EVALUACIÓN DE CUMPLIMIENTO Y ESTABLECIMIENTO DE UN PLAN DE REMEDIACIÓN BASADO EN LAS NORMAS DE LA ISO 27001; CASO: DEPARTAMENTO DE FLOMNET FUNDACIÓN LEONIDAS ORTEGA MOREIRA. Saríah Lizette López Fierro Facultad de Sistemas y Telecomunicaciones (FISTE) Universidad Espíritu Santo (UEES) Samborondón, Ecuador sariah_007@hotmail.com Resumen La Fundación Leonidas Ortega Moreira es una organización no gubernamental. Entre los departamentos que apoyan a esta institución, se encuentra el Departamento de Tecnología, también reconocido como FLOMnet. FLOMnet brinda servicios, tanto a internos de la Fundación, por medio del soporte técnico; así también, como a externos, por medio del programa de capacitaciones, internet público y cafetería. Con el fin de confirmar si la prestación de estos servicios se está dando en base a medidas de seguridad apropiadas, el presente trabajo pretende evaluar y analizar el Nivel de Madurez Actual de FLOMnet, por medio de estándares internacionales de la seguridad de información (tales como, ISO 27000, MARGERIT, COBIT). Así también, de acuerdo a los resultados obtenidos, se otorgarán las recomendaciones necesarias para asegurar a los procesos del departamento, por medio de Salvaguardas de la Seguridad de Información, y encaminar al mismo a la obtención del Certificado del Sistema de Gestión de la Seguridad de la Información (SGSI) ISO 27001. Palabras Clave: Fundación Leonidas Ortega Moreira, FLOMnet, Seguridad de Información, Nivel de Madurez Actual ISO 27000, MARGERIT, COBIT, Sistema de Gestión de la Seguridad de Información (SGSI), Salvaguardas de la Seguridad de la Información. Abstract Fundación Leonidas Ortega Moreira is a non-governmental organization. FLOMnet, the Technology Area, is one its Departments. FLOMnet gives Technical Support to all the Foundation Departments but also offers different courses, public internet and cafeteria service to externals. Pretending to verify if those services offered, are done according to appropriate security controls, this work objective is to analyze and evaluate FLOMnet s Actual Capability Maturity, by the guidance of Information Security International Standards (such as, ISO 27000, MARGERIT, COBIT). In addition, according to the results, it will be shown recommendations, known also as Information Security Safeguards for assuring the Department processes, and guide it to reach de Information Security Management System (ISMS) ISO 27001 Certification. Keywords: Fundación Leonidas Ortega Moreira, FLOMnet, Information Security, Information Security Management System (ISMS), Capability Maturity, Information Security Safeguards. 1
1. Introducción La revolución de las tecnologías de la información y de las comunicaciones (TICs) en un mundo cada vez más globalizado, ha permitido a los pequeños empresarios expandir con mayor agilidad el límite de sus organizaciones y vencer los obstáculos de espacio y tiempo. Mas esta ventaja no sólo es percibida por aquellos empresarios; es también palpada por individuos externos, que por medio de la tecnología han encontrado puntos vulnerables. Esto les ha otorgado acceso a los equipos de las empresas, y han podido observar, plagiar, modificar o robar información almacenada en los servidores de las mismas. La firma Symantec 1 realizó una encuesta sobre Seguridad y Almacenamiento enfocada en las pequeñas y medianas empresas, en ésta obtuvo la relación de que por cada tres compañías, una tiene problemas con la seguridad de su información. Aquella encuesta fue realizada a más de 1425 organizaciones. Esta investigación reveló la opinión de los empresarios en definir las barreras del por qué no han creado un entorno más seguro. Los resultados fueron los siguientes: Partiendo de los resultados de aquella pesquisa y, considerando que la Fundación posee características similares al grupo encuestado; se observa la importancia de vigilar por los procesos actuales de los departamentos de la empresa, enfocados en la seguridad de los activos de información. Y a su vez, la gran necesidad de establecer un plan de remediación para cubrir todos aquellos huecos de seguridad detectados. 2. Objetivos Objetivo General Evaluar el Cumplimiento actual de FlomNet Departamento de Tecnología de la Fundación Leonidas Ortega Moreira- en base a normas de estandarización internacionales sobre la Seguridad de Información 2, y 1 Carencia de habilidades por parte de los empleados. Presupuestos limitados. Tiempo y la falta de conciencia sobre las actuales amenazas de la seguridad de tecnologías de la información. (Symantec) es una empresa líder mundial en el mercado de servicios de seguridad de las aplicaciones. 2 ISO 27001, ISO 27002, MARGERIT, COBIT. establecer un Plan de Remediación para responder ante los hallazgos 3 detectados. Objetivos Específicos Identificar los riesgos, amenazas y vulnerabilidades, de los activos y procesos en el área de FlomNet. Evaluar los riesgos detectados, y su impacto a FLOMnet en caso de ocurrencia. Planificar un modelo de aplicación de buenas prácticas de seguridad de información, como respuesta a los resultados obtenidos, en base a normas de estandarización internacionales. 3. Situación Práctica que se propone mejorar La Fundación Leonidas Ortega Moreira está centrada en servir y contribuir a mejorar la calidad de la educación en el país, con la ejecución trascendente de programas de capacitación, bibliotecas, becas, tecnologías y otros idiomas, en los sectores urbano, urbano marginales y rurales del país 4. Así como en toda empresa, la información, es un activo vital para esta organización. La correcta seguridad del mismo, es crítico para las operaciones diarias de la empresa, teniendo dependencia directa su estabilidad como organización. Por ello, al ser una fundación en servicio a la comunidad, debiendo calidad y seguridad en sus transacciones y operaciones diarias, se observa la importancia de asegurar sus procesos por medio de estándares reconocidos. El propósito del presente proyecto, es revisar los procesos operativos en el departamento de FlomNet, considerando que la unidad en mención es la responsable de la tecnología en la Fundación Leonidas Ortega Moreira. Y también -por sus otras funciones o servicios- de coordinar el ingreso de externos a la institución. Dicha revisión se la realiza de acuerdo a los estándares establecidos por la ISO 27001, permitiéndole de esta forma: - Mayor seguridad en sus procesos, - Ahorro en costos involucrados en auditorías internas. - Una guía para encaminar a la empresa a la obtención del certificado internacional ISO/IEC 27001. 3 Véase Aplicación de Términos en Antecedentes: Marco Conceptual (4.2) 4 http://www.flom.org.ec/ Nosotros: Misión 2
En base al procedimiento de trabajo adoptado y recomendado por la certificadora Norma ISO 27001 (PDCA 5 ), el presente proyecto de titulación incluirá una evaluación completa de las dos primeras fases. De acuerdo a las especificaciones internacionales, esta involucrará 6 : Análisis de Brecha El establecimiento de objetivos necesarios para alcanzar los resultados (Plan). Planificación de procesos (Do). 4. Solución Propuesta Se evaluarán los procedimientos actuales, en relación a la seguridad que éstos prestan a los activos de información calificados como críticos por el departamento de tecnología. Así también, una vez confirmada la evaluación y de acuerdo a ésta-, se otorgará una remediación adecuada para establecer de manera apropiada un Sistema de Gestión de Seguridad de Información, en base a los estándares internacionales. Lo expuesto estará presentado en dos puntos: 4.1 Análisis de Brecha (GAP Analysis) Por medio del Análisis de Brecha se puede conocer la relación existente entre la Seguridad de Información Actual otorgada en el Departamento de FLOMnet, y la Seguridad de Información Deseada 7 por el departamento. Esta relación se la hace al medir el desempeño de una organización con respecto a las mejores prácticas, estándares, políticas internas o contractuales y regulaciones legales. En otras palabras, el Análisis de Brecha compara lo que existe actualmente en una organización contra lo que es requerido en seguridad de la información 8. Para el análisis se propone el empleo de los siguientes pasos: 5 PDCA Plan-Do-Check-Act, o también conocido como el ciclo de Deming - http://www.pdca.es/pruebas/pdca.html 6 SGS Sistema de Gestión de la Seguridad de la Información ISO/IEC 27001:2005 - Training Services Book, pg13. 7 Revisar Objetivo General (2.1), establecimientos de un Sistema de Gestión Seguridad de Información en base a normas internacionales. 8 (CiberGroup - Empresas de Tecnología de Información) - Definición del Alcance del SGSI deseado. - Identificación de actividades principales, procesos relacionados y activos involucrados en FLOMnet. - Aplicación del Modelo de Madurez 9 Actual de Capacidades en la Ingeniería de Sistemas. - Comprobación de los controles que están siendo aplicados, en base a la Norma ISO/IEC 27001- Anexo A. SGSI deseado 4.2 Diseño de un Sistema de Gestión para la Seguridad de la Información (SGSI). Para la implantación de un SGSI, la familia de estándares se apoya en el Ciclo de Deming o Modelo de PDCA. Debido a que el alcance del presente trabajo abarcará las dos primeras etapas de dicho ciclo, para el diseño del SGSI, se tendrá como principal referencia los controles (4.21 y 4.2.2), exigidos por la ISO 27001, es decir: - Planificación de un SGSI para FLOMnet (Plan); comprende la cláusula 4.2.1 del Estándar Internacional ISO/IEC 27001. Se dividirá su desarrollo en dos pasos: o o Actividades Principales, Procesos y Activos Definir el ámbito y política del SGSI Proceso de análisis y valoración de riesgos (Evaluación de Riesgos) - Recomendaciones para el Diseño de un SGSI en FLOMnet (Do); comprende la cláusula 4.2.2 del Estándar Internacional ISO/IEC 27001 5. Resultados 5.1 Análisis de Brecha Modelo de Madurez de Capacidades en la Ingeniería de Sistemas Comparación con la Norma ISO/IEC 27001- Anexo A Para poder analizar la situación de seguridad actual de FLOMnet, es necesario identificar y clasificar los activos pertenecientes al departamento, para ello se recomienda el 9 Def. 1 (Modelo CMMI 7)Madurez de un proceso es un indicador de la capacidad para construir un software- de calidad. Def 2. (U.N.A.M.) El CMMI es un modelo de procesos (no de mejora) que muestra la madurez de una organización basándose en la capacidad de sus procesos. 3
uso del Método de las Elipses; así también tasar los mismos por medio de las características de información recomendados por COBIT (Confidencialidad, Disponibilidad, Integridad, Confiabilidad, Cumplimiento, Eficiencia, Efectividad) para determinar aquellos críticos y generar medidas de seguridad respectivas. Nivel de Madurez Por medio de la Matriz General del Nivel de Madurez, se confirmó que FLOMnet cumple con el 66,67% de las características requeridas para pertenecer al Nivel 1. Norma ISO/IEC 27001 Así también, el estado actual de seguridad de información en FLOMnet puede realizarse al verificar qué cantidad de controles exigidos por la Norma ISO/IEC 27001 se están aplicando. Para ello, se realizó una Lista de Verificación 10 con los requeirmientos. En porcentajes del total de controles los cumplidos por FLOMnet: Porcentaje de Cumplimiento Actual - Controles de Norma ISO/IEC 27001 El mismo resultado fue otorgado por la Matriz Por Proceso del Nivel de Madurez. Y finalmente se confirma el nivel actual 1, con la tercera matriz (Matriz por Calificación General de Procesos de Modelo de Madurez). En ésta, de los procesos identificados por el departamento, y de acuerdo al valor general dado a casa nivel, se obtuvieron los siguientes resultados: Del total de 42 procesos detectados (6.1.2.2), el porcentaje de cumplimiento por nivel fue: Nivel 3 9% Nivel 2 29% Nivel 4 0% Nivel 5 0% Nivel 1 62% Nivel 0 0% Después de la aplicación de las tres matrices, se concluye que el nivel de Madurez Actual sobre la Seguridad de la Información de FLOMnet, es el 1, Nivel de Inicio o Ad- Hoc. Es decir, el departamento y sus administradores reconocen sobre la importancia de aplicar seguridades en sus procesos, existen procesos que procurar proteger a sus activos, mas no siempre son efectivos. En la presente gráfica se puede observar que el 54% de los controles no están siendo cumplidos. El 18% de Controles que no Aplican, se justifica es requerido por la norma-, en el Declaración de Aplicabilidad, las razones de su obviación. Matriz de Riesgos Consolidada Después de medir el estado actual de FLOMnet y de haber tasado activos La Matriz de Riesgo Consolidada nos da una visión sobre las prioridades de inversión en la seguridad de información 11 ; en otras palabras este cuadro nos muestra los activos críticos que requieren de atención inmediata ya que están expuestos a riesgos que representa impacto considerable en la Fundación. 10 Véase en Marco Conceptual. 11 (GlobalTecSecurity) Matriz de Riesgo Consolidada 4
6. Viabilidad de la Propuesta Para la correcta implementación del SGSI se requiere de la Fundación: 5.2 Recomendaciones para el Diseño de un SGSI Para poder guiar al Departamento Técnico de la FLOM para que alcance la Certificación ISO 27001, se recomienda el Tratamiento de Riesgos, por medio de MARGERIT 12. De acuerdo a MARGERIT las salvaguardas 13 permiten hacer frente a las amenazas. Aquellas recomendadas son: - Salvaguardas de tipo general - Salvaguardas para la protección de servicios - Salvaguardas para la protección de los datos / información - Salvaguardas para la protección de las aplicaciones (software) - Salvaguardas para la protección de los equipos (hardware) Salvaguardas para la protección de las comunicaciones - Salvaguardas de Seguridad Física - Salvaguardas relativas al personal - Salvaguardas para la Externalización Las salvaguardas vigilan cuatro diferentes aspectos para limitar el impacto de los riesgos: - Procedimientos - Política de personal - Soluciones técnicas o Software o Hardware o Comunicación - Infraestructura física En general, los tipos de salvaguardas presentados, responderán a los tipos de Activos identificados. 12 (Presidencia)MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, del Ministerio de Administraciones Públicas de España. MAGERIT es el el acrónimo de la Metodología de Análisis y Gestión de Riesgos de IT, también el nombre árabe que tenía la antigua Madrid. 13 (Ministerio de Administraciones Públicas - Madrid, 2006) Adquisición de un nuevo equipo, con características mínimas de (1MB de RAM, 160 de Disco, Intel Pentium IV), que mismo que sería empelado como servidor frontera para la fundación, otorgando mayor seguridad en sus redes. Compromiso de parte de la Gerencia en sostener el SGSI. Compromiso del parte de los empleados en la adaptación a los procedimientos nuevos. La implementación de un SGSI toma entre 6 meses y un año 14. Telconet necesitó de un año y cuatro meses para implementarlo. Se estima que debido a los pocos procesos requeridos para cumplir con los controles, y la cantidad de integrantes involucrados, el cumplimiento del SGSI en FLOMnet se lo podría realizar en 6 meses. El cronograma de trabajo e implementación, sería el siguiente: Revisión y Actualización de Activos de Información Mediciones y Evaluaciones Comunicación a personal sobre el propósito. Mes 1 Mes 2 Elaboración del Manual de SGSI (alcance, detalle de procesos, responsabili dades) Comunicació n continua Implement ación de procesos Evaluación de impacto obtenido Comunicaci ón continua Mes 3 Mes 4-5 Revisión de procesos Mejoras, correcciones Continua comunicación Revisión constante del SGSI Comunicación continua En caso de que la fundación requiera aplicar para obtener el certificado ISO 27001, el tiempo se extendería a 9 meses, considerando las tres auditorías principales. Y el costo de dicha certificación por 3 años es de $11 000 + IVA (véase Anexo M); representando el presente trabajo una PreAuditoría, la Fundación Ahorra $ 3 000 +IVA. 7. Conclusión Se identificaron los activos; para ello, se detallaron también sus procesos y funciones correspondientes. La técnica recomendada fue El Método de la Elipse. Al conocer el estado de los procesos y cuidado actual de los activos, se procedió a realizar un Análisis de Brecha, de 14 (AixaCorpore - Protección de Datos, 2005) Mes 6 5
esta manera se constató el estado actual de FLOMnet, con respecto a las recomendaciones hechas por la Estándar. Para el Análisis de Brecha, se realizaron matrices comparativas, por medio del CCMI o Modelo de Madurez. Al conocer el estado actual de FLOMnet, y las especificaciones que debería de cumplir para alcanzar las recomendaciones de la Norma, se solicitó al Departamento la identificación de activos de mayor importancia- de acuerdo al criterio propio. En base a aquel reconocimiento, se procedió a evaluar los riesgos actuales de los activos, por el mismo se identificaron sus amenazas y vulnerabilidades. Aquellos resultados obtenidos, revelaron los activos de alto impacto o críticos, por los cuales se deben tomar medidas inmediatas. Reconociendo los activos críticos para el Departamento, por medio de las guías dadas por MARGERIT, se respondieron ante las vulnerabilidades y amenazas aplicando Salvaguardas para la Seguridad de la Información. Este último paso, otorga a FLOMnet, una guía de los procesos que debe de adaptar, para responder ante los requisitos demandados por la ISO/IEC 27001. El presente trabajo demostró la factibilidad de guiar a una pequeña organización, para que cumpla con Normas Internacionales de la Seguridad de Información. A pesar del desconocimiento existente o la poca importancia brindada por parte de las pequeñas y medianas empresas a las certificaciones, se ha demostrado la factibilidad del poder implantar un SGSI en base a normas internacionales. Así también se ha demostrado que para las pequeñas instituciones, la inversión económica es mínima, debido a que sus procesos recién se están implantando y éstos pueden fácilmente corregirse. Como también, debido a que los equipos tecnológicos son limitados, y las redes pequeñas la compra de otros activos tecnológicos para fortalecer la seguridad de información es mínima. Para este tipo de organizaciones, el lograr una correcta implementación del SGSI, principalmente se necesita de un compromiso general por toda la empresa. Si los directivos y demás empleados, confirman su aceptación al sistema y resuelven con tranquilidad, las primeras molestias que la adaptación genere, es fácil visualizar el éxito. 8. Referencias SGS del Ecuador S.A. (2009). Sistemas de Gestión de la Seguridad de la Información ISO/IEC 27001:2005. Quito, Pichincha, Ecuador. ISO/IEC 27000. (2009, May 01). Information technology Security techniques Information security management systems Overview and Vocabulary. Retrieved July 07, 2010, from http://gelisim.org/makaleler/iso_iec_27000_2009.pdf ISO27001 Security. (2007, Septiembre 20). Statement of Applicability. Retrieved Julio 2010, from www.iso27001security.com/iso27k_soa_sample.xls NTP-ISO/IEC 17799:2007. (2007). Código de buenas prácticas para la gestión de la seguridad de la información. Achillo, L. E. (n.d.). SGSI - CASO DE ESTUDIO Consultores en Informática Global SRL. Retrieved Febrero 2010, from http://www.postgradoinformatica.edu.bo/enlaces/investigac ion/pdf/maggetsi2_104.pdf?phpsessid=461e2596b4 0523089f8b866c4bdd9090 CiberGroup - Empresas de Tecnología de Información. (n.d.). GAP Análisis. Retrieved Agosto 2010, from http://www.cibercom.cl/index.php?option=com_content&v iew=article&id=180&itemid=174 DANTE. (n.d.). MARGERIT. Retrieved from http://danteslab.blogspot.com/2008/08/magerit.html Ing. Reynaldo C. de la Fuente, D. (2009). Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001). Retrieved Julio 2010, from http://www.datasec-soft.com López, R. I. (2004). MODELO para medir la MADUREZ de los PROCESOS y FUNCIONES del HELP DESK. Monterrey. Madrid, M. d., & v.2, M. (2005, Junio 16). Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, 2. Retrieved from http://www.epractice.eu/files/media/media_895.pdf Symantec. (n.d.). Company. Retrieved Febrero 2010, from http://www.symantec.com/es/mx/business/theme.jsp?them eid=smb_survey&inid=mx_ghp_smb_survey 6