Modelo de administración de seguridad de la información

Campus Ciudad de México

Escuela de Graduados en Ingeniería y Arquitectura

Tesis

Modelo de Administración de Seguridad de la Información (MASI) para una red interna de telecomunicación basado

en los estándares ISO/IEC 17799 y 27001

para la obtención del grado de

Maestro en Administración de las Telecomunicaciones

Autor: lng. Enrique Oliva Ruiz

Director:

Sinodales:

Dr. José Martín Malina Espinosa

Dr. Guillermo Alfonso Parra Rodríguez Dr. José Ramón Álvarez Bada

Marzo 2007 J.., TECNOLÓGICO • DE MONTERREY•

Conteniuo

Contenido

Dedicatoria .................................................................................... .

Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 11

Introducción general ................................................... . .................... .

Capítulo 1: Estado del arte en seguridad de la información . . . . . . . . . . . . . . . . . . . . . . 4

1.1 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

1.2 Fundamentos de seguridad de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.3 Estado actual de la seguridad de información . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 9

1.4 Seguridad de la información en México . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 21

1.5 Seguridad en redes internas de telecomunicación . . . . . . . . . ... . . . . . . . . . . . . . . . . . . . . . . . . . 30

1.6 Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 36

Capítulo 11: Selección de un estándar de referencia para el MASI . . ... ........ ... 38

11. 1 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

11.2 Manual de protección básica de TI (IT-BPM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

11.3 Instrucción 33 de seguridad en electrónica y comunicaciones (ACSJ) . . . ....... ... 42

11.4 Estándar ISÓ/JEC 17799 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

11.5 Estándar JSO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

11.6 Estándar de referencia propuesto................................................................... 54

11.7 Conclusión .. . . . . . .. . . . . . . . . . . . . . .. . .. . . . . . . .. . . . . . .. . . . . . . .. . . . . . . . . .. .. . .............. .... 59

Capítulo 111: Identificación de requerimientos de seguridad del MASI . . . . . ..... 61

111. 1 Introducción . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..... 61

JJI.2 Definición de alcance y limitaciones del MAS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62

111.3 Revisión de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 66

JJl.4 Análisis de brechas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

111.5 Metodología de análisis de riesgos y criterio de aceptación . . . . . . . . . . . . . . . . . . . . ... 76

Contenido

III.6 Identificación y valoración de recursos . . . . . . . . . . . . . . .. . . . .. . . . . . . . . . . . . . . . . . . . . . . . . .. 80

111.7 Identificación y valoración de amenazas . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 82

III.8 Identificación y valoración de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

111.9 Valoración de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 84

III. I O Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 86

Capítulo IV: Diseño del MASI y planificación de su implantación . . . . . . . . . . . . . . . 88

IV. I Introducción . .. . . .. . . . . . . . . . . . . . . . . . .. . . . . ... . .. .. . . .. . . . .. . . .. . . . . .. . . . . .. . . . . . . . . . . ..... 88

IV.2 Identificación Je objetivos y controles de seguridad . . . . . . . . . . . . . . . . . . ........... ... 89

IV.3 Evaluación de opciones de tratamiento de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

IV.4 Declaración de aplicabilidad (SoA) ... ....... ..... ...... ...... ... ...... ...... ..... .... 114

JV.5 Políticas de seguridad de la información......................... . ................... 115

IV.6 Procedimientos de seguridad de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

IV.7 Formulación del plan de tratamiento de riesgos . . . . . . . . . . . . ... . . . . .. . . . . . . . . . . . . .. . 121

IV.8 Herramientas para validación del MAS] .. . . . . . . . . . . . . . . . . . . . . .. . . ............. ... . . . 122

IV.9 Conclusión...... . ........................................................................ 124

Conclusión general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 126

Trabajos futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . 129

Lista de tablas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 130

Lista de figuras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

Anexo A (Términos y acrónimos empleados) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 135

Introducción general


La seguridad de la información se ha convertido en una de las principales preocupaciones para las empresas y organizaciones modernas, ya que en la actualidad la mayoría de sus actividades dependen fuertemente de las tecnologías de información. En respuesta, se han desarrollado una gran cantidad de herramientas y mecanismos, que cubren casi todos los aspectos de seguridad de la información. Sin embargo, la efectividad de dichas soluciones de seguridad ha sido continua y seriamente cuestionada, en virtud del alto volumen de incidentes relacionados con la seguridad y sus pérdidas financieras consecuentes, los cuales continúan incrementándose en magnitud y severidad. En primera instancia, cualquiera pensaría que la seguridad de la información se refiere principalmente a tecnología. Acorde con Andrew Stewart [STE-05], la tecnología ciertamente juega un rol significativo en la seguridad de la información, no obstante las organizaciones deben ser cautelosas, respecto a sus expectativas sobre el valor que pueden aportar las tecnologías de seguridad.

Las herramientas y mecanismos de seguridad tienen una efectividad limitada, debido a que la seguridad de la información es un campo multidisciplinario que abarca áreas como economía, sociología, tecnología, negocios y leyes, en el cual juegan un papel preponderante la gente y la organización. Sin embargo, la mayoría de las organizaciones desconoce que la seguridad de la información es una cuestión de negocios y no un simple asunto técnico. Esto es, combina sistemas, operaciones y controles internos para asegurar la disponibilidad, integridad y confidencialidad de los datos y procedimientos operativos en la organización. La gobernabilidad relativa a seguridad de la información es un tema complicado, ya que no existe una solución única que aplique a todas las organizaciones. Bajo esta perspectiva, la importancia de administrar la seguridad de la información en el contexto de la organización se vuelve evidente.

La administración de seguridad de la información, tiene como propósito minimizar los riesgos que enfrentan los sistemas de información en su operación. Ésta implica varias actividades que requieren de un conocimiento especializado, tales como su planeación, diseño, implantación, monitoreo, revisión y mejora. Existen diferentes teorías sobre administración de seguridad de la infom1ación, tales como la de políticas de información, administración de riesgos, controles y auditorías, sistemas de administración y contingencias [HON-03]. No obstante, aquella que ha ganado mayor popularidad a nivel mundial y que ha sido motivo de la publicación de diversos estándares, es la teoría de sistemas de administración. Ésta señala, que una organización debe establecer y mantener un sistema de administración de seguridad de la información documentado, para proteger los recursos de información. Si bien se enfoca en establecer un nivel básico de seguridad en la organización, en caso de justificarse puede generar medidas más rigurosas de seguridad.

Una vez establecida la relevancia de abordar la seguridad de la información bajo un enfoque integral y por medio de una metodología adecuada de administración, resta destacar la posición que ocupan las redes de telecomunicación en dicho escenario. Conforme al estudio llevado a cabo por Arthur Chang [CHA-06], sobre la preparación de las organizaciones para afrontar las

1

1 ntroducción general

amenazas relativas a sus sistemas de información, las distintas industrias consideradas (manufactura, alta tecnología, financiero y de servicios), estimaron que la red de telecomunicación afronta las amenazas más graves. Lo anterior, debido en gran medida a la convergencia de redes IP, donde un ataque exitoso a dicha infraestructura, pone en riesgo a toda la organización. A pesar de lo anterior, las medidas de seguridad en uso resultan ser las más deficientes, Jo que pone de manifiesto la existencia de un área de oportunidad en las organizaciones, consistente en mejorar la seguridad en las redes de telecomunicación.

Con todos los antecedentes anteriores en mente, queda manifiesta la motivación para la elaboración de este trabajo, el cual tiene por objeto diseñar un modelo de administración de la seguridad de información y planificar su implantación, para una red de telecomunicación interna de una empresa pública mexicana. Lo anterior, considerando sus características y necesidades, así como sus indicadores más recientes y tendencias a corto plazo, presentados en encuestas relativas a seguridad de la información. Dada la variedad de teorías sobre administración de seguridad de la información, para la selección de un modelo de referencia se tomarán en consideración los estándares más reconocidos a nivel mundial, en el campo teórico de sistemas de administración. Por otro lado, el diseño del modelo abarcará desde la seguridad de la información a nivel organizacional, hasta los aspectos tecnológicos relativos a las redes de telecomunicación. Así mismo, se considera la definición y planeación necesaria, previa a la implantación del modelo en la organización bajo estudio. Para la conformación de la tesis se elaborarán cinco capítulos, cada uno con su propia introducción y conclusión, cuyo contenido se menciona en los siguientes párrafos.

Por principio de cuentas, en el capítulo I se revisa el estado del arte en seguridad de la información, partiendo de sus aspectos más generales, hacia los más particulares. Esto es, inicialmente se exponen los fundamentos relativos a seguridad de la información, incluyendo su definición y conceptos básicos tales como requerimientos y controles de seguridad. En seguida se analiza su estado actual, incluyendo el impacto económico de los diversos incidentes, la dependencia organizacional en los sistemas de información, el papel de las tecnologías emergentes y del marco regulatorio, así como el enfoque de inversión. Posteriormente, se lleva a cabo una revisión de la seguridad en México, incluyendo el cumplimiento de regulaciones, el fenómeno de crecimiento de interdependencia organizacional, la adopción de tecnologías emergentes y la medida en que se está llevando a cabo una alineación con los objetivos de negocio. Finalmente, se lleva a cabo un estudio referente a seguridad en redes internas de telecomunicación, que considera el comportamiento de los incidentes internos, así como la presentación del modelo de seguridad en capas y de las redes de telecomunicación inteligentes.

El capítulo II tiene como propósito, revisar el marco teórico referente a los estándares de seguridad básicos de mayor reconocimiento a nivel mundial y seleccionar el más adecuado para su adopción por parte de la organización bajo estudio. Para este fin, primeramente se analizan los tres estándares de administración de seguridad de la información más utilizados en el mundo. Luego se identifican las características esenciales de la organización bajo estudio, mismas que servirán de base para determinar qué modelo de seguridad es más acorde a sus características y necesidades. Posteriormente se comparan los distintos estándares de seguridad, a fin de conocer su desempeño en diferentes áreas de interés. Finalmente, con base en los resultados de las actividades previas, se selecciona el est,1ndar más adecuado, para su adopción y tratamiento en los capítulos posteriores.

2


Una vez seleccionado el estándar a emplear, en el capítulo III se desarrollan los primeros pasos del modelo, concernientes a la identificación de los requerimientos de seguridad de la información en la organización bajo estudio. Esta etapa es esencial para contar con un buen modelo de administración de seguridad de la información, por lo cual se debe prestar especial atención en su desarrollo. Para esto, por principio de cuenta se determina el alcance del modelo, incluyendo las actividades requeridas por el estándar que serán cubiertas y los sistemas de información que serán tratados. Como siguiente paso se lleva a cabo una amplia revisión documental de la empresa pública en cuestión, esencial para identificar en qué grado se tienen instauradas medidas de seguridad, así como comprender sus requerimientos actuales. Adicionalmente, da pie al análisis de brechas cuyo cometido es identificar el grado de cumplimiento contra el estándar elegido. Tras concluir la actividad anterior se realiza un análisis de riesgos, que estipula la selección de una metodología de análisis de riesgos, así como la identificación y valoración de recursos, amenazas, vulnerabilidades y riesgos asociados a la red interna de telecomunicación de la organización que nos ocupa.

Del análisis exhaustivo de los resultados obtenidos previamente, se da inicio al diseño del sistema de tratamiento de riesgos que se lleva a cabo a lo largo el capítulo IV, núcleo y corazón de este trabajo. Éste considera la selección de objetivos y controles de seguridad, previa evaluación económica-financiera de su factibilidad de implantación. Así mismo, incluye la elaboración de la declaración de aplicabilidad (SoA), donde se justifican tanto a nivel técnico como económico, la selección de cada uno de los objetivos y controles. Del mismo modo, se plantean las políticas de seguridad de la información, requeridas de forma obligatoria por cualquier estándar de seguridad de la información. Enseguida se formula el plan de tratamiento de riesgos, el cual considera las fases e.le c.lefinición y planeación estipuladas en la administración de proyectos. Finalmente, se proponen algunas henamientas para validar la efectividad del modelo tras su implantación. Con lo anterior, quedarán cubiertos todos los requisitos establecidos por el estándar para la implantación de un modelo de administración de seguridad de la información, para una red de telecomunicación interna de una empresa pública mexicana.

Finalmente, es importante resaltar que este trabajo de Tesis representa una propuesta para mejorar la seguridad de la información en la organización bajo estudio, elaborada en base a la experiencia laboral y los conocimientos adquiridos a lo largo de los estudios de maestría, por parte del autor. Si bien el trabajo se basa en gran medida, en el compendio de mejores prácticas incluido en los estándares ISO/IEC 17799 y 2700 l, para su cumplimiento será necesario identificar, evaluar, incorporar y aplicar las metodologías, técnicas y herramientas más adecuadas. Lo anterior, en virtud de que dichas normas sólo se indican lo que se debe hacer, pero no señalan cómo llevarlo a cabo. Se espera además que este documento, contribuya a implantar en el corto plazo, un popular modelo de gobernabilidad de las tecnologías de información, en una de las áreas sustantivas de una importante empresa pública mexicana, coadyuvando así a mejorar su competitividad y el cumplimiento de sus objetivos de negocio.

3

Capítulo I - Estado del arte en seguridad de la información

Capítulo I Estado del arte en seguridad de la información

1.1 Introducción

Es difícil pensar que en nuestros días alguien niegue que la información tiene un valor; de acuerdo con Alvin Toffler [TOF-81 ], ésta es la materia prima más básica para la civilización de nuestra época de revolución científica y tecnológica. Más aún, el conocimiento como su expresión superior, ha ido ganando importancia conforme la gente que toma decisiones se convence de que a éste se le puede asociar a un valor real, ya sea material o económico. Esto es, distinto de lo que ocurría en otras épocas, en que predominaban otros bienes y servicios, que tenían mayor valor económico. En esta primera década del siglo XXI, es de tal importancia poseer, administrar y transmitir conocimiento, que toda la humanidad se ve y se seguirá viendo influida y posiblemente dominada por quienes poseen, administran y transmiten este recurso. En virtud de lo anterior, a esta época se le ha impuesto el calificativo de "era del conocimiento", sustentada a su vez en la llamada "tercera revolución industrial", caracterizada por innovaciones sustantivas y profundas en áreas tecnológicas como las telecomunicaciones. En el entendido de que en la actualidad, el conocimiento es uno de los recursos más valiosos de las organizaciones, queda claro que debe ser protegido adecuadamente. Esto decir, las organizaciones deben contar con esquemas adecuados de seguridad de la información.

Existen diversas definiciones de seguridad de la información, pero haciendo una combinación de [VER-02) y [HON-03), se puede definir inicialmente como una combinación de sistemas, operaciones y controles internos, que aseguran la integridad, confidencialidad y disponibilidad de la información y procedimientos de operación de una organización.

A lo largo de este capítulo, se expone el marco teórico relativo a la seguridad de la información, con énfasis en el más alto nivel de desarrollo alcanzado a la fecha. Para dicho fin, se revisan conceptos básicos tales como amenazas, requerimientos y controles de seguridad, entre otros. Enseguida, se ofrece un tratado sobre los temas de seguridad que más preocupan ;i las organizaciones en la actualidad a nivel mundial, incluyendo su impacto económico. Posteriormente, se presenta cuál es el estado de la seguridad de la información en México, acorde con los estudios más recientes. Por último, se lleva a cabo un análisis enfocado en la seguridad relativa a redes de telecomunicación, tema que ha cobrado gran auge en últimas fechas. Cabe señalar que la información recabada en este capítulo, permitirá establecer indicadores de seguridad derivados de la comparación (benchmarking) con otras organizaciones, mismos que serán empleados para el diseño del modelo de administración de seguridad de la información estipulado en este trabajo.

4

Capítulo I - Estado del arte en scguridau de la información

1.2 Fundamentos de seguridad de la información

La información puede existir en diversas formas. Puede encontrarse impresa o escrita en papel, almacenada electrónicamente, en proceso de envío por correo o a través de medios electrónicos, mostrada en películas o videos, o hablada en una conversación. Cualquiera que sea la forma que ésta tome, o los medios por los cuales es compartida o almacenada, siempre debe protegerse apropiadamente.

La seguridad de la información se caracteriza, por la preservación de la:

l. confidencialidad: asegurar que la información sea accesible sólo a aquellos autorizados para tener acceso;

2. integridad: salvaguardar la exactitud y totalidad de la información y métodos de procesamiento;

3. disponibilidad: asegurar que los usuarios autorizados, tengan acceso a la información y los recursos asociados, cuando se requerido.

Esto es, protege la información de un amplio rango de amenazas, para asegurar la continuidad del negocio, minimizar los daños y maximizar el retorno <le inversión y las oportunidades de negocio. Algunas amenazas de las cuales se debe proteger la información de una organización, se exponen a continuación:

• ataques internos: principalmente originados por empicados inconformes que ponen en riesgo la seguridad de la organización;

• ataque de negación de servicio (DoS): son intentos de consumir recursos de una red, al grado de que ya no pueda dar servicios a usuarios legítimos;

• caballo de Troya: es un programa típicamente no auto-replicable, que un perpetrador instala de forma encubierta o incitando a un usuario desprevenido a correr un programa aparentemente benigno;

• desastres naturales: Tales como inundaciones, incendios, huracanes, terremotos, entre otros;

• errores de programación: fallas de software que provocan que un dispositivo falle o bien que permiten a usuarios no autorizados ejecutar códigos en la computadora;

• gusano: es un tipo de virus, que se copin así mismo <le computadora en computadora, a través de recursos compartidos de red y aplicaciones de correo;

• hackers: usuarios no autorizados que intentan o logran ncceder un sistema de información; • ingeniería social: perpetradores que se hacen pasar por contratistas, empleados o figuras de

autoridad legítimas y que engañan a los usuarios para que les proporcionen información confidencial (ej. phishing);

• intercepción de datos: cuando la información se encuentra en tránsito a través de los sistemas de transmisión, puede ser interceptada y quedar expuesta a un mal uso;

• pharming: es el ataque de un hacker, con el objeto de redireccionar el tráfico de una página Web auténtica, a otra de mismo aspecto pero no auténtica.

• spoofing: uso no autorizado de datos legítimos de identificación y autentificación, con la finalidad de suplantar un sujeto distinto al atacante;

• virus: es un código que se auto-replica de archivo en archivo.

5


Muchos sistemas de información, no han sido diseñados para ser seguros. La seguridad que puede ser alcanzada a través de medios sólo técnicos es limitada y debe ser soportada por procedimientos y una administración adecuada. La seguridad de la información se alcanza mediante la implantación de un conjunto de controles indicados, que pueden ser políticas, prácticas, procedimientos, estructuras organizacionales, capacitación y concientización del personal, así como funciones de hardware y software. Estos controles, necesitan ser establecidos para asegurar que se cumplan los objetivos de seguridad específicos de la organización.

Identificar los controles que deben ser implantados, requiere de una planeación cuidadosa y de poner atención a los detalles. Así mismo, la administración de la seguridad de información, requiere como mínimo de la participación de todos los empleados de una organización. En algunos casos, también requiere de la participación de proveedores, clientes y accionistas; incluso se pude requerir de la asesoría de organizaciones externas.

Algunos modelos de gobernabilidad de tecnologías de la información (TI) como el ISO/IEC 17799 [IS0/1-05], señalan que algunos de los factores críticos para una implantación exitosa de seguridad de la información en una organización, son:

• políticas, objetivos y actividades de seguridad que reflejen los objetivos del negocio; • un arranque de la implantación de seguridad, que sea consistente con la cultura

organizacional; • compromiso y soporte visible por parte de los directivos; • un buen entendimiento de los requerimientos de seguridad, así como de la valoración y

administración de riesgos; • difusión efectiva de la seguridad a todos los directivos y empleados; • distribución de escritos sobre políticas y estándares de seguridad de la información, a todos

los empleados y contratistas; • proveer una capacitación y entrenamiento apropiado; • un sistema de medición comprensivo y balanceado, que sea empicado para evaluar el

desempeño de la administración de seguridad de la información, así como para recibir retroalimentación para la mejora.

l.2.1 Establecimiento de requerimientos de seguridad

Para el establecimiento de los controles de seguridad, es esencial que una organizacmn identifique primeramente sus requerimientos de seguridad. Existen tres fuentes principales:

La primera fuente se deriva de la valoración de riesgos en la organización. A través de la valoración de riesgos, se identifican las amenazas a los recursos, se valora la vulnerabilidad y probabilidad de ocurrencia y se estima el impacto potencial.

La segunda fuente son los requerimientos legales, estatutarios, regulatorios y contractuales que deben satisfacer la organización, sus socios, contratistas y proveedores.

6

Capítulo I - Estado del arte en seguridad de la infonnación

La tercera fuente es un conjunto particular de principios, objetivos y requerimientos para el procesamiento de información, que ha desarrollado una organización para el soporte de sus operaciones.

Cabe señalar, que los controles de seguridad de la información, son considerablemente más económicos y efectivos, si se incorporan en la especificación de requerimientos y en la etapa de diseño.

La recomendación ITU-T E.408 [ITU-06], requenm1entos de seguridad para redes de telecomunicación, propone que los objetivos de seguridad más comunes para las redes de telecomunicación, son:

l. Sólo los usuarios autorizados deben estar en posibilidad de tener acceso y usar las redes de telecomunicación;

2. Los usuarios autorizados deben estar en posibilidad de tener acceso y operar sólo los recursos a los que tienen derecho;

3. Las redes de telecomunicación deben proveer privacidad, al nivel definido por las políticas de seguridad;

4. Todos los usuarios deben ser responsables de sus propias acciones en las redes de telecomunicación;

5. Para garantizar la disponibilidad, las redes de telecomunicación deben ser protegidas contra accesos y operaciones no solicitadas;

6. Los usuarios autorizados, deben estar en posibilidad de recuperar información relativa a seguridad de las redes de telecomunicación;

7. Si se detectan violaciones a la seguridad, deben ser manejadas de forma controlada y acorde con un plan predefinido para minimizar el daño potencial;

8. Después de que se detecta una brecha de seguridad, debe ser posible recuperar los niveles normales de seguridad;

9. La arquitectura de seguridad de las redes de telecomunicación, debe proveer una cierta flexibilidad, con la finalidad de soportar distintas políticas de seguridad.

1.2.2 Análisis de riesgos de seguridad

Tal y comos se indica en la sección anterior, los requerimientos de seguridad se identifican principalmente mediante un am'ilisis metódico de riesgos de seguridad. La adopción de controles necesita estar balanceada, contra el daño al negocio que puede resultar de las fallas de seguridad. Las técnicas de análisis de riesgos se pueden aplicar a toda la organización, o sólo a partes de esta, así como a sistemas de información individuales, servicios o componentes de un sistema específico.

El análisis de riesgos, es una consideración sistemática de:

1. el daño al negocio que puede resultar de las fallas de seguridad, tomando en cuenta las consecuencias potenciales de una pérdida de confidencialidad, integridad o disponibilidad de la información y otros recursos;

7


2. la probabilidad realista de que ocurra una falla, a la luz de amenazas y vulnerabilidades que prevalecen, y de los controles implantados actualmente.

Los resultados de esta valoración, ayudarán a guiar y determinar las acciones de administración apropiadas y las prioridades para administrar los riesgos de seguridad de la información, así como implantar controles seleccionados para proteger a la organización contra riesgos. Cabe la posibilidad que el proceso de análisis de riesgos y de selección de controles, requieran ser ejecutados varias veces para cubrir distintas partes de la organización o sistemas de información individuales.

Es importante llevar a cabo revisiones con distintos niveles de profundidad, dependiendo de los resultados de valoraciones previas y los distintos niveles de riesgo que los directivos están dispuestos a aceptar. Frecuentemente el análisis de riesgos, se lleva a cabo de forma inicial a un nivel alto, como un medio para priorizar recursos en áreas de alto riesgo, y luego a un nivel más detallado, para atender riesgos específicos.

En la actualidad, existe una gran variedad de métodos de análisis de riesgos entre lo cuales elegir, lo cuales se clasifican en cuantitativos y cualitativos. Los primeros producen una estimación descriptiva de los riesgos, mientras que los segundos producen una estimación numérica de estos. Los métodos de análisis de riesgos, han evolucionado a través de tres generaciones [LJC-96]. La primera generación se basa en listas de verificación. La segunda en la determinación de los requerimientos de seguridad de la información, como un proceso fundamental. La tercera en la identificación de los requerimientos lógicos y físicos de seguridad de la información. No existe un método de análisis de riesgos ideal; esto es, cada organización debe elegir aquel que más de adapte a sus requerimientos y características.

1.2.3 Selección de controles de seguridad

Una vez que los requerimientos de seguridad han sido identificados, se deben seleccionar e implantar los controles para asegurar que los riesgos sean reducidos a un nivel aceptable. Los controles pueden ser seleccionados de estándares de administración de seguridad de la información, como el ACSI 33 [DSD-06], IT-Grundschutz [BSI-04] ó ISO 17799 [IS0/1-05], o bien pueden ser diseñados para cumplir necesidades específicas. Es importante observar, que no todos los controles aplican a cada sistema de información, además de que algunos no son apropiados en algunas organizaciones.

Los controles deben ser seleccionados en base al costo de implantación y en relación a los riesgos que se desean reducir, así como la pérdida potencial si ocurre una brecha de seguridad. También se deben tomar en cuenta factores no monetarios, tales como la pérdida de la reputación.

Existen una serie de controles que pueden ser considerados como principios guía, que proveen un huen punto de arranque para la implantación de seguridad de la información. Estos se basan en requerimientos legales esenciales o bien son considerados como mejores prácticas comunes para la seguridad de la información.

8


Los controles que se consideran esenciales para una organización desde el punto de vista legal, son:

• protección de datos y privacidad de información personal; • salvaguarda de registros organizacionales; • derechos de propiedad intelectual.

Los controles que son considerados como mejores prácticas comunes para la seguridad de información, se relacionan a continuación:

• documento de políticas de seguridad de la información; • reparto de responsabilidades de seguridad de la información; • capacitación y entrenamiento sobre seguridad de la información; • reporte de incidentes de seguridad; • administración para la continuidad del negocio.

Estos controles aplican a casi todas las organizaciones en la mayoría de los ambientes. Se debe resaltar que la relevancia de cualquier control, se debe determinar tomando en consideración los riesgos específicos que está enfrentando la organización. Por lo tanto, si bien los controles anteriores se consideran corno un buen punto de arranque, no reemplazan la selección de controles basados en una valoración de riesgos.

I. 3 Estado actual de la seguridad de información

Tal y corno se señala en la sección anterior, la información, así como las redes, sistemas y procesos que la soportan, son recursos importantes de un negocio. La confidencialidad, integridad y disponibilidad de la información, son esenciales para mantener la competitividad, el flujo de efectivo, la rentabilidad, el cumplimiento legal y la imagen comercial.

No obstante, cada vez es más frecuente que las organizaciones y sus sistemas de información, se enfrenten a amenazas de seguridad provenientes de una gran variedad de fuentes, incluyendo el fraude por computadora, espionaje, sabotaje, vandalismo, terrorismo, fuego e inundaciones, por mencionar algunos. Las fuentes de daño tales como virus computacionales, hackers y ataques de negación de servicio, se han vuelto más comunes, ambiciosos y sofisticados.

Basta hacer referencia a los resultados de la encuesta de crimen y seguridad computacional del 2006 [CSI-06], llevada a cabo por la el Instituto de Seguridad en Cómputo (CSI) y la Agencia Federal de Investigación (FBI), a 616 organizaciones (empresas, agencias gubernamentales, instituciones financieras y médicas, así como universidades) de los Estados Unidos de América (EUA). La figura I.1 muestra la cantidad de incidentes anuales reportados por las organizaciones y si bien se ha dado una disminución al 24% en el número de reportes de seis o más ataques, en el 2006 el 48% de los encuestados reportó haber sufrido de uno a cinco ataques, alcanzando su máximo histórico.

9


Acorde con la encuesta de brechas de seguridad de la información de 2006 [PWC-06], ]levada a cabo por PriccwatcrhouseCoopers, a so]icitud del Departamento de Comercio e Industria, a 1,000 org;rnizacioncs de diversos tamaños y sectores (públicas, educativas, de salud, empresas, entre otras) del Reino Unido, el número promedio de incidentes sufridos por una organización es de ocho por año. lo que representa un incremento con respecto a la encuesta de hace dos años.

Por otro lado, la mayor dependencia de las organizaciones en los serv1c1os y sistemas de información, significa que las organizaciones son más vulnerables a las amenazas de seguridad. La interconexión de redes púb]icas y privadas, así como el compartir recursos de información, incrementan la dificultad para mantener un control de accesos. Así mismo, las tecnologías emergentes (telefonía IP, redes inalámbricas, código abierto, entre otras), representan un riesgo creciente a la seguridad de la información.

1.3.1 Impacto económico de los incidentes de seguridad

El incremento en la frecuencia de incidentes de seguridad, esuí motivando a las organizaciones a gastar más en seguridad de su presupuesto para Tl, alcanzando un nivel de 30.3 billones USO a nivel global en el 2005 [GAR-03]. La inversión responde a que la mayoría de los incidentes de seguridad tienen un impacto económico en las organizaciones, tal y como se observa en la figura 1.2, obtenida de la encuesta CSl/FBI Crimen Computacional y Seguridad 2006. Dichas pérdidas reflejan principalmente, los costos explícitos derivados los incidentes de seguridad (tales como, reinstalación de software o reconfiguración de equipo), ya que por la dificultad de representar los costos implícitos (como pérdida de imagen o de una venta futura), los encuestadores decidieron no representarlos en la gráfica.

10


hptr

q ~

q ider

roe: ~ • no Securty hsl ILlt

t

Figura l. 2 - Pérdidas en USD de 313 organizaciones de EUA [CSI-06)

S'l5míflic

Se observa que las pérdidas totales reportadas por 313 organizaciones, ascienden a $52,494,290.00 USO, lo que significa una pérdida promedio por organización de $167,713 USO al año. También hay que destacar, que los cuatro incidentes con mayor impacto, son los virus, accesos no autorizados, el robo de laptop o harware móvil y de propiedad intelectual, que en conjunto representan casi tres cuartas partes (74.3 %) de las pérdidas totales. La seguridad a nivel de redes internas de telecomunicación (rubros marcados con flecha en la figura l.2), pueóe aportar significativamente a )a ó"1sminución óe estas péróióas, ya que como se puede corroborar al totalizar los incidentes respectivos, estos representan el 74.5% de las pérdidas totales. En este orden de ideas, el desarrollo de un modelo de seguridad con enfoque en redes internas de telecomunicación como el que se propone en este trabajo, puede contribuir significativamente a la seguridad de la información de las organizaciones.

Si bien las pérdidas explicitas llaman la atención, cabe observar que los costos implícitos de un incidente de seguridad suelen ser mucho mayores. Tal y como se señala en la encuesta de brechas de seguridad de la información de 2006 [PWC-06], el mayor impacto derivado de una

11


brecha de seguridad es la interrupción del negocio. Tres quintas partes de los peores incidentes que sufren las organizaciones, causan algún tipo de interrupción. De estos, alrededor de la mitad causó una interrupción de más de un día.

Aunado al costo de interrupción del negocio, se debe considerar el costo por daño a la reputación de la organización, el cual pude provocar un gran impacto y perdurar por un largo tiempo. Sólo 1 de cada 1 O organizaciones reportó haber sufrido un daño en su reputación.., debido a que pudieron contener el conocimiento de los incidentes al interior. No obstante, este costo cobra importancia a medida que se incrementa el tamaño de la organización, ya que se les dificulta contener el conocimiento de los incidentes al interior y al salir a la luz pública, la cobertura de los medios magnifica su impacto económico.

La figura 1.3, muestra el costo total promedio de los peores incidentes de seguridad, el cual considera los costos implícitos y explícitos. Cabe destacar que el costo asociado a los incidentes de seguridad ha aumentado, de un costo total promedio de peor incidente de .f 10,000 en el 2004, a .f 12,000 en el 2006.

~ 1.f(fl - ~2.[í) •

f100 - 2

_;:,. f -J f 11

Figura l. 3 - Costo total promedio en libras de peor incidente en Reino Unido [PWC-06]

Destaca sobremanera, el hecho de que las grandes organizaciones (con más de 250 empleados) son má':11 suscepüb\es a sufr\r indtlentes tle seguritlatl {e\ %1º/t, tle e\\as sufre ataques), a que tengan un impacto económico (el 84% son maliciosos), tienden a ser objeto de más ataques (19 por año en promedio) y sus brechas a ser más costosas (.f90,000 de costo total promedio de peor incidente). Es conveniente aclarar, que la organización bajo estudio se cataloga como una de gran tamaño (con alrededor de 350 empleados en el área y de 70,000 empleados considerando toda la empresa), por lo que para fines de esta investigación se tomarán como referencia los valores anteriormente señalados.

12


I.3.2 Nuevo ambiente organizacional

Los sistemas de TI en general y el Internet en particular, son cada vez más importantes para la operación de las organizaciones. Por lo anterior, acorde con los resultados de la encuesta de brechas de seguridad de la información 2006 [PWC-06], la prioridad asignada por las organizaciones a la seguridad de la información permanece alta. En la figura 1.4 se puede observar, que casi todas las empresas en Reino Unido, tienen una conexión a Internet y 88% de estas son de banda ancha. Así mismo, e} ~1% de }as compañías tienen una página Web, de las cuales el 89% se alberga de forma externa. Con respecto a las redes inalámbricas, hubo una disminución del 34% al 24% en promedio, no obstante en grandes organizaciones se tuvo un incremento del 47% al 59% en su uso. La dependencia en las tecnologías de información sigue en aumento, ya que sólo una de cada seis pequeñas empresas puede operar su negocio sin sistemas de TI.

'Neb-site

1$BS 2006 - lon;.ie t•Bhe'.>'31:'$ •

68'.S 2'°J.1;"f, - i'Mllll •

IS~.S 2f>f•4 - ir,;¡rall •

... ,3

rigura t 4 - fao\uciém ocl ambien\e de negocios ocl 1004 a\ 1006 rPWC-061

Por otro lado, el mundo se vuelve cada vez más pequeño a consecuencia de la globalización y con ello surgen un nuevo conjunto de riesgos asociados a la información. Y a no es suficiente, con que las organizaciones consideren sus propios asuntos y amenazas a la seguridad de la información. Con mayor información fluyendo entre las org;inizaciones~ ya sean globales o no, se deben considerar a los socios de negocios, contratos de outsourcing, proveedores y clientes. El valor de las organizaciones, derivado de sus acuerdos globales, puede disminuir o desaparecer rápidamente debido a la seguridad real o percibida, así como brechas de identidad o privacidad.

13


Acorde con la encuesta global de seguridad de la información 2006 [E&Y-05], llevada a cabo por Ernst & Young, a 1300 organizaciones en 55 países del mundo, éstas no están exigiendo lo suficiente en su relación con terceros, a forma de consolidar una plataforma sólida para administrar los riesgos subyacentes. Tal y como se observa en la figura 1.5, una quinta parte de los encuestados, no consideran en lo absoluto la administración de riesgos con terceros, una tercera parte reportó que sólo tienen procedimientos informales al respecto. Bajo esta aproximación en e\ trato con terceros, ante un rápido cambio de\ ambiente de riesgos, la organización queda expuesta a riesgos significativos que deben ser administrados.

Informal pro, .. ','durt.;

h)nrnd pr..:••.:\.'dllr-.'s \ahJat.:-'-1 t,y :·1 ilrnd 1':1r1.y

33%

42'ó

O .:'.O ..:1-il t--1)

Figura l. 5 - Administración de riesgos con terceros [E& Y-05]

Por otro lado, según la encuesta global de seguridad 2006 [DTT-06], llevada a cabo por Deloitte, a las más importantes instituciones de servicios financieros globales, se está dando un incremento exponencial en la sofisticación de las amenazas y en su impacto potencial a lo largo de la organización. Los ataques con motivación financiera, van en aumento y el perfil criminal está cambiando de hackers desorganizados, a grupos criminales bien organizados. Si bien en la actualidad es más dificil acceder a los recursos por medio de ataques externos (representando el 78 % de los encuestados), se está volviendo más sencillo acceder a esos mismos recursos haciendo uso de ataques de ingeniería social contra los empleados de la organización ( como phishing y phanning). Del mismo modo, de acuerdo a la encuesta de brechas de seguridad de la información 2006 [PWC-06], en las grandes organizaciones el 52% de los ataques son internos (ver figura I.6t lo que re9resenta un aumento considerable con respecto al 44% registrado en el 2004. Lo anterior, sugiere la presencia de una atractiva área de oportunidad, en la cual se profundizará a lo largo de este estudio.

ISEG 2(1):i - wwall

E:4;,nsl - 11 IBIEfflitl Figura l. 6 - Proporción de ataques internos y externos [PWC-06]

14


I.3.3 Tecnologías emergentes

La necesidad de las organizaciones de trabajar de forma más productiva y competitiva, está impulsando la proliferación de tecnologías de rápido desarrollo, como la telefonía 1P (ToIP), código abierto, servidores virtuales, dispositivos de almacenamiento removibles, cómputo móvil y mensajería instantánea, entre otras. Estas soluciones tienen el potencial de fortalecer las ventajas competitivas de las empresas, pero también traen consigo serias amenazas que deben ser mitigadas. Las demandas de\ negocio y \a reducción de\ costo de \a conectividad inalámbrica, están propiciando la rápida adopción de las tecnologías móviles. Pero en virtud de que estos dispositivos suelen abandonar la seguridad de un ambiente corporativo controlado, la protección de los recursos de información y la propiedad intelectual que portan, se está volviendo responsabilidad de los individuos; lo cual aún no han aceptado o anticipado las organizaciones.

Tal y como se observa en la figura l. 7, relativa a los resultados de la encuesta global de seguridad de la información 2006 [E& Y -05], la mitad de los encuestados reconoce los riesgos asociados a las tecnología móviles, entre las que se encuentra el cómputo móvil, los dispositivos de almacenamiento removibles y las redes inalámbricas. No obstante, en relación a las tecnologías de rápido desarrollo como ToIP, código abierto y servidores virtuales, el nivel de preocupación cae significativamente, a pesar de las serias amenazas asociadas a estas.

rvlobil·~ .:omputmg

48 ó

1:-..:>rY~r Yirtu::ihz.:i110n

f 1 2ü ..«.i 60 Figura l. 7 - Principales tecMlogias emergen.tes de riesgo (E& Y-05\

ToIP es una tecnología que transformará la telefonía en los próximos años, en la medida que se vaya dando la convergencia del tráfico de voz y datos en la red. Acorde con los resultados de la encuesta brechas de seguridad de la información 2006 [PWC-06], en promedio el 8% de las empresas de Reino Unido (31 % de las grandes organizaciones), ya han implantado dicha tecnología. Así mismo, tal y como se puede observar en la figura I.8, cerca de la mitad de las compañías que han implantado ToIP, evaluaron los riesgos de seguridad asociados previo a su implantación. Por otro lado, dos terceras partes de aquellos que planean implantarla, no han evaluado aún los riesgos.

15


12

1irp:m,mo ::11titr - 11 namlS>J ·11- lmpem?nl ::1no mw MIIHII~~ r&s>:i - i?ffl!&IN 11s>."s

mpP.mP.IQl v.11hwt Fmmrt} D imp»~m wt mi MIIHII~~ rlsQ. )':t o!WIU!BI 11:ski

Figura l. 8 - Implantación de ToIP en Reino Unido [PWC-06]

Las organizaciones están acostumbradas al concepto de seguridad perimetral, sin embargo, mientras la sofisticación de amenazas sigue evolucionando, éstas se han dando cuenta que no están preparadas para ataques emergentes derivados del uso de nuevas tecnologías, tales como spyware y código maliciosos (malware). Ante esto, el enfoque de capas ha ido cobrando importancia para proteger los recursos de información de la organización, el cual combina una fuerte protección perimetral, en adición a otras técnicas de b\oqueo. Este mode\o permite que si una capa es vulnerada, ya sea por un error, una mala configuración o una acción deliberada, el ataque sea detenido por la capa siguiente, lo cual asegura que no haya un sólo punto de vulnerabilidad.

La estrategia de capas está creciendo en popularidad~ lo cual se hace evidente con el surgimiento de una serie de tecnologías que protegen el perímetro, pero a la vez fortalecen las capas interiores para mejor protección de la información contenida en ellas. Lo anterior, demuestra la transición de un esquema de protección de la infraestructura, a protección de la información. Dada la importancia que revierte el tema para fines de la elaboración de este trabajo, se dedicará un apartado de este capítulo para su estudio detallado.

Otra tecnología emergente a destacar, es la de redes inalámbricas, ya que estas se pueden encontrar por todas partes y están sujetas a un alto escrutinio debido al potencial de su brecha por intrusos. Acorde con la encuesta global de seguridad 2006 [DTT-06], estas redes son altamente riesgosas; sólo el 40 % de los encuestados indicaron haber implantado o estar en proceso de implantación de tecnologías inalámbricas, pero de estos sólo el 64% se ha protegido de forma proactiva, a través de un mode\o de capas ( ver figura l.~).

Para finalizar, es importante señalar que la organización bajo estudio cuenta con tecnologías emergentes TolP y de redes inalámbricas, por lo que en el modelo que se proponga se incorporará la atención de riesgos asociados a éstas.

16


7

• 2 ,; • ~

Figura l. 9 - Medidas proactivas para proteger redes inalámbricas [DTI-06)

1.3.4 Marco regulatorio

Un tema de reciente aparición, pero de rápida incorporación y posicionamiento dentro de la agenda de seguridad de la información de las organizaciones, es el de cumplimiento con el marco regulatorio. El creciente número de regulaciones y las consecuencias de no cumplir con e\\as, ha nevado a \a seguridad de \a información a \a sa\a de juntas de \os ahos ejecutivos. Para damos una idea de su importancia, cabe observar la figura 1.10, que muestra los resultados de la encuesta global de seguridad de la información 2006 [E&Y-05], relativos a los aspectos de mayor influencia en las prácticas de seguridad de la información de las organizaciones. Por primera vez desde que se publica dicha encuesta, el cumplimiento de las regulaciones superó a los virus y gusanos~ como principal motivación para la adopción de prácticas de seguridad de la información, con cerca de dos terceras partes de los encuestados.

e orn¡:slwnce- with ~gulations 611 ..

\'/ornu; ..md ·.-im~s iiiiiiii¡::::= 31"-,,

49•.,

,-,

h~-1 )~ mN11h:, • '.'i.::tl l~ IOünlhi-1

Figura I. 10 - Aspectos de mayor influencia en la seguridad de la infonnación [E& Y-05 J

17


La encuesta también señala, que cerca del 90% de los encuestados que están implantando medidas de seguridad para cumplir con el marco regulatorio (ver figura 1.11 ), se enfocan en la creación y actualización de políticas y procedimientos. Cerca de tres cuartas partes, llevan a cabo entrenamiento y sensibilización. En contraste, sólo el 41 % reportó estar aprovechando el marco regulatorio, como una oportunidad de reorganizar su función de seguridad de la información o hacer cambios es su arquitectura de seguridad.

( f('..11111.t; 11 r UJ'J31lll~ J'1,l1d,'S

and prc>1.-l.'dur,~:c;

R'"·,,r,:'.;mwn,; th(' 1nf,,rma1111n ,.:,:unr, fmKt1,·,n:,

73

41ª~

ººº' 00:'?

11 2,, .¡.o w,, Figura l. 11 - Medidas implantadas para el cumplimiento del marco regulatorio [E& Y-05]

Esto es, uno pensaría que con la atención que está recibiendo la seguridad de la información debido al cumplimiento de las regulaciones, la postura de las organizaciones respecto al tema está meiorando y la seguridad de la información como fi.mción_, se está volviendo más integral a las iniciativas estratégicas de las organizaciones. Desafortunadamente, esto no está sucediendo, ya que el cumplimiento de las regulaciones se está tomando más como una distracción, que como un catalizador para que la seguridad de la información esté alineada estratégicamente con la organización. Esto es, se están desaprovechando las oportunidades de inversión que el marco regulatorio (Sarbanes-Oxley y 8va Directiva de EUA, entre otras) ofrece para la promoción de la seguridad de la información como una parte integral de la organización.

Una regulación que merece especial mención, es la Ley Estadounidense Sarbanes-Oxley del 2002, ya que no sólo afecta a las organizaciones de dicho país, sino en general a toda empresa que haga negocios con EUA. Tal y como lo señala la encuesta CSI/FBI Crimen Computacional y Seguridad 2006 [CSI-06], en lo relativo al impacto de dicha Ley en las actividades de seguridad de la información de las organizaciones (ver figura 1.12), por lo menos SO% de los encuestados, en siete de los quince sectores considerados, afirman que la Ley Sarbanes Oxley ha incrementado el interés de la organización por la seguridad de la información. Así mismo, más del SO% de los encuestados en tres industrias, afirman que la Ley en cuestión, ha cambiado el enfoque de seguridad de la información, de tecnologías a gobemabilidad organizacional.

18

Capítulo I Estado del arte en seguridad de la inf onnación

F,J11am: i

lnfonaion ledmolae,

C1111sa1ñ1

&lucatiooal

1 . 1

1

1 . 1

1 . 1 . 1

1

•

•

•

PBrce tage of Responde ts ha Ágrne

a ~~, imn 1Dct1S hm te~ l®J m a rp:1n ·§1Mffla112

O &mnes-Olle-1 raisl Jevel of ·mrest · intcrrna!Jm seruril)

1

" t

' 1

1

1

1

1

1

1

1 1

1

1

1 11 .

1

1

CSI/FBl!D~flilllnlllcmt,1S...., Smlrce: ~ . lnllilllll

Figura l. 12 - Impacto de la Ley Sarbanes-Oxley [CSI-06)

1

1

Por la importancia que reviste el tema de marco regulatorio (tanto interno, como externo), éste será de especial consideración en el diseño del modelo de seguridad de la información que nos ocupa.

1.3 .5 Inversiones en seguridad

Invertir en seguridad se puede equiparar a contratar una prima de seguros; los beneficios (tales como prevenir incidentes que de otra forma hubieran ocurrido) comúnmente son invisibles y no importa que tanto se invierta, nunca hay garantía de estar completamente protegidos. El invertir la cantidad correcta en seguridad de la información, es uno de los mayores retos para las organizaciones. Si se invierte demasiado se reduce la rentabilidad, mientras que si se invierte poco se deja a la organización expuesta a ataques. Acorde con la encuesta de Brechas óe Seguridad óe \a Información 2006 lPWC-06), \a inversión en segurióaó de \a información va en aumento, especialmente en grandes organizaciones (ver figura 1.13).

19


~Q.lOOO 1111 mcr~ Figura l. 13 - Incremento de inversión en seguridad del 2004 al 2006 [PWC-06]

La proporción del presupuesto de TI que las organizaciones de Reino Unido invierten en seguridad de la información, se ha incrementado significativamente. Tal y como se observa en la figura 1.14, la organizaciones ahora están invirtiendo en promedio del 4% al 5% de su pr~upu~to pzira 1'1 de e'&a forma y cerca de\ 2S% de ~ta~, in-vierten. f:,% o má~ de ~u presupuesto. Las grandes organizaciones invierten entre 6% y 8%. Si bien los valores promedio pintan un escenario color de rosa, un número significativo de organizaciones de Reino Unido, aún no están invirtiendo lo suficiente en seguridad de la información. Cerca del 40% de las organizaciones, invierten menos del 1 % de su presupuesto de TI con dicho fin, por lo que es muy probable que algunas de estas org;i.llizaciones estén expuestas a amenazas de seguridad.

1SBS201)3 or.'QIDfl

ISBS 2002 rt.~TJII"

t.100~ • Bin'#~'ll 11 •• 3ft1j 2~

1'!1:.ill líilSS • • MOIIH!lan 25".

B¡l'1111Qn 2% and 10% •

• 21.)).1 ami aJ02tt,JJr.is ,~d 1() illmliut~ •En"t ~.IUI\~. mncl~ plooo on a cm:;~ ~t; \\t:h IJlllil s&.11=1!i;s CJ.l(ttil In ~ "''~f

Figura I. 14 - Porcentaje del presupuesto de TI invertido en seguridad [PWC-06)

Cabe resaltar que existe una correlación entre llevar a cabo una valoración de riesgos de seguridad e invertir en seguridad de la información. En promedio, aquellos que llevaron a cabo una correlación de riesgos, invirtieron cerca del 7% de su presupuesto para TI. El presupuesto promedio de aquellos que no la llevaron a cabo, fue de sólo un 4%. Por lo que parece, que aquellas organizaciones que no han llevado a cabo una valoración de riesgos, no están invirtiendo \o suficiente en seguridad.

20

Capítulo I - Estado del arte en seguridad de la inf onnación

Por otro lado, las organizaciones tienden a invertir más dinero en seguridad de la información, si han experimentado incidentes. El 67% de aquellas que invierten 6% ó más de su presupuesto de TI en seguridad, experimentaron al menos un incidente el año pasado, comparado contra sólo el 42% de aquellos que invirtieron 1 % o menos en seguridad. Dicho de otra manera, las organizaciones que han experimentado incidentes de seguridad, en promedio invierten el 5% de su presupuesto de TI en seguridad.

La encuesta también señala, que cada sector tiene prioridades o alicientes distintos para invertir en seguridad de la información. Para los proveedores de telecomunicaciones, el prevenir la indisponibilidad es la principal motivación. Las empresas de tecnología están más preocupadas en proteger la propiedad intelectual. Las organizaciones del sector financiero y el gobierno, están más interesadas en proteger información de los usuarios, mantener la integridad de \os datos y cump\ir con e\ marco regu\atorio.

Ahora bien, falta identificar en que se está invirtiendo el presupuesto para seguridad de la información. Según la encuesta Global de Seguridad 2006 [DTT-06], el 76% de quienes la respondieron señalaron estar invirtiendo en productos de control de acceso lógico, el 72% en consultoría de seguridad y el 69% en dis9ositivos de 9rotección de infraestructura (ver figura 1.15). Estos resultados, responden a la motivación de las organizaciones de mejorar el control sobre el acceso de los usuarios a los recursos. Así mismo, parece que cada vez más organizaciones están convencidas, que el aspecto humano es crítico para el éxito de un programa de seguridad de la información.

·--t

il 1 z.. 30. 7•. S ~

Figura L 15 - Segmentación del 9resJ.1Questo Q3I3.. seguridad (DTI-06\

1.4 Seguridad de la información en México

Tal y como se expuso en la sección anterior, en el panorama mundial aún falta mucho por recorrer en materia de seguridad de la información. Las iniciativas a este respecto, presentan un enfoque más táctico que estratégico y al parecer, la brecha que existe entre los riesgos

21


relacionados con el manejo de la información y las acciones que emprenden las organizaciones para mitigarlos, es cada vez mayor (ver figura 1.16).

o lo ~

l.?

Figura\. \6 - Evolución de \a brecha de ~dad \E&'{ -~5)

Resulta pertinente preguntarse cómo se están desempeñando las organizaciones en México, respecto al tema de seguridad de la información. Para aclarar este punto, a lo largo de este apartado se hará referencia a los resultados de la encuesta Global de Seguridad de la Información 2006 - México (E&Y-051, llevada a cabo por Emst & Young., a 1300 organizaciones en 55 países del mundo, que pertenecen a 26 diferentes industrias. En ésta, México ocupó el quinto lugar de participación, donde el 62 % de las organizaciones encuestadas operan en forma local, el 17% lo hacen a nivel de Latinoamérica y el 21 % son organizaciones globales. Las conclusiones se agrupan en cuatro áreas, donde la ampliación de la brecha de seguridad es claramente evidente.

Sin embargo, los resultados no son tan halagadores, ya que como en el resto del mundo, en México también se aprecia que el gran elemento ausente en la definición de los proyectos de seguridad de la información es la estrategia. Esto es, en nuestro país sólo 22% del tiempo y 14% del presupuesto de seguridad de la información, se destinan a asuntos estratégicos. El interés por lo táctico, ha impedido dar enfoques que permitan que este tema dé un valor más c\aro a\ negocio. De hecho, toóavia pueóe verse una disonancia importante entre \as necesidades relacionadas con la función de seguridad de la información y la orientación que se le da al presupuesto de esta área.

En los resultados también se observa que mientras en el mundo se busca que las iniciativas de seguridad de la información cumplan con lo dispuesto por regulaciones como Sarbanes-Oxley, la 8va Directiva de la Unión Europea ó Basilea II a nivel global~ en nuestro país esta preocupación no se ve como un requerimiento para hoy, sino para los meses por venir. Esta tendencia, junto con el bajo indicador de conciencia de seguridad de la información, parece mostrar que las organizaciones mexicanas deben analizar con detenimiento, si la definición y puesta en marcha de sus iniciativas en esta materia, van por el camino correcto.

22


I.4.1 Cumplimiento de las regulaciones en México

Contrario a los resultados globales, donde el cumplimiento de las regulaciones es el principal impulsor de la seguridad de información, en México se le sigue prestando más atención a los virus y gusanos. Lo anterior, tal vez porque en el año en el que se llevó a cabo la encuesta, se presentó una actividad importante de virus y gusanos informáticos con amenazas mezcladas que aumentaron su velocidad de propagación e impacto. O bien, debido a la escasa regulación existente en materia de seguridad de \a información en México, como \a Circular de Riesgos de la Comisión Nacional Bancaria y de Valores (CNBV).

En los resultados globales, se observó que las organizaciones están pediendo las escasas oportunidades de inversión que las actuales regulaciones ofrecen, para promover que la seguridad de la información sea 9arte integral de su estrategia corQorativa. Esta situación se acentúa más en México, donde las regulaciones parecieran no ser motivo actual de preocupación, tal y como se ilustra en la figura 1.17. Se observa que los virus y gusanos ocupan la primera posición con 70% y el phishing y spyware la segunda posición con 48%. No obstante, en los próximos 12 meses, se espera que la primera posición la ocupen las prioridades corporativas de seguridad con 63% y el segundo lugar el cumplimiento con regulaciones con 51 %.

Wll:1 •i•fl tliffi1-t,1 ,llllft(í ll'ítis halfl tmp&~~o \ffl. C't'-'f.\\~ 1,\1 ffll'.\C~Ó~ d9 U ,md

- ·12 M = J11•ló.'li ··_-¿ n~ • ti M= Pr,.'.ior"1'X">5 ' . .: 1•'1*;.;;.:;

Figura l. 17 - Elemento de mayor impacto en la seguridad [E&Y-05)

Cabe observar que para fines del presente estudio, considerando la tendencia para los próximos doce meses y las necesidades de la organización bajo estudio, se pondrá especial atención en los siguientes elementos: cumplir con regulaciones (principalmente internas), virus y gusanos (a nive\ de Ieü), piimidades COipOiativas (pdliticas, pioceóimientoo e implantación de controles), nuevas tecnologías (ToIP y redes inalámbricas) y requerimientos de certificación de seguridad de la información ( estándares de seguridad básicos).

Por otro lado, en cuanto a la puesta en práctica de las medidas de seguridad de la información, destaca el hecho que alrededor del 90% de los participantes en México (ver figura 1.18), se han enfocado en crear o actualizar sus 90Iíticas y 9rocedimientos 9ara cum9lir con las regulaciones de control interno. En lo relativo a entrenamiento y concientización, se observa que en

23


México sólo el 59% de los encuestados la lleva a cabo. Así mismo, resalta que el 49% de los encuestados en México, considera el cumplimiento con las regulaciones de control interno, como una oportunidad para reorganizar su función de seguridad de la información.

O air o GT;luzfo:211 p:ild Íl2!; y

procf.l.lirni::nlu.

En11 a-,.rnl>nl.!.\ '1

wrc iert iZac itn

RfJJí',¡ariüu.i:m d~ I¡¡¡ ft . .m(.í:in df! ~.:g.ici:.iad O!

lcl inforrnc1oon

(fl;,, 10% 203/.,, 30'.l., 40% 50¼'., fjlJ%, 703/,. 8IJl'o 91]1',, 100 % Figura l. 18 - Puesta en práctica de medidas de seguridad [E&Y-05]

o LáinmmErta

•Gtiba

cMexiW

En lo referente a los reglamentos con mayor impacto, se puede corroborar en la figura 1.19 que la regulación con mayor impacto hasta ahora, tanto a nivel global como en México, se refiere al control interno. El segundo lugar en nuestro país lo ocupa el riesgo corporativo, cuya importancia se espera que aumente a nivel global en los siguientes meses. Finalmente, la privacidad junto con la propiedad intelectual, ocupan el tercer lugar en este rubro.

Conlrol 1nterno '

R~qu:::tir' tJlll:JS de cettifw;;i,:,-i dtl wguridad ere la - -----2ts. infctr.:,'\Oón "'"

o=.:. • o~.~ 2cr.-'... 3Y ~ 4oc;~ 5tf'k w~,;, ict , Figura I. 19 - Reglamentos de mayor impacto en los últimos 12 meses [E&Y-05]

24


I.2.2 Crecimiento de la interdependencia en México

Las empresas más maduras saben que los riesgos están en todas partes, en su interior y en lo que se conoce como organización extendida (ver figura 1.20), que las enlaza con socios de negocios, proveedores, clientes y otras entidades. No obstante, un número importante de organizaciones no le exige lo suficiente a terceros para que le provean una base viable que administre los riesgos del manejo de información en sus relaciones. Basta señalar que un tercio de \os encuestados en México, no administran \os riesgos derivados de\ manejo de \a información en sus relaciones con terceros.

GOOO)tró'

~nl..,Jd(,-, ke;¡uladnras

CONTROl lNOIRECTO

E5J-~

Figura I. 20 - Organización extendida [E&Y-05]

Por otro lado, tal y como se observa en la figura 1.21, alrededor de una tercera parte de las organizaciones en México, reporta que sólo tiene procedimientos informales para ello y sólo el 1 % cuenta con procedimientos formales validados por un tercero. Así mismo, el 33% de las organizaciones en México, no administra los riesgos en sus relaciones con terceros. En el actual entorno de negocios, este enfoque para relacionarse con terceros expone a las organizaciones a riesgos significativos que no deben ser ignorados.

Procedcmientos formales ·,alictar.los por un ~cero

Procedini1entns formales

Porr~ edrnientos informales

No se administra

oc:t:, 101'.'Ó 20% 30% 40% 50c:.:, Figura I. 21 - Enfoque en relaciones con terceros [E& Y -05]

25

~u.\~fr.;¡ ,a,~ 1 ~>11:,,


De acuerdo a lo que se presenta en la figura 1.22, más del 60% de los encuestados creen que los terceros con los que intercambian información, tienen la capacidad de apoyar las políticas, procedimientos y normas de las organizaciones a las que sirven. No obstante, sólo alrededor de una sexta parte de los participantes exige que una entidad independiente revise a los terceros con los que interactúa. En el caso de las certificaciones, es de llamar la atención que en México un 32% de las organizaciones exige a los terceros estar certificados en la manera en que protegen su información.

Ur-!1 ent~ r::er:"='r~ert~ t:~ rPf!,Sao:iet..e las practas ce

sa;:.cn:::ac e& ri:m, ao:,r, e& los t ercefel5 S& alr eer, ca,lra

n, llj:(95 ~,ract cz s ::xcci::as

Los l&rc&r:;.s t1&1""' s1.s ~,r-.+13s JX)lt ,c,is v ~,r-.<:ota1miertos ces,¡.;1..1lCSC e& 12, rí:m•accr

Lo; t erc&r:;,s l16'111tJ' I! Mlillca:l ~,a re ,s:pcmr l!tl 1:dt1cg,s pr:"""'1i1111Ynlos y &Gtaoea111-S O& tas or:-..,a,iz:acc,,es a las Cl.&

S'l'"'hr

~ 11i'\, 2J:'Cr, ))';, .!O'.'o ::O'!o f::l)"., IT.)''o I!</',,

Figura l. 22 - Requerimientos en relaciones con terceros [E&Y-05]

Los resultados de la encuesta muestran diferencias notablemente pequeñas entre las grandes y pequeñas organizaciones en muchos aspectos. Ambas se enfrentan retos similares en todo el mundo, por ejemplo: conseguir especialistas de TI y seguridad de la información bien capacitados y con experiencia, así como disponer de tecnología y establecer un marco de referencia. Además hay mucho camino por andar en cuanto a la adopción de normas de seguridad de )a información y sus certificaciones en tomo a eno. En )a figura l.23 puede observarse el porcentaje de encuestados que ya han adoptado formalmente o planean adoptar alguno de los modelos de gobernabilidad que se presentan, destacando el hecho de que en México el estándar más popular es el ISO/IEC 17779 con un 52%, seguido de ITIL con un 48% (cifra muy superior al promedio global).

1Sf

roen

¡----'-------...-.. lTIL ;

0";~ 1Cf:'(, 2(f'¡',, 3l% 40'/r. 50% 00%

Figura l. 23 - Adopción de estándares [E& Y-05]

26

Capítulo I - Estado del arte en seguridad de la inf onnación

1.4.3 Adopción de tecnologías emergentes en México

Las tecnologías emergentes son una realidad cotidiana para las organizaciones que compiten en un entorno de negocios que cambia rápidamente. La cuestión es, ¿las estrategias de seguridad de la información de las organizaciones en México les podrán seguir el paso? De acuerdo con la encuesta bajo estudio, algunas de éstas reconocen que los riesgos a la seguridad de la información son inherentes a las nuevas tecnologías. Sin embargo, muchas otras no lo hacen, y las que están actuando sobre estos riesgos no necesariamente están yendo por el camino más adecuado.

En México, los elementos que más preocupan a los encuestados son: los dispositivos removibles, redes inalámbricas, cómputo móvil, aplicaciones Web y nuevos productos basados en Windows (ver figura 1.24)_ Destaca, el hecho de que las tres 9rimeras 9osiciones~ superan considerablemente al promedio global. Por otro lado, llama la atención que tampoco en México se encuentran entre los primeros lugares la voz sobre IP (muy por debajo del promedio global), tecnología de código abierto y virtualización de servidores, a pesar de que son elementos a los cuales pueden asociarse riesgos importantes para cualquier organización.

Drisp:15 ibi-.os 1181710~

Reces iraLirrbiCm

CÓlrlt')ulo •fll'.Jvi 1

Apicociones Wro

~ prod.r...tos ba.s.."tjo.<; oo Wil"'d:Jus

Ser\ic ,as VVeb

Voz set.re P Fa:I es pw1Lo a pL1nlo

Cóclrgo cberto Vi ,rtu,.lizroi ón de se r.icbres

H)ste o oo ;:r,ji cooi ore; Pé]}Lé.lS· Y)U·\,JJ

e rJ.rrp1..m err rn-oo

·--,_ ·- .. ,

~ ; ·,v,

... ,~ :!:,:l't

• n y -

..,.., .. 81! - .-c,:S'l!' w

3-l't(

24t 4 3316

] l lill ·r

1 1~

n

1

'' º' r=·-1~7'1t~ l , . 0% 10% 20% ~J% 40% 50% 00%

Figura l. 24 - Tecnologías emergent.e'i de ma)'or proo::i19ación Cf.&.Y --051

Se observa en la figura 1.25, que los problemas más preocupantes no sean necesariamente los que se atiendan de inmediato. A nivel global, el elemento más apremiante es el cómputo móvil, sin embargo, se dedicará mayor e inmediata atención a las aplicaciones Web. En tanto que en México, el elemento de mayor preocupación es el relacionado con los dispositivos removibles y serán también las redes punto a punto las que reciban mayor atención. En general, pareciera que no hay concordancia entre aquello que los intranquiliza y aquello hacia Jo que se están orientando los esfuerzos para resolver estas preocupaciones.

27


Nuevas 1ecno1091as que soo , Que le nreocuna v cuándo lo atendera? preocl!l[pac ion es de segurjdad

Apllcar:iom.s Web

1,e>d igo ablerto

Cóm¡rnto ern m111J a

':ómp,t to móv ll

Oisp%iti\'o.s removibles

lo'lost&o ti& apllc.aciornes Pay-as-you.go

Nl!lij'U>S productos basados en Windows

R,;,¡¡lr,,s i,~alambri:c:.as

Redes ¡:,tm to .a ptmlD

Servid os '','leb

ffüll,'illlt.aTJóo tlt! St!Nli\°""5

Vm sobra IP

.,.'GM:.: Pr~.(ilW.J':o f lll~Ses

.,_-cLt .. t:- Pt·lY.i.m:!I:. ·tz l'tli=~s.

Latinoamérica Pre0cupa

i -.. 13"'. :1 12¾ .r,-.. 4 0,,.. I 25%. za,¡.

3% 3r,o. !¡ 38% 1~ 4() ½, 47¾, 2m,;. 10 'h. 63/,. 35% : ~. ti "'• 38% 46",, 3:!o/,. 13':\. ,40¾. 'i,:t". J :1%. '\41:'.,,

1fi% i:5% 17% 1'3'11>

35". 59'\. 19o/o 1a. wr., 4_1'1',. ' ~ 1'5'Y,,

33% 3?"1,. 35%. 2 1%

Global PFeocupa Hoy +6M +12M

44'rc. 62.'l'• za 1,G't.

v..r ... s~,~ l l!'l'. '2:2~,, -lri, ~~. 26% 1et. ,e · tl!.· :,a "' .. 4;1 '!'>, 4-8% 32",. TS'*, 4, .. 4,d.o/.,. 40% 8%.

31"'• 56% 2fi"/4 11 o/,. 4n, SJ't,. 2~ ,~ 16*r. 00'1. 22% n ~. m . 6{¡ '}'. 2 1o/. 14½

IW,. ~·.,. 34"1,, '\ '!'b 2·,.,,. 3"3,t. 3 1% 2fi':;,,

f>rtmer.a ~~icior

S,aglmda ¡1csicia~ ___ circera posici.::m

Pr&0cupa

'.lll% 11'!\,

J?D

45% -•>

8'. 35% ~

1fl%

34~

%'),,

24'•

Figura l. 25 - Atención de riesgos por tecnologías emergentes [E& Y-05]

1.4.4 Alineación organizacional en México

Méxleo

Hoy +6M +12M

4.7% 38% 15%.

19¾. 14':t. 431:1.

º'· '<ll'i, (1%

38% 37'1,, 1~. •; .

SO¾, 33",, 17''1,

46'r• 4 2,I, 12'l'o

'Sf,"i'. ~ '.fi¡,

77',',, 15•,., :so/. 46% '21 '1- 29¼ ,'3%, l'3'\, 'Mo/;,

31','t, 3 1~, 32 11'·

Al alinearse con la organización, la función de la seguridad de la información puede contribuir significativamente a las iniciativas estratégicas y administración de riesgos en general. Los negocios que mantienen este enfoque, integran en su estrategia no sólo a personal del área de seguridad, sino también a miembros de \a a\ta dirección, 1'1 y otros departamentos que resu\tan críticos, a fin de asegurarse de que esta función brinde valor a iniciativas estratégicas, como pueden serlo: las fusiones y adquisiciones, tercerización ( outsourcing) de servicios o el lanzamiento de productos o servicios. Estas organizaciones usan como marcos de referencia, las prácticas líderes asociadas con el tema de seguridad de la información.

Desafortunadamente, los resultados de la encuesta muestran que muchas empresas no están siguiendo este ejemplo. En vez de ello, continúan enfocando sus actividades de seguridad en asuntos operacionales y tácticos, en lugar de concentrarse en temas estratégicos. Cerca de dos terceras partes de los encuestados afirman tener una función oficial de seguridad de la información, lo cual es una buena noticia (ver figura 1.26). En muchos casos, esta situación ha sido generada por \a necesidad de \as organizaciones de reforzar sus contro\es internos y su postura general ante la administración de riesgos empresariales.

Figura l. 26 - Or~ciones que cuentan con oficial de seguridad [E& Y-05l

28


Sin embargo, alrededor de una cuarta parte de los encuestados reporta que su función de seguridad de la información no está alineada con el proceso general de administración de riesgos de su negocio (ver figura 1.27). Para estas organizaciones, estos dos elementos están operando, casi por seguro, de manera aislada, conduciéndolas a emprender proyectos que posiblemente sean redundantes, o que se enfoquen en áreas que contribuyen muy poco a mejorar el perfil general de riesgos de su negocio.

()''i, 1-:r.. a:)':;,, 3]:>, 4 :r;.

al':ltl~:1

1 Ga::ba

Figura l. 27 - Alineación de la función de seguridad CE&Y-05\

La encuesta también señala que más de la mitad del tiempo y presupuesto de las organizaciones, está siendo destinado a operaciones rutinarias y de respuesta a incidentes. Estas actividades, que se consideran tanto tácticas como reactivas, proveen un incremento minimo de valor al negocio. Automatizar operaciones de rutina, en particular, ofrece la oportunidad de reducir la cantidad de tiempo y dinero dedicados a esta área de seguridad de la información. Otra opción que muchas organizaciones líderes están utilizando, es la tercerización de actividades operacionales especializadas. Esto les permite redirigir recursos internos valiosos, incluyendo personal, hacia proyectos estratégicos más críticos, donde actualmente se está entregando una parte muy limitada de tiempo y presupuesto. En la figura l.28, puede verse cómo se distribuye e) tiempo (en porcentaje) de seguridad de )a información, a cada uno de los temas que ahí se especifican.

QJeracbnes rutira-es

Respuesta a mdertes e-i L11

ata:::¡ue

Id. ivi:lades rela:ionad:is cm currplrnento yau:tbria

Ot'os

0% 10% 2())/c, 30'/é, 40% 5(1)/c,

Figura l. 28 - Distribución de tiempo en seguridad [E&Y-05)

29

Capítulo I - Estado del arte en seguridad de la informacicín

Entender bien la seguridad de la información, es una condición que los ejecutivos y consejos de administración deben vivir y compartir por igual, dado el papel estratégico que ésta juega en la contribución al desempeño de la organización. No obstante, todavía es poco frecuente o nulo, que los oficiales de seguridad se reúnan con los ejecutivos de alta dirección y sus consejos de administración para discutir cómo alinear la estrategia del negocio, con la de la función de seguridad de la información. Basta señalar que el 61 % de los encuestados en nuestro país, se reúne anualmente, con menor frecuencia o nunca, con los altos ejecutivos de sus organizaciones para tratar temas de seguridad.

1.5 Seguridad en redes internas de telecomunicación

Con la finalidad de mantener y mejorar la seguridad, desde las aplicaciones organizacionales a la información de los usuarios, mientras se asegura la continuidad del negocio y los acuerdos de nivel de servicio. muchas organizaciones se están dando cuenta que requieren revaluar su arquitectura de red tradicional y sus planes de seguridad. Lo anterior, tal y como se ha expuesto en secciones anteriores, derivado de un creciente rango de retos de seguridad de la información, tales como: aplicaciones y sistemas operativos bajo ataque, incremento en el robo de información crítica, regulaciones gubernamentales más onerosas y nuevas tecnologías que están eliminando la distinción entre perímetros protegidos y desprotegidos.

El reto es aún mayor, en organizaciones que ahora son más dependientes en sus infraestructuras de información de alto desempeño. Esto es, un trastorno en su red de telecomunicación, pe1judica significativamente sus ingresos, la productividad de sus empicados, la satisfacción del cliente y la percepción pública, entre otros aspectos. Por lo tanto. para la mayoría de las organizaciones, no es práctico ni efectivo continuar con las mismas estrategias de seguridad, en virtud de que las amenazas de seguridad han continuado evolucionando junto con la tecnología.

De acuerdo a la encuesta CSI/FBI Crimen Computacional y Seguridad 2006 [CSI-06]. en los últimos años las organizaciones han gastado billones de dólares, tratando de proteger sus recursos de información con firewalls, software de antivirus y antispyware, detectores de intrusos y ntras tecnologías de seguridad (ver figura 1.29). A pesar de este esfuerzo, los ataques siguen siendo igual de eficaces y el costo de combatirlos se ha ido por los cielos. Si bien siempre se ha considerado el hecho de mantener la red segura, el daño potencial del nuevo rango de amenazas de seguridad, estéÍ motivando que muchos administradores de redes de telecomunicación replanteen sus estrategias de seguridad.

30

Capitulo I - Estado del arte en seguridad de la infonnación

F:iranl

Jntt.liñislfflttlllt

~ S'llh:a.re

Sffltt..baed~l:ISl~l .bl

Wtliillndelleiial ~

& cl)'!Ítilll fs .data i1 Ir.mil

E1.~ far ilalz ' =n.¡1

Rtu.dJt 1ur.ountl~ JWSWl)rrl

lii~\\~·- ~~

~ 1Tllllll!línle'll soltware

~11~fll1!INII

~ ~ili11tl.to1Miíte¡p¡mm!t~o

íñl1Ít$

Nifi: ley 1infmtnudlfrt

Siumml•m,?!MitJ ~ &dponhs:mty.,ciirfl Sllfmre

lilhWits

OOm

CS!FFBl fflll& ~er &rime ni~ Stney Sourot: (om--~ nsllil.rle

Figura l. 29 -Tecnologías de seguridad empleadas [CSI-06]

1.5. 1 Incidentes internos de seguridad

21Di:&11Respoatlts

De acuerdo a la encuesta de Brechas de Seguridad de la Información 2006 [DTT-06], las organizaciones de Reino Unido han mantenido niveles similares a los registrados hace dos años, en lo referente al mal uso de los sistemas de información por parte de su personal (ver figma 1.30). La probabi\idad de que \as grandes organizaciones 1eportcn un ma\ uso de este tipo, es tres veces mayor que el de una organización pequeña. Aproximadamente dos terceras partes de las grandes organizaciones ( 65%) se ven afectadas por esta situación y las organizaciones más grandes tuvieron al menos un incidentes en el último año.

,ses ~006 - or.vm11

ISBS 2002 - tJ<vt:111

IS8S20CIO-cr.111311

;_3

Figura l. 30 - Mal uso de sistemas de información por parte del personal [DTT-06]

31


El mal uso de los sistemas de información por parte del personal, impacta desproporcionadamente fuerte a las pequeñas organizaciones. Cerca de la mitad de aquellas que reportaron verse afectadas, afirman que este tipo de incidentes fueron los de mayor impacto durante el año. En contraste~ si bien más organizaciones grandes reportaron el mal uso como su peor incidente, sólo representan una cuarta parte del total.

Para mayor claridad al respecto, cabe hacer referencia a la Encuesta de Seguridad en Empresas 2005 [IDC-05], llevada a cabo por IDC con la finalidad de conocer tipo, frecuencia y naturaleza de los ataques a la infraestructura de red, así como la forma en que las organizaciones responden a dichos incidentes y las tecnologías que emplean. Tal y como se observa en la figura l. 31, el porcentaje de encuestados en las grandes organizaciones, que considera que las amenazas más serias a su infraestructura de TI se originan de fuentes internas o externas, es igual a 35% en ambos casos. No obstante, en las organizaciones más grandes, el porcentaje de fuentes internas alcanza un porcentaje del 45% y el de externas cae hasta un 25%.

60%

50%

40%

30%

20%

10% Don't know

O¾ Small Medium Large Very Large

Figura l. 31 - Fuentes de ataques por tamaño de organización [IDC-05]

La encuesta CSI/FBI Crimen Computacional y Seguridad 2006 [CSI-06], nos aporta mayor información al respecto, ya que como se observa en la figura 1.32, registra el porcentaje de pérdidas atribuido a ataques internos. Cerca de una tercera parte de los encuestados (32%), cree que las amenazas internas no tienen impacto en sus pérdidas por incidentes de seguridad, por ende el 68% restante piensa que sí lo tiene. Un 29 % de las organizaciones, estima un porcentaje de pérdidas mayor al 0% pero menor al 20%. Por lo tanto, el 39 % restante considera un porcentaje de pérdidas mayor a\ 20%. En resumen, si bien muchas organizaciones no consideran que los ataques internos aporten considerablemente a sus pérdidas por incidentes de seguridad, un número significativo de encuestados creen que representan una proporción considerable de sus pérdidas.

32


1/FBI WOS h lll'l'l'Ul'fl.J! r ' y 8.J ey 2006: S36 H'1011tdertts '. C11'11~~r M::IJITtf ln.'1ili

Figura l. 32 - Porcentaje de pérdidas atribuído a ataques internos [CSI-06]

A partir de la información presentada, queda claro que los incidentes internos de seguridad tienen un gran impacto en las organizaciones, especialmente en las mas grandes. En consecuencia y tomando en consideración el gran tamaño de la organización bajo estudio, queda claro que la seguridad a nivel de red interna que se propone, aportará significativamente a mitigar las fuentes de incidentes de seguridad, ya que representan entre un 45% y 65% de estos, según los datos aportados por dos encuestas.

1.5.2 Modelo de seguridad en capas

Este modelo es una estrategia tanto técnica (medidas adecuadas que deben estar instaladas en distintos niveles dentro de la infraestructura de red), como organizacional ( compromiso y participación de directivos y empleados en general). El modelo de seguridad en capas, se enfoca en mantener \as medidas adecuadas de seguridad y \os procedimientos asociados, en cinco distintos niveles dentro del ambiente de tecnologías de información: perímetro, red, cliente, aplicación y datos. La figura 1.33, presenta el modelo de seguridad en capas y algunas de las tecnologías que operan en cada nivel.

33


1

2

3

4

5

Nivel de Seguridad

Perímetro

Cliente

Aplicación

Datos

Figura l. 33 - Modelo de seguridad en capas [adaptado de ASH-06]

A continuación se describe cada uno de los niveles [ASH-06}:

1 J

/

/ ;

• Nivel 1, Seguridad perimetral: Es la primera línea de defensa vista desde el exterior. Esto es, el perímetro típicamente actúa como el primero y último punto de contacto, para las defensas de seguridad que protegen la red. Es el área donde termina la red de una organización y comienza el Internet. El perímetro típicamente se compone de uno o dos firewalls y un conjunto de servidores estrictamente controlados, ubicados en una sección del perímetro conocida como DMZ (zona desmilitarizada). Una DMZ típicamente contiene servidores Web, de correo, antivirus de red y DNS que deben estar expuestos a Internet. El firewall cuenta con reglas estrictas, acerca de lo que puede acceder al interior de la red, así como reglas de cómo pueden interactuar los servidores en la DMZ, tanto con e\ Internet como con \a reó interna.

• Nivel 2, Seguridad en redes internas de Telecomunicación: Se refiere a la seguridad en redes LAN, MAN y W AN de la organización. Estas redes incluyen equipos como ruteadores, switches y equipos de acceso inalámbrico para la telecomunicación en oficinas \oca\~ o hacia -:,itioo remotoo. En \a actuafüiad, \a ma'jofra de \a-:, red~ ~tán prácticamente desprotegidas fuera del perímetro; es decir, una vez adentro se pude viajar a través de la red sin restricciones. Las tecnologías más empleadas en este nivel, son los IDS e IPS, que permiten analizar el tráfico que cursa a través de la red con mayor detalle que un firewall. Tal y como se ha mencionado previamente, el estudio que nos ocupa se enfocará a este nivel de seguridad.

• Nivel 3: Seguridad en el cliente: Se refiere a los dispositivos individuales, tales como computadoras de escritorio, impresoras, servidores y teléfonos, entre otros, dentro de la red interna. Cada dispositivo cuenta con un número de parámetros configurables, que cuando se definen de forma inapropiada, pueden originar vulnerabilidades. Estos parámetros incluyen configuraciones de registro, servicios operando en el dispositivo, parches del sistema operativo y aplicaciones importantes.

34

Capítulo 1 - Esta<.lo del arte en seguridad de la información

• Nivel 4, Seguridad en aplicaciones: Las aplicaciones mal protegidas, pueden dar accesos no autorizados a información y registros confidenciales. La triste realidad, es que la mayoría de los programadores no desarrollan con la seguridad en mente. Este es un problema histórico de muchas aplicaciones comerciales. Uno debe estar consiente de los problemas de seguridad en las aplicaciones, con la finalidad de estar en posibilidad de corregirlos o mitigarlos.

• Nivel 5, Seguridad en datos: Se refiere a una mezcla de políticas y encriptación. La encriptación de datos almacenados o mientras viajan a través de la red, es una de las mejores prácticas recomendadas, ya que si todas las medidas de seguridad previas fallan, un fuerte esquema de encriptación protege la información propietaria.

Uno de los grandes beneficios del modelo de seguridad en capas es el alto factor de trabajo asociado. Esto es, se requiere de un gran esfuerzo por parte de un intruso, para comprometer las medidas de seguridad, por lo que difícil acceder a los recursos de información. Si un hacker determina que una red tiene un alto factor de trabajo, es muy probable que desista y busque otra red con menos seguridad.

l.5.3 Seguridad en redes de telecomunicación inteligentes

Desde una perspectiva tecnológica, la infraestructura de red ya no debe consistir simplemente en conectar usuarios o incrementar la capacidad. Las redes requieren tener inteligencia para no sólo anticiparse y prevenir riesgos de seguridad, sino t..imbién para adaptarse a los cambiantes ambientes de usuario. Por ejemplo, muchas organizaciones están dando acceso a parte de sus redes, tanto a proveedores, socios, clientes y subcontratistas, lo que incrementa significativamente el riesgo. Adicionalmente, las organizaciones están agregando más equipos de acceso inalámbrico, extendiendo sus redes, dejándolas expuestas y más vulnerables a brechas de seguridad.

Como resultado, una implantación efectiva de una solución de seguridad en red, debe consistir en el cumplimiento de políticas organizacionales, a través de un modelo operacional común y hem1mientas de administración de red coordinadas entre si. En vez de discusiones acerca de riesgos de seguridad individuales, las estrategias de seguridad de nueva generación, requieren estar basadas en una solución distribuida, construido a partir de la infraestructura de red. Esta solución integral distribuida, dará como resultado un sistema holístico que puede atender los requerimientos emergentes, sin añadir complejidad a la infraestructura de red, ni incrementar la carga operativa o los costos. Para esto, se requiere de una red inteligente, que administre las amenazas existentes y emergentes de forma integrada a su arquitectura.

Para las organizaciones, una red inteligente debe ser una meta que puede ser alcanzada evaluando la infraestrnctura de red existente, entendiendo los nuevos retos de seguridad (así como evolucionando nuestras expectativas de red y de negocio) y alineando la infraestructura de red para cumplir con los nuevos objetivos. Como tal, el sitio lógico de inicio para un administrador de TI, es identificar los nuevos requerimientos de una infraestructura de red. Con anterioridad, las redes eran vistas como una forma de mover información de un lado a otro y como resultado, el criterio de adquisición se enfocaba en tres características principales:

35

Capítulo I - Estado del arle en seguridad de la información

conectividad, capacidad y costo. Si bien el costo siempre será un factor importante, en la actualidad los administradores de TI deben lidiar con preocupaciones críticas de negocio adicionales, más allá de la conectividad y la capacidad. En la actualidad, una infraestructura de red inteligente debe cumplir con los nuevos requerimientos de negocio y atender preocupaciones emergentes de seguridad, a través de siguientes características: continuidad, contexto, control, cumplimiento y consolidación [MCL-04]. A continuación se examina cada una a mayor detalle:

• Continuidad: La red debe proveer comunicaciones predecibles y sin interrupciones. • Contexto: La red debe entender el contexto de los flujos de paquetes que atraviesan la

infraestructura y como se relacionan estos flujos con comportamientos normales y esperados.

• Control: La red debe diferenciar y controlar los distintos flujos de tráfico que la atraviesan, distinguiendo entre comunicaciones organizacionales relevantes y actividades no autorizadas o maliciosas.

• Cumplimiento: La red tiene contacto con todos los elementos de un sistema de TI, lo que le convierte en el punto más lógico de ubicar tecnologías que obliguen el cumplimiento de mandatos de privacidad y confidencialidad.

• Consolidación: La red se debe adaptar para soportar la consolidación de aplicaciones adicionales, usuarios y localidades, sobre una plataforma común distribuida.

En resumen, la infraestmctura de red del siglo XXI, debe cumplir no sólo con las tres características tradicionales, sino además con las cinco nuevas características. Todo lo anterior, sin comprometer las capacidades esenciales de las redes de telecomunicación. Una red con inteligencia integrada y capacidades de seguridad, permite que las organizaciones reenfoquen sus recursos y energías en el desarrollo de aplicaciones de valor agregado, ampliación de la red y administración proactiva (en vez de reactiva) de la amenazas de seguridad. Lo expuesto anteriormente, sugiere que la infraestmctura más indicada para implantar el modelo de seguridad que se determine en capítulos posteriores, es el de red de telecomunicación inteligente.

1.6 Conclusión

Conocer y entender el estado del arte en la seguridad de la información, significa contar con cimientos firmes para construir un modelo administrativo acorde a la realidad y necesidades de la organización bajo estudio. Por dicho motivo, a lo largo de este capítulo se expusieron los fundamentos de seguridad de la información, destacando el hecho de que para alcanzar un buen nivel de seguridad, no sólo se deben considerar las tecnologías, sino también los procesos (políticas y procedimientos, entre otros) y principalmente la gente de la organización (capacitación y concientización, por mencionar algunos).

Para comprender el estado actual de la seguridad de la inforrnación, se identificaron y expusieron los resultados más relevantes y recientes, de cuatro prestigiadas encuestas de seguridad de la infomiación: Computer Crime and Security Survey [CSJ-06], Global Security Survey [ DTT-06], Global lnformation Security Survey [E& Y-05] e Information Security

36


Breaches Survey [PWC-06]. Una de las actividades más relevantes, consistió en elegir las amenazas en posibilidad de ser tratadas desde la red interna, con la finalidad de incorporarlas al modelo que será diseñado en capítulos posteriores. Así mismo, destacó la identificación del impacto de los incidentes de seguridad en las grandes organizaciones, las cuales sufren un mayor número de ataques maliciosos y los que es más significativo, su costo total promedio es más alto.

En lo referente a la seguridad de la información en México, se llevó a cabo un comparativo de los resultados globales y del país de la encuesta: Global Information Security Survey [E& Y-05]. Al respecto, se identificó que en los próximos doce meses el cumplimiento con las regulaciones cobrará gran ímpetu, por lo cual se tomará en consideración para el diseño del modelo de seguridad de la información. Así mismo, las nuevas tecnologías seguirán creciendo en importancia, por lo que este tema será un pilar en el diseño del modelo de seguridad que se proponga, en virtud de la organización bajo estudio ya cuenta con una red inalámbrica y ToIP. También merece especial mención, el incremento exponencial del interés en los requerimientos de certificación, lo cual justifica con creces el desarrollo del presente estudio.

Finalmente, se ofrece un tratado sobre seguridad de la seguridad información en redes de telecomunicación, en la cual se enfocará la atención a partir del Capítulo 3. Para comprender la importancia de la seguridad que se puede brindar a este nivel, se analizaron los resultados de tres encuestas de seguridad, destacando los resultados de la encuesta Enterprise Security Survey IIDC-05], la cual propone que en las organizaciones más grandes (como la que nos ocupa), el 45% de los incidentes de seguridad son internos, mientras que sólo el 25% proviene del exterior. Así mismo, se llevó a cabo una investigación sobre la seguridad en capas (incluyendo el nivel de red de telecomunicación) y las redes inteligentes, soluciones que pueden ser de gran ayuda para mitigar los riesgos asociados a los ataques internos.

37

Capítulo 11 - Selección de un estándar de referencia para el MASI

Capítulo II Selección de un estándar de referencia para el

MASI

II. l Introducción

El crecimiento de las organizaciones de negocios, cuyas actividades primordiales se llevan a cabo a través de aplicaciones de comercio electrónico, representa mayores oportunidades de acceso no autorizado a los sistemas de información y esto es ahora una de las mayores preocupaciones de las empresas. ¿Serán suficientes las prácticas de administración de riesgos tradicionales, para proteger a las organizaciones?

Uno de los propósitos de las técnicas de administración de riesgos tradicionales, es eliminar o reducir riesgos y vulnerabilidades que afectan la operación en conjunto de los sistemas de infonnación organizacionales. No obstante, la administración de riesgos tradicional no sólo se enfoca en tecnologías de información, sino que además cubre otras iíreas, tales como seguridad física, humana, de negocios y protección contra desastres.

En la práctica, existen mayores problemas con el uso de la metodología de administración de riesgos tradicional, tales como el tiempo requerido para llevar a cabo una evaluación, el costo de contratar consultores y la capacitación de personal. Para superar estos aspectos negativos, se desarrollaron estándares de seguridad básicos. Estos ofrecen una alternativa a los métodos tradicionales de administración de riesgos, ya que representan las medidas de seguridad de la información mínimas aceptables que una organización debe implantar. Estas medidas se aplican de manera genérica, esto es, cada organización debe contar con las mismas medidas de seguridad básicas.

Las ventajas de usar métodos básicos, incluyen [BR0-02]: • su empleo es económico; • son simples de usar; • no se requiere capacitación para usar el método; y • por lo tanto, es más rápido llevar a cabo una revisión completa de la seguridad.

Las desventajas de usar métodos básicos, incluyen [BR0-02]: • su naturaleza genérica, implica que no pueden resolver todos los requerimientos de

seguridad de una organización; • dado gue fueron diseñados para su uso dentro de ambientes generales, pudieran no ser

adecuados para todos los ambientes; • no indican cómo implantar las medidas de seguridad; • no ofrecen detalles del costo de los beneficios.

38


En los últimos años, se han desarrollado varios métodos de seguridad básicos, que buscan ofrecer un nivel de protección mínimo a la información de las organizaciones. Este capítulo tiene por objeto, presentar el marco teórico referente a tres estándares básicos de seguridad de la información, así como seleccionar aquel más adecuados para la conformación del modelo de administración de seguridad de la información (MASI).

Para dicho propósito, primeramente se analiza el estándar "IT Baseline Protection Manual" (IT-BPM). A continuación se lleva a cabo una revisión del modelo "Australian Communications-Electronic Security Instruction 33" (ACSI 33). Posteriormente, se exponen los estándares internacionales "Information Technology - Code of Practice for Información Security Management", Segunda Edición (ISO/IEC 17799:2005) e "Information Technology -Security Techniques - Information Security Management Systems - Requirements", Primera Edición (JSO/IEC 27001:2005). Lo anterior, en el entendido de que estos dos últimos estándares son complementarios y normalmente se hace referencia a ellos simplemente como modelo ISO/IEC 17799.

En seguida, se exponen las características que distinguen a la organización bajo estudio (en adelante sólo SDG), con miras a elegir un modelo de referencia acorde a sus necesidades y características. Enseguida se lleva a cabo una comparación entre los diferentes estándares de seguridad básica, resaltando las ventajas y desventajas de cada uno de ellos. Finalmente, se propone un modelo de administración de la seguridad de información (MAS]) adecuado para la SDG, lomando en consideración tanto a la organización bajo estudio, como los atributos de los distintos estándares.

11.2 Manual de protección básica de TI (IT-BPM)

Es un estándar reconocido por la Comunidad Europea, desarrollado por la Agencia Federal Alemana para la Seguridad en Tecnologías de Información (BSI-1, por sus siglas en alemán) y presenta un juego detallado de medidas de seguridad estándar que aplican prácticamente a cada sistema de TI. El propósito de estas recomendaciones de seguridad, es alcanzar un nivel de seguridad en sistemas de TI, que salisfagan los requerimientos normales de protección y puedan incluso servir de base para otros sistemas y aplicaciones que requieran un mayor grado de protección. Esto es alcanzado, a través de una apropiada aplicación de protecciones estándares de seguridad, tales como organizacionales, de personal, de infraestructura y técnicos. El estándar cubre temas como:

• medidas de seguridad estándar para sistemas típicos de TI, con requerimienlos de protección normales;

• una descripción del escenario de la amenaza que se asume globalmente; • una descripción detallada de protecciones para asistir en su implantación; • una descripción de los procesos involucrados para alcanzar y mantener un nivel

apropiado de seguridad de TI.

El empico del IT-BPM, permite la implantación de conceptos de seguridad de forma simple y económica, en términos de los recursos requeridos. Bajo la metodología de administración de

39

Capítulo II - Selección de un estándar de referencia para el MASI

riesgos tradicional, primeramente se identifican todas las amenazas y se les asigna una probabilidad de ocurrencia. Luego, derivado de los resultados del análisis, se deben seleccionar las medidas de seguridad de TI apropiadas. Por otro lado, el IT-BPM sólo requiere de una comparación entre la situación actual y los objetivos perseguidos, es decir, entre las medidas recomendadas y aquellas que ya están implantadas.

II.2.1 Contenido del IT-BPM

El IT-BPM está dividido en 5 áreas principales, mismas que se relacionan a continuación:

• Introducción y procedimientos • Módulos • Catálogo de amenazas • Catálogo de protecciones • Anexos

La primera sección comprende los capítulos l y 2. Estos capítulos introducen el concepto de protección base en TI, ofrecen una guía de cómo usar el manual y cómo buscar entre los diferentes tópicos del manual. También se expone el procedimiento que se debe adoptar en la definición de un concepto de seguridad, que soporte una protección base en TI. Por otro lado, se explica como relacionar una infraestructura de TI existente, con los distintos módulos del manual, así como la forma en que se debe llevar a cabo y documentar, una comparación del estado actual contra el estado deseado (esto es, de protección base en TI).

La segunda sección abarca los capítulos 3 al 9. Estos capítulos incluyen el escenario de amenazas y protecciones, que se recomiendan para los distintos componentes, procedimientos y sistemas de TI. En cada caso, las protecciones se reúnen en un sólo módulo. Los capítulos. se agrupan lógicamente de la siguiente forma:

• Protección base en TI de componentes genéricos • Infraestructura • Sistemas fuera de red • Sistemas en red • Sistemas de transmisión de datos • Telecomunicaciones • Otros componentes de TI

La tercera sección del manual, contiene una descripción detallada de las amenazas que se incluyen en los distintos escenarios expuestos en el módulo anterior. Las amenazas se agrnpan en cinco categorías:

• fuerza mayor • Deficiencias organizacionales • Fallas humanas • Fallas técnicas

40


• Actos deliberados

La cuarta sección provee una descripción detallada de las protecciones de seguridad mencionadas en los distintos módulos del manual. Estas medidas se agrupan en seis categorias:

• Protecciones de infraestructura • Protecciones organizacionales • Protecciones personales • Protecciones relativas a hardware y software • Protecciones en comunicaciones • Planes de contingencia

La última parte del manual, contiene información suplementaria, tales como ayudas, formas, descripciones breves de herramientas que cubren todos los aspectos de la protección base en TI y una lista de los usuarios registrados del manual.

ll.2.2 Proceso óe segurióaó en 11'-BPM

Tanto en el sector público como en el privado, en el transcurso de los últimos años, las organizaciones se han vuelto más dependientes del correcto funcionamiento de las TI. Cada vez son más los procesos de negocio, que están siendo automatizados o bien rediseñados de tal manera que sus componentes principales dependen de la TI. Por lo tanto~ la segµridad de la información debe ser vista como un elemento integral de la cadena de valor de las organizaciones. Para dicho fin, el IT-BPM propone un plan de acción que contiene todos los pasos esenciales, requeridos para mantener un proceso continuo de seguridad en TI, que representa una aproximación adecuada para obtener un nivel razonable de seguridad de la información. La figura 11.2, muestra el proceso de seguridad propuesto por el IT-BPM.

1. Desarrollo de Políticas

7. Manternmiento

6 Capacitación y

Dtfl,sion

5. Implantar Medidas

de Segundad

2. Establecer Estructura

3. Desarrollo ce-1 PT ograma

de TI

4 Desarrollo del Concepto de

Segundad

Figura 11. 1 - Proceso de Seguridad en IT-BPM [BSI-041

41

Capítulo 11 - Selección de un cst;ímlar de referencia para el MASI

La primera etapa trata del desarrollo de políticas de seguridad de la información. Aquí se deben definir los objetivos de la seguridad en TI, derivados de los objetivos, estrategias de negocio, así como de los objetivos generales de seguridad de las empresas o agencias de gobierno.

En la segunda fase se debe seleccionar y establecer una estructura organizacional apropiada de seguridad en TI. Para establecer un proceso de seguridad en TI que sea funcional, es esencial la creación de un marco organizacional apropiado y que las responsabilidades relevantes sean delegadas.

La tercera etapa consiste en el desarrollo del programa de los sistemas de TI existentes. Es absolutamente crítico para el concepto de seguridad en TI, que exista un programa completo de los sistemas de TI empleados en la empresa o agencia gubernamental, así como las aplicaciones que corren sobre estos y por ende de la información que se maneja.

El cuarto paso se refiere a la definición del procedimiento, para desarrollar el concepto de seguridad en TI. Para elevar a un nivel apropiado la seguridad en TI, es necesario identificar las vulnerabilidades existentes, así como seleccionar e implantar las medidas de seguridad en TI apropiadas.

En la quinta fase se lleva a cabo la implantación de las medidas de seguridad en TI. La implantación de las medidas de seguridad identificadas durante el desarrollo del concepto de seguridad en TI. deben ser organizadas y especificadas en un plan de implantación.

La sexta etapa trata de la operación continua de la seguridad en TI. Para que el concepto de seguridad sea efectivo en las operaciones cotidianas, es necesario que los empleados de la empresa o agencia organizacional, implanten correctamente las medidas que los afectan, que identifiquen vulnerabilidades adicionales y jueguen un rol activo en su eliminación.

La tíltima etapa consiste en mantener la operación segura. El alcanzar un nivel de seguridad aspirado, no es una actividad de una sola vez, sino que se debe mantener por un largo tiempo, esto es, las medidas de seguridad implantadas deben mantenerse en operación, en el marco ele las operaciones de la organización.

11.3 Instrucción 33 de seguridad en electrónica y comunicaciones (ACSI 33)

El ACSI 33 es un estándar gubernamental desarrollado por la Dirección de Señales y Defensa (OSO), para proveer una directriz a las agencias gubernamentales australianas de cómo deben proteger sus sistemas de información. Estos sistemas de información pueden contener información clasificada o no clasificada, pero toda información debe tener un grado de protección para mantener un servicio confiahlc y preciso.

El ACSI 33 está enfocado a especialistas en tecnologías de información como por ejemplo administradores de seguridad de TI. El estándar está conformado por una serie de manuales, cada uno cubriendo un tema específico (por ejemplo administración de riesgos) con cuestiones de seguridad relevantes y donde es apropiado, esfuerzos para catalogar las medidas de

42

Carítulo 11 - Selección de un cst;índar de referencia rara el MAS!

seguridad dentro de niveles de riesgo identificados, definidos como grados. Estos grados han sido formulados para proveer un nivel mínimo de políticas que dehen ser implantadas.

El ACSI 33 fue escrito para ser consistente con el manual de seguridad proactiva de la Commonwealth (PSCC) y con dos estándares australianos, el AS/NZS 4444 y AS/NZS 4360. El manual es actualizado dos veces al año, junto con un documento que señala cuáles son los camhios en relación a la versión anterior. Existen dos versiones del documento, una confidencial y otra no clasificada, siendo ésta última en la que nos enfocaremos en esta sección, por ser la que se encuentra disponible para consulta púhlica.

11.3.1 Contenido del ACSI :n

El estándar ACSI 33 se divide en !res partes, las cuales se mencionan a continuación:

• Parte I - Seguridad ACSI 33 e ICT • Parte 2 - Administración de la seguridad • Parte 3 - Estándares de seguridad en ICT

La primera parle contiene información imporlanle relativa al manual y como se relaciona con la seguridad de las tecnologías de comunicaciones e información (ICT) del gohicrno australiano. Los lemas que se exponen en esta sección, incluyen el uso del ACSI 33, el proceso de alto nivel de la seguridad en ICT, los sistemas ICT y otras referencias de seguridad.

La segunda parte presenta información sohre la forma en que es administrada, implantada y documentada. la seguridad en lCT. Esta sección, a su vez se divide en los siguientes capítulos:

• Roles y responsabilidades de la seguridad en ICT • Documcnlación de seguridad • Identificando y desarrollando una política de seguridad en ICT • Administración de riesgos • Desarrollo de un plan de seguridad de sistemas • Desarrollo y mantenimiento de procedimientos de operación estándares de seguridad • Certificación y acreditación de sistemas ICT • Mantenimiento de la seguridad en ICT y administración de incidentes de seguridad • Revisión de la seguridad en ICT

La tercera parte contiene los estándares y principios de seguridad en ICT. relacionados a los aspectos específicos de los sistemas ICT, tales como hardware, software y conlrol de acceso. Este apartado, se divide a su vez en los siguientes capíltilos:

• Seguridad física • Personal • Ciclo de vida de productos lCT • Seguridad de hardware

43


• Seguridad de software • Control de acceso lógico • Seguridad activa • Seguridad de comunicaciones • Criptografía • Seguridad en redes

11.3.2 Proceso de seguridad en ACSI 33

La seguridad en ICT es un proceso continuo, esto es, las etapas que integran el proceso están interrelacionadas con cada etapa, ya que fue construida con base en los resultados de la fase previa.

Los mejores resultados de la seguridad en ICT, se obtienen cuando ésta se considera como una parte integral del sistema. Por lo tanto el DSD recomienda que el proceso de alto nivel de seguridad en ICT, sea iniciado durante el análisis y diseño del sistema.

La figura 11.1, muestra las etapas que el DSD recomienda que sigan las agencias Australianas, para imp\antar medidas apropiadas de seguridad en lCl' para cada sistema.

1. Desarrollo

8. Revisión

7. Mantenimiento

6. Acreditació

2. Administracíoo de Riesgos

3. Desarrollo del Plan

4. Implantación

5. Certificación

Figura 11. 2 - Proceso de Seguridad en ACSl 33 p)SD-061

La primera etapa consiste en el desarrollo de políticas. Sus principales actividades son identificar cualquier política existente que sea relevante y desarrollar nuevas políticas para cumplir con los requerimientos de cada sistema.

44


En la segunda etapa, se debe llevar a cabo la administración de riesgos. Las principales tareas que se 11evan a cabo son: identificar el alcance del sistema a ser protegido y desarrollar un plan de administración de riesgos inicial.

La tercera etapa consiste en el desarrollo del plan. En este apartado, se debe desarrollar un plan de seguridad en ICT para su uso a través de sistemas relacionados. Así mismo, se debe desarrollar un plan de seguridad en sistemas, para cubrir cada uno de los sistemas.

La cuarta etapa es la implantación y considera la puesta en marcha del plan de seguridad en sistemas, incJuyendo la compra de hardware y software. Por otro lado, también se deben desarrollar los procedimientos de operación estándares en seguridad.

La quinta etapa consiste en la certificación. En ésta se debe considerar qué será certificado y obtener la certificación del organismo correspondiente.

En la sexta etapa, se debe 11evar a cabo la acreditación, en la cual se debe formalizar el apoyo de la autoridad competente.

La séptima etapa consiste en el mantemm1ento. En esta fase se deben implantar los procedimientos de control de cambio, así como llevar a cabo revisiones de integridad.

La última etapa del proceso es la revisión. Esto es, anualmente se deben revisar cada una de las etapas del proyecto.

11.4 Estándar ISO/lEC 17799

En primera instancia es importante recordar que el ISO/IEC 17799, se emplea frecuentemente como un término genérico para referirse a dos documentos distintos: El ISO/IEC 17799 y el ISO/IEC 27001. No obstante, con la finalidad de tratarlos con mayor detalle y claridad, el primero de estos se expondrá a lo largo de esta sección y el segundo de estos será visto en el siguiente apartado.

A principios de los noventas, empezó a crecer la preocupac1on sobre la seguridad de la información, debido a la proliferación de redes de cómputo y la dependencia de las empresas en la recolección y procesamiento de datos electrónicos. Las amenazas a la seguridad de las organizaciones, incluyen fraude, espionaje, sabotaje, vandalismo, fuego, inundaciones, intrusiones a equipos de cómputo y códigos maliciosos. La preocupación del Departamento de Industria (DTI) del gobierno del Reino Unido, los llevó al solicitarle al Instituto Británico de Estándares (BSI-2, por sus siglas en inglés), que trabajara con las empresas y otras comunidades de interés, para desarrollar un estándar que incrementara la conciencia sobre cuestiones de seguridad y sugiriera controles que ayudaran a proteger la información al interior de todo tipo de organizaciones del Reino Unido.

Como resultado en 1995 fue publicado el estándar BS 7799-1, para ofrecer orientación en la implantación de un modelo de administración de seguridad de la información. Fue sustancialmente revisado en abril de J 999, para considerar los desarrollos en la aplicación de

45

..

.... •.


tecnologías de procesamiento de información, particularmente en el área de redes y comunicaciones. También se puso mayor énfasis en el compromiso con el negocio, la responsabilidad de la seguridad de la información y se agregaron esquemas de acreditación y certificación. Se incluyeron nuevos controles en áreas como comercio electrónico, trabajo a distancia, cómputo móvil, entre otros, pero manteniéndose independiente de la tecnología.

En diciembre de 2000, dicho estándar fue adoptado por la Organización Internacional de Estandarización como ISO/IEC 17799:2000, lo cual incrementó la atención mundial sobre dicho documento. En el 2005 fue publicado el estándar ISO/IEC 17799:2005, el cual se distingue por ser más amigable y tomar en consideración los últimos cambios tecnológicos.

II.4.1 Estándar BS7799- I

El estándar BS7799-I provee un marco de referencia para implantar un esquema de seguridad de la información en una organización. El modelo representa una iniciativa encabezada por empresas, sobre las mejores prácticas de administración de la seguridad de información.

La seguridad de la Información se caracteriza dentro del BS 7799-1 como la preservación de la:

• Confidencialidad: Asegura que Ja información sea accesible sólo para aquellos autorizados a tener acceso.

• Integridad: Salvaguarda la exactitud y la totalidad de la información y métodos de procesamiento.

• Disponibilidad: Asegura que los usuarios autorizados tengan acceso a la información y recursos asociados cuando lo requieran.

Es importante observar que el estándar se enfoca en la seguridad de la información, no sólo en la seguridad de Tecnologías de Información. La información puede existir en muchas formas; puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o haciendo uso de medios electrónicos, mostrado en películas o hablada en conversaciones o por el teléfono. Cualquiera que sea la forma que toma la información o los medios en que es almacenada, transmitida o usada, siempre debe ser protegida adecuadamente.

El estándar permite a organizaciones de todo tipo y tamaño, crear un modelo de administración de seguridad de la información que sea apropiado a sus necesidades. No es un estándar prescriptivo, en el sentido de que algunos controles pueden ser irrelevantes para algunas organizaciones y ser dejados fuera. Así mismo, se pueden incluir controles adicionales, que no están incluidos en el estándar para atender circunstancias particulares.

11.4.2 Contenido del estándar

Esté estándar se conoce como "Tecnologías de lnfonnación - Técnicas de Seguridad -Código de Práctica para la Administración de la Seguridad de Información''. Como ya se mencionó

46

Capítulo 11 - Selccci{m de un estíndar de referencia para el MASI

previamente, el BS 7799-1 fue ganando reputación a nivel internacional, por lo que en el 2000 el comité responsable del tema, decidió que fuera sometido para aprobación como un estándar internacional. Este proceso se completó de forma exitosa en diciembre del 2000, por lo que ahora se encuentra disponible como ISO/IEC 17799.

La última versi6n fue publicada en el 2005 y como principales diferencias sobre la versión del 2000, destacan su amigabilidad con el usuario y la consideración de los cambios que se han dado en la tecnología en los últimos cinco años. El estándar también aborda las técnicas ele seguridad más recientes y controles adicionales, así como otras mejoras.

Este estándar establece las directrices y principios generales para iniciar, implantar, mantener y mejorar la administración de seguridad ele la información en una organización.

Los objetivos propuestos en el estándar, proveen una guía general sobre las metas de administración de seguridad de la información aceptadas comúnmente. El ISO/IEC 17799

contiene las mejores prácticas en lo referente a objetivos y controles, en las siguientes áreas de administración de seguridad de la información:

• Política de seguridad

• Organización de la seguridad de información

• Administración de recursos

• Seguridad de los recursos humanos

• Seguridad física y ambiental

• Administración de comunicaciones y operaciones

• Control de acceso

• Adquisición, desarrollo y mantenimiento de sistemas de información

• Administración de incidentes de seguridad de la información

• Administración de la continuidad del negocio

• Cumplimiento

Los objetivos y controles del ISO/IEC 17799, son implantados para cumplir con los requerimientos identificados en la valoración de riesgos. El est.índar fue concebido como una base común y guía pr.íctica para desarrollar estándares de seguridad organizacional, así como prúcticas efectivas de administración de seguridad y para ayudar a construir confianza en las actividades ínter-organ izacionales.

El ISO/IEC 17799 reconoce que el nivel de seguridad que puede ser alcan1ado a través de medios puramente técnicos es muy limitado. El nivel requerido de seguridad -estahlecido a través de la valoración de riesgos y costos asociados por brechas de seguridad. contra los costos de implantar seguridad- siempre dehe ser impulsado por controles y procedimientos apropiados de administración. La administración de seguridad de la información. requiere de la participación de todos los empicados de la organización. No ohstante. tamhién es importante la participación de los accionistas. proveedores y clientes.

47

,., l .,

'


11.4.3 Proceso de seguridad en ISO/IEC 17799

El ciclo representado en la figura 11.3, muestra las etapas típicas que deben seguirse cuando se adopta el ISO/IEC 17799 como un estándar interno.

Análisis de Riesgos

Definición Metodología 00Anáhs1s de Riesgos

Análisis de Brechas

Documentación

3elecc:ón de Objetivos y Controles

Preparación de la Dedaración

de Apficatmi<iad

EJaboración de Políticas y

Procedimientos

Formulación del Pfan deTratamiento de RJesgos

tmplantación y Operación

Monitoreo yRevrsión

/ae.;s;· <l<>M ~ ~::.,da 11-iM~: o , · mm · . ,.·- ~ ~ y Figura 11. 3 - Ciclo del estándar ISO/IEC 17799 [Adaptado de IS0/2-05]

A continuación se describe cada una de las etapas:

El primer paso del modelo, consiste en tomar la decisión de implantar el estándar. Pudiera darse el caso de que la organización simplemente desee adherirse al estándar para su cumplimiento, o tal vez para buscar certificarse en el mismo.

48

Capítulo II - Selección de un cslándar de referencia para el MASI

En la siguiente etapa, se determina el alcance del sistema ó modelo de administración de seguridad de la información (MASI). Esto significa, que se deben seleccionar las áreas y

recursos de la organización que serán medidas contra el estándar.

Enseguida se lleva a cabo una revisión de la documentación existente, para valorar en qué extensión se encuentran en uso medidas de seguridad en la organización, así como para alinear el modelo a los objetivos de negocio de la organización.

Luego se lleva a cabo un análisis de brechas, para identificar las diferencias entre los controles, procesos y procedimientos existentes y los requeridos. Esto permite determinar el grado de cumplimiento de la organización, con respecto al estándar.

La siguiente fase, consiste en seleccionar una metodología de análisis de riesgos adecuada para la organización. Para este fin se deben considerar factores como: costo, influencias externas, estmctura organizacional, adaptabilidad, complejidad y tamaño de la organización, entre otros.

En la etapa siguiente, se lleva a cabo un análisis de riesgos para determinar el papel de los riesgos en el MASI, en el cual normalmente se compara el impacto de los riesgos con la probabilidad de ocurrencia de los mismos. Como parte de esta actividad, se debe llevar a cabo un inventario de todos los recursos de información relevantes.

Una vez que se identifican los riesgos, la organización debe decidir como deben ser tratados, por lo cual se debe llevar a cabo una evaluación de las alternativas disponibles. Es decir, se deben seleccionar los controles y objetivos apropiados a implantar, los cuales pueden provenir o no del estándar, según sea el caso. El estándar no contiene una lista exhaustiva, por lo que se pueden seleccionar controles y objetivos adicionales.

Posteriormente se formula la declaración de aplicabilidad (SoA), que consiste en un resumen de las decisiones relativas al tratamiento de riesgos. Así mismo, debe indicar los controles que se encuentran implantados en la organización.

Una vez concluido lo anterior, se elaboran y documentan las políticas y procedimientos relevantes, basados en la selección de controles de seguridad y la determinación de las opciones más convenientes para el tratamiento de riesgos.

Más tarde se formula el plan de tratamiento, para identificar las acciones administrativas adecuadas, los recursos, responsabilidades y prioridades para la administración de riesgos.

A continuación se debe implantar la política, procesos y procedimientos del MASl, así como los controles seleccionados.

Tras la implantación, se debe valorar y medir el desempeño del proceso, contra la política, objetivos, experiencia práctica y los resultados de revisión por parte de directivos.

Finalmente, se deben tomar medidas preventivas y correctivas, basadas en los resultados de auditoría interna del MASI, revisión de directores u otra información relevante.

49


Il.5 Estándar ISO/IEC 27001

El ISO/IEC 27001 fue elaborado con la finalidad de proveer un sistema de referencia para establecer, implantar, operar, monitorear, revisar, mantener y mejorar un modelo de administración de seguridad de la información (MASI).

La adopción de un MASI es una decisión estratégica para la organización. Así mismo, el diseño y la implantación de un MASI, debe estar alineado con las necesidades, objetivos, requerimientos de seguridad, los procesos empleados, así como el tamaño y la estructura de la organización. Éste y los sistemas que la soportan, sufrirán cambios con el tiempo, por lo que el MASI debe ser capaz de adaptarse a las nuevas necesidades.

En 1998 el BSI-2 publicó la norma BS7799-2: 1998, como primera aproximac1on a una especificación para sistemas de gestión de seguridad. Posteriormente en el 2002 se publicó el BS7799-2:2002, que adicionalmente a la especificación sobre un MASI, fue modificado para estar alineado con otros estándares afines. A finales del año 2005, se publicó el estándar ISO/IEC 27001 :2005, el cual provee las bases para la auditoría y certificación por parte de un tercero. Como ya se mencionó previamente, este estándar es complementario al ISO/IEC I 7799:2005.

El ISO/IEC 27001 fue elaborado con miras a trabajar en armonía con otros estándares de administración de sistemas, tales como el ISO 9001 e ISO 14001. Así mismo, brinda soporte en la integración y operación del sistema de administración global de la organización. Por otro lado, adopta un modelo planear-hacer-verificar-actuar (PHV A) y refleja los principios de los lineamientos emitidos por la Organización para el Desarrollo y Cooperación Económica (OECD) en 2002, en materia de seguridad de sistemas de información y redes.

II.5. 1 Estándar BS7799-2

Tal y como se expuso previamente, el ISO/IEC 27001 tiene sus orígenes en el estándar BS7799-2 del BSI-2. El estándar precursor lleva el nombre de "lnformation Security Management Systems - Specification with Guidance for Use" y define la especificación para un MASI, cuyo ámbito abarca personal, procesos, tecnologías de información y políticas. Así mismo, provee los fundamentos para la auditoría y certificación de un tercero. Esto es, define un medio para medir, monitorear y controlar la administración de seguridad desde un perspectiva de arriba hacia abajo.

El estándar fue revisado en el 2002 para alinearlo con otros estándares de administración, tales como ISO 9001 e ISO 14001. Dicho documento introduce un proceso PHVA, como parte de un sistema de administración para desarrollar, implantar y mejorar la efectividad del MASI de una organización, dentro del contexto del conjunto de riesgos de negocio en una organización. La figura ll.4, muestra el modelo PHV A.

50


Planear Establecer el MASi

Actuar Mantener y Me1orar

elMASI

Hacer

Verificar Morrttorear y Revisar

elMASt

Figura II. 4 - Proceso PHVA acorde con el estándar BS7799-2

La implantación del modelo PHV A también refleja los principios que se establecen en el documento de la OECD "Directrices para la seguridad de sistemas de seguridad de la información y redes". En particular, la revisión de la parte 2, ofrece un modelo robusto para la implantación de los principios de la OECD en materia de gobernabilidad, valoración de riesgos, diseño e implantación de seguridad y administración y revaloración de la seguridad.

Este estándar fue reemplazado en el 2005, tras la publicación del ISO/IEC 27001.

11.5.2 Contenido del ISO/IEC 27001

Este estándar lleva el nombre de "Tecnologías de Información - Técnicas de Seguridad -Sistemas de Administración de Tecnologías de Información - Requerimientos". Surge a partir del BS7799-2, el cual fue modificado con la finalidad de ser aprobado como un estándar internacional. Este proceso se completó de forma exitosa en octubre del 2005, por lo que ahora se encuentra disponible como ISO/IEC 27001 :2005.

El documento cubre los siguientes temas:

• Introducción • Alcance • Referencias normativas • Términos y definiciones • Sistemas de administración de seguridad de la información • Responsabilidad de administración • Auditoría interna del MASI • Revisiones del MASI por parte de directivos • Mejora del MASI

51


• Anexo A: Objetivos y controles

• Anexo B: Principios de la OECD y de este estándar internacional

• Anexo C: Correspondencias entre ISO 900 l y ISO 1400 I y este estándar internacional

Cabe destacar, que el estándar contiene una sección (Anexo A), que lista los objetivos y controles derivados de y alineados con aquellos listados en el documento ISO/IEC I 7799:2005. en sus cláusulas de la 5 a la I 5. Los controles y objetivos de las tablas de este anexo. se deben seleccionar como parle del proceso MASI.

El estándar abarca todo tipo de organizaciones, tales como empresas comerciales, agencias de gobierno y organizaciones no gubernamentales. Especifica los requerimientos para la implantación de controles de seguridad, a la medida de las necesidades de cada organización o partes de ésta. Así mismo, está diseñado para asegurar una selección adecuada y proporcional de controles de seguridad, que protejan los recursos de información y brinden confidencialidad a las partes interesadas.

El ISO/IEC 27001 tiene la intención de ser adecuado para diferentes usos, tales como:

• empleo dentro de una organización, para formular objetivos y requerimientos de seguridad:

• empico dentro de una organizac1on, como una forma de asegurar que los riesgos de seguridad se manejen eficientemente en materia de costos;

• empleo dentro de una organización, para asegurar el cumplimiento de leyes y reglamentos; • empico dentro de una organización, como marco para la implantación y administración de

controles que aseguren el cumplimiento de los objetivos específicos de una organización;

• definición de nuevos procesos de administración de seguridad de la información: • identificación y clarificación de los procesos de administración de seguridad de la

información existentes: • uso por parte de directivos de organizaciones, para determinar el estatus de las actividades

de administración de la seguridad de información; • empico por parte de auditores internos y externos de la organización. para determinar el

grado de cumplimiento con políticas, directrices y estándares adoptados por la organización;

• uso por parte de las organizaciones para proveer información relevante sobre políticas, directrices, estándares y procedimientos de seguridad a otras instituciones con las cuales interactúa por razones operacionales y comerciales;

• implantación de negocios con seguridad de la información; • brindar información relevante a clientes, sobre la seguridad de la información en la

organización.

11.5.~ Proceso de seguridad en ISO/IEC 2700 I

La utilización de un conjunto de procesos dentro de una organización, en conjunto con la identificación, interacción y administración de estos procesos, pueden referirse como "aproximación de proceso ...

52


La aproximación de proceso para la administración de la seguridad de información presentada en el ISO/IEC 27001, alienta a sus usuarios a enfatizar la importancia de:

• entender los requerimientos de seguridad de la información de una organización, así como la necesidad de establecer políticas y objetivos para la seguridad de información;

• implantar y operar controle'i para administrar los rie<igos de seguridad de la información de una organización, en el contexto de los riesgos globales del negocio;

• monitorear y revisar el desempeño y efectividad del MASI; • y mejora continua basada en la medición de objetivos.

Este estándar ado9ta el modelo PHV A~ que se a9lica 9ara estructurar todos los 9rocesos MASI. La figura 11.5, ilustra como el MASI toma como entrada los requerimientos de seguridad de la información, así como las expectativas de las partes interesadas y a través de las acciones y procesos necesarios, produce salidas de seguridad de la información que cumplen dichos requerimientos y expectativas.

Partes: 1:n~esa:das

---~ ,,,,.-/' '

,/'' " / ,, / Hac.et. \

/ ' Pt'am!a'f' rmptiitflt;;tr, '/i Operar '\ E$1abl~el:MA:Sl

\ - / \ JkmaJ?' ~ f

fReql:l~m1SAtOS '\ l'vfuntlmef,y Me,jamf" Monittmmry. !Re.vcsar· / '\ e!1MASI el·MA5l> ,,.,<·

y, expectafiv,as. ·--~"·· L '' b d~ s:aqu:ridad '"' """- / ~---e la: inftmrnat1:ilán , ·. "----.... , . ./

~--·-----~

Partes l:nteresadas

Aidrnin1stracióo de seguridad

. e· la, infOffllación

Figura ll. 5 - Modelo PHV A. aplicado a procesos MASl ladaptado de lS0/2-05\

La primera fase del proceso PHV A es la planeación. En ella se establecen las políticas, objetivos, procesos y procedimientos del MASI, relevantes para la administración de riesgos y mejora de la seguridad de la información, acorde con las políticas y objetivos globales de la orgamzac10n.

La segunda etapa se refiere al "hacer". Esto es, considera la implantación y operación de las políticas, controles, procesos y procedimientos del MASI.

El tercer paso es la verificación. Consiste en la valoración y donde sea posible, la medición del desempeño del proceso, contra las políticas y objetivos del MASI, así como la experiencia 9ráctica. También considera el re9orte de resultados 9ara la revisión 9or 9arte de los directivos.

53


La última etapa se refiere al acto. En ésta se llevan a cabo las acciones preventivas y

correctivas, basadas en los resultados de la auditoría interna del MASI y la revisión de los directivos, así como cualquier otra información relevante, para realizar la mejora continua del MASI.

11.6 Estándar de referencia propuesto

Para la selección del estándar de seguridad a emplear en la organizac1on bajo estudio, se tomarán en consideración dos aspectos. El primero se refiere a las características que distinguen a la organización bajo estudio, tales como su misión, visión, objetivos, valores, papel en la cadena de valor, estructura orgánica, manuales, normas, políticas y procedimientos, por mencionar algunos. Cabe señalar que dichos aspectos, serán tratados en la siguiente sección.

El segundo aspecto se refiere, a las características que distinguen a los estándares de seguridad considerados, tales como el MASI presentado, su capacidad para identificar el origen de las amenazas y contenerlas, para establecer controles de seguridad y para recuperar a la organización de un desastre. Para dicho fin, se tomará como referencia, el criterio de evaluación de estándares de seguridad básica, desarrollado por Brooks, Warren y Hutchinson !BR0-02].

Dicho estudio, propone un procedimiento sencillo para identificar el nivel de seguridad en TI, el cual se obtiene de una comparación entre la situación actual, contra el estado deseado. Para esto. cada estándar es evaluado en relación a las cuatro categorías clave siguientes:

1. Seguridad de información. Se relaciona con el MAS], mismo que se ocupa de las políticas y regulación que establecen e implantan los administradores de TI.

2. Origen de amenazas. Abarca los tipos de amenazas, vulnerabilidades y ataques a los que está expuesto un sistema .

.3. Controles de seguridad. Se refiere a los controles de seguridad genéricos y a las medidas que una organización puede implantar para reducir los riesgos asociados a los sistemas.

4. Recuperación y contención. Considera los procedimientos, políticas y regulaciones que deben existir, para ayudar a las organizaciones a recuperarse de un desastre o para estar listas para lo inesperado.

Así mismo, se establecen los tres ambientes de seguridad operacional (OSE) que se exponen a continuación [BR0-02]:

1. OSE ideal. Es el máximo nivel de seguridad que se puede implantar en una organización. 2. OSE básico. Es el mínimo nivel de seguridad que debe ser implantado en una

organización para que sus sistemas sean seguros . .3. OSE de supervivencia. Es el nivel mínimo de medidas de seguridad, necesario para que

una organización se mantenga operacional.

54

Capítulo 11 - Selección Lle un cst;ínuar de rel"crcncia para el MASI

11.6.1 Organización bajo estudio (SDG)

La SDG tiene como misión, asegurar la generac1on de energía eléctrica en México, con calidad: oportunidad, seguridad y rentabilidad; promoviendo el desarrollo i111egral y profesional de las personas, y en armonía con el entrono ecológico y social, para contribuir al desarrollo sustentable del país.

Tiene como visión ser líder a nivel nacional en la generación de energía eléctrica; identificada por sus estándares de desempeño, competitividad y confiabilidad como una de las mejores del mundo; que se distinga por el compromiso, capacidad profesional y perfil emprendedor de su personal, autonomía de gestión, utilización de tecnología adecuada y por su crecimiento planeado a largo plazo.

Tiene como primer objetivo estratégico, mejorar la disponibilidad, confiabilidad y eficiencia de las unidades generadoras de energía eléctrica, a través de:

• La aplicación del sistema integral de gestión (SIG), para mejorar la eficiencia de las personas y procesos de trabajo, así como la eficiencia de los productos y servicios que se ofrecen;

• Optimizar las inversiones aplicadas para generar altos remanentes, con costos de operación y mantenimiento competitivos;

• La seguridad de las personas e instalaciones, para garantizar la efectividad de la operaci6n: • La armonía con los entornos ecológico y social, para contribuir al desarrollo sustentable

del país.

Su segundo objetivo estratégico, es me.1orar el desempeño personal y profesional de los trabajadores, a través de:

• La optimización y desarrollo del factor humano. • El mantenimiento del sistema integral de gestión multisitio. • El fortalecimiento de los programas sociales y ambientales. • La consolidación de los procesos de operación, mantenimiento y modernización. • El fortalecimiento de la infraestructura física y tecnológica. • El desarrollo de proyectos con hase en fuentes alternas de energía.

Como tercer objetivo estratégico, tiene mejorar los procesos administrativos y técnicos, a través de:

• • •

•

La consolidación presupuesta! y el desarrollo de la cultura financiera . El mantenimiento del sistema integral de gestión multisitio .

El desarrollo de los sistemas de información para la toma de decisiones estratégicas . tácticas y operativas.

La optimización y desarrollo del factor humano .

En la fig~tra r,r.6 _se pue,clcn observar los diferentes procesos que intervienen en la ucneración de cnerg1a electnca. as1 como su interrelación Dicha estructura le permite .

1 1 e · ·, · - , a orgamzac1011

55

Capítulo II - Selección de W1 estándar de referencia para el MASI

funcionar de manera eficaz y cumplir con la normatividad gubernamental, institucional y en general con toda la reglamentación aplicable, tales como los requisitos establecidos en las normas ISO 9001 :2000 e ISO 14001 :2004.

;z;.;:'1'::§:!::: :·~~1Jf¡t,i,!..i~

I Clienre:

•!1: Crnla.CE

t Par~~ 1r.'Ere':i:Jidao;·

• Grupos d1rl:-dr..cs

• Per,on .li • Ccr:1undsd · Oryausin~

ó&Gobe-r!"IC 1:~ ·Pro~ i:

1· i:

MODELO DE PROCESOS DEL SIS1EW. IHTEGRA\. DE CES11ÓN

Figura 11. 6 - Estructura organizacional por procesos de la SDG [Manual del SIGJ

-Gr~,.: .. dire,d:\L"":,

·Pa-::,a,.3J • Ccrnundad • Cr-g3r:tSf1l0S

:JE. Gol:er-r:~ • ?r~veed <n:5

Es importante destacar que su ámbito geográfico cubre a la mayor parte del país, a través de cinco Gerencias Regionales de Producción, una Gerencia de Proyectos Geotermoeléctricos y la sede de la SDG ubicadas como sigue:

•HHnu,álle

.Ou-Jtillila;•• .......... '=>\~\~ ~f; ~ti &r,~:

Figura 11. 7 - Ubicacion geograf1ca de la SDG 1Manual del S1Gl

56


La SDG tiene como producto la energía eléctrica, la cual es producida y entregada por las centrales generadoras al Centro Nacional de Control de Energía (CENACE), con base en los requisitos previamente convenidos, de acuerdo a las particularidades regionales, entre las que se encuentran: la disponibilidad, confiabilidad de arranque y eficiencia térmica.

La cadena de va\or en \a que participa \a SDG dentro de\ proceso de suministro de energía eléctrica del país, se describe en la siguiente figura:

.. • . .. .. .. • • , .......... .

l CENTRO

~KU..Q;E: eotffl{tlt..

EllfRGÍA {UM.Cf; ---

Simbología .. Admmistta.dffl\ u«~ Ruja, 9Mlflgt.'°ia

~.dieeie-

Figura II. 8 - Estructura organizacional de la SDG por procesos [Manual del SIG]

La SDG aporta la mayor parte de energía eléctrica al sistema eléctrico nacional, la cual proviene de sus centrales generadoras y de la que adquiere de los productores externos de energía (PEE's).

II.6.2 Comparación de estándares

El conocimiento de las características y necesidades más relevantes de la organización bajo estudio, representa el primer requisito para la selección de un modelo de referencia. Como siguiente paso y partiendo de los atributos expuestos previamente sobre los estándares ACSI 33, IT-BPM e ISO/IEC 17799, es necesario llevar a cabo una comparación entre los mismos.

Para dicho fin, se recurrirá al estudio llevado a cabo por W. J. Brooks [BR0-02], relativo a la evaluación de estándares básicos de administración de seguridad de la información. A continuación se presentan de forma resumida, los resultados obtenidos en el documento de referencia, los cuales muestran una representación comparativa de los distintos estándares.

57


Ideal

Nulo

Figura II. 9 - Evaluación de estándares de seguridad íadaptado de BR0-021

Del análisis de las gráficas, se concluye lo siguiente:

1. IT-BPM es el estándar para la implantación técnica de controles de seguridad, que se enfoca en actos deliberados, seguridad Web, de hardware y software, así como procedimientos de recuperación y contención. Sin embargo, no provee en detalle los pasos necesarios para llevara cabo la administración de las políticas de seguridad de TI. Lo anterior, puede representar un problema para las organizaciones que requieren una guía escrita sobre políticas de seguridad, para implantar procedimientos correctos que se traduzcan en un sistema seguro.

2. El ACSI 33 es un estándar para la administración de controles de seguridad y su atención se centra en proveer controles de seguridad apropiados para aplicaciones Web. No obstante, no ofrece información detallada sobre amenazas, ni sobre procedimientos de recuperación y contención, los cuales son de gran importancia para agencias de gobierno que requieren un alto nivel de seguridad, por la naturaleza sensible de los datos almacenados en sus sistemas.

3. El ISO/IEC 17799 es un estándar para la administración de controles de seguridad, cuyo foco principal es crear conciencia y regular mediante mecanismos de autorización. Si bien es cierto que en comparación con el ACSI 33 provee mayor información sobre amenazas, así como sobre procedimientos de recuperación y contención, no ofrece detalles técnicos suficientes sobre controles de seguridad, para permitir a las organizaciones mantener un sistema seguro. Esto es, señala que se requiere para proteger la organización, pero no menciona como implantarlo.

58

,

Capítulo JI - Selección de un cst;índar de referencia para el MASI

II.6.3 Selección del estándar de referencia

Tras el análisis de los dos aspectos considerados para la selección del estándar más adecuado para la SDG, se determina que se empleará el ISO/IEC 17799 por las siguientes razones:

• Dicho estándar está alineado y corresponde en algunas secciones, con las normas ISO 9001 e ISO 14001 que actualmente se encuentran en uso en la organización bajo estudio, lo cual favorece la implantación del modelo.

• A diferencia del IT-BPM y el ACSI 33, el ISO/IEC 17799 es un estándar internacional que permite a la organización su cumplimiento, o bien la obtención de la certificación para acreditar el cumplimiento de las normas de seguridad. Lo anterior, en concordancia a lo señalado en el apartado I.3.1, referente al hecho de que en México existe un interés creciente por la certificación en estándares de seguridad de la información.

• El estándar hace énfasis en la documentación escrita relativa a la seguridad, tales como políticas y procedimientos, condición que representa una práctica común en México según se destacó en el apartado J.3.1 y muy en especial dentro de la organización bajo estudio y que por ende facilita su uso por parte del personal.

• El producto de la SDG es la energía eléctrica, por lo que se requiere de un estándar básico de seguridad, que brinde apoyo a los procesos que intervienen en la producción de la electricidad, pero sin desviar la atención de las actividades sustantivas del área.

• La norma permite la incorporación de controles de seguridad adicionales a los contenidos en el estándar (por ejemplo del IT-BPM y el ACSI 33), por lo que se puede mejorar la seguridad en el ámbito de los administradores de TI, sin impactar el trabajo de otras áreas.

• De los estándares analizados, el ISO/IEC 17799 cuenta con el MASI mejor calificado, lo cual se traduce en un alto nivel de seguridad para la institución.

• En comparación con el IT-BPM y el ACSI 33, este estándar mantiene un OSE básico, en las cuatro categorías de seguridad clave.

• El ISO/IEC 17799 es el único de los estándares analizados, que incorpora en su MASI la valoración de riesgos; actividad que se considera de gran importancia en la administración de los riesgos de seguridad, así como en la selección de controles para proteger a la organización.

• México como miembro de la Organización para la Cooperación y el Desarrollo Económico (OECD por sus siglas en inglés), debe cumplir con las directrices de dicho organismo para la seguridad de sistemas y redes de información, las cuales ya están incorporadas en el estándar ISO/IEC 17799.

• Tal y como se indicó en el apartado 1.3.2, el modelo de gobernabilidad de TI más popular en México (y a nivel global) es el ISO/IEC 17799, por lo cual su elección es acorde con la tendencia del país.

II. 7 Conclusión

Los estándares básicos de seguridad de la información, fueron desarrollados para proveer protección, guías de implantación y ayuda a numerosos sistemas de TI que se encuentran en uso actualmente. No obstante, dada la variedad de modelos disponibles y con miras a que

59

Capítulo II - Selección de un estándar de referencia para el MAS]

realmente cumplan con su cometido, es esencial identificar y seleccionar el más adecuado, dependiendo de la organización en la que se va a implantar.

En este orden de ideas, a lo largo de este capítulo se analizaron tres de los estándares más populares en el mundo, el ISO/IEC 17799, el ACSI 33 y el IT-BPM. Cada uno sugiere un nivel mínimo de seguridad que pueden implantar las organizaciones, para mantener una operación segura. No obstante, no todos los estándares proveen el mismo nivel de seguridad en las distintas categorías (relativas a modelo de seguridad, amenazas, controles de seguridad, y procedimientos de recuperación y contención), además de que cada uno ofrece distintos niveles de seguridad (ideal, básico y de supervivencia). Lo anterior, puede crear confusión en las organizaciones, ya que se debe tomar una decisión bien informada, sobre qué estándar cubre mejor sus necesidades.

Para seleccionar un estándar de seguridad acorde a las necesidades de la SDG, se tomaron en consideración dos factores: sus características más relevantes (tales como misión, objetivos, valores, normas y políticas, entre otras), así como las cualidades de los tres estándares considerados para la implantación deJ MASI (modelo, identificación de amenazas, controles y capacidad de recuperación).

Esto es, primeramente se llevó a cabo un análisis con miras a entender la naturaleza, operación y necesidades de la organización bajo estudio. Posteriormente, se llevó a cabo una comparación entre los estándares de seguridad, basada en el criterio de evaluación de estándares de seguridad básicos desarrollado por Brooks, Warren y Hutchinson [BR0-02]. Sobre lo anterior, cabe destacar el IT-BMP sobresale por la fortaleza de sus controles de seguridad, el ACSI por su enfoque a aplicaciones Web y el ISO/IEC 17799 por su sistema de gestión.

Por último, se llevó a cabo la selección del estándar de los estándares de seguridad ISO/IEC 17799 y 27001, para su desarrollo en capítulos posteriores. Esto principalmente, en virtud de su compatibilidad con las normas ISO 9001 y 14001 actualmente en uso en la SDG, su reconocimiento internacional, la alta calificación de su MASI, el cumplimiento de las directrices de la OECD y su alta popularidad en las organizaciones mexicanas.

60

Capítulo lll: Identificación Je requerimientos de seguridad del MASI

Capítulo III Identificación de requerimientos de seguridad

del MASI

IIl. l Introducción

Una parte de suma importancia en el proceso de administración de la seguridad de la información, es el análisis de riesgos y como pueden ser reducidos a un nivel aceptable. Para dicho fin, es necesario tomar en cuenta los objetivos de negocio, los aspectos organizacionales y ambientales, así como cada uno de los riesgos y necesidades de los sistemas de TI.

Antes de iniciar cualquier actividad de análisis de riesgos, una organización debe contar con una estrategia para llevar a cabo este análisis, y las partes que la constituyen (métodos, técnicas, etc.) deben ser documentadas en la política corporativa de seguridad de la información. Los medios y el criterio para la selección de un método de análisis de riesgos, deben ser acordes a la organización. La estrategia de análisis de riesgos debe asegurarse que la aproximación elegida, es viable para el ambiente y que enfoca los esfuerzos de seguridad donde realmente sean necesanos.

De acuerdo al estándar 1SO/IEC TR 13335-3 "Techniques for the Management of 1T Security" [IS0-98], existen cuatro diferentes aproximaciones para el análisis de riesgos. La diferencia básica entre cada una de estas opciones, es la profundidad del análisis de riesgos. En virtud de que por lo general es muy costoso llevar a cabo un análisis de riesgos detallado para todos los sistemas de TI, además ele que tampoco es muy efectivo dar sólo una atención periférica a riesgos de consideración, se requ icre de un balance entre estas opciones.

Además de la posibilidad de no hacer nada y aceptar que la organización estará expuesta a un número de riesgos de magnitud y severidad desconocida, existen cuatro opciones básicas para una estrategia corporativa de análisis de riesgos:

• usar el mismo enfoque básico para todos los sistemas de TI, independientemente de los riesgos que enfrentan los sistemas, y aceptar que el nivel de seguridad no siempre será el apropiado;

• hacer uso de una aproximación informal para llevar a cabo el análisis de riesgos y concentrarse en los sistemas de TI que se perciben como expuestos a altos riesgos;

• conducir un análisis de riesgos detallado, haciendo uso de una aproximación formal para todos los sistemas de TI;

• o llevar a cabo un análisis de riesgos inicial de alto nivel para identificar los sistemas de TI expuestos a altos riesgos y aquellos que son críticos para el funcionamiento de la organización, seguido de un análisis de riesgos detallado de dichos sistemas y la aplicación de un enfoque básico de seguridad al resto de los sistemas.

61

Capítulo llI: Identificación de requerimientos de seguridad del MASI

Si una organización decide no hacer nada acerca de la seguridad o bien posponer la implantación de controles, sus directivos deben estar concientes de las posibles implicaciones de esta decisión. Si bien no requiere de tiempo, dinero, personal u otros recursos, tiene varias desventajas. A menos que una organización tenga la confianza de que sus sistemas de TI no son de naturaleza crítica, se estará dejando expuesta a serias consecuencias. La organización puede no estar cumpliendo con el marco regulatorio o bien, su reputación puede verse afectada si es expuesta a brechas de seguridad y se demuestra que no se tomaron medidas preventivas. Si una organización se preocupa poco por la seguridad de la información o no cuenta con sistemas críticos de negocio, entonces esta es una estrategia viable. No obstante, la organización queda en una posición de no saber de que tan buena o mala es realmente la situación y para la mayoría de las organizaciones, esto difícilmente es una buena solución.

En este capítulo se lleva a cabo un diagnóstico del estado de la seguridad de la información en la organización bajo estudio, el cual sirve de base para el diseño, la implantación y el monitoreo de un modelo de administración acorde a las necesidades y características de ésta. Conforme al ciclo propuesto en el apartado 11.4.3, primeramente se determina el alcance del modelo MASI para la seguridad de la información. En segunda instancia, se lleva a cabo una revisión de documentación en la organización bajo estudio, relativa a las medidas de seguridad que se encuentran en uso. Posteriormente, se realiza un análisis de brechas entre los controJes existentes y los requeridos. Luego se llevará a cabo la selección de la metodología de análisis de riesgos, más adecuada para la organización bajo estudio. En seguida, se identifican y valoran los recursos de información más significativos. Finalmente, se lleva a cabo la identificación y valoración de amenazas, vulnerabilidades y riesgos, para determinar el impacto de estos sobre el modelo MASI.

lll.2 Definición de alcance y limitaciones del MASl

Una vez elegido el modelo de seguridad de la información a ser adoptado por la SDG, retomaremos el ciclo del estándar ISO/IEC 17799 para identificar el área de la organización y los recursos que serán medidas contra éste. Es decir, tal y como se indica en el apartado Il.4.3, el segundo paso del modelo consiste en la determinación de sus capacidades y limitantes.

Primeramente, en virtud de las restricciones en recursos (tiempo y presupuesto, principalmente) para la elaboración de este trabajo, se acotarán los pasos del ciclo que serán tratados como parte del alcance. Tal y como se observa en la figura Ill. l, las etapas relativas a implantación, operación, monitoreo, revisión, mantenimiento y mejora no se llevarán a cabo. Así mismo, se aclara que el diseño del MASI consistirá en la selección de objetivos y controles de seguridad, la preparación de la declaración de aplicabilidad (SoA), la elaboración de políticas y procedimientos, así como la formulación del plan de tratamiento de riesgos.

62

Capítulo III: Identificación de requerimientos de seguridad del MASI

Selección ..... Preparación de

~ de Objetivos ...,,, ta De~a~~ .. ~ y Co11tro\es de Apt«::.ab1l~-d ~

Análisis de Riesgos

• Definición Metodología de Anáfisis de Riesgos

• Aná!is:s Cl<é'

Brechas

Doc urne r:tét e¡ ó 1·,

.---------~~ ~ Definlcioo.de hMantefl . .i~.· ·e·n· to 1~d&~v Alcance y yMefora

Elaboración de PoHticas y

Procedímtentos

Formulación del Plan de Tratamiento de Riesgos

• Implantación y Opefáción

Mónitoreo y Revisión

Figura III. l - Alcance del MASI propuesto [adaptado de IS0/2-05]

En el apartado 11.6.1 se expusieron las características más relevantes de la SDG, no obstante se hacía referencia a su ámbito nacional. A este respecto, cabe señalar que la adopción del MASI que se propone en este trabajo, se acotará a la Sede de la SDG. Esta área de la organización bajo estudio se ubica en el Distrito Federal y en ella se llevan a cabo las funciones administrativas sustantivas (tales como planeación y dirección) y se localizan algunos de los recursos de información de mayor importancia ( como servidores de sistemas de información nacionales). No obstante, se pretende que este documento sirva de base para ampliar el alcance del MASI en el ámbito nacional de la SDG o bien como referencia para trabajos futuros en otras organizaciones similares.

Por otro lado, tal y como se propuso en el apartado 1.3.1, se selecciona la red interna de telecomunicación de la sede de la SDG, como el recurso de información para el cual se diseñará el MASI. Se entenderá por red interna, la red LAN (alámbrica e inalámbrica) y los accesos MAN y W AN de la sede de la SDG. Se espera que la red interna de telecomunicación provea seguridad a los recursos de información ubicados en la sede de la SDG, contra ataques originados

63

Capítulo 111: Identificación de m.¡uerimicntos de seguridad del MAS!

desde el interior de la institución (deliberados o accidentales), ya sea por empleados de la organización o personas externas que tengan acceso a sus instalaciones. La red interna de telecomunicación proveerá seguridad de la información, contra los incidentes que se relacionan a continuación:

• contaminación por virus y gusanos; • accesos no autorizados a la información;

• robo de información propietaria;

• negación de servicios;

• abuso interno en el acceso a red; • fraude en telecomunicaciones; • abuso de la red inalámbrica; • robo de contraseñas.

Así mismo, el MASI deberá proveer seguridad de la información a nivel de red interna de telecomunicación, para los siguientes servicios de TI en la sede de la SDG:

• navegación en Internet; • sistemas institucionales y portal de servicios Web: • mensajería unificada y correo electrónico: • directorio activo y administración de políticas de red: • ctímputo en red (ej. archivos e impresión compartidos); • telefonía IP (TolP); • videoconferencia y video bajo demanda; • acceso inalámbrico; • monitoreo y administración de infraestructura tecnológica.

En términos estrictos, los siguientes componentes se están considerando como potencialidades y capacidades del MASI para la sede de la SDG:

• Equipo de red interna de telecomunicación que contribuye a brindar y proteger los servicios de TI mencionados previamente. Entre ellos se incluyen sistemas de detección y prevención de intrusos (IDS/IPS ), de administración y monitoreo de la seguridad, así como de respuesta automática a incidentes, sistemas de autentificación de usuarios de red, hubs, switches, rutcadorcs, puntos de acceso inalámbricos y sistemas de transmisión asociados. A través de dicha infraestructura, se proveerá seguridad de la información a equipos personales de cómputo. impresoras, teléfonos IP, granja de servidores (sistemas del proceso de generación, contenidos multimedia y telefonía IP, entre otros), equipos multipunto y terminales de videoconferencia. así como sistemas de administración y monitoreo de infraestructura de TI, los cuales no serán considerados en el inventario de recursos.

• Personal de la SDG, involucrado directamente en brindar soporte a la red interna de telecomunicación. Si bien no incluye a los usuarios de los servicios de TI señalados, de forma indirecta se le brindará seguridad a la información que manejan. Este rubro también considera los procesos relativos a la planeación, operación y mantenimiento de la red interna de telecomunicación, tales como políticas. normas, procedimientos. manuales y guías, entre otros.

64


• Instalaciones que albergan los equipos que conforman la red interna de telecomunicación, tales como cuartos, closets y gabinetes, entre otros.

El MASI no incluye cualquier otro nivel de seguridad distinto al de red interna de telecomunicación, tales como el periférico, de cliente, aplicación y datos expuestos en el apartado 1.4.2. Por lo tanto, en caso de que se necesiten considerar otros aspectos de seguridad de la información en la sede de la SDG, se requiere su incorporación como parte de las revisiones periódicas del MASI. Específicamente, los siguientes elementos se excluyen del alcance de este trabajo:

• Nivel periférico: firewalls, DMZ, servidores respectivos (ej. proxy, antivirus de red y DNS) y VPN-1's, entre otros.

• Nivel de cliente: Computadoras personales, servidores, impresoras y teléfonos IP. También se excluyen IDS, firewaH, antivirus y antispyware personales, así como parches de sistema operativo, entre otros.

• Nivel de aplicación: desarrollo de programas de cómputo seguros, parches de aplicaciones y nive\es de acceso, entre otros.

• Nivel de datos: esquemas de encriptación de datos almacenados. Por su importancia, se incluye en el alcance del MASI el caso de datos en tránsito a través de la red inalámbrica.

Una vez expuesto lo anterior, retomaremos nuevamente el ciclo del estándar ISO/IEC 17799 mostrado en la figura 111. 1, para hacer las últimas acotaciones. En relación a la etapa de elaboración de políticas, tal y como se indica en la figura 111.2, se hará énfasis en las políticas de telecomunicaciones, específicamente en aquellas relacionadas a la red interna, excluyendo la políticas de TI. En el mismo orden de ideas, en el paso de procedimientos no se considerarán aquellos relativos a plataformas de cómputo, programas y aplicaciones, sólo aquellos relativos a la red interna de telecomunicación.

!U~de Ccnfií;j:Jraeioo, y_, Administración, de Seguridad'.

enRedes

P.bfftk:as de Se:gurídBd de Teaio{agiasda tnfu~n

Figura III. 2 - Arquitectura propuesta de políticas y procedimientos de seguridad

65

Capítulo III: Jdcnlificación de requerimientos de seguridad del MASI

III.3 Revisión de documentación

Como parte de las actividades estipuladas en la siguiente etapa en el ciclo del estándar ISO/IEC 17799 (ver figura m. l ), es necesario llevar a cabo una revisión de la documentación relevante que existe en la SDG, para valorar en que grado ya existen medidas de seguridad en el área. Esta revisión, permitirá llevar a cabo el análisis de brechas del próximo apartado. Los documentos encontrados, se describen a continuación en orden de mayor a menor importancia para fines del MASI que nos ocupa:

a. Políticas institucionales de seguridad de la información (PISI): Este documento corresponde al solicitado en el apartado 4.2.1 b del estándar ISO/IEC 27001 y como su nombre lo indica consiste en un conjunto de políticas institucionales de seguridad de la información. Por la importancia que reviste para este trabajo, se tratará a mayor detalle a lo largo de este apartado.

b. Manual del sistema integral de gestión (SIG) de la SDG: Documento básico para administrar los diferentes procesos identificados dentro del sistema integral de gestión (SIG), necesarios para la generación de energía eléctrica, que incluye aspectos en materia de calidad, ambiental, seguridad y salud en el trabajo basados en los requisitos establecidos en las normas de referencia: ISO 9001:2000/NMX-CC-9001-IMNC-2000, ISO 14001:2004/NMX-SAA-14001-IMNC-2004 y NMX-SAST-OOI-IMNC-2000. Dada su relevancia, este documento también será revisado a mayor detalle posteriormente corno parte de esta etapa del MASI.

c. Plan estratégico de la SDG 2006-2011: Sirve para fijar el rumbo y determinar los programas y proyectos estratégicos, necesarios para alcanzar la visión de la SDG al año 2011. En él también se determinan los objetivos y líneas estratégicos, así corno las actividades clave del área. Este documento será de gran utilidad para al MASI, por lo cual igualmente se le dedicará mayor atención en el transcurso de esta fase del ciclo.

d. Contrato colectivo de trabajo 2006-2008: Tiene por objeto, en adición a las disposiciones legales, el establecimiento de las condiciones laborales específicas que deben regir para la prestación del servicio público de energía eléctrica en la República Mexicana, en la industria eléctrica. Destaca el hecho para lines de este trabajo, de que en él se estipula la promoción, apoyo y autorización en su caso, de las sugerencias e iniciativas individuales o de grupo, que se propongan para elevar la productividad y seguridad del personal (así como de los bienes institucionales), mediante la aplicación de nuevos métodos, herramientas y equipos de trabajo, o bien. mediante la optimización de los existentes.

e. Código de conducta de los trabajadores: Este documento es el reflejo de los más allos principios y valores éticos y de transparencia asumidos por la institución y por sus trabajadores y muestra las conductas esperadas de todos los integrantes de la organización independientemente de su nivel jerárquico o de la condición contractual que presenten. En lo relativo a seguridad, se observa que se debe hacer un uso racional de los implementos de oficina a disposición del personal. Así mismo, se deben cumplir estrictamente las disposiciones de uso y seguridad de las instalaciones de la institución y no provocar cualquier acto inseguro dentro de éstas.

66

Capítulo 111: Identificación de requerimientos de seguridad del MAS!

f. Lineamientos para el uso de bienes informáticos y de telecomunicaciones en la SDG: Uno de sus objetivos es minimizar el riesgo de que los bienes informáticos y de telecomunicación de la SDG, sufran daños producto ele una inadecuada operación y de que personas puedan atentar (con o sin intención) en contra de los equipos y de la información contenida en ellos. Destaca el hecho de que se dedica un apartado a normas de seguridad de la información y de uso de la red local de telecomunicación.

g. Políticas de operación del site de la SDG: Tiene como objetivo establecer las políticas y lineamientos de operación del site de la SDG, aplicando la normatividad correspondiente y observando las mejores prácticas, con la finalidad de minimizar los incidentes y contingencias y maximizar su disponibilidad y confiabilidad. Cabe destacar que cuenta con apartados de políticas generales donde se definen las áreas responsables por tipo de infraestructura, así como de operación y control de acceso al site.

h. Norma institucional para los servicios de telecomunicaciones: Tiene como finalidad establecer la normatividad interna que regula la obtención, asignación y uso de los bienes y servicios de telecomunicaciones propios y rentados de la institución. De entre las políticas que establece, sobresale la del empleo adecuado de los bienes y servicios de telecomunicaciones, fijando criterios de responsabilidad y racionalidad en la asignación, uso, conservación y salvaguarda de los mismos.

1. Políticas y normas institucionales para el uso de Internet: Tiene corno propósito establecer lineamientos de acceso y uso de Internet, para proporcionar, buscar e intercambiar información en el .ímbito de las funciones de cada .írea; que a su vez permitan la realización de transacciones sustantivas y de apoyo con la calidad y el nivel que requiere la continuidad operativa de la institución. El documento contiene información de interés relativa a Internet, tal y como políticas de descarga de archivos y acceso a sitios no autorizados; no obstante también abarca el tema ele uso del correo electrónico.

IIJ.3.1 Políticas institucionales de seguridad de la información (PJSI)

Como se estableció previamente, tres de los documentos encontrados son rundamentales para la elaboración del MASJ. Uno de ellos es el conocido como PJSI, que si bien es algo extenso, es de gran importancia para la conformación del MASI, ya que aborda una amplia variedad de temas ele seguridad de la información y toma como referencia los estándares BS7799- I :2000 y BS7799-2:2002 vistos en los apartados 11.4.1 y JI.5.1, para plantear un sistema de referencia para el aseguramiento de la seguridad de la información en la institución (ver figura 111.3).

67


IP<l>IÍticaS IN1:1rm.i.s IPrQoCe'.d lmicentos

Figura UL 3 - Sistema institucional de seguridad de la información (Manual de PISI]

Como parte del alcance del documento, también se establecen líneas estratégicas en materia de seguridad de la información a nivel institucional, tales como las que se exponen a continuación:

• Misión: Desarrollar e implantar una práctica administrada de seguridad de la información, que responda a las necesidades de la institución a través de políticas y servicios de calidad.

• Visión: Establecer una estrategia de seguridad de la información que apoye a la institución en el logro de sus objetivos estratégicos.

Una sus aportaciones más significativas, es que en él se establecen las siguientes políticas institucionales de seguridad de la información:

1. General de seguridad de la información 2. Roles y responsabilidades 3. Clasificación de información 4. Administración de riesgos 5. Incidentes de seguridad 6. Seguridad en el personal 7. Monitoreo de seguridad 8. Seguridad física y del entorno 9. Protección de redes internas 1 O. Protección de redes externas 1 1. Seguridad para terceros 12. Respaldo y borrado de información 13. Protección contra virus y código malicioso 14. Autenticación y control de accesos 15. Administración de usuarios y contraseñas 16. Protección de equipos de cómputo 17. Equipos de cómputo portátiles 18. Cifrado de datos 19. Desarrollo y mantenimiento de sistemas 20. Licenciamiento de software

68


21. Publicación de servicios en Internet 22. Uso de lnternet 23. Administración de la continuidad 24. Cumplimiento

Tras una revisión inicial de su contenido, se considera que aquellas más relevantes para fines de este trabajo, son la 1, 3, 4, 8, 9, J 4, J 5, 18 y 24. No obstante, para tener la certeza de que dichas políticas pueden ser incorporadas al MASI, primeramente es necesario llevar a cabo las actividades ele valoración y administración de riesgos, para en base a los resultados obtenidos seleccionar de objetivos y controles más adecuados.

111.3.2 Manual del sistema integral ele gestión (SlG) de la SDG

La estructura de este escrito está basada en los estándares ISO 9001:2000 e ISO 14001:2004, los cuales mantienen una alta correspondencia en contenido respecto a la norma ISO 27001 :2005 adoptada para el MASI de la sede de la SDG. Por lo tanto, es de esperarse que el manual sea una valiosa fuente de información, así como el principal marco de referencia para la conformación de un modelo acorde a las necesidades y actividades de la organización bajo estudio.

Como ya se mencionó previamente, en este documento se identifican los procesos esenciales para la generación de energía, así como su secuencia e interacción con el objetivo de satisfacer los requisitos del cliente y de las partes interesadas (esto es, la estructura de procesos expuesta en el apartado 11.6. J ), mismos que se en listan a continuación:

• Atención al cliente y partes interesadas • Alta dirección • Desarrollo del capital humano • Finanzas • Suministro de bienes y servicios • Producción • Mantenimiento • Comunicación • Medición, análisis y mejora

De los anteriores, el MASI contribuirá principalmente a mejorar el relativo a mantenimiento, ya que en éste se determina, proporciona y mantiene la infraestmctura tecnológica para la generación de energía eléctrica, incluyendo entre otros los equipos ele comunicación. Esto es, brindar seguridad a la red interna de la SDG, contribuirá a conservar y/o mejorar su operación.

No obstante, también aportará a otros procesos como el de comunicación, ya que éste tiene como objetivo contar con un sistema de comunicación interno, que asegure que el personal de todos los niveles de la organización esté informado y comunicado entre sí (incJuye medios electrónicos).

En este documento también se exponen otros datos ele interés relativos al perfil de la SDG, tales como su ubicación geográfica, producto, cliente, partes interesadas, estructura orgánica funcional

69

Capítulo 111: Identificación de requerimientos de seguridad del MASI

y cadena de valor en la que participa dentro del proceso de suministro de energía eléctrica, algunos de los cuales fueron expuestos en el apartado Il.6.1.

III.3.3 Plan estratégico (PE) de la SDG 2006-2011

En este documento se establecen aspectos de gran importancia para la SDG, tales como su m1s1on, v1s1on, objetivos estratégicos, valores organizacionales, fortalezas, debilidades, oportunidades, amenazas, así como sus líneas estratégicas, actividades clave y los indicadores de desempeño ( con base en los cuales se mide el rendimiento estratégico, táctico y operativo de la SDG).

Los primeros cuatro elementos se conocen como marco estratégico de referencia, de los cuales tres de ellos fueron expuestos en el apartado II.6.1, no así los valores organizacionales, los cuales son: integridad, liderazgo participativo, trabajo en equipo, disciplina, honestidad, espíritu competitivo, responsabilidad, iniciativa, lealtad y respeto. Como parte de las fortalezas de la SDG, a nivel tecnológico se destacan sus redes de comunicación para el desarrollo y la implantación de sistemas inform,íticos y en lo referente a infraestructura sus sistemas de telecomunicación.

En lo referente a líneas estratégicas, la figura JJI.4 enlista las ocho que fueron determinadas en base al diagnóstico interno y externo; así mismo, se determina su relación con los objetivos estratégicos. Para fines de diseño del MASI, el desarrollo de sistemas de información para la toma de decisiones estratégicas tácticas y operativas será el que marcará la pauta, ya que entre otras actividades contempla la elaboración de políticas y normas relativas a TI.

1. Optimización y desarrollo del factor humano

2. Consolidación de los procesos ele operación,

mantenimiento y modernización

3. Desarrollo ele los s istemas ele información para la torna de

dec isiones estratégicas, tiictic<1s y operativas.

4, Fortalecimiento ele la infraestructura físi ca y

tecnológica. 5. Consolidación

presupuesta! y desarro llo de la cultura financiera.

OBJETIVOS ESTRATEGICOS , Mejorar la disponibilidad,

confiabilidad y eficiencia ele las unidades generadoras de energía

eléctrica,

Mejorar el desempeño personal y profesional de

los trnbajadores

La actuación del personal fundamental pa ra la operación las uni,j ades

es L3 organiz;:ición se de fund;:irnent.a en su capital

humano Coadyuva a rnaniener di~ponibilidad, confiabilidad eficiencia térmica dentro

la La actuación del personal es y fundamental para la

del operac ión de las nidades estándar. Asertividad en la toma oe Facil itar y eftc1entar el decisiones operati\'as en centrales desarrollo de las acti,1d;:ides generadoras del personal

Mejorar la confiabilidad de ias instalaciones

La oportuna ,;¡estión de ics recursos materiales

A.ctecuar la actuación de l persona: a la incorporación de tecnoto,;¡ ia

6. Mantenimiento del sistema ,.\ tr;wés cte la aplic.ac ion de Se fundamenta en la integra l de gestión rnultisitio . procedimien os operauvos, se actuación del personal

garantiz3 el logro del o\)jeti vo estrateg,co

Fortalecimiento de los Atencion a la nc,rma ti, 1dad apl icable Ei comportarniemo del programas sociales y y evitar sanciones. cierre o persona! hacia sv entorno.

ambientales. manifestac iones sociales.

Mejorar los procesos administrativos y

técnicos.

L3 ;:iplicación de éstos procesos depende del factor huma~o

Un nieJor desarrollo de estos procesos conlleva a la tema de decisior,es

La cultura fi:ianciera forma parte Ce la m'='Jora de éstos procesos Mediante los procesos de mejora continua. se estanj;;r:za en :odo ei proceso

8. Desarrollo de proyectos Las- luemes alternas mejoran 13 Estos proyectos requieren La meiora en ·es proceso con base en luentes alternas ele eiic,encia de la generación de pers-onal c.:ida ,,ez. mejN pos·t:m:a el ,jes3rr,);lo de

eneración eneraia eléctrica. ca li1icado. éstos pro· ·e ecos

Figura 111. 4 ·- Relación entre ohjetivos y líneas estratégicas !Manual del PEl

70

Capítulo III: ldentilicación de requerimientos de seguridad del MASI

III.4 Análisis de brechas

El siguiente paso del ciclo conforme a la figura III.1, consiste en identificar el nivel de madurez de la SDG en seguridad de la información, respecto a los estándares ISO/IEC 17799 y 2700 l. Esto es, a lo largo de esta sección se llevará a cabo una comparación entre las políticas, normas y procedimientos de seguridad de la información en uso dentro la SDG, contra los requerimientos que marcan los estándares de referencia.

Con la finalidad de favorecer el desarrollo de esta actividad, el análisis de brechas se dividirá en las siguientes etapas:

1. Requerimientos metodológicos (referente a las secciones 4 a la 8 del ISO/IEC 27001) 2. Controles de seguridad (referente a las secciones 5 a la 15 del ISO/IEC 17799)

Es importante señalar que como parte de este análisis, no se pretende llevar a cabo una revisión exhaustiva respecto a las normas citadas, sino más bien una de carácter genérico que permita identificar de forma inicial el estado de la seguridad de la información en la sede de la SDG.

III.4.1 Requerimientos metodológicos

El primer y más importante requisito que marca el estándar, es que la organizac1on debe establecer, implantar, operar, monitorear, revisar, mantener y mejorar un modelo de administración de seguridad de la información documentado, dentro del contexto de sus actividades globales de negocio y los riesgos que enfrenta. En relación a este punto, cabe señalar que la SDG no cuenta con un MASI documentado, lo cual indica que nos encontramos frente a la primera brecha metodológica. Este hecho sustenta la elaboración del trabajo que nos ocupa y reafirma la contribución del mismo a mejorar la seguridad de la información en la sede de la SDG.

En relación al requerimiento de definir una política del MAS], se señaló previamente que éste queda cubierto en su mayoría, por el documento de políticas institucionales de seguridad de la información. No obstante, en él no se establecen los criterios contra los cuales serán evaluados los riesgos (no están claros los criterios de aceptación de riesgos, ni se identifican sus niveles aceptables). Aún más importante es que si bien ya fue aprobado por el grupo directivo, éste no ha sido publicado y comunicado a todos los empleados, ni a grupos de interés externos.

Otro aspecto no presente en la actualidad, es la definición de una metodología de valoración de riesgos, acorde con los requerimientos regulatorios, legales y en seguridad de la información de la organización. Por ende, en el establecimiento del MAS) para la sede de la SDG, es necesario cubrir este requerimiento. Así mismo, se deben establecer los criterios de evaluación de riesgos e identificar sus niveles aceptables.

Tampoco se han identificado los riesgos. Es decir, no se encuentran registrados los recursos y sus respectivas amenazas, ni las vulnerabilidades que pueden explotarlas. Así mismo, no se ha identificado el impacto que tienen sobre los recursos, la pérdida de confidencialidad, integridad y disponibilidad.

71

Capítulo III: Identificación de requerimientos de seguridad uel MAS!

En consecuencia, no se han analizado y ni evaluado los riesgos. Esto es, no se ha valorado el impacto al negocio que resultaría de una falla en la seguridad, ni se ha determinado su probabilidad de ocurrencia. Del mismo modo, no se han estimado los niveles de riesgo, ni se ha determinado si los riesgos son aceptables.

Por otro lado, no se han identificado ni evaluado las opciones para el tratamiento de riesgos, tales como la aplicación de controles, aceptación objetiva y en conocimiento, evasión y transferencia a otros organismos.

En relación al requisito de selección de objetivos de control y sus respectivos controles, llama la atención que en el documento de políticas institucionales de seguridad de la información, se identifican los controles cubiertos por cada política, no obstante no se encontró evidencia de que estos respondan a un requerimiento identificado mediante un proceso de valoración y tratamiento de riesgos.

También se observa que no se cuenta con la aprobación de los directivos para los riesgos residuales, ni para implantar y operar un MASI. Destaca sobremanera, que no se cuenta con un documento de declaración de aplicabilidad, que incluya las razones por las que fueron elegidos los objetivos y controles, aquellos que actualmente se encuentran implantados, así como los que fueron excluidos y su justificación correspondiente.

Finalmente, no se formula un plan de tratamiento de riesgos, que identifique las acciones administrativas apropiadas, recursos, responsabilidades y prioridades para la administración de riesgos de seguridad de la información.

Cabe aclarar que el resto de los requerimientos marcados por la nonna lSO/IEC 27001, no se consideran en el análisis de brechas de este apartado, en virtud de que la implantación, operación, monitoreo, revisión, mantenimiento y mejora del MASI están fuera del alcance de este trabajo.

111.4.2 Requerimientos en controles de seguridad

El primer hecho a destacar, es que si bien la organización bajo estudio cuenta con un documento de políticas institucionales de seguridad y dentro de él se establece su revisión al menos cada dos años ( o cuando sea necesario), no se cumplen todos los requisitos que marca la norma ISO/IEC 17799 en su inciso 5.1 [IS0/1-05]. Por ejemplo, no se define el objetivo de control, la estructura de valoración y administración de riesgos (ya observada previamente), ni se establece la participación del grupo directivo en las revisiones periódicas. Una vez aclarado lo anterior, a continuación se analizarán los controles de seguridad expuestos en el manual de PISI, conforme a su orden de aparición.

Se definen controles para organizar la seguridad de la información, correspondientes a los incisos 6.1. l, 6.1.2 y 6.1.3 [IS0/1-05]. No obstante, no se establece el objetivo de control y se plantea incorrectamente el control relativo al compromiso del grupo directivo con la seguridad de información. También destaca el hecho de que la mayoría de los roles y equipos de trabajo definidos, en la práctica no se encuentran en funcionamiento, en virtud de que aún no se han hecho los nombramientos respectivos.

72

Capítulo Ill: ldenlificación de requerimientos de seguridad del MASI

Se establece un control para la clasificación de información, relativo al inciso 7.2. 1 [IS0/1-05]. Dentro de éste, se hace referencia al etiquetado de la información, que corresponde un control distinto dentro del ISO/IEC 17799 (apartado 7.2.2) y no cumple con la guía de implantación correspondiente. Así mismo, hay que señalar que nuevamente se omite el objetivo de control, además de que aún no está disponible la guía asociada de clasificación y valuación de la información, la cual es de gran importancia ya que en ella se clasifican los dispositivos que transmiten información (router, switch, entre otros).

Se establecen dos controles de administración de riesgos, uno de los cuales ya fue expuesto en la sección de organización de la seguridad de información. El otro no está definido como tal en la norma ISO/IEC 17799, pero corresponde parcialmente al tercer requisito de implantación marcado en el estándar ISO/IEC 27001. Esto es, si bien se hacen menciones referentes a la metodología de valoración y aceptación de riesgos, no se desarrollan a detalle conforme a lo requerido. Por otro lado, no se incluye el objetivo de control, ni están disponibles los tres procedimientos asociados a esta política.

Se establecen nueve controles de seguridad relativos a la administración de incidentes de seguridad. Primeramente se debe aclarar, que la norma BS7799-2:2002 en la cual está basado el documento de políticas institucionales de seguridad, no cuenta con una sección dedicada a este tipo de controles, por lo cual estos fueron seleccionados de otros cuatro apartados que no se enfocan al tema. Al respecto hay que señalar, que la norma ISO/IEC 17799 dedica la sección 13 [IS0/1-05] a este asunto, por lo que si se demuestra la necesidad de este tipo de controles, deberán ser elegidos de entre los incisos 13.1.1, 13.1.2, 13.2.1, 13.2.2 y 13.2.3. Adicionalmente, se omiten los objetivos de control y no se cuentan con los tres procedimientos a los que se hace referencia.

Se exponen seis controles sobre seguridad del personal, de los cuales cuatro corresponden a los incisos 8.1.1, 8.1.3, 8.2.2 y 8.2.3 [ISO/ 1-05]. Se observa que los dos controles restantes no corresponden a la norma ISO/IEC 17799, por lo que si se determina la necesidad de incorporar controles relativos a este tema, sería recomendable su elección de aquellos propuestos en el apartado 8. 1. Nuevamente, no se incorpora el objetivo de control correspondiente.

Se proponen ocho controles sobre el monitoreo de seguridad. Nuevamente no existe una coJTespondencia directa con la nonna de referencia, sino que los controles fueron seleccionados de tres apartados distintos. Algunos de los controles se repiten de políticas anteriores y como era de esperarse no se definen los objetivos de control.

La siguiente política se refiere a la seguridad física y del entorno, misma que cubre nueve controles de seguridad, correspondientes a los incisos 9.1.1, 9.1.2, 9.1.3, 9.1.5, 9.2.1, 9.2.2, 9.2.3 y 9.2.4 (IS0/1-05]. El control referente a escritorio y pantalla limpia, no coJTesponde al mismo apa11ado dentro del ISO/IEC 17799, sino al de responsabilidad del usuario, inciso 11.3.3. En primera instancia, se considera que esta política será de gran relevancia para fines del diseño del MASI para la sede de la SDG. No obstante hace falla definir el ohjetivo de control y elaborar cuatro de los documentos asociados, ya que a la fecha nada más uno de los cinco está disponible.

73


Se trata la protección de redes internas a través de once controles de seguridad de tres distintos apartados de la norma BS7799-2:2002. Si bien la mayoría tiene una correspondencia con incisos del ISO/IEC 17799, los referentes a seguridad en servicios de red y aislamiento de sistemas sensibles no fueron encontrados. Conforme a los alcances definidos para el MASI, todo indica que esta política será de gran importancia para su integración. No obstante, hacen falta los nueve documentos asociados a los que se hace referencia, así como las políticas de control correspondientes, entre los cuales se destacan los procedimientos de administración de usuarios de red y de redes inalámbricas.

El apartado de protección de redes externas, plantea el uso de siete controles de seguridad, correspondientes a los apartados de organización de la seguridad, administración de operaciones y comunicaciones, así como de control de accesos del estándar BS7799-2 :2002. Dados los alcances definidos para el MASI, queda claro que esla política difícilmente puede se de utilidad. No obstante para fines de mejora del documento de políticas institucionales de seguridad de la información, se recomienda definir los objetivos de control y elaborar y publicar los nueve documentos asociados.

Se definen ocho controles de seguridad referentes a seguridad con terceros, correspondientes a cuatro diferentes dominios de la norma BS7799-2:2002. Al respecto, se considera que el procedimiento para acceso a terceros a servicios institucionales podría ser de utilidad para fines de MASI, no obstante este documento y los otros tres asociados a esta polílica, no cslán aún disponibles. Del mismo modo, hacen falta definir las políticas de control.

Se plantea una política de respaldo y borrado de la información, la cual establece cinco controles de seguridad, de cuatro distintos apartados del BS7799-2:2002. Se verificó que tampoco existe una correspondencia directa con un dominio del ISO/IEC 17799. Como en casos anteriores, no se establecen las políticas de control y se detectó que no están disponibles los tres procedimientos a los que se hace referencia.

Se establece una política de protección contra virus y código malicioso, del cual se derivan dos controles de seguridad, correspondientes a los incisos 10.4.1 y 10.8.4 [IS0/1-05]. Este apartado puede ser de gran utilidad para el desarrollo del MASI, ya que considera el impacto de este tipo de incidentes en las redes de telecomunicación. Faltaría establecer el objetivo de control y los tres procedimientos a los que se hace referencia.

Se platean siete controles de seguridad, relativos a la autenticación y control de accesos. Estos conesponden a los incisos 11.1.1, 11.2.1, J 1.2.2, 11.2.4, 11.4.2, J 1.5.2 y J 1 .6. 1 [IS0/1-05). En primera instancia, parece que esta política puede ser incorporada al MASI, en lo que compete a redes de Lelecomunicación. No obstante, está pendiente definir cJ objetivo de control y contar con los diez procedimientos asociados a este asunto.

Se establecen seis controles de seguridad, en relación a la política de administración de usuarios y contraseñas. De éstos, dos son repetidos respecto a los expuestos en el apartado previo. Se expone un estándar de contraseñas para de administradores de TI, que puede ser de utilidad más adelante. Como en casos anteriores, se detecta que no está establecido el objetivo de control y faltan los siete procedimientos asociados.

74

Capítulo III: Identificación de requerimientos de seguridad del MAS!

La política de protección de equipos de cómputo, incorpora siete controles de seguridad, de dos distintos dominios de la norma BS7799-2:2002. Se observa que nuevamente se repiten algunos de estos respecto a políticas anteriores, falta definir los objetivos de control y que no están disponibles los seis documentos asociados. A reserva de los resultados de la valoración de riesgos, existen elementos de esta política que pueden ser de utilidad.

Se cuenta con una política de equipos de cómputo portátiles, en la cual se establecen dos controles de seguridad correspondientes a dos diferentes dominios del estándar BS7799-2:2002. De estos, el relativo a control de acceso para equipo de cómputo móvil resulta de gran interés, ya que en la SDG éste suele ser a través de la red inalámbrica. Sin embargo, faltaría definir la política de control y contar con los cuatro procedimientos asociados, especialmente el referente a configuración de redes inalámbricas.

Se propone una política de cifrado de datos, misma que establece un control de seguridad, correspondiente al inciso 12.3.1 [IS0/1-05]. Al respecto de este tema, se observa que en principio no es aplicable al MASI, no obstante para fines de mejora del documento de políticas, faltaría definir el objetivo de control y elaborar los siete procedimientos a los que se hace referencia.

Se plantean trece controles de seguridad, relativos al desarrollo y manternm1ento de sistemas. Sobre estos, se debe observar que no guardan una gran relación con el tema seleccionado para el MASI. Sin embargo, a manera de recomendación para mejorar el funcionamiento de esta política, haría falta incluir los objetivos de control y contar con los cuatro documentos a los que se hace referencia.

Se expone una política de licenciamiento de software, la cual tiene asociado un control de seguridad que corresponde al inciso 15.1.2 [IS0/1-05]. Este punto a cobrado relevancia recientemente en la SDG, a raíz de la incorporación de la telefonía IP, por lo que pudieran incorporarse algunos aspectos al MASI. Falta definir el objetivo de control y la elaboración de los dos procedimientos asociados.

Se expone una política referente a la publicación de servicios de Internet, la cual plantea dos controles de seguridad. Hay poco que comentar sobre este tema, sólo que se requiere el objetivo de control, así como los dos procedimientos a los que hace referencia.

La política de uso de Internet, tiene un gran impacto sobre las redes de telecomunicación y plantea un control de seguridad correspondiente al inciso 10.9.3 [IS0/1-05], no obstante éste se repite con respecto a la política expuesta con anterioridad. Esta pendiente definir el objetivo de seguridad, sin embargo ya se está formalizado y publicado el documento asociado.

Se propone una política de administración de la continuidad, la cual incorpora dos controles de seguridad, relativos a los incisos 14.1.1 y 14.1.4 (lS0/1-05]. Sobre este tema, hay que señalar que hace falta el objetivo de control, además de los cincos documentos asociados.

75

Capítulo 111: Identificación de requerimientos de seguridad del MASI

Se plantean tres controles de seguridad, sobre el dominio de cumplimiento. Estos corresponden a los incisos 15.1.1, 15.2.1 y I 5.2.2 [IS0/1-05]. Esta política no cuenta con documentos asociados, no obs-tante falta definir los objetivos de control.

Sólo resta comentar, que de forma general se observa que las políticas con las que se cuentan actualmente, abarcan un amplio rango de aspectos de seguridad, no obstante se desconoce bajo qué criterio fueron seleccionados los controles de seguridad. Así mismo, en todos los casos hace falta establecer los objetivos de control respectivos. Por otro lado, no se cuenta con la mayoría de los documentos anexos a los que se hace referencia, por lo que hace falta dedicar un gran esfuerzo a este respecto.

IIl.5 Metodología de análisis de riesgos y criterio de aceptación

Tal y como se mencionó a principios de este capítulo, antes de llevar a cabo un análisis de riesgos, es necesario contar con una estrategia para este fin (ver figura III.1 ). Esto es, se debe seleccionar un método de análisis de riesgos acorde a las características y necesidades de la organización correspondiente. Al respecto, el estándar ISO/TEC 17799 [ISO/ 1-05] recomienda seleccionar alguna de las cuatro metodologías, que se exponen en el documento ISO/IEC TR 13335-3 'Techniques for the Management of IT Security" [IS0-98]. Para dicho fin, a continuación se expondrán los atributos más destacados de cada una de estas opciones, con la finalidad de elegir aquella que sea más adecuada para fines de su incorporación al MASI de la sede de la SDG.

La primera alternativa se conoce como aproximacmn básica y propone que una organizac,on puede aplicar un nivel de seguridad básico a todos los sistemas de TI, mediante la selección de controles de seguridad estándares, como aquellos que ofrece el ISO/IEC 17799. Esta opción ofrece las siguientes ventajas:

• Se requiere de un mínimo de recursos para el análisis de riesgos y la administración de la implantación de cada uno de los controles de seguridad.

• Ofrecen una solución efectiva en costo, ya que se adoptan los mismos o similares controles de seguridad para muchos sistemas.

Las desventajas de esta opción son:

• Si el nivel básico se fija muy alto, habrá un nivel excesivo de seguridad en algunos sistemas de TI.

• Si el nivel básico se fija muy bajo, habrá una falta de seguridad en algunos sistemas de TI, que resultará en un mayor nivel de exposición.

Esta opción de análisis de riesgos es la más efectiva en costo, si todos los sistemas de TI de la organización requieren de un nivel básico y uniforme de seguridad. Sin embargo, si los sistemas org.mizacionales varían en impacto al negocio, tamaño y complejidad, no será una elección lógica ni efectiva en costo.

76


La segunda alternativa lleva el nombre de aproximación informal y consiste en llevar a cabo un análisis de riesgos pragmático. Esto es, no está basado en métodos estructurados, sino que recurre al conocimiento y experiencia de los individuos.

Este método tiene la siguiente ventaja:

• Normalmente no requiere de muchos recursos o tiempo para llevarlo a cabo.

Sin embargo tiene un gran número de desventajas:

• Existe una alta probabilidad de omitir detalles importantes. • Se dificulta justificar la implantación de los controles de seguridad. • Esta tarea se complica si los individuos tienen poca experiencia en análisis de riesgos. • Se corre el riesgo de elegir controles basados en vulnerabilidades más que en amenazas. • Se introduce un grado de subjetividad. • Los problemas se acentúan si las personas que llevan a cabo el análisis dejan la organización.

Con base en las desventajas planteadas, esta alternativa no representa una aproximación efectiva para la mayoría de las organizaciones.

La tercera opción plantea llevar a cabo un análisis de riesgos detallado para todos los sistemas de TI de la organización. Esto implica una identificación y valoración detallada de los recursos, así como la valoración de amenazas y vulnerabilidades respectivas (ver figura 111.5). El resultado de estas actividades se emplea para valorar los riesgos, con base en lo cual se eligen los controles de seguridad.

Valoración da amenazas

Vafmaoon de~

Figura 111. 5 - Análisis de riesgos detallado [Adaptado de IS0-98]

Las ventajas de esta aproximación son:

• Es muy probable que se identifiquen controles de seguridad adecuados para cada sistema. • Los resultados del análisis pueden emplearse en la administración de cambios de seguridad.

77

Capítulo III: ldentilicación de requerimientos de seguridad del MASI

Las desventajas de este método, son:

• Requiere de una cantidad considerable de tiempo, esfuerzo y pericia para obtener resultados. • Existe la posibilidad de que las necesidades de seguridad de un sistema crítico, sean atendidas

demasiado tarde por el tiempo requerido para llevar a cabo el análisis.

Lo anterior sugiere, que no es recomendable llevar a cabo un análisis de riesgos detallado para todos los sistemas de TI.

La cuarta opción es la aproximación combinada y se fundamenta en conducir un análisis inicial de riesgos de alto nivel para todos los sistemas de TI, en cada caso concentrándose en su valor para el negocio y los riesgos a los que está expuesto. Para aquellos sistemas de TI identificados como de gran importancia para la organización y/o expuestos a altos riesgos, se debe conducir un análisis de riesgos detallado en orden de prioridad. Este enfoque ofrece un buen balance entre minimizar el tiempo y esfuerzo requerido para identificar controles de seguridad adecuados y asegurar que los sistemas de alto riesgo sean protegidos apropiadamente.

Adicionalmente ofrece las siguientes ventajas:

• Favorece la aceptación del programa de análisis de riesgos. • Permite construir rápidamente un mapa estratégico del programa de seguridad organizacional. • Los recursos (incluyendo el dinero), se pueden aplicar donde sean más benéficos. • Las acciones de seguimiento serán más exitosas.

Su única desventaja potencial es:

• Ya que el análisis de alto nivel es menos preciso, existe la posibilidad de que se pasen por alto algunos sistemas que requieren de un análisis de riesgos detallado.

Esta alternativa, ofrece a la mayoría de las organizaciones la forma más efectiva de llevar a cabo un análisis de riesgos.

Tomando en consideración las ventajas y desventajas de las distintas metodologías, así como las características y necesidades de la organización bajo estudio, se determina que se empleará una aproximación combinada para llevar a cabo el análisis de riesgos. A continuación se exponen las razones principales para esta elección:

• Dado el gran tamaño y naturaleza de la organización bajo estudio, sus sistemas de TI varían en impacto al negocio, tamaño y complejidad, por lo cual no es adecuada una aproximación básica de análisis de riesgos.

• Debido a la alta probabilidad de omitir detalles, el grado de subjetividad que se introduce y la poca experiencia en el análisis de riesgos, no es adecuado hacer uso de una aproximación informal.

• En vi11ud de la gran cantidad de recursos de TI existentes en la sede de la SDG, se requiere una cantidad considerable de tiempo, esfuerzo y pericia para obtener resultados mediante un análisis de riesgos detallado, por lo cual está opción queda fuera del alcance y condiciones establecidas para el desarrollo de este trabajo.

78

Capítulo 111: Identificación de requerimientos de seguridad del MAS!

• La aproximación combinada permitirá identificar los controles de seguridad más adecuados, minimizando el tiempo y esfuerzo, asegurando que los sistemas de alto riesgo sean protegidos correctamente.

Una vez definida la metodología de análisis de riesgos que será empleada, es necesario establecer los criterios para aceptar riesgos e identificar sus niveles aceptables. Para dicho fin, se aludirán a los resultados de la encuesta de Brechas de Seguridad de la Información de 2006 presentados en la figura 1.3 [PWC-06], así como al registro de incidentes de seguridad de la SDG durante el 2006. La encuesta señala que el costo total promedio, del peor incidente de seguridad en las grandes organizaciones, asciende a f90,000 (equivalente a $1,935,000.00 pesos en M.N. con un tipo de cambio: l f = 21.5 pesos). Con base en lo anterior, se estableció una escala riesgos (tabla III. l ), donde se asocia a cada nivel un costo total a la organización por incidente de seguridad.

Nivel Costo Total Riesgo 15 $1,935,000.00 14 $1,806,000.00 13 $1,677,000.00 12 $1,548,000.00 11 $1,419,000.00 10 $1,290,000.00 9 $1,161,000.00 8 $1,032,000.00 7 $903,000.00 6 $774,000.00 5 $645,000.00 4 $516,000.00 3 $387,000.00 2 $258,000.00 1 $129,000.00 o $0.00

Tabla 111. 1 - Niveles de riesgo

Para fines de la organización bajo estudio, en primera instancia se considerarán como riesgos aceptables:

• Aquellos cuyo nivel sea igual o menor a uno. • Los asociados a recursos que acorde con el análisis de riesgos de alto nivel, sean adecuados

para un enfoque básico.

En caso de que en el análisis detallado se identifiquen riesgos con niveles mayores a uno, se deber.'í valorar si su costo de tratamiento es conveniente para la organización. Esto es, se llevará a cabo un análisis costo-beneficio, que tome en consideración la escala de niveles de riesgo, el número de incidentes registrados en la SDG durante el 2006 y el costo de aplicación de los controles apropiados. En base a los resultados que se obtengan, se elegirá alguna de las siguientes opciones relativas al tratamiento de riesgos:

• Aplicar controles apropiados para reducir el riesgo. • Aceptar los riesgos de forma objetiva y en el entendido de que satisfacen la política y el

criterio organizacional de aceptación de riesgos.

79


• Evitar riesgos no permitiendo acciones que causen que ocurra el riesgo. • Transferir el riesgo asociado a terceros, como aseguradoras o proveedores.

111.6 Identificación y valoración de recursos

Tal y como se estableció en la sección III.2, dentro del alcance del MASI se propuso clasificar los recursos relativos a la red interna de telecomunicación, de la siguiente forma:

• Equipamiento • Personal • Instalaciones

Una vez establecido el límite de revisión, se continuará con la identificación de recursos de la red interna. Para dicho fin, además de asignarle un nombre a cada recurso, recabar sus características más significativas y clasificarlo de acuerdo al criterio establecido, se identificarán los dos factores siguientes, dado que pueden influir en las medidas de seguridad a tomar:

Funcionalidad para la organización: Considera los lineamientos estratégicos y de negocio, señalados en los documentos de planeación estratégica y manual del sistema integral de gestión.

Ubicación dentro del edificio de la sede de la SDG: Normalmente los recursos suelen residir en una ubicación en particular, por lo que el conocer su ubicación nos permite identificar algunas de sus amenazas.

Nombre del Recurso Características Funciones Ubicación Tipo

Switch principal Enlerasys Matrix N7 Interconectar las seis pilas de switches Srtedell de acceso y direccionar paquetes de

Equipamiento datos a otras redes de la insrnución

Switches de acceso Enlerasys SecureSlack C2 Proveer acceso alámbrico a la red Una pila en cada closet de Equipamiento

interna de la SDG a los usuarios telecomunicación Ruleador telefonía Cisco 3745 Interconectar las redes de datos y Site de 11

Equipamiento telefonía de la SDG

Ruteador satelital ND Satcom IDU 5000 Direccionar paquetes de dalos a través Srte de TI de la red satelrtal de la SDG hacia su Equipamiento destino

IDS/IPS Enterasys Dragon Gigabrt Delectar y prevenor inlrusos en la red Site de 11 Equipamiento

interna de la SDG Puntos de acceso inalámbrico Cisco Aironet 1200 Proveer acceso inalámbrico a la red Un equipo en cada closel de

Equipanuento interna de la SDG a los usuarios lelecomunicación

Servidor de seguridad Enterasys Netsight Alias Administrar los switches y sus Site de 11 respectivas poli!icas, ubicar fuentes de

Equipamiento ataques y aplicar acciones contra intrusos.

Servidor de autentificación Microsofl Internet Aulhent,cation Autentificar usarios al accesar a la red Site de ll Equ,pam,ento

Service interna de la SDG

Cableado estructurado Horizontal (FTP CAT 5) y Vertical Transportar señales entre el srte de TI, Horizontal (trescientos cables por (libra óptica munimodo 50/125) los closets de telecomunicación y las closet de Telecomunicación) y Vertical

Equipamiento roselas de usuario (un cable de dos pares por closel de

Telecomunicación) Personal Telecomunicaciones Profesionislas y técnicos en Manlenimienlo y operación de la red Regutarmenle en Planta Baja, Ata 1

Personal Telecomunicaciones interna de la SDG

Sile de TI Cuarto de equipos y MDF Albergar al equipo de 11 que da servrcio Planta Ba¡a, Ata 1 a los usuarios dentro del edificio de la lnslalaciones SDG

Ciaseis de Telecomunicación IDF's y racks para switches de Albergar equipos de Telecomunicaciones Planla Baja (Ala O y 1 ). Planla acceso e interconectar el cableado horizonlal y Principal (Ala O y 1 ), Planla Alta (Ala O lnslalac1ones

ver1ical IV 1)

Tabla IJI. 2 - ldcnllficac1ón de recursos

80

Capílulo lll: Identificación de requerimientos de seguridad del MAS!

La tabla lll.2 muestra los recursos identificados en la red interna, con sus respectivas variables agrupadas por columnas.

El siguiente paso acorde con la metodología de aproximación combinada, es llevar a cabo un análisis de riesgos de alto nivel, que nos permita identificar qué aproximación es más indicada para cada recurso (análisis de riesgos básico o detallado). Es decir, si el objetivo del recurso es muy importante para la conducción del negocio de una organización, su costo de reemplazo es alto o pone en alto riesgo el valor de otros recursos, entonces se debe llevar a cabo un análisis de riesgos detallado para dicho recurso. En caso de que no se cumpla cualquiera de estas condiciones, la aplicación de una aproximación básica proveerá una protección apropiada.

¿Pone en alto

Nombre del Recurso Tipo ¿Muy importante ¿Valor de riesgo valor de Aproximación de para el negocio? reemplazo alto? otros recursos? Análisis

Switch principal Eauipamiento sí sí sí Detallado Switches de acceso Eauipamiento no no sí Detallado Ruteador telelonía Eauipamiento sí no no Detallado Ruteador satelilal Eauipamiento sí no sí Detallado IDS/IPS Eauipamiento no sí no Detallado Puntos de acceso inalámbrico Eauipamiento no no sí Detallado Servidor de seauridad Eauipamiento no no no Básico Servidor de autentificación Eauipamiento no no no Básico Cableado estructurado Eauipamiento no no no Básico Personal Telecomunicaciones Personal sí sí sí Detallado Site de TI Instalaciones sí sí sí Detallado Closets Telecomunicaciones Instalaciones no no no Básico

Tabla 111. 3 - Análisis de riesgos de allo nivel

La tabla lll.3, sintetiza los resultados del análisis de riesgos de alto nivel, destacando que se llevará a cabo una revisión detallada para dos terceras partes de los recursos y el resto serán analizados bajo un esquema básico.

Una vez identificados aquellos recursos que serán sometidos a un análisis de riesgos detallado, se deben valorar y establecer dependencias entre los mismos. La valoración de recursos, consiste en la representación de la importancia de estos para fines del negocio de la organización. Su valor será expresado en términos del costo para su obtención y reemplazo, así como de su potencia] impacto adverso al negocio por la pérdida de confidencialidad, integridad y disponibilidad. Para dicho fin, se hará uso de una escala cualitativa confonnc a la siguiente escala: despreciable, muy bajo, bajo, medio bajo, medio alto, alto, muy alto y crítico. Ésta permitirá definir el orden en que se llevar.1 a cabo el análisis de riesgos, así como idcnlificar el nivel de protección y la cantidad de presupuesto que la organización debe dedicar a su protección.

Por otro lado, el establecimiento de dependencias entre recursos, facilitará la identificación de amenazas relevantes y vulnerabilidades particulares. También será de ayuda para garantizar que sea asignado a los recursos su verdadero valor (a través de relaciones de dependencia) y por ende para asegurar un nivel apropiado de protección. La tabla III.4 muestra los resultados de la valoración e identificación de dependencias de los recursos bajo estudio.

81

Capítulo IJI: klentilicación de requerimientos de seguridad del MASI

Identificador Nombre del Recurso Tipo Dependencias Valor ·1 Switch principal Equipamiento 7,8 Alto 2 Switches de acceso Equipamiento 1,7 Medio Bajo 3 Ruteador telefonía Equipamiento 1,7,8 Muy Bajo 4 Ruteador satelital Equipamiento 1,7,8 Medio Alto 5 IDS/IPS Equipamiento 1,7,8 Despreciable 6 Puntos de acceso inalámbrico Equipamiento 1,2,7 Baio 7 Personal Telecomunicaciones Personal Crítico 8 Site de TI Instalaciones 7 Muy alto

Tabla 111. 4 - Valoración y dependencia de recursos

111. 7 Identificación y valoración de amenazas

Una amenaza se refiere al potencial de explotar una vulnerabilidad y dañar un sistema de TI, así como a los recursos que lo componen. Las amenazas pueden ser de origen ambiental o humano, dividiéndose estas últimas a su vez en accidentales (acciones no intencionadas) y deliberadas (acciones intencionadas). Algunos ejemplos de amenazas comunes son:

• • • • • • •

errores y om1s1oncs, fraude y robo, sabotaje de empicados, pérdida ele soporte físico y ele infraestructura, hackers, código malicioso, espionaje industrial.

En este apartado se identifican las fuentes de amenazas para los recursos de red interna bajo estudio y se valora su probabilidad de ocurrencia. Para dicho fin, se aludirán a los resultados ele la encuesta CSI/FBI Crimen Computacional y Seguridad 2006 presentados en la figura 1.2 [CSI-06], así como a la lista de amenazas genéricas propuesta en el Anexo C de la norma ISO/IEC TR 13335-3 [IS0-98]. Así mismo, se hará uso de la escala de la tabla IJJ.5, para valorar el impacto de la ocurrencia de dichas amenazas. Cabe señalar que los valores de pérdidas, corresponden a los de la figura 1.1.

Pérdidas (Millones USD) Impacto 12-15 Muy Alta 9-12 Alta 6-9 Media 3-6 Baja 0-3 Muy Baja

Tabla 111. 5 - Impacto de ocurrencia de amenazas

A continuación se presenta la matriz de amenazas resultante de esta etapa del análisis de riesgos (tabla III.6), la cual consiste en una lista de amenazas identificadas, su tipo e impacto por ocurrencia, así como los recursos que afectan.

82

Capítulo 111: klcntilicación de requerimientos de seguridad del MAS]

Nombre del Recurso Amenaza Tipo Nivel

Personal Telecomunicaciones Error de operación y/o mantenimiento Accidental Muy Baja Escasez de personal Accidental Muy Baja

Site de TI Sabotaje de redes Deliberado Muy Baja Switch principal Acceso no autorizado a la información Deliberado Alta Ruteador satelital Fraude en Telecomunicaciones Deliberado Muy Baja

Switches de acceso Robo de información propietaria Deliberado Media Abuso de acceso a red del personal Deliberado Muy Baja

Puntos de acceso inalámbrico Abuso de la red inalámbrica Deliberado Muy Baja Ruteador telefonía Neqación de servicio (DoS) Deliberado Muy Baja IDS/IPS Contaminación por virus Deliberado Muy Alta

Tabla 111. 6 -Identificación y valoración de amenazas

III.8 Identificación y valoración de vulnerabilidades

Este análisis consiste en la identificación de debilidades en el ambiente físico, organizac1on, procedimientos, personal, administración, hardware, software y equipo de telecomunicaciones, entre otros, que pueden ser explotadas por una amenaza para causar daño en los recursos y el negocio que sopo11an. Adicionalmente se debe valorar su probable nivel de debilidad, es decir, su facilidad de explotación.

Las vulnerabilidades pueden estar relacionadas a propiedades o atributos de los recursos, que pueden ser utilizaJas con un propósito distinto para el que fueron elaborados o adquiridos. La presencia de una vulnerabilidad no causa daño por si misma, ya que debe haber una amenaza presente para explotarla. Una vulnerabilidad que no tiene una amenaza correspondiente, no requiere de la implantación de un control de seguridad, no obstante debe ser reconocida y monitoreada. Es importante señalar, que un control de seguridad mal implantado, con mal funcionamiento o empleado incorrectamente, puede representar en sí mismo una vulnerabilidad. Algunos ejemplos de vulnerabilidades comunes son:

• conexiones desprotegidas, • usuarios mal capacitados, • mala selección y uso de contraseñas, • control de acceso inapropiado, • falta de respaldos de información o software, • ubicación en área susceptible a desastres.

Para llevar a cabo la identificación de vulnerabilidades y valoración de su severidad, se aludirán a diversos repositorios de Internet (tanto gubernamentales, industriales y de hackers), así como a la lista de vulnerabilidades genéricas propuesta en el Anexo D de la nonna ISO/IEC TR 13335-3 [IS0-98]. Así mismo, se hará uso de la escala de la labia 111.7, para valorar la facilidad con que pueden ser explotadas dichas vulnerahilidades.

83

Capítulo lll: Identificación de requerimientos de seguridad del MASI

Métrica (1-5) Severidad 5 Muy Alta 4 Alta 3 Media 2 Baja 1 Muy Baja

Tabla III. 7 - Severidad de vulnerabilidades

Cabe aclarar que para la conformación de la métrica, se tomó en cuenta el cumplimiento de las siguientes condiciones:

• Amplia disponibilidad de información sobre la vulnerabilidad • Alta incidencia de explotación de la vulnerabilidad • Alto impacto al explotar la vulnerabilidad • Gran facilidad de explotación de la vulnerabilidad • Pocas condiciones previas requeridas para explotar la vulnerabilidad

En seguida se presenta la matriz de vulnerabilidades resultante de esta fase del análisis de riesgos (tabla 111.8), la cual consiste en una lista de vulnerabilidades identificadas, el área a la que pertenecen, su nivel de severidad, así como los recursos asociados.

Nombre del Recurso Vulnerabilidad Area Severidad

Personal Telecomunicaciones Capacitación insuficiente o deficiente Personal Baja Ausencia de personal Personal Media

Site de TI Uso inadecuado o descuidado del acceso Infraestructura Media Switch principal Sequridad no diferenciada de aplicaciones críticas Telecomunicaciones Alta Ruteador satelital Administrable vía módem (wardialinq) Telecomunicaciones Muy Baja

Switches de acceso Sequridad no diferenciada de empleados v visitas Telecomunicaciones Baia Presencia de tráfico y servicios indeseables Telecomunicaciones Alta

Puntos de acceso inalámbrico Características de sequridad no habilitadas Telecomunicaciones Media Ruteador telefonía Bloqueo de interface por paquete 1Pv4 Telecomunicaciones Media IDS/IPS Operación en modo de recolección de datos Telecomunicaciones Muy Alta

Tabla III. 8 -Identificación y valoración de vulnerabilidades

III.8 Valoración de riesgos

En esta última etapa del análisis de riesgos, se identifican y valoran los riesgos a los que los sistemas de TI y sus recursos están expuestos, con la finalidad de identificar y seleccionar controles de seguridad apropiados y justificados. Los riesgos se refieren a la probabilidad de que una amenaza se convierta en dañina y son una función de los valores de los recursos en riesgo, la probabilidad de ocurrencia de amenazas que causen un impacto adverso al negocio y la facilidad de explotación de vulnerabilidades por las amenazas identificadas.

Existen diversas fomias de relacionar estos factores; por ejemplo, los valores asignados a los recursos, amenazas y vulnerabilidades pueden ser combinados para obtener una medida del riesgo. No importando la metodología seleccionada para valorar los riesgos, el resultado de esta etapa debe ser una lista de riesgos, medidos con base a su impacto en la confidencialidad, integridad y disponibilidad de los sistemas de TJ considerados. La valoración de nesgos

84

Capítulo IJI: Iuentificación de requerimientos de seguridad del MASI

resultante, ayudará a identificar qué riesgos deben ser atendidos de forma prioritaria, en el proceso de selección de controles de seguridad.

Para llevar a cabo la valoración de riesgos de este apartado, se hará uso de la metodología de matriz con valores predefinidos, expuesta en el anexo E de la norma ISO/IEC TR 13335-3 [IS0-98]. Esto es, el valor de los recursos, así como los niveles de amenaza y vulnerabilidad relativos a estos, se integraron en la tabla 111.9 para identificar por cada combinación, la medida de riesgo en una escala de O a 15 (menor a mayor).

Nivel de Muy Baja (MB) Baja (B) Media (M) Alta (A) Muy Atta (MA)

Amenaza N1ve1 <le

Vulnerabilidad MB B M A MA MB B M A MA MB B M A MA MB B M A MA MB B M A MA

Despreciable o 1 2 3 4 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 Muv Bajo 1 2 3 4 5 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 Baio 2 3 4 5 6 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10

Valor del Medio Bajo 3 4 5 6 7 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 Recurso Medio Alto 4 5 6 7 8 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12

Alto 5 6 7 8 9 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 MuyAllo 6 7 8 9 10 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 Crilico 7 8 9 10 11 8 9 10 11 12 9 10 11 12 13 10 11 12 13 14 11 12 13 14 15

Tabla III. 9 - Matriz con valores predefinidos de riesgos

A continuación se expone la matriz de valoración de riesgos resultante (tabla JII. I O), la cual consiste en la lista de amenazas identificadas y de recursos asociados, el valor de los mismos, así como los niveles de amenaza, vulnerabilidad y riesgo. Destaca el hecho de que el riesgo más apremiante, es que se presente un acceso no autorizado a la información a través del switch principal, con un nivel de 11.

Nombre del Recurso Amenaza Valor Recurso Nivel Amenaza Nivel Nivel

Vulnerabilidad Riesgo

Personal Telecomunicaciones Error de ooeración vio mantenimiento Critico Muv Baja Baja 8 Escasez de personal Crítico Muy Baja Media 9

Site de TI Sabotaie de redes MuvAlto Muv Baia Media 8

Switch principal Acceso no autorizado a la información Alto Alta Alta 11 Ruteador satelital Fraude en Telecomunicaciones Medio Alto Muy Baja Muy Baja 4

Switches de acceso Robo de inlormación propietaria Medio Baio Media Baia 6 Abuso de acceso a red del personal Medio Bajo Muy Baja Alta 6

Puntos de acceso inalámbrico Abuso de la red inalámbrica Bajo Muv Baja Media 4 Ruteador telelonia Neoación de servicio (DoS) Muy Bajo Muy Baja Media 3 IDS/IPS Contaminación oor virus Desoreciable Muv Alta Muv Atta 8

Tahla Ill. 10-- Valoración de riesgos

Por último se ordenan los riesgos identificados con anterioridad, de mayor a menor nivel de riesgo. Lo anterior, no sólo definirá la secuencia en que se identificarán los diversos controles de seguridad en el capítulo IV, sino que además marcará la prioridad referente al tratamiento de riesgos en la organización bajo estudio. Además de mostrar los recursos de red interna ordenados conforme a su nivel de riesgo, la tabla Ill.11 también presenta sus amenazas y vulnerabilidades asociadas, con la finalidad de facilitar el proceso de identificación de controles de seguridad.

85

Capítulo III: Identificación de requerimientos de seguridad del MAS]

Nombre del Recurso Amenaza Vulnerabilidad Nivel Ries110

Swilch principal Acceso no autorizado a la información Sequridad no diferenciada de aplicaciones críticas 11 Personal Telecomunicaciones Escasez de personal Ausencia de personal 9 Personal Telecomunicaciones Error de mantenimiento Capacitación insuficiente o deficiente 8 Sile de TI Sabotaje de redes Uso inadecuado o descuidado del acceso 8 IDS/IPS Contaminación oor virus Operación en modo de recolección de datos 8 Switches de acceso Robo de información Propietaria Seguridad no diferenciada de empleados v visitas 6 Switches de acceso Abuso de acceso a red del personal Presencia de lráfico v servicios indeseables 6 Puntos de acceso inalámbrico Abuso de la red inalámbrica Características de sequridad no habilitadas 4 Ruteador satelital Fraude en Telecomunicaciones Administrable vía módem (wardialinq) 4 Ruteador telefonía Neqación de servicio (DoS) Bloqueo de interface oor paquete 1Pv4 3

Tabla III. 11 - Prioridades en la selección de controles de seguridad

IIl.9 Conclusión

La identificación de requerimientos de seguridad de la información llevada a cabo, representa el punto de partida en la conformación del MASI para la organización bajo estudio. No obstante, su buen desarrollo es esencial para el resto de las fases del modelo, no sólo porque ofrece sentido de orientación en las actividades faltantes, sino porque una mala identificación de requerimientos representa en sí misma un riesgo para la organización. Con la finalidad de evitar caer en este úllimo supuesto, se aluden a las distintas metodologías propuestas por las normas ISO/IEC 17799 [IS0/1-05], ISO/IEC 27001 [IS0/2-05] e ISO/IEC TR 13335-3 [IS0-98], destacando el análisis de riesgos combinado, por su importancia para la construcción de este capítulo.

De este modo, de forma inicial se llevó a cabo la definición del alcance del MASI, donde como puntos destacados se acotaron los pasos del ciclo ISO/IEC 17799, el área de la organización bajo estudio y los recursos de TI que formarán parte de este estudio. Al respecto, destaca que no se consideran la implantación de los controles de seguridad, la incorporación de áreas distintas a la sede de la SDG, recursos de TI que no estén directamente relacionados a la red interna de telecomunicación (equipo, instalaciones y personal). Tampoco se consideran políticas ni procedimientos asociados a plataformas de cómputo, aplicaciones y sistemas. No obstante lo anterior, el alcance del MASI puede ser ampliado en revisiones posteriores para incorporar nuevos aspectos de seguridad.

Posteriormente se llevó a cabo una revisión de documentación, que permitiera identificar en que medida está involucrada la organización bajo estudio en cuestiones de seguridad. Al respecto, se observó que existe un gran interés respecto al tema, sin embargo hace falta una mayor difusión de los documenlos respectivos. Por otro lado, este análisis también permite conocer las características más destacadas de la organización bajo estudio, tales como su producto, misión, visión, objetivos, líneas estratégicas, cadena de valor, entre otros, lo cual facilita el cntendimienlo de sus necesidades en materia de seguridad de la información y permite diseñar un MASI acorde con los proceso de la organización.

Como siguiente paso se llevó a cabo un análisis de brechas, el cual consistió en comparar las medias de seguridad en la organización bajo estudio, respecto a las requeridas en las normas ISO/IEC 17799 y 27001. Este apartado se dividió en dos etapas: una metodológica y otra referente a controles de seguridad. Como principal hallazgo de la primera, destacan los hechos de que la organización bajo estudio no cuenta con un MASI, adcmús e.le que no se ha llevado a cabo un análisis e.le riesgos. Referente a la segunda, se observa que si bien se establecen controles

86

Capítulo IJI: Identificación de requerimientos de seguridad del MASI

de seguridad, estos no corresponden a riesgos identificados y valorados, además de que aún no se han implantado.

Finalmente se seleccionó y aplicó una metodología combinada para el análisis de riesgos, cuyo desarrollo consistió en un análisis previo de aJto nivel, seguido de uno detallado para identificar y valorar recursos, amenazas, vulnerabilidades y riesgos. Así mismo, se establecieron los criterios de aceptación de riesgos y de identificación de sus niveles aceptables. Cabe señalar que los resultados obtenidos en esta fase, sientan las bases para el próximo capítulo. Lo anterior, en virtud de que en la etapa de diseño del MASI, una de las actividades sustantivas consistirá en identificar controles de seguridad apropiados y decidir en base a un análisis costo-beneficio, cuáles convienen implantar en la organización para mitigar los riesgos asociados.

87

Capítulo 4: Diseño del MAS) y planificación de su implantación

Capítulo IV Diseño del MASI y planificación de su

implantación

IV .1 Introducción

La escala ele riesgo determinada en el capítulo anterior, será empleada como base para identificar todos los controles ele seguridad necesarios, para una protección adecuada de los recursos de TI. Las vulnerabilidades asociadas a las amenazas, indican donde se requiere de protección adicional y que formas debe tomar. Así mismo, la selección de alternativas debe ser acorde con el costo de implantación de los controles de seguridad. Algunas de las áreas en que son aplicables los controles de seguridad, son:

• ambiente físico, • personal, • administración, • hardware/software, y • equipo de comunicaciones.

Los controles de seguridad existentes o planeados encontrados en el análisis ele brechas y que estén relacionados a los riesgos identificados, deben ser reexaminados en términos de evaluación de costos, incluyendo mantenimiento, con la visión ele removerlos, no implantarlos o mejorarlos si no son los suficientemente efectivos. Es importante señalar, que en algunas ocasiones es más costoso remover un control inapropiado que dejarlo en funcionamiento, por lo que será más conveniente agregar otro control de seguridad.

Para la identificación de controles de seguridad, es conveniente considerar las vulnerabilidades que deben ser protegidas y conocer las amenazas que pueden explotarlas. En general, existen un número de posibilidades para reducir el riesgo, tales como:

• evitar el riesgo, • transferir el riesgo, • reducir las amenazas, • reducir las vulnerabilidades, • reducir los impactos posibles, y • detectar eventos indeseables, reaccionar y recuperarse.

Dependiendo de las circunstancias, alguna de estas posibilidades (o combinación de ellas) resultará la más apropiada.

88

Capítulo 4: Diseño del MASI y planificación de su implantación

Los catálogos de controles seguridad, son de gran ayuda durante la etapa de selección. No obstante, al recurrir a su empleo es importante adaptarlos a las necesidades específicas de la organización. Otro aspecto de gran importancia para la selección de controles de seguridad, es el factor de costo. Esto es, sería incorrecto recomendar controles de seguridad cuya implantación y mantenimiento, sea más costoso que el valor del recurso al que deben proteger, por lo cual se debe llevar a cabo un análisis costo-beneficio. También sería inapropiado recomendar controles de seguridad que excedan el presupuesto que la organización tiene asignado para fines de seguridad.

En la selección de controles de seguridad, siempre debe haber un balance entre controles operacionales (seguridad física, de personal y administrativa) y técnicos. Por otro lado, también se deben considerar los siguientes aspectos:

• facilidad de uso, • transparencia para el usuario, • la ayuda que proveen al usuario en el desempeño de sus funciones, • su fortaleza, y • el tipo de funciones que desempeñan.

Generalmente, un control de seguridad cubrirá más de uno de los requerimientos anteriores. Pero cuando se examine la seguridad en su conjunto o el conjunto de controles de seguridad que serán empicados, se debe mantener un balance entre los distintos requerimientos y de ser posible cumplir con todos. Lo anterior coadyuvará a que la seguridad global sea más eficiente.

Con los requerimientos anteriores en mente, en este capítulo se lleva a cabo el diseño del modelo de administración de seguridad de la información, acorde a las necesidades y características de la organización bajo estudio. Una vez concluida esta sección, se tendrán cubiertos todos los requisitos previos para su implantación, monitoreo y mantenimiento en la SDG. Conforme al ciclo propuesto en el apartado 11.4.3, primeramente se identifican los objetivos y controles de seguridad, se evalúan las opciones de tratamiento de riesgos y se seleccionan aquellos que resulten apropiados para su implantación. En segunda instancia se prepara la declaración de aplicabilidad (SoA), la cual incluye las razones para la selección de controles, además de señalar aquellos que actualmente están implantados. Posteriormente se elaboran las políticas y procedimientos, requeridos para la implantación de los controles de seguridad seleccionados. A continuación, se formula el plan de tratamiento de riesgos, en el cual se identifican las acciones administrativas adecuadas, como recursos, responsabilidades y prioridades para la administración de riesgos de seguridad de la información. Finalmente se proponen algunas herramientas que pueden ser utilizadas para validar la eficacia del MASJ.

IV.2 Identificación de objetivos y controles de seguridad

Para ~~atar de ~o~ma adecuada los riesgos ~dentificados en el capítulo anterior, es indispensable selecc1~nar ohJet1vos y controles de segundad convenientes para Ja organización baio 1 ct· e 1 . 'J es u 10 . . ~n _m,~as_ ~1 ograr. es_te cometido, se Jlevar;í a cabo un análisis que se dividirá en dos fases: 1~lent1ficac1on de obJet,vos y controles de seguridad, y evaluación de opciones d t · :J ncsgos. e ratam1ento e e

89

Capítulo 4: Diseño del MAS! y planificación de su implantación

Para el desarrollo de la primera fase se aludirá al estándar ISO/IEC 17799, con la finalidad de identificar objetivos y controles de seguridad de su catálogo, que en primera instancia pueden ser implantados para la mitigación de riesgos. Cabe observar, que en el caso de que no se encuentre un control de seguridad adecuado en dicho catálogo, ya sea para fines de esta o futuras revisiones del modelo, la norma permite recurrir a otros catálogos, tales como los del ACSI 33 [DSD-06] y el IT- BPM [BSI-04]. La tabla IV.l muestra ]os resultados de este planteamiento, destacando que todos los controles corresponden al estándar de referencia. También es importante acJarar, que la decisión de implantar dichos controles y en que medida, dependerá del análisis costo-beneficio que se llevará a cabo en el próximo apartado.

No. Nombre del Recurso Amenaza Controles 11.1 .1 Política de control de acceso

1 Switch principal Acceso no autorizado a la información 11.4.5 Segregación en redes 11.6.1 Restricción de acceso a la información 6.1.1 Compromiso en seguridad de directivos

2 Personal Telecomunicaciones Escasez de personal 6.1 .3 Reparto de resposabilidades de seguridad 10.1.1 Procedimientos ooerativos documentados 8.2.1 Responsabilidad de directivos

3 Personal Telecomunicaciones Error de mantenimiento 9.2.4 Mantenimiento de equipo 10.1.2 Administración de cambios 9.1.1 Perímetro de seguridad física

4 Site de TI Sabotaje de redes 9.1.2 Controles de entrada física 9.1.5 Trabajo en áreas seguras

5 IDS/IPS Contaminación por virus 10.4.1 Controles de código malicioso 10.10.1 Bitacora de auditoría

6 Switches de acceso Robo de información propietaria 10.6.2 Seguridad de servicios de red 11.4.6 Control de conexión a la red

7 Switches de acceso Abuso de acceso a red del personal 11.4.1 Política de uso de servicios de red

8 Puntos de acceso inalámbrico Abuso de la red inalámbrica 10.6.1 Controles de red 11.7.1 Cómputo y comunicaciones móviles

9 Ruteador satelital Fraude en Telecomunicaciones 11.4.4 Protección de puerto de admón. remota 10 Ruteador telefonía Neqación de servicio (DoS) 12 .6.1 Control de vulnerabilidades técnicas

Tabla IV. I - Identificación de controles de seguridad

IV.3 Evaluación de opciones de tratamiento de riesgos

Para estar en posibilidad de elegir alguna de las opciones de reducción de riesgos, es necesario llevar a cabo un análisis costo-beneficio, relativo a la implantación de los controles de seguridad recién identificados. Con miras a atender este requerimiento, a lo largo de este apartado se llevará a cabo una evaluación económica- financiera de proyectos del tipo incremental, para cada uno de los riesgos identificados. Esto es, se calculará el ahorro por costos evitados a la organización, derivado de equipos, personal e instalaciones enfocados a brindar seguridad a la red interna.

Referente a la integración de costos, se considerará la inversión requerida para la implantación de los controles de seguridad, así como los importes anuales asociados a su operación y mantenimiento. Para lo anterior, se considerarán valores promedio de $220.00 pesos horahombre para personal propio (incluye salario, prestaciones, pensión y capacitación) y $310.00 pesos hora-hombre para personal tercerizado. Para el cálculo de beneficios, se tomará en cuenta el número de incidentes registrados durante el 2006 en la SDG, así como los resultados de las encuestas CSI/FBI Crimen Computacional y Seguridad 2006 [CSl-06] y Brechas de Seguridad de la Información de 2(X)6 [PWC-06), expuestos en el Capítulo 1 de este trabajo.

90


Conforme a lo anterior, se partirá del hecho que en el 2006 se registraron 16 incidentes de seguridad en la SDG, de los cuales se estima que el 84% (ver apartado 1.3.1, referente a grandes organizaciones) fueron maliciosos (esto es, tuvieron un impacto económico en la organización). Por otro lado, el MASI tiene capacidad de tratamiento de 9 de los 19 tipos de incidentes con mayor impacto económico (el 47% de ellos). Partiendo del supuesto de que la ocurrencia de cada ataque es igualmente probable, se considera que en el 2006 se presentaron alrededor de 6 incidentes maliciosos asociados a la red interna, conforme a lo siguiente: (l 6*0.84)(9/J 9) ""'6 Es decir, cada una de las amenazas identificadas, se presenta en promedio cada año con seis meses y 25 días. En función de lo anterior, la tabla III. l pude ser modificada a fin de obtener el costo total anual para la SDG, asociado a cada uno de los incidentes de seguridad en la red interna (ver tabla IV.2).

Nivel Costo Total

Anual Riesqo 15 $1,230,660.00 14 $1,148,616.00 13 $1,066,572.00 12 $984,528.00 11 $902,484.00 10 $820,440.00 9 $738,396.00 8 $656,352.00 7 $574,308.00 6 $492,264.00 5 $410,220.00 4 $328,176.00 3 $246,132.00 2 $164,088.00 1 $82,044.00 o $0.00

Tahla IV. 2 - Costo total anual de riesgos de red interna en la SDG

Con dichos antecedentes en mente, a continuación se llevará a cabo la evaluación de las opciones de tratamiento, para cada uno de riesgos identificados previamente.

IV .3.1 Acceso no autorizado a la información

En relación a este riesgo, se identificaron tres controles de seguridad para su tratamiento. El primero se refiere a la política de control de acceso ( 11.1.1 ), que requiere una inversión de 40 horas-hombre para su establecimiento y documentación, así como de 24 horas-hombre para su revisión anual. El segundo trata de segregación de redes ( 11.4.5), para Jo cual se necesita una inversión de 80 horas-hombre para segregar grupos de usuarios, servicios y sistemas de información, así como 48 horas-hombre para su operación y mantenimiento anual. El último considera la restricción de acceso a la infonnación ( 11.6.1 ), con una inversión de 40 horashombre para habilitar que sólo las localidades y terminales autorizadas, tengan acceso a los sistemas de información confidenciales. Del mismo modo, requiere de 24 horas-hombre anuales para su mantenimiento y operación. La tabla IV.3 muestra las horas-hombre totales asociadas a este riesgo, tanto en inversión como en mantenimiento y operación.

91


Control Inversión Operación y

Mantenimiento 11.1.1 40 24 11.4.5 80 48 11.6.1 40 24

Total (horas-hombre) 160 96 Tabla IV. 3 - Inversión y gastos asociados al nesgo No. 1

Por otro lado, en la tabla IIl.11 se calculó un nivel de riesgo de 11, que corresponde a un costo total anual de riesgo de $902,484.00 pesos. Este valor representará los beneficios relativos a la aplicación del control o bien los costos asociados a la aceptación del riesgo, dependiendo de la opción de tratamiento elegida. También es importante señalar, que para fines de las evaluaciones económico-financieras relativas al acceso no autorizado a la información, así como para el resto de los riesgos identificados, se considerará una duración del proyecto de I O años y una tasa de descuento del I 0%, acordes con la normatividad aplicable a la organización bajo estudio.

Monto de la Gastos

Flujo Neto de Años Periodos Operación y Beneficios

Inversión Mantenimiento

la Inversión

2007 o $0 $0 2008 1 $0 -$902,484 -$902,484 2009 2 $0 -$902,484 -$902,484 2010 3 $0 -$902,484 -$902,484 2011 4 $0 -$902,484 -$902,484 2012 5 $0 -$902,484 -$902,484 2013 6 $0 -$902,484 -$902,484 2014 7 $0 -$902,484 -$902,484 2015 8 $0 -$902,484 -$902,484 2016 9 $0 -$902,484 -$902,484

!Valor Presente Neto -$4,808,660! Tabla IV. 4 - Pérdida asociada a la aceptación del riesgo No. 1

Si se opta por la opción de aceptar el riesgo de forma objetiva, no sería necesario llevar a cabo una inversión, ni gastar en operación y mantenimiento. No obstante, se incurriría en una pérdida anual de $902,484.00 pesos, por la recurrencia del incidente malicioso asociado. La tabla IV.4 muestra el resultado del análisis costo-beneficio respectivo, observándose que en el transcurso de diez años, la pérdida ascendería $4,808,660.00 pesos.

Como segunda alternativa, se podría transferir el riesgo a un proveedor, para lo cual sería necesario una inversión inicial de $49,600.00 pesos y gastos anuales (operación y mantenimiento) por $29,7600.00 pesos. A cambio, la organización bajo estudio ahorraría anualmente $872,724.00 pesos, al tratar el riesgo mediante la aplicación de los controles de seguridad asociados. En la tabla IV.5, se puede corroborar que el ahorro ascendería en total a $4,600,491.00 pesos.

92

Capítulo 4: Diseño del MAS1 y planificación de su implantación

Monto de la Gastos



la Inversión

2007 o -$49,600 -$49,600 2008 1 -$29,760 $902,484 $872,724 2009 2 -$29,760 $902,484 $872,724 2010 3 -$29,760 $902,484 $872,724 2011 4 -$29,760 $902,484 $872,724 2012 5 -$29,760 $902,484 $872,724 2013 6 -$29,760 $902,484 $872,724 2014 7 -$29,760 $902,484 $872,724 2015 8 -$29,760 $902,484 $872,724 2016 9 -$29,760 $902,484 $872,724

!Valor Presente Neto $4,600,491 ! Tahla IV. 5 - Ahorro asociado a la transferencia del riesgo No. 1

Una tercera alternativa, sería aplicar los controles en cuestión con recursos propios de la organización. Esto representaría una inversión inicial de $35,200 pesos y gastos anuales por $21, 120 pesos. Sin emhargo, se tendría un ahorro anual neto por $881,364.00, que tal como se indica en la tabla IV .6, ascendería en total a $4,660,928.00 pesos.

Monto de la Gastos



la Inversión

2007 o -$35,200 -$35,200 2008 1 -$21, 120 $902,484 $881,364 2009 2 -$21, 120 $902,484 $881,364 2010 3 -$21,120 $902,484 $881,364 2011 4 -$21,120 $902,484 $881,364 2012 5 -$21, 120 $902,484 $881,364 2013 6 -$21,120 $902,484 $881,364 2014 7 -$21, 120 $902,484 $881,364 2015 8 -$21, 120 $902,484 $881,364 2016 9 -$21, 120 $902,484 $881,364

!Valor Presente Neto $4,660,928! Tahla IV. 6 -- Ahorro asociado al tratamiento del riesgo No. 1 (recursos propios)

Finalmente, la alternativa de evitar el riesgo en cuestión, no se considera viable para la SDG. Lo anterior, en virtud de 4uc implicaría prohibir el acceso a toda persona (autorizada o no), a la información almacenada en los distintos servidores institucionales, perdiendo así los beneficios asociados al uso de sistemas de información.

Una vez evaluadas las cuatro opciones de tratamiento de riesgos, se concluye que la mejor alternatil'a en el sentido económico~f,nanciero, consiste en aplicar los tres controles de seguridad identificados, con recursos propios de la SDG. Ésta representaría un ahorro a la organizaciún en el transcurso de diez a,'ios, equimlente a $4,660,928 pesos del 2007. Así mismo, significa 1111 costo evitado de $60,437 pesos, sobre la opción de tramferir el riesgo a 1111

proveedor externo (misma lJUe también oji·ece ahorros a la organización). Por otro lado, no se

93


consideran adecuadas la aceptación o evasión del riesgo, por las pérdidas o restricciones que implicarían a la SDG, re!)pectivamente.

IV .3.2 Escasez de personal

Derivado de la revisión del catálogo de controles de seguridad del ISO/IEC 17799, se identificaron tres controles de seguridad asociados a la protección contra este riesgo. El primero de estos, trata del compromiso en seguridad de directivos (6.1.1 ), el cual requiere de 40 horashombre para la contratación de un especialista en redes de telecomunicación (interno o externo, según sea el caso). Así mismo, considera 2,920 horas-hombre relacionadas a su trabajo por un año. También considera un control de reparto de responsabilidades de seguridad (6.1.3), para lo cual se requieren de I 6 horas-hombre, a fin de asignar al personal responsable de cada uno de los recursos de la red interna de telecomunicación. Del mismo modo, se requieren de 8 horas-hombre para su revisión anual. Debido a que la SDG cuenta con poco personal para administrar su red interna de telecomunicación, también es recomendable un control relativo a la documentación de procedimientos operativos ( l 0.1. l ), que permita a los empleados del área responder adecuadamente, ante la ausencia de alguno de ellos. Para este fin, se requieren inicialmente 160 horas-hombre relativas a la preparación de documentos y 40 horas-hombre para su mantenimiento anual. En la tabla IV .7 se puede observar el total de horas-hombre requeridas, asociadas tanto a inversión como a mantenimiento y operación, con la finalidad de atender el riesgo en cuestión.


Mantenimiento 6.1.1 40 2,920 6.1.3 16 8 11.6.1 160 40

Total (horas-hombre) 216 2,968 Tabla IV. 7 - Inversión y gastos asociados al riesgo No. 2

Con la finalidad de llevar a cabo la evaluación económica-financiera de las opciones de tratamiento de este riesgo, se recurrirá al valor de riesgo de 9 calculado previamente, correspondiente a un costo anual total de $738,396.00 pesos. Tal y como se estableció previamente, se tomarán la tasa de descuento y número de periodos, ocupados para el análisis del riesgo anterior.

La alternativa de aceptar el riesgo de forma objetiva, significaría no invertir ni gastar, en la implantación del control de seguridad. Sin embargo, la incidencia del riesgo respectivo causaría a la organización una pérdida anual de $738,396.00 pesos. Lo anterior, representaría una pérdida a valor actual de $3,934,358.00 pesos, considerando un periodo de diez años, tal y como se puede corroborar en la tabla IV.8.

94

Capílulo 4: Diseño del MASI y planificación de su implantación

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 $0 -$738,396 -$738,396 2009 2 $0 -$738,396 -$738,396 2010 3 $0 -$738,396 -$738,396 2011 4 $0 -$738,396 -$738,396 2012 5 $0 -$738,396 -$738,396 2013 6 $0 -$738,396 -$738,396 2014 7 $0 -$738,396 -$738,396 2015 8 $0 -$738,396 -$738,396 2016 9 $0 -$738,396 -$738,396

!Valor Presente Neto -$3,934,358! Tabla IV. 8 - Pérdida asociada a la aceplación del riesgo No. 2

Si en cambio se opta por transferir el riesgo a un proveedor, se requeriría una inversión inicial de $66,960.00 pesos, así como erogaciones anuales de operación y mantenimiento por $920,080.00 pesos. Por otro lado, si bien se obtendrían un beneficio anual de $738,396.00 pesos, se tendrían pérdidas anuales netas de $181,684.00, derivadas de la aplicación de los controles de seguridad respectivos. En base a lo anterior, es posible determinar que bajo estas condiciones, la SDG incurriría en una pérdida equivalente a $1,035,0 I 8.00 pesos del año de inversión, una vez transcurridos diez años ( ver tabla IV. 9).

Monto de la Gastos



la Inversión

2007 o -$66,960 -$66,960 2008 1 -$920,080 $738,396 -$181,684 2009 2 -$920,080 $738,396 -$181,684 2010 3 -$920,080 $738,396 -$181,684 2011 4 -$920,080 $738,396 -$181,684 2012 5 -$920,080 $738,396 -$181 ,684 2013 6 -$920,080 $738,396 -$181,684 2014 7 -$920,080 $738,396 -$181,684 2015 8 -$920,080 $738,396 -$181,684 2016 9 -$920,080 $738,396 -$181,684

!Valor Presente Neto -$1,035,018! Tabla IV. 9 - Pérdida asociada a la transferencia del riesgo No. 2

En caso de elegir la opción de aplicar los controles de seguridad con recursos propios de la SDG, sería necesario invertir $47,520.00 pesos y gastar anualmente $652,960.00 pesos (en operación y mantenimiento). No obstante, tras la aplicación de los controles de seguridad, se tendrían ahorros anuales de $85,436.00 pesos, que a lo largo de diez años representaría un ahorro a valor presente para la SDG, de $407,704.00 pesos. Lo anterior, acorde con el análisis mostrado en la tabla IV.10.

95


Monto de la Gastos



la Inversión

2007 o -$47,520 -$47,520 2008 1 -$652,960 $738,396 $85,436 2009 2 -$652,960 $738,396 $85,436 2010 3 -$652,960 $738,396 $85,436 2011 4 -$652,960 $738,396 $85,436 2012 5 -$652,960 $738,396 $85,436 2013 6 -$652,960 $738,396 $85,436 2014 7 -$652,960 $738,396 $85,436 2015 8 -$652,960 $738,396 $85,436 2016 9 -$652,960 $738,396 $85,436

!Valor Presente Neto $407,704! Tabla IV. 10- Ahorro asociado al tratamiento del riesgo No. 2 (recursos propios)

La opc,on de evitar el riesgo, implicaría reducir significativamente el número de serv1c10s proporcionados en la actualidad por la de red interna de telecomunicación, al grado de prácticamente ya no aportar a la cadena de valor de la SDG. Por Jo anterior, esta alternativa de tratamiento de riesgo no se considera aceptable.

Tras la el'l1luación de las cuatro opciones de tratamiento de riesgos, se concluye que sólo la opciú11 de implantación de controles con recursos propios es razonable para la organización. Esto ya que es la única que representa un ahorro a la organización, el cual asciende a $407,704.00 pesos en diez aíios. las opciones de aceptar o transferir el riesgo a un proveedor, implicarían pérdidas a la SDG y evitar el riesgo, simplemente no resulta factible.

IV.3.3 Error de mantenimiento

A fin de mitigar el riesgo asociado a un error de mantemm1ento de la red interna de telecomunicaciones, se proponen tres controles de seguridad de seguridad del estándar de referencia. Uno de ellos es el de responsabilidad de directivos (8.2.1 ), en lo referente a que deben asegurarse que todos los empleados y contratistas mantengan un nivel de destreza y capacidad apropiado. Si se lleva a cabo con personal propio, este control significaría incrementar el costo a $232.00 pesos hora-hombre, debido a que se adicionaría un curso anual de certificación internacional en TI, a la batería de capacitación del personal que administra la red interna de telecomunicación. Para el caso de personal externo, no habría modificación en el valor definido de $310.00 pesos hora-hombre. Lo anterior, implica recalcular el valor presente neto de la alternativa de implantación de controles con personal propio, asociados a los riesgos I y 2 analizados previamente, así como considerar en los cálculos subsecuentes el nuevo valor. Las tablas IV .11 y IV .12, muestran los nuevos valores de ahorro obtenidos.

96


Monto de la Gastos



la Inversión

2007 o -$37,120 -$37,120 2008 1 -$22,272 $902,484 $880,212 2009 2 -$22,272 $902,484 $880,212 2010 3 -$22,272 $902,484 $880,212 2011 4 -$22,272 $902,484 $880,212 2012 5 -$22,272 $902,484 $880,212 2013 6 -$22,272 $902,484 $880,212 2014 7 -$22,272 $902,484 $880,212 2015 8 -$22,272 $902,484 $880,212 2016 9 -$22,272 $902,484 $880,212

!Valor Presente Neto $4,652,869! Tabla IV. 11 - Nuevo ahorro por tratamiento del riesgo No. 1 (recursos propios)

Se observa que la mejor alternativa para el tratamiento del riesgo No. 1, sigue siendo hacerlo con recursos propios, a diferencia de que el ahorro acumulado de diez años, ahora asciende a $4,652,869.00 pesos. Así mismo, los costos evitados respecto a transferir el riesgo, se reducen a $52,378.00 pesos.

Monto de la Gastos



la Inversión

2007 o -$50, 112 -$50, 112 2008 1 -$688,576 $738,396 $49,820 2009 2 -$688,576 $738,396 $49,820 2010 3 -$688,576 $738,396 $49,820 2011 4 -$688,576 $738,396 $49,820 2012 5 -$688,576 $738,396 $49,820 2013 6 -$688,576 $738,396 $49,820 2014 7 -$688,576 $738,396 $49,820 2015 8 -$688,576 $738,396 $49,820 2016 9 -$688,576 $738,396 $49,820

!Valor Presente Neto $215,341 ! Tabla IV. 12 - Nuevo ahorro por tratamiento del riesgo No. 2 (recursos propios)

En relación al riesgo No. 2, el tratamiento con recursos propios sigue siendo la única opción viable, a diferencia de que el ahorro en diez años disminuirá a $215,341.00 pesos.

Una vez actualizados los resultados y analizado el impacto derivado de la implantación del control 8.2.1 sobre los diez riesgos bajo estudio, toca el turno de revisar el control asociado al mantenimiento de equipo (9.2.4). Éste requiere de 192 horas-hombre anuales, considerando el registro de fallas en bitácora y las actividades asociadas al mantenimiento preventivo y correctivo de los equipos que conforman la red interna de telecomunicación. Así mismo, se considera la implantación de un control de administración de cambios ( 10.1.2), para lo cual se requiere una inversión de 40 horas-hombre en la elaboración del procedimiento y de 24 horas-hombre anuales para su rev1s1on. Del mismo modo, se requieren de 96 horas-hombre anuales para planear, probar, regislrar y comunicar cambios significativos en la red interna de telecomunicación. De

97


esta forma, la tabla IV.13 muestra el total de horas-hombre, tanto en inversión como en gasto de operación y mantenimiento, asociados a los controles propuestos.


Mantenimiento 8.2.1 o o 9.2.4 o 192 10.1.2 40 120

Total (horas-hombre) 40 312 Tabla IV. 13 - Inversión y gastos asociados al riesgo No. 3

Para este riesgo se valoró un nivel de 8, que representa un costo anual total de $656,352.00 pesos, mismo que se tomará en consideración, aunado a la tasa de descuento y número de periodos que marca la normatividad vigente en la SDG, para evaluar la factibilidad de la implantación de los tres controles identificados.

En caso de que se optara por la alternativa de aceptar el riesgo, no sería necesario llevar a cabo una inversión inicial, ni tener gastos anuales de operación y mantenimiento. Sin embargo, tal y como se observa en la tabla IV .14, se incurriría en una pérdida anual de $656,352.00 pesos, que en el transcurso de diez años ascenderían a $3,497,207.00 pesos por errores de mantenimiento.

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 $0 -$656,352 -$656,352 2009 2 $0 -$656,352 -$656,352 2010 3 $0 -$656,352 -$656,352 2011 4 $0 -$656,352 -$656,352 2012 5 $0 -$656,352 -$656,352 2013 6 $0 -$656,352 -$656,352 2014 7 $0 -$656,352 -$656,352 2015 8 $0 -$656,352 -$656,352 2016 9 $0 -$656,352 -$656,352

!Valor Presente Neto -$3,497,207 ! Tabla IV. 14 - Pérdida asociada a la aceptación del riesgo No. 3

En segundo término se evaluará la opción de transferir el riesgo a proveedores. Lo anterior, se traduciría en una inversión de $ J 2,400.00 pesos, así como en gastos anuales de operación y mantenimiento por $96,720.00 pesos. Pero tal y como se puede corroborar en la tabla IV .15, se obtendría a cambio un beneficio anual de $656,352.00 pesos, que al considerar el acumulado de diez años, representaría un ahorro de $2,969,459.00 pesos a la organización bajo estudio, gracias a que se minimizarían los errores de mantenimiento de los equipos que conforman la red interna de telecomunicación.

98


Monto de la Gastos



la Inversión

2007 o -$12,400 -$12,400 2008 1 -$96,720 $656,352 $559,632 2009 2 -$96,720 $656,352 $559,632 2010 3 -$96,720 $656,352 $559,632 2011 4 -$96,720 $656,352 $559,632 2012 5 -$96,720 $656,352 $559,632 2013 6 -$96,720 $656,352 $559,632 2014 7 -$96,720 $656,352 $559,632 2015 8 -$96,720 $656,352 $559,632 2016 9 -$96,720 $656,352 $559,632

!Valor Presente Neto $2,969,459! Tabla IV. 15 - Ahorro asociado a la transferencia del riesgo No. 1

En tercera instancia se evaluará la implantación de los controles, haciendo uso de recursos propios de la SDG. Para dicho fin sería necesario, llevar a cabo una inversión de $9,280.00 pesos e incurrir en gastos anuales de operación y mantenimiento por $72,384.00 pesos. De este modo se obtendría un beneficio anual de $656,352.00 pesos, que tras diez años significarían a la institución un ahorro de $3, l 02,247.00 pesos al no incurrir en errores de mantenimiento (ver tabla IV.16).

Monto de la Gastos



la Inversión

2007 o -$9,280 -$9,280 2008 1 -$72,384 $656,352 $583,968 2009 2 -$72,384 $656,352 $583,968 2010 3 -$72,384 $656,352 $583,968 2011 4 -$72,384 $656,352 $583,968 2012 5 -$72,384 $656,352 $583,968 2013 6 -$72,384 $656,352 $583,968 2014 7 -$72,384 $656,352 $583,968 2015 8 -$72,384 $656,352 $583,968 2016 9 -$72,384 $656,352 $583,968

!Valor Presente Neto $3, 102,247! Tabla IV. 16 - Ahorro asociado al tratamiento del riesgo No. 1 (recursos propios)

Finalmente se tiene como alternativa evitar el riesgo, lo cual implicaría no llevar a caho mantenimientos correctivos ni preventivos, de los equipos que integran la red interna de telecomunicación. De ser así, no se podrían corregir fallas de operación o realizar modificaciones de configuración acorde a nuevas condiciones de negocio, por Jo cual está opción no se considera factible.

Tras evaluar las cuatro posibilidades de tratamiento de riesgos, se determina que lo más conveniente es aplicar los tres controles de seguridad identificados, con recursos propios de la organización bajo estudio. Esto ya que obtendría un ahorro estimado, de $3,102,247.00 pesos en el transcurso de diez aiios. Cabe señalar, que si bien la alternativa de tramferir el riesgo a

99


un proveedor también es viable, de eleiirla se incurriría en un costo de $132,788 pesos, respecto a la alternativa recomendada.

IV .3.4 Sabotaje de redes

El siguiente riesgo está relacionado con el site de TI y para su protección se proponen tres controles de seguridad. El primero de estos, se conoce como perímetro de seguridad física (9. 1. 1) y consiste en asegurar el perímetro físico que alberga la infraestructura principal de la red de telecomunicación interna. Para este fin, no es necesario invertir en barreras adicionales, ni en horas-hombre para la elaboración de un procedimiento, en virtud de que ya se disponen de ambos. Lo que si se deben considerar, son 96 horas-hombre anuales para operar y mantener los medios de controlar el acceso físico al site de TI. En segundo término se consideran los controles de entrada física (9.1.2) y de trabajo en áreas seguras (9.1.5), que como en el caso anterior no requieren de una inversión, dado que ya se disponen de las protecciones físicas y el procedimiento asociados. No obstante, se requieren de 48 horas-hombre anuales por control, para tramitar, registrar y supervisar el acceso de personal al site de TI. El total de horas-homhre requeridas para la implantación de los controles anteriores, puede ser observado en la tabla IV.17.


Mantenimiento 9.1.1 o 96 9.1.2 o 48 9.1.5 o 48

Total (horas-hombre) o 192 Tabla IV. 17 - Inversión y gastos asociados al riesgo No. 4

Este riesgo también resultó con un valor de 8, por ende para la evaluación económico-financiera se considera un costo anual total de $656,352.00 pesos, así como la misma tasa de descuento y número de periodos. Como en ocasiones anteriores, se evaluará inicialmente la opción de aceptar el riesgo, la cual tal y como se puede corroborar en la tabla IV. 18, significaría a la SDG incurrir en pérdidas por $3,497,207.00 pesos en un término de diez años.

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 $0 -$656,352 -$656,352 2009 2 $0 -$656,352 -$656,352 2010 3 $0 -$656,352 -$656,352 2011 4 $0 -$656,352 -$656,352 2012 5 $0 -$656,352 -$656,352 2013 6 $0 -$656,352 -$656,352 2014 7 $0 -$656,352 -$656,352 2015 8 $0 -$656,352 -$656,352 2016 9 $0 -$656,352 -$656,352

!Valor Presente Neto -$3,497,207! Tabla IV. 18 - Pérdida asocim.la a la aceptación del riesgo No. 4

100


Si se optara por la alternativa de transferir el riesgo a un proveedor, se tendrían gastos de operación y mantenimiento anuales por $59,520.00 pesos. Dado que se mitigaría el riesgo asociado al sabotaje de la red interna de telecomunicación, se tendría un ahorro anual de $596,832.00 pesos, que tras diez años sumaría $3,180,070.00 pesos (ver tabla IV .19).

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 -$59,520 $656,352 $596,832 2009 2 -$59,520 $656,352 $596,832 2010 3 -$59,520 $656,352 $596,832 2011 4 -$59,520 $656,352 $596,832 2012 5 -$59,520 $656,352 $596,832 2013 6 -$59,520 $656,352 $596,832 2014 7 -$59,520 $656,352 $596,832 2015 8 -$59,520 $656,352 $596,832 2016 9 -$59,520 $656,352 $596,832

!Valor Presente Neto $3, 180,070! Tahla IV. 19 - Ahorro asociado a la transferencia del riesgo No. 4

Si el riesgo es tratado con recursos propios, sería necesario asumir gastos anuales de operación y mantenimiento por $59,520.00 pesos, tal y como se señala en la tabla IV.20. En compensación se obtendrían ahorros anuales por $611,808.00 pesos, cuyo acumulado tras diez periodos sería de $3,259,866.00 pesos.

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 -$44,544 $656,352 $611,808 2009 2 -$44,544 $656,352 $611,808 2010 3 -$44,544 $656,352 $611,808 2011 4 -$44,544 $656,352 $611,808 2012 5 -$44,544 $656,352 $611,808 2013 6 -$44,544 $656,352 $611,808 2014 7 -$44,544 $656,352 $611,808 2015 8 -$44,544 $656,352 $611,808 2016 9 -$44,544 $656,352 $611,808

!Valor Presente Neto $3,259,866! Tahla IV. 20- Ahorro asociado al tratamiento del riesgo No. 4 (recursos propios)

La cuarta alternativa, se traduciría en evitar que cualquier persona tuviera acceso físico al site de TI, lo cual resulta imposible dado que es necesario dar mantenimiento al equipamiento albergado en su interior.

Una vez evaluados las cuatro alternativas, se concluye que lo más adecuado para la SDG, es implantar los tres controles de seguridad analizados ron recursos propios. No sólo por el

101


ahorro $3,259,866.00 pesos, sino además por un costo evitado de $79,796.00 pesos contra la opción también viable de transferir el riesgo a un proveedor.

IV .3.5 Contaminación por virus

Para la atención de este riesgo, se identificaron dos controles de seguridad en el estándar ISO/IEC 17799. El primero se conoce como controles de código malicioso (] 0.4.1) y tiene por objeto proteger la red de telecomunicación interna, a través de mecanismos de detección y prevención de código malicioso (incluidos los virus). Para su implantación es necesario dedicar 80 horas-hombre en la configuración inicial del IDS/IPS y 192 horas-hombre para su operación y mantenimiento anual. El segundo control se llama bitácora de auditoría ( JO. I 0.1) y consiste en registrar eventos de seguridad, para identificar problemas en la red de telecomunicación interna. Para esto se requieren dedicar inicialmente 24 horas-hombre (en la definición y activación de bitácoras del IDS/IPS), así como 96 horas-hombre anuales para el análisis de la información capturada. La tabla IV .21 muestra el tota] de horas-hombre necesarias para la implantación, operación y mantenimiento de los dos controles de seguridad propuestos.


Mantenimiento 10.4.1 80 192

10.10.1 24 96 Total (horas-hombre) 104 288

Tahla IV. 21 - Inversión y gastos asociados al riesgo No. 5

Este riesgo como el anterior, fue valorado con un nivel 8 en el capítulo anterior, por lo que para la evaluación de sus alternativas de tratamiento, además de diez periodos y una tasa de descuento del 12%, se tomará una pérdida o beneficio anual total (según sea el caso) de $656,352.00 pesos. Dicho lo anterior, se dará inicio al análisis de la opción de aceptar el riesgo de forma objetivo y por lo tanto es necesario conocer ]as pérdidas que provocaría el incidente en caso de que decidiera no hacer nada al respecto. El ]a tabla IV .22 se presenta que como en el caso de los riesgos 3 y 4, significaría pérdidas anuales por $656,352.00 pesos anuaJes, que a lo largo de diez años ascenderían a $3,497,207.00 pesos.

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 $0 -$656,352 -$656,352 2009 2 $0 -$656,352 -$656,352 2010 3 $0 -$656,352 -$656,352 2011 4 $0 -$656,352 -$656,352 2012 5 $0 -$656,352 -$656,352 2013 6 $0 -$656,352 -$656,352 2014 7 $0 -$656,352 -$656,352 2015 8 $0 -$656,352 -$656,352 2016 9 $0 -$656,352 -$656,352

!Valor Presente Neto -$3,497,207! Tahla IV. 22 - Pérdida asociada a la aceptación del riesgo No. 5

102


Ahora toca el tumo de evaluar la alternativa de transferir el riesgo a un proveedor, que como se muestra en la tabla IY.23, sería necesario invertir $32,240.00 pesos y erogar $89,280.00 pesos anuales para su operación y mantenimiento. A cambio, se tendrían ahorros anuales por $567,027.00 que al final del ejercicio darían en total $2,989,261.00 pesos.

Monto de la Gastos



la Inversión

2007 o -$32,240 -$32,240 2008 1 -$89,280 $656,352 $567,072 2009 2 -$89,280 $656,352 $567,072 2010 3 -$89,280 $656,352 $567,072 2011 4 -$89,280 $656,352 $567,072 2012 5 -$89,280 $656,352 $567,072 2013 6 -$89,280 $656,352 $567,072 2014 7 -$89,280 $656,352 $567,072 2015 8 -$89,280 $656,352 $567,072 2016 9 -$89,280 $656,352 $567,072

!Valor Presente Neto $2,989,261 ! Tahla IV. 21 - Ahorro asociado a la transferencia del riesgo No. 5

Si la SDG decidiera aminorar el riesgo con recursos propios, necesitaría invertir $24,128.00 pesos, así como incidir en gastos de operación y mantenimiento del control de seguridad por $66,816.00 pesos. También se tendría un beneficio por atender la contaminación por virus, que tras el cálculo del flujo neto se traduciría en un ahorro anual de $589,536.00 pesos, que bajo las condiciones dadas estipuladas totalizarían $3,117,067.00 pesos (ver tabla IV .24).

Monto de la Gastos



la Inversión

2007 o -$24,128 -$24,128 2008 1 -$66,816 $656,352 $589,536 2009 2 -$66,816 $656,352 $589,536 2010 3 -$66,816 $656,352 $589,536 2011 4 -$66,816 $656,352 $589,536 2012 5 -$66,816 $656,352 $589,536 2013 6 -$66,816 $656,352 $589,536 2014 7 -$66,816 $656,352 $589,536 2015 8 -$66,816 $656,352 $589,536 2016 9 -$66,816 $656,352 $589,536

!Valor Presente Neto $3, 117,067! Tabla IV. 24 - Ahorro asociado al tratamiento del riesgo No. 5 (recursos propios)

Como en casos anteriores, la opción referente a evitar el riesgo no es aceptable para la SDG, dado que la única forma de impedir la contaminación por virus que no sea mediante mecanismos de seguridad, sería aislar completamente los sistemas de información, perdiendo así su funcionalidad.

103


Se puede concluir en relación al tratamiento de este riesgo, que sólo las alternativas ele transferir el riesgo y tratarlo con recursos propios son viables y aportan un beneficio a la institución. No obstante la segunda de ellas es más indicada, dado que además de representar ahorros en diez años por $3,117,067.00, significa evitar un costo de $127,806.00 sobre la primera.

IV.3.6 Robo de información propietaria

Para lidiar con este riesgo, se identificaron dos controles de seguridad en el estándar ISO/IEC I 7799. Uno es referente a la seguridad de servicios de red ( 10.6.2) y considera una inversión de 40 horas-hombre para definir, documentar y habilitar la autentificación de usuarios para el uso de los servicios de red. También es necesario agregar 20 horas-hombre anuales para su operación y mantenimiento. La otra medida de seguridad sugerida, se conoce como control de conexión a la red (11.4.6) y requiere de 40 horas-hombre para configurar y activar las cuentas de usuarios con derecho de acceso a la red interna de telecomunicación, definidos en la política de control de acceso ( 1 1.1. l ). Así mismo, son necesarias 20 horas anuales para su operación y mantenimiento, por lo que tal y como se muestra en la tabla IV.25, serán necesarias en total 80 horas-hombre de inversión y 40 horas-hombre anuales para su continuidad operativa.


Mantenimiento 10.6.2 40 20 11.4.6 40 20


Como resultado del análisis de riesgos llevado a cabo, se asignó al robo de información propietaria un nivel de 6, correspondiente a un costo anual para la organización de $492,264.00 pesos, si se decide no tomar medidas al respecto. Si bien bajo este supuesto, no sería necesario invertir, ni dedicar anualmente una cantidad de horas-hombre para su atención, tras diez años la SDG sufriría pérdidas por $2,622,906 pesos, tal y como se demuestra en la tabla IV.26.

Monto de la Gastos

Flujo Neto de Años Periodos

Inversión Operación y Beneficios

la Inversión Mantenimiento

2007 o $0 $0 2008 1 $0 -$492,264 -$492,264 2009 2 $0 -$492,264 -$492,264 2010 3 $0 -$492,264 -$492,264 2011 4 $0 -$492,264 -$492,264 2012 5 $0 -$492,264 -$492,264 2013 6 $0 -$492,264 -$492,264 2014 7 $0 -$492,264 -$492,264 2015 8 $0 -$492,264 -$492,264 2016 9 $0 -$492,264 -$492,264

!Valor Presente Neto -$2,622,906! Tabla IV. 26 - Pérdida asociada a la accplilción del riesgo No. 6

104


Si por otro lado se eligiera transferir el riesgo a un proveedor, se puede observar en la tabla IV .27 que sería necesario invertir $24,800.00 pesos, además de tener gastos anuales de operación y mantenimiento por $12,400.00 pesos. En recompensa se obtendrían ahorros anuales por $479,864.00 pesos, que en diez años habrían beneficiado a la SDG en $2,532,035.00 pesos.

Monto de la Gastos



la Inversión

2007 o -$24,800 -$24,800 2008 1 -$12,400 $492,264 $479,864 2009 2 -$12,400 $492,264 $479,864 2010 3 -$12,400 $492,264 $479,864 2011 4 -$12,400 $492,264 $479,864 2012 5 -$12,400 $492,264 $479,864 2013 6 -$12,400 $492,264 $479,864 2014 7 -$12,400 $492,264 $479,864 2015 8 -$12,400 $492,264 $479,864 2016 9 -$12,400 $492,264 $479,864

!Valor Presente Neto $2,532,035! Tahla IV. 27 - Ahorro asociado a la transferencia del riesgo No. 6

Si en cambio el riesgo fuera tratado con recursos propios, tal y como lo muestra la tabla IV.28, sería necesario invertir $18,560.00 pesos y gastar $9,280.00 pesos anuales para su operación y mantenimiento. A pesar de lo anterior, se tendían ahorros anuales por $482,984.00 pesos, (]Ue acumulados en diez periodos representarían un total de $2,554,899.00 pesos.

Monto de la Gastos



la Inversión

2007 o -$18,560 -$18,560 2008 1 -$9,280 $492,264 $482,984 2009 2 -$9,280 $492,264 $482,984 2010 3 -$9,280 $492,264 $482,984 2011 4 -$9,280 $492,264 $482,984 2012 5 -$9,280 $492,264 $482,984 2013 6 -$9,280 $492,264 $482,984 2014 7 -$9,280 $492,264 $482,984 2015 8 -$9,280 $492,264 $482,984 2016 9 -$9,280 $492,264 $482,984

!Valor Presente Neto $2,554,899! Tahla IV. 28 - Ahorro asociado al lralamiento del riesgo No. 6 (recursos propios)

Si se quisiera evitar el robo de información propietaria, sería necesario excluirla de un ambiente de red y en general no considerarla en ningún sistema de información, lo cual para fines prácticos no es viable dado que se perdería el valor que aporta al negocio.

Nuevamente, las únicas opciones evaluadas que son factibles para la SDG, son la transferenria Je/ riesgo y el tratamiento con recursos propios. Sin embargo, esta última es más adecuada

105


dado que pennite un ahorro en diez m10s de $2,554,899.00 pesos, además de evitar un costo de $22,864.00 pesos respecto a la otra alternativa.

IV.3.7 Abuso de acceso a red del personal

El siguiente riesgo puede ser tratado a través de una política de uso de servicios de red ( 11.4.1 ), para lo cual se requiere una inversión de 80 horas-hombre en el establecimiento de una política de uso de servicios de red, así como su respectiva configuración y activación en la red interna de telecomunicación. Del mismo modo, se requieren 40 horas-hombre anuales para su mantenimiento y operación. Al no haberse identificado más controles, la totalidad de horashombre queda tal y como se indica en la tabla IV.29.




lJna vez establecidas las condiciones anteriores, se evaluará la alternativa de aceptar el abuso de acceso a la red del personal. Para esto, es necesario aludir al nivel de riesgo calculado previamente, que en términos monetarios se traduciría en una pérdida anual de $492,264.00 pesos, tal y como se ilustra en a tabla IV.30. Si bien no sería necesario invertir, ni gastar en operación y mantenimiento, tras diez años la pérdida total sería de $2,622,906.00 pesos.

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 $0 -$492,264 -$492,264 2009 2 $0 -$492,264 -$492,264 2010 3 $0 -$492,264 -$492,264 2011 4 $0 -$492,264 -$492,264 2012 5 $0 -$492,264 -$492,264 2013 6 $0 -$492,264 -$492,264 2014 7 $0 -$492,264 -$492,264 2015 8 $0 -$492,264 -$492,264 2016 9 $0 -$492,264 -$492,264

!Valor Presente Neto -$2,622,906! Tabla IV. 30 -- Pérdida asociada a la aceptación del riesgo No. 7

También existe la posibilidad de trasladar este riesgo a un proveedor, que de ser el caso implicaría una inversión de $12,400.00 pesos, así como gastos de operación y mantenimiento anuales por $6,200.00 pesos. Al llevar a cabo el cálculo del flujo neto de la inversión (ver tabla IV .31 ), se obtiene que la SDG ahorraría anualmente $486,064.00 pesos, que considerando diez periodos, daría un total de $2,577,470.00 pesos.

106


Monto de la Gastos



la Inversión

2007 o -$12,400 -$12,400 2008 1 -$6,200 $492,264 $486,064 2009 2 -$6,200 $492,264 $486,064 2010 3 -$6,200 $492,264 $486,064 2011 4 -$6,200 $492,264 $486,064 2012 5 -$6,200 $492,264 $486,064 2013 6 -$6,200 $492,264 $486,064 2014 7 -$6,200 $492,264 $486,064 2015 8 -$6,200 $492,264 $486,064 2016 9 -$6,200 $492,264 $486,064

!Valor Presente Neto $2,577,470! Tahla IV. 31 - Ahorro asociallo a la 1ransferencia del riesgo No. 7

Como tercera opción es posible tratar el riesgo en cuestión con recursos propios, para Jo cual es necesario es invertir $9,280.00 pesos y gastar anualmente $4,640.00 pesos (en operación y mantenimiento del control). En la tabla IV .32, se demuestra que la organización bajo estudio tendría un ahorro anual de $487,624.00 pesos, que ya totalizados en el horizonte de estudio, ascenderían a $2,588,902.00 pesos.

Monto de la Gastos



la Inversión

2007 o -$9,280 -$9,280 2008 1 -$4,640 $492,264 $487,624 2009 2 -$4,640 $492,264 $487,624 2010 3 -$4,640 $492,264 $487,624 2011 4 -$4,640 $492,264 $487,624 2012 5 -$4,640 $492,264 $487,624 2013 6 -$4,640 $492,264 $487,624 2014 7 -$4,640 $492,264 $487,624 2015 8 -$4,640 $492,264 $487,624 2016 9 -$4,640 $492,264 $487,624

!Valor Presente Neto $2,588,902! Tabla IV. 32 - Ahorro asociado al tratamicnlo lle) riesgo No. 7 (recursos propios)

Por último se cuenta con la allernativa de evitar el riesgo, que trasladado a la SDG consistiría en impedir a su personal el acceso a red. Nuevamente esta opción no es viable, dado que se perdería la ap011ación a la cadena de valor por parte de su personal, mediante el uso de los sistemas de información.

Una vez concluido el análisis de las cuatro alternativas evaluadas, se concluye que aceptar y

evitar el riesgo no representan una solución para la SDG. Las que sí son factibles, son la tran.\ferencia del riesgo y el tratamiento con recursos propios. Sin embargo, se recomienda la segunda alternativa mencionada, por traducirse en un ahorro total de $2,588,902.00 pesos, además de evitar costos por $11,432.00 pesos sobre la primera opción.

107


IV.3.8 Abuso de la red inalámbrica

Para poder lidiar con este riesgo derivado del uso de tecnologías emergentes, se proponen dos controles de seguridad del estándar ISO/IEC 17799. Uno de ellos es el de controles de red ( 10.6.1) y requiere de una inversión de 40 horas-hombre para establecer medidas de seguridad en los equipos que integran la red inalámbrica. Adicionalmente, se requiere adquirir una tarjeta y licencia de autentificación de usuarios múltiples, para conectar el equipamiento inalámbrico al switch principal y cuyo costo asciende a $300,000.00 pesos. También se requieren 24 horashombre anuales para su operación y mantenimiento. El segundo control identificado, es llamado cómputo y comunicaciones móviles (11. 7 .1 ). Éste requiere de 40 horas-hombre para el establecimiento de una política formal de comunicaciones móviles y para definir las medidas de seguridad adecuadas. Adicionalmente, se deben considerar 16 horas-hombre anuales para su actualización periódica. Lo anterior nos lleva a los valores mostrados en la tabla IV.33.


Mantenimiento 10.6.1 40 24 11.7.1 40 16


Ya en posibilidad de iniciar la evaluación de las opciones de tratamiento, se comenzará por el escenario de aceptar el riesgo de forma objetiva. Dado que se calculó un nivel de 4 asociado al abuso de la red inalámbrica, se espera que en caso de que la SDG no haga nada, tenga pérdidas anuales por $328,176.00 pesos, totalizando $1,748,604.00 pesos tras diez años (ver tabla IV.34 ).

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 $0 -$328,176 -$328,176 2009 2 $0 -$328,176 -$328,176 2010 3 $0 -$328,176 -$328,176 2011 4 $0 -$328,176 -$328,176 2012 5 $0 -$328,176 -$328,176 2013 6 $0 -$328,176 -$328,176 2014 7 $0 -$328,176 -$328,176 2015 8 $0 -$328,176 -$328,176 2016 9 $0 -$328,176 -$328,176

!Valor Presente Neto -$1,748,604! Tabla IV. 34 - Pérdida asociada a la aceptación del riesgo No. 8

La siguiente alternativa, sería transferir el riesgo a un proveedor e implicaría un monto de inversión total de $324,800.00 pesos, así como gastos de operación y mantenimiento por $12,400.00 pesos. Pero tal y corno se observa en la tabla IV.35, conlleva a un ahorro anual de $328,176.00 pesos, o bien de $1,357,733.00 pesos si se considera un horizonte de diez años.

108

Capítulo 4: Diseño del MAS] y planificación de su implantación

Monto de la Gastos

Flujo Neto de Años Periodos

Inversión Operación y Beneficios

la Inversión Mantenimiento

2007 o -$324,800 -$324,800 2008 1 -$12,400 $328,176 $315,776 2009 2 -$12,400 $328,176 $315,776 2010 3 -$12,400 $328,176 $315,776 2011 4 -$12,400 $328,176 $315,776 2012 5 -$12,400 $328,176 $315,776 2013 6 -$12,400 $328,176 $315,776 2014 7 -$12,400 $328,176 $315,776 2015 8 -$12,400 $328,176 $315,776 2016 9 -$12,400 $328,176 $315,776

!Valor Presente Neto $1,357,733! Tahla IV. 35 - Ahorro asociado a la transferencia del riesgo No. 8

La SDG también podría optar por tratar el riesgo con recursos propios y bajo este supuesto como se indica en la tabla IV .36, sería necesaria una inversión total de $318,560.00 pesos. Del mismo modo, se deben considerar gastos de operación y mantenimiento por $9,280.00 pesos, esperando un ahorro anual de $318,896.00 pesos. Esto se traduciría en un beneficio de $ J ,380,598.00 pesos una vez transcurridos diez años.

Monto de la Gastos



la Inversión

2007 o -$318,560 -$318,560 2008 1 -$9,280 $328,176 $318,896 2009 2 -$9,280 $328,176 $318,896 2010 3 -$9,280 $328,176 $318,896 2011 4 -$9,280 $328,176 $318,896 2012 5 -$9,280 $328,176 $318,896 2013 6 -$9,280 $328,176 $318,896 2014 7 -$9,280 $328,176 $318,896 2015 8 -$9,280 $328,176 $318,896 2016 9 -$9,280 $328,176 $318,896

!Valor Presente Neto $1,380,598! Tahla IV. 36 - Ahorro asociado al tratamiento del riesgo No. 8 (recursos propios)

A diferencia de riesgos anteriores, existe la posibilidad de prescindir de momento de este serv1c10. Sin embargo, esto no se recomienda debido que se tendrían que cancelar algunos servicios móviles que ya se brindan en la actualidad, además del auge que viven las comunicaciones móviles y a las nuevas posibilidades de productividad que ofrece al personal.

Ya con conocimiento de causa, se concluye que la opción de aceptar el riesgo es la menos indicada y que si bien evitarlo es f{lctible, no es algo que se sugiera. La {llternativa de tratamiento con recursos propios, se considera las más indicada, por su aportación total de $1,380,598.00 pesos, además de signUicar costos evitados por $22,864.00 pesos, re.\pecto a /{I tran.\{erencia de riesgos a un proveedor.

109

Capílulo 4: Diseño del MASI y planificación de su implanlación

IV .3. 9 Fraude en telecomunicaciones

Con la finalidad de aminorar este riesgo, se identificó un control de seguridad referente a la protección del puerto de administración remota ( 11 .4.4). El ruteador satelital ofrece acceso físico y lógico para su diagnóstico y configuración, ya que se requiere para la funcionalidad del negocio. No obstante, es necesario invertir 40 horas-hombre para la elaboración de un procedimiento y configuración de una contraseña de acceso al puerto. También es necesario dedicar 20 horas-hombre anuales para su operación y mantenimiento. Tras definir las condiciones iniciales, la tabla IV.37 muestra el total de horas hombre asociadas a la implantación del control.



Total (horas-hombre) 40 20 Tabla IV. 37 - Inversión y gaslos asociados al riesgo No. 9

Una vez en posibilidad de evaluar la alternativa de aceptar el riesgo objetivamente, es necesario retomar el nivel de riesgo 4 calculado. Esto es, en caso de que la organización bajo estudio decidiera asumir un costo anual de $328,176.00 pesos, tras diez años le representarían un pérdida por $1,748,604.00 pesos, tal y como lo plantea la tabla IV.38.

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 $0 -$328,176 -$328,176 2009 2 $0 -$328, 176 -$328,176 2010 3 $0 -$328,176 -$328,176 2011 4 $0 -$328,176 -$328,176 2012 5 $0 -$328,176 -$328,176 2013 6 $0 -$328,176 -$328,176 2014 7 $0 -$328,176 -$328,176 2015 8 $0 -$328,176 -$328,176 2016 9 $0 -$328,176 -$328,176

!Valor Presente Neto -$1,748,604! Tabla IV. 38 - Pérdida asociada a la accplación del riesgo No. 9

Por otro lado, también es posible transferir el riesgo a un proveedor. De ser así, sería necesario invertir $12,400.00 pesos, así como gastar $6,200.00 pesos anuales en su operación y mantenimiento. A cambio, la organización que nos ocupa podría ahorrar $321,976.00 pesos anuales, que tras diez años representarían un total de $1,703,169.00 pesos (ver tabla IV.39).

110


Monto de la Gastos



la Inversión

2007 o -$12,400 -$12,400 2008 1 -$6,200 $328,176 $321,976 2009 2 -$6,200 $328,176 $321,976 2010 3 -$6,200 $328,176 $321,976 2011 4 -$6,200 $328,176 $321,976 2012 5 -$6,200 $328,176 $321,976 2013 6 -$6,200 $328,176 $321,976 2014 7 -$6,200 $328,176 $321,976 2015 8 -$6,200 $328,176 $321,976 2016 9 -$6,200 $328,176 $321,976


Como tercera alternativa, se evaluará el tratamiento del riesgo con recursos propios. Para esto, sería necesaria una inversión de $9,280.00 pesos, además de gastos anuales de operación y mantenimiento por $4,640.00 pesos. En contraparte, la SDG estaría en posibilidad de ahorrar $323,536.00 pesos anuales. Es decir, acorde con el análisis llevado a cabo, en diez años se habrían ahomido alrededor de$ I ,714,601.00 pesos a valor actual (ver tabla IV.40).

Monto de la Gastos



la Inversión

2007 o -$9,280 -$9,280 2008 1 -$4,640 $328,176 $323,536 2009 2 -$4,640 $328,176 $323,536 2010 3 -$4,640 $328,176 $323,536 2011 4 -$4,640 $328,176 $323,536 2012 5 -$4,640 $328,176 $323,536 2013 6 -$4,640 $328,176 $323,536 2014 7 -$4,640 $328,176 $323,536 2015 8 -$4,640 $328,176 $323,536 2016 9 -$4,640 $328,176 $323,536

!Valor Presente Neto $1,714,601! Tabla IV. 40 - Ahorro asociado al tratamiento del riesgo No. 9 (recursos propios)

Al igual que el riesgo analizado en el apartado anterior, este también ofrece la posibilidad de ser evitado al deshabilitar el puerto correspondiente. Sin embargo, dado que es necesario para contar con un mejor soporte técnico por pai1e del fabricante del equipo, así como para mejorar la disponibilidad de la red satelital de la SDG (no considerada dentro del alcance de este trabajo), no se recomienda optar por esta alternativa.

Por todo lo anterior, se concluye que la mejor alternativa para la orgcmizacián bajo estudio, es tratar el riesgo con recursos propios. Esto ya que le permitiría, beneficiarse con un ahorro de $/,714.601.00 pesos. /1.dicionalmente, significaría evitar un costo de $11,432.00 pesos, comparado con la posibilidad de tramferir el riesgo re.\pectivo a un proveedor.

111


IV.3. 10 Negación de servicio (DoS)

Si bien este riesgo es uno de los valorados que el nivel más bajo, durante el análisis de riesgos se identificaron una gran variedad de vulnerabilidades. Para fines de este trabajo, se eligió aquella que en la actualidad preocupa más a las organizaciones a nivel mundial, no obstante fue identificado un control en el estándar ISO/IEC 17799, que permite tratar una amplia gama de éstas. Lleva el nombre de control de vulnerabilidades técnicas (] 2.6.1) y para su implantación es necesario invertir 16 horas-hombre, asociadas a la aplicación de un parche. No obstante, dado que de forma periódica se debe obtener información de nuevas vulnerabilidades, así como lomar medidas para mitigarlas, se estiman 96 horas-hombre anuales para operación y mantenimiento del control. La tabla IV .41 sintetiza las consideraciones iniciales establecidas, para evaluar las cuatro alternativas de tratamiento relativas a ataques de negación de servicio (DoS).



Total (horas-hombre) 16 96 Tabla IV. 41 - Inversión y gastos asociados al riesgo No. 1 O

Por princ1p10 de cuenta se evaluará la posibilidad de aceptación del riesgo, tomando en consideración un nivel de riesgo de 3, equivalente a una pérdida anual de $246,132.00 pesos si el riesgo no es mitigado. Es posible confirmar en la tabla IV .42, que el total tras diez años ascendería a $1,311,453.00 pesos.

Monto de la Gastos



la Inversión

2007 o $0 $0 2008 1 $0 -$246,132 -$246, 132 2009 2 $0 -$246, 132 -$246, 132 2010 3 $0 -$246, 132 -$246,132 2011 4 $0 -$246,132 -$246,132 2012 5 $0 -$246,132 -$246, 132 2013 6 $0 -$246,132 -$246,132 2014 7 $0 -$246,132 -$246,132 2015 8 $0 -$246,132 -$246,132 2016 9 $0 -$246,132 -$246,132

!Valor Presente Neto -$1,311,453! Tabla IV. 42 - Pérdida asociada a la aceptación Jel riesgo No. 1 O

Como siguiente punto, se evaluará la alternativa de transferir el riesgo a un proveedor. Para esto, acorde con los cálculos presentados en la tabla IV .43, se debe invertir $4,960.00 pesos, así como gastar $29,760.00 pesos anuales en operación y mantenimiento. Por otro lado, la SDG ahorraría anualmente $216,372.00 pesos, mismos que tras diez periodos significarían un acumulado de $1,147,924.00 pesos.

112


Monto de la Gastos



la Inversión

2007 o -$4,960 -$4,960 2008 1 -$29,760 $246,132 $216,372 2009 2 -$29,760 $246,132 $216,372 2010 3 -$29,760 $246,132 $216,372 2011 4 -$29,760 $246,132 $216,372 2012 5 -$29,760 $246,132 $216,372 2013 6 -$29,760 $246,132 $216,372 2014 7 -$29,760 $246,132 $216,372 2015 8 -$29,760 $246,132 $216,372 2016 9 -$29,760 $246,132 $216,372


Siguiendo con el orden establecido, en seguida se evaluará la opción de tratamiento del riesgo con recursos propios. Se puede apreciar en la tabla IV.44, que es necesaria una inversión de $3,712.00 pesos y un gasto anual de $22,272.00 pesos, asociado a operación y mantenimiento. Conforme al cálculo del flujo neto, se obtendría por otro lado un ahorro anual de $223,860.00 pesos, que totalizado para los diez años considerados, resultaría en un beneficio de $1,189,070.00 pesos.

Monto de la Gastos



la Inversión

2007 o -$3,712 -$3,712 2008 1 -$22,272 $246,132 $223,860 2009 2 -$22,272 $246,132 $223,860 2010 3 -$22,272 $246,132 $223,860 2011 4 -$22,272 $246,132 $223,860 2012 5 -$22,272 $246,132 $223,860 2013 6 -$22,272 $246,132 $223,860 2014 7 -$22,272 $246,132 $223,860 2015 8 -$22,272 $246,132 $223,860 2016 9 -$22,272 $246,132 $223,860

!Valor Presente Neto $1, 189,070! Tahla IV. 44 -Ahorro asociado al tratamiento del riesgo No. JO (recursos propios)

La alternativa referente a evitar el riesgo, no es factible para este caso. Lo anterior, ya que las vulnerabilidades de negación de servicio (DoS) asociadas al ruteador de telefonía IP, no se pueden evadir a menos que se deje de usar del equipo, impidiendo así continuar brindando el servicio de voz en la SDG.

Trns evaluar las cuatro opciones de tratamiento del riesgo, se determina que lo mejor es atenderlo con recursos propios, ya que además de un ahorro total de $1,189,070.00 pesos, implica 1111 beneficio adicional de $41,146.00 pesos, comparado con la posibilidad de tramferirlo a 1111 proveedor.

113


IV.4 Declaración de aplicabilidad (SoA)

Una vez concluido el proceso de selección de objetivos y controles de seguridad, se retomará el ciclo del estándar ISO/IEC 17799 propuesto en la sección 11.4.3 (figura II.3). Acorde con éste, como siguiente punto se debe preparar la declaración de aplicabilidad (SoA), la cual proveerá un resumen de las decisiones concernientes al tratamiento de riesgos. Para su elaboración se partirá del hecho, que ya se cuenta con aprobación del personal directivo para implantar y operar el MASI, así como para aceptar los riesgos residuales propuestos. El SoA considera lo siguiente:

• Los controles y objetivos de control seleccionados, así como las razones correspondientes. • Los controles y objetivos de control actualmente implantados. • Los controles y objetivos de control excluidos, así como las razones correspondientes.

La justificación de exclusiones, se lleva a cabo con la finalidad de confirmar que no se han omitido controles de forma inadvertida. No obstante, dado que la preparación del SoA en estricto apego a lo que marca el estándar ISO/IEC 27001, da como resultado un documento un tanto repetitivo y de gran extensión, para fines de este trabajo y por limitantes de tiempo, sólo será desarrollado a manera de ejemplo, para los controles y objetivos de control seleccionados para mitigar el riesgo No. 1. No obstante, éste servirá de referencia para la elaboración de los casos restantes, como parte de los trabajos futuros de esta tesis. De este modo, la tabla IV .45 muestra el SoA resultante, destacando que los tres controles identificados son aplicables.

11.1 Requerimienlos de Negocio para el Control de Acceso Objetivo de Control: Controlar el acceso a la información. Controles 11.1.1 ¡Política de control de acceso ¡se debe establecer, documentar y revisar una política de control de acceso, enlAplicable

base a los requerimientos de negocio y seguridad de la orqanización. Explicación: Este control será implantado para el MASI, ya que fue una medida recomendada para mitigar el Riesgo No.1 en la tabla IV.2 (identificación de controles de sguridad), además de haberse demostrado su viabilidad económica-financiera de tratamiento, ya sea con recursos propios o trasladándolo a un proveedor. La amenza de ·acceso no autorizado a la información" de la SDG, se debe en grar medidad a que no se controla adecuadamente el acceso a su información confidencial. Este control permitirá establecer con claridad, regla~ y derechos de acceso a la información confidencial para cada usuario o grupos de estos. Una vez implantado este control, se reduciri significativamente la probabilidad de accesos no autorizados a la información confidencial de la SDG.

11.4 Conlrol de Acceso a la Red Obielivo de Control: Prevenir accesos nos autorizados a los servicios de red. Controles 11.4.5 ISegregación en redes ¡se deben segregar en la red, grupos de servicios de información, usuarios 1Aplicable

sistemas de información. Explicación: Este control será implantado para el MASI, ya que fue una medida recomendada para mitigar el Riesgo No.1 en fa labia IV.2 (identificación de controles de sguridad). además de haberse demostrado su viabilidad económica-financiera de tratamiento, ya sea con recursos propios o trasladándolo a un proveedor. La amenza de 'acceso no autorizado a la información' de la SDG, se debe en gran medidad a que no se controla adecuadamente el acceso a su información confidencial. Este control permitirá dividir la red interna de telecomunicación, en distintos dominios lógicos (grupos de servicios de información, usuarios y sistemas de información), conlorme a la política de control de acceso (11.1.1 ). Una vez implantado este control, se reducirá significativamente la probabilidad de accesos na autorizados a la información confidencial de la SDG. 11.6 Control de Acceso a las Aplicaciones Y la Información Objetivo de Control: Prevenir accesos nos autorizados a la información contenida en sistemas v aplicaciones. Controles 11.6.1 1 Restricción de acceso a la información ISe debe restringir el acceso a las aplicaciones y la información, por parte ~

4Aplicable

usuarios y personal de soporte, conforme a la política de control de acces definida.

Explicación: Este control será implantado para el MASI, ya que fue una medida recomendada para mitigar et Riesgo No.1 en la tabla IV.:e (idenlificación de controles de sguridad), además de haberse demostrado su viabilidad económica-financiera de tratamiento, ya sea cor recursos propios o trasladándolo a un proveedor. La amenza de "acceso no autorizado a la información" de la SDG, se debe en grar medidad a que no se controla adecuadamente el acceso a su información confidencial. Este control permitirá restringir a usuarios o grupo~ estos, el acceso a la inlormación confidencial contenida en sistemas y aplcaciones de la SDG, conforme a la política de control de accesc (11.1.1). Una vez implantado este control, se reducirá significativamente la probabilidad de accesos no autorizados a la inlormaciór confidencial de la SDG.

Tahla IV. 45 - SoA de controles sclccctonados para el riesgo No. 1

114


IV .5 Políticas de seguridad de la información

Siguiendo con el ciclo del estándar ISO/IEC 17799 propuesto en la sección II.4.3 (figura II.3), como siguiente paso es necesario elaborar las políticas que regularán la seguridad de la información asociada a la red interna de telecomunicación de la SDG. Para este fin, en los siguientes apartados se ofrece una breve explicación de las políticas relativas a los controles de seguridad identificados en la sección IV.2 (tabla VI. l ). Para su descripción, se aludirá al siguiente formato:

• Planteamiento de la política • Audiencia a quien va dirigido • Controles del estándar cubiertos por el estándar

IV.5.1 Organización interna

Política: Es necesario establecer un marco administrativo para iniciar y controlar la implantación de seguridad de la información en la organización.

Audiencia: Esta política está enfocada tanto al persom1l que administra la red interna de telecomunicación, como al personal responsable de la seguridad de la información.

Controles cubiertos: La política cubre los siguientes controles de seguridad del estándar ISO/IEC 17799:

• 6.1.1 Compromiso en seguridad de directivos • 6.1.3 Reparto de responsabilidades de seguridad

IV .5.2 Durante el empico

Política: Es necesario definir responsabilidades administrativas, para garantizar que la seguridad sea aplicada mediante el trabajo de individuos dentro de la organización.

Audiencia: Esta política está enfocada tanto al personal que administra la red interna de telecomunicación, como al personal responsable de la seguridad de la información.

Controles cubiertos: La política cubre el siguiente control de seguridad del estándar ISO/IEC 17799:

• 8.2. 1 Responsabilidad de directivos

IV.5.3 Áreas seguras

Política: Las facilidades críticas o sensibles relativas a los sistemas de información, deben ser alojadas en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras y controles de entrada apropiados.

115

Capítulo 4: Diseño Jcl MAS) y planificación de su implantación

Audiencia: Esta política está enfocada tanto al personal que administra la red interna de telecomunicación, como al personal responsable de la seguridad de la información.


• 9.1.1 Perímetro de seguridad física • 9 .1.2 Controles de entrada física • 9.1.5 Trabajo en áreas seguras

IV.5.4 Seguridad de equipamiento

Política: El equipamiento debe ser protegido de amenazas físicas y ambientales.

Audiencia: Esta política está enfocada al personal que administra la red interna de telecomunicación.

Controles cubiertos: La política cubre el siguiente control de seguridad del esl.:'índar ISO/IEC 17799:

• 9.2.4 Mantenimiento de equipo

IV .5.5 Procedimientos y responsabilidades operacionales

Política: Se deben establecer responsabilidades y procesos para la administración y operación de todas las facilidades relativas a los sistemas ele información.

Audiencia: Esta política está enfocada tanto al personal que administra la red interna ele telecomunicación, como al personal responsable de la seguridad de la información.

Controles cubiertos: La política cubre los siguientes controles Je seguridaJ del estándar ISO/IEC 17799:

• 10.1.1 Procedimientos operativos documentados • 1 O. J .2 Administración ele cambios

IV .5.6 Protección contra código malicioso

Política: Se requieren tomar medidas para prevenir y detectar la introducción de código malicioso en la organización.

Audiencia: Esta política está enfocada tanto a los usuarios de la red interna de telecomunicación, como al personal que administra dicha infraestructura.


• J 0.4.1 Controles de código malicioso

116


IV .5.7 Administración de seguridad en redes

Política: Para administrar la seguridad en las redes, es necesario considerar cuidadosamente del flujo de datos, las implicaciones legales, así como su monitoreo y protección.



• 10.6. 1 Controles de red • 10.6.2 Seguridad de servicios de red

IV .5.8 Monitoreo

Política: Los sistemas de información deben ser monitoreados y los eventos de seguridad de la información registrados, a fin de identificar problemas en su operación.



• 10.10.1 Bitácora de auditoría

IV .5.9 Política de control de acceso

Política: El acceso a la información, así como a sus facilidades de procesamiento, debe ser controlado en hase a los requerimientos de negocio y seguridad de la organización.

Audiencia: Esta política está enfocada tanto a los usuarios de la red interna de telecomunicación, como al personal que administra dicha infraestructura.

Controles cubiertos: La política cubre el siguiente control de seguridad del estándar ISO/IEC J 7799:

• 1 1 .1. 1 Política de control de acceso

IV .5.1 O Control de acceso a la red

Política: El acceso a los servicios internos y externos de red, debe ser controlado para no comprometer su seguridad.

Audiencia: Esta política está enfocada lanto a los usuarios de la red interna de telecomunicación, como al personal que administra dicha infraestructura.

117

Capítulo 4: Diseño del MAS] y planificación de su implantación


• 1 1 .4.1 Política de uso de servicios de red • 11.4.4 Protección de puerto de admón. remota • 11.4.5 Segregación en redes • 11.4.6 Control de conexión a la red

IV.5.11 Control de acceso a las aplicaciones y la información

Política: El acceso lógico al software de aplicaciones y la información, debe ser restringido a usuarios autorizados.



• 11.6.1 Restricción de acceso a la información

IV.5.12 Cómputo móvil

Política: Cuando se haga uso del cómputo móvil, los riesgos de trabajar en un ambiente no protegido deben ser considerados y se debe aplicar una protección adecuada.



• 11. 7 .1 Cómputo y comunicaciones móviles

IV .5. 13 Administración de vulnerabilidades técnicas

Política: La administración de vulnerabilidades técnicas, debe ser implantada de forma efectiva, sistemática y repetible, tomando medidas para confirmar su efectividad.



• 12.6.1 Control de vulnerabilidades técnicas

118


IV .6 Procedimientos de seguridad de la información

Una vez establecidas las políticas que brindarán seguridad de la información en la red de telecomunicación interna, se deben elaborar los procedimientos necesarios para la implantación de los distintos controles de seguridad, relativos a cada uno de los riesgos identificados con anterioridad. No obstante, dadas las limitantes de tiempo para el desarrollo de este trabajo, sólo será elaborado uno de ellos en este apartado, quedando el resto pendiente como parte de los trabajos futuros. Por Jo anterior, el procedimiento resultante a su vez servirá de referencia para la formulación del plan de tratamiento de tratamiento de riesgos de la próxima sección (IV.7). Tras las aclaraciones llevadas a cabo, se retomará el caso desarrollado en la sección IV.4 (declaración de aplicabilidad), relativo al riesgo No. 1 de la tabla IV. l.

Con la finalidad de evitar el acceso no autorizado a la información confidencial de la SDG, se identificaron, evaluaron y seleccionaron los siguientes controles de seguridad:

• Política de control de acceso ( 11. J. J) • Control de acceso a la red ( 11.4.5) • Restricción de acceso a la información ( 11.6.1)

Por Jo anterior, el procedimiento que se elabore deberá indicar la relación que guardan entre sí sus procesos respectivos, así como el personal responsable de su implantación. Debido a este último requisito, en primera instancia será necesario proponer una estructura organizacional, que establezca el reparto de responsabilidades de seguridad, tal y como lo contempla el control de seguridad 6.1.3 seleccionado para el riesgo No. 2. El organigrama de la figura IV. l, representa la estructura organizacional propuesta para el funcionamiento del MASI de la red interna de telecomunicación de la SDG. Se observa que el titular de la organización bajo estudio, sería en última instancia el responsable de la seguridad de todos los sistemas de información del área. Así mismo, precedería el comité del MASI, con la finalidad de demostrar su compromiso con la seguridad de la información. No obstante, en caso de que no fuera factible que se involucrara directamente en este proceso, sería posible delegar esta función a alguno de sus colaboradores.

Administra TI

Titular de la SDG

1 --1

dorde Administrador de Seguridad en TI

figura IV. 1 - Estructura organizacional propuesta para el MASI

El administrador de TI, sería responsable de la operación de la red interna de telecomunicación de forma segura. De esta forma, todo el personal que opera y mantiene dicha infraestructura, le reporta directamente. El administrador de seguridad en TI, sería responsable de implantar las políticas y controles de seguridad, así como de garantizar su cumplimiento, llevar a cabo auditorías y coordinar actividades de respuesta a incidentes. Esta estructura aseguraría que el personal operativo de la red interna de telecomunicación, no pudiera burlar fácilmente los requisitos de seguridad por facilidad o conveniencia en su administración.

119


Tras haber definido el personal responsable de la implantación de los tres controles de seguridad en cuestión, es posible elaborar ahora el procedimiento respectivo. El diagrama de flujo de la figura IV.2, muestra los distintos procesos requeridos, la relación que guardan entre sí, así como al responsable de la ejecución de cada uno de estos. Se observa que el diagrama muestra el trabajo total de implantación, dividido en sus actividades más genéricas. Al respecto, cabe señalar que estas fases se tomarán de referencia en la próxima sección, con la finalidad de identificar las distintas tareas que las integran, el tiempo estimado para su realización, así como el personal responsable de llevarlas a cabo. Esto es, será posible formular el plan de tratamiento de riesgos requerido por el estándar ISO/IEC 27001.

Riesgo No. 1: Acceso no autorizado a la información

Administrador de TI

Configura segregación en

red interna conformeaPCA

Restringe acceso a la información conformeaPCA

---~--- --- -------------

Ad m in is tra do r de T. 1 de la S O G 1tu ar Seguridad en TI

e Inicio ~

--------~

Elabora Política de Control de Acceso (PCA)

'.sí

~ "------F-i:___ __ __,)

.,.. Autoriza PCA

! si

Figura ]V. 2 - Procedimiento para implantar los controles 11. 1. 1. 11.4.5 y 11 .6. 1

120

Capítulo 4: Diseño del MASI y plani ficaciún de su implantaciún

1 V .7 Formulación del plan de tratamiento de riesgos

Cómo última actividad del ciclo del estándar ISO/JEC 17799 propuesto en la seccton 11.4.3 (figura 11.3), se estableció que se llevaría a cabo la formulación del plan de tratamiento de riesgos. Como en el caso del SoA y la elaboración de procedimientos, sólo se desarrollará el plan de tratamiento de riesgos, para la implantación de los tres controles asociados al riesgo No.1 ( 11.1.1, 11.4.5 y l 1.6. l ), quedando por ende los demás pendientes como parte de los trabajos futuros. Para este fin, en primera instancia se llevará a cabo un mapa del proyecto de implantación, por medio de la herramienta conocida como "estructura detallada del trabajo (WBS)" [PMI-04]. Ésta permitirá asegurar que todos los productos y elementos de trabajo sean identificados, así como establecer las bases para su control. La idea básica del WBS, es dividir el trabajo total del proyecto en tareas, subtareas y así sucesivamente, hasta lograr paquetes de trabajo. Estos últimos se caracterizan por tener un punto claro de inicio y terminación, consumir recursos, generar costos y representar un punto de control. Aludiendo al procedimiento presentado en la figura IV.2, es posible obtener la estructura detallada de trabajo (WBS) que se muestra en la figura IV.3, el cual considera paquetes de trabajo hasta el segundo nivel.

Elaborar PCA ( 16 horas-hombre)

Eslablecer PCA (8 horas-hombre)

Documenlar PCA (8 horas-hombre)

Aulorizar PCA (8 horas-hombre)

Revisar PCA (4 horas-hombre)

Formalizar PCA (4 horas-hombre)

Implantación de conlroles conlra el acceso no

autorizado a la información (160 horas-hombre)

Difundir PCA (16 horas-hombre)

Preparar , ·· difusión PCA 1 (8 horas-hombre)

segregación en red inlerna

Comunicar PCA Segregar usuarios (8 horas-hombre) ,-- (40 horas-hombre)

Segregar sislemas de información

(20 horas-hombre)

Restringir acceso a la información

(36 horas-hombre)

•

Figura IV. ~ - Estructura detallada de trabajo (WBS) para tratar el riesgo No. l

Verificar cumplmiento

(8 horas-hombre)

Revisar configuraciones

(4 horas-hombre)

Realizar un mueslreo

(4 horas-hombre)

Tomando como base los dos diagramas anteriores, a continuación se recurrirá a la técnica de redes conocida como ruta crítica (CPM) f PMl-041, empicada comúnmente para la planeación y control de proyectos. Éste mostrará las interrelaciones de las actividades y sus tiempos, además de permitir el monitoreo de avance del proyecto. Para esto, se asumirá que los tiempos de las actividades son determinísticos, que el 2 de abril de 2007 se iniciará su implantación, que el periodo laborable es de ocho horas diarias de lunes a viernes y que los días 4, 5 y 6 de abril de 2007 serán días festivos. Así mismo, se hará uso del software Microsoft Project para elaborar un diagrama de Gan\l, que conjunte las tareas, dependencias, tiempos y recursos necesarios para llevar a cabo la implantación de los controles seleccionados para tratar el riesgo No. 1. La figura IV.4 muestra el diagrama resultante, destacando que la trayectoria en color rojo muestra la ruta crítica del proyecto.

121


: 'E-. ... • 1, 'T'~! ,· ,,-- -, ., ,.·:-·:,:11

-;.i'I~:·.;· ,¡,;r :¡·_:,-, ... "JI ti": J,..::,-·:;:.:¡.;

:. ~¡; :_-¡;- - • ~;;-"§-

f ·DI•• ::H

: 7 :-1i

: : ,.

: . >11

: : : ¡¡·

:::1& : : : ~?

-;: ·: :1. :· ·- ~ .. :~ :·

.! ·-::1.:· --· ! :~: ·

.'li ·.: :\. :·

_-4 ·:--:1.. :· .,:" -:~ ";\.: ·

lffll:•..:!fl{rt:':[;;:•

... !-:: : :. : -

= ·;. :·-:-- ~ ~ :-~ : ---. ~ . ~ .:-· .. : -

-·. =--: . - ·•

- i .:- : :~- : -

Figura IV. 4 - Programa de implantación de controles asociados al riesgo No. 1

Así mismo, se observa que el proyecto concluiría el 26 de abril de 2007, por lo que tendría una duración de 15 días y medio. En su ejecución intervendría e\ titu\ar de \a SDG (NMD), persona\ de los Departamentos de Telecomunicaciones (DT) y de Informática (DRI), así como la figura de Oficial de Seguridad de la Información del Proceso (BISO) que se designe para este fin.

Con la exposición anterior, se dan por cumplidas las metas planteadas en relación al diseño del modelo de administración de seguridad de la información (MASI). Cabe puntualizar que si bien quedará como parte de los trabajos futuros, realizar la planificación del resto de los riesgos identificados, el caso elegido ejemplifica el proceso necesario para dicho fin, además de mostrar el uso de las técnicas y herramientas necesarias. Tal y como lo marca el estándar ISO/IEC 2700 I, se eligió el riesgo valorado con el mayor nivel para iniciar la formulación del plan de tratamiento de riesgos, por lo que es necesario seguir las misma secuencia definida en la tabla IV.1, en la elaboración de los procedimientos y diagramas (WBS y Gantt) restantes.

IV.8 Herramientas para validación del MASI

En la sección IV.3 se determinó que financieramente, lo más conveniente para la SDG es aplicar los 21 controles de seguridad seleccionados con recursos propios, para mitigar los 1 O riesgos considerados en el MASI. De esta forma, tal y como se observa en la tabla IV.46, la organización bajo estudio obtendría un ahorro por $23,775,461.00 pesos tras 10 años de operación, con una tasa interna de retomo (TIR) de 948%, una relación beneficio-costo (B/C) de 51 y recuperación de la inversión en tan sólo un mes con ocho días. En contraste, si la SDG no hiciera nada al respecto, perdería $29,289,112.00 pesos una vez transcurrido el mismo periodo. No obstante, dichos beneficios están sujetos a que el grupo de controles seleccionados, sean efectivos para reducir los riesgos identificados, ya que de otra forma se deben tomar las acciones correctivas necesarias. Por lo anterior, es de gran importancia definir como se medirá su efectividad y de esta forma a su vez estar en posibilidad de validar el MASI.

122


Monto de la Gastos

Flujo Neto Años Periodos Operación y Beneficios


(M.N.)

2007 o -$480,032 -$480,032 2008 1 -$944,704 $5,496,948 $4,552,244 2009 2 -$944,704 $5,496,948 $4,552,244 2010 3 -$944,704 $5,496,948 $4,552,244 2011 4 -$944,704 $5,496,948 $4,552,244 2012 5 -$944,704 $5,496,948 $4,552,244 2013 6 -$944,704 $5,496,948 $4,552,244 2014 7 -$944,704 $5,496,948 $4,552,244 2015 8 -$944,704 $5,496,948 $4,552,244 2016 9 -$944,704 $5,496,948 $4,552,244

VPN: $23,775,461 TIA: 948% B/C: 51 Riesgo de no invertir: $29,289,112 Payback simple (años): 0.1054

==1 mes y 8 días Tabla IV. 46- Ahorro asociado al tratamiento de los 10 riesgos (recursos propios)

En primera instancia, se propone recurrir al registro de incidentes de seguridad de la SDG, ya que se espera que una vez implantados los controles de seguridad, el número de incidentes se reduzca a un valor cercano a cero. De no ser así, quedaría claro que no se están cumpliendo los objetivos de control planeados y por ende sería necesario revisar y mejorar el MASI. Cabe señalar que en adición al actual registro de incidentes, se está proponiendo la implantación del equipo IDS/IPS, el cual no sólo permitirá combatir la contaminación por virus, sino que además posibilitará detectar intrusiones a la red interna con mayor precisión. De esta manera, eventualmente se contará con un registro de incidentes de mayor confiabilidad, que permita a su vez mejorar los resultados del MASI.

Otra actividad que puede ser de gran utilidad para validar la efectividad del MASI, consiste en llevar a cabo pruebas de penetración en la red interna de telecomunicación. Acorde con la filosofía de los hackers "el paso más importante hacia la seguridad de la red, es tratar de ingresar en ella". En consecuencia se debe recurrir a la metodología que emplean los hackers, para comprometer la seguridad de las redes de telecomunicación, cuyos pasos y herramientas empleadas se presentan a continuación:

1. Huellas: Consiste en recopilar información suficiente para obtener direcciones 1P, nombres, estándares utilizados y detalles de la red. Algunas de las herramientas empleadas para este fin son Arin, SamSpade y Neotrace, entre otras.

2. Explorar: Consiste en identificar servicios, sistemas operativos y posibles vías de entrada a los equipos. Algunas de las herramientas empleadas para este fin son Portscan, Nmap y ShadowScan, entre otras.

3. Enumerar: Consiste en identificar aplicaciones, versiones, recursos compartidos y cuentas válidas. Algunas de las herramientas empleadas para este fin son ISS Internet Scanner, Banner grabbing y Netcat, entre otras.

123


4. Penetrar: Consiste en tener acceso a los sistemas con técnicas como obtención de contraseñas, ingeniería social, desbordamiento de pilas y uso de archivos con código malicioso. Algunas de las herramientas empleadas para este fin son Tcpdump, Sniffer y Wwwcrack, entre otras.

5. Escalar: Consiste en tomar control total sobre los equipos. Algunas de las herramientas empleadas para este fin son John de ripper, LOphtcrack y Getadrnin, entre otras.

6. Interactuar: Consiste en cubrir los huecos de seguridad para que otros hackers no comprometan los equipos, así corno en la instalación caballos de Troya y puertas traseras. Algunas de las herramientas empleadas para este fin son VNC, Netcat y Cron, entre otras.

7. Expandir: Consiste en conocer más a la víctima, robar información, acceder a servidores confiables y comprometer socios de negocio. Algunas de las herramientas empleadas para este fin son PacketX, Dsniff y Netstat, entre otras.

8. Limpiar: Consiste en limpiar rastros de intrusión, ya sea escondiendo llamadas invalidas al sistema o borrando bitácoras. Algunas de las herramientas empleadas para este fin son Rootkits, Zap y Elsave, entre otras.

Estas pruebas permitirán confirmar la efectividad de los controles implantados y por ende validar el MASI diseñado a lo largo de este trabajo.

IV. 9 Conclusión

Si bien diagnosticar los riesgos que afronta la organización bajo estudio, significó sentar bases firmes para la construcción del MASJ, la selección de controles de seguridad para su tratamiento, representa estar en posibilidad de ofrecer soluciones a la problemática que nos ocupa. Dicho Jo anterior, se considera que este capítulo es el que revierte mayor importancia para la conformación de la tesis y como tal, mereció de un cuidado especial. La selección de controles de seguridad, es una cuestión compleja, que requiere de un entendimiento amplio de aspectos tecnológicos, organizacionales y económicos, que permitan integrar un modelo que beneficie a la organización. Para dicho fin, fue necesario recurrir a la experiencia laboral, conocimientos adquiridos durante la maestría, a la intuición, al catálogo de controles de seguridad del estándar ISO/JEC 17799, a los resultados del análisis de riesgos llevado a cabo en el capítulo anterior, a su evaluación económica-financiera y sobre todo a la secuencia de actividades requeridas por la norma JSO/IEC 2700 l, mismas que se describen a continuación.

En primera instancia fue necesario identificar los controles de seguridad más adecuados, para mitigar los diez riesgos asociados a la operación de la red interna de telecomunicación de la SDG. Esto implicó revisar las 39 categorías principales de seguridad y los respectivos 134 controles estipulados en el estándar JSO/IEC 17799. Como resultado de esta etapa, se identificaron 21 controles de seguridad (incluyendo sus objetivos), en posibilidad de ser incorporados al modelo para el tratamiento de riesgos. Si bien esto perecería una labor sencilla, requirió de una inversión considerable de tiempo para verificar la aplicabilidad de cada uno de estos. Destaca el hecho de que en esta etapa arranque del MASI, no fue necesario recurrir a otras listas de controles de seguridad, como las del ACSJ 33 y el IT- BPM. No obstante, queda abierta la posibilidad de recurrir a estos en futuras revisiones del modelo, en caso de que así se requiriera y justificara.

La siguiente etapa consistió en llevar a cabo la evaluación económica-financiera de los controles de seguridad, considerando cuatro alternativas para el tratamiento de riesgos. Para esto, de forma inicial fue necesario establecer las condiciones y supuestos necesarios para poder llevar a cabo el

124


análisis costo-beneficio. En esencia, se decidió calcular el valor presente neto (VPN-2), para determinar si la implantación de los controles representaría pérdidas o ahorros a la organización. Los beneficios se consideraron como un costo evitado a la SDG, partiendo de la premisa que al implantar los controles, se evitaría la recurrencia anual de los distintos incidentes de seguridad. La conformación de costos, tomo en cuenta tanto la inversión en equipamiento y horas-hombre, como los costos anuales de operación y mantenimiento. Tras analizar los diez casos, en general se determinó que la alternativa más conveniente es tratar los riesgos con recursos propios. Si por alguna razón esto no fuera posible, en segundo término se recomienda trasladar el riesgo a un proveedor, excepto para el caso de escasez de personal. La opción de evitar el riesgo, sólo es factible para los casos de abuso de la red inalámbrica y fraude en telecomunicaciones, pero no se recomienda dadas las condiciones de la SDG. Finalmente, la aceptación del riesgo de forma objetiva es la alternativa menos conveniente, ya que representaría pérdidas considerables a la organización bajo estudio.

Como siguiente punto se llevó acabo la declaración de aplicabilidad (SoA), correspondiente a los tres controles de seguridad asociados al riesgo de acceso no autorizado a la información. Esta actividad, tiene como finalidad ofrecer un resumen de las decisiones relativas al tratamiento de riesgos, además de garantizar que no fueron omitidos controles de seguridad. No obstante, por limitantes de tiempo y por considerarse fuera del alcance de la tesis, se decidió dejar los análisis de aplicabilidad restantes, como parte de los trabajos futuros.

En seguida se llevó a cabo la elaboración de políticas de seguridad, las cuales por si mismas representan una teoría de seguridad. Ésta plantea [HON-03], que es posible alcanzar un nivel adecuado de seguridad de la información, sólo con establecer, implantar y mantener una política de seguridad. Dada la importancia de este hecho, se formularon todas las políticas necesarias, a fin de que sea posible operar los controles seleccionados y tratar los riesgos en la red interna de telecomunicación. De forma complementaria, se elaboró el procedimiento de implantación de controles relativos al Riesgo No. 1, el cual permitirá iniciar cuanto antes la implantación del MASI, además de servir de referencia para elaborm el resto de los procedimientos.

A continuación se formuló un plan de tratamiento de riesgos, para Jo cual fue necesario retomar el SoA y procedimiento de implantación de los controles 11.1. 1, 1 1 .4.5 y 11.6.1. Para esto, por principio de cuenta se elaboró una estructura detallada de trabajo (WBS), donde se identificaron paquetes de trabajo hasta un segundo nivel. La información obtenida, sirvió para elaborar un diagrama de Gantt, que relacionó las tmeas, tiempos y recursos requeridos para su implantación. La aplicación de ambas herramientas, también servirá de referencia para formular los planes de tratamiento de riesgos propuestos para llevarse a cabo en trabajos futuros.

Por último, se propusieron algunas herramientas para validar la efectividad del MASI, entre ellas el registro de incidentes de seguridad y las pruebas de penetración, mismas que a su vez permitirán revisar y mejorar el modelo propuesto para la red interna de telecomunicación de Ja organización bajo estudio. Con lo anterior, quedan cubiertos todos los prerrequisitos para que la SDG inicie la implantación del MASI y pueda así obtener los beneficios asociados al tratamiento de riesgos.

125

Conclusión general

Conclusión general

Hoy en día, es necesario que las organizaciones recurran al empico de las tecnologías de información, para mejorar o mantener su competitividad. Un impacto en dicha infraestructura, se traduce en una afectación al negocio, por lo cual la seguridad de la información ha captado la atención de sus altos ejecutivos. A pesar de este hecho, aún existe poca información orientada a gente inexperta en seguridad, relativa a estrategias, metodologías y lineamientos sobre seguridad de la información. En virtud de lo anterior, muchas organizaciones temen incursionar en prácticas de seguridad de la información, las adoptan e implantan de forma incorrecta o simplemente no las consideran. Ante dicha problemática, este trabajo planteó el diseño de un modelo de administración de seguridad de la información, acorde a las características y necesidades de una empresa pública mexicana interesada en su implantación. Éste incorpora recomendaciones y directrices de estándares internacionales sobresalientes en el tema, así como herramientas reconocidas para la administración de proyectos. Si bien el modelo es un traje a la medida de la SDG, también contribuye a que otras organizaciones lo tomen de referencia, en el establecimiento de su propio sistema de administración de seguridad de la información.

Por otro lado, tras la integración y análisis subsecuente del capítulo I de esta tesis, fue posible corroborar que cuando se suscita un problema relacionado con la integridad, confidencialidad y/o disponibilidad de la información, éste tiene un impacto económico en las organizaciones. Así por ejemplo, acorde con la encuesta de brechas de seguridad de la información [PWC-06], el 52% de los incidentes de seguridad en promedio son de carácter malicioso. Si bien en primera instancia, parecería que la solución para erradicar o mitigar su impacto es meramente técnica, este trabajo coadyuvó a confirmar que la seguridad de la infom1ación debe ser tratada con un enfoque holístico. Es decir, es un asunto complejo que requiere ser abordado a través de mecanismos, estrategias y metodologías adecuadas, así como mediante sensibilización y capacitación del personal. Sobre todo, en el entendido de que aparte del aspecto técnico, es necesario considerar las particularidades de cada organización, tales como sus valores, cultura, misión, objetivos, metas y proceso de negocios, entre otros.

Del mismo modo, la encuesta de crimen y seguridad computacional del 2006 [CSI-06], señala que en el año 2008 la seguridad en infraestructura inalámbrica y de redes internas de telecomunicación, ocuparán la octava y novena posición respectivamente. Lo anterior, de una lista de treinta y un cuestiones de mayor criticidad en materia de seguridad de la información, por encima incluso de temas como spyware, ingeniería social, dispositivos de cómputo móvil y código malicioso (malware). Por otro lado, conforme a la encuesta global de seguridad de la información 2005 [E& Y -05], en relación a los elementos que más han impactado o impactarán la función de seguridad de las organizaciones, los requerimientos de certificación de seguridad de la información, son los que experimentaron un mayor incremento a nivel global, pasando del 13% en el 2005, al 24% en el 2006 (esto es, un incremento del 84.6%). Ambos resultados proponen el surgimiento de un atractivo nicho de negocio, así como de grandes retos y áreas de oportunidad para las organizaciones, referentes a la administración de seguridad de la información en sus redes de telecomunicación internas.

126

Conclusión general

El recurrir a los resultados de las más prestigiadas encuestas de seguridad de la información, así como a las mejores prácticas recopiladas en estándares internacionales como el ISO/IEC 27001, permitió comprender las amenazas que enfrenta la organización bajo estudio, su grado de preparación para afrontarlas, así como sus responsabilidades legales al respecto. De esta forma, la selección del estándar ISO/IEC 17799 llevada a cabo en el capítulo II, se traduce en una plataforma sólida para atender los requerimientos actuales y futuros de la SDG. Lo anterior, de conformidad con la encuesta global de seguridad de la información 2005 [E& Y-05], donde se indica que no sólo es el estándar relativo a TI, de mayor uso a nivel mundial por las organizaciones ( con un 25% ), sino que además es el que más están considerando implantar en los próximos doce meses (con un 30%). Del mismo modo, el estándar permite la incorporación de controles de seguridad adicionales a los que propone, por lo que en la medida que se justifique, se pueden implantar medidas de seguridad más rigurosas en futuras revisiones del modelo.

Se demostró en el capítulo III que la identificación de requerimientos de seguridad de la información, conforme a una metodología apropiada, es esencial para el diseño de un modelo de administración de seguridad de la información, acorde a la organización y sistemas de información considerados. Por lo anterior, fue necesario llevar a cabo un análisis de brechas detallado, que consideró la revisión y análisis de una gran cantidad de documentos, con la Ílnalidad de conocer el grado de cumplimiento de la SDG respecto al estándar ISO/IEC 17799. Así mismo, se requirió la realización de un anéÍ!isis de riesgos, que consideró la identificación y valoración exhaustiva de sus recursos de red interna, así como de las amenazas, vulnerabilidades y riesgos con los que deben lidiar. Dichos estudios, no sólo permitieron evaluar la factibilidad de implantación de diversos controles de seguridad, sino que además ayudarán a priorizar la inversión en las áreas que ofrezcan mayor beneficio a la organización bajo estudio. De esta forma, el modelo elaborado brinda información valiosa a los ejecutivos de la SDG, respecto a los riesgos que enfrenta la red interna de telecomunicación de la organización, misma que les permitirá tomar decisiones más ágiles y asertivas en materia de seguridad de la información.

Más importante aún que la identificación de requerimientos de seguridad de la información, es el diseño y evaluación del sistema de tratamiento de riesgos. Por esta razón, en el capítulo IV se llevó a cabo un estudio detallado, encaminado en primera instancia a identificar los controles de seguridad más adecuados para mitigar los riesgos hallados. Esto implicó revisar todos los controles de seguridad propuestos por el estándar ISO/JEC 17799, a fin de integrar una solución coherente con la organización, sus recursos de información y los requerimientos de seguridad de la información identificados. Tras seleccionar los controles de seguridad adecuados, se evaluaron las cuatro opciones de tratamiento de riesgos en términos económico-financieros, destacándose que la opción más adecuada para la SDG por lo ahorros que representa, es llevar a cabo su implantación, operación y mantenimiento con recursos propios. La opción de traslado del riesgo a un proveedor también es factible (salvo para el caso de escasez de personal); no obstante, sólo se recomienda optar por ésta, si la alternativa preferente no pudiera ejecutarse por razones de otra índole (estratégicas, legales y políticas, entre otras).

Una vez concluido el proceso descrito previamente, se eligió el riesgo valorado con el mayor nivel, para desarrollar en su totalidad los pasos restantes del MASI. Esto, en virtud de que será el primero en ser implantado en la SDG, en consistencia con las recomendaciones de los estándares de referencia. Conforme a lo anterior, se elaboraron la declaración de aplicabilidad (SoA) y el procedimiento respectivos, confirmándose su gran importancia en la integración del modelo.

127

Conclusión general

Cabe resaltar que en la etapa de formulación de políticas, se plantearon todas aquellas requeridas para los controles seleccionados, dado que por sí mismas representan una forma de brindar seguridad a la organización. Así mismo, tal y como lo marca el estándar ISO/IEC 27001, se elaboró un plan de tratamiento de riesgos, que considera la planeación necesaria para iniciar la implantación del MASI en la SDG. Por último, se expusieron algunas herramientas que pueden ser de utilidad para validar la efectividad el modelo, tales como el registro de incidentes de la SDG y las pmebas de penetración a la red interna.

Se considera que una de las principales aportaciones del modelo diseñado, es su novedoso enfoque en las redes internas de telecomunicación. Es decir, tradicionalmente las inversiones y controles de seguridad, se han dedicado en gran medida a la infraestructura de red perimetral, pero contrario a lo que se esperaría, actualmente está dado mejor resultado contener los incidentes de seguridad hacia adentro de la organización. Aunado a lo anterior, es oportuno resaltar que en la tesis se aborda la seguridad de la información de forma integral (no sólo a nivel técnico), acorde a las características y necesidades de una importante empresa pública mexicana e incorporando de forma consistente diversas metodologías, técnicas y herramientas, para complementar las mejores prácticas vertidas en los estándares ISO/IEC 17799 y 27001. Del mismo modo, en la elaboración del MASI se plasmaron tanto experiencias laborales, como conocimientos adquiridos en los estudios de maestría, por parte del autor. En dicho sentido hubo una aportación recíproca, ya que una de las motivaciones personales para la elaboración de este trabajo, fue conocer más sobre la administración de seguridad de la información, lo cual fue posible gracias a una considerable cantidad de tiempo, dedicado a la investigación, lectura y reflexión sobre el tema, que hicieron posible la elaboración de este documento.

Finalmente, es importante señalar que la tesis permitirá implantar un modelo de gobernabilidad de TI en la organización bajo estudio, acorde a sus requerimientos de seguridad de la información y en un horizonte de tiempo razonablemente corto. Éste pem1itirá mejorar el desempeño de sus sistemas de información, así como tratar adecuadamente los riesgos asociados a su operación. Además posibilitará el cumplimiento del marco regulatorio vigente y que la SDG esté preparada ante nuevas iniciativas legales. Es bien sabido que los proyectos de Tl, se pueden salir fácilmente de control y afectar la competitividad de la organización, si no se administran adecuadamente. Ante esta problemática, el MASI ofrece una metodología para definir, priorizar, evaluar, seleccionar y planificar proyectos de TI, a manera de que se concJuyan exitosamente. Tal y como lo marca el estándar ISO/IEC 27001, es necesario implantar primero los controles de seguridad, encaminados a tratar aquelJos riesgos que más impactan a la organización. Por tal motivo, en este trabajo se desarrolJó el caso completo referente al acceso no autorizado a la información, de tal modo que la SDG pueda iniciar la implantación del modelo a la brevedad posible y con todos los elementos necesarios para dicho fin.

128

Trabajos futuros

Trabajos futuros

Los estándares ISO/IEC 17799 y 27001, señalan que es posible implantar controles de seguridad, ya sea en una parte de la organización o bien sólo para ciertos componentes de la infraestructura de TI. Con dicho antecedente en mente, a lo largo de este trabajo se diseñó un MASI, a la medida de la red interna de telecomunicación del corporativo de la SDG. Así mismo, se formuló la planeación necesaria para su implantación, comenzando por los controles que ayudarán a mitigar el riesgo valorado con el mayor nivel (acceso no autorizado a la información). En este senrido, sólo es necesario llevar a cabo las siguientes acciones para comenzar a operar el MASI:

• Obtener autorización del titular de la SDG, respecto a los riesgos residuales propuestos, así como para implantar y operar el MASI.

• Implantar los tres controles asociados al tratamiento del riesgo No. 1, con recursos propios de laSDG.

No obstanle, en el corto plazo se identifican las siguientes áreas de oportunidad, con la finalidad de implantar el resto de las medidas de seguridad propuestas en este trabajo:

• Preparar el SoA para el resto de los controles seleccionados, así como para aquellos que fueron descartados y los que actualmente se encuentran implantados.

• Elaborar los procedimientos para la implantación del resto de los controles seleccionados, en el orden de prioridad definido.

• Formular los planes de tratamiento para la implantación del resto de los controles seleccionados, en el orden de prioridad definido.

• Implantar el resto de los controles seleccionados, conforme a los procedimientos, planes de tratamiento y en el orden de prioridad definidos.

Una vez implantados todos los controles seleccionados, se requiere considerar lo siguiente para mantener el ciclo PI-IV A del MASI, expuesto en el apartado II.5.3 (figura 11.5):

• Operar las políticas, controles, procesos y procedimientos del MASI.

• Valorar el desempeño del MASI contra sus políticas y objetivos, así como reportar resultados a los directivos para su revisión.

• Tomar acciones preventivas y correctivas para la mejora continua del MASI, en base a resultados de auditoría interna y revisión de directivos.

Cabe señalar que una vez cumplidos los requisitos anteriores, la SDG puede optar ya sea por el cumplimiento de los están~ares o bien ~or_certificar su MASI. Por otro lado, también es posible tomar como base este trabaJo, para los s1gmentes trabajos futuros:

• •

E~te~dcr el MASI a otras áreas de la organización, así como a otros sistemas de información D1scnar un MASI acorde a otras organizaciones mexicanas y planificar sti 1·nip] t ·, ·

· · an ac1on.

129

Lista de tablas

Lista de tablas

Tabla III. I - Niveles de riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

Tabla III. 2 - Identificación de recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 80

Tabla III. 3 - Análisis de riesgos de alto nivel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... . . . . . . .. 81

Tabla 111. 4 - Valoración y dependencia de recursos . . . . . . . . . . . . . . ... . . . . . . . . . .. . . . . . . . . ... 82

Tabla III. 5 - Impacto de ocurrencia de amenazas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 82

Tabla III. 6 -Identificación y valoración de amenazas . . . . . . . . . . . . . . . . . . . . . ... . . . . . . . . ....... 83

Tabla III. 7 - Severidad de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 84

Tabla III. 8 -Identificación y valoración de vulnerabilidades . . . . . . . . . ................ . . ... 84

Tabla III. 9 - Matriz con valores predefinidos de riesgos . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . .. 85

Tabla III. 1 O - Valoración de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

Tabla lll. 11 - Prioridades en la selección de controles de seguridad . . . . . . . . . . . . .. . . . . .. 86

Tabla IV. 1 - Identificación de controles de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 90

Tabla IV. 2 - Costo total anual de riesgos de red interna en la SDG .. . . .. . . ..... .. . . . ... 91

Tabla IV. 3 - Inversión y gastos asociados al riesgo No. 1 . . . . . . . . . . . . . . . . . . ... . . . . . . . . . .. . 92

Tabla IV. 4 - Pérdida asociada a la aceptación del riesgo No. 1 . . . . . . . . ................ .. 92

Tabla IV. 5 - Ahorro asociado a la transferencia del riesgo No. 1 . . . . . . . . . . . . . . . . . . . . . .. 93

Tabla IV. 6- Ahorro asociado al tratamiento del riesgo No. 1 (recursos propios) . . ... 93

Tabla IV. 7 - Inversión y gastos asociados al riesgo No. 2 . . . . . . . . .. . . . .. .. . . . . ... . . .... .. 94

Tabla IV. 8 - Pérdida asociada a la aceptación del riesgo No. 2. .. . .. .. . . . . . . . .. . . . . . . .. 95

Tabla IV. 9 - Pérdida asociada a la transferencia del riesgo No. 2 . . . . . . . . . . . . . . . .. . . . . . . 95

Tabla IV. 1 O - Ahorro asociado al tratamiento del riesgo No. 2 (recursos propios) . . . 96

Tabla IV. 11 - Nuevo ahorro por tratamiento del riesgo No. 1 (recursos propios) . . . .. 97

Tabla IV. 12 - Nuevo ahorro por tratamiento del riesgo No. 2 (recursos propios) . . . .. 97

Tabla IV. 13 - Inversión y gastos asociados al riesgo No. 3 . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . 98

Tabla IV. 14 - Pérdida asociada a la aceptación del riesgo No. 3 ... ... . . . . . . . . . .. ..... .. 98

Tabla IV. 15 - Ahorro asociado a la transferencia del riesgo No. 3 . . . .. . . . . . . . . . . . . . . . . 99

Tabla IV. 16 - Ahorro asociado al tratamiento del riesgo No. 3 (recursos propios) . . . 99

Tabla IV. 17 - Inversión y gastos asociados al riesgo No. 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

Tabla IV. 18 - Pérdida asociada a la aceptación del riesgo No. 4 . . . . . . . . . . . . . . . . . . . . . ... 100

Tabla IV. 19 - Ahorro asociado a la transferencia del riesgo No. 4 . . . . . . . . . . . . . . . . . . . . . 1 O 1

130

Lista tic tablas

Tabla IV. 20- Ahorro asociado al tratamiento del riesgo No. 4 (recursos propios)... 101

Tabla IV. 21 - Inversión y gastos asociados al riesgo No. 5 .. .. .. .. .. . . . . .. .. .. . . . . . .. . . . 102

Tabla IV. 22 - Pérdida asociada a la aceptación del riesgo No. 5 .. .. . .. .. .. .. .. . . .. .. .. . 102

Tabla IV. 23 - Ahorro asociado a la transferencia del riesgo No. 5 . . . . . . . . . . . . . . . . . . . . . 103

Tabla IV. 24-Ahorro asociado al tratamiento del riesgo No. 5 (recursos propios)... 103

Tabla IV. 25 - Inversión y gastos asociados al riesgo No. 6...... .. ............. .. . . .. .. . 104


Tabla IV. 27 - Ahorro asociado a la transferencia del riesgo No. 6 . . . . . . . . . . . . . . . . . . . . . 105


Tabla IV. 29 - Inversión y gastos asociados al riesgo No. 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106


Tabla IV. 31 - Ahorro asociado a la transferencia del riesgo No. 7 . . . . . . . . . . . . . . .. . . . . . 107

Tabla IV. 32 - Ahorro asociado al tratamiento del riesgo No. 7 (recursos propios)... 107

Tabla IV. 33 - Inversión y gastos asociados al riesgo No. 8 . . . . . . . . . . . . . .. . .. . . . .. . . . . . . . 108


Tabla IV. 35 - Ahorro asociado a la transferencia del riesgo No. 8 . . . . . . . . . .. . . .. . . . . . . 109


Tabla IV. 37 - Inversión y gastos asociados al riesgo No. 9...... .. . . . .. .. .. . . .. .. . . .. . . . 110

Tabla IV. 38 - Pérdida asociada a la aceptación del riesgo No. 9 . . . . . . . . . . . . . . . . . . . . . ... 11 O

Tabla IV. 39 - Ahorro asociado a la transferencia del riesgo No. 9. .. ... . . . . . . . . . . . . . . . 111

Tahln IV. 40 - Ahorro asociado al tratamiento del riesgo No. 9 (recursos propios) . . . 111

Tabla IV. 41 - Inversión y gastos asociados al riesgo No. 1 O . . . . . . . . . . . . . . . . . . .. . . .. . .. .. 112

Tabla IV. 42 - Pérdida asociada a la aceptación del riesgo No. 1 O . . . . . . . . . . . . . . . . . . . . . . 112

Tabla IV. 43 - Ahorro asociado a la transferencia del riesgo No. 1 O . . . . . . . . . . . . . . . . . . .. 1 13

Tabla IV. 44 - Ahorro asociado al tratamiento del riesgo No. JO (recursos propios) .. 1 13

Tabla IV. 45 - SoA de controles seleccionados para el riesgo No. 1 . .. . . . .. . .. . . . . . . . ... 1 14

Tabla IV. 46 - Ahorro asociado al tratamiento de los I O riesgos (recursos propios).. 123

131

Lista de figuras

Lista de figuras

Figura I. 1 - Número de incidentes anuales de seguridad por encuestados . . . . . . .. . . . .. 7

Figura I. 2 - Pérdidas en USO de 313 organizaciones de EUA . . . .. .... ... . . . . . . . .. ...... 11

Figura I. 3 - Costo total promedio en libras de peor incidente en Reino Unido . . . . . . .. 12

Figura l. 4 - Evolución del ambiente de negocios del 2004 al 2006 . . . . . . . . . . . . . . . . . . . . . 13

Figura I. 5 - Administración de riesgos con terceros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 14

Figura l. 6 - Proporción de ataques internos y ex ternos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 14

Figura l. 7 - Principales tecnologías emergentes de riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 15

Figura l. 8 - Implantación de TolP en Reino Unido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

figura l. 9 - Medidas proactivas para proteger redes inalámbricas . . . . . . . . . . . . . . . . . . . . . . 17

Figura I. 1 O - Aspectos de mayor influencia en la seguridad de la información . . . . . . . 17

Figura l. 11 - Medidas implantadas para el cumplimiento del marco regulatorio . . . ... 18

Figura I. 12 - Impacto de la Ley Sarbanes-Oxley . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..... 19

Figura l. 13 - Incremento de inversión en seguridad del 2004 al 2006 . . . . . . . . . .. . . . . . . . 20

Figura I. 14 - Porcentaje del presupuesto de TI invertido en seguridad . . . . . . . . . . . . . . . .. 20

Figura l. 15 - Segmentación del presupuesto para seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Figura l. 16 - Evolución de la brecha de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Figura l. 17 - Elemento de mayor impacto en la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 23

Figura l. 18 - Puesta en práctica de medidas de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 24

Figura I. 19 - Reglamentos de mayor impacto en los últimos 12 meses . . . . . . . . . .. . . . . . 24

Figura l. 20 - Organización extendida . . . . . . . .. . . . . . . . . . .. . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . .. 25

Figura l. 21 - Enfoque en relaciones con terceros . . . . . . . . . . . . . . . . . . ... . . . . . . . . . . . . . . . . . . . . . 25

Figura l. 22 - Requerimientos en relaciones con terceros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 26

Figura l. 23 - Adopción de estándares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

Figura l. 24 - Tecnologías emergentes de mayor preocupación . . . . . . . . . . . . . . . . . . . . . . . . .. 27

Figura I. 25 - Atención de riesgos por tecnologías emergentes . . . . . . . . . . . . . . . . . . . . . . . . ... 28

Figura l. 26 - Organizaciones que cuentan con oficial de seguridad . . . . . . . . . . . . . . . . . . ... 28

Figura l. 27 - Alineación de la función de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 29

Figura l. 28 - Distribución de tiempo en seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

Figura l. 29 - Tecnologías de seguridad empicadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

Figura I. 30 - Mal uso de sistemas de información por parte del personal . . . . . . ... . . . . . 31

132

Lisia úe figuras

Figura l. 31 - Fuentes de ataques por tamaño de organización . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

Figura l. 32 - Porcentaje de pérdidas atribuído a ataques internos . . . . . . . . . . . . . . . . . . . . . .. 33

Figura l. 33 - Modelo de seguridad en capas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 34

Figura II. 1 - Proceso de Seguridad en IT-BPM . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . ... 41

Figura II. 2 - Proceso de Seguridad en ACSI 33 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

Figura II. 3 - Ciclo del estándar ISO/IEC 17799 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Figura II. 4 - Proceso PHV A acorde con el estándar BS7799-2 . . . . . . . . . . . . . . . . . . . . . . . . .. 51

Figura II. 5 - Modelo PHV A aplicado a procesos MASI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

Figura II. 6 - Estructura Organizacional por Procesos de la SDG . . . . . . . . . . . . . . . . . . . . . ... 56

Figura II. 7 - Ubicación Geográfica de la SDG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ............ 56

Figura II. 8 - Estructura Organizacional de la SDG por Procesos . . . . . . . . . . . . . . . . . . . . . ... 57

Figura 11. 9 - Evaluación de estándares de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 58

Figura 111.1 - Alcance del MAS] propuesto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63

Figura 111. 2 - Arquitectura propuesta de políticas y procedimientos de seguridad . . . . 65

Figura 111. 3 - Modelo institucional de seguridad de la información . . . . . . . . . . . . . . . . . . ... 68

Figura III. 4 - Relación entre objetivos y líneas estratégicas . . . . . . . . . . . . . . . . . . . . . . . . . . .... 70

Figura III.5 - Análisis de Riesgos Detallado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

Figura IV. 1 - Estructura organizacional propuesta para el MAS] . . . . . . . . . . . . . . . . . . . . . . . 1 J 9

Figura IV. 2 - Procedimiento para implantar los controles 11.1.1, 11.4.5 y 11.6.1 . . . . 120

Figura IV. 3 - Estructura detallada de trabajo (WBS) para tratar el riesgo No.1 . . . . . . 121

Figura IV. 4 - Programa de implantación de controles asociados al riesgo No. 1 ...... 122

133

J\m:xo J\: Términos y acrónimos empleados

ACSJ 33 BISO BSl-1 BSJ-2 CENACE CNBV CPM CSI DSD DoS DMZ DNS DTI EUA FBJ lCT IDS lP IPS lT-BPM LAN MAN MASJ OECD PE PEE PHVA PISI PSCC SDG SIG SoA TI ToIP uso VPN-1 VPN-2 WAN WBS

Anexo A Términos y acrónimos empleados

Instrucción 33 de Seguridad en Electrónica y Comunicaciones Australiana Oficial de Seguridad de la Información del Proceso Agencia Federal Alemana para la Seguridad en TI Instituto Británico de Estándares Centro Nacional de Control de Energía Comisión Nacional Bancaria y de Valores Método de Ruta Crítica Instituto de Seguridad en Cómputo Dirección de Señales y Defensa Negación de Servicio Zona Desmilitarizada Servidor de Nombres de Dominio Departamento de Industria de Reino Unido Estados Unidos de América Agencia Federal de Investigación Tecnologías de Comunicaciones e Información Sistema de Detección de Intrusos Protocolo de Internet Sistema de Prevención de Intrusos Manual de Protección Básica de TI Red de Área Local Red de Área Metropolitana Modelo de Administración de Seguridad de la Información Organización para el Desarrollo y Cooperación Económica Plan Estratégico de la SDG Productores Externos de Energía Ciclo Planear-Hacer-Verificar-Actuar Políticas Institucionales de Seguridad de la Información Manual de Seguridad Proactiva de la Commonwealth Organización Bajo Estudio Sistema Integral de Gestión Declaración de Aplicabilidad Tecnologías de Información (incluyendo Telecomunicaciones) Telefonía sobre IP Dólar Estadounidense Red Privada Virtual Valor Presente Neto Red de Área Amplia Estructura Detallada de Trabajo

134

Bibliografía

Bibliografía [ASH-06] Ashley, Mitchell, "Layered network security 2006: a bcst-practiccs approach",

www.stillsccure.com, 17/10/2006.

[BAR-98] Bamard, Lynette y Rossouw von Solms, "The evaluation and ccrtification of information security against BS 7799", lnformation Management & Computer Security, Vol. 6, Núm. 2, 1998, pp. 72-77.

[BEL-05] Belsis, Petros, Spyros Kokolakis y Evangelos Kiountouzis, "Information systems security from a knowledge management perspective", lnformation Managemcnt & Computer Security, Vol. 13, Núm. 3, 2005, pp. 189-202.

[BOT-01] Botha, Martin y Rossouw von Solms, "The utilization of trcnd analysis in the cffective monitoring of information security. Part l: the conccpt", Information Management & Computer Security, Vol. 9, Núm. 5, 2001, pp. 237-242.

[BOT-02] Botha, Martin y Rossouw von Solms, 'The utilization of trend analysis in the cffcctive monitoring of information security. Part 2: thc model", lnformation Managcment & Computcr Security, Vol. 10, Núm. 1, 2002, pp. 5-11.

[BR0-02] Brooks, W.J., M.J. Warren y W. Hutchinson, "A Sccurity Evaluation Criteria", Logistics Jnformation Management, Vol. 15, Núm. 5, 2002, pp. 377-384.

[BSI-04] IT-Grundschutz (2004), 1T Baseline Protection Manual, BSI (Bundcsamt für Sicherheit in der lnformationstechnik), Bonn.

[CHA-06] Chang, Arthur Jung-Ting y Quey-Jcn Yeh, "On security preparations against possible IS threats across industries", Jnformation Managemcnt & Computer Security, Vol. 14, Núm. 4, 2006, pp. 343-360.

[CRE/l-96] Cresson, Charles, "A policy for sending secret information over communications networks", Information Management & Computer Security, Vol. 4, Núm. 3, 1996, pp. 18-19.

[CRE/2-961 Crcsson, Charles, "Information owners, custodians and users", lnformation Managemcnt & Computer Security, Vol. 4, Núm. 4, 1996, pp. 34-35.

[CSI-06] Computer Security Institute/Federal Bureau of Jnvcstigation, 2006, Computer Crime and Sccurity Survey.

[DSD-06] ACSI 33 (2006), Australian Government Information and Communications Technology Security Manual, DSD (Defence Signals Direcloratc), Australia.

[DTI-06] Dcloittc Touchc Tohmatsu, 2006, Global Security Survey.

135

Bibliografía

[E&Y-05]

[FIT/ 1-95]

[FIT/2-95]

[FLE-01]

[FOR-94]

[FUL-03]

[GAR-03]

[GER-01]

[GUP-05]

[HON-03]

[IION-06]

[IDC-05]

[lS0-98]

Emst & Young, 2005, Global Information Security Survey.

Fitzgerald, Kevin J., "Security and data integrity for LANs and W ANs", lnformation Managemcnt & Computer Security, Vol. 3, Núm. 4, 1995, pp. 27-33.

Fitzgerald, Kevin J., "lnformation Security Baselines", Information Management & Computer Security, Vol. 3, Núm. 2, 1995, pp. 8-12.

Fleetwood, Chris, "You Have a Security Problem but Y Curse IT?", e-Business Strategy Management, Vol. 2, Núm. 4, 2001, pp. 273-280.

Forcht, Karen A., y Yuan-Wen Aven Tsai, "Security and Network Management: Changes in the Way We Work", Information Managcment & Computer Security, Vol. 2, Núm. 4, 1994, pp. 34-41.

Fulford, Heather y Nell F. Doherty, "The application of information security policies in large UK-based organizations: an exploratory investigation", Information Management & Computcr Security, Vol. 11, Núm. 3, 2003, pp. 106-114. Garg, Ashish, Jeffrey Curtis y Hilary Halper, "Quantifying the financial impact of IT security breaches", Information Management & Computer Security, Vol. 1 J, Núm. 2, 2003, pp. 74-83.

Gerber, Mariana, Rossouw von Solms y Paul Overbeck, "Formalizing information security requirernents", Jnforrnation Management & Computer Security, Vol. 9, Núm. 1, 2001, pp. 32-37.

Gupta, Atul y Rex Hammond, "Information systems security issues and decisions for srnall businesses", Information Management & Computcr Security, Vol. 13, Núm. 4, 2005, pp. 297-310.

Hong, Kwo-Shing, Yen-Ping Chi, Louis R Chao y Jih-Hsing Tang, "An integrated system theory of information security management", Information Management & Computer Security, Vol. 1 I, Núm. 5, 2003, pp. 243-248.

Hong, Kwo-Shing, Yen-Ping Chi, Louis R Chao y Jih-Hsing Tang, "An empírica] study of information security policy on information sccurity elevation in Taiwan", Information Management & Computer Security, Vol. 14, Núm. 2, 2006, pp. J 04-115.

IDC, 2005, Enterprise Security Survey.

ISO/IEC TR 13335 ( 1998), Information tcchnology - Guidclincs for the managcment of IT security - Part 3: Tcchniqnes for thc managemcnt of IT security, ISO (lntemational Organization for Standardization), Genova.

136

Bibliografía

[IS0/1-05] ISO/IEC 17799 (2005), Infonnation technology - Security techniques - Code of practice for information security management, ISO (lnternational Organization for Standardization), Genova.

[IS0/2-05] ISO/IEC 27001 (2005), Infonnation technology - Security techniques -Information security management systems - Requirements, ISO (lnternational Organization for Standardization), Genova.

[ITU-06] International Telecommunication Union, 2006, Security in Telecommunications and Infonnation Technology.

[KNA-06] Knapp, Kenneth J., Thomas E. Marshall, R. Kelly Rainer y F. Nelson Ford, "Information security: management's effect on culture and policy", Information Management & Computer Security, Vol. 14, Núm. 1, 2006, pp. 24-36.

[KOK-00] Kokolakis, S. A., A. J. Demopoulos y A. E. Kiountouzis, "The use of business process modelling in infonnation systems security analysis and design", lnformation Management & Computer Security, Vol. 8, Núm. 3, 2000, pp. 107-116.

[KIM-00]

[KW0-97]

[KW0-99]

[LIC-961

[LOE-99]

[LOU-01 J

[MCL-04]

Kim, Sangkyun y Choon Seong Leem, "Enterprise sccurity architecture in business convcrgcnce environments", Infonnation Management & Data Systcms, Vol. 105, Núm. 7, 2005, pp. 919-936.

Kwow, Lam-for, "Hypertext information security model for organizations", Information Management & Computer Security, Vol. 5, Núm. 4, 1997, pp. 138-148.

Kwok, Lam-for y Dennis Longley, "Information Security Management and Modelling", Information Management & Computer Security, Vol. 7, Núm. 1, 1999, pp. 30-40.

Lichtenstcin, Sharman, "Factors in the selection of a risk assessment method", Information Management & Computer Security, Vol. 4, Núm. 4, 1996, pp. 20-25.

Locw, Rohert, Ingo Stengel, Udo Bleimann y Aidan McDonald, "Security aspects of an enterprise-wide network architecture", Electronic Networking Applications and Policy, Vol. 9, Núm. 1, 1999, pp. 8-15.

Loukis, Euripidis, y Diomidis Spinellis, "Infonnation systems security in the Greek public sector", Information Management & Computer Security, Vol. 9, Núm.1,2001,pp.21-31.

McLeod, Ben, "Building a next-gcncration IT infrastructure", www.cntcrasvs.com, 1/10/2006.

137

Bibliografía

[MIT-99]

[NG0-99]

[ORL-97]

[PAT-05]

IPMl-04]

[PWC-06]

[SHE-03]

[SHI-05]

[SJP-001

[SK0-03]

[SPU-95]

[STE-05]

Mitchell, Ruth C., Rita Marcella y Graeme Baxter, "Corporate Information Security Managemcnt", New Library World, Vol. 100, Núm. 5, 1999, pp. 213-227.

Ngo, Huong Higgins, "Corporate system security: towards an integrated management approach", lnformation Management & Computer Security, Vol. 7, Núm. 5, 1999, pp. 217-222.

Orlowski, Steve, "Govcrnment initiatives in information technology security", lnformation Management & Computer Security, Vol. 5, Núm. 3, 1997, pp. J 11-1 J 8.

Pathak, Jagdish, "Risk Management, interna) controls and organizational vulnerabilities", Managerial Auditing Joumal, Vol. 20, Núm. 6, 2005, pp. 569-577.

PMBOK (2004), Projecl Management Body of Knowledge, PMI (Project Management lnstitute), EUA.

PriccwaterhouscCoopers, 2006, Information Security Breaches Survey.

Sherif, Joseph S., Rod Ayers y Tomrny G. Dearmond, "Intrusion dctection: the art and thc practice", Information Management & Computer Security, Vol. 11, Núm. 4, 2003, pp. 175-186.

Shih, Stephen C. y H. Joseph Wen, "E-enlerprise security management life cycle", lnformation Management & Computer Security, Vol. 13, Núm. 2, 2005, pp. 121-134.

Siponen, Mikko T., "Critica) Analysis of Different Approaches to Minimizing User-Related Faults in lnformation Systems Security: Implications for Research and Practice", Information Management & Computer Security, Vol. 8, Núm. 5, 2000, pp. 197-209.

Skoularidou, Victoria y Diomidis Spinellis, "Security architectures for network clients", Information Management & Computer Security, Vol. 11, Núm. 2, 2003, pp. 84-91.

Spurling, Phi), "Promoting Security awareness and commilment", lnformation Management & Computer Security, Vol. 3, Núm. 2, 1995, pp. 20-26.

Stewart, Andrew, "lnformation Security Technologies as a commodity input", lnformation Management & Computer Security, Vol. 13, Núm. 1, 2005, pp. 5-15.

138

Bibliografía

[TH0-98] Thomson, M.E. y R. von Solms, "Jnformation Security awareness: educating your users effectively", Information Management & Computer Security, Vol. 6, Núm. 4, 1998, pp. 167-173.

[TOF-81] Toftler, Alvin, La tercera ola, Edivisión, primera edición, México, 1981.

[TS0-04] Tsoumas Vassilis y Theodore Tryfonas, "From risk analysis to effective security management: towards an automated approach", Information Management & Computer Security, Vol. 12, Núm. 1, 2004, pp. 91-101.

[TS0-06] Tsohou, Aggeliki, Maria Karyda, Spyros Kokolakis y Evangelos Kiountouzis, "Formulating information systems risk management strategies through cultural theory", Jnformation Management & Computer Security, Vol. 14, Núm. 3, 2006, pp. 198-217.

[VER-02] Vermculen, Clive y Rossouw Von Solms, "The Information Security Management Toolbox - Taking the Pain out of Security Management", Jnformation Management & Computer Security, Vol. I O, Núm. 3, 2002, pp. 119-125.

[VON/1-98] Von Solms, Rossouw, "Information sccurity managemcnt ( 1 ): why information security is so important", lnformation Management & Computcr Security, Vol. 6, Núm. 4, 1998, pp. 174-177.

[VON/2-98] Von Solms, Rossouw, "Information security managcmcnt (2): guidelines to the management of information technology security (GMITS)", lnformation Management & Computer Security, Vol. 6, Núm. 5, 1998, pp. 221-223.

[VON/3-98] Von Solms, Rossouw, "lnformation security management (3): the Code of Practice for Information Security Management (BS 7799)", Information Management & Computer Security, Vol. 6, Núm. 5, 1998, pp. 224-225.

[WAR-03] Warren, M. y W. Hutchinson, "A sccurity risk managcment approach for ecommerce", lnformation Management & Computer Sccurity, Vol. 11, Núm. 5, 2003, pp. 238-242.

[WEI-94] Weiss, Kenneth P., "To serve and protect: Reconciling infomrntion protection with LAN Enviroments", Information Management & Computer Sccurity, Vol. 2, Núm. 3, 1994, pp. 19-25.

139

Documents

Modelo de administración de seguridad de la información