TEORA Y PRCTICA DEL ANLISIS DE RIESGO BAJO LA PTICA, METODOLOGA Y RECOMENDACIN DE LA NORMA ISO 27005

EDGAR ORLANDO BONILLA SALAMANCA

ESCUELA COLOMBIANA DE INGENIERIA JULIO GARAVITO SEGURIDAD INFORMTICA BOGOT D.C 2011 TEORA Y PRCTICA DEL ANLISIS DE RIESGO BAJO LA PTICA, METODOLOGA Y RECOMENDACIN DE LA NORMA ISO 27005

EDGAR ORLANDO BONILLA SALAMANCA

Proyecto del semestre. Anlisis de riesgo segn norma ISO 27005.

PROFESOR JAIME HERNANDO RUBIO RINCON ESCUELA COLOMBIANA DE INGENIERIA JULIO GARAVITO SEGURIDAD INFORMTICA BOGOT D.C 2011

CONTENIDO INTRODUCCION..4 ABSTRACCIN DEL TEMA..........5 INTRODUCCIN AL ESTUDIO..6 OBJETIVO DEL ESTUDIO..7 ALCANCE PRECISO...8 DESARROLLO TEORICO...9 DESARROLLO PRACTICO..12 Amenazas existentes en el centro de OSIRIS13 Amenazas existentes RACK principal de la ECI...19 Amenazas existentes laboratorios de Sistemas y Universidad..............21 DATOS INTERESANTES..........................................................................25 BIBLIOGRAFIA..........................................................................................26

INTRODUCCIN. Con la puesta en marcha de este proyecto se espera obtener como resultado del mismo un documento en el que se haga nfasis en el anlisis de riesgos de una organizacin bajo la ptica y recomendaciones que se tienen establecidas legalmente con la norma ISO 27005 del 2008. Tomando como referencia lo que implica la realizacin de un anlisis de riesgo dentro de cualquier contexto u organizacin, el cual trata de contestar estos tres grandes interrogantes.

Que se necesita proteger? De qu hay que protegerlo? Cmo realizar la proteccin?

Cabe resaltar que la organizacin que se enmarca dentro de este documento ser la universidad Escuela Colombiana de Ingeniera Julio Garavito, una entidad educativa privada sin nimo de lucro ubicada en la ciudad de Bogot ms exactamente en la AK. 45 No. 205-59 (Autopista Norte), en la cual como su nombre lo enmarca se encuentran a disposicin un sin nmero de carreras profesional basadas en su gran mayora en Ingenieras acompaadas con carreras profesionales como Economa, Matemticas y Administracin de Empresas con nfasis en Negocios Internacionales.

ABSTRACCIN DEL TEMA. En esta poca tan digitalizada en la que nos encontramos toda organizacin es casi obligada a incorporar en sus operaciones diarias algn tipo de herramienta de las TI para su desarrollo y procesos cotidianos. Por tal motivo es tan importante antes de invertir montones de dinero en los mismos realizar un anlisis de riesgos que estos puedan llegar a tener (o tiene) en la ejecucin de sus labores cotidianas, para no incurrir a futuro en gastos que de pronto no son del todo seguros por el riesgo tan alto de que puedan perderse o daar mas las operaciones internas que maneja la organizacin. Pues bien para nadie es desconocido que los activos informticos y los activos de la informacin son quienes en un determinado momento brindan ese soporte esencial dentro de una compaa para conocer y diagnosticar las operaciones a realizar dentro de la misma y de un modo evaluar el logro de los objetivos y metas propuestas, pero en ocasiones pasamos por alto

los riesgos a los que estos activos los tenemos expuestos ya sea por las condiciones en las que estn operando o sencillamente por el uso descontrolado que sufren.

Por tal motivo y para no caer en pnico si alguno de estos activos sufre algn dao, gracias a un conjunto de lineamientos y procesos contemplados en la ISO 27005 del 2008, se espera ayudar a la implementacin de un sistema de seguridad de la informacin basado en la gestin del riesgo, para que esos riesgos que se contemplen en el anlisis previo a la organizacin y a sus activos sean mitigados y de cierto modo reparados con el transcurrir de los procesos que nos recomienda ejecutar esta norma internacional ya acogida como un estndar en la seguridad informtica.

INTRODUCCIN AL ESTUDIO. El realizar un anlisis de riesgos en una organizacin es importante y dira yo obligatorio para el desarrollo y operacin de un sistema de seguridad de la informacin y en s mismo para las operaciones cotidianas que transcurren dentro de una empresa. Ya que en este anlisis se estn dejando las bases para la construccin del modelo de seguridad con el que va a contar la compaa y se estn representando todos los activos (informticos y de la informacin) con los que se van a contar y las amenazas a los cuales estn expuestos y deben en lo posible disminuirse para que no afecte las operaciones cotidianas de la organizacin por si sufren algn dao. Es por eso que me pondr en la tarea de realizar este estudio lo mas exhaustivo posible a la universidad a la cual pertenezco realizando mis carreras profesionales de Ingeniera de Sistemas y Administracin de Empresas, para entregar un documento que sea til para las labores cotidianas que en est transcurren ao tras ao y en los cuales he notado un sin nmero de riesgos que se tiene en sus instalaciones y que pueden repercutir negativamente en daar los activos informticos y de la informacin con los que se operan.

OBJETIVO DEL ESTUDIO.

Bsicamente lo que se quiere llegar a buscar con este tema es mirar la importancia de realizar en una organizacin (sin importar el modelo operativo que maneje) el anlisis de riesgos referente a la informacin que est maneja. Todo esto siendo posible con el conjunto de guas y lineamientos para el manejo y control de los riesgos en la seguridad de la informacin los cuales estn contemplados en un estndar de carcter internacional como lo es la ISO 27005 del 2008, en el cual tericamente dan una consecucin de procesos para la realizacin de esta labor y la comprensin de los resultado obtenidos de los mismos para su respectiva evaluacin. Siendo todo lo anteriormente expuesto resumido con la siguiente imagen. ALCANCE PRECISO. Para comenzar se propone obtener los permisos necesarios con las personas responsables de estos activos informticos y de la informacin para que puedan otorgarme el visto bueno de visitas a los centros donde se encuentra toda la operacin informtica principal de la Escuela Colombiana de Ingeniera Julio Garavito. Seguido de esto y ya con este visto bueno me pondr en la tarea de consultar y ejecutar todos los lineamientos (en lo posible) que se nos presentan en la ISO 27005 del 2008 para la realizacin de un anlisis de riesgo dentro de las instalaciones. Cabe anotar que cuento con un tiempo relativamente corto para la realizacin del mismo debido a mis otros deberes acadmicos adquiridos en este semestre y dependo en la gran mayora de la ayuda y horarios de atencin que en los centros informticos puedan prestarme, no siendo esto una excusa para en lo que est a mi alcance poder aprovechar estos recursos y poder entregar un documento acorde a lo establecido para la entrega final del proyecto y cumplir a cabalidad y satisfaccin lo que se espera como producto del mismo. Un dato para resaltar y que se debe tener muy presente en este trabajo y sus resultados, es que la norma ISO 27005 no ofrece como tal una metodologa especfica o estndar para la realizacin de un anlisis de riesgo de la informacin dentro de una organizacin, debido a que depende en su gran mayora del modelo operacional y estratgico que ejecute la misma para poder realizar este anlisis de riesgos y es distinto en cada organizacin.

DESARROLLO TEORICO.

Antes de comenzar a desarrollar este trabajo se me hace til e importante resaltar que la norma ISO 27005:2008 hace necesario que se tengan en cuenta y claros los conceptos, terminologas y premisas que se dan en las anteriores normas ISO que tengan que ver con el SGSI, como lo son:

NTC-ISO/IEC 27001:2006 Sistema de Gestin de la Seguridad de la Informacin (SGSI), Requisitos y auditoria.

NTC-ISO/IEC 27002:2007 Cdigo de prctica para la Gestin de la Seguridad de la Informacin.

A continuacin dar y enunciare en mis palabras conceptos que se nos enumera en la norma ISO 27005 y que son claves tener en cuenta para entender el contenido de este documento y que son los que ms se resaltan en las norma ISO anteriormente mencionadas.

Impacto: Es el resultado de medir la forma como se afectaron los niveles propuestos de una organizacin en pro de alcanzar sus objetivos.

Riesgo: Es la forma como una amenaza puede llegar a afectar las vulnerabilidades de los activos informticos y de la informacin causando un dao en las operaciones de una organizacin.

Evitar un riesgo: Es la forma en la que se opera y las acciones de echo que se toman para no verse afectado por la materializacin de un riesgo.

Comunicacin de riesgos: Es la accin de compartir informacin del riesgo a personas que estn interesadas en el mismo o que de un modo se vean afectadas por la materializacin del mismo.

Estimacin del riesgo: Es la asignacin de la probabilidad de ocurrencia de un riesgo y las consecuencias que este traera a la organizacin.

Identificacin del riesgo: Proceso de encontrar, enumerar y describir los componentes de un riesgo

Reduccin del riesgo: Acciones que se toman para mitigar la materializacin de un riesgo.

Retencin del riesgo: Aceptacin de la prdida o ganancia que se obtiene despus de materializado un riesgo

Transferencia del riesgo: Es el compartir la prdida o ganancia resultante despus de la materializacin de un riesgo.

Ya enumerado y explicados los siguientes conceptos, entraremos a ver en qu consisten las actividades para la Gestin de la Seguridad en la Informacin que nos propone la norma ISO 27005:2008 los cuales enumerare a continuacin en el orden que la norma ISO nos los da a conocer y se resumir con una tabla que la norma nos ofrece. 1. 2. 3. 4. 5. 6. Establecimiento del contexto. Valoracin del riesgo. Tratamiento del riesgo. Aceptacin del riesgo. Comunicacin del riesgo. Monitoreo y revisin del riesgo.

Proceso de SGSI

Proceso de gestin del riesgo en la seguridad de la informacin. Establecer el contexto. Valoracin del riesgo.

Planificar Planificacin del tratamiento del riesgo. Aceptacin del riesgo. Implementacin del plan del tratamiento del riesgo Monitoreo y revisin continuos de los riesgos

Hacer Verificar

Actuar

identificados. Mantener y mejorar el proceso de gestin del riesgo en la seguridad de la informacin

Tabla tomada de la norma ISO 27005:2008 pgina 6

Donde bsicamente se nos recalca que la gestin del riesgo en la seguridad de la informacin debe ser siempre un proceso continuo dentro de una organizacin, en donde se enmarquen y se sigan los siguientes procesos a mencionar. 1. Establecer el contexto. 2. Evaluar los riesgos. 3. Tratar los riesgos, dado un plan previo de tratamiento.

Todo lo anterior resaltado para llegar a mencionar los beneficios que se obtendran al aplicar a cabalidad lo enunciado y trabajado en este documento dentro de las instalaciones de la Escuela Colombiana de Ingeniera Julio Garavito (ECI) y ms especficamente al departamento o rea de OSIRIS que en gran medida son los responsables de manejar y velar por el optimo funcionamiento de los activos informticos y de la informacin. 1. Identificacin ms exacta de los riesgos que se tienen o se pueden llegar a tener con el pasar del tiempo en las instalaciones del claustro educativo. 2. Valoracin de los riesgos, enmarcando principalmente las consecuencias para la organizacin y la probabilidad de ocurrencia dentro de la misma. 3. La comunicacin y entendimiento previo de las consecuencias que traera el desarrollo de un determinado riesgo dentro de la ECI. 4. Orden de prioridad para el tratamiento de los riesgos que ms afectaran a la comunidad educativa. 5. Acciones de hecho para reducir en gran medida la ocurrencia de la probabilidad de ese riesgo dentro del claustro educativo. 6. Una comunicacin constante entre los miembros que se ven involucrados en la toma de decisiones dentro de la ECI para no ver afectada las operaciones que en esta transcurren diariamente. 7. Un control ms exhaustivo de los procesos que conllevan a la seguridad de la informacin dentro de la ECI. 8. Capacitacin del personal que maneja el SGSI en la ECI, acerca de los riesgos y acciones que han de tomarse para mitigar el impacto de un riesgo si este se diera.

Recomendacin. Mantener este activo y la cubierta que lo protege cerrado y en constante aseo. Pudindosele adaptar un candado al mismo para que sea abierto solo por el personal autorizado y nadie ms y as prevenir que le caigan residuos a la maquina.
Nota: Se tiene unos Sistemas Operativos recomendados (Linux y Windows server 2008)

3. Marco legal y cumplimiento. Activo Amenaza Control Consecuencias existente

Tener el nico extintor Sanciones por no cumplir con de la sala en el piso. Zona de los estndares de seguridad Este sin ninguna clase o data Ninguno. industrial. Vindose en riesgo norma de seguridad center. la continuidad del negocio si industrial. Y sin su ocurriese una conflagracin. sealizacin pertinente.

Recomendacin. Adquisicin de un estante para colocar este utensilio, siendo solo este insuficiente para extinguir un incendio y necesitndose por lo menos otros 3 (tres) con su respectiva sealizacin dentro de la zona en la que opera el data center de la ECI. 4. Seguridad de los recursos humanos. Control Consecuencias existente Exposicin constante al La medicina afirma que el personal de OSIRIS, a funcionamiento del corazn Zona de los campos e impulsos se ve afectado, cuando est data Ninguno magnticos y elctricos se expone a grandes center que producen todos los campos e impulsos servidores. magnticos. Activo Amenaza

Recomendacin. Pensar en la reubicacin de este departamento o la adecuacin de otros espacios para el data center. Como anotacin cabe destacar que segn recomendaciones hechas por el docente Jaime Rubio Rincn los grandes data centers se encuentran en niveles inferiores o subterrneos de una organizacin para prevenir y protegerlos de posible terremotos (Obviamente en zonas de baja influencia de agua, para prevenirse de inundaciones). Amenazas existentes en el RACK principal de la ECI. 1. Seguridad fsica y del entorno. Control Consecuencias existente Con la gran cantidad de Zona del Conflagraciones a cables esparcidos en el RACK causa del desorden en Ninguno interior del recinto estos principal de los cables que se pueden llegar a ocasionar la ECI. encuentran en el RACK. un corto circuito. Activo Amenaza

Recomendacin. Dar una mejor organizacin a este espacio tan vital para la operacin de la ECI. Tomando como ejemplo otras organizaciones y la manera como organizan el cableado de forma canalizada.

Activo

Amenaza

Control Consecuencias existente Prdida de tiempo valioso para actuar como lo es debido, en el caso de que se originare un incendio.

Falta de alarma que avise Zona del si se ocasiona un RACK incendio. Teniendo en Ninguno principal de cuenta adems que el la ECI. techo es de madera un material inflamable.

Recomendacin. Adecuacin del techo del recinto donde opera el RACK con otro material y adems la instalacin de una alarma contra incendios. (Tal como se encuentra en el data center de la ECI)

Amenazas existentes laboratorios de Sistemas y Universidad. 1. Seguridad fsica y del entorno. Activo Zona del laboratorio de infraestructura computacional. Control Consecuencias existente Con la gran cantidad de Conflagraciones a cables esparcidos en el causa del desorden interior del recinto estos en los cables que se Ninguno pueden llegar a encuentran en el ocasionar un corto laboratorio. circuito. Amenaza

Recomendacin. Dar una mejor organizacin a estos espacios tan vitales para la operacin de los laboratorios y de los estudiantes que a diario hacen uso de los mismos.

2. Adquisicin, desarrollo y manutencin de sistemas de informacin.

Activo Zona del laboratorio del B0.

Control existente Falta de un SW Hasta el da que proteja el PC de este contra el malware informe van 5 que existe en la das sin el actualidad. antivirus. Amenaza

Consecuencias Alta probabilidad de adquirir e infectar las estaciones de trabajo con un virus que dae la informacin o los perifricos.

Recomendacin.

Renovar nuevamente las licencias de los antivirus para las estaciones de trabajo de los laboratorios en la universidad. Debido a que las maquinas a diario son utilizadas por una cantidad considerable de usuarios y estos acceden mucho a servicios de internet y en este se encuentran muchos virus.

3. Gestin de activos.

Activo

Amenaza

Control Consecuencias existente Infeccin de virus a las estaciones de trabajo por medio de la conexin y uso de esos dispositivos removibles.

Permitir la conexin de Zona de memorias laboratorios. removibles (USB).

Ninguno.

Recomendacin. Existen programas antivirus (como MX ONE) que son enfocados a dispositivos removibles y que al momento de conectar uno de estos dispositivos, primero los analiza para confirmar que no tenga ningn virus. Otra noticia positiva es que es totalmente gratuito y libre de adware, spyware y virus.

4. Continuidad del negocio, acompaado de manejo de incidentes.

Activo Todas las instalaciones del Claustro educativo.

Control existente Estar en la lista de El tener solo un ETB como proveedor de Grandes Clientes internet como y por ende asegurar lo es ETB. un rpido y ptimo soporte cuando as

Amenaza

Consecuencias Quedar sin el servicio de internet, generando fallas o interrupciones en el servicio.

se necesite.

Recomendacin. Adquirir con otro proveedor de internet un contrato, de modo que se apoye con el existente y as prevenir interrupciones en el servicio dentro de todas las operaciones y labores cotidianas que transcurren en la universidad.

DATOS INTERESANTES. Tras las visitas realizadas me doy cuenta que OSIRIS cuenta con una arquitectura organizacional bien definida y sus roles dentro del departamento se encuentran distribuidos satisfactoriamente. Siendo esta una razn primordial e importante que se recomienda tener en la norma ISO 27005:2008, ya que se ha de identificar rpidamente las personas a cargo de la toma de decisiones en momentos que se necesite con urgencia la intervencin de un nivel superior (escalar) para as implementarlas y comunicar las medidas a tomar en algn evento inesperado. Debido a que son ellos los que han de tomar las medidas necesarias rpidamente cuando as se necesite. Llegando a identificar con todo esto, que dentro del departamento de OSIRIS se coordinan procesos de vital importancia para la Universidad y que hay personal identificado para cada tarea y soporte.

1. Coordinador de OSIRIS: Julin Garca Mesa. 2. Coordinador de Produccin: Jimmy 3. Coordinador de Infraestructura: Javier Ros Gmez.

Dndome ellos a conocer unas de las diferentes labores que se tienen dentro del departamento como lo son: (1) 1. Se encuentran entre 2 y 3 personas, cuya funcin se centra en desarrollar productos SW para la Universidad.

2. Las contraseas de vital importancia con las que se protegen los servidores son de conocimiento de las 3 personas mencionadas anteriormente, adems son quienes tienen el control y total acceso a documentos importantes que los centros informticos manejen.

3. Los back up que se realizan a estos servidores, es una labor que se realiza a diario automticamente dos veces por da. Entre las (10:00pm 6:30am)

4. Los mantenimientos al data center, se tiene como protocolo informar a la comunidad educativa con un plazo de 3 a 4 das, por lo general se realizan los sbados para no interrumpir en gran medida las labores cotidianas en la universidad y no afectar a los usuarios drsticamente.

1. Cabe anotar que esta informacin es de alta sensibilidad y toda organizacin es cautelosa
en comunicarla con alto grado de detalle.

BIBLIOGRAFIA.

Norma ISO 27005:2008 http://www.iso27001security.com/html/27005.html http://www.miguelangelhernandez.es/?p=607

http://www.27000.org/iso-27005.htm http://sgsi-iso27001.blogspot.com/2008/06/ms-informacin-sobre-iso270052008.html http://www.segurinfo.org.ar/SITIO2009/Programa09/presentaciones/1610_E SET.pdf http://www.mxone.net