AA1-E5-Aplicación de la norma ISO 27002
Autor(es): Diana Paola Villalobos Muñoz Juan Pablo Agudelo Ramírez
Presentado a: YURI LORENA FIERRO BOCANEGRA
GESTIÓN Y SEGURIDAD DE BASES DE DATOS SERVICIO NACIONAL DE APRENDIZAJE SENA BOGOTÁ 2018
2 AA1-E5-Aplicación de la norma ISO 27002 Descripción de la organización Quipux crea soluciones innovadoras y acompaña a los gobiernos en su operación bajo modelos auto sostenibles de asociación público privada pri vada que ayudan a resolver r esolver problemas reales de tránsito, transporte y movilidad, para mejorar la calidad de vida de los ciudadanos. Quipux Quipux es una compañía colombiana con operaciones en más de 50 ciudades alrededor del mundo en Colombia, Brasil y Costa de Marfil. La compañía está enfocada en la creación de soluciones de transporte para ciudades sostenibles desde 1995, y tiene más de 20 años de de experiencia en servicios de outsourcing con gobiernos. Quipus (o khipus), conocidos como nudos que hablan, fueron dispositivos utilizados antiguamente para grabar información en la región andina de Sur América. Un quipu consistía en cuerdas de varios colores con nudos a diferentes alturas. En el imperio Inca el sistema permitía la recolección, custodia y mantenimiento de información para monitorear obligaciones de impuestos, registros del censo de propiedad, organización militar e información del calendario, entre otros.
Visión “Innovamos para trascender”.
Misión “Creamos soluciones que generan valor apoyados en tecnología y conocimiento”.
Valores Nuestros valores valores son los que orientan la coherencia coherencia entre lo que que pensamos, lo que que decimos y lo que hacemos. Los valores de éxito son los principios sobre los cuales construimos nuestras soluciones: Principales servicios SOFTWARE: Desarrollo e implementación de aplicaciones, actualizaciones, actualizaciones, soporte. CONSULTING: Crear propuestas de valor que alineen los objetivos del negocio dando apoyo a procesos de negocio. INFRAESTRUCTURA INFRAESTRUCTURA TI: Servicios de instalación e integración de tecnologías y consultoría para la administración de proyectos relacionados con el correcto funcionamiento del equipamiento TI incluyendo la administración de garantías.
3
F igura1. Organigrama general de Quipux
F igura2. Organigrama del área TI de Quipux
4 Clasificación de la Información según Quipux
Para la Clasificación de la Información se debe tener en cuenta los criterios de Confidencialidad, Integridad y Disponibilidad. A partir de estos aspectos se definen 4 tipos de información a tratar. Información de Uso Público: Información que por sus características puede o debe estar a disposición de cualquier persona natural o jurídica. Dentro de esta clasificación se puede considerar: noticias, informes de prensa y normatividad. Información de uso Interno: Información cuya divulgación no causa daños serios a Quipux y su acceso es libre para los funcionarios a través de la intranet o de cualquier otro medio. Información de uso Confidencial: Información cuya divulgación no autorizada puede afectar considerablemente el cumplimiento de la misión de Quipux. La divulgación de esta información, requiere de la aprobación de su respectivo propietario. En el caso de terceros rige el acuerdo de confidencialidad que exista entre el Quipux y el tercero. Información de Uso secreto: Información que sólo puede ser conocida y utilizada por un grupo muy reducido de funcionarios, generalmente de la alta dirección de la empresa, y cuya divulgación o uso no autorizados podría ocasionar graves pérdidas al mismo, a Contratistas o a Terceros.
Clasificación de los activos de la información Se identifican los activos de información de mayor importancia asociados a cada sistema de procesamiento de la Información en su respectivo proceso, para luego elaborar un inventario con dicha información. Tipo
Descripción
Detalle
Datos o Información Física y Digital
Son aquellos datos que se generan, recogen, gestionan, transmiten y destruyen en la organización.
•Todo tipo de archivos. •Bases de datos. •Acuerdos. •Documentación del sistema. •Historicos.
5 Software
Las aplicaciones que se utilizan para la gestión de la información.
•Herramientas ofimáticas. •Motores de bases de datos. •Software específico. •Herramientas de desarrollo. •Módulos de las diferentes
aplicaciones Hardware
Dispositivos que se utilizan para la gestión y almacenamiento de la información.
•Equipos de cómputo. •Equipos de comunicación. •Discos duros extraíbles. •Unidades de
almacenamiento. •Otros periféricos.
Servicios TI
Servicios internos y externos que buscan responder a las necesidades de un cliente por medio de un cambio de condición en los bienes informáticos
•Intranet. •Internet. •Correo Electrónico. •Correspondencia •Directorio Activo •Dominio DNS.
Personas
Son todas aquellas personas que tienen que ver con la organización.
•Todo el personal que hace
Conocimiento
Hechos o información adquiridos por la organización a través de la experiencia o la educación, la comprensión teórica o práctica de un asunto referente a la realidad.
parte de la organización. •Las certificaciones que
poseen las personas. •Las normas bajo las cuales
se encuentra certificada la organización.
El uso de los activos de información pertenecientes al Quipux es responsabilidad del propietario asignado; es su deber proteger y mantener la confidencialidad, integridad y disponibilidad de los activos de información.
Tabla 2. Definición de los activos de la información.
6
Código Activo A1
Archivo ofimáticos.
Tipo
Confidencialidad Integridad
Disponibilidad
Información Alto
Alto
Medio
Información Alto
Alto
Alto
Información Medio
Medio
Medio
Aplicación
Alto
Alto
Alto
Códigos fuente Aplicación
Medio
Medio
Medio
Aplicación
Medio
Medio
Medio
A6
Sistema Operativo
A7
Herramienta Ofimática
Aplicación
Alto
Alto
Alto
A8
Equipos de Cómputo.
Hardware
Alto
Medio
Alto
Servidor
Hardware
Alto
Alto
Alto
Equipos de Hardware Comunicación.
Alto
Alto
Alto
Alto
Alto
Medio
Otros archivos. A2 A3
Información física. “Manuales y contratos”
Aplicativos A4 A5
A9 A10 A11
Unidades Hardware de almacenamient o. ”Back up”
7 NFS (Repositorio A12
A13
A14 A15 A16
A17
A18
de archivos en red).
Servicio TI
Alto
Alto
Alto
Servicio TI
Alto
Medio
Alto
ISP (Acceso a Servicio TI Internet).
Alto
Alto
Alto
Alto
Alto
Medio
Servicio TI
Alto
Alto
Medio
Servicio TI
Medio
Medio
Medio
Medio
Medio
Medio
Infraestructura TI (Cableado Estructurado e Intranet).
Correo Electrónico Directorio Activo DNS (resolución de nombres de dominio)
Servicio TI
DHCP (Configuración Servicio TI automática de host).
A19
Personal que maneja la información.
Persona
Alto
N/A
Alto
A20
Personal de TI que administra la red.
Persona
Alto
N/A
Medio
Valoración de los activos
8
Esta valoración puede ser cuantitativa o cualitativa acorde a los criterios CID. Disponibilidad: Cual seria la importancia o el impacto si el activo no estuviera disponible.
Integridad: Cuál sería la importancia o el impacto si el activo fuera alterado sin autorización ni control.
Confidencialidad: Cual sería la importancia o el impacto si acceden a al activo de manera inadecuada.
Capítulo 3 Análisis y evaluación de Riesgos El objetivo del análisis de riesgos es determinar el alcance del daño producido sobre los activos de información en caso de llegarse a materializar una amenaza. Se evalúa el grado de repercusión que pueda presentar cada activo, dentro de las dimensiones de valoración analizadas anteriormente como son: Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad. Los activos con calificación baja, leve, media y moderada deberán ser re-evaluados para mejorar, cambiar o adaptar nuevos controles, los de calificación media, moderado, alta y catastrófico deberán ser objeto de atención urgente.
Tabla 6. Mapeo de riesgos para la organización Quipux
9
R11
R12
R13
R14
R15
R16
R17
Respuesta tardía ante incidentes de seguridad debido a la ausencia de una herramienta que monitoree el comportamiento de la red de datos. Visita a URL maliciosas debido a la ausencia de listas blancas de URL.
X
X
X
Tráfico no autorizado en la red y conexiones deshonestas debido a la ausencia de una herramienta que monitoree el comportamiento de la red de datos. Acceso no autorizado a la información sensible de la empresa por medio de una cuenta de usuario que carece de identificación. Ejecución de código malicioso proveniente de un correo electrónico por falta de validación de la fuente y desconocimiento del usuario. Afectación de la triada (Integridad, Confidencialidad y Disponibilidad) debido a ataques informáticos relacionados con malware.
X
X
X
X
X
X
X
X
X
Ejecución de código malicioso proveniente de un ataque interno debido a la falta o debilidad de hardening en puertos, protocolos y servicios.
X
X
R18
Denegación de servicios causado por un ataque informático a los servidores críticos de la organización.
X
X
R19
Acceso no autorizado a información sensible debido a un ataque informático (MITM) The man in the middle.
X
X
R20
Acceso no autorizado a la red ocasionado por un acceso inalámbrico que carece de factores de autenticación robustos.
X
X
10 R21
R22
R23
R24
R25
R26
R27
R28
R29
R30
Incidentes de seguridad de la información ocasionados por errores humanos de los funcionarios. Ejecución de código malicioso aprovechando un error humano. Repudio del origen de un incidente informático causado por la falta de delegación de responsabilidades y un manual que especifique que realizar si se materializa un incidente.
X
Pérdida o sustracción de las copias de seguridad o backups causado por un personal no autorizado a ingresar en las instalaciones.
X
X
X
X
Demora en el tratamiento y gestión de un incidente informático debido a la X falta de un equipo de respuesta ante este tipo de incidentes. Intrusión de algún personal ajeno o no autorizado a ingresar en una dependencia debido a la ausencia de mecanismos de autenticación físicos.
X
X
X
X
X
X
la ausencia de un programa de backup y gestión de copias de respaldo.
X
X
Cambios no autorizados en la configuración de dispositivos activos de la red debido a que se realiza la gestión X remota desde canales que carecen de encriptación robusta. Afectación de la triada (Integridad, Confidencialidad y Disponibilidad) debido a vulnerabilidades en los sistemas explotadas por un atacante. Acceso no autorizado a información sensible de la organización debido a vulnerabilidades en los navegadores y a configuraciones poco seguras.
X
X
X
X
X
11
R31
Denegación de servicios de la red debido a la ausencia de redundancia de los servidores críticos.
R32
Carencia para restaurar un sistema que debido a la ausencia de un programa backup y gestión de copias de respaldo.
R33
Afectación de la triada (Integridad, Confidencialidad y Disponibilidad) debido a vulnerabilidades en las redes de comunicaciones explotadas por un atacante.
X
X
X
X
X
X
La anterior tabla, muestra la organización de los riesgos tecnológicos que han sido identificados por medio del análisis del riesgo, su impacto sobre la infraestructura TI y las vulnerabilidad detectadas. Cada campo se define de la siguiente manera: • Riesgo / Valoración: Descripción formal del riesgo (Amenaza + Vulnerabilidad). • Frecuencia: Probabilidad que se materialice el riesgo, sus valores son (A) Alto (M) Medio (B) Bajo. • Impacto: magnitud sobre la infraestructura TI, sus valores son (L) Leve, (M) Moderado, (C) Catastrófico.
Tabla 7. Valoración de Riesgos según una matriz de color
12
Gráficamente se observa que los riesgos que deben ser tratados cuanto antes son los que están de color rojo y en la parte más alta de la tabla, en segundo lugar deben tratarse los riesgos de color amarillo y por último deben ser solucionados los riesgos de color verde, porque tienen un margen de espera mayor que los de color rojo o amarillo.
Identificación de Controles
Para la identificación de los controles de seguridad informática requeridos en Quipux el área TI se enfocó en una serie de beneficios para la organización, que abarcan desde la eficacia y eficiencia en las operaciones de la organización hasta la habilidad adquirida por el hecho de llevar a cabo más auditorías internas con el control que éstas suponen, lo que supondría una mejora en las estructuras de control interno de la organización. Tabla 16. Mapeo de controles de seguridad informática para Quipux
ASPECTO DE SEGURIDAD
COD R#
R1
R2
FAMILIA
Sistema
Red
DESCRIPCIÓN Cuando no se admite la autenticación de múltiples factores, se exigirá que las cuentas de usuario usen contraseñas largas en el sistema (más de 14 caracteres). Exigir a todos los accesos de inicio de sesión remoto (incluyendo VPN, dial-up, y otras formas de acceso que permiten a los sistemas internos iniciar sesión), utilizar la
13 autenticación de dos factores.
ACCESO Y AUTENTICACIÓ N
R3
R4
R5
R6
R7
Aplicación
Aplicación
Aplicación
Sistema
Sistema
Toda la información almacenada en los sistemas debe estar protegida con el sistema de archivos, recurso compartido de red, aplicación o listas de control de acceso en bases de datos específicas. Estos controles harán cumplir el principio de que sólo las personas autorizadas deben tener acceso a la información en función de su necesidad de acceder a la información como parte de sus responsabilidades. Requerir autenticación de múltiples factores para todas las cuentas de usuario que tienen acceso a datos o sistemas sensibles. Autenticación de múltiples factores puede lograrse mediante tarjetas inteligentes, certificados, One Time Password (OTP) fichas, y datos biométricos. Asegúrese de que todos los nombres de usuario de cuenta y las credenciales de autenticación se transmiten a través de redes utilizando canales encriptados. Reducir al mínimo los privilegios administrativos y sólo utilizar cuentas administrativas cuando sean requeridos. Implementar auditoría centrada en el uso de las funciones administrativas privilegiada y monitor para un comportamiento anómalo. Configurar los sistemas para emitir una entrada de registro y alertar cuando se añade una cuenta o se elimina de grupo de administradores de dominio, o cuando se añade una nueva cuenta de administrador local en un sistema.
14 GESTIÓN DE CUENTAS DE USUARIO
R8
R9
R10
Aplicación
Configurar que la pantalla se bloquee en los sistemas para limitar el acceso a las estaciones de trabajo sin vigilancia.
Aplicación
Utilizar y configurar los bloqueos de cuentas de tal manera que después de un número determinado de intentos de inicio de sesión fallido, la cuenta se bloquea por un período de tiempo estándar.
Sistema
Mantener un inventario de los activos de todos los sistemas conectados a los dispositivos de red propios de la red y, grabando al menos las direcciones de red, nombre de la máquina, el propósito de cada sistema, un propietario responsable de activos para cada dispositivo, y la sección asociada con cada dispositivo.
MONITOREO R11
Sistema
Desplegar un log de herramientas analíticas para la agregación de registro y consolidación de múltiples máquinas y para la correlación y análisis de registros. Con la herramienta SIEM, los administradores de sistemas y personal de seguridad deben diseñar perfiles de eventos comunes de los sistemas propuestos para que puedan sintonizar la detección de concentrarse en una actividad inusual, evitar falsos positivos, identificar más rápidamente anomalías y prevenir los analistas abrumadoras con alertas insignificante. Registrar todas las solicitudes de URL de cada uno de los sistemas de la organización, ya sea “in situ” o un dispositivo móvil, con el fin de
R12
Sistema
identificar actividades potencialmente maliciosas y ayudar a los administradores de incidentes con la identificación de sistemas en riesgo.
15
R13
R14
R15
Red
Aplicación
Sistema
Monitorear todo el tráfico que sale de la organización y detectar cualquier uso no autorizado de cifrado. Los atacantes a menudo usan un canal cifrado para los dispositivos de seguridad de red de derivación. Por lo tanto, es esencial que las organizaciones sean capaces de detectar conexiones deshonestas, terminar la conexión, y remediar el sistema infectado. Revisar todas las cuentas del sistema y desactivar una cuenta que no se puede asociar a un proceso de negocio y tampoco al propietario. Escanear y bloquear todos los archivos adjuntos de correo electrónico que entran en la puerta de enlace de correo electrónico de la organización, si contienen código o tipos de archivos maliciosos que son innecesarias para el negocio de la organización. Este análisis debe hacerse antes de que el correo electrónico se coloque en la bandeja de entrada del usuario. Esto incluye correo electrónico filtrado de contenidos y filtrado de contenido web. Emplear herramientas automatizadas para monitorear continuamente las estaciones de trabajo
SEGURIDAD DE LA RED
R16
R17
Sistema
Sistema
dispositivos móviles con anti-virus, antispyware, cortafuegos personales, y la funcionalidad IPS basado en host. Todos los eventos de detección de malware se deben enviar a herramientas de administración de antimalware de la organizacióny servidores de registro de eventos. Garantizar que sólo los puertos, protocolos y servicios con las necesidades del negocio validados se están ejecutando en cada sistema.
16
R18
R19
R20
R21
SEGREGACION DE DEBERES
R22
R23
Sistema
Aplicación
Red
Aplicación
Aplicación
Aplicación
Coloque los cortafuegos de aplicación frente a los servidores críticos para verificar y validar el tráfico que va al servidor. Cualquier servicio o el tráfico no autorizados deben ser bloqueados y se genera una alerta. Toda la comunicación de la información sensible a través de redes de menos confianza debe ser encriptado. Siempre que la información fluye a través de una red con un nivel de confianza inferior, la información debe ser encriptado. Asegúrese de que todo el tráfico inalámbrico aprovecha al menos cifrado Advanced Encryption Standard (AES) se utiliza con la protección Access 2 (WPA2) al menos protegido Wi-Fi. Impartir formación para llenar la brecha de habilidades. Si es posible, utilice el personal de mayor jerarquía para impartir la capacitación. Una segunda opción es tener maestros que proporcionan fuera de entrenamiento en el sitio por lo que los ejemplos utilizados serán directamente relevantes. Validar y mejorar los niveles de conciencia a través de pruebas periódicas para ver si los empleados que hagan clic en un enlace de correo electrónico sospechoso o proporcionen información sensible en el teléfono sin seguir los procedimientos apropiados para la autenticación de la persona que llama; formación específica se debe proporcionar a aquellos que son víctimas de este ejercicio. Velar por la existencia de procedimientos escritos de respuesta a incidentes que incluyen una definición de las funciones del personal de manejo de incidentes. Los procedimientos deben definir las fases del manejo de incidentes.
17
R24
R25
Aplicación
Sistema
Utilizar la autenticación de múltiples factores para todo el acceso administrativo, incluyendo el acceso administrativo de dominio. Autenticación de múltiples factores puede incluir una variedad de técnicas, para incluir el uso de tarjetas, certificados, One Time Password (OTP) fichas, datos biométricos, u otros métodos de autenticación similares inteligentes.
SEGURIDAD FISICA R26
R27
CONFIGURAR ESTACIONES DE TRABAJO Y
Asignar títulos y responsabilidades de trabajo para el manejo de incidentes informáticos y de red para individuos específicos.
R28
Sistema
Asegúrese de que las copias de seguridad están debidamente protegidos a través de la seguridad física o el cifrado cuando se almacenan, así como cuando se mueven a través de la red. Esto incluye copias de seguridad remotas y servicios en la nube.
Sistema
Siga estricta gestión de la configuración, la construcción de una imagen segura que se utiliza para construir los nuevos sistemas que se implementan en la empresa. Cualquier sistema existente que se convierte en peligro debe volver a crear la imagen con la versión segura. Las actualizaciones regulares o excepciones a esta imagen deben integrarse en los procesos de gestión del cambio de la organización. Las imágenes deben ser creadas para estaciones de trabajo, servidores y otros tipos de sistemas utilizados por la organización.
Sistema
Realizar toda la administración remota de servidores, estaciones de trabajo, dispositivos de red y equipos similares a través de canales seguros. Los protocolos como telnet, VNC, RDP, u otras personas que no soportan de forma activa el cifrado fuerte sólo deben usarse si se realizan sobre un canal de
18 SERVIDORES
encriptación secundaria, como SSL, TLS o IPSEC.
R29
R30
R31
R32
Sistema
Sistema
Sistema
Sistema
Implementar herramientas de gestión automática de parches y herramientas de actualización de software para el sistema operativo y software / aplicaciones en todos los sistemas para los que este tipo de herramientas están disponibles y segura. Los parches deben ser aplicados a todos los sistemas, incluso los sistemas que son una separación correcta de aire. Implementar dos configuraciones del navegador por separado a cada sistema. Una configuración debe deshabilitar el uso de todos los plugins, los lenguajes de script innecesarios, y generalmente se configura con funcionalidad limitada y ser utilizado para la navegación web en general. La otra configuración deberá permitir una mayor funcionalidad del navegador, pero sólo debe ser utilizado para acceder a sitios web específicos que requieren el uso de dicha funcionalidad. Operar los servicios críticos en las máquinas host físicos o lógicos separados, tales como DNS, archivos, correo, web y servidores de bases de datos. Asegúrese de que cada sistema copia automáticamente por lo menos una vez por semana, y con más frecuencia para sistemas de almacenamiento de información sensible. Para ayudar a asegurar la capacidad de restaurar rápidamente un sistema de copia de seguridad, el sistema operativo, software de
19 aplicaciones y datos en un equipo debe ser cada uno se incluirán en el procedimiento de copia de seguridad en general.
R33
Aplicación
Para todo el software de aplicación adquirida, compruebe que la versión que está utilizando todavía es apoyada por el vendedor. Si no es así, actualizar a la versión más actual e instalar todos los parches de seguridad y las recomendaciones pertinentes vendedor.
La anterior tabla, muestra la clasificación de los controles de seguridad informática que han sido identificados por medio del análisis del riesgo, su impacto sobre la infraestructura TI y las vulnerabilidad detectadas. Cada campo se define de la siguiente manera: Aspecto de seguridad: Clasificación del control acorde con un aspecto de seguridad de la información en concreto. o Acceso y autenticación o Administración de cuentas de usuario o Seguridad de la red. o Monitoreo o Segregación de Deberes. o Seguridad Física. o Configuración de estaciones de trabajo y Servidores. •
Código R#: Identificación asociada a un riesgo en particular por medio de su Id. Familia: A la cual pertenece el control (Sistema – Aplicación – Red). Descripción: El listado de controles cuenta con la descripción de cada control en la tabla. Adicionalmente, es posible utilizarlo para la generación de la declaración de aplicabilidad, donde cada uno de los controles es justificado tanto si se implementa como si se excluye de ser implementado. • • •
Se seleccionaron los controles críticos para infraestructura TI que mitigan o reducen el impacto de un riesgo sobre la información sensible de la organización. Los controles seleccionados deben ser implementados paulatinamente sobre la red de datos de Quipux para la mejora de la empresa.
20 CONCLUSIONES
Se establece un análisis riguroso del riesgo, al que se encuentra expuesta la organización y se establece la implementación de controles de acuerdo a las necesidades de seguridad que presenta la organización y basados en cada dominio de control encontrado en la Norma ISO 27001 y sus medidas de control y de mejora continua.
21 REFERENCIAS BIBLIOGRÁFICAS
http://www.quipux.com/informacion-corporativa.html