Diseo del Modelo de Gestin de Seguridad de la Informacin del sistema ERP de EP PETROECUADOR de acuerdo a norma ISO/IEC 27002 y COBIT 5

Diseo del Modelo de Gestin de Seguridad de la Informacin del sistema ERP de EP PETROECUADOR de acuerdo a norma ISO/IEC 27002 y COBIT 5MAESTRIA EN GERENCIA DE REDES Y TELECOMUNICACIONES V PROMOCIN

AUTOR: Ing. Alejandro Mera

TUTOR: Ing. Mauricio J. Balden MGS

IntroduccinJustificacin e importanciaPlanteamiento del problemaJustificacin-Importancia Introduccin

Costo promedio$5000 Por un minuto de cada

Costo Cybercrimen$1 Trilln24B 120B EEUUPor ao

32000 nuevas muestras malware2013

Cumplimiento No cumplimientoFuente: Ponemon Institute, McAfee Labs, ISACA, Banco Central y otros97%Violaciones seguridad son evitables mediante controles simples o intermedios

2 de cada 3 Empresas en riesgoMedios IngenieraSocial1 Billn = 1x109 dlares

La S-I ha tomado relevancia tanto en mbitos empresariales como acadmicos y ha sido objeto de varias investigaciones que tratan de describir los aspectos tecnolgicos, sociales, regulatorios y demogrficos que influyen en la seguridad; formando bases de conocimiento y definiendo marcos de referencia orientados a que los riesgos de la S-I sean conocidos, asumidos, minimizados y gestionados por las organizaciones de una forma documentada, sistemtica, estructurada, continua, eficiente y adaptada a los cambios que se produzcan (ISO27000.ES, 2013).3Justificacin-Importancia IntroduccinFuente: EP PETROEUADOR 2012, ConsultorasDatos en millones de dlaresVulnerabilidades ExternasVulnerabilidades Internas 593 vulnerabilidades en 2112 equiposVentas comercializacin internaRIESGO ALTO29277 dlares por minuto, 11000 en utilidades Cambio del modelo de gestinModernizacin Tecnolgica con el ERP de alcance nacionalAcuerdo ministerial 166 sept. 2013Modernizacin empresarialLa S-I ha tomado relevancia tanto en mbitos empresariales como acadmicos y ha sido objeto de varias investigaciones que tratan de describir los aspectos tecnolgicos, sociales, regulatorios y demogrficos que influyen en la seguridad; formando bases de conocimiento y definiendo marcos de referencia orientados a que los riesgos de la S-I sean conocidos, asumidos, minimizados y gestionados por las organizaciones de una forma documentada, sistemtica, estructurada, continua, eficiente y adaptada a los cambios que se produzcan (ISO27000.ES, 2013).18,6% del PIB4 Propuesta del MGSIMartes, 7 de Febrero, 2012 - 19h00 Advertencia de despidos en PETROECUADOR por 'fuga' de informacin

QUITO.- "Con la finalidad de evitar inconvenientes al personal de la EP Petroecuador por la fuga y mal uso de la documentacin e informacin generada y utilizada en las actividades de nuestra empresa, se recuerda a todo el personal que tienen que dar cumplimiento irrestricto de los artculos 175, 176 y 178 de la normativa de Gestin aprobada (...)" el 7 de abril del 2010.Diario el UniversoEvidencia(Consejo Superior de Administracin Electrnica de Espaa)5Formulacin del ProblemaProcesos ERP Introduccin6HiptesisLa Gerencia de Tecnologas de Informacin y Comunicacin requiere de un modelo de gestin de seguridad de la informacin alineado a mejores prcticas y estndares internacionales los cuales influirn positivamente en la optimizacin de los procesos empresariales implementados en el sistema ERP de EP PETROECUADOR.

IntroduccinObjetivo GeneralDisear un modelo de gestin de seguridad de la informacin, utilizando el estndar ISO/IEC 27002 y el marco de trabajo COBIT 5, para facilitar la optimizacin de los procesos empresariales implementados en el sistema ERP de EP PETROECUADOR.

Objetivos especficosDescribir el estado de la normativa de gestin y de procesos. Analizar la relacin y aplicabilidad conjunta de ISO 27002 y COBIT 5. Elaborar una propuesta para el modelo de gestin de seguridad de la informacin.Determinar la forma en que los procesos empresariales se beneficiarn de un modelo de gestin de Seguridad de la Informacin.

IntroduccinAlcanceComplementa las definiciones del subproceso "GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS", perteneciente al macro proceso "TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES" de la Normativa Interna de EP PETROECUADOR.Estado del ArteSeguridad de la InformacinMarcos de trabajo buenas prcticasEP PETROECUADORSistema ERP

Seguridad de la InformacinSeguridad de la Informacin (S-I)Seguridad de la Informacin (S-I)Riesgos: Organizacionales, Operacionales, FsicosPolticas, normasComportamientos, actos deliberados, cultura organizacional, etc.Seguridad informticaVulnerabilidades y amenazas de las TICVirus, gusanos, spam, contraseas, actualizaciones, parches, ataques informticos. Estado del ArteEl riesgo se define como el efecto de la incertidumbre sobre los objetivos empresariales (ISO, 2009). Bajo este contexto, el efecto se considera una desviacin positiva o negativa de un resultado esperado, y la incertidumbre como una falta total o parcial de informacin relacionada con la comprensin o conocimiento de un evento, su probabilidad de ocurrencia y consecuencias.

10Gobierno Corporativo de TICOBIT 5Gobierno de TICOBIT4.0/4.1AdministracinCOBIT3ControlCOBIT2AuditoraCOBIT1COBIT 5: Marco Empresarial Completofor2005/720001998 Evolucin del Alcance19962012Val IT 2.0(2008)Risk IT(2009)11(ISACA, 2012) Estado del Arte11Marcos de Trabajo Buenas prcticas Estado del ArteDominios COBIT 5COBIT 5 es un marco de trabajo integral para el gobierno y gestin de las TI corporativas. Tiene como objetivo principal, ayudar a las empresas a generar el valor ptimo desde las TI manteniendo el equilibrio entre los beneficios y la optimizacin de los niveles de riesgo y el uso de recursos. (ISACA, 2012)TI: Tecnologas de Informacin.

Evaluate, Direct and Monitor (EDM) COBIT 5Align, Plan and Organize (APO)Build, Acquire and Implement (BAI)Deliver, Service and Support (DSS)Monitor, Evaluate and Assess (MEA)

ISO/IEC 27002, que anteriormente fue denominado ISO 17799, es un estndar internacional no certificable, que proporciona una gua de buenas prcticas en la gestin de laseguridad de la informacina todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestin de la seguridad de la informacin. (ISO/IEC, 2005) ISO: Organizacin Internacional de Estandarizacin, ISO por sus siglas en ingls.IEC: Comisin Electrotcnica Internacional, IEC por sus siglas en ingls. Se public en el ao 2005.

12EP PETROECUADOR(EP PETROECUADOR, 2012) Estado del ArteLa Empresa Pblica de Hidrocarburos del Ecuador fue creada mediante la expedicin del Decreto Ejecutivo No. 315, el 6 de abril de 2010Macroprocesos HabilitantesRefinacinComercializacin NacionalTransporte y AlmacenamientoSeguridad, Salud y AmbienteComercializacin InternacionalGestin del Sector HidrocarburferoCadena de Valor3 Refineras con capacidad procesamiento promedio de 175000 barriles245 gasolineras asociadas, 45 de propiedad del estado y 20 en frontera.SOTE con capacidad de 360000 barriles , 1597 km de poliductos.Capacidad de almacenamiento de 5.200.000 de crudo y 266.2617 de derivadosVenta de crudos y compra de derivados.

MisinGenerar riqueza y desarrollo sostenible para el Ecuador, con talento humano comprometido, gestionando rentable y eficientemente los procesos de transporte, refinacin, almacenamiento y comercializacin nacional e internacional de hidrocarburos, garantizando el abastecimiento interno de productos con calidad, cantidad, oportunidad, responsabilidad social y ambiental".Visin"Ser la empresa reconocida nacional e internacionalmente por su rentabilidad, eficiente gestin, productos y servicios con elevados estndares de calidad, excelencia en su talento humano, buscando siempre el equilibrio con la naturaleza, la sociedad y el hombre"13

El sistema ERP de EP PETROECUADOR(EP PETROECUADOR, 2012) Estado del Arte

ANTECEDENTESProyecto de modernizacin del modelo de gestin y estandarizacin de procesos. (DELOITTE.)Aprobado mediante resolucin del 18 de julio de 2012.Oracle E-BUSINESS SUITE versin 12.1.3DETALLES TCNICOSArquitectura 3 capas (CLIENTE, APLICACIN, BASE DE DATOS)Interfaz de cliente HTML , Formularios y plataforma mvil.Soportado en MIDDLEWARE, Oracle 10G Modular y flexible Los sistemas ERP son soluciones de software que integran y automatizan varios de los procesos y actividades del negocio de una empresa. La misin principal de un ERP es recolectar y poner a disposicin de los usuarios del sistema informacin actualizada del estado y actividades de los departamentos de una empresa. Son herramientas que por su naturaleza gestionan grandes cantidades de informacin de forma eficiente, reduciendo los costos generales de operacin; y a un nivel gerencial, pueden apoyar en la toma de decisiones estratgicas.14

Estado del arte de S-I en EP PETROECUADOR Estructura organizacionalServiciosNormativa de procesosEstructura Organizacional STIC - Servicios Estado del Arte S-I PECEquipos de computo / aplicacionesAlojamiento WEBCorreo electrnicoInternetTelefonaVideoconferenciaComunicaciones de radio fijo-mvilComunicaciones marinasData warehousePlataforma AS-400Aplicaciones tcnicas y de negocio

16Estructura Organizacional STIC Aprobada octubre 2013 Estado del Arte S-I PEC17Normativa de procesos STIC Estado del Arte S-I PEC26 procesos de COBIT 4.1Planear y Organizar TIC (PO)Adquirir e Implantar TIC (AI)Entregar y Dar Soporte de TIC (DS)Monitorear y evaluar TIC (ME)H04.03.05 Garantizar la Seguridad de los Sistemas (DS5) INCOMPLETOR Responsible Responsable A Accountable Aprobador C Consulted Consultado I Informed Informado

Actualizacin 2012Inclusin de poltica de dispositivos removibles, correo electrnico e internet18Anlisis de informes hacking tico Estado del Arte S-I PECPruebas externasSobre 23 equipos analizadosNivel de riesgo globalInyeccin SQL Blind Cross Site Scripting (XSS) Servicio FTP con usuario anonymous habilitadoUsuarios y passwords dbiles Servicio SMTP relay habilitado19Anlisis de informes hacking tico Estado del Arte S-I PECRIESGO ALTOmbitoRecomendacin GestinElaborar polticas y procedimientos de seguridad de la informacinEstablecer pruebas peridicas de S-IEstablecer mtodos de control Pruebas internasSobre 2112 equipos analizadosCVE-2011-1541 Summary: Unspecified vulnerability in HP System Management Homepage (SMH) before 6.3 allows remote attackers to bypass intended access restrictions, and consequently execute arbitrary code, via unknown vectors.Published: 04/29/2011CVSS Severity: 10.0 (HIGH)

CVE-2004-1532 Summary: AppServ 2.5.x and earlier installs a default username and password, which allows remote attackers to gain access.Published: 12/31/2004CVSS Severity: 7.5 (HIGH)

CVE-2003-0806 VU#471260TA04-104Aoval:org.mitre.oval:def:896oval:org.mitre.oval:def:895oval:org.mitre.oval:def:1054Summary: Buffer overflow in the Windows logon process (winlogon) in Microsoft Windows NT 4.0 SP6a, 2000 SP2 through SP4, and XP SP1, when a member of a domain, allows remote attackers to execute arbitrary code.Published: 06/01/2004CVSS Severity: 7.5 (HIGH)

20Recomendaciones ConsultoraPlan para definir las polticas y procedimientos faltantes relacionados con la seguridad de la informacin

Establecer un marco de trabajo que incluya: polticas, objetivos, procesos y procedimientos relacionados con la S-I para gestionar el riesgo, y entregar resultados alineados a los objetivos de la organizacin.

Plan para implementar reas de Seguridad de la Informacin y PMO fuera de la estructura de TI

Definicin de roles y funciones del personal S-I.

Estado del Arte S-I PECAnlisis de riesgoMAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin compatible con ISO 31000. Estado del Arte S-I PEC

Abastecimientos: Compras, negociaciones, contratos y liquidaciones.Finanzas: Cuentas bancarias, lotes de pagos, rangos de presupuesto.Manufactura: Frmulas, costos, asignacin recursos.Informacin Crtica(Consejo Superior de Administracin Electrnica de Espaa)22

Riesgos de S-I del ERP- Tendencia Estado del Arte S-I PEC43 amenazasModa: riesgo medio (impacto alto poco probable)

Impacto mas alto: Modificacin deliberada por parte de usuarios desastres naturales

Impacto mas bajo: Indisponibilidad de usuarios o administradores del sistema

(Consejo Superior de Administracin Electrnica de Espaa)23

Propuesta del Modelo de Gestin de Seguridad de la informacin del sistema ERP de EP PETROECUADORLos 7 CatalizadoresCascada de metas COBITCatalizadores de COBIT 5 Propuesta del MGSI

Partes interesadas, metas, ciclo de vida, buenas practicasCascada de metasPartes interesadas, metas, ciclo de vida, buenas practicas25Metas corporativas del proyecto ERP Propuesta del MGSI

(EP PETROECUADOR, 2012)261. Polticas Propuesta del MGSITrminos y definicionesEl marco de ReferenciaResponsabilidades y obligacionesSancionesFuncin de seguridadControl de accesoS-I del PersonalRespuesta a incidentesDependientes de S-IGestin de comunicacionesAdquisicin y desarrollo(Consejo Superior de Administracin Electrnica de Espaa)272. Procesos Propuesta del MGSIAlineamiento de TI y estrategia de negocioSeguridad de la informacin, infraestructura de procesamiento y aplicaciones

EDM: Evaluar, Orientar y SupervisarEDM01 Asegurar el establecimiento y mantenimiento del marco de referencia de gobiernoEDM02 Asegurar la entrega de beneficiosEDM03 Asegurar la optimizacin de riesgosBAI: Construccin, Adquisicin e implem.BAI01 Gestionar programas y proyectosBAI02 Gestionar definiciones de requerimientosBAI06 Gestionar los cambiosAPO: Alinear, Planificar y OrganizarAPO01 Gestionar el marco de gestin de TIAPO02 Gestionar la estrategiaAPO03 Gestionar la arquitectura empresarialAPO07 Gestionar los recursos HumanosAPO08 Gestionar las RelacionesAPO12 Gestionar El riesgoAPO13 Gestionar la seguridadDSS: Entregar, dar servicio y soporteDSS05 Gestionar servicios de seguridadMEA: Supervisar, evaluar, valorarMEA01 Supervisar, Evaluar y Valorar la Conformidad con los Requerimientos Externos. (Relacin secundaria)Metas de TI(Consejo Superior de Administracin Electrnica de Espaa)283. Estructura organizacional Propuesta del MGSIActualPropuestaNivel EstratgicoNivel de NegocioNivel GerencialNivel Tcnico294. Cultura-tica Propuesta del MGSI5. InformacinComunicacin de valores por parte de la empresaComportamiento ejemplar de autoridades y agentes de cambioIncentivos para promover actitudes positivasGestin del cambioEstrategia de S-IPresupuestoPolticasRequerimientos de S-IMaterial de prevencinReportes de revisinCatlogo de servicios de S-IRiesgo e incidentes

Cultura tica:Estadsticas de uso de los recursos empresariales tecnolgicos para fines no laborales.Fortaleza de las claves o contrasea utilizadasNmero de claves compartidas, genricas, escritas en lugares accesibles y otros tipos de prcticas no aceptadas.

306. Servicios, infraestructura, aplicaciones Propuesta del MGSI7. Personas, habilidades, competenciasSeguridad de ArquitecturaDesarrollo seguroConcienciacinValoracin de S-IConfiguraciones de equipos RecursosTecnologaBase de Datos de la Gestin de Configuracin (CMDB)Analizadores binariosScanner de vulnerabilidadesAgentes EndpointHoneypots, sniffers(Consejo Superior de Administracin Electrnica de Espaa)31Enfoque de ciclo de vida Propuesta del MGSI

ISACA 2012(Consejo Superior de Administracin Electrnica de Espaa)32 Propuesta del MGSIConclusionesLa falta de un modelo de gestin de seguridad de la informacin en EP PETROECUADOR, imposibilita gestionar los riesgos asociados con el uso de las TI, debido al desconocimiento de amenazas o vulnerabilidades y los mtodos adecuados para tratarlas. La infraestructura tecnolgica de EP PETROECUADOR se encuentra en un nivel de riesgo alto debido a que el 29% y el 28% de los equipos externos e internos, respectivamente, estn afectados por vulnerabilidades; y ms del 50% de estas son consideradas graves o de alto riesgo de acuerdo al Sistema de Calificacin de Vulnerabilidades Comunes (CVSS).De acuerdo al anlisis de riesgo y la informacin crtica identificada para el sistema ERP, las amenazas con mayor impacto estn relacionadas con los desastres naturales y la modificacin deliberada de informacin, siendo esta ltima identificada como una amenaza interna que involucra a los usuarios del sistema.

(Consejo Superior de Administracin Electrnica de Espaa)33 Propuesta del MGSIConclusionesLos Principios, Polticas y Marcos de Referencia son el catalizador o elemento principal sobre el cual se debe disear los modelos de gestin, debido a que establecen los lineamientos generales para los otros componentes, considerando los requisitos legales o marco regulatorio de cumplimiento obligatorio.El xito de toda iniciativa de S-I est relacionada con el apoyo de la alta gerencia, quien debe reconocer y entender los beneficios de la S-I en la consecucin de las metas corporativas. Los beneficios del modelo de gestin de seguridad de la informacin relacionados con los procesos implementados en el sistema ERP son:Cumplimiento con requerimientos de normativa, regulacin, acuerdos.Reconocimiento y proteccin de informacin crtica de los procesos.Facilidad para tareas de auditoraDefinicin de los roles y responsabilidadesSegregacin de tareasMantenimiento de la identidad corporativaAlineamiento y cumplimiento de las metas de TI con las metas corporativas del ERP.(Consejo Superior de Administracin Electrnica de Espaa)34 Propuesta del MGSIRecomendacionesElaborar planes completos de remediacin para las vulnerabilidades reportadas en los informes de hacking tico, y establecer revisiones peridicas de la infraestructura tecnolgica de EP PETROECUADOR.Incluir aspectos relacionados con la S-I y el anlisis de riesgos de S-I en todos los proyectos que se desarrollen en EP PETROECUADOR. Evitar las iniciativas aisladas o puramente reactivas para la compra de soluciones tecnolgicas de S-I, en favor de procesos de mejora ordenados, bien documentados y basados en las mejores prcticas que permitan un anlisis causa efecto de los problemas detectados.Incluir en el plan anual de capacitacin cursos dirigidos a todo el personal de la EP PETROECUADOR, con el objetivo de concienciar sobre la importancia de la S-I en la empresa. Realizar un anlisis de factibilidad para la contratacin de un proceso de consultora relacionado con la implementacin de un sistema de gestin de seguridad de la informacin (SGSI) en EP PETROECUADOR.

(Consejo Superior de Administracin Electrnica de Espaa)35