ejemplo practico.pdf

8/22/2019 ejemplo practico.pdf

1/21

Magerit versin 2 Caso prctico

Apndice 7. Caso prcticoA ttulo de ejemplo, este apndice analiza el caso de una unidad administrativa que utiliza siste-mas de informacin propios y de terceros para sus tareas internas y para prestar servicios deatencin a los ciudadanos (administracin electrnica).

El ejemplo slo pretende ser ilustrativo, sin que el lector deba derivar mayores consecuencias oconclusin alguna de obligado cumplimiento. Incluso ante los mismos impactos y riesgos, las so-luciones pueden ser diferentes, sin poder extrapolarse ciegamente de una a otra circunstancia. Enparticular hay que destacar el papel de la Direccin de la Organizacin como ltimo punto de deci-sin respecto de qu poltica adoptar para mantener impactos y riesgos bajo control.

Buena parte del texto que sigue presenta la situacin en palabras normales, tal y como puedellegarle al equipo de trabajo a lo largo de las entrevistas. Es la misin de este equipo traducir elconocimiento adquirido a los trminos formales definidos por esta metodologa.

7.1. La historia

La unidad objeto de estudio no es de nueva creacin, sino que lleva aos tramitando expedientesde forma local, antes manualmente, ahora por medio de un sistema informtico propio. A este sis-tema informtico se le ha aadido recientemente una conexin a un archivo central que funcionacomo memoria histrica: permite recuperar datos y conservar los expedientes cerrados. La lti-ma novedad consiste en ofrecer un servicio propio de la administracin electrnica, en el que losusuarios pueden realizar sus tramitaciones va web, usando su NIF como identificacin, mas unacontrasea personal. El mismo sistema de tramitacin es usado localmente por un funcionario queatiende a los ciudadanos que se personan en las dependencias de la unidad.

El responsable del proyecto de administracin electrnica, alarmado por las noticias aparecidas enlos medios sobre la inseguridad de Internet, y sabiendo que un fallo en el servicio conllevara unserio dao a la imagen de su unidad, asume el papel de promotor. En este papel escribe un infor-

me interno1

, dirigido al director de la unidad, en el que da cuenta de

los medios informticos con que se est trabajando y los que se van a instalar

las incidencias acaecidas desde que la unidad existe

las incertidumbres que le causa el uso de Internet para la prestacin del servicio

En base a dicho informe argumenta la conveniencia de lanzar un proyecto AGR.

La direccin, convencida de la necesidad de tomar medidas antes de que ocurra una desgracia,crea un comit de seguimiento formado por los responsables de los servicios involucrados: aten-cin a usuarios, asesora jurdica, servicios informticos y seguridad fsica.

Se determina que el alcance del proyecto (actividad A1.2) ser el servicio de tramitacin electrni-

ca, presencial y remoto. Tambin se estudiar la seguridad de la informacin que se maneja: ex-pedientes. Respecto del equipamiento, se analizarn equipos y redes de comunicaciones. Se to-ma la decisin de dejar fuera del estudio elementos que pudieran ser relevantes en un anlisisms detallado como pudieran ser los datos de identificacin y autenticacin de los usuarios de lossistemas, las reas de trabajo del personal que los maneja, la sala de equipos (centro de procesode datos) y las personas relacionadas con el proceso. Esta previsto lanzar un futuro proyecto AGRms detallado que profundice en dichos aspectos.

Explcitamente se excluir la evaluacin de la seguridad de los servicios subsidiarios que se em-plean. El anlisis es local, circunscrito a la unidad que nos ocupa. Dichos servicios remotos seconsideran, a efectos de este anlisis, opacos; es decir, que no entraremos en analizar cmo seprestan.

1 Como es habitual, en estas fases iniciales el proyecto no est formalizado; no obstante, se est realizan-do el Informe Preliminar resultado de la actividad A1.1. Estudio de oportunidad.


2/21


El lanzamiento del proyecto (actividad A1.4) incluye una reunin de la direccin con el comit deseguimiento en la que se exponen los puntos principales del anlisis somero realizado por el pro-motor que queda habilitado como director del proyecto AGR en el que participaran dos personasde su equipo junto con un contrato de asesora establecido con una empresa consultora externa.Uno de los miembros del equipo interno tendr un perfil tcnico: ingeniero de sistemas. A la con-sultora externa se le exige identificar nominalmente a las personas que van a participar y firmar unacuerdo de confidencialidad.

El proyecto se anuncia internamente mediante comunicacin general a todo el personal de la uni-dad y notificacin personal a aquellas personas que se vern directamente afectadas. En estascomunicaciones se identifican las personas responsables del proyecto.

7.2. Proceso P2: Anlisis de riesgos

La fase de anlisis de riesgos arranca con una serie de entrevistas a los responsables designadospor el comit de seguimiento, entrevistas en las que participan

la persona de enlace, como introductor

el personal de la consultora externa como director de la entrevista

el personal propio como secretario: acta de la reunin y recopilacin de datos

Servicio de tramitacin

El servicio de tramitacin se presta por medio de una aplicacin informtica desarrollada en el pa-sado sobre una base de datos. A esta aplicacin se accede a travs de una identificacin local delusuario que controla sus privilegios de acceso. En la faceta de tramitacin presencial, es la perso-na que est atendiendo al usuario final la que se identifica frente al sistema. En el caso de latramitacin remota, el el propio administrado quien se identifica.

Toda la tramitacin incluye una fase de solicitud (y entrada de datos) y una fase de respuesta (yentrega de datos). El usuario realiza su solicitud y espera una notificacin para recoger la respues-ta. La notificacin es por correo, certificado en el caso de tramitacin presencial, y electrnico enel caso de tramitacin electrnica.

Iniciar una tramitacin supone abrir un expediente que se almacena localmente en la oficina.Tambin supone recabar una serie de datos del archivo central de informacin, datos que se co-pian localmente. Al cierre del expediente, los datos y un informe de las actuaciones realizadas seremiten al archivo central para su custodia, eliminndose la informacin de los equipos locales.

El personal de la unidad se identifica por medio de su cuenta de usuario, mientras que los usua-rios remotos se identifican por su NIF. En ambos casos el sistema requiere una contrasea paraautenticarlos.

Por ltimo, hay que destacar el papel que presta la mensajera electrnica en todo el proceso detramitacin, usado tanto como medio interno de comunicacin entre el personal, y como meca-

nismo de notificacin a los usuarios externos. Como norma, no se debe emplear el correo comotransporte de documentos; estos siempre sern servidos por medio de accesos web.

Servicio de archivo central

En forma de intranet, se presta un servicio centralizado de archivo y recuperacin de documentos.Los usuarios acceden por medio de una interfaz web local, que se conecta por medio de una redprivada virtual con el servidor remoto, identificndose por medio de su NIF. Este servicio slo estdisponible para el personal de la unidad y para el empleado virtual que presta el servicio de trami-tacin remota.

Equipamiento informtico

La unidad dispone de varios equipos personales de tipo PC situados dentro de los locales. Estosequipos disponen de un navegador web, de un cliente de correo electrnico sin almacenamientolocal de los mensajes y un paquete ofimtico estndar (procesador de textos y hoja de clculo).


3/21


Existe una capacidad de almacenamiento local de informacin en el disco del PC, del que no serealizan copias de seguridad; es ms, existe un procedimiento de instalacin / actualizacin queborra el disco local y reinstala el sistema ntegro.

Los equipos no disponen de unidades de disco removible de ningn tipo: disquetes, CD, DVD,USB, etc.

Se dispone de un servidor de tamao medio, de propsito general, dedicado a las tareas de:

servidor de ficheros

servidor de mensajera electrnica, con almacenamiento local y acceso va web

servidor de bases de datos: expedientes en curso e identificacin de usuarios

servidor web para la tramitacin remota y para la intranet local

Comunicaciones

Se dispone de una red de rea local que cubre las dependencias de trabajo y la sala de equipos.Est explcitamente prohibida la instalacin de mdems de acceso remoto y redes inalmbricas,existiendo un procedimiento rutinario de inspeccin.

Existe una conexin a Internet, de ADSL, contratada a un operador comercial. Sobre este enlacese prestan mltiples servicios

servicio (propio) de tramitacin remota

servicio de correo electrnico (como parte del servicio de tramitacin remota)

servicio (propio) de acceso a informacin

red privada virtual con el archivo central

La conexin a Internet se realiza nica y exclusivamente a travs de un cortafuegos que limita lascomunicaciones a nivel de red, permitiendo nicamente:

el intercambio de correo electrnico con el servidor de correo

el intercambio web con el servidor web

La red privada virtual con el archivo central utiliza una aplicacin informtica software. La red seestablece al inicio de la jornada, cortndose automticamente a la hora de cierre. En el estableci-miento los equipos terminales se reconocen mutuamente y establecen una clave de sesin para lajornada. No hay intervencin de ningn operador local.

Hay una sensacin de que muchos servicios dependen de la conexin a Internet. Adems, en elpasado ha habido incidencias tales como cortes de servicio debidos a obras municipales y a unadeficiente prestacin del servicio por parte del proveedor. Por todo ello:

1. se ha establecido un contrato de servicio que establece un cierto nivel de calidad, por enci-

ma del cual el operador debe abonar unas indemnizaciones pactadas de antemano en pro-porcin al periodo de interrupcin o a la lentitud (insuficiente volumen de datos transmitidosen periodos determinados de tiempo) del enlace.

2. se ha contratado con otro proveedor un enlace digital (RDSI) de respaldo, enlace que habi-tualmente no est establecido, pero que se activa automticamente cuando el enlace ADSLse interrumpe durante ms de 10 minutos

Durante la entrevista se descubre que estos enlaces se prestan sobre la misma acometida de redtelefnica que presta los servicios de voz de la unidad.

Seguridad fsica

El personal trabaja en los locales de la unidad, principalmente en zonas interiores, salvo una serie

de terminales en los puntos de atencin al pblico. El acceso a las zonas interiores est limitado alas horas de oficina, quedando cerrado con llave fuera de dicho horario. En horas de oficina hayun control de entrada que identifica a los empleados y registra su hora de entrada y de salida.


4/21


La sala de equipos es simplemente una habitacin interior que permanece cerrada con llave, de laque es custodio el administrador de sistemas. La sala dispone de un sistema de deteccin y extin-cin de incendios que se revisa anualmente. Esta sala dista 50 metros de la canalizacin de aguams cercana.

Los locales de la unidad ocupan ntegramente la planta 4 de un edificio de oficinas de 12 plantas.Los controles de acceso son propios de la unidad, no del edificio, que es de uso compartido con

otras actividades. No hay ningn control sobre qu hay en el piso de arriba o en el piso de abajo.

7.2.1. Tarea T2.1.1. Identif icacin de activos

Resultado de las anteriores entrevistas se determina trabajar2 con el siguiente conjunto de acti-vos3:

El sistema descrito es, evidentemente, ms complejo; pero el nmero de activos significativos seha reducido drsticamente para que el ejemplo sea realmente simple, centrado en la casusticatpica que se desea ilustrar.

2 En este apndice se utilizar la herramienta PILAR en su versin de anlisis cualitativo.3 La relacin de activos agrupa a estos en tres capas (en negrita). La estructuracin en capas es mero arti-

lugio de ordenacin de la informacin. En cada capa se indican qu activos hay de cara tipo. Se ha em-pleado la relacin del Catlogo de Elementos, captulo 2. Tipos de activos.


5/21


7.2.2. Tarea T2.1.2: Dependencias

Teniendo en cuenta las dependencias para operar (disponibilidad) y de almacenamiento de datos(integridad y confidencialidad), se ha determinado la siguiente matriz de dependencias entre acti-vos:

[S_

T_

presencial]

[S_

T_

remota]

[D_

exp]

[email]

[archivo]

[SW_

exp]

[PC]

[SRV]

[firewall]

[LAN]

[ADSL]

[S_T_presencial]

[S_T_remota]

[D_exp]

[email] [archivo]

[SW_exp]

[PC]

[SRV]

[firewall]

[LAN]

[ADSL]

Estas tablas se pueden representar grficamente, cuidando de que no haya una saturacin dedependencias; es decir, rara vez se puede presentar todo el sistema en un slo grfico. Para elcaso de los datos de expedientes en curso, el grfico de dependencias queda as:


6/21


7.2.3. Tarea T2.1.3: Valoracin

La direccin est preocupada por el potencial abuso de los procesos de tramitacin, algunos delos cuales pueden incluir el abono de cantidades econmicas importantes, bien a beneficio de laOrganizacin, bien a beneficio de los usuarios. La existencia de un mvil econmico puede incitaral abuso tanto al personal interno como a los usuarios remotos, existiendo una especial incomodi-dad relacionada con la impunidad de atacantes que pudieran perpetrar ataques desde cualquier

remoto punto del planeta.

Tambin hay una especial sensibilidad relativa a la disponibilidad de los servicios. En particularhay preocupacin porque no se pudiera atender una demanda presencial.

Los servicios web a usuarios externos, se consideran emblemticos y se quieren cuidar con es-mero para dar una imagen de modernidad, eficacia y vocacin de servicio. Todo lo que supongadar una mala imagen, bien porque no est disponible el servicio, bien porque se presta de formaerrnea, bien porque las incidencias no son atendidas con presteza, ..., todas estas situaciones sequieren evitar en la medida de lo posible.

Las bases de datos locales hospedan informacin relativa a personas que quedarn adscritos alnivel medio dentro de la calificacin de datos de carcter personal.

En vista de todo ello, se ha consensuado la siguiente valoracin 4 de los activos del sistema. Slose han valorado explcitamente los activos superiores del rbol de dependencias, que quedan dela siguiente manera:

dimensiones de seguridad

activo [D] [I] [C] [A_S] [A_D] [T_S] [T_D]

[S_T_presencial] Tramitacin presencial [5](1) [7](2) [6](3)

[S_T_remota] Tramitacin remota [3](4) [7](5) [6](6)

[D_exp] Expedientes en curso [5](7) [6](8) [5](9) [5](10)

Concretamente, los niveles se han asignado por las siguientes razones (llamadas en la tabla ante-rior):

(1) [5.da] Probablemente cause la interrupcin de actividades propias de la Organizacincon impacto en otras organizaciones

(2) [7.da] Probablemente cause una interrupcin seria de las actividades propias de la Or-ganizacin con un impacto significativo en otras organizaciones[5.lro] Obligaciones legales: probablemente sea causa de incumplimiento de una ley oregulacin

(3) [6.pi2] Informacin personal: probablemente quebrante seriamente la ley o algn re-glamento de proteccin de informacin personal

(4) [3.da] Probablemente cause la interrupcin de actividades propias de la Organizacin

(5) [7.da] Probablemente cause una interrupcin seria de las actividades propias de la Or-ganizacin con un impacto significativo en otras organizaciones[6.pi1] Informacin personal: probablemente afecte gravemente a un grupo de indivi-duos[5.lro] Obligaciones legales: probablemente sea causa de incumplimiento de una ley oregulacin

(6) [6.pi2] Informacin personal: probablemente quebrante seriamente la ley o algn re-glamento de proteccin de informacin personal

(7) [5.da] Probablemente cause la interrupcin de actividades propias de la Organizacin

4 Para cada activo se indica su valoracin en cada dimensin de seguridad.

Como criterios de valoracin se ha empleado el captulo 4. Criterios de valoracin del Catlogo deElementos.Como dimensiones de seguridad se ha empleado la relacin del captulo 3. Dimensiones de valoracindel Catlogo de Elementos.


7/21


con impacto en otras organizaciones(8) [6.pi2] Informacin personal: probablemente quebrante seriamente la ley o algn re-

glamento de proteccin de informacin personal(9) [5.lro] Obligaciones legales: probablemente sea causa de incumplimiento de una ley o

regulacin(10) [5.lro] Obligaciones legales: probablemente sea causa de incumplimiento de una ley o

regulacin

Cuando esta valoracin se propaga a travs del rbol de dependencias5, resulta la siguiente tablade valor acumulado en cada uno de los activos del sistema (se muestra sobre fondo blanco lo quees valor propio, y sobre fondo de color lo que es acumulado):


activo [D] [I] [C] [A_S] [A_D] [T_S] [T_D]

[S_T_presencial] Tramitacin presencial [5] [7] [6]

[S_T_remota] Tramitacin remota [3] [7] [6]

[D_exp] Expedientes en curso [5] [5] [6] [7] [5] [6] [5]

[email] Mensajera electrnica [5] [7] [6]

[archivo] Archivo histrico central [5] [5] [6] [7] [5] [6] [5]

[SW_exp] Tramitacin de expedientes [5] [5] [6] [7] [5] [6] [5]

[PC] Puestos de trabajo [5] [5] [6] [7] [5] [6] [5]

[SRV] Servidor [5] [5] [6] [7] [5] [6] [5]

[firewall] Cortafuegos [5] [5] [6] [7] [5] [6] [5]

[LAN] Red local [5] [5] [6] [7] [5] [6] [5]

[ADSL] Conexin a Internet [5] [5] [6] [7] [5] [6] [5]

En este punto se obtiene el Modelo de Valor6 de la organizacin.

5 Ver Gua de Tcnicas seccin 2.2.1. Modelo cualitativo.6 Ver Apndice 4.1. Modelo de valor del Catlogo de Elementos.


8/21


7.2.4. Act iv idad A2.2: Caracterizacin de las amenazas

Siendo difcil, por no decir imposible, caracterizar lo que podra ocurrirle a los activos si no hubierasalvaguardas desplegadas, se recurre a una calificacin estndar de las amenazas tpicas sobrelos activos teniendo en cuenta su naturaleza y su valor.

Con todas estas consideraciones, y a ttulo ilustrativo, la siguiente tabla7 muestra las amenazas

que se han considerado tpicas para el caso de los expedientes administrativos.


activo / amenaza frecuencia D I C A_S A_D T_S T_D

[D_exp] Expedientes en curso 50% 50% 100% 100% 100% 100% 100%

[E.1] Errores de los usuarios 10 10% 10%

[E.2] Errores del administrador 1 20% 20% 10% 10% 10% 20% 20%

[E.3] Errores de monitorizacin (log) 1 50% 50%

[E.4] Errores de configuracin 0,5 50% 10% 10% 50% 50% 50% 50%

[E.14] Escapes de informacin 1 1%

[E.15] Alteracin de la informacin 10 1%

[E.16] Introduccin de falsa informacin 100 1%

[E.17] Degradacin de la informacin 10 1%

[E.18] Destruccin de la informacin 10 1%

[E.19] Divulgacin de informacin 1 10%

[A.4] Manipulacin de la configuracin 0,1 50% 10% 50% 100% 100% 100% 100%

[A.11] Acceso no autorizado 100 10% 50% 50%

[A.14] Intercepcin de informacin (escucha) 10 50%

[A.15] Modificacin de informacin 10 50%

[A.16] Introduccin de falsa informacin 20 50%

[A.17] Corrupcin de la informacin 10 50%

[A.18] Destruccin de la informacin 10 50%

[A.19] Divulgacin de informacin 10 100%

Ntese que hay una diferencia entre la percepcin del usuario y las amenazas potenciales en elsistema. Esta diferencia se debe a la existencia de salvaguardas, que se tendr en cuenta msadelante.

En este punto se obtiene el Mapa de Riesgos8 de la organizacin.

7 La primera columna muestra las amenazas tpicas sobre el activo. La segunda columna recoge la fre-

cuencia de ocurrencia expresada como tasa anual (incidencias por ao). Las dems columnas recogenla degradacin del activo expresada como porcentaje de su valor. Hay una columna por dimensin deseguridad (vase Catlogo de Elementos, captulo 3. Dimensiones de valoracin).

8 Ver Apndice 4.2. Mapa de riesgos del Catlogo de Elementos.


9/21


7.2.5. Actividad A2.4: Estimacin de impacto y riesgo

Sin tener todava en cuenta las salvaguardas, se derivan las siguientes estimaciones de impacto yriesgo acumulado sobre los diferentes activos. Las tablas siguientes recogen para cada activo (fi-las) la estimacin de impacto y riesgo en cada dimensin de seguridad (columnas).

Impacto acumulado9

Riesgo acumulado10

9 Para el clculo del impacto acumulado se sigue lo indicado en la seccin 2.1.3. Paso 4: Determinacindel impacto, donde se tiene en cuenta el valor acumulado sobre el activo (en la citada dimensin) y ladegradacin causada por la amenaza (en la citada dimensin). Vase tambin la seccin 2.2.1. Modelocualitativo de la Gua de Tcnicas.

10 Para el clculo del riesgo acumulado se sigue lo indicado en la seccin 2.1.4. Determinacin del riesgo,donde se incorpora la frecuencia estimada de ocurrencia de la amenaza. Se utiliza un modelo tabular si-milar al descrito en la seccin 2.1. Anlisis mediante tablas de la Gua de Tcnicas. Se utiliza una es-

cala de {0} a {5} para calibrar el riesgo.


10/21


Impacto repercutido11

En estas tablas se analiza cada activo (superior) valorado en s mismo (con valor propio) y sehace un seguimiento de aquellos otros activos (inferiores) de los que depende. Cuando las ame-nazas se materializan sobre los activos inferiores, el perjuicio repercute sobre los superiores.

11 Para el clculo del impacto repercutido se sigue lo indicado en la seccin 2.1.3. Paso 4: Determinacindel impacto, donde se utiliza el valor propio del activo superior y la degradacin causada por la amenazasobre el activo inferior indicado.


11/21


Riesgo repercutido12

12 Para el clculo del riesgo repercutido se sigue lo indicado en la seccin 2.1.4. Determinacin del riesgo,donde se incorpora la frecuencia estimada de ocurrencia de la amenaza sobre el activo inferior indicado.


12/21


7.2.6. Actividad A2.3: Caracterizacin de las salvaguardas

A la hora de evaluar el estado de seguridad de la unidad bajo estudio, hay que indagar una seriede aspectos generales y una serie de aspectos especficos de cada activo. En esta indagacinhay que tener en cuenta tanto la naturaleza de los activos como su valor y las amenazas a queest expuesto.

En aspectos generales hay que averiguar cmo se organiza la seguridad: responsables, toma de decisiones, contactos externos, etc.

si hay una identificacin de roles del personal, asociados a privilegios de acceso

s hay segregacin efectiva de tareas

si existe una poltica de seguridad documentada y revisada peridicamente

cmo se gestionan las incidencias

cmo se gestionan los registros de actividad

si existe un plan de contingencia: gestin de emergencias, continuidad y recuperacin

Respecto de los servicios prestados por la Organizacin, hay que averiguar

si existe normativa y procedimientos de uso, conocidos y empleados

si hay una planificacin de capacidades

si hay mecanismos de prevencin del repudio

si hay mecanismos de prevencin de ataques de denegacin de servicio

cmo se gestionan los usuarios

qu registro queda de lo que se hace

Respecto de los datos manejados por la Organizacin, hay que averiguar

si hay un inventario de ficheros, con identificacin de responsable


si se hacen copias de respaldo y con qu calidad

si se han previsto mecanismos para garantizar el secreto

si se han previsto mecanismos para garantizar la integridad

si se han previsto mecanismos de registro de acceso

Respecto de los aplicativos en uso, hay que averiguar

cmo se gestiona su mantenimiento

cmo se controla su configuracin, en particular de usuarios y derechos de acceso

si se ha inspeccionado el cdigo, especialmente frente a puertas traseras de acceso

Respecto del servicio de mensajera (email), hay que averiguar


cmo se gestionan los usuarios

cmo se controla el contenido de los mensajes y de los ficheros adjuntos

desde el punto de vista de fugas de informacin

desde el punto de vista de inyeccin de programas dainos (por ejemplo, virus)

desde el punto de vista de autenticidad del origen

cmo se asegura la disponibilidad del servicio


13/21


Respecto del servicio de archivo, hay que averiguar


cmo se controla quin accede a su uso

cmo se garantiza el secreto de los datos que transportan

cmo se garantiza su disponibilidad

Respecto del equipamiento informtico, hay que averiguar


cmo se gestiona su mantenimiento

cmo se controla su configuracin, en particular de usuarios y derechos de acceso


Respecto de las comunicaciones, hay que averiguar


cmo se controla quin accede a su uso

cmo se garantiza el secreto de los datos que transportan


Tenga en cuenta el lector que esto es slo un ejemplo que no pretende ser exhaustivo. Se hanreferenciado los aspectos ms relevantes; no todos. Es especialmente de destacar la ausencia deun anlisis de las instalaciones fsicas y del personal, que han quedado fuera por mantener elejemplo reducido..

Indagando se averigua que:

Existe una poltica de seguridad heredada de la Organizacin matriz de la unidad que nosocupa. Al ser una unidad de pequeas dimensiones, existe un responsable nico de seguri-

dad que informa directamente a la Direccin y es el contacto frente a otras organizaciones.Adems existe un procedimiento local de escalado de incidencias que puede provocar unescalado ms all de la propia unidad.

El servidor central hospeda una tabla para controlar qu privilegios de acceso tiene cadausuario, en particular diferenciando la capacidad administrativa para dar curso a los expe-dientes a lo largo de su proceso. Toda la actividad se registra en un fichero al que slo setiene acceso el operador y que se remite diariamente al archivo central.

Los procedimientos de trabajo con los sistemas no estn escritos. Se confa en que las pro-pias aplicaciones web adapten las actividades que se pueden realizar en cada momento se-gn el estado del expediente en curso y los privilegios del usuario. S se realiza un registrode todas y cada una de las actuaciones del personal sobre los servicios web. Para el proce-

so manual existen una serie de impresos disponibles con instrucciones incluidas sobrecundo usarlos, qu datos proporcionar y cmo tramitarlos.

Una persona de la unidad tiene las funciones de operador, encargndose de todas las ta-reas de instalacin, configuracin y resolucin de incidencias. Esta persona dispone de pro-cedimientos escritos para las actividades rutinarias; pero debe improvisar en situaciones at-picas, para las que puede recurrir al soporte tcnico de la Organizacin matriz.

No existe ningn plan de contingencia (ms all del proceso manual de las actividades).

Existen contratos de mantenimiento con los suministradores de los equipos y de los progra-mas bsicos: sistema operativo, ofimtica, correo y servidores web.

Los usuarios internos son administrados por el operador, que requiere solicitud por escrito

de altas, bajas y cambios. Dicha solicitud debe venir firmada por el gerente.


14/21


Los usuarios externos se dan de alta personalmente, indicando su NIF. Para recabar su con-trasea deben personarse fsicamente la primera vez. Una vez registrados no se hace unseguimiento de las cuentas, que duran indefinidamente.

Tanto los usuarios internos como externos se identifican por medio de un nombre de usuarioy una contrasea. Todos reciben unas someras instrucciones sobre cmo elegir contrase-as; pero no se verifica que las cumplan, ni que las contraseas se cambien regularmente.

Se ha realizado recientemente una auditora de los datos de carcter personal, habiendo si-do superada plenamente en todos los aspectos.

Los datos procedentes del archivo central se consideran correctos. Los datos introducidospor los ciudadanos deben ser validados por el personal de la unidad. Los datos introducidospor los usuarios internos deben ser validados por un segundo usuario; normalmente los in-troduce una persona y los valida quien firma el progreso del expediente.

El aplicativo de tramitacin de expedientes es suministrado por la Organizacin matriz, con-siderndose de calidad suficiente.

Se ha instalado un sistema anti-virus y se ha contratado un servicio de mantenimiento 24x7a travs de la Organizacin matriz con un tiempo de respuesta inferior a 1 da.

El servicio de mensajera se centraliza en el servidor de forma que el acceso de los usuariosinternos es a travs de una interfaz web. Sistemticamente se elimina todo tipo de anexo enel correo saliente y se analiza con el anti-virus los anexos del correo entrante.

El servicio de archivo central es un servicio prestado externamente que se va a considerarde calidad suficiente. En un anlisis ms detallado habr que entrar en la prestacin de es-te servicio.

Las comunicacin a Internet responde a un contrato ADSL estndar, no habindose reali-zado un estudio de necesidades, ni estar prevista ninguna clusula contractual de calidad deservicio o ampliacin de capacidad.

La conexin al archivo central se realiza sobre Internet, usando una red privada virtual que

se establece entre los extremos. Esta red est configurada y mantenida desde el archivocentral, sin tener capacidad local de configuracin alguna. Se considerar de calidad sufi-ciente.

En este punto se obtiene la Evaluacin de Salvaguardas13 de la organizacin.

Insuficiencias detectadas

Cotejados los descubrimientos, se aprecian las siguientes insuficiencias:

La segregacin de tareas es adecuada excepto en el caso del administrador de sistemasque dispone de amplia capacidad de acceso a todos los sistemas, instalaciones y configura-ciones.

Debera existir un plan de contingencia: gestin de emergencias, plan de continuidad y plande recuperacin.

Deberan existir procedimientos escritos para todas las tareas ordinarias y para las inciden-cias previsibles, incluyendo todas las que se hayan dado en el pasado.

Debera realizarse un estudio del uso de la conexin ADSL y su evolucin para poder plani-ficar una ampliacin de capacidad. Tambin debera establecerse con el proveedor unacuerdo de calidad de servicio.

Deberan establecerse mecanismos para detectar y reaccionar a un ataque de denegacinde servicio.

13 Ver Apndice 4.3. Evaluacin de salvaguardas del Catlogo de Elementos.


15/21


Debera hacerse un seguimiento de las cuentas de los usuarios externos, al menos detec-tando largos periodos de inactividad, intentos de penetracin y comportamientos anmalosen general.

El uso de contraseas como mecanismo de autenticacin se considera dbil, recomen-dndose el uso de tarjetas criptogrficas de identificacin.

En este punto se obtiene el Informe de Insuficiencias14 de la organizacin.

7.2.7. Actividad A2.4: Estimacin del estado de r iesgo

Conocidos el Modelo de Valor, el Mapa de Riesgos y la Evaluacin de Salvaguardas se pro-cede a la estimacin del los indicadores de impacto y riesgo, tanto acumulados (sobre los activosinferiores) como repercutidos (sobre los activos superiores).

Impacto acumulado residual15

Riesgo acumulado residual16

14 Ver Apndice 4.5. Informe de insuficiencias del Catlogo de Elementos.

15 Para el clculo del impacto residual se sigue lo indicado en la seccin 2.1.6. Revisin del paso 4: impac-to residual. Vase tambin la seccin 2.2.1. Modelo cualitativo de la Gua de Tcnicas.

16 Para el clculo del riesgo residual se sigue lo indicado en la seccin 2.1.7. Revisin del paso 5: riesgoresidual. Vase tambin la seccin 2.1. Anlisis mediante tablas de la Gua de Tcnicas.


16/21


Impacto repercutido residual


17/21


Riesgo repercutido residual

En este punto se obtiene el Estado de Riesgo17 de la organizacin. Este Estado de Riesgo vie-

ne documentado por el informe de Evaluacin de Salvaguardas que recoge de despliegue actualde seguridad, y el Informe de Insuficiencias18 que recoge las debilidades descubiertas.

7.3. Proceso P3: Gestin de riesgos

7.3.1. Actividad A3.1: Toma de decisiones

Vistos los indicadores de riesgo residual y las insuficiencias de la unidad, la Direccin decide clasi-ficar en los siguientes niveles los programas de seguridad a desarrollar:

De carcter urgente

P1: Desarrollar un plan de contingencia

P2: Monitorizar y gestionar las cuentas de usuarios externos

Consideraciones importantes

P3.1: Documentar todos los procedimientos de trabajo, revisando los actuales y aadiendo losque falten

P3.2: Segregar las funciones del administrador de sistemas

17 Ver Apndice 4.4. Estado de riesgo del Catlogo de Elementos.18 Ver Apndice 4.5. Informe de insuficiencias del Catlogo de Elementos.


18/21


Temas a considerar en el futuro

Uso de tarjetas de identificacin

Relaciones con el proveedor de comunicaciones para garantizar la calidad del servicio

Contratacin de un servicio alternativo de comunicaciones

Medidas frente a ataques de denegacin de servicio

7.3.2. Actividad A3.2: Plan de seguridad

Todas las consideraciones anteriores hay que plasmarlas en un Plan de Seguridad19 que organi-za las actividades de forma planificada y gestionada.

El desarrollo del plan de contingencia (programa P1) se traduce en un proyecto especfico para elque

1. este ao se realizar una estimacin de costes del proyecto y una solicitud de propuestasque se completar con la adjudicacin a un contratista externo

2. a la vista de la oferta ganadora se destinarn fondos el ao que viene para la realizacin del

plan; en esta realizacin se incluirn todas las tareas administrativas (dimensionado, selec-cin de soluciones, procedimientos, etc.), exceptundose las posibles ejecuciones de obracivil o contratacin de servicios externalizados de continuidad, que sern objeto de futuraslicitaciones

Para la monitorizacin de cuentas (programa P2) se lanza un proyecto para el desarrollo de unsistema de gestin de cuentas que incluya la deteccin de intrusiones y el lanzamiento de alar-mas. Se estima que este proyecto se puede lanzar inmediatamente y que su duracin ser de unao.

Para la documentacin de todos los procedimientos (programa P3.1) se recurrir a una ampliacindel contrato de consultora y asesoramiento que la Organizacin matriz tiene actualmente. En estaampliacin, consultores externos se encargarn de recabar la informacin pertinente, completando

los manuales actuales. Esta tarea no se acometer hasta el prximo ejercicio. En la elaboracinde procedimientos se definirn las tareas especficas de un operador (local) y un administrador(remoto) de forma que se alcance el objetivo del programa P3.2. Se negocia con archivo central ladisposicin de un servicio centralizado de administracin, dejando a nivel local las meras funcio-nes de operacin.

Por ltimo se recaba de la Organizacin matriz informacin sobre el uso de tarjetas de identifica-cin corporativas e incluso del DNI electrnico, como medios que pudieran utilizarse en el futuropara mejorar la autenticidad de los usuarios. Para el prximo ejercicio se contratar un estudio delas modificaciones requeridas para incorporar dichos mecanismos, tanto para los usuarios internoscomo para los usuarios externos. Parte de ese estudio ser un plan detallado de realizacin, queen ningn caso se acometer antes de dos aos.

19 Ver Apndice 4.6. Plan de seguridad del Catlogo de Elementos.


19/21


7.3.3. Evolucin de los indicadores de impacto y riesgo

Las siguientes figuras muestran la evolucin de los indicadores de impacto y riesgo, acumulado yrepercutido, en tres instantes de la gestin del sistema de informacin sometido a estudio:

sin salvaguardas

en el momento presente

tras la ejecucin de los programas P1, P2 y P3 del plan de seguridad

Impacto acumulado

Riesgo acumulado


20/21


Impacto repercutido

Riesgo repercutido


21/21


7.3.4. Calificacin segn los Criterios de Seguridad del CSAE

Los Criterios de Seguridad, Normalizacin y Conservacin de las Aplicaciones Utilizadas para elEjercicio de Potestades proporcionan en su libro de Criterios de Seguridad una larga relacin desalvaguardas que deben implantarse en los sistemas. La siguiente grfica muestra el grado desatisfaccin de dichos criterios a lo largo del desarrollo del plan de seguridad:

7.3.5. Calificacin segn la norma ISO/IEC 17799:2005

La norma ISO/IEC 17799:2005, Code of practice for information security management20, defineuna serie de controles recomendables para sistemas de gestin de la seguridad de la informacin(SGSI). La siguiente grfica muestra el grado de satisfaccin de dichos criterios a lo largo del de-sarrollo del plan de seguridad:

20 Cuando se edita este documento, no existe una traduccin oficial de la norma; el texto de los epgrafespuede ser diferente cuando se publique la traduccin oficial.

ejemplo practico.pdf

Documents

Transcript of ejemplo practico.pdf