INFORME EJECUTIVO PLAN DIRECTOR DE SEGURIDAD PARA EL GRUPO ASD

Transcripción

1 INFORME EJECUTIVO PLAN DIRECTOR DE SEGURIDAD PARA EL GRUPO ASD Presentad pr: RICARDO ALBERTO DUITAMA LEAL UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL EN SEGURIDAD DE LA INFORMACION Y LAS TELECOMUNICACIONES BARCELONA, ESPAÑA 2013

2 INFORME EJECUTIVO PLAN DIRECTOR DE SEGURIDAD PARA EL GRUPO ASD Presentad pr: RICARDO ALBERTO DUITAMA LEAL Tutr Asignad: Antni Jse Segvia Henares UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL EN SEGURIDAD DE LA INFORMACION Y LAS TELECOMUNICACIONES BARCELONA, ESPAÑA 2013

3 TABLA DE CONTENIDO Pág. 1. MOTIVACION DEL PROYECTO ENFOQUE DEL PROYECTO CONCLUSIONES Esquemaplan directr de Seguridad dela Infrmacin Analisis de Riesgs Analisis Brecha ISO Plames de Accin Analisis Impact implementacin cntrles... 15

4 LISTADO DE FIGURAS Pág. Figura 1. Alcance Análisis de Riesgs y SGSI... 5 Figura 2. Esquema plan directr de Seguridad de la Infrmación... 7 Figura 3. Númer de veces que aparecen ls riegs Figura 4. Distribución de riesg inherente y residual Figura 5. Nivel de cumplimient pr dminis Figura 6. Cntrles pr niveles de madurez Figura 7. Distribución de Riesg Inherente y riesg residual Figura 8. Cmparativ Niveles de Madurez... 16

5 LISTADO DE TABLAS Pág. Tabla1. Activs de Infrmación... 8 Tabla 2. Prcentaje de cumplimient de Cntrles... 12

6 1. MOTIVACION DEL PROYECTO GRUPO ASD, la cual es la entidad de más alt nivel de planeamient y dirección estratégica para las institucines castrenses de Clmbia, se encuentra en un prces de mejramient y alineación de sus prcess de negci que garanticen que funcinan de frma Eficiente y cumpliend estándares internacinales (asciads s temas de calidad y de seguridad de la infrmación). De esta iniciativa general surgió la necesidad de Definir el Plan Directr de Seguridad de la Infrmación para el area de TI, el cual permitirá definir las bases de mejra cntinua a nivel de seguridad de la infrmación permitiend cncer el estad actual y definir las accines necesarias para mitigar ls riesgs que se presentan en ls activs de infrmación de la rganización. Tal cm se cntempl el pryect se espera que se definan: Alcance del TFM y caracterización de la empresa: El bjetiv es caracterizar la rganización y definir el ls prcess sbre ls cuales se desarrllara el presente pryect. Identificación de Activs de Infrmación: Una vez identificads el ls prcess a evaluar, se prcederá a identificar cuáles sn ls activs de infrmación que ls sprtan. Análisis de Riesgs: El análisis de riesgs permitirá identificar la situación actual de la rganización y definir ls cntrles para mantener un nivel de riesg aceptable en la rganización Definición del Plan Directr de Seguridad: Este plan definirá la estrategia de tda la rganización a crt, median y larg plaz. Presentación de infrmes: Una vez realizad un diagnóstic del estad actual de seguridad y de definir el Plan Directr de Seguridad, se prcede a presentar ls resultads a la alta dirección y a ls diferentes spnsrs para garantizar así el apy en td ls niveles de la rganización. 4

7 2. ENFOQUE DEL PROYECTO El presente pryect definió el Plan Directr de seguridad para GRUPO ASD, el cual estará alinead baj ls estándares ISO e ISO y la metdlgía de análisis de riesgs MARGERIT. El alcance que se le darán serán ls prcess más imprtantes del área de Tecnlgía de la infrmación (TI) del GRUPO ASD. Es pr ell que a cntinuación se mencinan ls servicis y/ subprcess que fuern analizads en el presente pryect: Figura 1. Alcance Análisis de Riesgs y SGSI Organización Prces a Evaluar Subprcess y/ Servicis Activs Infrmación Grup ASD Prces de TI Seguridad Activ 1 Clabrativ Activ 2 Base de Dats Activ 3 Aplicacines Servidres Activ 4 Cmunicacines Activ 5 Centr de Cómput Activ N Sprte Técnic. 5

8 Las actividades estuviern enfcadas en: Identificación de Activs Crítics para el prces y subprcess a evaluar. Realizar un prces de análisis de riesgs baj una metdlgía de riesgs identificand ls riesgs y amenazas en cada un de ls activs de infrmación. Realizar un análisis de Brecha para evaluar la situación actual de seguridad de la GRUPO ASD respect a un estándar de buenas practica cm l es ISO Definición del Pan directr para la rganización teniend cm referencia el análisis de riesg efectuad sbre ls activs de infrmación. Optimizar las inversines en seguridad de la infrmación al ejecutar planes de acción que apyen la cnsecución de ls bjetivs de la rganización. Mejrar ls niveles de Seguridad de la Infrmación al fmentar la adpción de una cultura de seguridad de la infrmación a tds ls niveles. 6

9 3. CONCLUSIONES Una vez se han llevad a cab las diferentes actividades cntempladas para definir el Plan Directr de Seguridad de la Infrmación, se mencinan las principales cnclusines de acuerd a la actividad realizada. 3.1 Esquema General Plan Directr de Seguridad de la Infrmación El PDSI se definió teniend en cuenta ls siguientes cuatr elements Figura 2. Esquema Plan directr de Seguridad PLAN DIRECTOR DE SEGURIDAD Situación Actual Marc Seguridad Plan Implementación y Seguimient Análisis Definición Plíticas Pryects Ejecución de Pryects Situación Actual: Se realiz un análisis del estad actual de seguridad de la rganización. Para ell el análisis de riesg evaluó el nivel actual de seguridad de la rganización, lueg se definió a dónde quiere llegar la rganización y se determinarn las actividades necesarias para cerrar esa brecha. Marc de Seguridad: Se Redefiniern ls aspects rganizativs y se cre un marc nrmativ suficiente para regular la seguridad de la rganización. Plan: Se elabrarn ls planes de Acción necesaris para gestinar ls riesgs detectads. De ests planes se definiern ls pryects que deberán ser gestinads para cumplir cn el PDSI. Implementación y Seguimient: Se realizar un seguimient a la implementación del PDS para establecer la efectividad del plan trazad y reaccinar ante desviacines que impacten en el negci. 7

10 3.2 Análisis de Riesgs Se evaluarn 50 Activs de infrmación ls cuales se enuncian a cntinuación de acuerd al servici y mdul dnde se encuentran funcinand: Tabla 1. Activs de Infrmación Prces Servici Módul Activs Gestión de Tecnlgía Infrmática Administración de seguridad Administración Seguridad - Infraestructura ASI-Firewall ASI-Switch Cre de Seguridad ASI-IDS ASI-Encripcin Medis ASI-Antivirus ASI-AV Crre Intern Administración ASI-Gestión de SI Seguridad - Gestión de SI Centr de Cómput Centr de Cómput Centr de Cómput - Cntrl de Acces Centr de Cómput Instalacines Centr de Cómput Cablead Centr de Cómput - Cntrl climátic Centr de Cómput Cmunicacines Centr de Cómput - Energía eléctrica Centr de Cómput - Cntrl del fueg Centr de Cómput Autenticación Centr de Cómput Ambiente Administración de cmunicacines Cmunicacines - Infraestructura Cmunicacines - Gestión de Cmunicacines Red-Switch Cre Red-Ruter Internet Red-SW de Gestión Red-Switch de pis Red-Gestión de Cmunicacines Sprte Técnic Sprte Técnic - Infraestructura ST DMS ST Analistas de sprte ST Equips PC prtátiles 8

11 ST Equips de escritri Sprte Técnic - Gestión de Sprte ST - Gestión de Sprte Desarrll y mantenimient de aplicacines Administración de Servidres Aplicacines - Infraestructura Servidres - infraestructura AP-Bdega de dats AP-APP1 SRV-NAS 4000 SRV-SAN SRV Prducción SRV Pruebas SRV-OAS SRV - Cntrladres de dmini Servidres Gestión de Servidres SRV - Crre electrónic SRV NOMIFIN SRV FINANCIERO SRV APLICACIONES SRV INTRANET SRV - Gestin de servidres Administración de Bases de Dats BD infraestructura BD - Base de dats de prducción BD - Gestión de BD BD - Outsurcing de DBA Servicis de clabración Clabrativs - Infraestructura BD - Gestin de Base de dats COLABORATIVOS - Aplicativ Prxy COLABORATIVOS - Cntrladr Dmini COLABORATIVOS - Crre Electrnic COLABORATIVOS - Prtal Web COLABORATIVOS - Pagina Web Clabrativs Gestión IT COLABORATIVOS Intranet COLABORATIVOS-Gestin Clabrativs 9

12 Ls riesgs que más fuern mencinads durante el análisis de riesg fuern la Perdida de prductividad de ls empleads, Indispnibilidad clateral de servicis y Perdida en la efectividad. A cntinuación se muestra pr riesg la cantidad de veces que apareció durante el análisis de riesgs: Figura 3. Númer de veces que apareciern ls riesgs Otr factr a tener en cuenta es el nivel de riesg inherente y residual, de est pdems cncluir que ls riesgs cn un mayr nivel de Riesg Inherente (riesg antes de implementar ls cntrles) sn: Interrupción del servici del Negci Tma de decisines erradas Perjuici a las relacines de la entidad Perdida en la efectividad Indispnibilidad clateral de trs servicis Incumplimient de tip legal cntractual Fuga de infrmación Deterir de la imagen pública. 10

13 Figura 4. Distribución riesg inherente y residual Nivel Escala Baj B 1 Medi Baj M- 2 Medi M 3 Medi Alt M+ 4 Alt A 5 Una vez implementads ls cntrles referids en el plan de tratamient de riesgs, se bserva que ls riesgs cn un nivel de riesg residual más alt sn ls siguientes: Perjuici a las relacines de la entidad Incumplimient de tip legal cntractual 11

14 3.3. Análisis de Brecha ISO A cntinuación se describe ls cntrles implementads y el prcentaje de cumplimient pr cada dmini: Tabla 2. Prcentaje de Cumplimient Cntrles Dmini Aprbads NO Aprbads Prcentaje Cumplimient Plítica de Seguridad Crprativa % Estructura Organizacinal de Seguridad Infrmática % Clasificación y Cntrl de Cmpnentes Crítics % Seguridad del Recurs Human % Seguridad Física y Ambiental % Administración de Operacines y Cmunicacines % Cntrl de Acces % Desarrll, Mantenimient y adquisición de Sistemas de Infrmación % Administración de Incidentes de Seguridad Infrmática % Administración de Cntinuidad del Negci % Cumplimient y Nrmatividad Legal % Observand el nivel de cumplimient pr dmini tenems la siguiente grafica: 12

15 Figura 5. Nivel de cumplimient pr dminis Si se evalúa pr nivel de madurez, bservams que la mayra de cntrles se encuentran implementads de frma efectiva (L3) seguid de cntrles básics (L2). Est indica que hay un nivel aceptable de implementación de ls cntrles planteads en la ISO Figura 6. Cntrles pr niveles de madurez 13

16 3.4. Planes de Acción Cmprenden las actividades que se recmendarn para reducir ls riesgs significativs y que cntribuyen a la implementación del SGSI. El plan se ha clasificad de acuerd a la priridad cn la cual ls cntrles ayudan a reducir el nivel de riesg inherente. Alta: Sn cntrles que cntribuyen de una frma más efectiva para evitar que las vulnerabilidades sean expltadas. La prtección tiene un cubrimient sbre múltiples vulnerabilidades. Dentr de las accines a realizar en esta categría están: Plan Estratégic de tecnlgía de Infrmación Cntrl de cambis Firewall intern / segmentación de redes Siti altern Organización del Área de Seguridad de la Infrmación Implementación de SGSI Clasificación de la infrmación Endurecimient Ambientes independientes de: prducción, desarrll y pruebas Prtección de dats de desarrll Cuentas lcales cn privilegis de administración Implementación de slución de Gestión de Identidad. Cuentas de acces Cntrles varis Centr de Cómput Rack de pis Media: Sn cntrles cmplementaris que ayudan a elevar la efectividad de ls cntrles y ptimizar el nivel de prtección. Punts únics de falla Lgs de auditría Cuentas genéricas Cnexines remtas Dcumentación de prcedimients Baja: Sn cntrles que ayudan a evitar vulnerabilidades para situacines particulares. Servidr de archivs Herramientas de gestión Cnsla de gestión de red 14

17 3.5. Análisis Impact Implementación Cntrles Una vez finalizada la fase de definición de pryects e identificand ls cntrles a ser implementads, se hace necesari realizar un análisis del impact que van a tener ests pryects en el esquema de gestión de riesgs y en la plítica de cumplimient respect a la ISO Figura 7. Distribución de Riesg Inherente y riesg Residual Pdems bservar cm una vez se implementen ls cntrles prpuests y se ejecuten ls pryects definids, ls niveles de riesgs tienden a varias cnsiderablemente. Para la categría de riesgs Alts se pasa de 14 riesgs identificads a 0; para ls Medi Alts se pasa de 108 a 4; para ls riesgs Medis se pasa de 196 a 230; aquí bservams un aument el cual esta justificad prque much de ls riesgs de la categría de alt y medi alts debiern reducirse y caen en esta categría. El tr enfque para evaluar el impact de ls pryects y cntrles de seguridad a implementar se da en ls niveles de madurez en cada un de ls dminis definids del estándar ISO A cntinuación se presenta el prcentaje de cumplimient nivel de madurez pr dmini actual y el que se espera btener una vez se han implementad ls cntrles y pryects de seguridad: 15

18 Figura 8. Cmparativ Niveles Madurez 16