Post on 06-Jul-2018
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
1/25
UNIVERSIDAD TÉCNICA DE MACHALA UNIDAD ACADÉMICA DE INGENIERÍA CIVIL CARRERA DE INGENIERÍA DE SISTEMAS
DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS
UTILIZANDO LA METODOLOGÍA NIST SP 800-30
TRABAJO PROBATORIO DEL COMPONENTE PRÁCTICO DEL EXÁMEN DEGRADO DE CARÁCTER COMPLEXIVO PARA OPTAR POR EL TÍTULO DE
INGENIERA DE SISTEMAS
AUTORA IRMA YESABETH CUEVA BELTRÁN
070490336-8
MACHALA, OCTUBRE DE 2015
CARATULA
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
2/25
II
DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOSUTILIZANDO LA METODOLOGÍA NIST SP 800-30
AUTORÍA:
Yo, Cueva Beltrán Irma Yesabeth, como autora del presente trabajo probatorio delcomponente práctico del Examen de Grado de Carácter Complexivo, soy responsablede las ideas, conceptos, procedimientos y resultados vertidos en el mismo.
f………………………………. Cueva Beltrán Irma Yesabeth
C.I.: 070490336-8 Correo electrónico: yesabeth_cueva@hotmail.com
FRONTISPICIO
MACHALA, OCTUBRE DE 2015
mailto:yesabeth_cueva@hotmail.commailto:yesabeth_cueva@hotmail.commailto:yesabeth_cueva@hotmail.commailto:yesabeth_cueva@hotmail.com
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
3/25
III
DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOSUTILIZANDO LA METODOLOGÍA NIST SP 800-30
.
Autora: Cueva Beltrán Irma Yesabeth
RESUMEN
La importancia de una buena gestión de Tecnologías de la Informacion es relevante enactualidad más aun en las instituciones educativas, el presente informe permite realizarun análisis de los riesgos tecnológicos a los que estarían expuestos el departamentode sistemas del Colegio e Instituto Tecnológico Superior “José Miguel Capelo” y la
institución en general, a través de la elaboración del plan de riesgos se lograrácuantificar y comparar los requerimientos de seguridad de la informacion y en base alas diferencias encontradas definir los controles y adiciones necesarios para cumplirestos requerimientos, para el desarrollado de este proyecto se ha definido unametodología que guiará y alineará la caracterización, identificación y análisis de losriesgos; la metodología definida es la NIST SP 800-30, desarrollada por el NationalInstitute of Standards and Technology, misma que tiene entre sus principales objetivosel aseguramiento de los sistemas de información que almacenan, procesan y trasmiteninformación. La gestión de riesgos es considerada como un proceso el cual incluye elanálisis y la priorización de riesgos, con el objetivo de tener una visión de todos losriesgos y amenazas a los que estaría expuesto el departamento de sistemas de la
institución, además se determinara que riesgos pueden ser o no gestionados. Elpropósito de este análisis es determinar si existe un entorno que brinde seguridad yconfiabilidad para los equipos de la institución, así como también proyectar planes demitigación de riesgos con el cual se podrá transformar entornos informáticos que noson seguros en protegidos. Se deberá analizar exhaustivamente cada una lassituaciones en donde podrían ocurrir estos eventos para así lograr desarrollar un buenplan del tratamiento de los riesgos el cual pueda alcanzar a controlar y porque no evitarque se susciten hechos que afecten a la institución.
Palabras Claves: Riesgo, Metodologías de Análisis de Riesgos, NIST SP 800-30,Vulnerabilidades, Seguridad.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
4/25
IV
DESIGN OF A PLAN FOR THE TREATMENT OF RISKS TECHNOLOGY USING THEMETHODOLOGY NIST SP 800-30
Author: Cueva Beltrán Irma Yesabeth
ABSTRACT
The importance of good management of information technology is even more relevanttoday in educational institutions, this report allows an analysis of the technological risksto be exposed to the IT department of the College and Institute Technological Superior"Jose Miguel Capelo "and the institution in general, through the development of the riskplan will be achieved quantify and compare the security requirements of information andbased on the differences and additions define the controls needed to meet these
requirements for the developed this project has defined a methodology to guide andalign the characterization, identification and analysis of risks; the methodology definedis the NIST SP 800-30, developed by the National Institute of Standards andTechnology, it has among its main objectives the securing of information systems thatstore, process and transmit information. Risk management is considered as a processwhich includes the analysis and prioritization of risks, in order to have a vision of allrisks and threats that they would be exposed systems department of the institution, andit is determined that Risks can be managed or not. The purpose of this analysis is todetermine if there is an environment that provides safety and reliability for theequipment of the institution as well as to project risk mitigation plans with which you cantransform computing environments that are unsafe in protected. It should thoroughlyanalyze each situation in which these events could occur in order to achieve a goodplan to develop risk treatment which can achieve control and why not prevent eventsaffecting the institution may arise.
Keywords:Risk, Risk Analysis Methodologies, NIST SP 800-30, Vulnerabilities,Security.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
5/25
V
ÍNDICE DE CONTENIDOS
CARÁTULA ..................................................................................................................... I
FRONTISPICIO .............................................................................................................. II
RESUMEN .................................................................................................................... III
ABSTRACT .................................................................................................................. IV
1. INTRODUCCIÓN ..................................................................................................... 1
1.1. Marco Contextual .............................................................................................. 2
1.2. Problema ........................................................................................................... 2
1.3. Objetivo General ............................................................................................... 3
2. DESARROLLO ........................................................................................................ 3
2.1. Marco Teórico ................................................................................................... 3
2.1.1. Riesgo ........................................................................................................... 3
2.1.2. Gestión de Riesgo ......................................................................................... 3
2.1.3. Metodología de Gestión de Riesgo ................................................................ 3
2.1.4. Metodología NIST SP 800-30 ........................................................................ 4
2.2. Marco Metodológico .......................................................................................... 4
2.3. Resultados ........................................................................................................ 8
3. CONCLUSIONES .................................................................................................. 10
4. REFERENCIAS BIBLIOGRÁFICAS ....................................................................... 11
5. ANEXOS................................................................................................................ 12
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
6/25
VI
ÍNDICE DE TABLAS
Tabla 1. Fases de las metodologías para el análisis de riesgos ..................................... 3
Tabla 2. Documentos solicitados para revisión .............................................................. 5
Tabla 3. Resumen de infraestructura ............................................................................. 5Tabla 4. Identificación de amenazas humanas ............................................................... 5
Tabla 5. Identificación de amenazas técnicas ................................................................ 6
Tabla 6. Identificación de vulnerabilidades ..................................................................... 6
Tabla 7. Identificación y verificación de controles existentes. ......................................... 7
Tabla 8. Determinación de Probabilidades ..................................................................... 7
Tabla 9. Controles recomendados, con relación al análisis de riesgos. .......................... 8
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
7/25
VII
ÍNDICE DE FIGURAS
Figura 1. Áreas del departamento de sistemas ............................................................ 12
Figura 2. Diseño lógico de la red .................................................................................. 13
Figura 3. Aspectos a considerar para el tratamiento de los riesgos .............................. 14Figura 4. Aspectos a considerar para el tratamiento de los riesgos. ............................. 15
Figura 5. Solución de control sugerido sobre la autentificación de usuarios. ................ 16
Figura 6. Solución de control sugerido sobre uso de red. ............................................. 17
Figura 7. Solución de control sugerido sobre respaldos de información. ...................... 18
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
8/25
1. INTRODUCCIÓN
En la actualidad las tecnologías de la información y comunicación mejor denominadascomo TIC’s ocupan un gran espacio en todos los aspectos sociales y mayor aún en los
niveles del mundo educativo, en donde han producido fuertes impactos, es necesariodestacar que la mayoría de actividades que son ejecutadas por el ser humano sonasistidas por computadoras o en algunos de los casos reemplazados por ellas debido aeste motivo hacen apreciar su innegable influencia en nuestro medio. El concepto deTIC “tiene sus orígenes en las llamadas Tecnologías de la Información, mismo quesurge como convergencia tecnológica de la electrónica, el software y lasinfraestructuras de telecomunicaciones”, este concepto apareció en los años 70 el cualse refería a las tecnologías para el procesamiento de la informacion; dicho proceso serealizaba solo en entornos locales por lo que la comunicación era una función pocovalorada(1), ya en la actualidad las TIC’s han proporcionado grandes cambios que seconvierten en nuevas formas de impartir conocimientos.
“Las TIC´s establecen que el proceso de enseñanza-aprendizaje se obtiene por unaparte, de la interacción del estudiante y el profesor, la libertad en la gestión del tiempode aprendizaje, el uso del computador de manera individual o grupal, la economía entodos los casos (geografía, dinero y tiempo); y por otra de los recientes lineamientos yreglamentaciones para la introducción de Internet en la educación” (2) es necesariocitar que “El acceso a los datos a través de redes informáticas ha transfigurado nuestraexperiencia del mundo y el valor del conocimiento personal de cada individuo. Saberempieza a tener menos relevancia que ser capaz de descubrir, investigar y analizar” (3)
Con la prominente evolución de las tecnologías de información también aumenta los
casos de incidentes relacionados con la seguridad de los sistemas de la informaciónque comprometen los equipos de cómputo de una organización o institución, lasamenazas informáticas siempre han existido, la diferencia es que ahora son másrápidas y más difíciles de detectar, es por ello que en toda institución deben estar alertay saber implementar sistemas de seguridad mismo que se basan en el análisis deriesgos para evitar o minimizar las consecuencias no deseadas en la institución.
Es importante enfatizar que antes que se implemente cualquier sistema de seguridad,debemos hacer análisis exhaustivo del entorno, detallando así el software, hardwareque posee la institución, inclusive el personal responsable de cada uno de los equiposcon el fin de garantizar la elaboración de un buen plan para el tratamiento de riesgos
tecnológicos.
Actualmente solo los proyectos que manejan una duración temporal de un año máximopueden suponerse que el entorno tecnológico donde se desarrollan es estable yconocido, de lo contrario es necesario destacar que la tecnología siempre va a variarsustancialmente durante el desarrollo de un proyecto. Todas estas acciones que sonrelacionadas con la tecnología de una organización deberán planificarse a lo largo deltiempo, tomando así la forma de un plan de riesgos tecnológicos, este implicará laidentificación y seguimiento de las actividades de la institución educativa así tambiéncomo el seguimiento del recurso humano y material, esta planificación siempre serealizará haciendo supuestos de las actividades que podrían suscitarse en casos en
donde no existen ciertas reglas o controles para estas situaciones inesperadas.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
9/25
2
Estas situaciones que se suscitan de manera inadvertida son conocidas como riesgos,este se constituye como una falta de conocimiento sobre futuros acontecimientos y sepueden definir como “Posibilidad de que existan consecuencias indeseables oinconvenientes de un acontecimiento relacionado con el acceso o uso de la tecnologíay cuya aparición no se puede determinar a priori.” (4).
Es trascendental indicar que no todos los riesgos tienen la misma importancia, por elloexiste la caracterización del mismo, en donde se evaluará el impacto y la mayorocurrencia en los que se puedan suscitar. Este proceso se lo puede llevar a caboutilizando mapas bidimensionales de impactos y probabilidades, estos permiten la tomade decisiones en relación a los riesgos en los que se debe tomar mayor precaución.
Para el diseño de un plan para el tratamiento de riesgos de tecnologías de informaciónes indispensable trabajar con una metodología la cual presentará sus lineamientos endonde enfrascaremos nuestra planificación. “Entre las metodologías más idóneas parael desarrollo de estas planificaciones se encuentran: CMMI, SPICE, PMBOK, COBIT yla NIST SP 800-30, la cuál es considerada entre una de las mejores debido a respuesta
inmediata a los impactos sobre los objetivos del proyecto, fue desarrollada por el NIST,y debemos destacar que esta compuesta de 9 pasos básicos para el análisis de riesgosentre los que tenemos: caracterización, del sistema, identificación de amenaza,identificación de vulnerabilidades, control de análisis, determinación de la probabilidad,análisis de impacto, determinación del riesgo, recomendaciones de control y resultadode la implementación o documentación”(4)
1.1. Marco Contextual
El desarrollo del plan para el tratamiento de riesgos de tecnologías de información seráorientado al departamento de sistemas del Colegio e Instituto Tecnológico Superior
“José Miguel Capelo” ubicado en el cantón Machala, provincia de El Oro, actualmenteel Departamento de Sistemas cuenta con cuatro áreas que son: Gestión deTecnologías de Información, Soporte a usuarios, Administración de red yMantenimiento de hardware y software, entre las principales razones que se tomaronen cuenta para elaborar un plan para el tratamiento de riesgos de tecnologías esdebido a sus antecedentes de los cuales se puede destacar que principalmente noexisten inventarios de hardware y software, existen falencias con el acceso al serviciode internet debido a su lentitud, teniendo inconvenientes de internet en donde se tieneninterrupciones de hasta 3 horas por día, además la única política de seguridad de lainformación que poseen es copia de una política de seguridad de otra institucióneducativa, y este proceso fue realizado solo con el fin de cumplir con un requisito del
Ministerio de Educación ya que se les solicitaba para habilitarles el acceso a laaplicación de gestión académica, además esta política solo incluye aspectos generalesde seguridad para uso de software, resultado de ello no poseen políticas internas quepermitan manejar, controlar o disminuir el impacto de eventos que lleguen a suscitarsey afectar los equipos de hardware del departamento de sistema y la institución engeneral.
1.2. Problema
¿El tratamiento de riesgos tecnológicos mediante la implementación de la metodología
NIST SP 800-30, garantizará la seguridad de la información en el Colegio e InstitutoTecnológico Superior “José Miguel Capelo”?
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
10/25
3
1.3. Objetivo General
Diseñar un plan para el tratamiento de riesgos tecnológicos para el departamentode sistemas del Colegio e Instituto Tecnológico Superior “José Miguel Capelo” ubicado en la ciudad de Machala utilizando la metodología NIST SP 800-30, parapoder garantizar la seguridad de la información.
2. DESARROLLO
2.1. Marco Teórico
2.1.1. Riesgo
“Es la probabilidad de que una amenaza se convierta en un desastre. Lasvulnerabilidades o las amenazas por separado no representan factores de peligro,pero si estas se acopian se convierten en un riesgo.” (5)
2.1.2. Gestión de Riesgo
“La Gestión de Riesgos consiste en un proceso cíclico que se inicia a partir de unconjunto de información recogida de diversas fuentes (requisitos, personas,procesos de desarrollo, presupuestos, expectativas…). Toda esta informaciónproporciona una lista de riesgos a tener en cuenta. El proceso de Gestión deRiesgos los analiza, prioriza y plantea planes de respuesta, dando como resultadoel conjunto de riesgos priorizados, los planes de respuesta a dichos riesgos y unconjunto de indicadores que se utilizarán para medir el éxito del proceso, y en su
caso, mejorarlo” (6)
Por su parte el autor Galaway (2004) define la Gestión de riesgos de un proyectocomo “el arte y la ciencia de identificar, analizar, y responder a los riesgos a lo largode la vida de un proyecto, con el propósito de lograr los objetivos del proyecto”.
2.1.3. Metodologías de gestión de riesgos
Existen metodologías que permiten hacer un uso adecuado del análisis de riesgos yasí asegurar los sistemas de información de las organizaciones. Entre lasprincipales tenemos: OCTAVE, MEHARI, MAGERIT,CRAMM, EBIOS, NIST SP800-30. En la tabla 1 se hace referencia a las fases que componen cada una de lasmetodologías mencionadas anteriormente.
Tabla 1. Fases de las metodologías para el análisis de riesgos
FASES
METODOLOGÍAS
1 1A 1B 2 3 4 5 6
Caracterización del sistema X X X X X X X X
Identificación de amenazas X X X X X X X
Identificación de vulnerabilidades X X X X Análisis de controles X X X X X X X
Determinación de la probabilidad X
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
11/25
4
Tabla 1. Continua
Análisis de impacto X
Determinación del riesgo X X X X X X X
Recomendaciones de control X X X X X X X
Documentación de resultados X X X
Establecimiento de parámetros X XNecesidades de Seguridad X X XFuente: Ana Abril, 2013 (7)
(1) OCTAVE, (1A) OCTAVE 1, (1B) OCTAVE ALLEGRO, (2) MEHARI, (3)MAGERIT, (4) CRAMM, (5) EBIOS, (6) NIST SP 800 – 30.
2.1.4. Metodología NIST SP 800-30
Es un estándar desarrollado por el Instituto Nacional de Estándares y Tecnología(NIST), fue formulado para la evaluación de riesgos de seguridad de la información
especialmente a los sistemas de TI (Tecnología de la Información), proporciona unguía para la seguridad de las infraestructuras de la misma desde una perspectivatécnica. Por otro lado, esta guía provee fundamentos para la administración deriesgos así como la evaluación y mitigación de los riesgos identificados dentro delsistema de TI con el objetivo de apoyar a las organizaciones con todo lo relacionadoa Tecnología (8). La metodología NIST SP 800-30 está compuesta por nueve fases:
1. Caracterización del sistema: La cual permite establecer el alcance y los límitesoperacionales de la evaluación de riesgos en la empresa.
2. Identificación de amenazas: Es donde se definen las fuentes de motivación delas mismas.
3. Identificación de vulnerabilidades: En esta fase desarrolla una lista de defectos odebilidades del sistema que podrían ser explotadas por una amenaza.
4. Análisis de controles: Lista de controles actuales.5. Determinación de probabilidades: Ayuda a evaluar el rango de probabilidad de
que una vulnerabilidad se convierta en amenaza.6. Análisis del impacto: Analizarán el impacto que pueden repercutir los riesgos.7. Determinación del riesgo: Ayuda a evaluar el riesgo en el sistema de
información.8. Recomendaciones de control: En donde se proporcionan los controles que
podrían mitigar el riesgo identificado disminuyéndolo hasta un nivel aceptable.
9. Finalmente está la documentación de resultados la cual genera un informe conla descripción de amenazas y vulnerabilidades, midiendo el riesgo y generandorecomendaciones para la implementación de controles.
2.2. Marco Metodológico
El análisis de riesgo se centra en los equipos de cómputo que se encuentran en eldepartamento de sistemas de la Institución Educativa, ya que los controles que seimplementarán para la gestión de los riesgos tecnológicos serán administrados por elresponsable encargado del área de Gestión de Tecnologías de Información, según lametodología NIST SP 800-30 la primera etapa que deberá abarcar el plan de riesgos
es la caracterización del sistema, para ello se ha solicitado la siguiente lista dedocumentos, políticas y guías de configuración, lo cual corresponde a ladocumentación técnica de la institución educativa.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
12/25
5
Tabla 2. Documentos solicitados para revisión
Documento Encontrado ParcialmenteNo
encontradoInventario de hardware, software XDiagrama de red e Inventario dela asignación de direcciones IP
X
Relación de responsables deactivos (Hardware)
X
Respaldo de la configuración deequipos activos
X
Análisis de riesgo XPolíticas de instalación paraequipos portátiles, servidores yestaciones de trabajo
X
Políticas de uso de red XPolítica de respaldo XPolíticas de monitoreo XInforme de seguridad de TI XPolíticas de confidencialidad X
Tabla 3. Resumen de infraestructura Activos Informáticos Tipo Cantidad
Equipos Windows 7 Servicio 90Equipos Windows 7 Professional Servicio 2Impresoras Matriciales Servicio 5Impresoras de Inyección a tinta Servicio 3Router Comunicación 1
Switch Comunicación 7Conexiones a internet Servicio Externo 1 Antivirus Servicio interno y externo 1
Continuando con la estructura de la metodología NIST SP 800-30 identificaremos lasposibles amenazas tecnológicas con las que se pueden enfrentar la InstituciónEducativa.
Tabla 4. Identificación de amenazas Humanas Fuente deAmenaza
Acciones de la amenaza
Pérdida delpersonal
Suspensión y desorganización del soporte y de las tareasque se encuentran a su cargo.
Hackers, cracker Ingeniería social. Accesos no autorizados al sistema.
Usuarios finales ypersonal docente oadministrativo no
capacitado
Pérdida de confidencialidad e integridad de los datos. Negligencia en manejo de equipos, cables y datos. Fallas del sistema. Ataques de código malicioso.
Administraciónincorrecta del
sistema
Fallas en el sistema. Accesos no autorizados. Deficiente confidencialidad e integridad de los datos.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
13/25
6
Tabla 5. Identificación de amenazas técnicas
Fuente de Amenaza Acciones de la amenaza
Falta de políticas deseguridad
Pérdida de confidencialidad de la información. Pérdida de integridad de la información.
Falta control del usorecursos
Abuso de los recursos y/o sistemas. Mala utilización de los equipos de hardware y software.
Políticas para elsistema de red
Conexiones no autorizadas a la red. Abuso de equipos con conectividad a la red de la institución.
Ausencia de licenciasde software
Sanciones legales por uso inadecuado del software.
Fallas del proveedorde Internet
Interrupción del sistema de gestión con el que cuenta la institución.
Se debe continuar identificando las vulnerabilidades a la que está expuesta la
institución debido a la inexistencia del plan del tratamiento de riesgos tecnológicos lascuales son:
Tabla 6. Identificación de vulnerabilidades
Amenaza Vulnerabilidad
Usuarios Internos: Usuarios sin
capacitación Usuarios
negligentes
Uso de protocolos de comunicación inseguros.Inexistencia de planes de capacitación a los responsables deequipo.Falta de mantenimiento en cableado eléctrico.Inexistencia de controles de integridad en equipos activos.Inexistencia de políticas de uso de software.Inexistencia de cultura de seguridad en usuarios finales.Poca educación sobre temas de seguridad a usuarios finales.Firmas antivirus deficientes.Tiempo de vida útil de los equipos.Inexistencia de procedimientos de cambios en sistemas.Inexistencia de políticas de confidencialidad.
Usuarios Externos: Hackers Crackers Ex
Empleados
Actualizaciones de antivirus.
Control de acceso a la red Inalámbrica de la institución.Personal responsable ante un incidente de seguridad.
Control de asignación de direcciones IP a los equipos de lainstitución. Actualización en los sistemas operativos y aplicaciones.
Respaldos periódicos de la información.
Asignación estaciones de empleados de acuerdo a susfunciones.
Una vez que hemos analizado las amenazas humanas, técnicas y vulnerabilidadesdebemos hacer un análisis de los controles técnicos y no técnicos que existeninstitución.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
14/25
7
Tabla 7. Identificación y verificación de controles existentes.
CONTROLEXISTENCIA
SI NOPolíticas de autentificación de usuarios XMecanismo de encriptación XPolíticas para intrusión de software malicioso X
Políticas para el sistema de red XPolíticas de control de cambios X Ambiente seguro para equipos XPolíticas para contraseñas XPolíticas de hardening en estaciones de trabajo XPolíticas de monitoreo, implementación de herramientasde monitoreo
X
Políticas para responsables de equipos XPersonal que atienda un incidente de seguridad. X
Una vez que he analizado e identificado cada una de las posibles amenazas yvulnerabilidades se deberá determinar las probabilidades de que una vulnerabilidadpotencial se convierta en amenaza, a continuación se detallaran las vulnerabilidadescon su respectiva probabilidad.
Tabla 8. Determinación de Probabilidades
VulnerabilidadProbabilidad
deocurrencia
ImpactoPrincipio deseguridadafectado
Nivel deatención
del riesgoCableado de red expuesto Alta Medio Disponibilidad MedioUso de protocolos de
comunicación inseguros Media Alto Disponibilidad MedioInexistencia de planes decapacitación
Alta Medio Disponibilidad Medio
Falta de mantenimiento encableado eléctrico
Media Alto Disponibilidad Medio
Inexistencia de controles deintegridad en equipos activos
Alta Medio Disponibilidad Medio
Inexistencia de políticas de usode software
Medio Medio Disponibilidad Medio
Inexistencia de controles sobreel uso de procesador, memoria,
disco duro y ancho de banda
Medio Medio Disponibilidad Medio
Inexistencia de cultura deseguridad en usuarios finales
Bajo Alta Integridad Bajo
Fallas por parte del proveedorde servicios de internet
Alto Alto Disponibilidad Alto
Poca educación sobre temasde seguridad a usuarios finales
Bajo Medio Integridad Bajo
Firmas antivirus deficientes Media Medio Confidencialidad MedioTiempo de vida útil de losequipos
Media Medio Disponibilidad Medio
Inexistencia de procedimientosde cambios en sistemas
Alta Bajo Integridad Bajo
Inexistencia de políticas deconfidencialidad
Bajo Medio Confidencialidad Bajo
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
15/25
8
2.3. ResultadosUna vez que se ha analizado y evaluado, las amenazas, y el riesgos que tiene cadavulnerabilidad, como resultado de este análisis se ha elaborado un plan para eltratamiento de riesgos de tecnologías de informacion para el departamento de sistemasdel Colegio e Instituto Tecnológico Superior “José Miguel Capelo” ubicado en el cantónMachala.
A continuación se realizado el listado de las vulnerabilidades detectadas, en relación alriesgo, a las mismas que se sugiere uno o varios controles los cuales permitirán reducirla posibilidad de ocurrencia de estos riesgos.
Tabla 9. Controles recomendados, con relación al análisis de riesgos.
Vulnerabilidad Control sugeridoNivel de impacto de
riesgoRed inalámbrica abierta Hotspot
Cifrado de Red Alto
Falta de control en laadministración de IP
Inventario de gestión deredes.
Alto
Inexistencia de políticasde uso de red
Preparación de políticas deuso de red.
Alto
Falta de control de losdatos que se descarguena través de la red
Elaborar filtro de contenidos,Firewall. Alto
Inexistencia de respaldode la información.
Elaborar políticas derespaldo.
Alto
Inexistencia de reglas deautentificación deusuarios
Elaborar políticas decontraseña.
Concientización en temas de
seguridad.
Alto
Fallas por parte delproveedor de internet
Emitir comunicados a lasecretaria de rectoradoacerca de los problemas deinternet suscitados.
Alto
Abuso de las conexionesde red
Elaborar políticas de uso dered
Alto
Inexistencia de políticasde uso de hardware
Diseñar políticas dehardware
Alto
Uso de contraseñasdébiles
Elaborar políticas paracontraseñas,
Capacitación a usuariosfinales sobre temas deseguridad.
Alto
Uso de contraseñasrepetidas en distintosequipos de computo
Elaborar políticas decontraseña.Concientización en temasde seguridad.
Alto
No existe mantenimientode las instalacioneseléctricas.
Diseñar plan demantenimientos preventivospara las estaciones
eléctricas
Alto
Robo de información Elaborar políticas deconfidencialidad
Medio
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
16/25
9
Tabla 9. Controles recomendados, con relación al análisis de riesgos. Continuación
Inexistencia de controlessobre la utilización dememoria y disco duro.
Políticas hardening Medio
Inventario del tiempo de
vida útil que tienen losequipos.
Elaborar planes de
mantenimiento preventivo. Elaborar planes de periodos
de renovación de hardware.
Medio
Utilización de versionesde aplicaciones obsoletas
Elaborar planes deactualizaciones paraaplicaciones más utilizadasen la institución
Medio
Personal no capacitadoen temas de seguridad
Concientizar al personal derecibir capacitación del buenuso y manejo de las TIC’s
Medio
Falta de mantenimientopreventivo en equipos decómputo
Elaborar planes paramantenimiento preventivo decomputadoras
Medio
Cableado de red expuesto Cableado estructura MedioInexistencia de reglasvisitas de sitios web consoftware malicioso
Capacitación a usuariosfinales.
Gestor de contenidos.
Medio
Descarga de archivosejecutables de sitios webno seguros
Capacitación a usuariosfinales.
Gestor de contenidos.
Medio
Inexistencia de licencias
de antivirus Evaluación y adquisición de
licencias de antivirus
Medio
Daños de hardware poralzas y bajas eléctricas
Implementación de UPS Medio
Fugas y robo deinformación
Establecer políticas deconfidencial
Medio
Inexistencia de políticaspara mantener laintegridad de los equipos
Establecer políticas deintegridad para los equipos.
Medio
Utilización de software sinactualización
Diseñar planes deactualizaciones de software
para equipos de la institución
Medio
Daños en la configuraciónde los equipos por falta demantenimiento.
Elaboración de planes paramantenimiento preventivo
Bajo
Mal manejo y uso delhardware
Capacitación a todo elpersonal docente,administrativo y de serviciode la institución.
Bajo
Desastres naturalesdentro de la institución
Elaborar planes deprevención para desastresnaturales
Medio
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
17/25
10
3. CONCLUSIONES
El desarrollo del plan para el tratamiento de riesgos de tecnologías de informacióna través de la metodología NIST SP 800-30 presenta la oportunidad de entenderlos conceptos definidos en relación a la gestión de riesgos.
Debido a la constante evolución de la tecnologías de información tambiénevolucionan nuevas amenazas que son más difíciles de detectar y contrarrestarlas,estas amenazas pueden arremeter en contra de las organizaciones públicas yprivadas de tal modo que afectarán las actividades diarias y causarán pérdidasconsiderables, mediante la gestión de los riesgos tecnológicos podemos mitigar lasposibles amenazas a las que se encuentran expuestas estás organizaciones.
Se realizó el análisis y la evaluación de las vulnerabilidades y amenazas que sesuscitan en la institución educativa.
El objetivo de diseñar un plan para el tratamiento de riesgos de tecnologías escrear conciencia en el personal docente y administrativo sobre la seguridadinformática para poder prevenir riesgos y diseñar estrategias con el fin de asegurarla información y brindar un ambiente seguro para los equipos de hardware de laInstitución Educativa
El diseño de este plan controlará considerablemente la ocurrencia de incidentes.
El tratamiento de riesgos tecnológicos es un proceso continuo que se debe realizaral menos una vez al año.
Finalmente, es necesario enfatizar que independientemente el ámbito en que seencuentre una organización necesita tener una plan para el tratamiento de riesgos,en muchas organizaciones e instituciones tomar medidas preventivas suelen pasarpor desapercibidas pero aplicar este tipo de gestiones radicará formidablemente ladisminución de pérdidas y perjuicios.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
18/25
11
4. REFERENCIAS BIBLIOGRÁFICAS
1. Arencibia MG. Biblioteca Virtual. [Online].; 2006 [cited 2015 Octubre 12. Availablefrom: http://www.eumed.net/libros-gratis/2006a/mga-01/2b.htm.
2. Enrique Suárez y Anna Pappagallo. Introduction of the Information andComunication. Revista Omnia. 2008;: p. 111-129.
3. McFarlane. TIC's. [Online].; 2011 [cited 2015 Octubre 15.
4. Antonio Hidalgo Nuchera. Una introduccion a la gestion de riesgos tecnologicos.MadridMas. 2006;: p. 25.
5. Soldano A. [Online].; 2009 [cited 2015 Octubre 09. Available from:http://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdf .
6. Romeral LM. GESTIÓN DE LOS RIESGOS TECNOLÓGICOS. Relatec. 2008;: p. 9.
7. Ana Abril, Jarol Pulido, Jhon Bohada. Analisis de Riesgos en la Seguridad de laInformación. PC Magazine. 2013;: p. 15.
8. Shanthamurthy D. Search Security. [Online].; 2011 [cited 2015 10 09. Available from:http://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluation.
http://www.eumed.net/libros-gratis/2006a/mga-01/2b.htmhttp://www.eumed.net/libros-gratis/2006a/mga-01/2b.htmhttp://www.eumed.net/libros-gratis/2006a/mga-01/2b.htmhttp://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdfhttp://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdfhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-risk-assessment-An-evaluationhttp://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdfhttp://www.eumed.net/libros-gratis/2006a/mga-01/2b.htm
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
19/25
12
5. ANEXOS
Figura 1. Áreas del departamento de Sistemas
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
20/25
13
Figura 2. Diseño Lógico de la Red
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
21/25
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
22/25
15
Figura 4. Aspectos a considerar para el tratamiento de los riesgos.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
23/25
16
Figura 5. Solución de control sugerido sobre la Autentificación de usuarios.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
24/25
17
Figura 6. Solución de control sugerido sobre uso de red.
8/17/2019 DISEÑO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLÓGÍCOS UTILIZANDO LA METODOLOGÍA NIST SP 8…
25/25
Figura 7. Solución de control sugerido sobre respaldos de información.