DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP...

8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…

1/25

UNIVERSIDAD TÉCNICA DE MACHALA UNIDAD ACADÉMICA DE INGENIERÍA CIVIL CARRERA DE INGENIERÍA DE SISTEMAS

DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS

UTILIZANDO LA METODOLOGÍA NIST SP 800-30

TRABAJO PROBATORIO DEL COMPONENTE PRÁCTICO DEL EXÁMEN DEGRADO DE CARÁCTER COMPLEXIVO PARA OPTAR POR EL TÍTULO DE

INGENIERA DE SISTEMAS

AUTORA IRMA YESABETH CUEVA BELTRÁN

070490336-8

MACHALA, OCTUBRE DE 2015

CARATULA


2/25

II

DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOSUTILIZANDO LA METODOLOGÍA NIST SP 800-30

AUTORÍA:

Yo, Cueva Beltrán Irma Yesabeth, como autora del presente trabajo probatorio delcomponente práctico del Examen de Grado de Carácter Complexivo, soy responsablede las ideas, conceptos, procedimientos y resultados vertidos en el mismo.

f………………………………. Cueva Beltrán Irma Yesabeth

C.I.: 070490336-8 Correo electrónico: [email protected]

FRONTISPICIO

MACHALA, OCTUBRE DE 2015

mailto:[email protected]:[email protected]:[email protected]:[email protected]


3/25

III

DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOSUTILIZANDO LA METODOLOGÍA NIST SP 800-30

.

Autora: Cueva Beltrán Irma Yesabeth

RESUMEN

La importancia de una buena gestión de Tecnologías de la Informacion es relevante enactualidad más aun en las instituciones educativas, el presente informe permite realizarun análisis de los riesgos tecnológicos a los que estarían expuestos el departamentode sistemas del Colegio e Instituto Tecnológico Superior “José Miguel Capelo” y la

institución en general, a través de la elaboración del plan de riesgos se lograrácuantificar y comparar los requerimientos de seguridad de la informacion y en base alas diferencias encontradas definir los controles y adiciones necesarios para cumplirestos requerimientos, para el desarrollado de este proyecto se ha definido unametodología que guiará y alineará la caracterización, identificación y análisis de losriesgos; la metodología definida es la NIST SP 800-30, desarrollada por el NationalInstitute of Standards and Technology, misma que tiene entre sus principales objetivosel aseguramiento de los sistemas de información que almacenan, procesan y trasmiteninformación. La gestión de riesgos es considerada como un proceso el cual incluye elanálisis y la priorización de riesgos, con el objetivo de tener una visión de todos losriesgos y amenazas a los que estaría expuesto el departamento de sistemas de la

institución, además se determinara que riesgos pueden ser o no gestionados. Elpropósito de este análisis es determinar si existe un entorno que brinde seguridad yconfiabilidad para los equipos de la institución, así como también proyectar planes demitigación de riesgos con el cual se podrá transformar entornos informáticos que noson seguros en protegidos. Se deberá analizar exhaustivamente cada una lassituaciones en donde podrían ocurrir estos eventos para así lograr desarrollar un buenplan del tratamiento de los riesgos el cual pueda alcanzar a controlar y porque no evitarque se susciten hechos que afecten a la institución.

Palabras Claves: Riesgo, Metodologías de Análisis de Riesgos, NIST SP 800-30,Vulnerabilidades, Seguridad.


4/25

IV

DESIGN OF A PLAN FOR THE TREATMENT OF RISKS TECHNOLOGY USING THEMETHODOLOGY NIST SP 800-30

Author: Cueva Beltrán Irma Yesabeth

ABSTRACT

The importance of good management of information technology is even more relevanttoday in educational institutions, this report allows an analysis of the technological risksto be exposed to the IT department of the College and Institute Technological Superior"Jose Miguel Capelo "and the institution in general, through the development of the riskplan will be achieved quantify and compare the security requirements of information andbased on the differences and additions define the controls needed to meet these

requirements for the developed this project has defined a methodology to guide andalign the characterization, identification and analysis of risks; the methodology definedis the NIST SP 800-30, developed by the National Institute of Standards andTechnology, it has among its main objectives the securing of information systems thatstore, process and transmit information. Risk management is considered as a processwhich includes the analysis and prioritization of risks, in order to have a vision of allrisks and threats that they would be exposed systems department of the institution, andit is determined that Risks can be managed or not. The purpose of this analysis is todetermine if there is an environment that provides safety and reliability for theequipment of the institution as well as to project risk mitigation plans with which you cantransform computing environments that are unsafe in protected. It should thoroughlyanalyze each situation in which these events could occur in order to achieve a goodplan to develop risk treatment which can achieve control and why not prevent eventsaffecting the institution may arise.

Keywords:Risk, Risk Analysis Methodologies, NIST SP 800-30, Vulnerabilities,Security.


5/25

V

ÍNDICE DE CONTENIDOS

CARÁTULA ..................................................................................................................... I

FRONTISPICIO .............................................................................................................. II

RESUMEN .................................................................................................................... III

ABSTRACT .................................................................................................................. IV

1. INTRODUCCIÓN ..................................................................................................... 1

1.1. Marco Contextual .............................................................................................. 2

1.2. Problema ........................................................................................................... 2

1.3. Objetivo General ............................................................................................... 3

2. DESARROLLO ........................................................................................................ 3

2.1. Marco Teórico ................................................................................................... 3

2.1.1. Riesgo ........................................................................................................... 3

2.1.2. Gestión de Riesgo ......................................................................................... 3

2.1.3. Metodología de Gestión de Riesgo ................................................................ 3

2.1.4. Metodología NIST SP 800-30 ........................................................................ 4

2.2. Marco Metodológico .......................................................................................... 4

2.3. Resultados ........................................................................................................ 8

3. CONCLUSIONES .................................................................................................. 10

4. REFERENCIAS BIBLIOGRÁFICAS ....................................................................... 11

5. ANEXOS................................................................................................................ 12


6/25

VI

ÍNDICE DE TABLAS

Tabla 1. Fases de las metodologías para el análisis de riesgos ..................................... 3

Tabla 2. Documentos solicitados para revisión .............................................................. 5

Tabla 3. Resumen de infraestructura ............................................................................. 5Tabla 4. Identificación de amenazas humanas ............................................................... 5

Tabla 5. Identificación de amenazas técnicas ................................................................ 6

Tabla 6. Identificación de vulnerabilidades ..................................................................... 6

Tabla 7. Identificación y verificación de controles existentes. ......................................... 7

Tabla 8. Determinación de Probabilidades ..................................................................... 7

Tabla 9. Controles recomendados, con relación al análisis de riesgos. .......................... 8


7/25

VII

ÍNDICE DE FIGURAS

Figura 1. Áreas del departamento de sistemas ............................................................ 12

Figura 2. Diseño lógico de la red .................................................................................. 13

Figura 3. Aspectos a considerar para el tratamiento de los riesgos .............................. 14Figura 4. Aspectos a considerar para el tratamiento de los riesgos. ............................. 15

Figura 5. Solución de control sugerido sobre la autentificación de usuarios. ................ 16

Figura 6. Solución de control sugerido sobre uso de red. ............................................. 17

Figura 7. Solución de control sugerido sobre respaldos de información. ...................... 18


8/25

1. INTRODUCCIÓN

En la actualidad las tecnologías de la información y comunicación mejor denominadascomo TIC’s ocupan un gran espacio en todos los aspectos sociales y mayor aún en los

niveles del mundo educativo, en donde han producido fuertes impactos, es necesariodestacar que la mayoría de actividades que son ejecutadas por el ser humano sonasistidas por computadoras o en algunos de los casos reemplazados por ellas debido aeste motivo hacen apreciar su innegable influencia en nuestro medio. El concepto deTIC “tiene sus orígenes en las llamadas Tecnologías de la Información, mismo quesurge como convergencia tecnológica de la electrónica, el software y lasinfraestructuras de telecomunicaciones”, este concepto apareció en los años 70 el cualse refería a las tecnologías para el procesamiento de la informacion; dicho proceso serealizaba solo en entornos locales por lo que la comunicación era una función pocovalorada(1), ya en la actualidad las TIC’s han proporcionado grandes cambios que seconvierten en nuevas formas de impartir conocimientos.

“Las TIC´s establecen que el proceso de enseñanza-aprendizaje se obtiene por unaparte, de la interacción del estudiante y el profesor, la libertad en la gestión del tiempode aprendizaje, el uso del computador de manera individual o grupal, la economía entodos los casos (geografía, dinero y tiempo); y por otra de los recientes lineamientos yreglamentaciones para la introducción de Internet en la educación” (2) es necesariocitar que “El acceso a los datos a través de redes informáticas ha transfigurado nuestraexperiencia del mundo y el valor del conocimiento personal de cada individuo. Saberempieza a tener menos relevancia que ser capaz de descubrir, investigar y analizar” (3)

Con la prominente evolución de las tecnologías de información también aumenta los

casos de incidentes relacionados con la seguridad de los sistemas de la informaciónque comprometen los equipos de cómputo de una organización o institución, lasamenazas informáticas siempre han existido, la diferencia es que ahora son másrápidas y más difíciles de detectar, es por ello que en toda institución deben estar alertay saber implementar sistemas de seguridad mismo que se basan en el análisis deriesgos para evitar o minimizar las consecuencias no deseadas en la institución.

Es importante enfatizar que antes que se implemente cualquier sistema de seguridad,debemos hacer análisis exhaustivo del entorno, detallando así el software, hardwareque posee la institución, inclusive el personal responsable de cada uno de los equiposcon el fin de garantizar la elaboración de un buen plan para el tratamiento de riesgos

tecnológicos.

Actualmente solo los proyectos que manejan una duración temporal de un año máximopueden suponerse que el entorno tecnológico donde se desarrollan es estable yconocido, de lo contrario es necesario destacar que la tecnología siempre va a variarsustancialmente durante el desarrollo de un proyecto. Todas estas acciones que sonrelacionadas con la tecnología de una organización deberán planificarse a lo largo deltiempo, tomando así la forma de un plan de riesgos tecnológicos, este implicará laidentificación y seguimiento de las actividades de la institución educativa así tambiéncomo el seguimiento del recurso humano y material, esta planificación siempre serealizará haciendo supuestos de las actividades que podrían suscitarse en casos en

donde no existen ciertas reglas o controles para estas situaciones inesperadas.


9/25

2

Estas situaciones que se suscitan de manera inadvertida son conocidas como riesgos,este se constituye como una falta de conocimiento sobre futuros acontecimientos y sepueden definir como “Posibilidad de que existan consecuencias indeseables oinconvenientes de un acontecimiento relacionado con el acceso o uso de la tecnologíay cuya aparición no se puede determinar a priori.” (4).

Es trascendental indicar que no todos los riesgos tienen la misma importancia, por elloexiste la caracterización del mismo, en donde se evaluará el impacto y la mayorocurrencia en los que se puedan suscitar. Este proceso se lo puede llevar a caboutilizando mapas bidimensionales de impactos y probabilidades, estos permiten la tomade decisiones en relación a los riesgos en los que se debe tomar mayor precaución.

Para el diseño de un plan para el tratamiento de riesgos de tecnologías de informaciónes indispensable trabajar con una metodología la cual presentará sus lineamientos endonde enfrascaremos nuestra planificación. “Entre las metodologías más idóneas parael desarrollo de estas planificaciones se encuentran: CMMI, SPICE, PMBOK, COBIT yla NIST SP 800-30, la cuál es considerada entre una de las mejores debido a respuesta

inmediata a los impactos sobre los objetivos del proyecto, fue desarrollada por el NIST,y debemos destacar que esta compuesta de 9 pasos básicos para el análisis de riesgosentre los que tenemos: caracterización, del sistema, identificación de amenaza,identificación de vulnerabilidades, control de análisis, determinación de la probabilidad,análisis de impacto, determinación del riesgo, recomendaciones de control y resultadode la implementación o documentación”(4)

1.1. Marco Contextual

El desarrollo del plan para el tratamiento de riesgos de tecnologías de información seráorientado al departamento de sistemas del Colegio e Instituto Tecnológico Superior

“José Miguel Capelo” ubicado en el cantón Machala, provincia de El Oro, actualmenteel Departamento de Sistemas cuenta con cuatro áreas que son: Gestión deTecnologías de Información, Soporte a usuarios, Administración de red yMantenimiento de hardware y software, entre las principales razones que se tomaronen cuenta para elaborar un plan para el tratamiento de riesgos de tecnologías esdebido a sus antecedentes de los cuales se puede destacar que principalmente noexisten inventarios de hardware y software, existen falencias con el acceso al serviciode internet debido a su lentitud, teniendo inconvenientes de internet en donde se tieneninterrupciones de hasta 3 horas por día, además la única política de seguridad de lainformación que poseen es copia de una política de seguridad de otra institucióneducativa, y este proceso fue realizado solo con el fin de cumplir con un requisito del

Ministerio de Educación ya que se les solicitaba para habilitarles el acceso a laaplicación de gestión académica, además esta política solo incluye aspectos generalesde seguridad para uso de software, resultado de ello no poseen políticas internas quepermitan manejar, controlar o disminuir el impacto de eventos que lleguen a suscitarsey afectar los equipos de hardware del departamento de sistema y la institución engeneral.

1.2. Problema

¿El tratamiento de riesgos tecnológicos mediante la implementación de la metodología

NIST SP 800-30, garantizará la seguridad de la información en el Colegio e InstitutoTecnológico Superior “José Miguel Capelo”?


10/25

3

1.3. Objetivo General

Diseñar un plan para el tratamiento de riesgos tecnológicos para el departamentode sistemas del Colegio e Instituto Tecnológico Superior “José Miguel Capelo” ubicado en la ciudad de Machala utilizando la metodología NIST SP 800-30, parapoder garantizar la seguridad de la información.

2. DESARROLLO

2.1. Marco Teórico

2.1.1. Riesgo

“Es la probabilidad de que una amenaza se convierta en un desastre. Lasvulnerabilidades o las amenazas por separado no representan factores de peligro,pero si estas se acopian se convierten en un riesgo.” (5)

2.1.2. Gestión de Riesgo

“La Gestión de Riesgos consiste en un proceso cíclico que se inicia a partir de unconjunto de información recogida de diversas fuentes (requisitos, personas,procesos de desarrollo, presupuestos, expectativas…). Toda esta informaciónproporciona una lista de riesgos a tener en cuenta. El proceso de Gestión deRiesgos los analiza, prioriza y plantea planes de respuesta, dando como resultadoel conjunto de riesgos priorizados, los planes de respuesta a dichos riesgos y unconjunto de indicadores que se utilizarán para medir el éxito del proceso, y en su

caso, mejorarlo” (6)

Por su parte el autor Galaway (2004) define la Gestión de riesgos de un proyectocomo “el arte y la ciencia de identificar, analizar, y responder a los riesgos a lo largode la vida de un proyecto, con el propósito de lograr los objetivos del proyecto”.

2.1.3. Metodologías de gestión de riesgos

Existen metodologías que permiten hacer un uso adecuado del análisis de riesgos yasí asegurar los sistemas de información de las organizaciones. Entre lasprincipales tenemos: OCTAVE, MEHARI, MAGERIT,CRAMM, EBIOS, NIST SP800-30. En la tabla 1 se hace referencia a las fases que componen cada una de lasmetodologías mencionadas anteriormente.

Tabla 1. Fases de las metodologías para el análisis de riesgos

FASES

METODOLOGÍAS

1 1A 1B 2 3 4 5 6

Caracterización del sistema X X X X X X X X

Identificación de amenazas X X X X X X X

Identificación de vulnerabilidades X X X X Análisis de controles X X X X X X X

Determinación de la probabilidad X


11/25

4

Tabla 1. Continua

Análisis de impacto X

Determinación del riesgo X X X X X X X

Recomendaciones de control X X X X X X X

Documentación de resultados X X X

Establecimiento de parámetros X XNecesidades de Seguridad X X XFuente: Ana Abril, 2013 (7)

(1) OCTAVE, (1A) OCTAVE 1, (1B) OCTAVE ALLEGRO, (2) MEHARI, (3)MAGERIT, (4) CRAMM, (5) EBIOS, (6) NIST SP 800 – 30.

2.1.4. Metodología NIST SP 800-30

Es un estándar desarrollado por el Instituto Nacional de Estándares y Tecnología(NIST), fue formulado para la evaluación de riesgos de seguridad de la información

especialmente a los sistemas de TI (Tecnología de la Información), proporciona unguía para la seguridad de las infraestructuras de la misma desde una perspectivatécnica. Por otro lado, esta guía provee fundamentos para la administración deriesgos así como la evaluación y mitigación de los riesgos identificados dentro delsistema de TI con el objetivo de apoyar a las organizaciones con todo lo relacionadoa Tecnología (8). La metodología NIST SP 800-30 está compuesta por nueve fases:

1. Caracterización del sistema: La cual permite establecer el alcance y los límitesoperacionales de la evaluación de riesgos en la empresa.

2. Identificación de amenazas: Es donde se definen las fuentes de motivación delas mismas.

3. Identificación de vulnerabilidades: En esta fase desarrolla una lista de defectos odebilidades del sistema que podrían ser explotadas por una amenaza.

4. Análisis de controles: Lista de controles actuales.5. Determinación de probabilidades: Ayuda a evaluar el rango de probabilidad de

que una vulnerabilidad se convierta en amenaza.6. Análisis del impacto: Analizarán el impacto que pueden repercutir los riesgos.7. Determinación del riesgo: Ayuda a evaluar el riesgo en el sistema de

información.8. Recomendaciones de control: En donde se proporcionan los controles que

podrían mitigar el riesgo identificado disminuyéndolo hasta un nivel aceptable.

9. Finalmente está la documentación de resultados la cual genera un informe conla descripción de amenazas y vulnerabilidades, midiendo el riesgo y generandorecomendaciones para la implementación de controles.

2.2. Marco Metodológico

El análisis de riesgo se centra en los equipos de cómputo que se encuentran en eldepartamento de sistemas de la Institución Educativa, ya que los controles que seimplementarán para la gestión de los riesgos tecnológicos serán administrados por elresponsable encargado del área de Gestión de Tecnologías de Información, según lametodología NIST SP 800-30 la primera etapa que deberá abarcar el plan de riesgos

es la caracterización del sistema, para ello se ha solicitado la siguiente lista dedocumentos, políticas y guías de configuración, lo cual corresponde a ladocumentación técnica de la institución educativa.


12/25

5

Tabla 2. Documentos solicitados para revisión

Documento Encontrado ParcialmenteNo

encontradoInventario de hardware, software XDiagrama de red e Inventario dela asignación de direcciones IP

X

Relación de responsables deactivos (Hardware)

X

Respaldo de la configuración deequipos activos

X

Análisis de riesgo XPolíticas de instalación paraequipos portátiles, servidores yestaciones de trabajo

X

Políticas de uso de red XPolítica de respaldo XPolíticas de monitoreo XInforme de seguridad de TI XPolíticas de confidencialidad X

Tabla 3. Resumen de infraestructura Activos Informáticos Tipo Cantidad

Equipos Windows 7 Servicio 90Equipos Windows 7 Professional Servicio 2Impresoras Matriciales Servicio 5Impresoras de Inyección a tinta Servicio 3Router Comunicación 1

Switch Comunicación 7Conexiones a internet Servicio Externo 1 Antivirus Servicio interno y externo 1

Continuando con la estructura de la metodología NIST SP 800-30 identificaremos lasposibles amenazas tecnológicas con las que se pueden enfrentar la InstituciónEducativa.

Tabla 4. Identificación de amenazas Humanas Fuente deAmenaza

Acciones de la amenaza

Pérdida delpersonal

Suspensión y desorganización del soporte y de las tareasque se encuentran a su cargo.

Hackers, cracker Ingeniería social. Accesos no autorizados al sistema.

Usuarios finales ypersonal docente oadministrativo no

capacitado

Pérdida de confidencialidad e integridad de los datos. Negligencia en manejo de equipos, cables y datos. Fallas del sistema. Ataques de código malicioso.

Administraciónincorrecta del

sistema

Fallas en el sistema. Accesos no autorizados. Deficiente confidencialidad e integridad de los datos.


13/25

6

Tabla 5. Identificación de amenazas técnicas

Fuente de Amenaza Acciones de la amenaza

Falta de políticas deseguridad

Pérdida de confidencialidad de la información. Pérdida de integridad de la información.

Falta control del usorecursos

Abuso de los recursos y/o sistemas. Mala utilización de los equipos de hardware y software.

Políticas para elsistema de red

Conexiones no autorizadas a la red. Abuso de equipos con conectividad a la red de la institución.

Ausencia de licenciasde software

Sanciones legales por uso inadecuado del software.

Fallas del proveedorde Internet

Interrupción del sistema de gestión con el que cuenta la institución.

Se debe continuar identificando las vulnerabilidades a la que está expuesta la

institución debido a la inexistencia del plan del tratamiento de riesgos tecnológicos lascuales son:

Tabla 6. Identificación de vulnerabilidades

Amenaza Vulnerabilidad

Usuarios Internos: Usuarios sin

capacitación Usuarios

negligentes

Uso de protocolos de comunicación inseguros.Inexistencia de planes de capacitación a los responsables deequipo.Falta de mantenimiento en cableado eléctrico.Inexistencia de controles de integridad en equipos activos.Inexistencia de políticas de uso de software.Inexistencia de cultura de seguridad en usuarios finales.Poca educación sobre temas de seguridad a usuarios finales.Firmas antivirus deficientes.Tiempo de vida útil de los equipos.Inexistencia de procedimientos de cambios en sistemas.Inexistencia de políticas de confidencialidad.

Usuarios Externos: Hackers Crackers Ex

Empleados

Actualizaciones de antivirus.

Control de acceso a la red Inalámbrica de la institución.Personal responsable ante un incidente de seguridad.

Control de asignación de direcciones IP a los equipos de lainstitución. Actualización en los sistemas operativos y aplicaciones.

Respaldos periódicos de la información.

Asignación estaciones de empleados de acuerdo a susfunciones.

Una vez que hemos analizado las amenazas humanas, técnicas y vulnerabilidadesdebemos hacer un análisis de los controles técnicos y no técnicos que existeninstitución.


14/25

7

Tabla 7. Identificación y verificación de controles existentes.

CONTROLEXISTENCIA

SI NOPolíticas de autentificación de usuarios XMecanismo de encriptación XPolíticas para intrusión de software malicioso X

Políticas para el sistema de red XPolíticas de control de cambios X Ambiente seguro para equipos XPolíticas para contraseñas XPolíticas de hardening en estaciones de trabajo XPolíticas de monitoreo, implementación de herramientasde monitoreo

X

Políticas para responsables de equipos XPersonal que atienda un incidente de seguridad. X

Una vez que he analizado e identificado cada una de las posibles amenazas yvulnerabilidades se deberá determinar las probabilidades de que una vulnerabilidadpotencial se convierta en amenaza, a continuación se detallaran las vulnerabilidadescon su respectiva probabilidad.

Tabla 8. Determinación de Probabilidades

VulnerabilidadProbabilidad

deocurrencia

ImpactoPrincipio deseguridadafectado

Nivel deatención

del riesgoCableado de red expuesto Alta Medio Disponibilidad MedioUso de protocolos de

comunicación inseguros Media Alto Disponibilidad MedioInexistencia de planes decapacitación

Alta Medio Disponibilidad Medio

Falta de mantenimiento encableado eléctrico

Media Alto Disponibilidad Medio

Inexistencia de controles deintegridad en equipos activos

Alta Medio Disponibilidad Medio

Inexistencia de políticas de usode software

Medio Medio Disponibilidad Medio

Inexistencia de controles sobreel uso de procesador, memoria,

disco duro y ancho de banda

Medio Medio Disponibilidad Medio

Inexistencia de cultura deseguridad en usuarios finales

Bajo Alta Integridad Bajo

Fallas por parte del proveedorde servicios de internet

Alto Alto Disponibilidad Alto

Poca educación sobre temasde seguridad a usuarios finales

Bajo Medio Integridad Bajo

Firmas antivirus deficientes Media Medio Confidencialidad MedioTiempo de vida útil de losequipos

Media Medio Disponibilidad Medio

Inexistencia de procedimientosde cambios en sistemas

Alta Bajo Integridad Bajo

Inexistencia de políticas deconfidencialidad

Bajo Medio Confidencialidad Bajo


15/25

8

2.3. ResultadosUna vez que se ha analizado y evaluado, las amenazas, y el riesgos que tiene cadavulnerabilidad, como resultado de este análisis se ha elaborado un plan para eltratamiento de riesgos de tecnologías de informacion para el departamento de sistemasdel Colegio e Instituto Tecnológico Superior “José Miguel Capelo” ubicado en el cantónMachala.

A continuación se realizado el listado de las vulnerabilidades detectadas, en relación alriesgo, a las mismas que se sugiere uno o varios controles los cuales permitirán reducirla posibilidad de ocurrencia de estos riesgos.

Tabla 9. Controles recomendados, con relación al análisis de riesgos.

Vulnerabilidad Control sugeridoNivel de impacto de

riesgoRed inalámbrica abierta Hotspot

Cifrado de Red Alto

Falta de control en laadministración de IP

Inventario de gestión deredes.

Alto

Inexistencia de políticasde uso de red

Preparación de políticas deuso de red.

Alto

Falta de control de losdatos que se descarguena través de la red

Elaborar filtro de contenidos,Firewall. Alto

Inexistencia de respaldode la información.

Elaborar políticas derespaldo.

Alto

Inexistencia de reglas deautentificación deusuarios

Elaborar políticas decontraseña.

Concientización en temas de

seguridad.

Alto

Fallas por parte delproveedor de internet

Emitir comunicados a lasecretaria de rectoradoacerca de los problemas deinternet suscitados.

Alto

Abuso de las conexionesde red

Elaborar políticas de uso dered

Alto

Inexistencia de políticasde uso de hardware

Diseñar políticas dehardware

Alto

Uso de contraseñasdébiles

Elaborar políticas paracontraseñas,

Capacitación a usuariosfinales sobre temas deseguridad.

Alto

Uso de contraseñasrepetidas en distintosequipos de computo

Elaborar políticas decontraseña.Concientización en temasde seguridad.

Alto

No existe mantenimientode las instalacioneseléctricas.

Diseñar plan demantenimientos preventivospara las estaciones

eléctricas

Alto

Robo de información Elaborar políticas deconfidencialidad

Medio


16/25

9

Tabla 9. Controles recomendados, con relación al análisis de riesgos. Continuación

Inexistencia de controlessobre la utilización dememoria y disco duro.

Políticas hardening Medio

Inventario del tiempo de

vida útil que tienen losequipos.

Elaborar planes de

mantenimiento preventivo. Elaborar planes de periodos

de renovación de hardware.

Medio

Utilización de versionesde aplicaciones obsoletas

Elaborar planes deactualizaciones paraaplicaciones más utilizadasen la institución

Medio

Personal no capacitadoen temas de seguridad

Concientizar al personal derecibir capacitación del buenuso y manejo de las TIC’s

Medio

Falta de mantenimientopreventivo en equipos decómputo

Elaborar planes paramantenimiento preventivo decomputadoras

Medio

Cableado de red expuesto Cableado estructura MedioInexistencia de reglasvisitas de sitios web consoftware malicioso

Capacitación a usuariosfinales.

Gestor de contenidos.

Medio

Descarga de archivosejecutables de sitios webno seguros

Capacitación a usuariosfinales.

Gestor de contenidos.

Medio

Inexistencia de licencias

de antivirus Evaluación y adquisición de

licencias de antivirus

Medio

Daños de hardware poralzas y bajas eléctricas

Implementación de UPS Medio

Fugas y robo deinformación

Establecer políticas deconfidencial

Medio

Inexistencia de políticaspara mantener laintegridad de los equipos

Establecer políticas deintegridad para los equipos.

Medio

Utilización de software sinactualización

Diseñar planes deactualizaciones de software

para equipos de la institución

Medio

Daños en la configuraciónde los equipos por falta demantenimiento.

Elaboración de planes paramantenimiento preventivo

Bajo

Mal manejo y uso delhardware

Capacitación a todo elpersonal docente,administrativo y de serviciode la institución.

Bajo

Desastres naturalesdentro de la institución

Elaborar planes deprevención para desastresnaturales

Medio


17/25

10

3. CONCLUSIONES

El desarrollo del plan para el tratamiento de riesgos de tecnologías de informacióna través de la metodología NIST SP 800-30 presenta la oportunidad de entenderlos conceptos definidos en relación a la gestión de riesgos.

Debido a la constante evolución de la tecnologías de información tambiénevolucionan nuevas amenazas que son más difíciles de detectar y contrarrestarlas,estas amenazas pueden arremeter en contra de las organizaciones públicas yprivadas de tal modo que afectarán las actividades diarias y causarán pérdidasconsiderables, mediante la gestión de los riesgos tecnológicos podemos mitigar lasposibles amenazas a las que se encuentran expuestas estás organizaciones.

Se realizó el análisis y la evaluación de las vulnerabilidades y amenazas que sesuscitan en la institución educativa.

El objetivo de diseñar un plan para el tratamiento de riesgos de tecnologías escrear conciencia en el personal docente y administrativo sobre la seguridadinformática para poder prevenir riesgos y diseñar estrategias con el fin de asegurarla información y brindar un ambiente seguro para los equipos de hardware de laInstitución Educativa

El diseño de este plan controlará considerablemente la ocurrencia de incidentes.

El tratamiento de riesgos tecnológicos es un proceso continuo que se debe realizaral menos una vez al año.

Finalmente, es necesario enfatizar que independientemente el ámbito en que seencuentre una organización necesita tener una plan para el tratamiento de riesgos,en muchas organizaciones e instituciones tomar medidas preventivas suelen pasarpor desapercibidas pero aplicar este tipo de gestiones radicará formidablemente ladisminución de pérdidas y perjuicios.


18/25

11

4. REFERENCIAS BIBLIOGRÁFICAS

1. Arencibia MG. Biblioteca Virtual. [Online].; 2006 [cited 2015 Octubre 12. Availablefrom: http://www.eumed.net/libros-gratis/2006a/mga-01/2b.htm.

2. Enrique Suárez y Anna Pappagallo. Introduction of the Information andComunication. Revista Omnia. 2008;: p. 111-129.

3. McFarlane. TIC's. [Online].; 2011 [cited 2015 Octubre 15.

4. Antonio Hidalgo Nuchera. Una introduccion a la gestion de riesgos tecnologicos.MadridMas. 2006;: p. 25.

5. Soldano A. [Online].; 2009 [cited 2015 Octubre 09. Available from:http://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdf .

6. Romeral LM. GESTIÓN DE LOS RIESGOS TECNOLÓGICOS. Relatec. 2008;: p. 9.

7. Ana Abril, Jarol Pulido, Jhon Bohada. Analisis de Riesgos en la Seguridad de laInformación. PC Magazine. 2013;: p. 15.

8. Shanthamurthy D. Search Security. [Online].; 2011 [cited 2015 10 09. Available from:http://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluation.

http://www.eumed.net/libros-gratis/2006a/mga-01/2b.htmhttp://www.eumed.net/libros-gratis/2006a/mga-01/2b.htmhttp://www.eumed.net/libros-gratis/2006a/mga-01/2b.htmhttp://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdfhttp://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdfhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdfhttp://www.eumed.net/libros-gratis/2006a/mga-01/2b.htm


19/25

12

5. ANEXOS

Figura 1. Áreas del departamento de Sistemas


20/25

13

Figura 2. Diseño Lógico de la Red


21/25


22/25

15

Figura 4. Aspectos a considerar para el tratamiento de los riesgos.


23/25

16

Figura 5. Solución de control sugerido sobre la Autentificación de usuarios.


24/25

17

Figura 6. Solución de control sugerido sobre uso de red.


25/25

Figura 7. Solución de control sugerido sobre respaldos de información.

DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP...

Documents

Transcript of DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP...