ESCUELA POLITECNICA DEL EJERCITO Evaluación Técnica de la Seguridad Informática Del Data Center...

ESCUELA POLITECNICA DEL EJERCITO

“Evaluación Técnica de la Seguridad InformáticaDel Data Center de la Escuela Politécnica del

Ejército”

Integrantes:

Ricardo Guagalango Vega Patricio Moscoso Montalvo

Objetivo General

Realizar una Evaluación Técnica Informática en la Unidad de Sistemas de Información del Data Center de la Escuela Politécnica del Ejército en Sangolquí, considerando como referencia los estándares ISO 27001 e ISO 27002.

Seguridad Informática y de la Información Norma ISO 27000 Metodología MAGERIT Software PILAR Resultados Conclusiones Recomendaciones

AGENDA

Norma ISO 27000Metodología MAGERIT

Software PILAR

Resultados

Conclusiones

Recomendaciones

Seguridad Informática y de la Información

Seguridad Informática y de la Información

Protección de Infraestructura Computacional.

Proteger y resguardar la Información.

Agenda

Norma ISO 27000

Agenda

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

MAGERIT MAGERIT

Estructurado en tres guías:

Estructurado en tres guías:

METODO METODO CATALOGO CATALOGO TECNICATECNICA

Metodología MAGERIT

Activos Amenazas

Frecuencias

Valor Degradación

Impacto

Riesgo

Salvaguardas

Riesgo Residual

Agenda

Activos

Metodología

Tipo Ejemplos:

[SW] Aplicaciones (software)

Sistemas Operativos Aplicativos

Windows XP, 2003 Server, Linux Sistema Académico, Sistema Financiero

[HW] Equipos informáticos (hardware)

Equipos Servidores

PC ClonesCompaq, HP

[S] Servicios

Mensajería electrónica EMAIL

[AUX] Equipamiento auxiliar Proyector Digital

[COM] Redes de comunicaciones red LAN

[L] Instalaciones Cuarto de Servidores - Principal

Valor de Activos

Activos Ejemplo Valor

Software Sistema Operativo Windows XP

7

Hardware PC’S 8

Servicios EMAIL 9

Valor Criterio

10 Muy alto Daño muy grave a la organización

7 – 9 Alto Daño grave a la organización

4 – 6 Medio Daño importante a la organización

1 – 3 Bajo Daño menor a la organización

0 Despreciable Irrelevante a efectos prácticos

Metodología

Amenazas

Clases de Activos Descripción Amenazas

Software Sistema Operativo Windows XP

1. Virus2. Fallo de Usuario3. Caída del Sistema

Hardware PC’S 1.Tormentas electromagnéticas2. Mantenimiento Defectuoso

Servicio EMAIL 1. Fallo del Servicio2. Reencaminamiento

Metodología

Frecuencia

Frecuencia

0,1 una vez cada 10 años

1 todos los años

10 todos los meses

100 todos los días

Metodología

Clases de Activos

Descripción Amenazas Frecuencia D I C A T

Software Sistema Operativo Windows XP

1. Virus2. Avería en el S.O. 3. Caída del Sistema

101100

MAMA

AMM

BMM

MBA

AMA

Hardware PC’S 1.Tormentas electromagnetic as2. Mantenimiento Defectuoso

10

0,1

M

MA

A

MA

B

B

B

A

M

M

Degradación

Metodología

Impacto y Riesgo

Impacto = valor activo * degradación

Riesgo = impacto * probabilidad

Cualitativo

Impacto Nivel de Valor

Riesgo Nivel de Criticidad

Metodología

Salvaguardas

[H] Protecciones Generales

[S] Protección de los Servicios

[D] Protección de la Información

[SW] Protección de las Aplicaciones Informáticas (SW)

[HW] Protección de los Equipos Informáticos (HW)

[COM] Protección de las Comunicaciones

[L] Protección de las Instalaciones

Metodología

Resultados Generales Aplicando los Controles de la Norma ISO 27004

Cumplimiento de la Norma ISO 27002

Agenda

Resultados Obtenidos con la Herramienta PILAR

RESULTADOS GENERALES

34.55%

46.36%

70.64%79.45%

Agenda

Resultados con la Herramienta Pilar Referente a los Controles de la Norma ISO 27002

Agenda

RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002

21%

32%

55%

90%

43%

22%

35%

23%

14% 15%

30%

Agenda

RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002

Metodología

40%

63%

41%

90%

53%

40%43%

38%

23%

38% 41%

RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002

40%

77%69%

95%

75%68% 67% 67%

60%

77%

64%

Agenda

RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002

74%86%

69%

95%

82%77% 76%

79%

68%

92%

76%

Agenda

Utilización de la Herramienta PILAR

Identificación de Activos Clasificación de Activos

Dependencias entre Activos Padre e Hijo

Valoración de ActivosSeleccionar el nivel según

criterio basado en las vulnerabilidades

1. Activos 2. Amenazas

Identificación de Amenazas

Seleccionar las AmenazasDesde la biblioteca

del programa por cada Activo

Valoración de Amenazas por cada

Activo

Ingreso de la Degradaciónpor Nivel o porcentaje

Terminadas las fases 1 y 2 Pilar genera como producto: el Impacto y Riesgo inicial automáticamente

Ingreso de la Frecuenciao probabilidad de

Materialización de la amenazaSegún el criterio del análisis

Agenda

Utilización de la Herramienta PILAR

3. Tratamiento de Riesgos

Fases del ProyectoCurrent: Situación ActualTarget: Situación Objetivo

Salvaguardas

Identificación

Valoración

Impacto y Riesgo Residual

Terminadas las 3 fases del Proyecto, Pilar genera como producto: el Impacto y Riesgo Residual automáticamente

Agenda

Conclusiones

Diagnóstico utilizando las Normas ISO 27000

Diagnóstico utilizando la Metodología MAGERIT

Resumen de Observaciones realizadas en Seguridad Informática al Data Center.

Agenda

Recomendaciones

Iniciar Proceso de Certificación. Desarrollar un Plan de Seguridad Informático. Adquirir una herramienta para el Análisis y

Gestión de Riesgos. Aplicar las salvaguardas. Mantener abierta la comunicación en todas las

áreas en cuanto a seguridad informática

Agenda