Diagnostico Brechas a La Seguridad Informatica

ISO 27001 SGSI: Diagnóstico Brechas a la Seguridad Informática Entregale 1: !isión General "omre "omre #ro$ecto #ro$ecto:: %uditor&a %uditor &a ISO27000 ISO270 00 '(")* "omre "omre Es+onsor: Es+onsor: Dec Decalin alin,, -tda. -td a. /echa de 11 de /erero de 201 #resentación: "mero de !ersión: !ersión: 2

CNR

ISO 27001 SGSI Ga+ %nalisis  )esumen E3ecuti4o

CNR


(O"5E"IDOS 1. Versiones 2. Aprobaciones 3. Referencias, enlaces & dependencias 4. Detalles Básicos 5. Introduccin !. "b#eti$os %. nfo'ue del análisis Dia(nstico de brec)as a la se(uridad infor*ática +. Descubri*iento  Brec)as -la$es . Resu*en / reco*endaciones Ane0o A Resu*en Respuesta -uestionario Ane0o B Indicadores ropuestos ara -ontroles reas rioritarias Ane0o - Resultados Dia(nstico

5%B-%S 6abla 1  Dia(nstico Brec)as a la 7e(uridad Infor*ática 6abla 2  reas auditadas / su 8 de cu*pli*iento

/IG6)%S 9i(ura 1  7:7I Dia(nstico Brec)as a la 7e(uridad Infor*ática 9i(ura 2  :ráfico de cu*pli*iento de -ontroles 9i(ura 3  :ráfico de cu*pli*iento de Re'uisitos *;ni*os para un 7:7I 9i(ura 4  orcenta#e de 7i*ilitud respuestas a las áreas de controles 9i(ura 5  orcenta#e de 7i*ilitud respuestas a las áreas de re'uisitos *;*inos para un 7:7I 9i(ura !  rioridad -ontroles A 9i(ura %  rioridad Re'uisitos 9i(ura +  rioridad -ontroles B

CNR


1 !ersiones !ersión <.1

(amios $ comentarios Infor*e Versin 2.<

(amiado +or Da$id Ruete

/echa Incidente <4=<2=2<14

2 %+roaciones /echa

%+roado +or

<4=<1=2<14

>ulio ?a*as

)ol

/irma

:erente Decalin@

 )eferencias8 enlaces 9 de+endencias )ef A

5itulo del documento I7" 2%<<1 7:7I Alcance

!ersion

B

B7 I7"=I- 2%<<12<<5  7:7I Re'ueri*ientos

1st dicion

-

B7 I7"=I- 2%<<22<<5  -di(os de Buenas rácticas

2nd dicion

D

Ane0o A

/echa "ctubre del 2<<5 >unio del 2<<5

 Detalles Básicos /echa %uditoria:
>ulio ?a*as duardo A$endao steban De ?a 9uente Da$id Ruete -laudio Caror ro$oste, -R Análisis Auditor;a e infor*e I7"=I- 2%<<12<<5 ERef BF I7"=I- 2%<<22<<5 ERef -F

5ala 1  Diagnóstico Brechas a la Seguridad Informática detalles ásicos

; Introducción 5.1

l análisis preli*inar de brec)as a la se(uridad de la -R para un 7iste*a de :estin de 7e(uridad de la Infor*acin 7:7I I7"=I- 2%<<12<<5 se realiG entre el si(uiente per;odo del
5.2

n (eneral, la -R de*ostr un nH*ero positi$o de aspectos relacionados con el 7iste*a de :estin de 7e(uridad de la Infor*acin basado en I7"=I- 2%<<<. stos aspectos se inclu/en las si(uientes áreas *ostradas en la tabla 2.

CNR


> (6?#-I?IE"5O

<)E% DE/I"I(I=" (O"5)O-ES A5 A! A% A+ A A1< A11 A12 A13 A14 A15 R4 R5 R! R% R+

"?6I-A7 D 7:JRIDAD "R:AICA-IK D ?A 7:JRIDAD D ?A I9"RLA-IK :76IK D A-6IV"7 ?A 7:JRIDAD D ?"7 R-JR7"7 MJLA"7 ?A 7:JRIDAD 97I-A N ALBI6A? :76IK D -"LJI-A-IK N "RA-I"7 -"6R"? D A--7" ADOJI7I-IK D 7I76LA7 D I9"RLA-IK, D7ARR"??" N LA6ILI6" :76IK D I-ID67 D 7:JRIDAD D ?A I9"RLA-IK :76IK D ?A -"6IJIDAD D? :"-I" -"9"RLIDAD )E@6ISI5OS 7I76LA D :76IK D ?A 7:JRIDAD D ?A I9"RLA-IK R7"7ABI?IDAD D ?A DIR--IK AJDI6"RA I6RA RVI7IK "R ?A DIR--IK D 7I76LA D :76IK D ?A I9"RLA-IK L>"RA D? 7I76LA D :76IK D ?A 7:JRIDAD D ?A I9"RLA-IK

1<<,<8 <,8 !<,<8 ++,8 1<<,<8 %+,18 +4,<8 5!,38 1<<,<8 1<<,<8 +<,<8 +<,48 +,58 +3,38 4!,%8 1<<,<8

5ala 2  de cum+limiento. ?a tabla 2 *uestra las áreas (enerales in$olucradas en la auditor;a / su porcenta#e de cu*pli*iento con respecto a la nor*a I7"=I- 2%<<<. 6a*biPn se puede obser$ar la separacin entre los controles de la nor*a / lo re'uisitos *;ni*os de Psta para poder disear un 7:7I.

5.3

l *is*o )ec)o de 'ue el análisis fue encar(ado por la direccin de la or(aniGacin i*plica un ni$el básico de *adureG i$el básico de LadureG es a'uel 'ue puede ser alcanGado fácil*ente por la adopcin de unas pocas prácticas necesarias en el proceso por parte de la "r(aniGacin.

5.3.1 ?os *ie*bros de la or(aniGacin / la alta direccin, de Psta, )an participado acti$a*ente en la auditor;a, entre(ando infor*acin rele$ante al respecto. 5.3.2 Ade*ás, del >efe de la Jnidad de :estin Infor*ática, Don -laudio -a*blor, se )an considerado en la auditor;a otros *ie*bros 'ue traba#an directa*ente con Pl. l ob#eti$o de incluir a estas personas es introducir la instancia de co*paracin, con tal de tener un resultado *ás transparente en el proceso, pudiendo identificar posibles errores durante en proceso de pre(untas / respuestas.

CNR


5.4

ste reporte no pretende ser un dicta*en de se(uridad, sino 'ue un infor*e de brec)as a la se(uridad donde se debe poner Pnfasis en la correccin de estas para el diseo de un *e#or 7:7I.

A O3eti4os !.1

?os ob#eti$os del análisis de brec)as de se(uridad realiGado son tres

!.1.1 Deter*inar las brec)as a la se(uridad de la -R *ediante el uso de los cuestionarios su(eridos por I7"I- 2%<<<, en los cuales se especifican re'ueri*ientos para establecer, i*ple*entar, operar, *onitorear, re$isar, *antener / *e#orar un 7:7I. !.1.2 Analisar la infor*acin arro#ada en la auditor;a, prioriGando las brec)as respecto al plan estratP(ico del ne(ocio para identificar las principales brec)as a tratar. !.1.3 ro$eer un resu*en e#ecuti$o identificando los principales proble*as de se(uridad.

7 Enfoue del análisis Diagnóstico de rechas a la seguridad informática %.1

?a auditor;a consiste pri*era*ente en entre$istas con los principales *ie*bros de la e*presa, dentro del area en re$isin, en nuestro caso el área de :estin Infor*ática. l cuestionario utiliGado se deri$a de I7"=I- 2%<<1 EBF / la infor*acin de apo/o de I7"=I2%<<2 E-F.

%.2

?a captura / asi(nacin de $alores responde al si(uiente proceso

%.2.1 !alidación  el proceso de $alidacin fue diseado utiliGando los 133 re'ueri*ientos propuestos en I7"=I- 2%<<1 Ref EBF. ?os re'ueri*ientos del estándar son diseados para lo(rar los 3 ob#eti$os propuesto dentro de la 11 principales áreas de I7"=I- 2%<<<. Qstas áreas se listan a en la 6abla 2, en el apartado de los controles. Ade*ás, se inclu/eron los re'uisitos necesarios para poder disear un 7:7I 6abla 2 apartado Re'uisitos. ste proceso es realiGado no solo al encar(ado entre$istado del área en donde se realiGará la auditor;a, sino 'ue ta*biPn a otros *ie*bros para $alidar el cuestionario principal. 7e traba#ará con correlaciones para *edir el (rado de e0actitud de la infor*acin entre(ada por el entre$istado principal. %.2.2 %nálisis de Datos  con los datos arro#ados por la auditor;a se realiGará un análisis pre$io, donde la infor*acin de salida serán las brec)as (enerales de las áreas tratadas. ?ue(o se pedirán prioridades de trata*iento para las áreas, con el fin de encontrar las brec)as prioritarias a ser tratadas. ncontrando el área *ás dPbil se profundiGará en el análisis )asta lle(ar a la brec)a de se(uridad particular 'ue no cu*ple con la nor*a / debe ser tratada.

CNR


 Descurimiento  Brechas (la4es ?os resultados 'ue se *uestran a continuacin se presentan a un ni$el (eneral / cubren las brec)as cla$es descubiertas durante la auditor;a. ?as brec)as cla$e son definidas co*o a'uellos aspectos de la auditor;a 'ue se clasifican co*o prioritarias / son por lo tanto las áreas 'ue necesitan atencin in*ediata. +.1

:eneral l dia(nstico se )a realiGado en $arias fases entre$istas a *ie*bros de la or(aniGacin del área auditada, re$isin de las respuestas, análisis de si*ilitud de las entre$istas, análisis (ráfico de las brec)as a la se(uridad entre$istado principal o responsable del área.

+.2

Resultados Análisis Brec)as de 7e(uridad -ontroles / Re'uisitos I7"=I- 2%<<<=2<<5 Controles

?os resultados del Análisis de Brec)as de 7e(uridad se )an realiGado sobre la docu*entacin entre(ada por la -R. ?a fi(ura 2 *uestra los resultados principales de cu*pli*iento en las áreas destinadas a cu*plir con las brec)as de se(uridad. ode*os notar 'ue los controles asociados al área auditada cu*plen con $arias áreas de los controles de I7"=I- 2%<<<=2<<5, siendo la *edia de cu*pli*iento del +28. ste resultado es *u/ bueno, / aun'ue es deseable 'ue los controles cu*plan a un 1<<8, )o/ la nue$a $ersin I7"=I- 2%<<<=2<13 es *ás fle0ible a los controles 'ue se deben cu*plir, dando la opcin a la or(aniGacin para ele(ir 'uP controles adoptar en su 7:7I, pues podrán ser ele(idos respecto a la *isin, $isin / plan estratP(ico de la or(aniGacin. Requisitos

?os resultados del Análisis de Re'uisitos *;ni*os para un 7:7I se )an realiGado sobre la base de entre$istas / re$isin de docu*entacin. ?a fi(ura 3 *uestra los resultados principales de cu*pli*iento en las áreas destinadas a cu*plir con los re'uisitos. 7e puede obser$ar 'ue en (eneral los re'uisitos se cu*plen con un pro*edio de %,+8, dentro de las cuales al(unas cu*plen con un 1<<8 / otros con $alores cercanos. 7in e*bar(o, de este dia(nstico se obser$a un resultado ne(ati$o 'ue es la falta de cu*pli*iento del área de Re$isin por parte de la direccin del 7:7IS, un área *u/ i*portante, pues es la 'ue $ela por el buen funciona*iento del 7:7I / entre(a todo su apo/o a Pste. sta )allaG(o su(iere 'ue la direccin podr;a no estar realiGando un se(ui*iento / control e0austi$o del 7:7I, sin e*bar(o, / para aclarar, esto no si(nifica 'ue la Direccin no estP co*pro*etida con el área en cuestin.

CNR


/igura 2  Gráfico de cum+limiento de (ontroles C%rria: ordenado +or (ontroles %a3o: Ordenados de ?a$or a ?enor +or > de (um+limiento

CNR


/igura   Gráfico de cum+limiento de )euisitos m&nimos +ara un SGSI C%rria: ordenado +or )euisitos %a3o: Ordenados de ?a$or a ?enor +or > de (um+limiento

+.3

Resultados 7i*ilitud ara encontrar el porcenta#e de si*ilitud, se realiGaron di$ersas entre$istas. ?a idea principal de esta fase es encontrar las coincidencias en las respuestas de los entre$istados para $alidar los resultados del punto +.2. n la fi(ura 4 se pueden obser$ar los resultados de la si*ilitud para los controles de I7I=I- 2%<<<=2<<5. 7e pudo obser$ar 'ue el porcenta#e de si*ilitud *edio de las áreas, en los controles, es del +58, un $alor 'ue aun'ue pareGca raGonable dista *uc)o de serlo. l error porcentual del 158 solo indica 'ue los entre$istados no conocen de los procesos asociados al 7:7I e0istente, o 'ue al(unas respuestas fueron condicionadas. ?o *is*o se puede obser$ar en la fi(ura 4, donde se *uestra el porcenta#e de si*ilitud de las respuestas por área, en los re'uisitos *;ni*os para un 7:7I. l porcenta#e de si*ilitud *edio es de !!8, clara*ente *u/ ba#o. rrores aceptables se establecen en los ran(o de <,1 a 58. rrores superiores indican 'ue debe realiGarse nue$a*ente las entre$istas para corre(ir el infor*e / el análisis de brec)as. ?o indicado en el párrafo anterior /a se realiG / se )an clarificado las pre(untas del cuestionario 'ue ten;an ba#a si*ilitud. 7e en$i a -laudio -a*blor una peticin con la e$idencia de sus respuestas, para poder $alidar las entre$istas. ?ue(o se realiG una

CNR


se(unda entre$ista pudiPndose $erificar 'ue las respuestas son las correctas / en este punto cabe *encionar la sie*pre positi$a disposicin de -laudio -a*blor.

/igura   #orcenta3e de Similitud res+uestas a las áreas de controles

/igura ;  #orcenta3e de Similitud res+uestas a las áreas de reuisitos m&minos +ara un SGSI

+.4

reas de prioridad ?as areas de prioridad son definidas por el cliente principal en pre$ia entre$istas con el encuestador, / se realiGa esta tarea para los controles del 7:7I. ero para este dia(nstico incluire*os este proceso para los re'uiri*ientos del 7:7I. l resultado de esta entre$ista se puede $er en la fi(ura ! / %. n la fi(ura ! / % se pueden obser$ar las áreas 'ue deben tratarse se(Hn la prioridad respecto al ne(ocio de la or(aniGacin. ?a infor*acin de los (ráficos entre(a el orden de trata*iento de las áreas. 9inal*ente, el cliente principal debe decidir 'uP controles serán i*ple*entados, definiPndolos con la si(uiente clasificacin

CNR


5ratados: la or(aniGacin deberá tratar los )allaG(os / se )ará car(o de su control / se(ui*iento. 5erceriFados: la or(aniGacin decide 'ue controles serán responsabilidad de terceras partes. %do+tados: la or(aniGacin no se )ará car(o del control pues no afecta la continuidad del ne(ocio. ara los controles se descubre 'ue las áreas A1<, A11 / A12 deben ser tratadas lo antes posible. n la fi(ura +, se puede obser$ar *e#or este )ec)o. ?a fi(ura + es una $ariacin *ate*ática de las fi(ura !, 'ue tienen solo el fin de *ostrar (ráfica*ente, / de *e#or for*a, las áreas de prioridad.

/igura A  #rioridad (ontroles %

/igura 7  #rioridad )euisitos

CNR


Controles 1.00 0.80 0.60 0.40 0.20 (0.20)

A5

A6

A7

A8

A9

A10 A11 A12 A13 A14 A15

(0.40) (0.60) (0.80) (1.00)

/igura   #rioridad (ontroles B

 (ontroles de seguridad ue afectan directamente al sistema -e$ 1.;0 n ane0o D se detallan todos los controles de se(uridad con obser$aciones / 'ue afectan en for*a directa en la (estin de se(uridad para el siste*a ?e/1+.45<. Al respecto estos controles están clasificados en tres (rupos   

-ontroles i*ple*entados pero no docu*entados LD -ontroles no i*ple*entados ni docu*entados  -ontroles 'ue deben ser rediseados para cu*plir con la nor*aRD

10 )esumen $ recomendaciones n (eneral, se obser$a 'ue el cu*pli*iento de la nor*a es el esperado respecto del foco de análisis puesto en la Jnidad de :estin Infor*ática / considerando los proble*as e$idenciados por los cuales se realiG esta auditor;a de se(uridad. 7e debe traba#ar en un enfo'ue orientado a constituir / poner en *arc)a el 7:7I institucional. ?a or(aniGacin *uestra 3 áreas -ontroles donde se debe traba#ar de in*ediato A1< :estin de -o*unicacin / "peraciones, A11 -ontrol de Acceso / A12 Ad'uisicin de 7iste*as de Infor*acin, Desarrollo / Lanteni*iento. De este análisis se disearon 32 indicadores para A1<, 25 indicadores para A11 / 1! indicadores para A12, todos con su respecti$a periodicidad / criterio de P0ito. -on estos indicadores se deberá lle$ar el control / se(ui*iento del 7:7I *e#orado. s i*portante 'ue toda esta infor*acin sea (estionada a tra$Ps de las estructuras co*o el -o*itP de 7e(uridad de la Infor*acin / 'ue peridica*ente sea infor*ada a la Direccin para fortalecer los Re'uisitos *;ni*os para un 7:7I. s i*portante *encionar, 'ue aun'ue se realiG el dia(nstico con I7"2%<<<2<<5, $ersin de la nor*a *u/ r;(ida, la nue$a re$isin de la nor*a I7I=I- 2%<<<=2<13 Hlti*a $ersin al cual inclu/e

CNR


el *is*o cuestionario, per*ite ele(ir los controles / re'uisitos 'ue son necesarios o 'ue se a#ustan a la or(aniGacin audita, para postular a la certificacin. . 7e reco*ienda docu*entar procesos faltantes e i*ple*entar los indicadores con sus respecti$as periodicidades / criterios de P0ito Ane0o B. 7e reco*ienda re$isar / nor*aliGar los controles con obser$aciones 'ue indica el ane0o D /a 'ue tienen i*pacto directo en la (estin de se(uridad re'uerida por el siste*a ?e/ 1+.45<. 7e reco*ienda disear un Das)Board para la $isualiGacin de los indicadores, su control / se(ui*iento.

You're Reading a Preview Unlock full access with a free trial.

Download With Free Trial

CNR


%neHo %  )esumen )es+uesta (uestionario #rinci+al

Normas ISO 27001:2005 Implementación - Estado de Clasifcación en número  porcenta!e Controles documentados e m!lementados

Controles m!lementados de"en ser documentados 1%; 1% 6%; 5% 6%; 5% 7%; 7% Controles m!lementados no cum!len con las normas# tene $ue redsear 81%; 81% Control no m!lementado & documentado

Controles no a!lcados

/igura 1  SGSI Diagnóstico Brechas a la Seguridad Informática

CNR


Ane0o B  Indicadores ropuestos ara -ontroles reas rioritarias

CNR


Ane0o -  Resu*en Dia(nstico

Diagnostico Brechas a La Seguridad Informatica

Recommend Documents