Modelo de Evaluacion de Riesgos y Analisis de Impacto para La Gestión de Continuidad Del Negocio v1.1

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO
ESCUELA DE POSTGRADO Unidad de Postgrado Facultad de Ciencias Exactas y Tecnologa
MODELO DE EVALUACION DE RIESGOS Y ANALISIS DE IMPACTO PARA LA GESTION DE CONTINUIDAD DEL NEGOCIO BASADO EN LA METODOLOGIA AS/ANZ 4360, MAGERIT Y LA NORMA ISO/IEC 27002: Caso de estudio Empresas del Grupo Nacional VIDA
Tesis presentado a la Escuela de Postgrado de la facultad de Ciencias Exactas y Tecnologa De la Universidad Autnoma Gabriel Ren Moreno Para optar al grado de: Magister en Auditora y Seguridad Informtica
Por:
Ing. ALEXIS ANDRES GARCIA SANDOVAL

Profesor gua:
Msc. Ing. VLADIMIR CALDERON YAKSIC.

Abril, 2012 Santa Cruz de la Sierra, Bolivia 2012, Alexis Andres Garca Sandoval
UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

ESCUELA DE POSTGRADO Unidad de Postgrado Facultad de Cs. Exactas y Tecnologa
MODELO DE EVALUACION DE RIESGOS Y ANALISIS DE IMPACTO PARA LA GESTION DE CONTINUIDAD DEL NEGOCIO BASADO EN LA METODOLOGIA AS/ANZ 4360, MAGERIT Y LA NORMA ISO/IEC 27002: Caso de estudio Empresas del Grupo Nacional VIDA
Por:
Ing. ALEXIS ANDRES GARCIA SANDOVAL
Tesis presentado a la Escuela de Postgrado de la facultad de Ciencias Exactas y Tecnologa de la Universidad Autnoma Gabriel Ren Moreno. Para optar al grado de: Magister en Auditora y Seguridad Informtica.
Profesor gua:
Msc. Ing. VLADIMIR CALDERON YAKSIC.

Abril, 2012 Santa Cruz de la Sierra, Bolivia 2012, Alexis Andres Garca Sandoval
Modelo de Evaluacin de Riesgos y Anlisis de Impacto para la Gestin de Continuidad del Negocio basado en la metodologa AS/NZ 4360, MAGERIT y la norma ISO/IEC 27002
MODELO DE EVALUACION DE RIESGOS Y ANALISIS DE IMPACTO PARA LA GESTION DE CONTINUIDAD DEL NEGOCIO BASADO EN LA METODOLOGIA AS/ANZ 4360 Y LA NORMA ISO/IEC 27002
2012, Alexis Andrs Garca Sandoval Se autoriza la reproduccin total o parcial, por cualquier medio o procedimiento, solo con fines acadmicos, incluyendo la cita bibliogrfica del documento.
ii
DEDICATORIA
Dedico el presente trabajo de investigacin a mis hijos: Melissa, Eduardo y Andresito. Espero que este trabajo logre alentarlos a superarse cada da de manera que puedan ser personas de bien, tiles a la sociedad y comprometidas con quienes mas nos necesitan.
De manera muy especial dedico este trabajo a mi amada esposa y amiga Carola, pido disculpa por las noches de desvelo mientras estudiaba, investigaba y escriba el trabajo de tesis.
iii
AGRADECIMIENTOS
Agradezco a nuestro padre celestial por iluminar mi camino de conocimientos y sabidura, por permitirme formar una gran familia. Agradezco a mis padres y hermanos por ser una parte importante en mi vida Agradezco a la Universidad Autnoma Gabriel Rene Moreno, a la Unidad de Postgrado Facultad de Ciencias Exactas y Tecnologa y en especial al cuerpo docente de la Maestra en Auditoria y Seguridad Informtica 2 edicin 2 versin, gracias por permitirme ser parte de un grupo selecto de profesionales especializados en Auditoria y Seguridad informtica. Un agradecimiento especial a mi tutor Ing. Vladimir Caldern y todos mis colegas y compaeros de la maestra
iv
Tabla de contenido
RESUMEN............................................................................................................................... vii ABSTRACT ............................................................................................................................ viii INTRODUCCION .................................................................................................................... 1 LA EMPRESA .......................................................................................................................... 2 ESQUEMA DE LAS EMPRESAS DEL GRUPO ................................................................ 2 NACIONAL VIDA..................................................................................................................... 3 LATINA SEGUROS PATRIMONIALES ............................................................................... 3 NACIONAL ASISTENCIA ...................................................................................................... 3 TECNOLOGIA CORPORATIVA ........................................................................................... 3 OFICINAS................................................................................................................................. 4 MISION ..................................................................................................................................... 5 VISION ...................................................................................................................................... 5 OBJETIVOS DE LA COMPAIA .......................................................................................... 5 VALORES................................................................................................................................. 5 OBJETIVOS DE CALIDAD ................................................................................................... 6 OBJETO DE ESTUDIO .......................................................................................................... 7 SITUACION PROBLEMATICA ............................................................................................. 7 SITUACION DESEADA.......................................................................................................... 7 REA DE INVESTIGACION.................................................................................................. 7 OBJETIVOS ............................................................................................................................. 8 OBJETIVO GENERAL............................................................................................................ 8 OBJETIVOS ESPECIFICOS ................................................................................................. 8 METODOLOGA ...................................................................................................................... 9 ETAPAS DEL DESARROLLO DEL TRABAJO ................................................................ 11 PLAN DE TRABAJO ............................................................................................................. 13 CAPITULO 1 .................................................................................................................................. 14 1.1 SEGURIDAD DE LA RED ........................................................................................ 15
1.2 1.3 1.4 1.5 1.6 1.7
INCIDENTES DE SEGURIDAD .............................................................................. 15 CATEGORIZANDO LOS ATAQUES DE RED ..................................................... 18 MECANISMOS DE DEFENSAS ACTUALES ....................................................... 24 DEFINICION DEL DISEO DE REDES SEGURAS ........................................... 28 COMO CONTROLAR LOS INCIDENTES DE SEGURIDAD ............................. 31 REALIDAD NACIONAL ............................................................................................ 32
CAPITULO 2 .................................................................................................................................. 36 CAPITULO 3 .................................................................................................................................. 37 CONCLUSIONES.................................................................................................................. 38 REFERENCIAS BIBLIOGRAFICAS ................................................................................... 38 CURRCULUM VITAE .......................................................................................................... 40
Tabla de Figuras
Figura 1 Empresas del grupo (Grupo Nacional Vida, 2011) ................................................ 2 Figura 2 Presencia Nacional (Grupo Nacional Vida, 2011) ................................................. 4 Figura 3 Metodologa DRI Internacional (Disaster Recovery Institute, 2012) ................... 9 Figura 4 Metodologa BCM BS 25999:2007 (Business Continuity Institute, 2012) ....... 10 Figura 5 Tendencia de los incidentes reportados. (CERT, Carnegie Mellon University)18 Figura 6 Defensas de red tradicionales (Capite, 2007)....................................................... 24 Figura 7 diseo general de la red con Firewall e IDS (Capite, 2007). .............................. 30
Tabla 1 Total vulnerabilidades catalogadas (Garca, 2011) ............................................... 17
Grafico 1 Tecnologas de seguridad informtica (Garca, 2011) ....................................... 32 Grafico 2 rea de seguridad informtica (Garca, 2011)..................................................... 32 Grafico 3 Vectores de Amenaza (Garca, 2011) .................................................................. 33 Grafico 4 Incidentes de seguridad ms comunes (Garca, 2011) .................................... 34 Grafico 5 Inversin en seguridad informtica (Garca, 2011) ........................................... 34 Grafico 6 Publicacin de Incidentes (Garca, 2011) ........................................................... 35
vi
RESUMEN El aprovechamiento y posicionamiento de las organizaciones en la red internet conlleva un incremento exponencial de las amenazas informticas, la creciente dependencia de los sistemas y servicios de informacin que estos procesan y comparten provoca una exposicin de riesgos que tolera el aumento de las vulnerabilidades en los sistemas informticos, en este sentido, las organizaciones son cada vez ms vulnerables. Muchas organizaciones sufren las consecuencias de los ataques de red (internos y externos), y el crecimiento de incidentes por fallas en la seguridad de los sistemas. Esta exposicin al riesgo trae consigo un impacto en las operaciones administrativas, las finanzas, el incumplimiento con los entes reguladores, perdida de imagen, reputacin, credibilidad, desmotivacin personal por parte de los recursos humanos, y en algunos casos el desastre la empresa sufre la quiebra financiera. La informacin es considerada uno de los activos ms importantes de una organizacin, por tal motivo, se debe proteger su confidencialidad, integridad y disponibilidad. El presente proyecto tiene como objetivo disear un modelo de evaluacin de riesgo y anlisis de impacto para la continuidad del negocio, que pueda ser implementado por las empresas del grupo Nacional VIDA, de manera de poder identificar los riesgos, detectar las amenazas y definir el grado de proteccin que es prudente con base en los requerimientos, objetivos y prioridades, que podran afectar al cumplimiento de los objetivos del negocio.
PALABRAS CLAVE Anlisis de Riesgo, Amenazas, Vulnerabilidades, Anlisis de Impacto, Manejo de incidentes de seguridad, Respuesta a Incidentes de Seguridad, Plan de Continuidad del Negocio, Metodologa AS/NZ 4360, Norma ISO/IEC 27002.
vii
ABSTRACT
The use and positioning of organizations in the Internet network carries an exponential increase in security threats, the growing dependence on information systems and services that process and share these results in an exposure risk to tolerate the increased vulnerabilities in systems computer, in this sense, organizations are increasingly vulnerable. Many organizations suffer from network attacks (internal and external), and growth of incidents of security breaches of systems. This exposure brings an impact on business operations, finance, non-compliance with regulatory bodies, loss of image, reputation, credibility, personal motivation of human resources, and in some cases the company suffers disaster bankruptcy.
Information is considered one of the most important assets of an organization, as such, protect confidentiality, integrity and availability.
This project aims to design a model for risk assessment and impact analysis for business continuity that can be implemented by the Nacional Vida Group companies, so as to identify risks, detect threats and define the degree protection is prudent based on the requirements, objectives and priorities, which could affect the fulfillment of business objectives.
viii
INTRODUCCION La seguridad sigue siendo la pesadilla de los responsables de informtica, el clsico ejemplo: cuando un virus o gusano informtico infecta a los equipos computadores, incluyendo los servidores. Los profesionales de TI deben dejar todas sus actividades y destinar esfuerzo para actualizar y escanear los equipos y en algunos casos reinstalar todo (preparar los servidores y configurar servicios crticos). Segn la encuesta dirigida a profesionales de TI, en el 85% de las empresas los procesos crticos de la organizacin dependen de los sistemas informticos, de estas empresas solo el 23% ha elaborado un plan de Seguridad y solamente en el 8% los planes son ejecutados o simulados de manera peridica (Garca, 2011) El problema aun es peor, en empresas que no tienen el personal dedicado a la seguridad; una vez que estos logran estabilizar los sistemas (cuando pasa la ola de incidencia), ya que los responsables de informtica y profesionales de TI tienden a olvidarse de la seguridad para volver a sus actividades rutinarias. Al parecer no aprendemos de nuestros errores, en este momento podemos preguntar cules fueron las lecciones aprendidas despus del incidente? En muchas empresas no es posible responder a esta incertidumbre, ya que no anticipamos los problemas y mucho menos se toman acciones posteriores a los incidentes, para determinar cmo ingreso el malware o como se suscit el incidente (a travs de que vulnerabilidad), o como identificar la naturaleza y la exposicin del riesgo o si es posible minimizar el impacto al negocio, con la intencin de poder prepararse a futuro para evitar que vuelva a suceder el incidente.
Modelo de Evaluacin de Riesgos y Anlisis de Impacto para la continuidad del negocio basado en la metodologa AS/NZ 4360 y la norma ISO/IEC 27002 | CAPITULO 1
LA EMPRESA El Grupo Nacional Vida, es un grupo empresarial dedicado en seguros de vida, seguros patrimoniales, asistencia al viajero, call center, red de servicios y tecnologa a las empresas del segmento pymes, quienes apuestan por el desarrollo del pas en general y del sector en particular. Actualmente cuenta con 4 empresas: Nacional Vida S.A. Latina Seguros Patrimoniales S.A. Nacional Asistencia S.A. Tecnologa Corporativa S.A
ESQUEMA DE LAS EMPRESAS DEL GRUPO
Figura 1 Empresas del grupo (Grupo Nacional Vida, 2011)
NACIONAL VIDA Nacional Vida Seguros de Personas S.A. es una compaa lder en seguros de vida, debido a su filosofa empresarial y su cultura organizacional orientada a la excelencia en servicios. Lo que ha llevado a ser la compaa con mayor crecimiento del pas, como consecuencia a la confianza otorgada por nuestros asegurados.
LATINA SEGUROS PATRIMONIALES LATINA Seguros Patrimoniales S.A. es el resultado de la visin empresarial del Grupo Vida que respalda a Nacional Vida Seguros de Personas S.A. Con el nacimiento de esta compaa se pretende cubrir una sentida necesidad de los clientes del mercado asegurador boliviano, como es la de contar con una nueva alternativa en la oferta de seguros generales o patrimoniales.
NACIONAL ASISTENCIA Nacional Asistencia, Redes y Servicios S.A, es parte del Grupo Corporativo ms importante en la Industria de Seguros y la generacin de Valor Agregado y Servicios en Bolivia, el Grupo Nacional Vida, grupo corporativo accionista de Nacional Vida, Seguros de Personas S.A., Latina Seguros Patrimoniales S.A y T Corp, Tecnologa Corporativa S.A. La base de operaciones se encuentra en Santa Cruz de la Sierra, Bolivia, un lugar estratgico en Sudamrica, con grandes oportunidades de negocios e inversiones. Santa Cruz es la ciudad ms productiva de Bolivia y con un pujante desarrollo empresarial. Nuestro Grupo Corporativo est enmarcado en el compromiso, superacin e inquietud por ampliar horizontes.
TECNOLOGIA CORPORATIVA Solucionamos y simplificamos lo que hasta ahora era complicado. Proveemos soluciones integrales, innovadoras, llave en mano, que cubren las necesidades informticas de nuestros clientes con la ms alta calidad y la eficiencia. Representamos como canal de distribucin oficial a Compaq HP, Canon, Epson, IBM, con servidores, impresoras, PC de Escritorio, Porttiles, Equipos de Red y Accesorios de estas prestigiosas marcas.
OFICINAS
Presencia Nacional en 6 ciudades: Santa Cruz Monseor Rivero (Oficina Central) Parque Industrial (Nacional Asistencia, TCorp) Libertad (Agencia) Velarde (Agencia) Montero (Agencia Provincial) Oficinas Regionales Oficina Regional La Paz Oficina Regional Cochabamba Oficina Regional Sucre Oficina Regional Tarija Oficina Regional Trinidad
Figura 2 Presencia Nacional (Grupo Nacional Vida, 2011)
MISION Garantizamos confianza y seguridad a nuestros clientes y sus familias, en forma transparente, justa y oportuna, mediante el portafolio de productos y calidad de recursos humanos, respaldada con la mejor tecnologa disponible y gestin administrativa altamente productiva con capacidad de innovacin tcnica financiera, maximizando la rentabilidad.
VISION Ser la compaa de seguros de personas del mercado boliviano, con excelencia en gestin de riesgos, ms confiable, solvente, slida, rentable y con responsabilidad social
OBJETIVOS DE LA COMPAIA Satisfacer las necesidades de los asegurados, brindando un servicio de atencin al cliente de excelencia, con el apoyo de los recursos humanos, proveedores, tecnologa, reaseguradores, capacidad de gestin gerencial y respaldo econmico de los accionistas para que la empresa sea altamente competitiva, lider del mercado de seguros de personas, y que garanticen los beneficios de una mejor vida para nuestros asegurados y clientes potenciales.
VALORES
Perseguimos hacer las cosas bien con buenas intenciones. Nos mantenemos siempre en la bsqueda de la ms alta calidad y la mayor simplicidad. Confiamos en las personas. Creemos en la buena fe de las personas. Creemos en la familia como pilar fundamental en el desarrollo equilibrado de las personas. No evadimos el trabajo duro. Valoramos y fomentamos el trabajo en equipo.
Incentivamos la toma de decisiones no sancionando a las personas por cometer errores, sino que la ayudamos para no volver a cometerlos en el futuro. Valoramos a las personas con actitud positiva, colaboradoras, flexibles y creativas, con ambicin en trminos de desarrollo familiar, profesional y empresarial. Promovemos la competencia leal entre el personal. Fomentamos un clima de trabajo alegre, amistoso con competencia leal entre el persona. Promovemos la sonrisa y la amabilidad.
OBJETIVOS DE CALIDAD
Para establecer objetivos claros, definidos y reales, adems de cumplir con eficacia y eficiencia, hemos desarrollado y socializado un plan de cinco aos que refuerza nuestro compromiso de excelencia en cada uno de nuestros pasos que tomaremos en el futuro, accin que permite trazar el camino de la compaa en la diversificacin de nuestra cartera, Es en este aspecto que durante el periodo que concluye, se ha logrado mantener la certificacin de calidad ISO 9001:2000 por cuarto ao consecutivo, al implementar y aplicar un sistema de gestin de calidad con el alcance, creacin, diseo, comercializacin, elaboracin y servicio postventa de seguros de personas. Esta certificacin fue otorgada el pasado 16 de diciembre del 2009, mediante auditoria realizada por el centro de Certificacin de Sistemas de TV Rheinland Argentina S.A y fue obtenida por todas nuestras oficinas a nivel nacional. Es de esta forma que se acredita nuestro trabajo solido, esmerado y eficiente
OBJETO DE ESTUDIO
Los controles internos de seguridad informtica aplicados en las empresas, las amenazas y vulnerabilidades de seguridad sobre la infraestructura tecnologa que afectan los procesos de misin crtica de generacin de valor de cada empresa del grupo Nacional Vida. . SITUACION PROBLEMATICA
Segn la encuesta dirigida a profesionales de TI, a travs de un anlisis del entorno, se manifiesta que entre las principales causas que no permiten a los encargados de seguridad reaccionar de manera oportuna ante un desastre, y escalar oportunamente los incidentes que afectan la seguridad organizacional, entre otros son: Falta de Polticas, procesos y procedimientos, desconocimiento de amenazas, vulnerabilidades y las consecuencias de los riesgos e impactos que afectan la continuidad del negocio.
SITUACION DESEADA
Reducir el impacto de las amenazas y vulnerabilidades de seguridad sobre la empresa, con la finalidad de poder reaccionar de manera oportuna ante un desastre o incidente en la seguridad de la infraestructura de red y de los servicios de misin crtica, mediante el cual, sea posible Informar y escalar los incidentes de seguridad de forma oportuna, aplicando debidamente el Plan de Continuidad del Negocio para dar respuesta ante desastres o incidentes.
REA DE INVESTIGACION Auditoria y Seguridad Informtica
OBJETIVOS Los objetivos propuestos en el desarrollo del presente trabajo de investigacin son los siguientes: . OBJETIVO GENERAL
Disear un modelo de evaluacin de riesgos y anlisis de impacto con el propsito de mejorar la continuidad del negocio, la capacidad de reaccin ante desastres y las amenazas de seguridad informtica de la organizacin.
OBJETIVOS ESPECIFICOS Evaluar el nivel de madurez actual basado en una lnea base de seguridad Evaluar los riesgos, vulnerabilidades y amenazas Tecnologas de seguridad informtica con la metodologa AS/NZ 4360 y MAGERIT Realizar un anlisis de impacto al negocio (BIA) Disear el Plan de Continuidad del Negocio (BCP) Definir el Procedimiento de Gestin de Incidentes Definir el Procedimiento de Recoleccin de Evidencia Definir el Procedimiento de Cadena de Custodia Definir los roles y descripciones para la creacin de un equipo de respuestas a Incidentes Evaluar la capacidad de reaccin ante desastres y la postura final de seguridad de la red Realizar una evaluacin del estado actual de la capacidad de respuesta a incidentes Realizar un Test de prueba al Plan de continuidad del negocio para medir el nivel de reaccin y aseguramiento logrado Realizar una pre auditoria de Seguridad para determinar la brecha de seguridad de los controles informticos recomendados por la norma ISO/IEC 27001.
METODOLOGA La solucin al problema de investigacin requiere de la aplicacin de varias metodologas, las cuales son especificadas por Disaster Recovery Institute (DRI)
Pruebas
Mantenimiento
Entrenamiento
Business Continuity Plan (BCP)
Seleccion de Estrategia
Business Impact Analysis (BIA)
Evaluacion de Riesgos
Figura 3 Metodologa DRI Internacional (Disaster Recovery Institute, 2012)
En las siguientes etapas: 1. Evaluacin de Riesgos 2. Anlisis de Impacto al Negocio (BIA) 3. Seleccin de Estrategia 4. Plan de Continuidad del Negocio (BCP) 5. Entrenamiento 6. Mantenimiento 7. Pruebas al Plan
Business Continuity Management BS 25999:2007
Understanding your business
Testing, Maintenance and Audit
Business Continuity Strategies
BCM Programme Management
Building and Embedding (BCM Culture)
Develop and Implement BCM (BCP)
Figura 4 Metodologa BCM BS 25999:2007 (Business Continuity Institute, 2012)
Etapas del programa de Gestin de Continuidad del Negocio BCM: 1. 2. 3. 4. 5. Comprensin del negocio Estrategias de Continuidad del Negocio Desarrollar e implementar el BCM (BCP) Construir e incorporar la cultura del BCM Pruebas, mantenimiento y auditora
10
ETAPAS DEL DESARROLLO DEL TRABAJO Etapa 1: Auditora Previa Actividades (Trabajo de campo) a) La recopilacin de os datos de las empresas dirigidas y de las empresas del Grupo Nacional Vida, sern basados en encuestas y papeles de trabajo de auditora.
Etapa 2: Anlisis de la Madurez Actividades a) La realizacin de un test (encuesta) para la definicin del nivel de madurez de seguridad inicial, requieren de papeles de trabajo de auditoria basados en la Norma ISO 27001. Etapa 3: Fase de Anlisis de Riesgo e Impacto Actividades a) e realizar una evaluacin de los riesgos, vulnerabilidades y amenazas Tecnologas de seguridad informtica a cada empresa del Grupo Nacional Vida. Basado en la metodologia AS/NZ 4360 y MAGERIT b) Se realizar un Anlisis de Impacto al Negocio (BIA)
Etapa 4: Diseo de la Documentacin de Seguridad Actividades (Trabajo de Gabinete) c) Se desarrollaran procesos y procedimientos de seguridad, los cuales sern basados en los objetivos de control de Cobit 4.1 d) Se definirn los roles para la creacin de un equipo de respuesta a incidentes ser basado a las recomendaciones de CERT e) Se definirn los roles para la creacin de un equipo de manejo de crisis basado a las recomendaciones de CERT f) Se disear el Plan de Continuidad del Negocio para cada Empresa del Grupo
Etapa 5: Fase de Implementacin Actividades a) Implementacin del Proceso de Administracin de Riesgos Definicin del Alcance
11
Evaluacin de los riesgos Tratamiento del riesgo Comunicacin del Riesgo Monitoreo y Revisin
b) Anlisis de Impacto (BIA) c) Valoracin Cuantitativa y Cualitativa d) Implementacin del Plan de Continuidad del Negocio. Definicin del Punto objetivo de recuperacin Definicin del Tiempo objetivo de recuperacin b) Implementacin del Proceso de Manejo y Respuesta a Incidentes Alcance, Estatuto y Responsabilidades Definicin de Objetivos, Estado Deseado Mtricas e indicadores Plan de detallado de Accin, Respuesta y Recuperacin c) Implementacin del Proceso de Escalamiento de Incidentes
Etapa 6: Control de Calidad y Seguridad Actividades a) Evaluacin del estado actual de la capacidad de respuesta a incidentes Prueba peridica al Plan de Respuesta y Recuperacin Pruebas a la infraestructura y las aplicaciones criticas del negocio b) El test de prueba al Plan de continuidad del negocio para medir el nivel de reaccin y aseguramiento logrado Pruebas peridicas al Plan de Continuidad Mtricas e indicadores d) Realizar una pre auditoria de Seguridad para determinar la brecha de seguridad de los controles informticos recomendados por la norma ISO/IEC 27001 Analisis de Madurez de Seguridad basado en la ISO 27001 Plan de Remediacin
12
PLAN DE TRABAJO Actividades que se realizaran para cumplir los objetivos y tiempo requerido para desarrollarlas
TRABAJO DE CAMPO ACTIVIDAD Auditoria Previa 1 Desarrollo de encuestas Perfil de Tesis Papeles de Trabajo Anlisis de Madurez Entrevista Personal de TI Revisin de Documentos Cumplimiento de la Normativa Polticas, Procesos y Procedimientos de Seguridad 3 Diseo de la Documentacin Anlisis de Riesgo Anlisis de Impacto Seleccin de estrategia de continuidad 4 Fase de Implementacin del Esquema Implementacin de Continuidad (BCP) Capacitacin y sensibilizacin Test de Prueba de Recuperacin de incidentes 5 Control de Calidad y Seguridad Test de Prueba al Plan de Continuidad (BCP) Informe Final Preparacin de Encuestas INICIO M1 M2 M3 M4 M5 TRABAJO DE GABINETE M6 M7 M8 M9 M10
ETAPA
13
CAPITULO 1 LA SEGURIDAD DE LA RED, LOS INCIDENTES DE SEGURIDAD Y ATAQUES QUE AMENZAN LA CONTINUIDAD DEL NEGOCIO
14
1.1 SEGURIDAD DE LA RED Durante las primeras dcadas de su existencia, las redes de computadoras fueron usadas principalmente por investigadores universitarios para el envo de correo electrnico, y por empleados corporativos para compartir impresoras. En estas condiciones, la seguridad no recibi mucha atencin. Pero ahora, cuando millones de ciudadanos comunes usan redes para sus transacciones bancarias, compras y declaraciones de impuestos, la seguridad de las redes aparece en el horizonte como un problema potencial de grandes proporciones (Tanembaum, 1997). La seguridad es un tema amplio que cubre una multitud de pecados. En su forma ms sencilla, la seguridad se ocupa de garantizar que los curiosos no puedan leer, o peor an, modificar mensajes dirigidos a otros destinatarios; se preocupa por la gente que intenta acceder a servicios remotos no autorizados. La seguridad se ocupa del problema de la captura y reproduccin de mensajes legtimos, y de la gente que intenta negar que envi ciertos mensajes.
1.2 INCIDENTES DE SEGURIDAD Amenazas, en el sentido de la seguridad de la informacin, son las actividades que representan un posible peligro a su informacin. Peligro puede ser pensado como algo que afectara negativamente a la confidencialidad, integridad o disponibilidad de sus activos, sistemas o servicios. Por lo tanto, si el riesgo es el potencial de prdida o dao, las amenazas pueden ser consideradas como agentes de riesgo (GIAC Information Security, 2002). Las amenazas pueden venir en muchas formas diferentes y provienen de muchas fuentes diferentes. Hay amenazas fsicas, como incendios, inundaciones, actividades terroristas, y los actos vandlicos. Hay amenazas electrnicas como los hackers, vndalos, y los virus. El conjunto particular de las amenazas, depender en gran medida de su situacin. Que es la empresa, donde se encuentra, quines son sus socios y enemigos, lo valioso que es su informacin, cmo se almacena, mantiene y se asegura, quien tiene acceso a ella, y una serie de otros factores. El punto es que hay demasiadas variables como para protegerse para siempre contra todas las posibles amenazas su informacin. Para
15
hacerlo costara mucho dinero, debera disponer demasiado tiempo y demasiado esfuerzo. Por lo tanto, tendr que elegir contra qu amenazas protegerse. Debera comenzar por la identificacin de las amenazas que tienen ms probabilidades de ocurrir o que ms preocupa a su organizacin Las Vulnerabilidades son otro elemento del espectro de riesgo. En trminos de seguridad, una vulnerabilidad es una debilidad en los sistemas o procesos que permite a una amenaza que se produzca. Sin embargo, el simple hecho de tener una vulnerabilidad en s misma no es una mala cosa. Slo cuando esa vulnerabilidad es unida a una amenaza es que el peligro comienza a aumentar (GIAC Information Security, 2002). El problema es que las vulnerabilidades de fabricacin estn escondidas, no son descubiertas hasta que alguien se entera de ellos. Por desgracia, ese "alguien" suele ser un mal tipo. Los chicos malos siempre parecen saber acerca de las vulnerabilidades mucho antes de que los buenos (GIAC Information Security 2002, p. 11). Un incidente es un evento adverso que ha ocasionado o tiene la posibilidad de ocasionar un dao a los activos, la reputacin y/o el personal de una organizacin (ISACA CISM, 2012). El manejo de incidentes se define como el proceso de desarrollar y mantener la capacidad para manejar incidentes dentro de una organizacin, de tal forma que sea posible contener los impactos y se pueda alcanzar la recuperacin dentro del objetivo de tiempo establecido. El manejo de incidentes puede incluir actividades que contribuyan a minimizar la posibilidad de que ocurran incidentes o reducir los impactos, o bien ambos. Un ejemplo seria proteger las laptops fsicamente para reducir la posibilidad de robo y encriptar el disco duro para reducir el impacto que tendra el robo o la perdida de la informacin La respuesta a incidentes es la capacidad de prepararse para eventos inesperados y responder a ellos a fin de poder controlar y limitar el dao, y mantener o restablecer las operaciones normalmente (ISACA 2008, p. 285). El manejo y respuesta a incidentes es la parte operativa de la administracin de riesgos. Se trata de las actividades que tienen lugar como resultado de ataques no anticipados, perdidas, robo, accidentes o
16
cualquier otro evento adverso inesperado que ocurra como resultado de los controles fallidos o inexistentes. El proceso de manejar y responder a incidentes tiene por objetivo administrar a niveles aceptables el impacto que tienen los eventos perjudiciales inesperados. Tales eventos pueden ser de naturaleza tcnica; por ejemplo, ataques montados sobre la red a travs de virus, denegacin de servicio intrusin del sistema, o bien, puede ser el resultado de errores, accidentes o fallas en el proceso o sistema. Las interrupciones tambin pueden derivarse de varios eventos fsicos como son robo de informacin de dominio privado, ingeniera social, prdida o robo de cintas de respaldo o laptops, condiciones ambientales como inundaciones, incendios o terremotos. Por consiguiente cualquier tipo de incidente que pudiera tener un efecto significativo en la capacidad de la organizacin de operar u ocasionar algn dao (ISACA, p. 291). 1. Estadsticas importantes relacionadas con incidentes de seguridad reportadas en (CERT, Carnegie Mellon University)
Ao 2008 (Q1-Q3) 2007 2006 2005 2004 2003 2002 2001 2000 1999 1998 1997 1996 1995 Total Vulnerabilidades 6,058.00 7,236.00 8,064.00 5,990.00 3,780.00 3,784.00 4,129.00 2,437.00 1,090.00 417.00 262.00 311.00 345.00 171.00 44,074.00
Tabla 1 Total vulnerabilidades catalogadas (Garca, 2011)
La Tabla 1 refleja el nmero creciente de vulnerabilidades a partir del ao 1995, que han sido catalogadas y reportadas a la unidad de CERT de manera directa.
17
Incidentes de seguridad reportados en CERT

12000 11000 10000 9000 8000 7000 6000 5000 4000 3000 2000 1000 0 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Figura 5 Tendencia de los incidentes reportados. (CERT, Carnegie Mellon University)
Los datos del 2008 solo representan (Q1-Q3)
1.3 CATEGORIZANDO LOS ATAQUES DE RED Existen dos maneras de categorizar los ataques de red, (Stephen Northcutt, 2001) indica que los ataques de red pueden llegar por varias vas, la siguiente lista nos muestra los ataques categorizados por vectores de amenazas principales: 1. 2. 3. 4. 5. 6. Ataque exterior desde la red publica Ataque exterior desde un telfono Ataque interior desde una red o subred local Ataque interior desde una red inalmbrica Ataque interior desde un sistema local Ataque con un cdigo malicioso
La segunda forma de categorizar los ataques de red, es basndose en la naturaleza del ataque (Capite, 2007). Las categoras de ataques a redes incluyen los siguientes:
18
1. Virus: Un virus informtico es un malware1 que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el cdigo de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque tambin existen otros ms inofensivos, que solo se caracterizan por ser molestos. Los virus informticos tienen, bsicamente, la funcin de propagarse, replicndose, pero algunos contienen adems una carga daina (payload) con distintos objetivos, desde una simple broma hasta realizar daos importantes en los sistemas, o bloquear las redes informticas generando trfico intil. El funcionamiento de un virus informtico es conceptualmente simple. Se ejecuta un programa que est infectado, en la mayora de las ocasiones, por desconocimiento del usuario. El cdigo del virus queda residente en la memoria RAM de la computadora, aun cuando el programa que lo contena haya terminado de ejecutarse. El virus toma entonces el control de los servicios bsicos del sistema operativo, infectando de manera posterior, archivos ejecutables que sean llamados para su ejecucin. Finalmente se aade el cdigo del virus al del programa infectado y se graba en disco, con lo cual el proceso de replicado se completa (Wikipedia). 2. Gusanos: Los Gusanos Informticos (Worm), son programas que realizan copias de s mismos, alojndolas en diferentes ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes informticas, impidiendo as el trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos. El principal objetivo de los gusanos es propagarse y afectar al mayor nmero de ordenadores posible. Para ello, crean copias de s mismos en el ordenador afectado, que distribuyen posteriormente a travs de diferentes medios, como el correo electrnico, programas P2P o de mensajera instantnea, entre otros. Los gusanos suelen utilizar tcnicas de ingeniera social para conseguir mayor efectividad. Para ello, los creadores de malware
1
Malware (del ingls malicious software, tambin llamado badware o software malicioso) un software que tiene como objetivo infiltrarse en o daar un ordenador sin el conocimiento de su dueo. Esta expresin es un trmino general muy utilizado por profesionales de la computacin para definir una variedad de programas de cdigos hostiles e intrusivos
19
seleccionan un tema o un nombre atractivo con el que camuflar el archivo malicioso. Los temas ms recurrentes son los relacionados con el sexo, famosos, temas morbosos, temas de actualidad o software pirata (Panda Security). 3. Caballos de Troya: Un caballo de Troya (Trojan Horse) es un programa aparentemente til que contiene funciones ocultas que pueden aprovechar los privilegios de los usuarios [de ejecutar el programa], con una amenaza de seguridad resultantes. Un caballo de Troya hace cosas que el programa de usuario no tena la intencin. Los Caballos de Troya se basan en los usuarios para ser instalados, o pueden ser instaladas por intrusos que han ganado acceso no autorizado por otros medios. Entonces, un intruso tratando de perturbar un sistema utilizando un caballo de Troya se basa en que los usuarios estn ejecutando el caballo de Troya para tener xito (CERT, Carnegie Mellon University). Los troyanos no son autopropagables, caracterstica que los distingue de los virus y gusanos. Hoy en da, los troyanos suelen instalarse en secreto y lanzan su carga maliciosa sin que el usuario se entere de ello. Gran parte de los modernos programas delictivos se componen de distintos tipos de troyanos que son especficamente diseados con propsitos netamente maliciosos. Los ms comunes son los troyanos backdoor (a menudo incluyen un keylogger), los troyanos espa, los troyanos ladrones de contraseas, y los troyanos proxy que convierten el equipo del usuario en un centro de distribucin de spam (kaspersky Lab). 4. Denegacin de Servicios: En seguridad informtica, un ataque de denegacin de servicio, tambin llamado ataque DoS (de las siglas en ingls Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima. Se genera mediante la saturacin de los puertos con flujo de informacin, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegacin", pues hace que el servidor no d abasto a la cantidad de usuarios. Esta tcnica es usada por
20
los llamados Crackers para dejar fuera de servicio a servidores objetivo (Wikipedia). 5. Denegacin de Servicios Distribuida: Una ampliacin del ataque Dos es el llamado ataque distribuido de denegacin de servicio, tambin llamado ataque DDoS (de las siglas en ingls Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de informacin desde varios puntos de conexin. La forma ms comn de realizar un DDoS es a travs de una botnet, siendo esta tcnica el ciberataque ms usual y eficaz. En ocasiones, esta herramienta ha sido utilizada como un notable mtodo para comprobar la capacidad de trfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempea. Un administrador de redes puede as conocer la capacidad real de cada mquina. Algunos ejemplos son: Inundacin SYN (SYN Flood), Inundacin ICMP (ICMP Flood), SMURF, Inundacin UDP (UDP Flood) (Wikipedia). 6. Programas espas: Un programa espa, traduccin del ingls spyware, es un programa, que funciona dentro de la categora malware, que se instala furtivamente en un ordenador para recopilar informacin sobre las actividades realizadas en ste. La funcin ms comn que tienen estos programas es la de recopilar informacin sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero tambin se han empleado en organismos oficiales para recopilar informacin contra sospechosos de delitos, como en el caso de la piratera de software. Adems pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener informacin importante. Dado que el spyware usa normalmente la conexin de una computadora a Internet para transmitir informacin, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a la red. Entre la informacin usualmente recabada por este software se encuentran: los mensajes, contactos y la clave del correo electrnico; datos sobre la conexin a Internet, como la direccin IP, el DNS, el telfono y el pas; direcciones web visitadas, tiempo durante el cual el usuario se mantiene en dichas web y nmero de veces que el usuario visita cada web; software que se encuentra instalado; descargas
21
realizadas; y cualquier tipo de informacin intercambiada, como por ejemplo en formularios, con sitios web, incluyendo nmeros de tarjeta de crdito y cuentas de banco, contraseas, etc (Wikipedia). 7. Pesca de usuarios: Phishing es un trmino informtico que denomina un tipo de delito encuadrado dentro del mbito de las estafas cibernticas, y que se comete mediante el uso de un tipo de ingeniera social caracterizado por intentar adquirir informacin confidencial de forma fraudulenta (como puede ser una contrasea o informacin detallada sobre tarjetas de crdito u otra informacin bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicacin oficial electrnica, por lo comn un correo electrnico, o algn sistema de mensajera instantnea1 o incluso utilizando tambin llamadas telefnicas. Dado el creciente nmero de denuncias de incidentes relacionados con el phishing, se requieren mtodos adicionales de proteccin. Se han realizado intentos con leyes que castigan la prctica y campaas para prevenir a los usuarios con la aplicacin de medidas tcnicas a los programas (Wikipedia). 8. Desbordamiento de buffer: En seguridad informtica y programacin, un desbordamiento de buffer (del ingls buffer overflow o buffer overrun) es un error de software que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian sobre un rea de memoria reservada a tal efecto (buffer), de forma que si dicha cantidad es superior a la capacidad preasignada los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Esto constituye un fallo de programacin. En las arquitecturas comunes de computadoras no existe separacin entre las zonas de memoria dedicadas a datos y las dedicadas a programa, por lo que los bytes que desbordan el buffer podran grabarse donde antes haba instrucciones, lo que implicara la posibilidad de alterar el flujo del programa, llevndole a realizar operaciones imprevistas por el programador original. Esto es lo que se conoce como una vulnerabilidad. Una vulnerabilidad puede ser aprovechada por un usuario malintencionado para influir en el funcionamiento del sistema. En algunos casos el resultado es la capacidad de conseguir cierto nivel de control saltndose las limitaciones de seguridad habituales. Si el programa con el error en cuestin tiene privilegios especiales constituye en un fallo grave de seguridad.
22
Se denomina shellcode al cdigo ejecutable especialmente preparado que se copia al host objeto del ataque para obtener los privilegios del programa vulnerable. La capacidad de los procesadores modernos para marcar zonas de memoria como protegidas puede usarse para aminorar el problema. Si se produce un intento de escritura en una zona de memoria protegida se genera una excepcin del sistema de acceso a memoria, seguido de la terminacin del programa. Por desgracia para que esta tcnica sea efectiva los programadores han de indicar al sistema operativo las zonas que se necesita proteger, programa a programa y rutina a rutina, lo que supone un problema para todo el cdigo heredado (Wikipedia). 9. Explotacin de vulnerabilidades: Exploit (del ingls to exploit, explotar o aprovechar) es una pieza de software, un fragmento de datos, o una secuencia de comandos con el fin de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informticos, hardware, o componente electrnico (por lo general computarizado). Con frecuencia, esto incluye cosas tales como la violenta toma de control de un sistema de cmputo o permitir la escalada de privilegios o un ataque de denegacin de servicio El fin del Exploit puede ser violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. Los Exploits pueden ser escritos empleando una diversidad de lenguajes de programacin, aunque mayoritariamente se suele utilizar lenguaje C. Tambin puede aprovecharse de distintos tipos de ataques tales como desbordamiento de bfer, Cross Site Scripting, Format Strings, Inyeccin SQL, entre otros. Una de las herramientas ms utilizadas para trabajar con este tipo de software es Metasploit Framework, una plataforma de test de penetracin escrita en lenguaje de programacin Ruby, como as tambin otros frameworks como Core Impact, Canvas, entre otros (Wikipedia). 10. Ingeniera social: En el campo de la seguridad informtica, ingeniera social es la prctica de obtener informacin confidencial a travs de la manipulacin de usuarios legtimos. Es una tcnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener
23
informacin, acceso o privilegios en sistemas de informacin que les permitan realizar algn acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos. El principio que sustenta la ingeniera social es el que en cualquier sistema "los usuarios son el eslabn dbil". En la prctica, un ingeniero social usar comnmente el telfono o Internet para engaar a la gente, fingiendo ser, por ejemplo, un empleado de algn banco o alguna otra empresa, un compaero de trabajo, un tcnico o un cliente. Va Internet o la web se usa, adicionalmente, el envo de solicitudes de renovacin de permisos de acceso a pginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando as a revelar informacin sensible, o a violar las polticas de seguridad tpicas. Con este mtodo, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco en lugar de tener que encontrar agujeros de seguridad en los sistemas informticos (Wikipedia).
1.4 MECANISMOS DE DEFENSAS ACTUALES
Figura 6 Defensas de red tradicionales
(Capite, 2007)
24
1. Listas de Acceso del Router: Las listas de control de acceso IP (ACL access control lists) Son filtros que permiten que el router2 pueda descartar algunos paquetes basados en criterios definidos por el ingeniero de la red. El objetivo de estos filtros es prevenir el trfico no deseado en la red, ya sea para evitar que los hackers penetren en la red o simplemente para evitar que los empleados puedan utilizar los sistemas que no deberan usar. Las listas de control de acceso deben ser simplemente parte de la poltica de seguridad de una organizacin. Se configura Una lista de control de acceso en un router para controlar el flujo de paquetes a travs del router, como para prevenir que los paquetes de una determinada red o direccin IP ingresen o salgan de una interfaz en particular en el router. Por cierto, las listas de control de acceso IP tambin se pueden utilizar para filtrar las actualizaciones de enrutamiento, de manera que coincidan con los paquetes para el establecimiento de prioridades, con los paquetes para hacer un tnel VPN, y con los paquetes de aplicacin de calidad de servicio (Odom, 2004). La lista de acceso es la piedra angular de seguridad de la red. Las Listas de Acceso permite o niega trfico en la red basado incluso en los parmetros de la direccin IP origen, IP destino al que se dirige, y servicio de redes o nmero de puerto. Las listas de acceso de un router son tpicamente inestables, significa que el router no hace un mantenimiento del estado de la conexin TCP para cada conexin. Las listas de acceso del router ofrece una proteccin al permetro y de defensa bsica porque los routers son tpicamente ambos dispositivo de borde y dispositivos centrales (Capite, 2007). 2. Muros de Seguridad o Paredes de fuego (Firewall): Un firewall, tal como lo define el Dictionary of Internetworking Terms ans Acronyms (Diccionario para trminos y acrnimos de internetworking), es un router o servidor de acceso, o varios routers o servidores de acceso, que actan como bfer entre las redes pblicas y una red privada. Un router firewall utiliza "listas de control de acceso" y otros mtodos para garantizar la seguridad de la red privada. Los Firewalls son prevalecientes en las redes del permetro y centros de datos, se encuentran a menudo en el permetro para proteger
2
Router dispositivo de la capa de red que utiliza una o ms medidas para determinar la trayectoria optima a lo largo de la cual deba direccionarse el trfico de la red. Los ruteadores direccionan paquetes de una red a otra con base a la informacin de la capa de red, determinando la mejor ruta (Merilee Ford, 1998, pg. 646).
25
sitios remotos o redes de borde. Los Firewall de la red toman su nombre de las paredes de fuego tradicionales que pueden existir en los trenes y edificios que son para poner en cuarentena o bloquear que el fuego pueda extenderse de un rea a otro. 3. Sistemas de Deteccin de Intrusos (IDS): Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el ncleo del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas. El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo (Wikipedia). Las listas de acceso del router y Firewall han sido penetrables tempranamente desde los 1990s. Los IDS empezaron a desplegarse ampliamente hacia los fines de los aos noventa. Los IDS son dispositivos
26
pasivos que supervisan una copia del trfico de la red mientras fluyen a travs del sistema. Estos dispositivos se despliegan a menudo en los centros de datos cerca de los servidores crticos. Los IDS pueden descubrir un ataque a la red basado en firmas de trfico o modelos de datos en el trfico de la red. Los IDS descubren tpicamente en lugar de prevenir el ataque de la red porque ellos estn dentro de lnea, como estn realizando una copia del trfico de la red. Son muy valiosos para la defensa de la seguridad de la red, porque pueden proporcionar una alerta temprana que un ataque a la red ha comenzado (Capite, 2007). 4. Redes Privadas Virtuales: Una red privada virtual (VPN) se define como una red en la que la conectividad cliente entre varios sitios se distribuye en una infraestructura compartida con las mismas normas de acceso o seguridad que en una red privada. Las primeras redes privadas virtuales se basaban en tecnologas tales como X.25 y Frame Relay, y posteriormente, en SDMS y ATM. Con la introduccin de nuevas tecnologas en las redes de los proveedores de servicios y los nuevos requisitos de los clientes, el concepto de VPN se hace cada vez ms complicado. Los modernos servicios VPN pueden abarcar distintas tecnologas y topologas. Los tres problemas comerciales que una empresa normalmente intentara solucionar con una red privada virtual son: Comunicacin interna de la empresa (intranet) Comunicacin con otras empresas (extranet) Acceso de los usuarios mviles, trabajadores en casa, oficinas remotas, etc. Mediante medios de conexin econmicos.
Las comunicaciones internas de las empresas no suelen estar bien protegidas por los hosts finales o firewalls. Por tanto, el servicio VPN utilizado para implementar la comunicacin interna debe ofrecer altos niveles de aislamiento y seguridad. Las comunicaciones internas de la empresa tambin requieren calidad de servicio garantizada para los procesos de misin crtica. Con frecuencia, las comunicaciones entre empresas tienen lugar entre los sitios centrales de las empresas, habitualmente utilizando dispositivos de seguridad dedicados, como firewalls o mecanismos de cifrado. Estas comunicaciones tambin pueden tener requisitos de calidad de servicio menos estrictos. Este conjunto de requisitos hace que Internet
27
sea cada vez ms apropiado para las comunicaciones entre empresas; por tanto no es una sorpresa que cada vez ms trfico business-tobusiness tenga lugar en Internet. Al usuario remoto que accede a una red corporativa, normalmente desde ubicaciones cambiantes o desconocidas, se le abruma con cuestiones de seguridad, que se tienen que resolver sobre una base extremo a extremo utilizando tecnologas como el cifrado o las claves de acceso de un solo uso (Ivan Pepelnjak, 2003). Las VPNs son comunes en la mayora de las redes corporativas. Son esencialmente una capa de seguridad aplicada a una red pblica o privada para hacer la conexin de la red fiable. Programas Antivirus: Muchas organizaciones han implementado un programa antivirus para combatir los ataques de virus frecuentes contra sus redes. Los programas antivirus examinan a menudo el correo electrnico recibido para identificar y quitar los ataques de virus conocidos. Mientras la examinacin del antivirus es valiosa a la seguridad de una red, los componentes antivirus son tradicionalmente autnomos y no integrados en la estructura de la red. La habilidad de adjuntar la funcionalidad antivirus directamente en una red permite a la red autodefenderse, como los componentes de seguridad pueden integrarse y centralmente manejarse, puede proporcionarse un mecanismo para que la red de computadoras sea autocurable y automticamente defenderse contra ciertos virus o ataques virales (Capite, 2007).
5.
1.5 DEFINICION DEL DISEO DE REDES SEGURAS (David W. Chapman Jr., 2002) Cuando se accede a informacin en un entorno internetwork3, hay que crear reas seguras. El dispositivo que separa cada una de estas reas se denomina firewall. Aunque un firewall suele separar una red privada de una red pblica, esto no siempre es as. Lo normal es usar un firewall para separar los segmentos de una red privada. Un firewall suele tener un mnimo de tres interfaces, aunque las primeras implementaciones solo incluan dos. Cuando se usa un firewall con tres interfaces se crea un mnimo de tres redes. Las tres redes que crea el firewall se describen de este modo.
3
Una internetwork se compone de muchas redes que estn conectadas entre s
28
Interior. El interior es el rea de confianza de la internetwork. Los dispositivos que estn en el interior forman las redes privadas de la organizacin. Estos dispositivos comparten unas directivas de seguridad comunes con respecto a la red exterior (Internet). Sin embargo, resulta muy habitual que un firewall segmente el entorno de confianza. Si un departamento como Recursos Humanos, tiene que ser protegido del resto de usuarios de confianza, se puede utilizar un firewall. Exterior. El exterior es la red de no confianza de la internetwork. El firewall protege los dispositivos del interior y la DMZ de los dispositivos del exterior. Al hacer sus negocios, las empresas suelen permitir el acceso a la DMZ desde el exterior. En ocasiones, es necesario configurar un firewall para el acceso selectivo desde el exterior hasta los hosts y servicios de la DMZ. Si es inevitable, es posible configurar un firewall para permitir el acceso desde un dispositivo del exterior hasta un dispositivo de confianza del interior. Esto es mucho ms arriesgado que permitir el acceso desde el exterior hasta la DMZ aislada. DMZ (Zona Desmilitarizada). La DMZ es una red aislada, a la que pueden acceder los usuarios del exterior. Es necesario configurar el firewall para permitir el acceso desde el exterior o interior hasta la DMZ. La creacin de una DMZ posibilita que una empresa ponga la informacin y los servicios a disposicin de los usuarios del exterior dentro de un entorno seguro y controlado. Esto permite el acceso a los usuarios del exterior, sin permitir el acceso al interior. Los hosts o servidores que residen en la DMZ suelen denominarse hosts bastin (equipo fortificado). En este caso un host bastin es un host que esta actualizado y endurecido con respecto a su sistema operativo y las modificaciones experimentadas por este ltimo. El hecho de que este actualizado generalmente lo har menos vulnerable a los ataques, ya que el fabricante habr establecido o parchado todos los defectos conocidos. El host bastin es un host que solo ejecuta los servicios necesarios para realizar sus tareas de aplicacin. Los servicios innecesarios (y a veces ms vulnerables) son desactivados o eliminados del host.
El cometido bsico de un firewall consiste en llevar a cabo las siguientes funciones: No permitir acceso desde el exterior hasta el interior. 29
Permitir un acceso limitado desde el exterior a la DMZ. Permitir todo el acceso desde el interior hasta el exterior. Permitir un acceso limitado desde el interior a la DMZ
Internet
Router de Borde o Perimetro R1
Servidor web HTTP
Servidor SMTP edge
Exterior
Conmutador L2 VLan
Firewall Externo DMZ
IDS Basado en Red Conmutador L2 VLan Conmutador L3 multicapa
Interior IPS Prevension de Intrusos
Servidor PROXY
Servidor Webservices
Firewall Interno
Conmutador L2 VLan
Servidores De Aplicaciones
Cliente
Cliente
Router de Campus Proveedores
IDS Basado en Red Servidor SMTP Servidor Archivos Servidor Controlador Dominio Servidor Base de Datos
Figura 7 diseo general de la red con Firewall e IDS (Capite,
2007).
30
1.6 COMO CONTROLAR LOS INCIDENTES DE SEGURIDAD El primer paso hacia la seguridad es proteger la red de vulnerabilidades y amenazas. El entendimiento de la postura de seguridad de una red est basado en piezas vitales como ser: monitoreo de eventos, anlisis de vulnerabilidades, y reportes de los incidentes entre otros (ISACA CISM, 2012).
El Monitoreo de Eventos es el proceso de recibir eventos (o alertas) de la red y presentarlas al usuario o administrador de seguridad en tiempo real y en una forma detallada o explicativa. Esto es posible a travs de cuadros de mando integral de indicadores de seguridad dashboard, donde los nuevos eventos son desplegados a medida que estos van ocurriendo. El Anlisis es el proceso de tomar los eventos recibidos, normalizarlos y ponerlos en correlacin, de acuerdo al tipo de evento, incidente, severidad. El proceso de correlacin toma mltiples flujos de eventos desde varios tipos de dispositivos y encuentra similitudes en sus datos que pueden ser unidos para proveer una imagen compuesta detallada, el resultado del proceso de correlacin produce un conjunto de datos ms relevantes y permite tomar una accin para mitigar la amenaza o reducir el nivel de exposicin. El proceso de normalizacin remueve los datos redundantes y mejora la consistencia de los datos. Los Reportes permiten comparar datos histricos con eventos especficos y presentar al usuario datos estadsticos de aquellos eventos de mayor importancia. Un alto grado de control de seguridad de la red, est basado en la capacidad del Monitoreo, anlisis, y reporte de eventos e incidentes de seguridad en el momento que estos ocurren, este grado de administracin es til para informar al usuario administrador de la red el estado de salud actual de la red. Estas herramientas son muy importantes en redes multiplataforma, porque el volumen de eventos que cada dispositivo genera para por cada recurso de red monitoreado es enorme. Monitorear los dispositivos de red individualmente no es ni practico ni eficiente.
31
1.7 REALIDAD NACIONAL A continuacin se muestran los resultados ms importantes de la Encuesta de Seguridad Informtica4 dirigida a profesionales de TI en Santa Cruz de la Sierra-Bolivia, organizada por el Modulo de Fundamentos para la elaboracin de Tesis, para la maestra de auditoria y seguridad informtica de la UAGRM. (Elaboracin propia: nmero de empresas encuestadas 13)
16.00 14.00 12.00 10.00 8.00 6.00 4.00 2.00 0.00 1.23 0.00 1.23 6.17 7.41 7.41 4.94 3.70 0.00 0.00 1.23 6.17 7.41 13.58 14.81 11.11 13.58
Grafico 1 Tecnologas de seguridad informtica (Garca, 2011)
Las tecnologas de seguridad informtica ms utilizadas hoy, son: 15% Polticas de Control de Acceso (Active Directory), 14% Software antivirus y 14% firewalls. Un nmero considerable de las empresas 11% utilizan Redes Privadas Virtuales (VPN).
100.00 50.00 0.00 Si No No sabe / No Responde
53.85
46.15 0.00
Grafico 2 rea de seguridad informtica (Garca, 2011)

4
ANEXO A
32
En el 54% de las empresas existe el rea de seguridad informtica. El 46% de las empresas manifest haber tenido incidentes de seguridad informtica en el ltimo ao.
30.00 25.00 20.00 15.00 10.00 5.00 0.00
Ataque exterior Ataque exterior Ataque interior desde la red desde un telfono desde una red o publica o modem subred local Ataque interior desde una red inalmbrica Ataque interior Ataque con un desde un sistema cdigo malicioso local
27.27 22.73 18.18 18.18
9.09 4.55
Grafico 3 Vectores de Amenaza (Garca, 2011)
De stas el 27% cit como primer Vector de Amenaza, el ataque con cdigo malicioso y el 23% Ataque interior desde un sistema local, seguido de un 18% por el Ataque exterior desde la red pblica y el ataque interior desde una red o subred local.
33
16.00 14.00 12.00 10.00 8.00 6.00 4.00 2.00

Manipulacin de aplicaciones de Denegacin de Servicio (Denial Explotacin de vulnerabilidades Monitoreo no Autorizado del Modificacin de Pagina Web Acceso no autorizado por Desbordamiento de buffer
Prdida de Integridad
Robo de Informacin Confidencial
Sabotaje
Ninguno
Fraude Financiero
Gusanos Informticos (Worm)
Uso de Software no autorizado
Captura de Informacin
Correo Spam
Abuso del Acceso a Internet
Prdida de Informacin
Pesca de usuarios (Phishing)
Programas espas (spyware)
Penetracin de Sistemas
Robo de Notebook
Ingeniera social
Grafico 4 Incidentes de seguridad ms comunes (Garca, 2011)
Los incidentes de seguridad ms comunes durante el ltimo ao fueron: 13% Abuso del Acceso a Internet, 12% el correo electrnico spam, 9% los virus informticos y el uso de software no autorizado.
50.00 40.00 30.00 20.00 10.00 0.00 0.00
Se mantendr igual a la presente gestin Crecer Decrecer No sabe / No Responde
Caballos de Troya (Trojan Horse)
38.46
38.46 23.08
Grafico 5 Inversin en seguridad informtica (Garca, 2011)
El 38% de las empresas planea incrementar la inversin en seguridad informtica, mientras que el otro 38% indica que la inversin en seguridad se mantendr igual a la presente gestin
Virus
Otros
0.00
34
45.00 40.00 35.00 30.00 25.00 20.00 15.00 10.00 5.00 0.00
42.86
21.43
21.43
7.14 0.00 0.00 0.00
7.14 0.00
Grafico 6 Publicacin de Incidentes (Garca, 2011)
El 43% de las empresas cree que los incidentes no son denunciados por desconocimiento de los mismos, mientras que el 21% indica que los incidentes son manejados de manera interna para no afectar la imagen.
35
CAPITULO 2 EL ANALISIS DE RIESGO, IMPACTO Y LA CONTINUIDAD DEL NEGOCIO
36
CAPITULO 3 DIAGNOSTICO DE LA SITUACION ACTUAL
37
CONCLUSIONES (Sern agregadas al finalizar el trabajo) REFERENCIAS BIBLIOGRAFICAS Business Continuity Institute. (2012). Recuperado el 11 de Abril de 2012, de http://www.thebci.org/ Capite, D. d. (2007). Self-Defending Networks: The Next Generation of Network Security. USA: CiscoPress. Centro de investigacion y seguridad informtica, A. (s.f.). ENCUESTA DE SEGURIDAD INFORMTICA EN ARGENTINA. Recuperado el 16 de Junio de 2011, de http://www.cisi.ar CERT, Carnegie Mellon University. (s.f.). CERT Statistics. Recuperado el 3 de Junio de 2011, de Sitio web de CERT: http://www.cert.org/stats/ CERT, Carnegie Mellon University. (s.f.). CERT Advisory CA-1999-02 Trojan Horses. (Carnegie Mellon University) Recuperado el 09 de Junio de 2011, de http://www.cert.org/advisories/CA-1999-02.html CWE, Mitre. (19 de Noviembre de 2011). Common Weakness Enumeration. Obtenido de http://cwe.mitre.org/ David W. Chapman Jr., A. F. (2002). Firewall PIX de Cisco Secure (Primera edicin en espaol ed.). (C. Press, Ed., & R. V. Llorente, Trad.) Madrid: Pearson Education S.A. Disaster Recovery Institute. (2012). DRI International. Recuperado el 11 de Abril de 2012, de https://www.drii.org/ Garca, S. A. (2011). Encuesta de Seguridad dirigida a Profesionales de TI. UAGRM. Santa Cruz de la Sierra: Elaboracin Propia. GIAC Information Security, C. (2002). Threat and the Need for Defense in Dept. En S. Training, GIAC SECURITY ESSENTIALS with the Common Body of Knowledge. USA. Grupo Nacional Vida. (2011). Memoria Anual 2010. Santa Cruz. ISACA CISA. (2012). Certified Information Systems Auditor: Manual de Preparacin al Examen CISA 2012 (Vol. I). Estados Unidos de America: ISACA Bookstore. ISACA CISM. (2012). Certified Information Security Manager: Manual de Preparacin al Examen CISM 2012 (2012 ed., Vol. I). Estados Unidos de Norteamrica: ISACA Bookstore. Ivan Pepelnjak, J. G. (2003). Arquitectura MPLS y VPN (Primera edicin en espaol ed.). (C. Press, Ed.) Madrid: Pearson Education S.A. kaspersky Lab. (s.f.). Que es un troyano. Recuperado el 09 de Junio de 2011, de http://www.kaspersky.com/sp/threats_faq#trojan
38
Merilee Ford, H. K. (1998). Tecnologias de interconectividad de redes (En espaol ed.). (C. Press, Ed., & C. C. Pedraza, Trad.) Naucalpan de Juarez, Mexico: Prentice Hall. Odom, W. (2004). CCNA ICND Exam Certification Guide. USA: Cisco Press. Panda Security. (s.f.). Que es un Gusano Informatico. Recuperado el 09 de Junio de 2011, de http://www.pandasecurity.com/spain/homeusers/security-info/classicmalware/worm/ SANS. (19 de 11 de 2011). Top 25 Software Errors. Obtenido de http://www.sans.org/top25-software-errors/ Stephen Northcutt, J. N. (2001). Guia Avanzada de Deteccion de Intrusos (Segunda ed.). (T. V. S.L, Trad.) Madrid: Pearson Educacion. Tanembaum, A. S. (1997). Redes de Computadoras (Tercera ed.). (D. M. Peake, Trad.) Mxico, D.F: Prentice Hall. Wikipedia. (s.f.). buffer overflow. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer Wikipedia. (s.f.). Denegacion de Servicio. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Denegaci%C3%B3n_de_servicio Wikipedia. (s.f.). Exploit. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Exploit Wikipedia. (s.f.). Ingenieria Social. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform% C3%A1tica%29 Wikipedia. (s.f.). Phishing. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Phishing Wikipedia. (s.f.). Sistema de deteccin de intrusos. Recuperado el 11 de Junio de 2011, de http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos Wikipedia. (s.f.). Spyware. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Spyware Wikipedia. (s.f.). Virus Informaticos. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico
39
CURRCULUM VITAE
Datos Personales Nombres y Apellidos Cedula de Identidad Direccin Personal Telfono Correo Electrnico Idiomas Membresas Formacin Acadmica 2012 UAGRM 2011 2009 2003 2002 UAGRM Universidad Privada Cumbre USACH Universidad NUR
: : : : : :
Alexis Andrs Garca Sandoval 4566970 SC Barrio San Jos Obrero, calle Mores # 2120 Domicilio +591(3) 3477073 Celular +591 78005022 Ing.agarcia@gmail.com Espaol, Ingles (Nivel Avanzado) SIB-SCZ, BICSI, IEEE, Cisco CCNA, ISACA
Maestra en Auditoria y Seguridad Informtica (Maestrante) Diplomado en Seguridad de Redes Diplomado en Finanzas Diplomado en Proyectos Posttulo en Telecomunicaciones y Redes Licenciado en Ingeniera de Sistemas
Facultad de ciencias exactas y tecnologa Facultad de ciencias econmicas Facultad de Ingeniera Carrera de Ingeniera de Sistemas
Experiencia Laboral 2011Grupo Nacional Vida 2004-2011 Corporacin NexoCorp 2003-2004 Universidad NUR 2001-2002 FarmaCorp S.A 1998-2001 Freelance 1995-1997 Saint Honore Bolivia 1993-1995 Prosistemas S.R.L 1991-1993 Computer Center Institute
Oficial de Seguridad Informtica Jefe de Redes y Seguridad Docente Administrativo Encargado de Redes y Soporte Consultor de Redes Independiente Analista de Sistemas Tcnico en Computacin Encargado del Laboratorio de Computacin
Cursos de Capacitacin tecnolgica y Seminarios Realizados 2011 Curso ACL 105 Tcnicas de Auditoria ACL v9 2010 Certificacin Auditor Interno de Sistemas de Gestin de Seguridad de la Informacin ISO 27001:2005 2007 Curso ETHICAL HACKING & Penetration Test Information Securiy 2007 Curso ITIL FOUNDATIONS SERVICE MANAGEMENT - Information Securiy 2007 Curso Cisco Certified Network Professional CCNP Level 1-2-3, Academia de Redes Cisco 2005 Certificacin CCNA Cisco Certified Network Associate Academia de Redes Cisco (Fast Track) 2005 Curso Planificacin e Implementacin de un Sistema de Gestin de la Calidad ISO 9001:2000 2005 Curso Entrenamiento intensivo ISO 17799
Interop S.A (40 horas) TV Rheinland Group (24 Horas) iSec (16 horas) iSec (16 horas) UPSA (432 Horas) UPSA (40 Horas) IRAM Bolivia (16 Horas) e-Cainco (16 horas)
40
(Hoja intencionalmente dejada en blanco) - Fin del Trabajo -
41

Modelo de Evaluacion de Riesgos y Analisis de Impacto para La Gestión de Continuidad Del Negocio v1.1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Modelo de Evaluacion de Riesgos y Analisis de Impacto para La Gestión de Continuidad Del Negocio v1.1

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

ESCUELA DE POSTGRADO Unidad de Postgrado Facultad de Ciencias Exactas y Tecnologa

Ing. ALEXIS ANDRES GARCIA SANDOVAL

Msc. Ing. VLADIMIR CALDERON YAKSIC.

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

Ing. ALEXIS ANDRES GARCIA SANDOVAL

Msc. Ing. VLADIMIR CALDERON YAKSIC.

1.2 1.3 1.4 1.5 1.6 1.7

Tabla 1 Total vulnerabilidades catalogadas (Garca, 2011) ............................................... 17

ESQUEMA DE LAS EMPRESAS DEL GRUPO

Figura 1 Empresas del grupo (Grupo Nacional Vida, 2011)

Figura 2 Presencia Nacional (Grupo Nacional Vida, 2011)

REA DE INVESTIGACION Auditoria y Seguridad Informtica

Business Continuity Plan (BCP)

Business Impact Analysis (BIA)

Figura 3 Metodologa DRI Internacional (Disaster Recovery Institute, 2012)

Business Continuity Management BS 25999:2007

Understanding your business

Testing, Maintenance and Audit

Business Continuity Strategies

BCM Programme Management

Building and Embedding (BCM Culture)

Develop and Implement BCM (BCP)

Figura 4 Metodologa BCM BS 25999:2007 (Business Continuity Institute, 2012)

Tabla 1 Total vulnerabilidades catalogadas (Garca, 2011)

Incidentes de seguridad reportados en CERT

Los datos del 2008 solo representan (Q1-Q3)

1.4 MECANISMOS DE DEFENSAS ACTUALES

Figura 6 Defensas de red tradicionales

Una internetwork se compone de muchas redes que estn conectadas entre s

Router de Borde o Perimetro R1

Servidor web HTTP

Servidor SMTP edge

Firewall Externo DMZ

IDS Basado en Red Conmutador L2 VLan Conmutador L3 multicapa

Interior IPS Prevension de Intrusos

Router de Campus Proveedores

Figura 7 diseo general de la red con Firewall e IDS (Capite,

Grafico 1 Tecnologas de seguridad informtica (Garca, 2011)

Grafico 2 rea de seguridad informtica (Garca, 2011)

27.27 22.73 18.18 18.18

Grafico 3 Vectores de Amenaza (Garca, 2011)

16.00 14.00 12.00 10.00 8.00 6.00 4.00 2.00

Robo de Informacin Confidencial

Gusanos Informticos (Worm)

Uso de Software no autorizado

Abuso del Acceso a Internet

Pesca de usuarios (Phishing)

Programas espas (spyware)

Grafico 4 Incidentes de seguridad ms comunes (Garca, 2011)

Caballos de Troya (Trojan Horse)

Grafico 5 Inversin en seguridad informtica (Garca, 2011)

7.14 0.00 0.00 0.00

Grafico 6 Publicacin de Incidentes (Garca, 2011)

CAPITULO 2 EL ANALISIS DE RIESGO, IMPACTO Y LA CONTINUIDAD DEL NEGOCIO

CAPITULO 3 DIAGNOSTICO DE LA SITUACION ACTUAL

(Hoja intencionalmente dejada en blanco) - Fin del Trabajo -

You might also like