los controles de red nuevas después de configurar el nuevo Firewall Avanzado en el sistema. Actualizar diagrama del sistema. Documentar configuración de Firewall Avanzado. Documentación El resultado de la documentación de este punto de control consiste en documentar las nuevas redes y actualizar los cambios en el diagrama del alcance del sistema. La documentación de la configuración del Firewall no se mostrará en este documento. Conclusión La implementación del Firewall Avanzado SonicWall mejora el control de seguridad en la red controlando el tráfico de información y protegiendo las amenazas de la red externa a la red interna. 44

45 Finalmente indicar que este punto de control también es aplicable para el punto A.11.4 Control de conexión a la red Registro de Auditorias Las implementaciones relacionadas con este punto de control son todas las implementaciones. En este punto debemos realizar registros de auditoría en las actividades de los usuarios, eventos de seguridad y mantenerlos en un periodo acordado para servir a investigaciones futuras y a la supervisión de los controles de acceso. Procedimientos y Registros La revisión de este punto implica modificar el procedimiento PSEG11-Seguridad Lógica. Este documento contiene una serie de políticas de seguridad. La política relacionada con el registro de auditorías describe los diferentes entornos y tecnologías que deben registrarse. Acciones a Realizar Las acciones a realizar para el cumplimiento de este punto consisten en agregar las nuevas tecnologías a auditar en el sistema. Documentación Las nuevas tecnologías a auditar son: Auditoría Team Fundation Server: registros en el acceso al servidor. Auditoría de Portal SharePoint: registros en el acceso al servidor y cambios en la documentación. Auditoría canales de comunicación: registro de acceso a las diferentes webs y control de descargas de documentación y aceptación de políticas de seguridad. Auditoría Firewall Avanzado: registro de las reglas de seguridad implementadas en el firewall. Auditoría de Cloud Google Apps: registro de las acciones en las diferentes aplicaciones y servicios que ofrece este servicio. Conclusión El registro de auditoria en el sistema de gestión de la seguridad es un punto de control importante para la resolución de problemas de seguridad. Con estas nuevas auditorías se controla el acceso y registro en todas las nuevas aplicaciones y tecnologías de forma eficiente y centralizada A.11 Control de Accesos A Política de control de Accesos Descripción Las implementaciones relacionadas con este punto de control son todas las implementaciones. En este punto debemos documentar y revisar una política de control de acceso basada en los requisitos del negocio y de seguridad para el acceso el acceso. Procedimientos y Registros La revisión de este punto implica modificar el procedimiento PSEG11-Seguridad Lógica. Este documento contiene una serie de políticas de seguridad. La política de este punto de control es la política de control de acceso. 45

46 Acciones a Realizar Las acciones a realizar para el cumplimiento de este punto consisten en modificar de la política de control de acceso en relación a las nuevas implementaciones. Documentación La modificación de la política de control de acceso consiste en: Revisar la política de contraseñas de los nuevos accesos: definición de la política de contraseñas en: o Canales de comunicación: ver apartado A Tratamiento de seguridad en relación Clientes y A Tratamiento de seguridad en relación Proveedores. o Portal SharePoint, Cloud Google Apps y Team Fundation utilizan la misma política que el servidor de dominio. o Los demás accesos son exclusivos para el administrador del sistema. Revisar los permisos de accesos y privilegios. Definición de privilegios en las diferentes implementaciones restringiendo los accesos y permitiendo el acceso a los servicios permitidos según el privilegio de cada uno de los usuarios del sistema. Revisión de las políticas de vulnerabilidades y controles de red en relación a los apartados A Contacto de grupo de Interés y A Controles de Red. Revisión del contrato de confidencialidad entre proveedores: se aplica condiciones definidas en el apartado A Tratamiento de seguridad en relación Proveedores Conclusión La revisión de la política de control de acceso en relación a las nuevas implementaciones permite una mejora en todos los accesos del sistema y verificar el uso adecuada para cada servicio del sistema. Los puntos A Gestión de contraseñas de usuarios, A Autentificación de usuarios para conexiones externas y A Restricción del acceso a la información A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información A Política de uso de los controles criptográficos Descripción Las implementaciones relacionadas con este punto de control son todas las implementaciones. En este punto debemos documentar la protección de la información mediante la definición de una política de controles criptográficos. Procedimientos y Registros La revisión de este punto implica modificar el procedimiento PSEG11-Seguridad Lógica. Este documento contiene una serie de políticas de seguridad. La política de este punto de control es la política de encriptación. Acciones a Realizar Las acciones a realizar para el cumplimiento de este punto consisten en modificar de la política de encriptación en relación a las nuevas implementaciones. Documentación La modificación de la política encriptación consiste en: Encriptación acceso a la Web Corporativa y Portal del Empleado: o Certificado Digital Seguro y acceso HTTPS 46

47 Algoritmo de firma SHA1RSA Clave pública RSA 2048 bits. Encriptación acceso de los sitios Web de Administración del sistema de monitorización, al acceso de Cloud Google Apps, Firewall Avanzado y al IPS Firewall Hosting: o Uso de Certificado Digital y acceso HTTPS o Forzar al intercambio de encriptación entre Google Apps y la red interna con protocolo SSL Conclusión La revisión de la política de encriptación en relación a las nuevas implementaciones permite mejorar la seguridad en el intercambio de información en los puntos de acceso de todas las nuevas implementaciones. Finalmente indicar que este punto de control también es aplicable para el punto A Regulación de los controles criptográficos. A Control de acceso al código fuente de los programas Descripción La implementación relacionada con este punto de control es la implementación de Team Fundation Server. En este punto debemos documentar la protección el acceso al código fuente de los programas. EL servidor Team Fundation Server contiene un repositorio de código fuente de todas las aplicaciones que se desarrollan en el sistema informático. Procedimientos y Registros La revisión de este punto implica modificar el procedimiento PSEG11-Seguridad Lógica. Este documento contiene una serie de políticas de seguridad. La política de este punto de control es la política de Gestión y control de Software. Acciones a Realizar Las acciones a realizar para el cumplimiento de este punto consisten en modificar de la política de Gestión y control de Software en relación a la nueva implementación. Documentación La modificación de la política de Gestión y control de Software consiste en: Utilizan el usuario del dominio para acceder. Definición de los permisos y grupos de accesos al código fuente de las aplicaciones. Todos los usuarios de desarrollo acceden al código fuente. Se registra cada cambio en el código fuente. Conclusión La revisión de la política de encriptación en relación a la implementación del Team Fundation Server permite mejorar la seguridad en acceso al código fuente de los programas. El entorno web es funcionalmente seguro y fácil de administrar A.13 Gestión de Incidencias de Seguridad Descripción La implementación relacionada con este punto de control es la implementación del nuevo sistema de Monitorización OpsView con Nagios. 47

48 La funcionalidad en este punto de control consiste en asegurarse de que los eventos y las vulnerabilidades de la seguridad de la información asociados con los sistemas de información se comunican de forma que sea posible emprender acciones correctivas oportunamente. Procedimientos y Registros La revisión de este punto implica modificar el procedimiento PSEG13-Gestion Incidencias Informáticas. Este documento contiene las acciones en la gestión de las incidencias. Acciones a Realizar Las acciones a realizar para el cumplimiento de este punto consisten en modificar de la gestión de las incidencias informáticas en relación a la nueva implementación. Documentación La modificación de la gestión de las incidencias informáticas consiste en: monitorización de los servicios de red y nuevos servidores implementados que se utilizan en el sistema informático utilizando el sistema de alertas por correo y visual del sistema de monitorización opsview. Pro actividad en la ocurrencia de incidentes de seguridad y detección mediante el nuevo sistema de monitorización. Ejemplo de eventos de seguridad: Figura 30 Gestión Incidentes Conclusión La implementación del sistema de monitorización de OpsView mejora la pro actividad y detección de incidentes de seguridad y su tratamiento final A.14 Gestión de la Continuidad del Negocio Descripción Las implementaciones relacionadas con este punto de control son todas las implementaciones. En este punto debemos documentar la protección de los procesos críticos de negocio contra los efectos derivados de fallos importantes o catastróficos de los sistemas de información, así como garantizar su oportuna reanudación. Procedimientos y Registros La revisión de este punto implica modificar el PSEG14-GestiónContinuidadNegocio. El documento está formado por los siguientes puntos: Continuidad del servidor principal. Continuidad del Hosting. Fase de Recuperación Parcial. Fase de Normalidad. Planificación de pruebas. Acciones a Realizar Las acciones a realizar para el cumplimiento de este punto consisten en agregar los nuevos activos y servicios en cada uno de los puntos del documento de gestión de la continuidad del negocio. 48

49 Documentación La modificación del documento de gestión de la continuidad del negocio consiste en: Continuidad del servidor principal: agregar los nuevos servicios y servidores en el plan de continuidad. Firewall Avanzado, servidor Team Fundation Server, Portal SharePoint, sistema monitorización y Veeam Backup Replication. Continuidad del Hosting: la continuidad del servicio IPS en el Firewall del Hosting no afecta a la disponibilidad de los servicios del Hosting ya que el servicio funcionaria sin el IPS. Fase de Recuperación Parcial: en los dos planes de continuidad se ha documentado una recuperación parcial de los servicios con el fin de ofrecer los diferentes servicios en el sistema. Este punto también se llama contingencia. Fase de Normalidad: la fase de normalidad es el restablecimiento de todos los servicios en total disponibilidad. Planificación de pruebas: para verificar la eficiencia del plan de continuidad de todos los servicios se ha planificado para Julio y Agosto una prueba en cada uno de ellos. El objetivo de esta prueba conlleva a la modificación y mejora de dicho plan. La continuidad del Cloud Google Apps estará contemplada en el sistema de Google. Google Apps ofrece un 99,9 % de disponibilidad con lo que aseguramos existirá una continuidad constante en este servicio. Conclusión Las nuevas implementaciones dentro la gestión de la continuidad del negocio mantendrá la correcta continuidad de los servicios que ofrece el sistema. Para cumplir con esta conclusión tendrá que realizarse una prueba total y verificar los resultados. 7.3 Revisión de Indicadores La revisión de los objetivos e indicadores son dos puntos importantes para la implementación y revisión de la gestión de la seguridad en la norma ISO Indicadores Los indicadores son herramientas para facilitar la toma de decisiones, mejorar el desempeño y análisis y reporte de datos de desempeño relevantes. El propósito de medir el desempeño es monitorear el estado de las actividades medidas y facilitar la mejora de estas aplicando acciones correctivas basadas en las medidas observadas. Después de diseñar las nuevas implementaciones y políticas de seguridad debemos configurar nuevos indicadores de seguridad Resultado indicadores Los nuevos indicadores de seguridad para las nuevas implementaciones y controles de seguridad son los siguientes: Disponibilidad del Servidor compensa14: Indicador que mide la disponibilidad del Portal SharePoint. Disponibilidad del Servidor compensa15: Indicador que mide la disponibilidad del servidor Team Fundation Server. Revisión Vulnerabilidades / % vulnerabilidades resueltas: Indicador de la revisión bimensual de vulnerabilidades del sistema de la información y el porcentaje de vulnerabilidades resueltas después de la instalación de las actualizaciones o parches en cada sistema 49

50 Revisión Gestión Capacidad / % recurso: Indicador de revisión semestral de la capacidad del sistema / porcentaje de recurso del sistema más alto. Errores de Backup: Indicador que mide los errores de las copias de seguridad. 8 Conclusiones y líneas de trabajo futuro Finalmente después de revisar toda las políticas de seguridad describiremos un resumen general de los cambios que han afectado las implementaciones, las conclusiones finales y las líneas de trabajo futuro dentro el sistema de gestión de la seguridad de EkinderGarden. 8.1 Conclusiones Finales Implementaciones Las conclusiones finales en relación a las nuevas implementaciones y la finalización de la revisión de las nuevas políticas son: Seguridad Terceros La implementación y revisión de la seguridad a terceros mejora los controles de concienciación, tratamiento de seguridad con clientes y proveedores. Seguridad Lógica La implementación y revisión de la seguridad lógica mejora los controles de acceso, vulnerabilidades, gestión de cambios de software, control de redes, vulnerabilidades, código malicioso y política de contraseñas. Gestión de incidentes La implementación y revisión de la gestión de incidentes mejora la detección y prevención de incidentes de seguridad que pudieran ocasionar una pérdida de los servicios del sistema. Copias de Seguridad y Gestión de la continuidad del negocio La implementación y revisión de la política de copias de seguridad y gestión de la continuidad del negocio mejora la recuperación y continuidad del negocio. Conclusión Finales La implementación de las nuevas tecnologías y servicios una vez finalizada la revisión de las políticas de seguridad implica una disminución de la probabilidad de ocurrencia de amenaza en todos los activos del sistema de gestión de la seguridad y así mismo una probabilidad de riesgo más baja que en el momento inicial de este proyecto. Para comprobar el resultado de esta conclusión final debemos realizar auditorías de seguridad. Las auditorias se describen en el siguiente punto. Conclusiones Finales Proyecto Finalmente después de realizar todas las fases de trabajo en este proyecto de gestión de la seguridad de la información basada en la norma ISO 27001, describiremos las conclusiones finales en relación a la revisión de los objetivos. El resultado es el siguiente: El desarrollo de este proyecto y el resultado final obtenido nos indica que todas las acciones e implementaciones realizadas mejorarán la eficiencia y la seguridad de todo el sistema de seguridad de la información protegiendo el sistema de las amenazas que pudieran poner en peligro la información de nuestro sistema. El desarrollo e implementación de los canales de comunicación mejoraran la concienciación e imagen en la seguridad para los clientes, empleados y proveedores dentro el alcance de 50

51 nuestro sistema de seguridad. También podemos concluir que las auditorías a proveedores y clientes serán más eficientes y más agiles para la gestión de nuestro sistema. Para la revisión del cumplimiento total de los objetivos tendremos que desarrollar la parte final del proyecto mediante las auditorias de seguridad. En los próximos apartados describe las líneas de futuro. 8.2 Líneas de Trabajo Futuro Auditorias Anualmente realizamos Auditorias de Seguridad para la norma ISO Dichas auditorias consisten en revisar todos los puntos de control implementados durante los cambios des de la última auditoria. Finalmente destacar que las auditorias hacen referencia a la parte COMPROBAR de nuestra metodología PDCA. EL proceso de auditorías está formado por dos puntos. Auditoria Interna Seguimiento Auditoria de seguimiento sin finalidad de certificado. Es una auditoria de prueba de cumplimiento de todos los puntos de seguridad antes de la auditoria de Certificación. La auditoría de seguimiento está planificada para la última semana de junio. Un equipo auditor realizara la comprobación de todos los puntos e implementaciones y el resultado será presentado en dirección. Si en el resultado se ha producido alguna no conformidad o desviación de los controles de seguridad deberán solucionarse con una planificación coherente. Auditoria de Certificación Actualmente EkinderGarden ya dispone de la certificación ISO La auditoría anual de certificación consiste en la revisión y mantenimiento del cumplimiento de la norma. La auditoría de certificación tiene las mismas características que la auditoria de seguimiento pero el resultado es la certificación de la norma ISO La auditoría de seguimiento está planificada para la última semana de agosto. En resumen a este punto destacamos que la línea de futuro consistirá en realizar dichas auditorias de comprobación de todos los cambios realizados aplicados a nuestra metodología y el resultado obtenido ser la comprobación total del cumplimiento de nuestros objetivos Revisión Posterior En el resultado de las auditorias podemos obtener algún/os incumplimiento/s en los controles de seguridad del sistema. Podemos obtener tres clases de incumplimientos: No conformidad: incidente grave y tendrá que ser resuelto con prioridad alta. Observación: incidente no grave pero tendrá que ser resuelto en un tiempo razonable ya que en un futuro podría convertirse en una No conformidad Oportunidad de Mejora: no corresponde a ningún incidente pero es aconsejable su solución. La resolución de los incumplimientos se realiza mediantes las acciones correctivas. En nuestra metodología dichas acciones corresponden a la fase de MEJORAR. Ver Glosario para más información. 51

52 9 Propuesta de Mejoras Todas las mejoras descritas están propuestas a dirección de EkinderGarden con el fin de mejorar aún más la gestión y la seguridad de la información dentro el sistema. 9.1 Primera mejora La primera mejora que describiremos ya ha sido aprobada por dirección de EkinderGarden, pero no ha podido ser realizada en este proyecto. Esta implementación es el Cloud de Google Apps que está planificado para realizarse a finales de Agosto. Con esta implementación queremos mejorar la disponibilidad de los servicios de correo e información compartida. Google nos ofrece una disponibilidad del 99,9 % en sus servicios. También comentar que el sistema Google Apps ha sido estudiado detalle a detalle a nivel de seguridad. Todo su sistema cumple estrictamente con la normativa ISO y la normativa de seguridad internacional ISAE Segunda Mejora La segunda mejora que describiremos ya ha sido aprobada por dirección de EkinderGarden. Está planificada para principios de septiembre. Esta mejora que queremos destacar es la implementación de un sistema de intercambio de información entre proveedores y clientes mediante SFTP. Este sistema consiste en un FTP con el protocolo SSH con lo cual la información intercambiada será realizada mediante un canal encriptado y seguro el cual se convierte en el servicio SFTP. 9.3 Tercera mejora Finalmente la última mejora propuesta para dirección de EkinderGarden y pendiente de aprobación consiste en realizar una auditoría de Hacking Ético en todo el alcance del sistema por un proveedor externo calificado y certificado con el fin de mejorar todavía más la seguridad y prevenir el punto débiles en todo el sistema. El hacking ético tiene dos objetivos: Dar más confianza a los clientes con el proceso de gestión de su información. Proteger la información de las vulnerabilidades externas al detectarlas previamente y realizar acciones correctivas proactivas en el sistema. 52

53 10 Glosario 10.1 Análisis de riesgos El análisis de riesgos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo Auditoría de seguridad Es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales en Tecnologías de la información para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones, servidores o aplicaciones 10.3 Autenticación Procedimiento de comprobación de la identidad de un usuario como medida de seguridad frente a posibles operaciones fraudulentas a través de la Red. La finalidad que persigue esta medida de seguridad es servir de salvaguarda para comprobar que los usuarios con los que se está interactuando son realmente quienes dicen ser. Este proceso constituye una funcionalidad característica para una comunicación segura en la Red Confidencialidad Propiedad o atributo consistente en proporcionar acceso a los sistemas de información únicamente a aquellos usuarios autorizados, en tiempo y forma determinados, y negar el acceso a terceros no autorizados. Esta característica de seguridad debe ir acompañada a su vez por un adecuado "control de accesos", entendiendo dicho término como un mecanismo que en función de la identificación autenticada permite el acceso a datos o recursos Cortafuegos (En inglés Firewall) Sistema de seguridad que se compone bien de programas (software) o de equipos (hardware) y de programas (software) en puntos clave de una red para permitir sólo tráfico autorizado. A menudo utilizado para restringir el acceso a una red interna desde Internet. La regla básica de un cortafuego es asegurar que todas las comunicaciones entre la red e Internet se realicen conforme a las políticas de seguridad de la organización o corporación. Estos sistemas también poseen características de privacidad y autentificación. Las dos técnicas usadas en la construcción de un cortafuego son: el empleo de aplicaciones o el filtrado de paquetes Disponibilidad Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran Incidente de seguridad Un incidente de seguridad es un evento o una serie de eventos inesperados o no deseados, que tienen la probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la información. Pueden comprometer la confidencialidad, integridad o disponibilidad de la información Integridad Conjunto de medidas de seguridad que se incluyen en un sistema de información, que garantizan la exactitud de los datos transportados o almacenados, evitando su alteración, pérdida o destrucción, ya sea de forma accidental, por fallos de software o hardware, por condiciones medioambientales o bien, por intervención de terceros con fines fraudulentos. La integridad y la confidencialidad constituyen objetivos claves en la seguridad de la información, ya que de un lado, se pretende evitar los accesos no autorizados a los datos, y de otro, se garantiza la no alteración de los mismos IPS Siglas de Intrusión Prevention System (sistema de prevención de intrusiones). Es una herramienta de seguridad que detecta un posible ataque informático y reacciona para evitar su consumación ISO/IEC ISO/IEC 27001, conocido más coloquialmente como ISO/27001 es un conjunto de estándares desarrollados por ISO (Organización Internacional de Estandarización) y la IEC (Comisión Internacional Electrotécnica). 53

54 Este conjunto de estándares está orientado a cualquier empresa que desee organizar e instaurar una política de seguridad. Su principal función es organizar la seguridad de la información, y para ello establece toda una secuencia orientada a establecer, implementar, monitorizar, revisar, mantener y mejorar los ISMS o SGSI (Sistema de Gestión de la Seguridad de la Información). Este estándar debe concretarse dentro de la denominada serie entre las que cabe citar la ISO 27000, ISO Actualmente se ha aprobado la normativa ISO/IEC 27001: Plan de contingencia Un Plan de contingencias es un instrumento de gestión para el buen gobierno de las Tecnologías de la Información y las Comunicaciones en el dominio del soporte y el desempeño. Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía Política de Seguridad Son las decisiones o medidas de seguridad que una empresa ha decidido tomar respecto a la seguridad de sus sistemas de información después de evaluar el valor de sus activos y los riegos a los que están expuestos. También puede referirse al documento de nivel ejecutivo mediante el cual una empresa establece sus directrices de seguridad de la información Vulnerabilidad Fallos o huecos de seguridad detectados en algún programa o sistema informático, que los virus utilizan para propagarse e infectar. Estos errores de programación y/o diseño permiten que un tercero se aproveche de ellos para realizar acciones tales como ataques, intrusiones o cualquier otro uso indebido No conformidad Incumplimiento de los requisitos de la Norma de referencia, estándares aplicables, o de los documentos del Sistema de Gestión Integrada de la Organización Observación Incumplimiento de carácter puntual o indicaciones que deben ser consideradas por la Organización, ya que podrían llegar a constituir no conformidades en el futuro Oportunidad de Mejora Acciones destinadas a la mejora continua del sistema, teniendo en consideración que la mejora continua persigue el incremento de la probabilidad de aumento de la satisfacción Acción Correctiva Una acción correctiva es una acción tomada para eliminar las causas de una no conformidad detectada u otra situación indeseable. Es diferente a Corrección mediante la cual sólo se elimina o repara la no conformidad detectada, no su causa. 54

55 11 Bibliografía Inteco: AA4AF26 ISO

56 12 Anexos 12.1 Anexo 1 Requisitos Seguridad, software, Hardware Los diferentes requisitos para el diseño de la implementación de la gestión de la seguridad es un punto muy importante que debemos diseñar en este apartado. Existen tres requisitos que debemos analizar. Software Hardware Seguridad Los requisitos de software y hardware quedan establecidos según el fabricante, usuarios y funciones a realizar. Para los requisitos de seguridad se ha diseñado un procedimiento y es el siguiente: Responsable Sistemas Director Informática Observaciones Inicio (1) Mantenimiento Software 1. El proceso se activará cuando se realicen cambios importantes en los activos del sistema informático Elaborar / Actualizar Catálogo de Requisitos (2) Definir / Actualizar Documentos de cambio en el sistema (2) 2. En el catálogo de requisitos para los cambios en el sistema se deberán revisar, especificar y/o actualizar los requisitos de los controles de hardware, software y seguridad. Pueden abarcar aspectos como: - Análisis de Riesgos - Gestión de Activos - Gestión de Vulnerabilidades - Seguridad con terceros - Copias de Seguridad - Seguridad Física - Control de Acceso - Gestión en la continuidad del negocio - Requisitos legales (LOPD, LSSI). Elaborar Planificación de actuación (3) 3. El Responsable de sistemas Planificara los cambios a realizar en el sistema y los documentará en relación a los controles de seguridad 4. El Director Informática revisará y aprobará los cambios realizados en los documentos de cambios, indicándolo en el propio documento en los cuadros de control. Verificar cambios realizados (4) Aprobar cambio realizado versión del documento (4) Iniciar cambio en el Sistema Figura 21 Requisitos Seguidamente obtendremos los requisitos de todas las implementaciones planificadas. Software Sistema Team Fundation Server 2012 Sistema Operativo Windows Server 2008 Standard R2 Framework 4.5 SQL Server 2008 Standard R2 IIS 7.5 Hardware CPU Intel Xeon 1,6 Ghz 10 Gb RAM. Disco1: 80 GB Disco2: 20 Gb. Seguridad Análisis de riesgo Gestión de activos Software Portal SharePoint Sistema Operativo Windows Server 2008 Standard R2 Framework 4.5 SQL Server 2012 Standard IIS 7.5 SharePoint Fundation 2010 Hardware Seguridad CPU Intel Xeon 1,6 Ghz 8 Gb RAM. Disco1: 80 GB Disco2: 80 Gb. Análisis de riesgo Sistema Monitorización Software Sistema Operativo Centos Linux 5.5 Sistema Operativo Windows Server 2008 R2 Apache Nagios Opsview 4.0 Veeam One Monitor 7 Hardware Seguridad CPU Intel Xeon 1,6 Ghz 4 Gb RAM. Disco1: 40 GB 56

57 Gestión de vulnerabilidades Control de acceso Gestión de la continuidad Gestión de activos Gestión de vulnerabilidades Control de acceso Gestión de la continuidad Análisis de riesgo Gestión de activos Gestión de vulnerabilidades Seguridad Física Control de acceso Gestión de la continuidad Firewall Avanzado IPS Firewall Hosting Veeam Backup Replication Software Sistema Operativo SonicWall Modulo de Filtraje Web Módulo de análisis de virus y antyspware en red Modulo IPS Hardware Modelo Sonicwall TZ210 Seguridad Análisis de riesgo Gestión de activos Gestión de vulnerabilidades Seguridad Física Control de acceso Gestión de la continuidad Software IPS version 7.0 Hardware CISCO ASA5510 Seguridad Análisis de riesgo Gestión de activos Gestión de vulnerabilidades Control de acceso Gestión de la continuidad Software Sistema Operativo Windows Server 2008 R2 SQL Server 2008 R2 IIS 7.5 Framework 4.5 Hardware CPU Intel Xeon 1,6 Ghz 8 Gb RAM. Disco1: 40 GB Disco1: 80 GB Seguridad Análisis de riesgo Gestión de activos Gestión de vulnerabilidades Control de acceso Gestión de la continuidad Software Cloud Google Apps Sistema Operativo Windows 7 Office 2010, 2013 Google Drive Google Chrome Hardware Canales Comunicación Seguridad Análisis de riesgo Gestión de activos Gestión de vulnerabilidades Seguridad con terceros Control de acceso Gestión de la continuidad CPU Intel Xeon 1,6 Ghz 4 Gb RAM. Disco1: 40 GB Seguridad Cumplimiento ISO Análisis de riesgo Gestión de activos Gestión de vulnerabilidades Seguridad con terceros Control de acceso Gestión de la continuidad Cumplimiento de ley LOPD y LSSI El análisis de los requisitos es fundamental para que la implementación de las nuevas tecnologías se realice de forma correcta, metódica y eficiente. 57

58 12.2 Anexo 2 Documentos de seguridad del SGI Punto de Control a Revisar Sección Control A.6 A.6 Organización de la Seguridad de la Información Contacto con grupos de interés especial Tratamiento de la Seguridad en la relación con los Clientes Tratamiento de la Seguridad en contratos con terceros A.7 A.7 Gestión de activos A Inventario de activos A.8 A.8 Seguridad de la gestión de los recursos humanos Concienciación, formación y entrenamiento sobre la Seguridad de la Información A.10 A.10 Gestión de las comunicaciones y las operaciones A Documentación de los procedimientos de operación A Gestión de capacidades A Controles contra código malicioso A Copias de seguridad de la información A Controles de Red A Registro de auditorías A11 A.11 Control de Accesos A Política de control de acceso Gestión de contraseñas de usuarios Autenticación de usuarios para conexiones externas Control de la conexión a la red Control de direccionamiento de redes A Restricción del acceso a la información A12 A.13 Adquisición, desarrollo y mantenimiento de los sistemas de información A Política de uso de los controles criptográficos Control de acceso al código fuente de los programas A Control de vulnerabilidades técnicas A13 A.13 Gestión de incidencias de seguridad A Notificación de los eventos de seguridad de la información Notificación de los puntos débiles de la seguridad A Responsabilidades y procedimientos Recopilación de evidencias A14 A14 Gestión de la continuidad del Negocio A Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio Continuidad del negocio y evaluación de riesgos Desarrollo e implantación de planes de continuidad incluyendo en ellos la seguridad de la información Marco de referencia para la planificación de la continuidad de negocio Pruebas, mantenimiento y re-evaluación de los planes de continuidad A15 A15 Cumplimiento Regulación de los controles criptográficos 58

59 12.3 Anexo 3 Registros Nuevos Activos ACTIVO Sede Persona Responsable Descripción Comunicaciones IPS Hosting Hosting Sistemas Sistema de detección intrusos Firewall SonicWall Barcelona Sistemas Firewall Personalizado para Barcelona con sistema prevención intrusos Infraestructura Compensa14 Barcelona Sistemas Servidor SharePoint, FTP Compensa15 Barcelona Sistemas Servidor de Team Fundation Server Software Google Apps Google Sistemas Gestión de la información en entorno de Cloud de Google Team Fundation Server Barcelona Sistemas Aplicación Server de desarrollo Software 2012 Veeam Backup Barcelona Sistemas Aplicación de Backup de máquinas virtuales Replication 7 OpsView Core Barcelona Sistemas Aplicación de Monitorización sistema Veeam Monitor Barcelona Sistemas Aplicación de Monitorización Servidores Virtuales 59

60 12.4 Anexo 4 Gestión Capacidad Servidores Para la gestión de la capacidad de los servidores nos centraremos en el servidor Principal del sistema, es decir, el servidor físico ya que los servicios de las diferentes implementaciones son servidores virtuales. Se utilizan las herramientas de monitorización del servidor para obtener los resultados. El resultado es el siguiente: Servidor Principal Barcelona El servidor Principal de Barcelona tiene instalado el sistema Vmware Esxi 5.1 Vmware nos permite gestionar la capacidad de los recursos del servidor Consumo CPU El consumo de las dos CPUS del servidor principal es el siguiente: En el primer cuatrimestre del 2014 el consumo medio de las CPUS del servidor principal es del 37,39 % con picos máximos del 73,20 %. La conclusión final es que el consumo de CPUS del servidor principal no supera el rango máximo establecido para el aumento de recursos y cambios en la infraestructura del sistema. Consumo Memoria El consumo de Memoria del servidor principal es el siguiente: En el primer cuatrimestre del 2014 el consumo medio de la Memoria del servidor principal es del 74,30 % con picos máximos del 76,87 %. La conclusión final es que el consumo de Memoria del servidor principal no supera el rango máximo establecido para el aumento de recursos y cambios en la infraestructura del sistema. 60