ELABORACIÓN DEL DOCUMENTO DE METODOLOGÍA DE GESTIÓN DE RIESGOS E SEGURIDAD DE LA INFORMACIÓN DE UNA ORGANIZACIÓN

[pic 1][pic 2][pic 3]

UNIVERSIDAD INTERNACIONAL DE LA RIOJA EN MÉXICO

MAESTRÍA EN SEGURIDAD INFORMÁTICA

ANÁLISIS DE RIESGOS INFORMÁTICOS

PROFESOR: FEDERICO EDUARDO VIDAL MARTÍNEZ

ALUMNO: ANGEL MARIO HUERTA TOVAR

ACTIVIDAD 3: ELABORACIÓN DEL DOCUMENTO DE METODOLOGÍA DE GESTIÓN DE RIESGOS E SEGURIDAD DE LA INFORMACIÓN DE UNA ORGANIZACIÓN.

ÍNDICE

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

Descripción del caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Primera Parte. Sistema de gestión de seguridad informática . . . . . . . . . . . . . . . . . . . . . 4

  1. Proceso de planificación de SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

    1.1 Preparación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

      1.1.1 Compromiso de la Dirección de la entidad con la seguridad informática . . . . . . . 5

      1.1.2 Seleccionar y preparar a los miembros del equipo que participará en el diseño e              implementación del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

      1.1.3 Recopilar información de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  5

    1.2 Determinación de las necesidades de protección . . . . . . . . . . . . . . . . . . . . . . . . . . . .  5

      1.2.1 Caracterización del sistema informático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  6

      1.2.2 Identificación de las amenazas sobre el sistema informático . . . . . . . . . . . . . . . . . 6

      1.2.3 Estimación del riesgo sobre los bienes informáticos . . . . . . . . . . . . . . . . . . . . . . . 6

    1.3 Establecimiento de los requisitos de Seguridad Informática . . . . . . . . . . . . . . . . . . .  7

    1.4 Selección de los controles de Seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . 7

      1.4.1 Políticas de seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

      1.4.2 Medidas y procedimientos de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . 8

    1.5 Organización de la seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  8

      1.5.1 Organización interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  8

      1.5.2 Asignación de responsabilidades sobre Seguridad Informática . . . . . . . . . . . . . .   8

    1.6 Elaboración del Plan de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  8

Segunda Parte. Estructura y contenido del Plan de Seguridad . . . . . . . . . . . . . . . . . . .  9

  1. Alcance del Plan de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  9

  2. Caracterización del Sistema Informático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  9

  3. Resultados del Análisis de Riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

  4. Políticas de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  10

  5. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  11

  6. Medidas y Procedimientos de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . . . . . 12

    6.1 Control de medios informáticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .   12

    6.2 Del personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

    6.3 Seguridad de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

    6.4 Respaldo de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

    6.5 Gestión de incidentes de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .  13

Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

INTRODUCCIÓN

Sabemos que la información es el activo más importante de una organización, por ello entendemos la importancia de contar con un sistema sólido para administrarla y protegerla. Para ello podemos apoyarnos en un Sistema de Gestión de Seguridad de la Información, que es básicamente un conjunto de políticas de administración de la información, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales, puede definirse también como un enfoque sistemático para establecer, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización y lograr sus objetivos comerciales y/o de servicio. Teniendo en cuenta que la seguridad de la información es un tema crítico e importante, es necesario conocer este tipo de técnicas o metodologías para poder identificar amenazas o puntos de debilidad en los procesos de la organización o en la infraestructura, perder información o sufrir un ataque puede llegar a ser muy perjudicial para la organización, y traer consecuencias a la misma, desde la pérdida o filtración de información hasta el cese de operaciones debido a malfuncionamiento de la infraestructura a causa de un ataque informático, estas metodologías poseen aparte de procedimientos, una serie de buenas o mejores prácticas que podemos implementar en la organización para reducir considerablemente el peligro de estar expuestos a algún ataque, o en caso de que sea inevitable la incidencia, reducir el impacto al mínimo y proveer un plan de recuperación rápido, para evitar pérdidas a la empresa por el cese de operaciones.

DESCRIPCIÓN DEL CASO

Para esta actividad, vamos a tomar como ejemplo el caso de una empresa que se vio afectada por un ataque de ransomware, este ataque consiste en la encriptación de los archivos de equipos y servidores y los deja inutilizables, para recuperar sus sistemas, se debe pagar un rescate al atacante por la cantidad solicitada, habitualmente en Bitcoin, y en sumas exageradas, y dicho rescate no garantiza la liberación de los equipos. El ataque afectó alrededor de un 65% de los equipos que conforman la infraestructura de la organización, incluyendo servidores con aplicativos críticos, como DHCP y Active Directory, por lo cual la organización tuvo que parar actividades debido a que sus infraestructura no podía operar con normalidad, se tenía una solución especializada en ataques de este tipo, la cual no fue configurada de manera adecuada y básicamente fue una de las causas que permitió la incidencia en la organización, adicional, tampoco se contaba con alguna solución de backup por lo que la recuperación de los sistemas tuvo que comenzar desde cero, para los ambientes virtualizados no se contaba con sus respectivos snapshots, por lo que también tuvieron que ser desplegados desde cero, el objetivo de esta actividad será el adecuar un sistema de gestión de seguridad de la información ejemplificando los procesos que se pudieron haber seguido para evitar el incidente, o en su defecto, disminuir el impacto al mínimo y tener listo un plan de recuperación. En la elaboración del sistema de gestión de la seguridad de la información se han utilizado conceptos de las normas de la serie ISO27000, en particular de las normas ISO 27001 Sistemas de Gestión de Seguridad de la Información, e ISO27002 Buenas prácticas en los Sistemas de Seguridad de la Información

Primera parte. Sistema de Gestión de la Seguridad Informática

El SGSI se compone de cuatro procesos básicos:

[pic 4]

[pic 5][pic 6][pic 7][pic 8][pic 9][pic 10][pic 11][pic 12]

[pic 13]

[pic 14]

[pic 15][pic 16]

. Planificar (Establecer el SGSI): Establecer las políticas, los objetivos, procesos y procedimientos de seguridad necesarios para gestionar el riesgo y mejorar la seguridad informática, con el fin de entregar resultados acordes con las políticas y objetivos globales de la organización.

. Hacer (Implementar y operar el SGSI): Tiene como objetivo fundamental garantizar una adecuada implementación de los controles seleccionados y la correcta aplicación de estos.

...