IMPLEMENTACION DEL SISTEMA DE GESTION DE … · los dispositivos de una red, por ellos es que hoy...

97
UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA PLAN DE ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTA 2015 IMPLEMENTACION DEL SISTEMA DE GESTION DE SEGURIDAD INFORMATICA EN EL DATACENTER DE MEDUNE-MEDELLIN DE LA EMPRESA O4IT COLOMBIA, EMPLEANDO EL ESTÁNDAR ISO 27001:2013 PARA LOS EQUIPOS DE RED DE BORDE. DIANA KATERINE QUIÑONEZ RUIZ

Transcript of IMPLEMENTACION DEL SISTEMA DE GESTION DE … · los dispositivos de una red, por ellos es que hoy...

UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

PLAN DE ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTA

2015

IMPLEMENTACION DEL SISTEMA DE GESTION DE SEGURIDAD INFORMATICA EN EL DATACENTER DE MEDUNE-MEDELLIN DE LA

EMPRESA O4IT COLOMBIA, EMPLEANDO EL ESTÁNDAR ISO 27001:2013 PARA LOS EQUIPOS DE RED DE BORDE.

DIANA KATERINE QUIÑONEZ RUIZ

UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

PLAN DE ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTA

2015

IMPLEMENTACION DEL SISTEMA DE GESTION DE SEGURIDAD INFORMATICA EN EL DATACENTER DE MEDUNE-MEDELLIN DE LA

EMPRESA O4IT COLOMBIA, EMPLEANDO EL ESTÁNDAR ISO 27001:2013 PARA LOS EQUIPOS DE RED DE BORDE.

DIANA KATERINE QUIÑONEZ RUIZ

Trabajo de grado presentado como requisito para optar al título de Especialista en Seguridad Informática

DIRECTOR DE PROYECTO MARTIN CAMILO CANCELADO RUIZ

ESPECIALISTA EN SEGURIDAD INFORMÁTICA

Nota de Aceptación _____________________________ _____________________________ _____________________________ _____________________________

__________________________________ Firma del Presidente del jurado

____________________________ Firma del Jurado

____________________________ Firma del Jurado

DEDICATORIA

A la Virgen y a Dios por siempre guiar mis pasos.

A mi esposo por ser ese apoyo incondicional que me impulsa a salir adelante y me lleva de la mano.

A mi hija por ser el motor de nuestras vidas y darle sentido a tantos esfuerzos.

A mi madre que siempre está apoyándome y alentándome en todos mis proyectos.

AGRADECIMIENTOS A la UNAD y a los tutores que me guiaron durante cada materia de la especialización y siempre estuvieron dispuesta a apoyarnos en el proceso. A la empresa O4IT, en cabeza de mi coordinador Jhoan Leandro Gutierrez Diaz y al área de Networking, por guiarme y permitirme emplear sus recursos como apoyo para el proyecto. Al Especialista Jose Fernando Santiago Rodriguez, por compartir sus conocimiento y guiarme durante esta etapa, para cumplir los objetivos.

Tabla de Contenido

INTRODUCCIÓN ............................................................................................................................................ 15

1. PLANTEAMIENTO DEL PROBLEMA ..................................................................................................... 17

1.1. TÍTULO ............................................................................................................................................... 17

1.1.2 Alternativa de grado: .................................................................................................................... 17

1.1.3 Tema u objeto de estudio: ........................................................................................................... 17

1.1.4 Línea de investigación: ................................................................................................................ 17

1.2 JUSTIFICACIÓN ..................................................................................................................................... 17

1.3 PLANTEAMIENTO DEL PROBLEMA .................................................................................................. 18

2. OBJETIVOS............................................................................................................................................ 20

2.1 OBJETIVO GENERAL ........................................................................................................................... 20

2.2 OBJETIVOS ESPECIFICOS ................................................................................................................. 20

3. MARCO REFENCIAL ............................................................................................................................ 21

3.1. MARCO CONCEPTUAL .................................................................................................................. 21

3.1.1 Redes de Datos .................................................................................................................................. 21

3.1.2 Datacenter ............................................................................................................................................ 21

3.1.3 Rack ...................................................................................................................................................... 21

3.1.4 Switches y router ................................................................................................................................. 22

3.1.5 Firewall .................................................................................................................................................. 22

3.1.6 Antivirus ................................................................................................................................................ 22

3.1.7 Sistemas IDS/IPS ................................................................................................................................ 23

3.1.8 Seguridad en Contraseñas ................................................................................................................ 23

3.1.9 Backup de la información ................................................................................................................... 23

3.1.10 Amenazas........................................................................................................................................... 23

3.1.11 Hacker ................................................................................................................................................. 24

3.1.12 Políticas de seguridad ...................................................................................................................... 24

3.1.13 Seguridad perimetral ........................................................................................................................ 24

3.1.14 Spyware .............................................................................................................................................. 24

3.1.15 Malware .............................................................................................................................................. 25

3.2 MARCO TEÓRICO ........................................................................................................................... 25

3.2.1 Sistemas De Gestión de Seguridad de la Información .................................................................. 25

3.2.2 ISO 27000............................................................................................................................................. 27

3.2.3 SOA (Statement of Applicability) ....................................................................................................... 29

3.3 MARCO CONTEXTUAL ................................................................................................................... 29

3.3.1 Ubicación de la Empresa ............................................................................................................ 31

3.3.2 Misión .................................................................................................................................................... 31

3.3.3 Visión ..................................................................................................................................................... 31

3.3.4 Políticas de gestión ............................................................................................................................. 31

4. DISEÑO METODOLÓGICO ................................................................................................................. 32

4.1 PLANEAR ................................................................................................................................................ 32

4.1.1 Estructura de O4IT........................................................................................................................ 32

4.1.2 Estructura datacenter MEDUNE ................................................................................................. 33

4.1.3 Operación logica del datacenter medune ........................................................................................ 34

4.1.4 Inventario Datacenter.......................................................................................................................... 35

4.1.5 Alcance del SGSI ................................................................................................................................ 36

4.1.6 Políticas de seguridad. ....................................................................................................................... 37

4.1.7 Metodología de evaluación de riesgos ............................................................................................. 38

4.1.8 Inventario de activos ........................................................................................................................... 38

4.1.9 Identificar amenazas y vulnerabilidades. ......................................................................................... 39

4.1.10 Análisis y evaluación de riesgos ............................................................................................... 39

4.1.11 Selección de controles y SOA. ........................................................................................................ 40

4.2 HACER................................................................................................................................................ 40

4.2.1 Riesgos y/o vulnerabilidades de la información ....................................................................... 40

4.2.2 Plan de Tratamiento de Riesgos ...................................................................................................... 42

4.2.3 Implantar el plan de tratamiento de riesgos .............................................................................. 43

4.2.4 Implementación de controles ............................................................................................................. 48

4.2.4.1 Router MPLS ..................................................................................................................................... 49

4.2.4.2 Firewall Fortigate VM ........................................................................................................................ 52

4.2.4.3 Firewall Juniper ................................................................................................................................. 62

4.2.4.4 Backup de red de internet ................................................................................................................ 65

4.2.4.5 Capacitaciones .................................................................................................................................. 65

4.2.5 Gestión de Recursos. ......................................................................................................................... 66

4.2.6 Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad................................................................................................................................. 66

4.3 CHEQUEAR ....................................................................................................................................... 71

4.4 ACTUAR ............................................................................................................................................. 72

4.4.1 Condiciones previas a la aplicación de la metodología seleccionada ......................................... 73

4.4.1.1 Plan de auditoria interna ................................................................................................................. 73

4.4.1.2 Aplicación de la metodología seleccionada ................................................................................. 75

5. CONCLUSIONES ...................................................................................................................................... 82

BIBLIOGRAFÍA ............................................................................................................................................... 84

ANEXOS .......................................................................................................................................................... 87

LISTA DE FIGURAS

Figura 1. Riesgos informáticos.............................................................................. 26

Figura 2 Ciclo Deming PDCA................................................................................. 27

Figura 3. Procesos de PDCA ................................................................................. 28 Figura 4. Datacenters O4IT.................................................................................... 33 Figura 5. Datacenter MEDUNE .............................................................................. 33 Figura 6. Operación Lógica Datacenter ................................................................. 34 Figura 7. VDOM ..................................................................................................... 53 Figura 8. Firewall FortiGate VM ............................................................................. 53 Figura 9. Acceso de interfaces Port1 ..................................................................... 54 Figura 10. Acceso de interfaces Port3 ................................................................... 54 Figura 11. Interfaces Port3 Acceso ........................................................................ 55 Figura 12. Acceso Interfaces ................................................................................. 55 Figura 13. Usuarios de acceso .............................................................................. 56 Figura 14. FortiAnalyzer ......................................................................................... 56 Figura 15. VDOM Cloud ......................................................................................... 57 Figura 16. VDOM Coleco ....................................................................................... 57 Figura 17. NAT ....................................................................................................... 58 Figura 18. Políticas de acceso a NAT .................................................................... 58 Figura 19. UTM Fortinet ......................................................................................... 59 Figura 20. Perfiles Web ......................................................................................... 60 Figura 21. Control de aplicaciones Fortinet ........................................................... 60

Figura 22. IPS Protección contra Intrusiones ......................................................... 61 Figura 23. Filtros de correo ................................................................................... 61 Figura 24. Escaneo de vulnerabilidades ................................................................ 61 Figura 25. Firewall Juniper ..................................................................................... 62 Figura 26. Firewall Juniper ..................................................................................... 63 Figura 27. Puertos Juniper ..................................................................................... 63 Figura 28. Opciones de seguridad ......................................................................... 64 Figura 29. Políticas de enrutamiento Juniper ......................................................... 64 Figura 30. Traffic bandwidth Juniper ...................................................................... 65 Figura 31. Clausula 9.2 de norma ISO27001 – auditorías internas ....................... 74

LISTA DE TABLAS

Tabla 1. Riesgos y vulnerabilidades Datacenter Medune ..................................... 41

Tabla 2. Declaración de aplicabilidad SOA ............................................................ 42

Tabla 3. Declaracion de aplicabilidad .................................................................... 43

Tabla 4. Chequeo de riesgos y vulnerabilidades ................................................... 71

Tabla 5. Aspectos Auditoria Interna ....................................................................... 75

Tabla 6. Programa Anual De Auditoria Interna ...................................................... 75

Tabla 7. Informe Auditoria ...................................................................................... 76

Tabla 8. Procedimiento Para Auditoría Interna ...................................................... 76

Tabla 9. Historial De Modificaciones ...................................................................... 77

Tabla 10. Check List - Plan De Auditoria Interna .................................................. 77

LISTA DE ANEXOS

Anexo 1. SOA ........................................................................................................ 87

INTRODUCCIÓN

Con el auge de la tecnología hoy en día, ya el uso de los dispositivos de red no es un lujo sino una necesidad, más aun en el ámbito empresarial, pues el recurso más valioso de un entidad es la información, por esto es que debemos protegerla de individuos que pretendan saquearla, destruirla o corromperla. Día a día más personas profundizan en los métodos de intrusión y hacker, por eso es que debemos analizar las vulnerabilidades, amenazas y riesgos a los cuales están expuestas las redes, debemos observarlos, evaluarlos y atacarlos para minimizar pérdidas importantes. Las áreas de tecnología o seguridad ya no son un área más, son el pilar de la empresa pues sobre ellas recae la gran responsabilidad de cuidar la información y los dispositivos de una red, por ellos es que hoy en día ya cada empresa cuenta con un administrador de redes o seguridad para garantizarla y estos deben estar preparados y capacitados para crear muros de contención ante los ataques externos que diariamente sufren las redes. Las técnicas a emplear para evitar los riesgos es implantar controles, y estos van desde la parte física hasta la técnicas de encriptación y equipos de protección, el hecho que tanta tecnología esté a nuestro alcance hace que cada vez más personas encuentren la forma de ganar dinero fácil y aunque lo creamos la información es el bien más valioso y manejado diariamente. Cada empresa debe contar con un Sistema Gestión de Seguridad de la Información, para fortalecer las barreras de acceso que puedan presentarse, este sistemas también conlleva a capacitar y concientizar a los usuarios para emplear las técnicas básicas de seguridad, como cambiar periódicamente las claves, no brindar a información a terceros, no permitir el ingreso de personas no autorizadas a cuartos de equipos, etc. Según informes y estadísticas, los mayores robos se llevan a cabo a través de la red y esto pasa porque existen personas que diariamente trabajan en cómo acceder a ellas, y muchas veces por no pensar en su importancia estos dejando vulnerables los sistemas informáticos, por esto es que uno de los grandes retos es difundir y

publicar el reglamento acorde a estos delitos para concientizar a los empleado y lograr que contribuyan a la seguridad y estabilidad del sistema y por ende de la empresa. Este documento contiene los elementos que describen el procedimiento y las actividades realizadas durante de la IMPLEMENTACION DEL SGSI EN EL DATACENTER DE MEDUNE-MEDELLIN DE LA EMPRESA O4IT COLOMBIA, EMPLEANDO EL ESTÁNDAR ISO 27001:2013 PARA LOS EQUIPOS DE RED DE BORDE., así como las personas, entidades y equipos que participaron en el desarrollo de la misma.

1. PLANTEAMIENTO DEL PROBLEMA

1.1. TÍTULO

IMPLEMENTACION DEL SGSI EN EL DATACENTER DE MEDUNE-MEDELLIN DE LA EMPRESA O4IT COLOMBIA, EMPLEANDO EL ESTÁNDAR ISO 27001:2013 PARA LOS EQUIPOS DE RED DE BORDE.

1.1.2 Alternativa de grado:

Proyecto de Investigación

1.1.3 Tema u objeto de estudio:

El proyecto está inmerso en el tema de SGSI- Sistema de Gestión de Seguridad de la Información. 1.1.4 Línea de investigación: Cadena Formación de Sistemas, línea Gestión de Sistemas. 1.2 JUSTIFICACIÓN La empresa O4IT Colombia, presta servicios de tecnología en la nube, acompañada de servicios de infraestructura y seguridad informática, su misión es proporcionar el acceso y aprovisionamiento con soporte 7x24x365 a sus clientes para cualquier de sus servicios ya sea desktop now, server now, files now, backup now, network now, UCNow y App now.1 Un Sistema de Gestión de Seguridad Informática, permite “garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías” 2 Teniendo en cuenta que el datacenter aloja, diversos dispositivos tanto de almacenamiento como de comunicación y resguardo de información no solo propia sino de sus clientes, es necesario que la información cuente con los pilares de la seguridad como lo son la confidencialidad, disponibilidad e integridad. 1 http://cloudnow.com/ 2 http://www.iso27000.es/sgsi.html

Y para lograr lo anterior es necesario basarnos en los modelos y estándares de la seguridad informática para así garantizar que los riesgos de la seguridad de la informática sean conocidos, asumidos, gestionados y minimizados por las organizaciones, de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.3 Con la implementación de un Sistema de Gestión de la Seguridad Informática, se definen políticas de riesgos, para luego implementar controles de vulnerabilidades encontradas para garantizar así un nivel de seguridad integral para el datacenter y sus clientes.4

1.3 PLANTEAMIENTO DEL PROBLEMA

La empresa O4IT Colombia, presta servicios de tecnología en la nube, acompañada de productos de infraestructura y seguridad informática, ofreciendo servicios todo-en-uno dirigido a los proveedores de servicios que cubre todos los elementos para crear una exitosa operación de servicio: aprovisionamiento, facturación, apoyo e infraestructura convergen en torno a una solución de un solo punto que permite a las empresas para la constitución y gestión de una nube almacenar con una cartera completa de productos de clase mundial. 5 La empresa cuenta con 3 datacenter actuales, ubicados en Bogotá y Miami, pero debido a la expansión y requerimientos actuales, se implementó un nuevo datacenter para satisfacer las necesidad de los clientes, esta vez ubicado en Medellín, pero debido a su rápida implementación es de importancia evaluar su seguridad de la información, pues no existe un Sistema de Gestión de seguridad de la Información, que establezca unas políticas, normas, reglas y controles que permitan establecer, niveles de acceso y roles dentro de la infraestructura del datacenter.6 Debido a la cantidad de información propia y de clientes que este datacenter ha ido albergando se hace necesaria la implementación de un Sistema de Gestión de Seguridad de la Información, para que la empresa obtenga más control sobre su

3 http: //datateca.unad.edu.co/contenidos/233002/Periodo_2014-2/Entorno_de_conocimiento/MATERIAL_DIDACTICO.pdf 4 https://protejete.wordpress.com/gdr_principal/definicion_si/ 5 http://o4it.com/es/soluciones/cloudnow/ 6 http://o4it.com/es/

infraestructura y les brinde así mayor seguridad de información a sus clientes en cuanto al manejo de la información.

2. OBJETIVOS

2.1 OBJETIVO GENERAL

Implementar un SGSI en el datacenter de Medune-Medellin de la empresa o4it Colombia, empleando el estándar ISO 27001:2013 para los equipos de red de borde.

2.2 OBJETIVOS ESPECIFICOS

Analizar los dispositivos de red de borde encontrados en el datacenter Medune para adicionar y/o reforzar sus sistemas de seguridad y/o protección.

Definir un cuadro de riesgos y/o vulnerabilidades a los que puede ver expuesto los equipos de red de borde en el datacenter.

Implementar controles de seguridad en los equipos de red, que permitan hacer cumplir el estándar ISO 27001:2013

Divulgar el Sistema de Gestión de Seguridad Informática, creando un nivel de conciencia de seguridad en los colaboradores de la empresa.

3. MARCO REFENCIAL

3.1. MARCO CONCEPTUAL

De acuerdo al ámbito del proyecto este requiere definir ciertos conceptos y parámetros para lograr la implementación de su seguridad:

3.1.1 Redes de Datos

Se conoce como red de datos a la infraestructura cuyo diseño posibilita la transmisión de información a través del intercambio de datos. Cada una de estas redes ha sido diseñada específicamente para satisfacer sus objetivos, con una arquitectura determinada para facilitar el intercambio de los contenidos.7

3.1.2 Datacenter

Es un edificio o parte de un edificio cuya principal función consiste en albergar una sala de informática y sus áreas de soporte. Es una Infraestructura compuesta por: • Espacio físico para instalación de equipos informáticos de clientes, con adecuados Sistemas de energía, aire acondicionado y seguridad • Conectividad Internet y Privada • Servicios de operación y supervisión de todos los componentes Aspectos Técnicos La norma TIA 942, que tiene por objetivo unificar criterios en el diseño de áreas de tecnología y comunicaciones. – Estandarizar el diseño de los distintos subsistemas que componen el Data Center – Formalizar la disponibilidad teórica del Data Center Establece cuatro niveles (Tiers), en función de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99.995%.8

3.1.3 Rack

Es un soporte metálico destinado a alojar equipamiento electrónico, informático y de comunicaciones. Las medidas para la anchura están normalizadas para que

7 http://definicion.de/red-de-datos/#ixzz3WAD8iwQu 8 http://www.antel.com.uy/wps/wcm/connect/11d15900496ba5459bbc9f7c46b5f36a/Charla-datacenter.pdf?MOD=AJPERES

sean compatibles con equipamiento de cualquier fabricante. También son llamados bastidores, cabinas, cabinets o armarios.9

3.1.4 Switches y router

Switch y Routers son nombres dados a dispositivos de hardware que posibilitan la conexión de computadoras a redes. El switch es un aparato muy semejante al hub, pero tiene una gran diferencia: los datos provenientes de la computadora de origen solamente son enviados a la computadora de destino. Esto se debe a que los switchs crean una especie de canal de comunicación exclusiva entre el origen y el destino. De esta forma, la red no queda "limitada" a una única computadora en el envío de información. El router es un dispositivo utilizado en redes de mayor porte. Es más " inteligente" que el switch, pues, además de cumplir la misma función, también tiene la capacidad de escoger la mejor ruta que un determinado paquete de datos debe seguir para llegar a su destino. Es como si la red fuera una ciudad grande y el router elige el camino más corto y menos congestionado.10

3.1.5 Firewall

Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red:

una interfaz para la red protegida (red interna)

una interfaz para la red externa. Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos.11

3.1.6 Antivirus

Se denomina antivirus a un software utilizado para eliminar programas elaborados con intención destructiva. Así, los antivirus surgieron como una solución a la

9 http://sistemasencomunicaciones.blogspot.com/ 10 http://www.informatica-hoy.com.ar/redes/Diferencias-entre-Hub-Switch-y-Router.php 11 http://windows.microsoft.com/es-xl/windows/what-is-firewall#1TC=windows-7

proliferación de software malicioso cuando el uso de computadoras personales comenzó a masificarse y con ello surgió todo un nuevo mercado.12

3.1.7 Sistemas IDS/IPS

En un momento determinado los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) fueron “la respuesta” a los problemas de ataques al entorno de la empresa. Posteriormente estas tecnologías IPS/IDS fueron identificadas como anticuadas, ineficaces y fuera de uso. La verdad está entre los dos extremos. Y es que en realidad la tecnología IPS/IDS es un componente clave del sistema de detección de ataques y vulnerabilidades, que trabaja junto con otros controles en la seguridad de la empresa.13

3.1.8 Seguridad en Contraseñas

Las contraseñas son el método principal para verificar la identidad de los usuarios. Por esta razón la seguridad de las contraseñas es de suma importancia para la protección del usuario, la estación de trabajo y la red. La seguridad de una contraseña depende de los diferentes tipos de caracteres que use, de la longitud de la contraseña y de si la contraseña se puede encontrar en un diccionario.14

3.1.9 Backup de la información

Los sistemas de respaldo (Backup) y los sistemas redundantes son dos técnicas para proteger los datos contra pérdida por borrado accidental o desastres fortuitos, ambos sistemas son complementarios en cuanto a la seguridad que ofrecen ya que tanto los respaldos como la redundancia por si solos tienen problemas.15

3.1.10 Amenazas

Se puede definir como amenaza a todo elemento o acción capaz de atentar contra la seguridad de la información. Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e independientemente de que se comprometa o no la seguridad de un sistema de información. Las amenazas pueden clasificarse en dos tipos Intencionales, en caso de que deliberadamente se intente producir un daño y No intencionales, en donde se

12 http://definicion.mx/antivirus/#ixzz3WAEjAyin 13 http://searchdatacenter.techtarget.com/es/consejo/Tecnologias-IPS-IDS-cambios-e-innovaciones 14 http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html 15 http://exa.unne.edu.ar/informatica/SO/Monogrgaby.pdf

producen acciones u omisiones de acciones que si bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden producir un daño.16

3.1.11 Hacker

Del inglés hack, hachar. Término utilizado para llamar a una persona con grandes conocimientos en informática y telecomunicaciones y que los utiliza con un determinado objetivo. Este objetivo puede o no ser maligno o ilegal. La acción de usar sus conocimientos se denomina hacking o hackeo. El término "hacker" suele tener una connotación despectiva o negativa, pues se relaciona a tareas ilegales. Es más propio llamar piratas informáticos a aquellos hackers que realizan acciones malignas con sus conocimientos.17

3.1.12 Políticas de seguridad

Las políticas de seguridad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas.18

3.1.13 Seguridad perimetral

La seguridad perimetral corresponde a la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles. Entre estos sistemas destacan los radares tácticos, videosensores, vallas sensorizadas, cables sensores, barreras de microondas e infrarrojos, concertinas, etc.19

3.1.14 Spyware

(Software espía). Cualquier aplicación informática que recolecta información valiosa de la computadora desde donde está operando. Es un tipo de malware que por lo general se introduce y opera en las PCs sin que el usuario lo advierta. También hay espías que entran en las computadoras cuando el usuario acepta las condiciones

16 http://www.seguridadinformatica.unlu.edu.ar/?q=node/12 17 http://www.alegsa.com.ar/Dic/hacker.ph 18 http://www.gestionintegral.com.co/wp-content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-

2013-GI.pdf 19 http://es.wikipedia.org/wiki/Seguridad_perimetral

de uso de un programa al instalarlo, por lo general ese texto es obviado en la instalación.20

3.1.15 Malware

(Programa maligno). Cualquier programa creado con intenciones de molestar, dañar o sacar provecho en las computadoras infectadas. En general, es fácil determinar si un programa es (o contiene) un malware: sus actividades son ocultas y no son anunciadas al usuario. Pero existen casos en que la distinción no es clara, provocando hasta demandas por parte de los desarrolladores de estos programas a los antivirus y anti-espías que los detectan como malignos.21

3.2 MARCO TEÓRICO

3.2.1 Sistemas De Gestión de Seguridad de la Información

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.22 Los fundamentos o pilares de la seguridad informatica son:

Confidencialidad: la información debe ser resguardada y no debe estar a disposición de los usuarios o individuaos sin los debidos permisos de acceso.

Integridad: es vital que la información siempre este integra de acuerdo a su exactitud, procedimientos y métodos.

Disponibilidad: Se debe tener acceso a la información y a los sistemas de tratamiento y uso de parte de los usuarios, entidades o procesos autorizados en caso de requerirlo.

En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la

20 http://www.cibanco.com/consejosSeguridad_10.html 21 http://www.alegsa.com.ar/Dic/malware.php 22 http://www.iso27000.es/sgsi.html

organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI. Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.23 Para alcanzar un nivel de seguridad de acuerdo a los medios técnicos en la gestión de la seguridad deben tomar parte activa toda la organización, con área de gerencia al frente, tomando en consideración a clientes y proveedores de bienes y servicios. En el modelo de gestión de la seguridad deben estar incluidos procedimientos, planificación e implementación de controles de seguridad basados en una evaluación de riesgos y vulnerabilidades. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer y crear políticas y procesos en relación a los objetivos de la organización, con el objetivo de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.

Figura 1. Riesgos informáticos.

Fuente: http://www.iso27000.es/

23 http://www.iso27000.es/sgsi.html

3.2.2 ISO 27000

Se creó teniendo en cuenta un proceso de seguridad de la información basado en el famoso ciclo de Deming ciclo de mejora continua o ciclo PDCA (por las iniciales de Plan, Do, Check y Act), en español Planear, Hacer, chequear y actuar, creando con ello lo que se llamó el Sistema de Gestión de la Seguridad de la Información. Es el estándar para la seguridad de la información ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).24

Figura 2 Ciclo Deming PDCA

Fuente: http://www.iso27000.es/

Abarca: Organización de la seguridad de la información.

Política de seguridad.

Gestión de activos

Control de acceso

Seguridad de los recursos humanos

Cumplimiento.

Seguridad física y del entorno.

Adquisición, desarrollo y mantenimiento de los sistemas de información.

Gestión de las comunicaciones y operaciones.

Gestión de la continuidad del negocio.

Gestión de incidentes de seguridad de la información.

24 http://www.pdcahome.com/5202/ciclo-pdca/

FFigura 3. Procesos de PDCA

Fuente: http://www.iso27000.es/

Las actividades más relevantes son:

Implicación de la Dirección.

Alcance del SGSI y política de seguridad.

Inventario de todos los activos de información.

Metodología de evaluación del riesgo.

Identificación de amenazas, vulnerabilidades e impactos.

Análisis y evaluación de riesgos.

Selección de controles para el tratamiento de riesgos.

Aprobación por parte de la dirección del riesgo residual.

Declaración de aplicabilidad.

Plan de tratamiento de riesgos

Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.

Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.

Formación y concienciación en lo relativo a seguridad de la información a todo el personal.

Monitorización constante y registro de todas las incidencias.

Realización de auditorías internas.

Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.

Mejora continua del SGSI.25

3.2.3 SOA (Statement of Applicability)

Se trata de un documento que enlista los controles de seguridad establecidos en el Anexo A del estándar ISO/IEC 27001 (un conjunto de 114 controles agrupados en 35 objetivos de control, en la versión de 2013 de esta norma de seguridad). El Anexo A suele ser utilizado como una referencia para la implementación de medidas de protección de la información, así como para comprobar que no se están dejando de lado medidas de seguridad necesarias que no habían sido consideradas dentro de una organización. Los propósitos que se desean alcanzar a través de la implementación de controles (es decir, objetivos de control), se encuentran incluidos de manera implícita en los controles seleccionados. Sin embargo, es importante mencionar que un SoA no está limitado a los que se encuentran listados en el anexo, por lo cual pueden ser utilizados otros controles y objetivos de control si se considera necesario.26

3.3 MARCO CONTEXTUAL O4IT es una empresa que ofrece todo-en-uno dirigido a los proveedores de servicios que cubre todos los elementos para crear una exitosa operación de servicio: aprovisionamiento, facturación, apoyo e infraestructura convergen en torno a una 25 http://www.iso27000.es/ 26 http://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-aplicabilidad-soa/

solución de un solo punto que permite a las empresas para la constitución y gestión de una nube almacenar con una cartera completa de productos de clase mundial. Marketing, herramientas de ventas, datos técnicos y soporte dedicado también son parte del paquete.27 Sus productos son:

Cloud Desktop Now: Imagina abrir una hoja de cálculo en la computadora portátil de su oficina y editarlo justo donde lo dejaste en tu tablet más tarde en una habitación de hotel en otra ciudad; la creación de una nueva rama entera de su empresa en cuestión de horas, todo esto es posible a través de Cloud Desktop No, nuestro servicio de escritorio virtualizado.28

Cloud Server Now: Infraestructura del servidor en la demanda desde la nube. Utilice su propio software y configurar entornos de TI en minutos con esta solución segura, escalable y de gran alcance.29

Cloud File Now: La solución de sincronización de archivos cierto para la empresa; los usuarios pueden acceder a sus archivos cifrados con seguridad por todas partes, mientras que los administradores de sistemas gozan de auditoría ampliada y gestión de capacidades.30

Backup Now: Asegure el activo más importante de su empresa, sus datos; CloudNow combina la fuerza de una solución de copia de seguridad de clase mundial con la flexibilidad y la facilidad de uso de la nube.31

Network Now: Proteja su red con esta solución que combina firewall, la gestión del tráfico de datos, y la protección anti-virus; que se puede implementar en sus instalaciones o directamente desde la nube.32

Cloud App Now: Una solución de virtualización de software robusta combinada con una tienda completa de productos de terceros, CloudApp Ahora es el mejor de ambos mundos para empresas y desarrolladores de software.33

27 http://o4it.com/es/ 28 http://cloudnow.com/clouddesktopnow/ 29 http://cloudnow.com/cloudservernow/ 30 http://cloudnow.com/cloudfilesnow/ 31 http://cloudnow.com/backupnow/ 32 http://cloudnow.com/networknow/ 33 http://cloudnow.com/products/

3.3.1 Ubicación de la Empresa

O4IT Colombia con una sede central situada en la ciudad de Bogotá, en la dirección Carrera 7 #74-56, en la oficina 202. Dirección Web: http://o4it.com/ 3.3.2 Misión

O4IT es una empresa con desempeño en el segmento de Tecnologías de la Información y Comunicaciones que desarrolla y provee soluciones integrales de telecomunicación a compañías, haciendo uso de tecnología de punta de forma rentable, y orientada a satisfacer las necesidades y crecimiento de nuestros clientes.

3.3.3 Visión

En el 2017 O4IT será en el 2016 el proveedor líder de servicios de comunicación basados en tecnología de punta para compañías con presencia en múltiples países de Latinoamérica, mediante el diseño de soluciones integrales y la prestación de soporte especializado y continuo.

3.3.4 Políticas de gestión

O4IT Colombia es una empresa con desempeño en el segmento de las TIC´S que desarrolla y provee soluciones integrales de comunicación a compañías con presencia en América. Estamos comprometidos con: • La prestación del servicio y el soporte para potenciar los negocios de nuestros clientes y su satisfacción. • El desarrollo de las competencias de nuestros colaboradores. • La protección de la confidencialidad, integridad y disponibilidad de la información que hace parte del componente de seguridad del sistema de gestión integral. • El mejoramiento continuo del sistema de gestión integral enfocado hacia los aspectos estratégicos de calidad y seguridad de la información que impulsan el negocio.

4. DISEÑO METODOLÓGICO

Para lograr la implementación de un SGSI, es necesario llevar a cabo unos pasos, acciones y/o actividades del ciclo PDCA de acuerdo a ISO 27001/2013, para definir paso a paso la creación del sistema.

4.1 PLANEAR

La planificación busca las actividades susceptibles de mejora para establecer los objetivos a alcanzar. Para buscar posibles mejoras se pueden realizar grupos de trabajo, escuchar las opiniones de los trabajadores, buscar nuevas tecnologías mejores a las que se están usando ahora, entre otras.34 Como primera medida es necesario la evaluación de los diagramas físicos y lógicos de la infraestructura existente en el datacenter. De esta forma podremos analizar que hay, que existe y concluir de ahí a donde pretendemos llegar. El análisis de información es el primer paso para la adquisición de los conocimientos existentes en distintas fuentes de información, y este va desde la recopilación y lectura de textos hasta la interpretación para obtener informes o resultados.

4.1.1 Estructura de O4IT

La empresa cuenta con 4 datacenter como se puede observar en la figura 4. Dos de ellos están ubicados en Estados Unidos (NAP – XO) y dos en Colombia (Terremark – Medune), con los cuales brinda servicios de plataforma a los clientes.

34 http://www.pdcahome.com/5202/ciclo-pdca/

Figura 4. Datacenters O4IT

Fuente: O4IT Colombia

4.1.2 Estructura datacenter MEDUNE

En la siguiente figura 5, se observa la estructura del datacenter Medune y sus equipos de Borde a evaluar.

Figura 5. Datacenter MEDUNE

Fuente: O4IT Colombia

Como podemos observar el datacenter de Medune cuenta con los siguientes dispositivos de borde: Equipo Función Router Equipo de borde MPLS Firewall FortiVM Encargado de la gestión e integración de plataformas de

los clientes. Firewall Juniper Encargado del enrutamiento del Internet Switches De interconexión y que distribuyen las redes del cliente.

4.1.3 Operación logica del datacenter medune

Figura 6. Operación Lógica Datacenter

Fuente: O4IT Colombia

Una vez evaluados los diagramas del datacenter es importante evaluar ahora los dispositivos encontrados y sus sistemas de seguridad y/o protección. Y así establecer a nivel de hardware y software la seguridad que mínima según estándares y normas que debe tener un datacenter para cumplir sus objetivos.

4.1.4 Inventario Datacenter

El datacenter cuenta con un documento en el cual se encuentran detallados los equipos del datacenter, mencionando el inventario de hardware de red el cual será tema de estudio. Introduction This document has as an objective to give a brief about the architecture, operation, initial access and start operation of the MEDUNE Datacenter. Environment Inventory

1. 1 “Rack APC Net shelter SX AP 3100”

2. 2 “APC PDU AP8841”

3. 1 “APC ATS AP7721”

Power Computing Hardware Inventory

1. 2 “Cisco Chassis Cisco 5108 + 4 PSU + 8 Fan + 2 I/O Modules 2204”

2. 4 “Cisco B200 M2 blade servers + Vic 1280 + 2 Xeon E5 5640 + 24 GB”

3. 2 Cisco Fiber Interconnects 6120XP

Storage Hardware Inventory

1. 2 “Netapp V3250 AE + Data Ontap Essentials +4 Ports 10Gbe + 4 Ports FC 8Gb + Flexclone

+ FCP + Flexscale + Multistore + NFS + A-SIS + Nearstore”

2. 1 “Netapp Shelf DS4486 3TB 7.2K X 48HDD”

Network Hardware Inventory 3. 2 “Juniper Networks Firewall SSG320M + 1 GB ram”

4. 2 “Brocade VDX 6730 + 10 Gbic Ethernet + 4 SPF+ Fiber LC”

5. 1 “Firewall Fortinet FGTVM01 + Security Bundle Software”

6. 1 “Cisco Router 2851”

Backup Hardware Inventory 1. EMC VNXe 4.0 TB NAS

Available Resources Description Total Available Ram: 96 GB x 85% Processing: 85 GHZ x 85% Storage 7.2k: 134 TB x 60% Backup: 4 TB x 85%

4.1.5 Alcance del SGSI

La investigación se centra en la evaluación de los riesgos encontrados en los equipos de red de borde del Datacenter de Medune de O4IT, parte del diagnóstico realizado de la infraestructura, describiendo y evaluando los riesgos y/o vulnerabilidades de la información a los que puede ver expuestos los equipos de red del datacenter. Y de esta manera analizar y estudiar cada una de estas vulnerabilidades para darles una completa solución. Descripción de la organización O4IT es una empresa que ofrece todo-en-uno dirigido a los proveedores de servicios que cubre todos los elementos para crear una exitosa operación de servicio: aprovisionamiento, facturación, apoyo e infraestructura convergen en torno a una solución de un solo punto que permite a las empresas para la constitución y gestión de una nube almacenar con una cartera completa de productos de clase mundial.35 Descripción funcional del negocio O4IT Colombia es una empresa con desempeño en el segmento de las TIC´S que desarrolla y provee soluciones integrales de comunicación a compañías con presencia en América. Descripción de localización y distribución geográfica Nos centraremos en el análisis y evaluación de seguridad de los equipos de borde de red en el datacenter Medune ubicado en la ciudad de Medellín. Procesos de negocio incluidos en el alcance De los servicios ofrecidos por la empresa nos centraremos en el análisis de su servicio de Network Now y su Network Hardware Inventory, con el cual protegen su red y la red de sus clientes, esta solución combina firewall, la gestión del tráfico de datos, y la protección anti-virus; que se puede implementar en sus instalaciones o directamente desde la nube. Sistemas de Información incluidos en el alcance Los equipos de borde en el datacenter son: Cantidad Descripción

2 Juniper Networks Firewall SSG320M + 1 GB ram 2 Brocade VDX 6730 + 10 Gbic Ethernet + 4 SPF+ Fiber LC 1 Firewall Fortinet FGTVM01 + Security Bundle Software 1 Cisco Router 2851

35 http://o4it.com/es/soluciones/cloudnow/

Planificación del proyecto El proyecto se organizará en los siguientes grupos: · Comité de seguimiento: Constituido por el Jefe de infraestructura, el coordinador

del área de networking, y el jefe de proyecto. · Jefe de proyecto: Katerine Quiñonez · Equipo de proyecto: Katerine Quiñonez

Leandro Gutiérrez Oscar Pérez Jorge David Saba David Martínez

Lanzamiento del proyecto: Divulgación del Sistema de Gestión de seguridad Informática a cargo de Katerine Quiñonez.

4.1.6 Políticas de seguridad.

Los siguientes controles se aplicarán de acuerdo al análisis de riesgos de la norma ISO 27001/2013 en su metodología PDCA.

– Se levantará y recopilará la información en función del entorno a analizar.

– Se asignarán las personas y comités para el análisis del sistema de gestión.

– Se definirán recursos necesarios para los procesos del proyecto.

– Se elegirán las técnicas principales de evaluación de riesgo a utilizar.

– Se evaluaran los requisitos de formación en seguridad

– Análisis en prevención y detección de virus y otro software malicioso

– Consecuencias de las violaciones de la política de seguridad

– Revisión de requisitos de uso de los Sistemas de Información como gestión de contraseñas, acceso a internet, uso de e-mail

– Análisis de Controles técnicos

– Evaluación de gestión de la continuidad del negocio

– Se realizarán campañas informativas de sensibilización a los afectados internos sobre las finalidades y requerimientos en su participación.36

4.1.7 Metodología de evaluación de riesgos

La metodología para la evaluación de riesgos consta de los siguientes pasos:

– Supervisión y control de los cambios significativos en la protección de activos.

– Revisión y seguimiento de incidencias

– Controles de cambio de software

– Controles de versión

– Seguridad de redes y telecomunicaciones

– Seguridad de Sistemas operativos

– Seguridad de Firewalls

– Respuesta ante incidentes

– Seguridad de Intranet

– Cifrado de datos

4.1.8 Inventario de activos

Los activos se agrupan en las siguientes categorías: Activos de información: Base de datos de la empresa, documentación del

datacenter Medune, procedimientos operativos o de soporte y planes de continuidad.

Activos de software: Herramientas de monitoreo y escaneo.

36 http://www.mailxmail.com/curso-implantacion-sistema-gestion-seguridad

Archivos físicos: Equipo portátil para ejecución y procesamiento de los

datos, routers, switches y firewall`s de borde.

4.1.9 Identificar amenazas y vulnerabilidades.

Para efectuar el análisis de riesgos de los equipos de red del datacenter Medune, se debe instaurar una gestión del riesgo realizando las siguientes acciones.

– Verificación del nivel de confianza de los controles existentes.

– Verificación de riesgos y tipos de atacantes al sistema.

– Identificación de riesgos del sistema.

– Análisis del diseño de seguridad.

4.1.10 Análisis y evaluación de riesgos

Para el análisis de riesgos se verificaran los siguientes componentes:

– Diseño y una arquitectura global de seguridad.

– Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001:2013 para el tratamiento del riesgo en respuesta a las amenazas evaluadas.

– Valoración del nivel actual de los controles.

– La identificación y definición de acciones con su prioridad respectiva con

objeto de implantar seguridad.

– Un plan de trabajo detallado para la implantación de los controles, incluyendo prioridades, presupuesto y calendarios.

– Los requisitos para el desarrollo de los procedimientos de operación y

administración de la seguridad a través de control de cambios.37

37 http://www.mailxmail.com/curso-implantacion-sistema-gestion-seguridad/identificar-valorar-riesgos-plan-gestion-riesgo

4.1.11 Selección de controles y SOA.

Se definir la declaración de aplicabilidad también llamada SOA (Statement of Applicability) que incluye:

– Los objetivos de control y controles seleccionados y los motivos para su elección.

– Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.38

4.2 HACER

En esta etapa del ciclo se realizan los cambios para implementar la mejora propuesta en este caso para la seguridad de los equipos de borde del datacenter Medune. 4.2.1 Riesgos y/o vulnerabilidades de la información

Teniendo en cuenta las evaluaciones de los equipos de red de borde del datacenter Medune, debemos establecer un cuadro de riesgos y/o vulnerabilidades a los que puede ver expuesto la información. Y de esta manera analizar y estudiar cada una de estas vulnerabilidades para darles una completa solución. En la tabla 1 a continuación se describen las amenazas que más probablemente impactan al Datacenter de Medune y los componentes del sistema y su administración.

38 http://www.iso27000.es/sgsi_implantar.html

Tabla 1. Riesgos y vulnerabilidades Datacenter Medune

Fuente: El autor

RIESGOS Y VULNERABILIDADES

Probabilidad de amenaza Alta Media Baja

Uso de dispositivos de almacenamientos externos en los

equipos de cómputo de los usuarios de O4IT.

X

Falta de Backup de Datos e Información X

Poca configuración de las políticas de seguridad del

Sistema.

X

Dispositivos sin modo High Avalaible (Alta disponibilidad) X

Control de Acceso a los equipo de comunicaciones sin

registro de usuario por Radius.

X

Claves en texto plano de equipos de cómputo. X

Seguridad a las contraseñas de los usuarios sin

aplicación de políticas

X

Débil configuración de los equipos de comunicación

switches y router.

X

Sin bloqueos de puertos de acceso en los equipo. X

Falta de bloqueo de servicios de entrada y salida de las

políticas de enrutamiento.

X

Faltan de evaluación periódica de los equipos en cuanto a

actualizaciones de firmware y S.O

X

Políticas en los equipos sin etiquetado y señalización. X

Débil cconfiguración de perfiles web X

Falta de configuración de control de aplicaciones X

Sin implementación de configuración de IPS X

Sin instalación de cconfiguración de Email Filter X

Nula delimitación de puertos y servicios en

configuraciones NAT

X

Pocas intervenciones de capacitación y actualización de

los Administrativos y Funcionarios en políticas de

Seguridad Informática.

X

Sin roles de acceso a los equipos. X

Falta de Backup de red de internet X

4.2.2 Plan de Tratamiento de Riesgos

Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. A continuación se elabora una declaración de aplicación SOA del anexo A de la norma ISO 27001; teniendo en cuenta algunos aspectos que pueden ser aplicados en el tratamiento de riesgos del datacenter de Medune de O4IT. LR: Requisitos legales CO: Obligación contractual BR/BP: Requerimientos del negocio / Mejores prácticas adoptadas RRA: Resultados de la evaluación de riesgos Los controles seleccionados son los que se exponen a continuación:

Tabla 2. Declaración de aplicabilidad SOA

DECLARACIÓN DE APLICABILIDAD

(SOA – STATEMENT OF APPLICABILITY)

SISTEMA DE GESTIÓN DE SEGURIDAD

INFORMÁTICA

ISO 27001:2013

REFERENCIA DEL

CONTROL TÍTULO DEL CONTROL

CONTROLES Y RAZONES DE SELECCIÓN

OBSERVACIONES

LR CO BR/BP RRA

A.5.1.1 Políticas de seguridad de la información

X X X X

A.5.1.2 Revisión de las políticas de seguridad de la información

X X

A.6.1.1 Compromiso de la dirección de seguridad de la información

X X

A.7.2.1 Administración de responsabilidades

X X X X

A.7.2.2 Etiquetado de la información y el manejo de concienciación sobre la seguridad de la información, la educación y la formación

X X X X

A.8.1.1 Inventario de activos X X

A.8.2.1 Clasificación de la información X X

A.8.2.3 Manipulación de los activos X X X

A.8.3.3 Transferencia de medios físicos X X

A.9.1.1 Política de control de acceso X X X

A.9.1.2 Acceso a las las redes y los servicios de red

X X

A.9.1.3 Seguridad de oficinas, habitaciones y medios

X X X

A 9.2.1 registro de usuario y cancelación de la matrícula

X X X

A 9.2.2 Acceso aprovisionamiento de usuarios

X X

A 9.2.6 La eliminación o ajuste de accesos.

X X

A.9.4.1 Restricción de acceso Información X X

A.9.4.3 Sistema de gestión de contraseña X X

A.10.1.2 Gestión de claves X X

A.11.1.1 Perímetro de seguridad física X X

A.11.1.2 Controles de accesos físico X X

A 11.1.3 Asegurar oficinas y salas X X

A 11.2.1 Protección de equipos locales X X X

A 11.2.2 Apoyo a los servicios públicos X X

A 12.1.4 Separación de desarrollo, prueba y

entornos operativos

X X

A.12.3.1 Respaldo de la información X X X X

A 13.1.1 Controles de red X X

Fuente: El autor

Los otros 107 controles restantes de la declaración de aplicabilidad no son incluidos debido a por su naturaleza no se consideran que se relacionan con la gestión del caso o son completo de los ya descritos, para observar el listado completo ver anexo 1. 4.2.3 Implantar el plan de tratamiento de riesgos

En esta parte se define el plan de tratamiento de riesgos con el fin de alcanzar los objetivos de control identificados.

Tabla 3. Declaración de aplicabilidad

ANALISIS DE RIESGOS

(SOA – STATEMENT OF APPLICABILITY)

SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA

ISO 27001:2013

REF. Control

RIESGO IDENTIFICADO

CONTROLES ALTERNOS

RECOMENDACIONES / PLAN DE

TRATAMIENTO

OBSERVACIONES

A.5.1.1 Políticas de seguridad de la información. Estas no son divulgadas ni encontradas en los espacios de la compañía.

Se deben realizar encuestas para verificar la calidad y el ambiente laboral de la compañía, además de auditorías para validar y mejorar las políticas de seguridad.

Se debe publicar el documento para que sea de conocimiento público, así como la capacitación y divulgación del mismo.

Las políticas de seguridad deben ser evaluadas y auditadas por todo el personal de la compañía.

A.5.1.2 Revisión de las políticas de seguridad de la información. —falta de auditoria y revisiones de las políticas.

Periódicamente se deben realizar auditorías y revisión de las políticas de seguridad por áreas internas y entidades externas.

Programar al área interna de las verificaciones periódicas del documento. Contacto de empresa externa para ejecución de auditorias

Las políticas de seguridad deben estar en constante evaluación para ir mejorando nos solo el ambiente laboral sino la seguridad de la compañía.

A.6.1.1 No se identifica una revisión regular por el líder de la compañía gestionar donde se evidencien las revisiones y aprobaciones dadas por el líder.

En el documento se debe incluir un control de cambios con un aprobación y/o revisión por parte de la junta directiva

Incluir revisión y aprobaciones por parte de la junta directiva

La aceptación de la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) debe contar con la aceptación de la junta directiva

A.7.2.1 Administración de Responsabilidades. – deben existir un área encargada de la verificación constante de la seguridad.

Se debe conformar un área o personal idóneo para soportar la seguridad de la compañía

Se deben programar verificaciones periódicas de la seguridad de la compañía.

La seguridad es un deber de la compañas y este debe ser realizado por personas idóneas por lo que deben encargarse de la velar y verificar la seguridad de forma periódica y constante

A.7.2.2 La información no se observa con la rotulación adecuada

Etiquetar los documentos almacenados siguiendo el protocolo que se establezca en el SGSI

Definir una política de la custodia de información en el cual se manejen versionamientos, área de la compañía, proceso que corresponda

Todos los empleados de la organización y, en su caso, los contratistas deberán recibir educación adecuada sensibilización y la formación y actualizaciones periódicas en las políticas y procedimientos de la organización, como relevantes para su función laboral.

A.8.1.1 Inventario de activos. – No se cuenta con un archivo o documento con la información de los activos

Se debe aprovisionar una base de datos para almacenamiento de los activos de la empresa.

Debe existir personal encargado del almacenamiento y actualización de los activos de la compañía.

Los activos de la compañía son los datos y los equipos, por lo que se debe contar con un almacenamiento donde se cuente con un inventario de los mismos.

A.8.2.1 Clasificación de la información. No se observa políticas de acceso y restricción a la información.

Cada área de empresa tiene su rol definido por lo que se deben ejecutar controles y privilegios de la información a consultar.

De acuerdo a las áreas de la compañía es necesario realizar un filtro y restricciones de acceso de acuerdo a los roles desempeñados en la empresa.

De acuerdo al rol desempeñado en la compañía los usuarios deben contar con un acceso específico de la información para evitar divulgación de datos valiosos.

A.8.2.3 Los procesos de manejo de activos asignados a los responsables deben ser correctamente definidos para evitar el riesgo de pérdida o robo de información.

El control de los activos debe definirse y estipularse el método de acceso y las responsabilidades

De acuerdo a los roles establecidos definir los permisos, accesos y responsabilidades.

Cada área debe tener un rol asignado el cual conlleva responsabilidades y de acuerdo al manejo y proceso de la información.

A 8.3.3 Los medios físicos mediante los cuales se trata información, deben ser protegidos.

Salvaguardar la información física en lugares apropiados para que no sea bien público.

Métodos y espacios de protección de la información física y responsables de su protección.

Es por esto que la compañía debe apropiarse estableciendo los mecanismos de resguardo de la información.

A.9.1.1 Política de control de acceso. Se observan controles de acceso débiles en la empresa.

Los equipos y archivos de la compañía deben contar con controles de acceso para su ingreso.

Se debe realizar cambio frecuente de los controles de acceso a los equipos o emplear radius para su acceso y así poder proteger y controlar el acceso a los dispositivos e información.

La información es el bien más valioso de una compañía por lo que se deben implementar controles de acceso a la información dependiendo del área de trabajo.

A 9.1.2 Acceso a las redes y los servicios de red.

La asignación y utilización de los derechos de acceso privilegiados serán restringidas y controladas.

Se establecerán privilegios y acceso de acuerdo a las áreas y roles de los usuarios de la empresa.

Debe establecerse por parte de la empresa un manejo de privilegios de acceso.

A.9.1.3 En caso de una incursión física por parte de

Se debe diseñar y aplicar seguridad física en las

Seguridad electrónica, física, puertas y control de

Las proporciones de una calamidad son altísimas en caso de no

delincuentes, podrá presentarse una catástrofe de proporción gigantesca que ponga en riesgo la continuidad de negocio

oficinas, habitaciones y medios

horarios y de acceso, monitoreo alarmas, cámaras cctv, seguridad humana, etc

implementar los controles a tiempo. La información e infraestructura para preservación de información quedaría vulnerable.

A 9.2.1 Registro de usuario y cancelación de la matrícula

Ejecutar procesos de registro de usuario para permitir la asignación de derechos de acceso.

Los registros de usuarios deben ser actualizados para obtener una base de datos no solo actual sino protegida de accesos indebidos.

Es importante que cada usuario este asociado a un rol y q este rol tenga definido los accesos.

A 9.2.2 Acceso y aprovisionamiento de usuarios

Procesos de aprovisionamiento de acceso a los usuarios formales para asignar o revocar los derechos de acceso para todos los usuarios a todos los sistemas y servicios.

Cada usuario no solo debe tener acceso a la información de manejo y sino que debe tener una permisos especiales de escritura y lectura de acuerdo al rol y la responsabilidad.

El aprovisionamiento de lectura y escritura en los usuarios ayuda a la protección y seguridad de los datos.

A 9.2.6 La eliminación o ajuste de accesos.

Eliminar los derechos de acceso de los usuarios a las instalaciones de procesamiento de la información a la terminación de su contrato.

Se debe generar un proceso interno cada vez que un empleado pierda su vinculación a la empresa sin importa su naturaleza.

Una vez desvinculado un usuario por la empresa o de forma voluntaria se debe notificar al área encargada para la eliminación de perfil.

A.9.4.1 Restricción de acceso Información.

El acceso a la información y las funciones del sistema de aplicación se limitará de acuerdo con la política de control de acceso.

Establecer mecanismos que permitan establecer un control seguro al inicio de sesión

Verificar las políticas de control de acceso, el acceso a los sistemas y aplicaciones niveles de seguridad o asignación de roles.

A.9.4.3 Sistema de gestión de contraseña.

La empresa no cuenta con gestión de cambio periódico de contraseñas ni con contraseñas seguras

Se deben configurar parámetros que permitan la asignación de claves seguras y cambio periódico de las mismas.

La mayoría de las intrusiones se realizan desde la red interna por lo que debemos proteger el acceso a la información y por ello es importante el cambio

periódico de contraseñas.

A 10.1.2 Gestión de claves Crear política sobre el uso, la protección y la duración de claves criptográficas.

Las políticas de seguridad en las contraseñas deberán desarrollarse y aplicarse a través de todo su ciclo de vida.

Es importante que se fijen políticas con cambios periódicos y con una estructura de seguridad para protección de los datos.

A.11.1.1 Perímetro de seguridad física.

La empresa debe reforzar la seguridad perimetral y esta se logra con equipos de cctv y de controles de acceso para poder monitorear y registrar las actividades diarias de la compañía.

Se deben adquirir sistemas de monitoreo y de controles de acceso.

La seguridad perimetral en una compañía es esencial pues esta es la encargada del control de agentes externo e internos gracias a los registros que nos permite acceder

A 11.1.2 Controles de

accesos físico

Proteger y ejercer controles para garantizar que se permite el acceso sólo el personal autorizado.

Por medio de equipos biométricos, de seguridad y de monitoreo deben custodiarse los sistemas de información.

La seguridad física es uno de los pasos fundamentales para salvaguardar los sistemas informáticos.

A 11.1.3 Asegurar oficinas y

salas

Diseñar y planear la seguridad física para oficinas, salas e instalaciones.

Configurar los accesos requeridos para el acceso a los centros de datos así como establecer formatos de ingreso.

Controlar el acceso de las personas a los centros de información nos brinda seguridad a los sistemas de datos.

A 11.2.1 Protección de

equipos locales

El equipo deberá estar situado y protegido para reducir los riesgos derivados de las amenazas ambientales y riesgos y oportunidades para el acceso no autorizado.

Se debe coordinar la correcta instalación de los equipos en los centros de cómputo de forma que puedan estar lo mejor protegidos posibles de eventualidades.

Los factores ambientales y de intrusión física son principios de seguridad básicas para los centros de datos.

A 11.2.2 Proteccion de los

servicios públicos.

El equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en el apoyo servicios públicos.

Se debe contar con planta eléctrica, sistema de ventilación, de oxígeno y cortafuegos para prevenir desastres naturales o

Es importante prevenir los incidentes provocados por factores ambientales, pues así se protegen a los sistemas de información y a los

voluntarios, así como las debidas rutas de evacuación.

implicados en su custodia.

A 12.1.4 Separación de entornos operativos.

Definir y establecer entornos operativos aislados para reducir los riesgos de acceso o cambios no autorizados al ambiente operacional.

Crear segmentación de puertos a nivel de vlan y equipos para prevenir que los ataques de la red tenga una afectación mayor.

Las intrusiones y ataques a la red tienen como fin el daño general de los sistemas por esta razón debemos segmentar la información y las redes para prevenir este tipo de incidencias

A.12.3.1 Respaldo de la información.

La información de la compañía debe contar con registros los cuales deben se almacenas en un servidor o área para salvaguardar la información.

Configurar servidores de almacenamiento para guardar el registro de las labores de la empresa.

La información debe ser protegida para ello es importante contar con backup de respaldo, no solo en caso de falla en el principal sino como server de almacenamiento debido a la cantidad de información que se recibe.

A.13.1.1 Controles de red. Las redes deberán ser gestionadas y controladas para proteger la información de los sistemas y aplicaciones.

Se deben implantar, verificar y chequear las políticas de seguridad para fortalecer la seguridad de las redes e información.

Las políticas de seguridad brindan protección a los sistemas, por esta razón siempre deben estar en constante actualización y ejecución.

Fuente: El autor

4.2.4 Implementación de controles

Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.39 De acuerdo a la topología de los equipos de borde del datacenter se plantean al área de Network las siguientes vulnerabilidades:

39 http://www.iso27000.es/sgsi_implantar.html

4.2.4.1 Router MPLS

Este equipo es el encargado de comunicar al datacenter Medune con los demás datacenter de la empresa, por lo que como primera medida debe contar con una configuración en HSRP para garantizar alta disponibilidad en sus servicios:

Adquirir un equipo Router Cisco de acuerdo a la versión y modelo del existente:

PEMEDUNE01#sh version Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Wed 18-Jul-07 06:21 by prod_rel_team ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) Cisco 2851 (revision 53.51) with 512000K/12288K bytes of memory. Processor board ID FTX1204A5N3 2 Gigabit Ethernet interfaces 1 Virtual Private Network (VPN) Module DRAM configuration is 64 bits wide with parity enabled. 239K bytes of non-volatile configuration memory. 62720K bytes of ATA CompactFlash (Read/Write)

Configurar el hrsp en los equipos para HA Router A Configuración # configure terminal (config)# interface gigabitethernet x/x (config-if)# no switchport (config-if)# ip address x.x.x.x 255.255.255.0 (config-if)# standby 1 ip x.x.x.x (config-if)# standby 1 priority 110 (config-if)# standby 1 preempt (config-if)# end Router B Configuración # configure terminal (config)# interface gigabitethernet x/x (config-if)# no switchport (config-if)# ip address x.x.x.x 255.255.255.0 (config-if)# standby 1 ip x.x.x.x

(config-if)# standby 1 preempt (config-if)# end Donde standby 1 ip x.x.x.x Esta la ip es la virtualizada a la cual se apuntará el servicio. Y el ip address x.x.x.x 255.255.255.0 Hace referencia a las ip de los Router las cuales deben pertenecer al mismo segmento para tener comunicación.

Verificación niveles de contraseñas Cisco cuenta con unos niveles de privilegios para los usuarios los cuales van desde 0 a 15 donde: Nivel 0 Permite acceso a modo usuario Nivel 1 a 14 Permite realizar modificaciones en los niveles Nivel 15 Permite acceso a modo privilegiado con todos los permisos De estos dos usuarios locales solo uno de ellos debe estar con nivel 15 de privilegios y el otro contar con un nivel entre 1 a 14 para ser modificados de acuerdo al nivel. username admin privilege 15 password 7 07340F1F5A1B49550340525A537B7E7115 username support privilege 15 password 7 142C211E1C147A3930266021704A514152540364 De acuerdo a los tipos de password en cisco existen los siguientes parámetros: Tipo 0: Son contraseñas guardadas en texto plano. Tipo 5: Contraseña con algoritmo MD5 almacenándose su correspondiente hash, la cual es considerada como segura. Tipo 7: Similar a la tipo 5 solo que cuenta con un algoritmo definido por el fabricante Cisco, sin embargo es fácil de crackear. Debido a lo anterior no debería estar este tipo de 7 en la configuración de los usuarios tacacs:

tacacs-server host 190.242.59.182 tacacs-server host 208.176.216.189 tacacs-server key 7 150A295F2F041F313B261A094522tacacs-server host 190.242.59.182

Verificar protocolo de enrutamiento. Si bien cierto el protocolo RIP es más fácil de configurar comparado con los demás protocolo de enrutamiento, pues es soportado por la mayoría de los fabricantes debido a que es un protocolo abierto. Pero también cuenta que algunas desventajas bastante importante de considerar como lo son que para determinar la mejor métrica solo tiene en cuenta el número de saltos y no toma en cuenta otros parámetros importantes e influyentes en el ancho de banda lo que puede causar ineficiencias en las redes al optar por una ruta de menor ancho de banda.40 Además RIP no está diseñado para resolver cualquier posible problema de encaminamiento. El RFC 1720 (STD 1) describe estas limitaciones técnicas de RIP como graves y el IETF está evaluando candidatos para reemplazarlo en que OSPF es el favorito.41

Por esta razón se recomienda que este protocolo no sea empleado como se observa está en la configuración del equipo:

router rip version 2 network 10.0.0.0 neighbor 10.95.0.217 no auto-summary

En su lugar utilizar OSFP, pues está diseñado para redes grandes y complejas con buenos principios de diseño, mientras que RIP está destinado a redes pequeñas en las cuales un único protocolo puede reducir el tiempo de configuración y diseño.

A continuación nombraremos algunas ventajas del protocolo OSPF.

- OSPF es mucho más escalable que RIP

40 https:// dialnet.unirioja.es/descarga/articulo/3648353.pdf 41 http://www.ecured.cu/index.php/Protocolo_RIP

- Presenta menos utilización de red para lograr redes bastante estables - Dispone de una mejor selección de camino - Evita de forma elegante los bucles de enrutamiento - Emplea una métrica mucho más útil - La convergencia es más rápida42

Eliminación de accesos simultáneos en VTY (terminal virtual). En cuanto a conexiones remotas y por ser un equipo de backbone no es recomendable tener habilitadas 15 sesiones simultáneas por lo que se debería eliminar la siguiente línea de comandos:

line vty 5 15 privilege level 15 login authentication ssh transport input ssh

Y solamente trabajar con 4 conexiones lo cual sigue siendo muchas. line vty 0 4 privilege level 15 login authentication telnet transport input telnet ssh

4.2.4.2 Firewall Fortigate VM

Este dispositivo es el firewall donde se encuentra la gestión de los clientes, así como sus redes de aplicaciones y servicios, sus vulnerabilidades son: Dominios virtuales (VDOMs) se pueden utilizar para dividir una sola unidad FortiGate en dos o más instancias virtuales de FortiOS que funcionan como unidades FortiGate independientes.43

42 https:// dialnet.unirioja.es/descarga/articulo/3648353.pdf 43 http://cookbook.fortinet.com/vdom-configuration/

Esto significa que son instancias virtuales que simulan un firewall Individual para cada cliente o clientes que se configuren en él.

Figura 7. VDOM

Fuente: http://cookbook.fortinet.com/vdom-configuration/

Acceso al equipo

Este dispositivo tiene Ip publica para su acceso como se ve en la parte superior de la figura 8, lo cual no es una buena práctica pues no solo está el Core de la empresa sino sus clientes, por lo tanto el acceso debería ser por su IP interna, o limitar las redes de acceso al equipo.

Figura 8. Firewall FortiGate VM

Fuente: O4IT Colombia

Así como el acceso al equipo no debe ser por ip publica, también se debe revaluar los permisos de acceso por puertos que tiene habilitado, en las Figuras. 9 a 12, se puede ver como las redes del puerto 1 y 3 del firewall cuentan con acceso a HTTPS, PING, SSH, SNMP, PMG-Access, debería eliminarse estos accesos y solo dejar HTTPS, PING por buenas prácticas y seguridad.

Figura 9. Acceso de interfaces Port1

Fuente: O4IT Colombia

Figura 10. Acceso de interfaces Port3

Fuente: O4IT Colombia

Figura 11. Interfaces Port3 Acceso

Fuente: O4IT Colombia

Figura 12. Acceso Interfaces

Fuente: O4IT Colombia

Para garantizar no solo la seguridad sino el monitoreo de los cambios y acciones a realizar en el equipo se debe sincronizar el firewall con el servidor de TACACS así como está el Router MPLS y no dejar solo usuarios locales, menos si como observamos en la Fig 13 cuentan con perfiles de Super_admin lo que les permite tener acceso de lectura y escritura sobre el equipo.

Figura 13. Usuarios de acceso

Fuente: O4IT Colombia

Reportes del equipo

El firewall está diseñado para generar diversos reportes y esta es una ventaja que debemos aprovechar para el monitoreo de las redes y análisis de su seguridad, en la parte superior derecha de la Fig 14, se puede observar que no está activa la aplicación, por eso como primera medida debe configurarse y sincronizarse al FortiAnalyzer el cual es el dispositivo de la familia Fortinet que está diseñado para generación de reportes, este equipo nos pueden servir de apoyo no solo para entrega de evidencia y comportamiento del enlace a los clientes sino para análisis de incidentes en caso de presentarse, pues aunque el equipo tiene un módulo de reportes no es tan optimo como el que brinda el FortiAnalyzer y debido a que la empresa cuenta con 3 de estos equipos, la acción seria la sincronización con alguno de estos sin necesidad de adquisición de equipos.

Figura 14. FortiAnalyzer

Fuente: O4IT Colombia

Políticas de enrutamiento

En cuanto a políticas de enrutamiento debe discriminarse no solo la fuente sino también el destino, así como los puertos de servicio de modo que se pueda restringir el acceso y prevenir así infiltraciones a las redes, lo cual si observamos como ejemplo los vdom llamados CLOUD y COLECO de la Fig 15 y 16. Vemos que no se cumple muchas de estas condiciones.

Figura 15. VDOM Cloud

Fuente: O4IT Colombia

Figura 16. VDOM Coleco

Fuente: O4IT Colombia

El firewall así como los Router tiene la capacidad de configurar NAT, esto se hace para asignar una ip publica a una ip interna de algún equipo o servidor especifico,

con el fin de que pueda ser publicado y consultado desde internet, pero se debe recordar que cada vez que esto ocurra se debe limitar los puertos de acceso, pues en vista que su publicación queda abierta queda también muy expuesto a ataques informáticos. Es por esta razón que por buenas prácticas una vez se configure un NAT, en las políticas de acceso se debe limitar los puertos de acceso, lo que en la Fig 17 no se ve aplicado y sus puertos está configurado con ANY, por eso para esta limitación se debe consultar al cliente o al encargado de la aplicación para especificar los puertos a habilitar.

Figura 17. NAT

Fuente: O4IT Colombia

Figura 18. Políticas de acceso a NAT

Fuente: O4IT Colombia

Perfiles de seguridad

El equipo cuenta con un módulo de UTM (Unified Threat Management), o más bien Gestión Unificada de Amenazas. Esto hace que el Firewall UTM contenga múltiples funcionalidades (servicios) en una misma máquina de protección perimetral. 44 Algunas de estos servicios se pueden observar en la Fig 19 y son: Función de un firewall de inspección de paquetes

- Función de VPN

- Antispam Antiphishing

- Antispyware

- Filtrado de contenidos

- Antivirus

- Detección/Prevención de Intrusos (IDS/IPS)

Figura 19. UTM Fortinet

Fuente: O4IT Colombia

De acuerdo a las características anteriormente mencionada y observando las Figuras 20 a 24, se puede ver que su configuración es muy débil, más para el soporte de las redes de cliente y de un datacenter, pues en cuestión de perfiles web solo se ve uno creado y este es el perfil que reglamente el Ministerio de Comunicaciones.

44 http://www.uees.edu.sv/blogs/oscard/?p=611

Figura 20. Perfiles Web

Fuente: O4IT Colombia

Ademas no se observa ningun control de aplicaciones aplicados como se puede apreciar en la casilla de (Referencia) Ref. de la figura 21.

Figura 21. Control de aplicaciones Fortinet

Fuente: O4IT Colombia

Tampoco se observa configuraciones de sensores para protección de intrusiones en la red como tampoco filtro de correo para evitar spam, ni escaneo de vulnerabilidades.

Figura 22. IPS Protección contra Intrusiones

Fuente: O4IT Colombia

Figura 23. Filtros de correo

Fuente: O4IT Colombia

Figura 24. Escaneo de vulnerabilidades

Fuente: O4IT Colombia

4.2.4.3 Firewall Juniper

Este dispositivo es el encargo del enrutamiento de internet en el datacenter y en cuanto su evaluación de seguridad analizaremos parámetros básicos pues debido a su rol no requiere de una robusta configuración.

Serie del firewall

Lo primero que podemos decir del equipo es su versión, pues como se observa en la parte superior izquierda de la Fig. 25, es un firewall juniper SSG-320M, el cual es una versión que por ser tan antigua ya no cuenta con soporte en caso de cualquier falla. Los juniper son plataformas de seguridad de alto rendimiento para implementar en pequeñas hasta grandes empresas, pero la serie SSG-320M es la primera de las versiones empleadas para medianas y grandes empresas, pero por el simple hecho de ser un datacenter debe contar con dispositivos para redes globales y para ello está la serie SSG-500 en donde están dos modelos que son el SSG520M y el SSG550, donde por lo menos se debe cambiar a la versión SSG-520M.45

Figura 25. Firewall Juniper

Fuente: O4IT Colombia

Seguridad de acceso

Este equipo cuenta solo con usuarios locales por lo que no se tiene control de las personas que acceden a él, lo que no garantiza un monitoreo en los cambios que se puedan realizar en el equipo.

45 http://www.juniper.net/us/en/products-services/security/ssg-series/

Figura 26. Firewall Juniper

Fuente: O4IT Colombia

Siendo un equipo que soporta y distribuye todo el enrutamiento del datacenter no debería contar con acceso por ip pública sino de forma interna y no tener tantos accesos permitidos como se ve en la Fig 27 donde se ve habilitado https, ssh y telnet.

Figura 27. Puertos Juniper

Fuente: O4IT Colombia

Bloqueos de seguridad

El firewall aunque tiene opciones de seguridad, no las tiene aplicadas como se aprecia en la siguiente figura 28, y estas herramientas debe estar activas pues no proporcionan más protección a la red.

Figura 28. Opciones de seguridad

Fuente: O4IT Colombia

Politicas de acceso

Por el simple hecho de ser un dispositivo de seguridad no debe contar con políticas de acceso abierto (all to all), menos si estamos hablando de un dispositivo de borde en un datacenter y de acuerdo a esto las políticas que se observan en la fig 29 no debería existir de la forma en la que están configuradas:

Figura 29. Políticas de enrutamiento Juniper

Fuente: O4IT Colombia

Debe validarse los rangos de direccionamiento y delimitar de esta manera las políticas de acceso.

Limitación de tráfico en interfaces.

Como lo que administra este equipo son los canales de internet y su distribución, esta debe ser de acuerdo a lo contratado al cliente y/o segmento, esto para que no consuman más del ancho de banda adquirido y no saturen los enlaces de los demás clientes. En la Fig 30, se puede observar esta acción en la sección de traffic bandwidth, donde no se ve limitación alguna.

Figura 30. Traffic bandwidth Juniper

Fuente: O4IT Colombia

4.2.4.4 Backup de red de internet

El datacenter no puede contar con un solo proveedor de ISP para los servicios de la plataforma, debe existir otro servicio de internet que pueda ya ser empleado como backup o para ser usado como balanceador del internet junto con el existe.

4.2.4.5 Capacitaciones

En la empresa se presentan pocas intervenciones de capacitación a los Usuarios y Administrativos en políticas de Seguridad Informática. Se debe coordinar con el área de gestión y recursos humanos realizar charlas para exponer los riesgos de la seguridad informática, describir los daños que causan los ataques y la forma en la que ingresan al sistema.

La vulnerabilidad más grande de toda empresa es la llamada Ingeniería Social y es en ella en la que se debe enfocar por divulgar a los usuarios para que puedan detectarla y prevenirla.

4.2.5 Gestión de Recursos.

Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.

- Adquisición de equipos de red para su instalación en HA. o Máquina virtual para Firewall VM01 o Firewall Juniper o Router Cisco

4.2.6 Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.

- Formato de ingreso al datacenter.

FORMATO DE INGRESO AL DATACENTER

CÓDIGO

GDS-GS-PL01-FR01

VERSIÓN 1.0

PÁGINA

DATOS GENERALES

INGRESO Y SALIDA DE VEHÍCULOS

Tipo de Solicitud PLACA

Acceso Datacenter

Remote Hands

MARCA

Cliente y/o Contratista

PLACA

Nombre de Datacenter

MARCA

Pais PLACA

Fecha Ingreso(AAAA/MM/

DD) MARCA

Hora Inicio Autorizada

PLACA

Hora Finalizacion MARCA

MOTIVOS DE INGRESO

RELACIÓN DE PERSONAL QUE SOLICITA INGRESO A LAS INSTALACIONES

Se debe adjuntar la siguiente información según el país indicado. Certificado pólizas ARL (en Colombia). Nota: Si no se envía esta certificación el ingreso NO será Permitido).

NOMBRE No.

Identificacion

EPS ARL/ ART/ ARC

EMPRESA / CLIENTE

Cargo Observacio

nes

GESTION DE

EQUIPOS

INVENTARIO DE EQUIPOS QUE INGRESAN O RETIRAN (Solo equipos que se Instalaran en Rack)

Cant.

IN/OUT

Modelo

Marca

Serial Rack Rackea

ble

Tipo equip

o

Dimensiones

SISTEMA ELECTRICO

No. Fuentes

Consumo (Amp)

Voltaje

OBSERVACIONES

AUTORIZADO POR SOLICITADO POR FECHA DE SOLICITUD

NOMBRE

NOMBRE

#######

#######

#####

CEDULA CEDULA

FIRMA

TELÉFONO

NOTA: LA SOLICITUD DE INGRESOS DEBE SER DILIGENCIADA Y

ENVIADA CON UN TIEMPO MINIMO DE 24

HORAS DE ANTICIPACION, PARA URGENCIAS 2 HORA

O4IT COLOMBIA

CLIENTE / CONTRATISTA

- Formato de control de cambios.

FORMATO DE REQUERIMIENTO DE CAMBIO RFC

CÓDIGO OSM-PR03-

FR01

VERSIÓN 2.0

CLASIFICACIÓN Público

PÁGINA 1 DE 1

1. INFORMACIÓN DEL SOLICITANTE

Nombre Identificación

Área/Entidad

Cargo

Teléfono Correo electrónico

2. INFORMACIÓN GENERAL DEL CAMBIO

CODIGO DEL

CAMBIO

FECHA DE REQUERIMIE

NTO (dd/mm/aaa

a)

FECHA EJECUCION

DE ACTIVIDADES (dd/mm/aaa

a)

HORA EJECUCION DE ACTIVIDADES (hh:mm)

TIEMPO ESTIMADO EJECUCION DE ACTIVIDADES - HORAS (Incluye

Rollback)

¿GENERA INDISPONIBILID

AD DEL SERVICIO?

#

Horas:

SITIOS DE LOS TRABAJOS A EJECUTAR

DESCRIPCIÓN DEL CAMBIO (Incluye el alcance)

ANTECEDENTES DEL CAMBIO (¿POR QUÉ SE REQUIERE?)

BENEFICIOS DEL CAMBIO O LAS CONSECUENCIAS DE NO REALIZARLO

URGENCIA DEL CAMBIO Baja Media Alta Crítica

URGENCIA: La urgencia se basa en la tipificación de las acciones a ejecutar: - Crítica: El cambio es requerido para habilitar y/o restaurar los servicios. - Alta: El cambio es requerido para corregir un error que está generando indisponibilidad parcial de los servicios. - Media: El cambio es requerido para implementar ajustes funcionales en los servicios. - Baja: El cambio es requerido para implementar mejoras y/o liberar nuevas versiones planeadas de los servicios.

3. PLANES ASOCIADOS AL CAMBIO

PLAN TAREA Afecta Servici

o?

FECHA/ HORA INICIO

FECHA/ HORA FINALIZACIÓN

RESPONSABLE CELUL

AR

PLA

N

DE

EJEC

UC

IÓN

PLA

N D

E

REV

ERSI

ÓN

(Ro

ll-b

ack)

4. GESTIÓN DEL RIESGO SUCESO ACCION DE MITIGACIÓN RESPONSABLE NUMERO CELULAR

5. ANEXOS Si se requiere, registre en este espacio todos los documentos complementarios que deben ser tenidos en cuenta para efectuar el cambio y remítalos como anexos al formato (manuales, archivos de despliegue, instructivos, minutogramas, etc.)

6. ELEMENTOS DE RED Y SERVICIO AFECTADOS

NODOS AFECTADOS

CANTIDAD

MUNICIPIOS:

ENLACES TRAYECTOS

:

SERVICIO AFECTADOS

CLIENTES CORPORATIV

OS

OBSERVACION:

CLIENTES MASIVOS

OBSERVACI

ON:

7. APROBACIÓN SOLICITUD

NOMBRE ROL FECHA

(dd/mm/aaaa)

APROBACIÓN* CORREO

ELECTRÓNICO

Cargo/rol del

solicitante autorizado

8. INFORMACIÓN PARA SER DILIGENCIADA POR EL ADMINISTRADOR DE CAMBIOS

PRIORIDAD DEL CAMBIO Baja Media Alta Crítica

TIPO DE CAMBIO (Señale con una X)

NORMAL EMERGENCIA

9. APROBACIÓN EJECUCIÓN ADMNISTRADOR

DE CAMBIOS CAB ECAB

NOMBRE CARGO FECHA APROBACIÓN* CORREO

ELECTRÓNICO

*La APROBACIÓN de ejecución de los cambios se puede formalizar a través de: a) Firma del RFC. b) Correo Electrónico de aprobación de los integrantes del comité. c) Acta de Comité de Cambios.

CAMBIO APROBADO

SI OBSERVACIONES

NO

- Log mensual de acceso y manipulación de los equipos borde del datacenter. - Backup semanal de los equipos de red de borde. - Reportes Mensuales de actividad equipos de red de borde.

4.3 CHEQUEAR

El resultado de los riesgos y vulnerabilidades en cuanto a seguridad deben plasmarse en las políticas de seguridad para no solo proteger el sistema y la infraestructura una sola vez, sino salvaguardarla continuamente. Una vez implantada las mejoras propuestas, se deja un periodo de prueba para verificar su correcto funcionamiento. Si la mejora no cumple las expectativas iniciales habrá que modificarla para ajustarla a los objetivos esperados debido a esto la empresa O4IT Colombia deberá:

Tabla 4. Chequeo de riesgos y vulnerabilidades

Probabilidad de amenaza

Chequeo Observaciones

SI NO

Uso de dispositivos de almacenamientos externos

en los equipos de cómputo de los usuarios de

O4IT.

Falta de backup de Datos e Información

Poca configuración de las políticas de seguridad

del Sistema.

Dispositivos sin modo High Avalaible (Alta

disponibilidad)

Control de Acceso a los equipo de

comunicaciones sin registro de usuario por

Radius.

Claves en texto plano de equipos de cómputo.

Seguridad a las contraseñas de los usuarios sin

aplicación de políticas

Débil configuración de los equipos de

comunicación switches y routers.

Sin bloqueos de puertos de acceso en los equipo.

Falta de bloqueo de servicios de entrada y salida

de las políticas de enrutamiento.

Faltan de evaluación periorida de los equipos en

cuanto a actualizaciones de firmware y S.O

Políticas en los equipos sin etiquetado y

señalización.

4.4 ACTUAR

Para que todas las actividades y análisis presentados sean validados es importante que tengan un respaldo de calidad y esto se logra basándose en normas establecidas como lo es el estándar ISO 27001 el cual debemos estudiar para moldear nuestras políticas y presentar un completo e íntegro documento para implementar en la organización. Una vez finalizado el chequeo se deben estudiar los resultados. Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para estudiar nuevas mejoras a implantar. La organización deberá regularmente:

- Implantar en el SGSI las mejoras identificadas.

- Realizar las acciones preventivas y correctivas adecuadas para prevenir potenciales no conformidades antes de que se produzcan y solucionar no conformidades detectadas y materializadas en relación Clausula 9.2 de norma ISO27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.

Débil configuración de perfiles web

Falta de configuración de control de aplicaciones

Sin implementación de configuración de IPS

Sin instalación de cconfiguración de Email Filter

Nula delimitación de puertos y servicios en

configuraciones NAT

Pocas intervenciones de capacitación y

actualización de los Administrativos y

Funcionarios en políticas de Seguridad

Informática.

Sin roles de acceso a los equipos.

Falta de Backup de red de internet

- Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.

- Asegurarse que las mejoras introducidas alcanzan los objetivos previstos: la

eficacia de cualquier acción, medida o cambio debe comprobarse siempre.46 Se debe diseñar un formato que permita auditar o verificar los aspectos que de acuerdo a la norma se deben revisar en cada uno de los documentos de la gestión documental exigidos en el SGSI en relación a la norma ISO/IEC 27001:2013. La metodología escogida es la norma ISO 27001:2013, utilizando La Declaración de aplicabilidad (SOA – STATEMENT OF APPLICABILITY) como conexión principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información.

4.4.1 Condiciones previas a la aplicación de la metodología seleccionada

4.4.1.1 Plan de auditoria interna

Una de las actividades fundamentales dentro del proceso de retroalimentación y control de todo sistema es la actividad de verificación o chequeo proceso que corresponden al proceso de gestión de la auditoría interna. La norma determina que la organización deberá realizar auditorías internas a intervalos planificados para obtener información sobre el funcionamiento del SGSI de acuerdo a:

1. Los requisitos propios de la organización para el SGSI.

2. Los requisitos del estándar.

3. Que esté eficientemente implantado y mantenido. De nuevo se debe valorar

el logro de los resultados esperados.

Para que esto suceda se debe planificar, establecer, implementar y mantener un programa de auditoría, incluyendo la frecuencia de las mismas, los métodos, responsabilidades, requisitos de planificación e informes. De este proceso es esencial asegurar que los resultados se reportan a la dirección aunque ello se consigue en el proceso de Revisión por Dirección al considerar la auditoría como una de las entradas a dicho proceso.47

46 http://www.iso27000.es/sgsi_implantar.html 47 http://blog.firma-e.com/iso-270012013-analisis-detallado-de-la-nueva-version-parte-4-de-4/

Figura 31. Clausula 9.2 de norma ISO27001 – auditorías internas

Fuente: http://www.iso27001standard.com

El objetivo de la auditoría interna, es determinar si los procedimientos, controles, procesos, acuerdos y demás actividades dentro del SGSI [SGCN] concuerdan con las normas ISO 27001, con las regulaciones correspondientes y con la documentación interna de la organización; como también verificar si son implementados y sostenidos y si cumplen requisitos de políticas y establecen objetivos. Para la realización de una auditoría se necesita de una planificación programada con anterioridad por parte del equipo de auditores. Se define el alcance de la auditoría, los instrumentos necesarios para poder hacerla y las técnicas para verificación del cumplimiento de medidas de seguridad. Para la realización de las auditorías se deben contemplar: Para la realización de estas auditorías se debe tener en cuenta:

Revisión de documentación.

Entrevistas.

Visitas a instalaciones del auditado y observación de la operativa habitual.

Pruebas técnicas sobre los sistemas de información y comunicaciones.48

48 http://www.iso27001standard.com/documentation/internal-audit-procedure/

4.4.1.2 Aplicación de la metodología seleccionada

Aspectos previos a considerar en la auditoría interna

Tabla 5. Aspectos Auditoria Interna

DESCRIPCIÓN CUMPLIMIENTO

SI NO

Las auditorías internas deben estar bien planificadas (plan auditor) y aprobadas por la dirección de la organización

El equipo auditor deben ser profesionales idóneos con experiencia y diferentes a los encargados de la implantación del SGSI en la organización.

El equipo auditor deben ser profesionales idóneos con experiencia y diferentes a los encargados de la implantación del SGSI en la organización.

Se debe estipular un coordinador del equipo auditor.

La auditoría se debe orientar hacia la correcta implantación de los controles de seguridad implementados.

Toda la organización debe conocer el alcance y la agenda estipulada para la auditoría interna.

Los informes y resultados deberán ser conocidos por todo el personal de la organización involucrado dentro del alcance del SGSI.

De acuerdo al informe y/o resultados presentados en la auditoría interna, la organización debe estipular los planes para mejorar la eficacia del SGSI y realizar el procedimiento documentado de las acciones correctivas y preventivas.

Para la realización de una auditoría se necesita de una planificación programada con anterioridad por parte del equipo de auditores. Se define el alcance de la auditoría, los instrumentos necesarios para poder hacerla y las técnicas para verificación del cumplimiento de medidas de seguridad. Para la realización de las auditorías se deben contemplar las siguientes plantillas: Plantillas de auditoria interna / estándar ISO 27001

a) PROGRAMA ANUAL DE AUDITORIA INTERNA

Se redacta este programa anual para el período comprendido desde la [fecha] hasta la fecha [fecha].

Tabla 6. Programa Anual De Auditoria Interna

Periodo de la auditoria

Alcance de la auditoria

Método de auditoria Auditores

b) INFORME DE AUDITORIA INTERNA

Tabla 7. Informe Auditoria

Lugar de la auditoria:

Nombre de la organización:

Fecha del informe:

Período de la auditoría interna:

Quién realizó la auditoría interna: Líder del grupo

Criterios de la auditoría:

Alcance de la auditoría:

Que documentación se revisaron:

Personal entrevistado:

Que sistemas fueron revisados:

Total de no conformidades:

Recomendaciones de mejora:

c) PROCEDIMIENTO PARA AUDITORÍA INTERNA

Tabla 8. Procedimiento Para Auditoría Interna

Código:

Versión:

Fecha de la versión:

Creado por:

Aprobado por:

Nivel de confidencialidad:

d) HISTORIAL DE MODIFICACIONES

Tabla 9. Historial De Modificaciones

Fecha Versión Creado por Descripción de la modificación

Relacionar fecha de modificación

Ej: 1.0 Indicar la persona encargada de la modificación

Descripción básica del documento

e) LISTA DE APOYO O CHEQUEO, BASADO EN LA DOCUMENTACIÓN

PARA AUDITORIA INTERNA49

Tabla 10. Check List - Plan De Auditoria Interna

CHECK LIST

PLAN DE AUDITORIA INTERNA

SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA

ISO 27001:2013

Dominio / Proceso Políticas de seguridad de la información / Dirección de Gestión de

Seguridad de la Información

Objetivo De

Control

Proporcionar orientación y apoyo a la gestión de seguridad de la

información de acuerdo con los requerimientos del negocio y las leyes y

reglamentos pertinentes.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.5.1.1

Se encuentra definido un conjunto de políticas de

seguridad de la información, aprobado por la

administración, publicado y comunicado a los empleados y

partes externas pertinentes?

A.5.1.2

En las políticas de seguridad de la información se

producen cambios significativos para asegurar su continua

conveniencia, adecuación y eficacia?

49 http://www.iso27001standard.com/documentation/internal-audit-checklist

Dominio / Proceso Organización de la seguridad de la información / Organización interna

Objetivo De

Control

Establecer un marco de gestión para iniciar y controlar la implementación

y operación de seguridad de la información dentro de la organización.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.6.1.1

Las responsabilidades de seguridad de la información se

encuentran definidas y se asignadas según los roles

establecidos?

Dominio / Proceso Gestión de Activos / Clasificación de la información

Objetivo De

Control

Garantizar que la información recibe un nivel adecuado de protección de

conformidad con su importancia para la organización.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.8.2.1

La información se encuentra clasificada en términos de

requisitos legales, valor, criticidad y sensibilidad a la

divulgación no autorizada o modificación?

A.8.2.3

Los procedimientos para el manejo de los activos están

desarrollados e implementados de acuerdo con el

esquema de clasificación de la información adoptado por la

organización?

Dominio / Proceso Gestión de Activos / Manejo de los medios de comunicación

Objetivo de

Control

Evitar la divulgación no autorizada, modificación, eliminación o

destrucción de la información almacenada en los medios de

comunicación.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.8.3.3

Los medios que contienen información están protegidos

contra accesos no autorizados y el uso indebido o la

corrupción durante el transporte?

Dominio / Proceso Control de Acceso / Requerimientos del negocio para el control de

acceso

Objetivo de

Control

Limitar el acceso a las instalaciones de procesamiento de la información y

de la información.

Descripción del Control Aplica

Referecia

del

control

Si No N/A

A.9.1.1 Se encuentra establecida y documentada una política de

control de acceso para las áres restringidas?

A.9.1.2

Los usuarios solo disponen de acceso a la red y los

servicios a los cuales han sido autorizados

específicamente para su uso.

Dominio / Proceso Control de Acceso / Gestión de Acceso al Usuario

Objetivo de

Control

Garantizar el acceso de usuarios autorizados y evitar el acceso no

autorizado a los sistemas y servicios.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.9.2.1 Existe un proceso formal de creación y retiro de usuario, el

cual permite la asignación de acceso?

A.9.2.2

Existe un proceso formal de la asignación y utilización de

los derechos de acceso, donde se identifiquen los

privilegios serán restringido y controlado?

A.9.2.6

Existe un proceso formal de inactivación de usuarios

asignados a los empleados internos y externos de la

compañía con acceso a los servicios y procesamiento de

información, una vez que a finalizado su contrato?

Dominio / Proceso Control de Acceso / Control del sistema y acceso a las aplicaciones

Objetivo de

Control Evitar el acceso no autorizado a los sistemas y aplicaciones.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.9.4.1 Cuentan con un formato para autorizar el acceso de los

usuarios a las aplicaciones de la compañía?

A.9.4.5 Se encuentra definida y asignada a los usuarios la política

de contraseña?

Dominio / Proceso Seguridad física y ambiental / Áreas Seguras

Objetivo de

Control

Evitar el acceso físico no autorizado, daño e interferencia con la

organización y procesamiento de la información.

Descripción del Control Aplica

Referecia

del

control

Si No N/A

A.11.1.2 Cuentan con control de acceso para las zonas o áreas

restringidas al personal no autorizado?

A.11.1.3 Se encuentra diseñada y aplicada la seguridad física de

oficinas, habitaciones e instalaciones?

Dominio / Proceso Seguridad física y ambiental / Equipo

Objetivo de

Control

Evitar la pérdida, daño, robo o el compromiso de los activos y la

interrupción de la organización de operaciones.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.11.2.1

El equipo se encuentra situado y protegido para reducir los

riesgos de amenazas y peligros ambientales; y

oportunidades de accesos no autorizados?

A.11.2.2

El equipo esta protegido de fallas de energía y otras

interrupciones causada por fallas en el apoyo a los

servicios públicos?

Dominio / Proceso Seguridad de Operaciones / Procedimientos y Responsabilidades

Operacionales

Objetivo de

Control

Garantizar operaciones correctas y seguras de instalaciones de

procesamiento de información.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.12.1.4

Cuentan con ambiente de desarrollo, pruebas y producción

para reducir los riesgos de acceso no autorizado o cambios

en el

entorno operativo?

Dominio / Proceso Seguridad de Operaciones / Copias de Seguridad

Objetivo de

Control Evitar perdida de datos

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.12.3.1

Cuentan con un procedimiento establecido de ejecución de

backups sobre la información, software y sistemas de

imágenes?

Dominio / Proceso Seguridad de Operaciones / Control Operacional de Software

Objetivo de

Control Garantizar la integridad de los sistemas operativos.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.12.3.1

Se encuentran establecidos los procedimientos para

controlar la la instalación de software en los sistemas

operativos.

Dominio / Proceso Seguridad de las Comunicaciones / Gestión de la Seguridad de Red

Objetivo de

Control

Garantizar la protección de la información en las redes y su

procesamiento de la información.

Referecia

del

control

Descripción del Control Aplica

Si No N/A

A.13.1.1

Se encuentra establecido un procedimiento de gestión y

control de las redes para proteger la información en los

sistemas y aplicaciones?

5. CONCLUSIONES

Es de vital importancia para la ejecución de un proyecto, establecer un plan de trabajo y dar cumplimiento a las actividades propuestas acorde al cronograma planteado. En cuanto a los equipos de red, es importante conocer y distinguir las diferentes formas de configuración y la seguridad a instalar en ellos, evitando así filtraciones y modificaciones a la red.

La declaración de aplicabilidad permite a una empresa establecer un nivel de cumplimiento respecto a las normas ISO/IEC 27001, a parir de esto establecer controles que le permiten mejorar su sistema de gestión de la seguridad de la información proteger los datos de la compañía.

Definir un cuadro de riesgos y/o vulnerabilidades permitirá a la compañía disminuir los peligros relacionados al no cumplimiento y brindar una mayor protección de la información, con base en los procedimientos y controles que establezca para este fin.

Es importante implementar en cualquier organización normas, reglas y/o políticas, ya que es importante acoplar los procesos, recursos e información con las estrategias y objetivos de la organización con el fin de maximizar beneficios, capitalizar oportunidades y ventajas competitivas.

Las empresas deben comprender que la seguridad ya no es lujo, sino que es una necesidad para proteger el bien activo y más valioso de ella, los datos.

La seguridad informática para las organizaciones y personas, se ha convertido en una necesidad de todas las empresas hoy en día, pues han reconocido que así como la tecnología va avanzando con el pasar de los días, también avanzan las filtraciones de red, por lo que se reconoce como fundamental contar con un sistema de protección para la información. La organización deberá realizar auditorías internas como una de las actividades fundamentales dentro del proceso de retroalimentación y control de todo sistema para obtener información sobre el funcionamiento del SGSI. La empresa en coordinación con el área de gestión y recursos humanos debe realizar constantes charlas para exponer los riesgos de la seguridad informática a los empleados, describiendo los daños que causan los ataques y la forma en la que

ingresan al sistema y con ello lograr concientizar a las personas para lograr disminuir los riesgos y vulnerabilidades detectándolos y previniéndolos. A través de la implementación de un Sistema de Gestión de Seguridad Informática, la organización integra e institucionaliza buenas planificación y organización, adquisición e implementación, entrega de servicios y soporte y monitorización del rendimiento de TI relacionadas para soportar los objetivos de la organización. Al analizar los sistemas de seguridad de los dispositivos de red de borde encontrados en el datacenter Medune se observó que existen falencias en la seguridad tanto en sus métodos de acceso como en las políticas de seguridad debido a que no están orientadas ni cumplen con los parámetros de buenas prácticas en cuanto a protección y seguridad. Implementar controles de seguridad en los equipos de red, que permitan hacer cumplir el estándar ISO 27001:2013

BIBLIOGRAFÍA

UNAD. Investigación en Seguridad Informática. (2014). Disponible en: http://66.165.175.235/campus18_20142/file.php/596/entorno_de_conocimiento/Investigacion_en_seguridad_informatica.pdf

CONSTAIN G. E. Modelos Y Estándares De Seguridad Informática. (2012). Disponible en: http: //datateca.unad.edu.co/contenidos/233002/Periodo_2014-2/Entorno_de_conocimiento/MATERIAL_DIDACTICO.pdf

O4IT Colombia. Soluciones. (2014). Disponible en: http://cloudnow.com/

O4IT Colombia. (2014). Disponible en: http://o4it.com/es/

Emicuru J. Soluciones Datacenter. Disponible en: http://www.antel.com.uy/wps/wcm/connect/11d15900496ba5459bbc9f7c46b5f36a/Charla-datacenter.pdf?MOD=AJPERES

ISO2700.ES. SGSI. Disponible en: http://www.iso27000.es/sgsi.html

ICONTEC. Certificación del Sistema de Gestión de Seguridad de la Información con ISO/IEC 27001. (2013). Disponible en: http://www.icontec.org/index.php/en/sectores/agricultura-y-alimentos/50-colombia/certificacion-sistema/342-certificacion-iso-iec-27001 Puig T. Curso Implantación de un sistema de gestión de seguridad. (2008). Disponible en: http://www.mailxmail.com/curso-implantacion-sistema-gestion-seguridad D. Gonzales Trejo. ISO-27001:2013 ¿Qué hay de nuevo?. Magazcitum. (2013). Disponible en: http://www.magazcitum.com.mx/?p=2397 O4IT Colombia. MEDUNE Datacenter Operation. Datacenter Department (2013). M. Erb. Definición de Seguridad Informática. Gestión de Riesgo en la Seguridad Informática. Disponible en: https://protejete.wordpress.com/gdr_principal/definicion_si/

S. Zavala Trías, Guía a la redacción en el estilo APA, 6ta edición. UNAD. (2012) Disponible en: http: http://www.suagm.edu/umet/biblioteca/pdf/GuiaRevMarzo2012APA6taEd.pdf Avellaneda Cao J. ISO 27001:2013 - Análisis detallado de la nueva versión (4 de 4). (2013). Disponible en: http://blog.firma-e.com/iso-270012013-analisis-detallado-de-la-nueva-version-parte-4-de-4/ Definicion. Definición de Antivirus. Recuperado de: http://definicion.mx/antivirus/#ixzz3WAEjAyin Red Hat Enterprise Linux 4: Manual de seguridad. Seguridad de contraseñas. Disponible en: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html Karen Scarfone. SearchDatacenter. Tecnologías IPS/IDS: cambios e innovaciones. Disponible en: http://searchdatacenter.techtarget.com/es/consejo/Tecnologias-IPS-IDS-cambios-e-innovaciones Definición. DE. DEFINICIÓN DE RED DE DATOS. Disponible en: http://definicion.de/red-de-datos/#ixzz3WAD8iwQu Microsft Windows. ¿Qué es un firewall?. Disponible en: http://windows.microsoft.com/es-xl/windows/what-is-firewall#1TC=windows-7 Ledezma Milanez A. Que es un Rack?. (2012). Disponible en: http://sistemasencomunicaciones.blogspot.com/ Informática Hoy, Diferencias entre Hub, Switch y Router. Disponible en: http://www.informatica-hoy.com.ar/redes/Diferencias-entre-Hub-Switch-y-Router.php Internal Audit Checklist [ISO 27001 Templates]», 27001Academy. Disponible en: http://www.iso27001standard.com/documentation/internal-audit-checklist/.

Internal Audit Procedure [ISO 27001 Templates, 27001Academy. Disponible en: http://www.iso27001standard.com/documentation/internal-audit-procedure/.

Mendoza M. A. ¿Qué es una Declaración de Aplicabilidad (SoA) y para qué sirve?. Welivesecurity. (2015). Disponible en: http://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-aplicabilidad-soa/

Red Hat Enterprise Linux. Manual de seguridad. Seguridad de las estaciones de trabajo. Disponible en: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html

Mojsiejczuk G. Seguridad en los sistemas operativos. Universidad Nacional del Nordeste Facultad de Ciencias Exactas, Naturales y Agrimensura. (2007). Disponible en: http://exa.unne.edu.ar/informatica/SO/Monogrgaby.pdf

Universidad Nacional de Lujuan. Amenazas a la Seguridad de la Información. Disponible en: http://www.seguridadinformatica.unlu.edu.ar/?q=node/12

Alegsa. Definición de Hacker. Disponible en: http://www.alegsa.com.ar/Dic/hacker.php

Benitez M. Gestión Integral. Disponible en: http://www.gestionintegral.com.co/wp-content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdf

Wikipedia. Seguridad perimetral. (2014). Disponible en: http://es.wikipedia.org/wiki/Seguridad_perimetral

CIbanco. Consejos de seguridad banca electrónica. (2014). Disponible en: http://www.cibanco.com/consejosSeguridad_10.html

Alegsa. Definición de Malware. Disponible en: http://www.alegsa.com.ar/Dic/malware.php Jimeno Bernal J. Ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo de Deming de mejora continua. (2013). Disponible en: http://www.pdcahome.com/5202/ciclo-pdca/

ANEXOS

Anexo 1. SOA

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.5.1.1 Policies for information security

An information security policy document shall be approved by management, and published and communicated to all employees and relevant external parties. A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties.

A.5.1.2 Review of the policies for information security

The policies for information security shall be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability, adequacy and effectiveness.

A.6.1.1 Information security roles and responsibilities

All information security responsibilities shall be defined and allocated.

A.6.1.2 Segregation of duties

Conflicting duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA A.6.1.3 Contact with

authorities Appropriate contacts with relevant authorities shall be maintained.

A.6.1.4 Contact with special interest groups

Appropriate contacts with special interest groups or other specialist security forums and professional associations

A.6.1.5 Information security in project management

Information security shall be addressed in project management, regardless of the type of the project.

Contro

l Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.7.2.1 Management responsibilities

Management shall require all employees and contractors to apply information security in accordance with the established policies and procedures of the organization.

A.7.2.2 Information labelling and handling Information security awareness, education and training

All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.

A.7.2.3 Disciplinary process

There shall be a formal and communicated disciplinary process in place to take action against employees who have committed an information security breach.

Contr

ol Referen

ce

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Documen

t

LR

CO

BR/BP

RRA

A.8.1.4 Return of assets

All employees and external party users shall return all of the organizational assets in their possession upon termination of their employment, contract or agreement.

A.8.2.1 Classification of information

Information shall be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosure or modification.

A.8.2.2 Labelling of information

An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

A.8.2.3 Handling of assets

Procedures for handling assets shall be developed and implemented in accordance with the information classification scheme adopted by the organization.

A.8.3.1 Management of removable media

Procedures shall be implemented for the management of removable media in accordance with the classification scheme adopted by the organization.

A.8.3.2 Disposal of media

Media shall be disposed of securely when no longer required, using formal procedures.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.8.3.3 Physical media transfer

Media containing information shall be protected against unauthorized access, misuse or corruption during transportation.

A.9.1.1 Access control policy

An access control policy shall be established, documented and reviewed based on business and information security requirements.

A.9.1.2 Access to networks and network services

Users shall only be provided with access to the network and network services that they have been specifically authorized to use.

Control title

Selected Controls and Reasons for selection

Justification for

Control

Reference

Control description

LR

CO

BR/BP

RRA

Applied?

exclusion or

reference Document A.9.2.1 User registration

and de-registration

A formal user registration and de-registration process shall be implemented to enable assignment of access rights.

A.9.2.2 User access provisioning

A formal user access provisioning process shall be implemented to assign or revoke access rights for all user types to all systems and services.

A.9.2.3 Management of privileged access rights

The allocation and use of privileged access rights shall be restricted and controlled.

A.9.2.4 Management of secret authentication information of users

The allocation of secret authentication information shall be controlled through a formal management process.

A.9.2.5 Review of user access rights

Asset owners shall review users’ access rights at regular intervals.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.9.2.6 Removal or adjustment of access rights

The access rights of all employees and external party users to information and information processing facilities shall be removed upon termination of their employment, contract or agreement, or adjusted upon change.

A.9.3.1 Use of secret authentication information

Users shall be required to follow the organization’s practices in the use of secret authentication information.

A.9.4.1 Information access restriction

Access to information and application system functions shall be restricted in accordance with the access control policy.

A.9.4.2 Secure log-on procedures

Where required by the access control policy, access to systems and applications shall be controlled by a secure log-on

A.9.4.3 Password management system

Password management systems shall be interactive and shall ensure quality passwords.

Contr

ol Referen

ce

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.9.4.4 Use of privileged utility programs

The use of utility programs that might be capable of overriding system and application controls shall be restricted and tightly controlled.

A.9.4.5 Access control to program source code

Access to program source code shall be restricted.

A.10.1.1 Policy on the use of cryptographic controls

A policy on the use of cryptographic controls for protection of information shall be developed and implemented.

A.10.1.2 Key management

A policy on the use, protection and lifetime of cryptographic keys shall be developed and implemented through their whole lifecycle.

A.11.1.1 Physical security perimeter

Security perimeters shall be defined and used to protect areas that contain either sensitive or critical information and information processing facilities.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.11.1.2 Physical entry controls

Secure areas shall be protected by appropriate entry controls to ensure that only authorized personnel are allowed access.

A.11.1.3 Securing offices, rooms and facilities

Physical security for offices, rooms and facilities shall be designed and applied.

A.11.1.4 Protecting against external and environmental threats

Physical protection against natural disasters, malicious attack or accidents shall be designed and applied.

A.11.1.5 Working in secure areas

Procedures for working in secure areas shall be designed and applied.

A.11.1.6 Delivery and loading areas

Access points such as delivery and loading areas and other points where unauthorized persons could enter the premises shall be controlled and, if possible, isolated from information processing facilities to avoid unauthorized access.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.11.2.1 Equipment siting and protection

Equipment shall be sited and protected to reduce the risks from environmental threats and hazards, and opportunities for unauthorized access.

A.11.2.2 Supporting utilities

Equipment shall be protected from power failures and other disruptions caused by failures in supporting utilities.

A.11.2.3 Cabling security Power and telecommunications cabling carrying data or supporting information services shall be protected from interception, interference or damage.

A.11.2.4 Equipment maintenance

Equipment shall be correctly maintained to ensure its continued availability and integrity.

A.11.2.5 Removal of assets

Equipment, information or software shall not be taken off-site without prior authorization.

Contr

ol Referen

ce

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.11.2.6 Security of equipment and assets off- premises

Security shall be applied to off-site assets taking into account the different risks of working outside the organization’s premises.

A.11.2.7 Secure disposal or reuse of equipment

All items of equipment containing storage media shall be verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use.

A.11.2.8 Unattended user equipment

Users shall ensure that unattended equipment has appropriate protection.

A.11.2.9 Clear desk and clear screen policy

A clear desk policy for papers and removable storage media and a clear screen policy for information processing facilities shall be adopted.

A.12.1.1 Documented operating procedures

Operating procedures shall be documented and made available to all users who need them.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.12.1.2 Change management

Changes to the organization, business processes, information processing facilities and systems that affect information security shall be controlled.

A.12.1.3 Capacity management

The use of resources shall be monitored, tuned and projections made of future capacity requirements to ensure the required system performance.

A.12.1.4 Separation of development, testing and operational environments

Development, testing, and operational environments shall be separated to reduce the risks of unauthorized access or changes to the operational environment.

A.12.2.1 Controls against malware

Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness.

A.12.3.1 Information backup

Backup copies of information, software and system images shall be taken and tested regularly in accordance with an agreed backup policy.

Control title

Selected Controls and Reasons for selection

Justification for

Control

Reference

Control description

LR

CO

BR/BP

RRA

Applied?

exclusion or

reference Document A.12.4.1 Event logging Event logs

recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed.

A.12.4.2 Protection of log information

Logging facilities and log information shall be protected against tampering and unauthorized access.

A.12.4.3 Administrator and operator logs

System administrator and system operator activities shall be logged and the logs protected and regularly reviewed.

A.12.4.4 Clock synchronisation

The clocks of all relevant information processing systems within an organization or security domain shall be synchronised to a single reference time source.

A.12.5.1 Installation of software on operational systems

Procedures shall be implemented to control the installation of software on operational systems.

A.12.6.1 Management of technical vulnerabilities

Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.

Contro

l Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.12.6.2 Restrictions on software installation

Rules governing the installation of software by users shall be established and implemented.

A.12.7.1 Information systems audit controls

Audit requirements and activities involving verification of operational systems shall be carefully planned and agreed to minimise disruptions to business processes.

A.13.1.1 Network controls Networks shall be managed and controlled to protect information in systems and applications.

A.13.1.2 Security of network services

Security mechanisms, service levels and management requirements of all network services shall be identified and included in network services agreements,

Contr

ol Referen

ce

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.13.1.3 Segregation in networks

Groups of information services, users and information systems shall be segregated on networks.

A.13.2.1 Information transfer policies and procedures

Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities.

A.13.2.2 Agreements on information transfer

Agreements shall address the secure transfer of business information between the organization and external parties.

A.13.2.3 Electronic messaging

Information involved in electronic messaging shall be appropriately protected.

A.13.2.4 Confidentiality or nondisclosure agreements

Requirements for confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information shall be identified, regularly reviewed and documented.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.14.1.1 Information security requirements analysis and specification

The information security related requirements shall be included in the requirements for new information systems or enhancements to existing information systems.

A.14.1.2 Securing application services on public networks

Information involved in application services passing over public networks shall be protected from fraudulent activity, contract dispute and unauthorized disclosure and modification.

A.14.1.3 Protecting application services transactions

Information involved in application service transactions shall be protected to prevent incomplete transmission, mis-routing, unauthorized message alteration, unauthorized disclosure, unauthoriz

A.14.2.1 Secure development policy

Rules for the development of software and systems shall be established and applied to developments within the organization.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.14.2.2 System change control procedures

Changes to systems within the development lifecycle shall be controlled by the use of formal change control procedures.

A.14.2.3 Technical review of applications after operating platform changes

When operating platforms are changed, business critical applications shall be reviewed and tested to ensure there is no adverse impact on organizational operations or security.

A.14.2.4 Restrictions on changes to software packages

Modifications to software packages shall be discouraged, limited to necessary changes and all changes shall be strictly controlled.

A.14.2.5 Secure system engineering principles

Principles for engineering secure systems shall be established, documented, maintained and applied to any information system implementation efforts.

A.14.2.6 Secure development environment

Organizations shall establish and appropriately protect secure development environments for system development and integration efforts that cover the entire system development lifecycle.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.14.2.7 Outsourced development

The organization shall supervise and monitor the activity of outsourced system development.

A.14.2.8 System security testing

Testing of security functionality shall be carried out during development.

A.14.2.9 System acceptance testing

Acceptance testing programs and related criteria shall be established for new information systems, upgrades and new versions.

A.14.3.1 Protection of test data

Test data shall be selected carefully, protected and controlled.

A.15.1.1 Information security policy for supplier relationships

Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented.

A.15.1.2 Addressing security within supplier agreements

All relevant information security requirements shall be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.15.1.3 Information and communication technology supply chain

Agreements with suppliers shall include requirements to address the information security risks associated with information and communications technology services and product supply chain.

A.15.2.1 Monitoring and review of supplier services

Organizations shall regularly monitor, review and audit supplier service delivery.

A.15.2.2 Managing changes to supplier services

Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business information, systems and processes involved and re- assessment of risks.

A.16.1.1 Responsibilities and procedures

Management responsibilities and procedures shall be established to ensure a quick, effective and orderly response to information security incidents.

Contr

ol Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.16.1.2 Reporting information security events

Information security events shall be reported through appropriate management channels as quickly as possible.

A.16.1.3 Reporting information security weaknesses

Employees and contractors using the organization’s information systems and services shall be required to note and report any observed or suspected information security weaknesses in systems or services.

A.16.1.4 Assessment of and decision on information security events

Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.

A.16.1.5 Response to information security incidents

Information security incidents shall be responded to in accordance with the documented procedures.

A.16.1.6 Learning from information security incidents

Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.

Contr

ol Referen

ce

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.16.1.7 Collection of evidence

The organization shall define and apply procedures for the identification, collection, acquisition and preservation of information, which can serve as evidence.

A.17.1.1 Planning information security continuity

The organization shall determine its requirements for information security and the continuity of information security management in adverse situations, e.g. during a crisis or disaster.

A.17.1.2 Implementing information security continuity

The organization shall establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during an adverse situation.

A.17.1.3 Verify, review and evaluate information security continuity

The organization shall verify the established and implemented information security continuity controls at regular intervals in order to ensure that they are valid and effective during adverse situations.

Contr

ol Referen

ce

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.17.2.1 Availability of information processing facilities

Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements.

A.18.1.1 Identification of applicable legislation and contractual requirements

All relevant legislative statutory, regulatory, contractual requirements and the organization’s approach to meet these requirements shall be explicitly identified, documented and kept up to date for each information system and the organization.

A.18.1.2 Intellectual property rights

Appropriate procedures shall be implemented to ensure compliance with legislative, regulatory and contractual requirements related to intellectual property rights and use of proprietary software products.

A.18.1.3 Protection of records

Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release, in accordance with legislatory, regulatory, contractual and business requirements.

Contro

l Referenc

e

Control title

Control description

Selected Controls and Reasons for selection

Applied?

Justification for

exclusion or

reference Document

LR

CO

BR/BP

RRA

A.18.1.4 Privacy and protection of personally identifiable information

Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable.

A.18.1.5 Regulation of cryptographic controls

Cryptographic controls shall be used in compliance with all relevant agreements, legislation and regulations.

A.18.2.1 Independent review of information security

The organization’s approach to managing information security and its implementation (i.e. control objectives, controls, policies, processes and procedures for information security) shall be reviewed independently at planned intervals or when significant changes occur.

A.18.2.2 Compliance with security policies and standards

Managers shall regularly review the compliance of information processing and procedures within their area of responsibility with the appropriate security policies, standards and any other security requirements.

A.18.2.3 Technical compliance review

Information systems shall be regularly reviewed for compliance with the organization’s information security policies and standards.