View
15
Download
0
Category
Preview:
Citation preview
ESCUELA POLITECNICA DEL EJERCITO
“Evaluación Técnica de la Seguridad InformáticaDel Data Center de la Escuela Politécnica del
Ejército”
Integrantes:
Ricardo Guagalango Vega Patricio Moscoso Montalvo
Objetivo General
Realizar una Evaluación Técnica Informática en la Unidad de Sistemas de Información del Data Center de la Escuela Politécnica del Ejército en Sangolquí, considerando como referencia los estándares ISO 27001 e ISO 27002.
Seguridad Informática y de la Información Norma ISO 27000 Metodología MAGERIT Software PILAR Resultados Conclusiones Recomendaciones
AGENDA
Norma ISO 27000Metodología MAGERIT
Software PILAR
Resultados
Conclusiones
Recomendaciones
Seguridad Informática y de la Información
Seguridad Informática y de la Información
Protección de Infraestructura Computacional.
Proteger y resguardar la Información.
Agenda
Norma ISO 27000
Agenda
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
MAGERIT MAGERIT
Estructurado en tres guías:
Estructurado en tres guías:
METODO METODO CATALOGO CATALOGO TECNICATECNICA
Metodología MAGERIT
Activos Amenazas
Frecuencias
Valor Degradación
Impacto
Riesgo
Salvaguardas
Riesgo Residual
Agenda
Activos
Metodología
Tipo Ejemplos:
[SW] Aplicaciones (software)
Sistemas Operativos Aplicativos
Windows XP, 2003 Server, Linux Sistema Académico, Sistema Financiero
[HW] Equipos informáticos (hardware)
Equipos Servidores
PC ClonesCompaq, HP
[S] Servicios
Mensajería electrónica EMAIL
[AUX] Equipamiento auxiliar Proyector Digital
[COM] Redes de comunicaciones red LAN
[L] Instalaciones Cuarto de Servidores - Principal
Valor de Activos
Activos Ejemplo Valor
Software Sistema Operativo Windows XP
7
Hardware PC’S 8
Servicios EMAIL 9
Valor Criterio
10 Muy alto Daño muy grave a la organización
7 – 9 Alto Daño grave a la organización
4 – 6 Medio Daño importante a la organización
1 – 3 Bajo Daño menor a la organización
0 Despreciable Irrelevante a efectos prácticos
Metodología
Amenazas
Clases de Activos Descripción Amenazas
Software Sistema Operativo Windows XP
1. Virus2. Fallo de Usuario3. Caída del Sistema
Hardware PC’S 1.Tormentas electromagnéticas2. Mantenimiento Defectuoso
Servicio EMAIL 1. Fallo del Servicio2. Reencaminamiento
Metodología
Frecuencia
Frecuencia
0,1 una vez cada 10 años
1 todos los años
10 todos los meses
100 todos los días
Metodología
Clases de Activos
Descripción Amenazas Frecuencia D I C A T
Software Sistema Operativo Windows XP
1. Virus2. Avería en el S.O. 3. Caída del Sistema
101100
MAMA
AMM
BMM
MBA
AMA
Hardware PC’S 1.Tormentas electromagnetic as2. Mantenimiento Defectuoso
10
0,1
M
MA
A
MA
B
B
B
A
M
M
Degradación
Metodología
Impacto y Riesgo
Impacto = valor activo * degradación
Riesgo = impacto * probabilidad
Cualitativo
Impacto Nivel de Valor
Riesgo Nivel de Criticidad
Metodología
Salvaguardas
[H] Protecciones Generales
[S] Protección de los Servicios
[D] Protección de la Información
[SW] Protección de las Aplicaciones Informáticas (SW)
[HW] Protección de los Equipos Informáticos (HW)
[COM] Protección de las Comunicaciones
[L] Protección de las Instalaciones
Metodología
Resultados Generales Aplicando los Controles de la Norma ISO 27004
Cumplimiento de la Norma ISO 27002
Agenda
Resultados Obtenidos con la Herramienta PILAR
RESULTADOS GENERALES
34.55%
46.36%
70.64%79.45%
Agenda
Resultados con la Herramienta Pilar Referente a los Controles de la Norma ISO 27002
Agenda
RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002
21%
32%
55%
90%
43%
22%
35%
23%
14% 15%
30%
Agenda
RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002
Metodología
40%
63%
41%
90%
53%
40%43%
38%
23%
38% 41%
RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002
40%
77%69%
95%
75%68% 67% 67%
60%
77%
64%
Agenda
RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002
74%86%
69%
95%
82%77% 76%
79%
68%
92%
76%
Agenda
Utilización de la Herramienta PILAR
Identificación de Activos Clasificación de Activos
Dependencias entre Activos Padre e Hijo
Valoración de ActivosSeleccionar el nivel según
criterio basado en las vulnerabilidades
1. Activos 2. Amenazas
Identificación de Amenazas
Seleccionar las AmenazasDesde la biblioteca
del programa por cada Activo
Valoración de Amenazas por cada
Activo
Ingreso de la Degradaciónpor Nivel o porcentaje
Terminadas las fases 1 y 2 Pilar genera como producto: el Impacto y Riesgo inicial automáticamente
Ingreso de la Frecuenciao probabilidad de
Materialización de la amenazaSegún el criterio del análisis
Agenda
Utilización de la Herramienta PILAR
3. Tratamiento de Riesgos
Fases del ProyectoCurrent: Situación ActualTarget: Situación Objetivo
Salvaguardas
Identificación
Valoración
Impacto y Riesgo Residual
Terminadas las 3 fases del Proyecto, Pilar genera como producto: el Impacto y Riesgo Residual automáticamente
Agenda
Conclusiones
Diagnóstico utilizando las Normas ISO 27000
Diagnóstico utilizando la Metodología MAGERIT
Resumen de Observaciones realizadas en Seguridad Informática al Data Center.
Agenda
Recomendaciones
Iniciar Proceso de Certificación. Desarrollar un Plan de Seguridad Informático. Adquirir una herramienta para el Análisis y
Gestión de Riesgos. Aplicar las salvaguardas. Mantener abierta la comunicación en todas las
áreas en cuanto a seguridad informática
Agenda
Recommended