Академический Документы
Профессиональный Документы
Культура Документы
Contenido
TRABAJO FINAL DE CARRERA: ................................................................................................... 1
GESTION DE LA SEGURIDAD BASADA EN LA ISO/IEC 27001 ..................................................... 1
Autor: Xavier Duch .................................................................................................................... 1
Titulacin: Ingeniero Tcnico de Informtica de Gestin ......................................................... 1
Consultor: Cristina Perez ........................................................................................................... 1
Fecha de entrega: 13-06-2014 .................................................................................................. 1
Contenido .................................................................................................................................. 2
1
Licencia .................................................................................................................................. 6
Dedicatoria y agradecimientos.............................................................................................. 6
Introduccin .......................................................................................................................... 8
5.1
Justificacin del TFC i contexto: punto de partida i aportacin del TFC ....................... 8
5.2
5.3
5.4
5.5
5.6
Personal ............................................................................................................... 12
6.1.2
Activos ................................................................................................................. 13
6.1.3
Tecnologa ........................................................................................................... 13
6.1.4
6.1.5
6.1.6
6.1.7
Tratamiento de Riesgos....................................................................................... 17
6.2.2
6.2.3
6.2.4
6.2.5
6.2.6
6.2.7
6.2.8
6.3
6.3.1
6.3.2
6.3.3
6.3.4
6.3.5
6.3.6
6.3.7
6.3.8
6.4
6.4.1
Empleados ........................................................................................................................... 24
Proveedores / posibles proveedores .................................................................................. 25
Clientes / posibles Clientes ................................................................................................. 25
6.4.2
Diseo .................................................................................................................. 26
6.4.3
Conclusiones........................................................................................................ 26
6.5
6.5.1
Inventariado Activos............................................................................................ 27
6.5.2
6.6
6.7
Requisitos .................................................................................................................... 28
6.8
Implementacin .................................................................................................................. 28
7.1
7.1.1
7.2
7.2.1
7.2.2
7.2.3
7.2.4
7.2.5
7.2.6
7.2.7
7.2.8
7.2.9
7.2.10
7.3
7.3.1
Indicadores .......................................................................................................... 49
7.3.2
8.2
8.2.1
Auditorias ............................................................................................................ 51
8.2.2
Revisin Posterior................................................................................................ 51
9.2
9.3
10
Glosario ........................................................................................................................... 53
10.1
10.2
10.3
Autenticacin .............................................................................................................. 53
10.4
Confidencialidad .......................................................................................................... 53
10.5
Cortafuegos ................................................................................................................. 53
10.6
Disponibilidad .............................................................................................................. 53
10.7
10.8
Integridad .................................................................................................................... 53
4
10.9
IPS ................................................................................................................................ 53
10.10
10.11
10.12
10.13
Vulnerabilidad ......................................................................................................... 54
10.14
No conformidad ...................................................................................................... 54
10.15
Observacin............................................................................................................. 54
10.16
11
Bibliografa ...................................................................................................................... 55
12
Anexos ............................................................................................................................. 56
12.1
12.3
12.4
1 Licencia
Esta obra est sujeta a una licencia de reconocimiento no comercial sin obra derivada 3.0 Espaa de
Creative Commons.
2 Dedicatoria y agradecimientos
Quiero dedicar este proyecto en especial a mis padres por haberme apoyado en todo momento, por sus
consejos, sus valores, por la motivacin constante que me ha permitido ser la persona quien soy ahora.
A mis abuelos de los que siempre me han apoyado en estudiar, en avanzar y me han dado toda su
alegra. Tambin a toda mi familia que siempre est ah cuando se la necesita. Gracias Familia.
A mis amigos para aguantarme en estos momentos de mxima concentracin y para apoyarme en todo
momento.
Finalmente quera agradecer toda la ayuda y consejos que me ha ofrecido Cristina Perez, en este
proyecto. Gracias Cristina.
4 Tablas y Figuras
Figura 1 Metodologa
Figura 4 Personal
Figura 6 Gestin de Riesgos
Figura 7 Team Fundation Server
Figura 8 SharePoint
Figura 9 Monitorizacin
Figura 10 Firewall Avanzado
Figura 11 IPS ASA
Figura 12 Veeam Backup
Figura 13 Cloud Google Apps
Figura 14 Sistema Final
Figura 15 Canales Comunicacin
Figura 16 Empleados
Figura 17 Proveedores1
Figura 18 Proveedores2
Figura 19 Clientes
Figura 20 Ciclo trabajo Implementacin
Figura 21 Requisitos
Figura 22 Vulnerabilidades
Figura 23 Nagios
Figura 24 OpsView
Figura 25 SonicWall
Figura 26 SharePoint
Figura 27 Veeam Backup
Figura 28 Antivirus
Figura 29 Proteccin Firewall
Figura 30 Gestin Incidentes
Tabla1 Planificacin
Tabla 2 Inventariado Activos
Tabla 3 Valoracin Activos
5 Introduccin
5.1
Para el desarrollo de este proyecto partimos inicialmente con una aceptacin, por parte de Direccin de
EkinderGarden, para la implementacin de los cambios que describiremos en las prximas pginas.
Mi aportacin en el TFC es como Responsable de Sistemas y con suficientes conocimientos y privilegios
para poder desarrollar e implementar la totalidad del TFC.
5.2
En este punto definiremos los diferentes objetivos de seguridad necesarios para resolver el problema.
El objetivo principal para la resolucin del problema consiste en mejorar la gestin de la seguridad en
todo el alcance que compone el sistema de la seguridad de la informacin de EkinderGarden y darle un
valor aadido a la certificacin ISO 27001.
Los objetivos secundarios relacionados con el objetivo principal son los siguientes:
5.3
Enfoque y metodologa
Planificar
En esta fase tiene lugar la creacin del SGSI, con la definicin del alcance y la Poltica de Seguridad. El
ncleo fundamental de esta fase y del SGSI es la realizacin de un anlisis de riesgos que refleje la
situacin actual de la entidad. A partir del resultado de este anlisis se definir un plan de tratamiento
de riesgos que conlleva la implantacin en la organizacin de una serie de controles de seguridad con el
objetivo de mitigar los riesgos no asumidos por la Direccin.
Hacer
Esta fase cubre la implantacin del plan de tratamiento de riesgos, su ejecucin. Incluye tambin la
formacin y concienciacin de los empleados en materia de seguridad y la definicin de mtricas e
indicadores que sirvan para evaluar la eficacia de los controles implantados.
Comprobar
Durante esta fase se realizan diferentes tipos de revisiones para comprobar la correcta implantacin del
sistema. Entre ellos, se realiza una auditora interna independiente y objetiva, as como una revisin
global por Direccin, con el objetivo de marcarse nuevas metas a cubrir en el prximo ciclo.
Mejorar
El resultado de las revisiones debe reflejarse en la definicin e implantacin de acciones correctivas,
preventivas y de mejora para avanzar en la consecucin de un sistema eficaz y eficiente.
La metodologa PDCA describe una serie de tareas que deben realizarse para el cumplimiento y
seguimiento de los objetivo de seguridad y aplicados a este proyecto. Las fases enlazadas a la
metodologa son las siguientes:
Planificar corresponder a la fase 1 y fase 2 de nuestra planificacin
Hacer corresponder a la fase 3 de nuestra planificacin.
Comprobar corresponder a las lneas de trabajo futuras.
Mejorar corresponder a las lneas de trabajo futuras.
El resultado esta descrito en el siguiente apartado
5.4
Planificacin Inicial
Describiremos las tareas de las cuales estn formadas las diferentes fases del proyecto. Estas sub-tareas
estn diseadas mediante la aplicacin Project y especificadas mediante el Diagrama de Gantt. El
resultado es el siguiente
La especificacin de las tareas es la siguiente:
Nombre de tarea
Duracin
Comienzo
Fin
14 das
2 das
2 das
3 das
1 da
2 das
2 das
2 das
mi 26/02/14
mi 26/02/14
vie 28/02/14
mar 04/03/14
vie 07/03/14
lun 10/03/14
mi 12/03/14
vie 14/03/14
lun 17/03/14
jue 27/02/14
lun 03/03/14
jue 06/03/14
vie 07/03/14
mar 11/03/14
jue 13/03/14
lun 17/03/14
20 das
1 da
2 das
2 das
2 das
3 das
1 da
2 das
2 das
2 das
3 das
2 das
1 da
mar 18/03/14
mar 18/03/14
mi 19/03/14
jue 20/03/14
lun 24/03/14
mi 26/03/14
mi 26/03/14
jue 27/03/14
mar 01/04/14
jue 03/04/14
lun 07/04/14
jue 10/04/14
lun 14/04/14
lun 14/04/14
mar 18/03/14
jue 20/03/14
vie 21/03/14
mar 25/03/14
vie 28/03/14
mi 26/03/14
vie 28/03/14
mi 02/04/14
vie 04/04/14
mi 09/04/14
vie 11/04/14
lun 14/04/14
Fase 3 Implementacin
Revisin Objetivos + Indicadores Seguridad
Implementacin Mejoras
Implementacin Canales comunicacin
Implementacin de Acceso Web a Clientes
Implementacin de Concienciacin Seguridad Empleados
Implementacin de Gestin Auditorias Proveedores
Documentacin de las polticas de Seguridad
Poltica de Seguridad
Organizacin de la Seguridad
Seguridad en Recursos Humanos
Seguridad fsica y ambiental
Gestin de las comunicaciones y operaciones
25 das
1 da
8 das
2 das
3 das
1 da
2 das
15 das
1 da
1 da
1 da
1 da
3 das
mar 15/04/14
mar 15/04/14
mi 16/04/14
mi 16/04/14
vie 18/04/14
mi 23/04/14
jue 24/04/14
mar 29/04/14
mar 29/04/14
mi 30/04/14
jue 01/05/14
vie 02/05/14
lun 05/05/14
lun 19/05/14
mar 15/04/14
vie 25/04/14
jue 17/04/14
mar 22/04/14
mi 23/04/14
vie 25/04/14
lun 19/05/14
mar 29/04/14
mi 30/04/14
jue 01/05/14
vie 02/05/14
mi 07/05/14
1 da
1 da
1 da
4 das
1 da
1 da
1 da
1 da
1 da
0,5 das
0,5 das
1 da
1 da
1 da
lun 05/05/14
mar 06/05/14
mi 07/05/14
jue 08/05/14
jue 08/05/14
vie 09/05/14
lun 12/05/14
mar 13/05/14
mi 14/05/14
mi 14/05/14
mi 14/05/14
jue 15/05/14
vie 16/05/14
lun 19/05/14
lun 05/05/14
mar 06/05/14
mi 07/05/14
mar 13/05/14
jue 08/05/14
vie 09/05/14
lun 12/05/14
mar 13/05/14
mi 14/05/14
mi 14/05/14
mi 14/05/14
jue 15/05/14
vie 16/05/14
lun 19/05/14
19 das
5 das
4 das
10 das
mar 20/05/14
mar 20/05/14
mar 27/05/14
lun 02/06/14
vie 13/06/14
lun 26/05/14
vie 30/05/14
vie 13/06/14
5 das
2 das
3 das
lun 16/06/14
lun 16/06/14
mi 18/06/14
vie 20/06/14
mar 17/06/14
vie 20/06/14
Tabla 1 Planificacin
Planificacin final
Durante las diferentes fases del proyecto hemos realizado algunos cambios en la planificacin. Los
cambios realizados son:
Tareas en la fase Anlisis, requisitos y diseo
Hemos cambiado el orden de las siguientes tareas:
Revisin de polticas seguridad: la revisin de las polticas de seguridad dentro un sistema
de seguridad de la informacin deben realizarse una vez finalizado la gestin del riesgo, por
lo tanto esta tarea se mover al final dentro la fase 2 de diseo.
Diseo canales de comunicacin: el diseo de cualquier solucin en seguridad de la
informacin debe realizarse antes del anlisis, por la tanto esta tarea debe ir antes de la
gestin del riesgo.
Tareas la fase de Implementacin
Hemos cambiado las siguientes tareas:
Revisin de indicadores: la revisin de los indicadores debe definirse en la parte final de
las implementaciones como medida de revisin de la eficacia dentro del sistema de
seguridad de la informacin, por lo tanto moveremos esta tarea al final de esta fase.
Adicionalmente la tarea de revisin de objetivos la describiremos en este documento de
memoria del proyecto.
Visin General de la Documentacin: hemos creado una nueva tarea para resumir las
conclusiones finales en la fase de implementacin y remarcar la existencia de las auditorias
de seguridad como revisin de la eficacia dentro el sistema de seguridad de la informacin.
5.5
Productos obtenidos
En este TFC no se ha desarrollado ningn producto de software pero si se ha implementado una serie de
polticas de seguridad mediante unos cambios en el sistema de seguridad de la informacin con la
finalidad mejorar la seguridad en todos los mbitos. Por lo tanto el producto obtenido consiste en
mejorar las polticas de seguridad en un sistema de seguridad en base a la normativa de seguridad ISO
27001. Las polticas que hemos gestionado y producto obtenido son las siguientes:
Una vez obtenida la planificacin de este proyecto describiremos un resumen de la composicin de los
puntos de la memoria. El resultado es el siguiente:
Anlisis, Requisitos y Diseo
En esta parte realizaremos el anlisis, requisitos y diseo de todo el TFC. Describiremos la situacin
actual dentro el sistema de la seguridad, el alcance, el anlisis de seguridad enlazado a los activos de
todo el sistema, realizaremos un anlisis de riesgos de todos los activos y si obtenemos activos con
riesgos no aceptable realizaremos su tratamiento.
Implementacin
En esta parte realizaremos toda la implementacin en base el diseo, los requisitos definidos en la
anterior fase, la revisin de las nuevas polticas de seguridad y finalmente la implementacin de las
polticas, procesos y de todos los controles a modificar en base a la normativa ISO 27001.
Memoria y Producto Final
Esta parte est formada por todos los puntos anteriores, las conclusiones finales y la revisin del
cumplimiento de los objetivos finales en del TFC.
6 Anlisis y Diseo
Despus de realizar la planificacin del proyecto de Gestin de la Seguridad en EkinderGarden nos
centraremos en la parte de anlisis de requisitos y diseo de la solucin.
Para la realizacin de la parte de anlisis de requisitos y diseo debemos aplicar la metodologa PDCA de
la norma ISO 27001, concretamente la parte de PLANIFICAR. Dicha parte fue descrita en la fase de
planificacin y est formada por una serie de tareas que complementan la resolucin de esta parte. Las
Tareas a implementar son las siguientes:
11
6.1
Personal
Activos
Tecnologa
Poltica de Seguridad
Gestin del Riesgos
6.1.1
Personal
Todo el personal de EkinderGarden, directamente o indirectamente, est dentro el alcance del sistema
de la seguridad. El personal dentro del alcance directo es el siguiente:
12
El responsable de Seguridad
Comit de Direccin
6.1.2
Activos
Actualmente los activos del sistema de la informacin de EkinderGarden estn clasificados en diferentes
agrupaciones. Estas agrupaciones son:
6.1.3
Personas: contiene todas las reas y personas dentro el alcance de la normativa ISO 27001
Comunicaciones: contiene los activos de todos los dispositivos de comunicaciones,
Routers, Firewalls, switches.
Infraestructura: contiene los activos de todos los dispositivos fsicos: Servidores, edificios,
CPD
Software: contiene los activos todos los aplicativos de software: Sistemas Operativos,
aplicaciones...
Informacin: contiene los activos de los repositorios de informacin: Archivos de datos,
repositorio cdigo fuente.
Intangibles: contiene los activos de la reputacin y la imagen de la empresa.
Tecnologa
El sistema de la informacin de EkinderGarden est fsicamente formado por dos CPD. El CPD de
Barcelona y el CPD del proveedor de Hosting.
La situacin actual de los 2 CPD de la infraestructura informtica EkinderGarden, esta implementada
en:
CPD Hosting
Los 3 servidores de nuestro Hosting estn situados en el CPD de Nexica, implementados con el sistema
Windows Server 2008 Web Edition y el sistema donde se almacenan los datos de nuestros clientes es
SQL Server 2012. A parte de los 3 servidores virtuales existe una red de copias de seguridad y
13
para la
CPD Barcelona
El CPD de Barcelona dispone de una sala de servidores formado por dos armarios Rack: Un armario para
las comunicaciones externas e internas y otro armario para los servidores. La principal tecnologa de los
servidores es la virtualizacin de mquinas virtuales.
Los servidores trabajan bajo sistema operativo Vmware. Los servidores virtuales que ofrecen los
principales servicios trabajan con sistema Windows Server 2008, por ejemplo, el servidor de ficheros, el
servidor de correo electrnico y los servidores de desarrollos y test de las aplicaciones.
Las comunicaciones de nuestra red estn configuradas mediante VPN IPSEC. Los usuarios con permiso
pueden acceder al sistema mediante VPN cliente. La tecnologa de nuestras redes es CISCO.
6.1.4
Poltica de Seguridad
Normal (1)
Ejemplos de ello son la informacin que se publica en Internet (Informacin pblica), el cdigo fuente o
los registros financieros.
El nivel de integridad Normal deber ser seleccionado para los objetos dnde la modificacin no
autorizada no dara lugar a un dao significativo para Compensa.
Ejemplos de ello son la correspondencia y la informacin publicada en el portal del empleado de
Compensa.
14
Disponibilidad
Alto (3)
Normal (2)
Bajo (1)
Tiempo Recuperacin
El nivel de disponibilidad Alto deber ser seleccionado para los objetos si:
- La falta de disponibilidad de los objetos de ms de 4-24 horas podra dar lugar a
graves consecuencias para Compensa
- La prdida de datos aceptables en el caso de un desastre es menor a 12 horas.
- El requisito de nivel de servicio es alto
El nivel de disponibilidad Normal deber ser seleccionado para los objetos si:
- La falta de disponibilidad de los objetos de ms de 24 a 72 horas conducira a
consecuencias moderadas para Compensa
- La prdida de datos aceptables en el caso de un desastre es menor a 24 horas
- El requisito de nivel de servicio es de tamao medio
El nivel de disponibilidad Bajo deber ser seleccionado para los objetos si:
- Los objetos no estn disponible en ms de 72 horas
- La prdida de datos aceptables en el caso de un desastre es ms de 24 horas
- El requisito de nivel de servicio es baja
> 4 hrs
< 24 hrs
> 24 hrs
< 72 hrs
< 1 semana
Confidencial (3)
Pblico (1)
El nivel de confidencialidad muy alta deber ser seleccionado para los objetos, si el acceso no autorizado o la
revelacin del objeto severamente los daos y perjuicios Compensa llegar a tener repercusiones comerciales
extensa.
Ejemplos de ello son los datos financieros consolidados, la informacin de patentes, informacin personal
altamente sensible.
El nivel de confidencialidad Alto deber ser seleccionada para los objetos, si el acceso no autorizado o la
revelacin del objeto que conlleva un para el negocio de Compensa
Ejemplos de ello son la informacin tcnica relacionada con los productos actuales o futuros o servicios, los
planes de acuerdos, de negocios o de mercado, datos financieros, datos de personal, Ejemplos de ello son la
informacin publicada en la intranet de Compensa, la correspondencia, etc.
El nivel de confidencialidad No sern seleccionados para la informacin y los sistemas de la informacin cuando
hay una decisin tomada por un organismo autorizado de Compensa o funcionario para que la informacin
abierta para cualquier persona fuera de Compensa.
Ejemplos de ello son los comunicados de prensa, informacin sobre los sitios web para el pblico en general
(www.compensach.com), etc.
Ejemplo
El Activo Servidor Datos tiene un valor de confidencialidad de 3, disponibilidad 3 e integridad 3.
Sumando los tres obtenemos un valor en el activo de 9. Este valor ser utilizado para calcular el riesgo
del activo.
Metodologa
La metodologa utilizada para la gestin del riesgo se basa en MAGERIT. La figura6 describe el proceso
de toda la gestin. La gestin del riesgo se divide en dos procesos. Anlisis de Riesgo y Tratamiento del
riesgo
15
6.1.6
Anlisis de Riesgo
Para la realizacin del anlisis de riesgo primero, como ya hemos descrito anteriormente, debemos
identificar y valorar los activos. Los activos son los elementos ms importantes dentro el sistema de la
informacin. Los activos se clasifican en infraestructura, software, comunicaciones y personas.
El anlisis de riesgo basado en MAGERIT est formado por los siguientes conceptos:
Probabilidad de Amenaza
La probabilidad de ocurrencia de una amenaza tendr un valor entre 1 y 100. Por ejemplo una amenaza
del 5 quiere indicar que habr una probabilidad de ocurrencia de amenaza del 5%, es decir, una
probabilidad baja de que ocurra dicha amenaza.
Ejemplo de Probabilidad de Amenaza
Para calcular la probabilidad de ocurrencia de una amenaza nos basaremos en la experiencia del pasado
y en cada uno de los controles de seguridad implementados en dicho momento. Por ejemplo si tenemos
el activo Servidor de Datos sin actualizar su sistema y sin antivirus podemos realizar una aproximacin
de clculo de la probabilidad de ocurrencia de la amenaza con el valor 20 en referencia a la amenaza de
software daino. Por lo tanto un 20% de las veces que circule software daino por este servidor, ser
infectado.
Nivel de impacto
El ltimo criterio a ponderar es el impacto que puede provocar que se materialicen una o ms amenazas
del activo.
5
Nivel de riesgo
El nivel de riesgo vendr dado por la siguiente frmula para cada activo de:
Probabilidad de amenaza * Nivel de impacto * Valoracin del activo
El valor obtenido es el que permite clasificar los riesgos segn su importancia para la organizacin.
La valoracin del riesgo es la siguiente:
Los riesgos definidos despus del clculo entre la probabilidad de amenaza e impacto son entre 1 y
4500. El valor 4500 identifica el riesgo ms alto y el valor 1 el riesgo ms bajo.
La estructura del registro de riesgos es la siguiente:
Cada vez que agregamos nuevos activos debemos realizar un anlisis de los posibles riesgos.
Cuatrimestralmente se realizara un anlisis de riesgos completo de todos los activos.
Para la reduccin del riesgo de las vulnerabilidades obtenidas en el Anlisis de Riesgos se ha establecido
un Plan de Tratamiento. El perodo de seguimiento de la vulnerabilidad es desde mensual a anual, en
funcin a la criticidad de la misma.
6.1.7
Tratamiento de Riesgos
17
Para llegar a nuestra meta primero tenemos que realizar una serie de tareas. En los siguientes puntos
describiremos lo necesario para conseguirlo.
6.2
Plan de Implementacin
En este punto describiremos las funcionalidades de las diferentes implementaciones de los cambios
informticos que se realizaran en este proyecto de la Gestin de la seguridad de la informacin basada
en ISO 27001/IEC.
Nuevos Servicios en el sistema
Se ha presentado a direccin las mejoras tecnolgicas en el sistema de seguridad de la informacin con
el fin de mejorar la seguridad. Los servicios son los siguientes:
6.2.1
La implementacin de los canales de comunicacin tiene como objetivo mejorar la gestin seguridad en
las partes interesadas del sistema de la informacin. Para ms detalles de esta implementacin ir al
punto 4.3 de diseo de canales de comunicacin.
6.2.2
La implementacin del sistema Team Fundation Server tiene como objetivo mejorar la seguridad en el
ciclo de la vida de las aplicaciones desarrolladas en la organizacin. El sistema Team Fundation Server
consiste en implementar un servidor de repositorio del cdigo fuente de las aplicaciones internas que
trabaja la organizacin. El servidor trabaja con acceso web con sistema Windows Server 2008, SQL
Server 2018 e Internet Information Server IIS 7.5 y los clientes trabajan con la herramienta Visual Studio
2012.
Finalmente esta implementacin implica realizar cambios en los controles de seguridad del Anexo 12 y
14 de la normativa ISO 27001.
6.2.3
La implementacin del Portal SharePoint tiene como objetivo mejorar la gestin documental de los
procedimientos, controles y registros del sistema de la informacin.
Esta implementacin consiste en construir un servidor Windows Server mediante un Internet
Information Server IIS 7.5 ms SQL Server 2008 y SharePoint Fundation 2010.
Los usuarios podrn acceder a un entorno web y trabajar con la documentacin del sistema de la
informacin con un control de versiones, aprobaciones y auditoria de seguimiento.
La gestin de la documentacin es uno de los requisitos principales en cuanto a la gestin de la
seguridad de la informacin. Por lo tanto esta implementacin implica realizar cambios en los controles
de seguridad de punto 4 y el Anexo 14 de la normativa ISO 27001.
6.2.4
La implementacin del sistema de monitorizacin tiene como objetivo detectar los incidentes de
seguridad y prevenir los posibles fallos de los diferentes servicios en el sistema de la informacin.
Tambin podemos realizar la gestin de la seguridad de los incidentes y la gestin de la capacidad de los
activos.
La implementacin del sistema de monitorizacin consiste en construir un servidor Linux Centos 5.5
ms un servidor WEB Apache y finalmente el software de monitorizacin NAGIOS y OPSVIEW
18
La implementacin de un Firewall Avanzado tiene como objetivo mejorar la proteccin de las amenazas
entre la red externa, internet y la red interna del sistema de la informacin.
Para el cumplimiento de este objetivo se debe instalar un firewall avanzado de la marca SONICWALL.
Este sistema de firewalls lleva las siguientes funciones.
Finalmente esta implementacin implica realizar cambios en los controles de seguridad del Anexo 10, 11
y 14 de la normativa ISO 27001.
6.2.6
La implementacin del sistema IPS en el Firewall del Hosting tiene como objetivo mejorar la proteccin
de los accesos a los activos ms importantes del sistema de la informacin y prevenir los ataques
externos hacia los servidores del Hosting.
El sistema IPS estar unido al Firewall ASA del Hosting y tendr una serie de polticas de seguridad
contra los ataques externos en todos los niveles de las aplicaciones y amenazas externas, como por
ejemplo prevencin de ataques SQL Injection y de Cross Site Scripting.
Finalmente esta implementacin implica realizar cambios en los controles de seguridad del Anexo 10, 11
y 12 de la normativa ISO 27001.
6.2.7
La implementacin de la aplicacin Veeam Backup Replication tiene como objetivo mejorar los procesos
de copias de seguridad y en concreto la disponibilidad de los servidores virtuales.
El sistema Veeam Backup Replication 7.0 se construye en el servidor de copias de seguridad y se instala
la aplicacin del fabricante Veeam. Esta solucin implica mejorar las copias de seguridad de los
servidores virtuales y replicar todos los servidores en el servidor de backup mejorando la disponibilidad
de la informacin y reduciendo su riesgo.
Finalmente esta implementacin implica realizar cambios en los controles de seguridad del Anexo 10 y
14 de la normativa ISO 27001.
6.2.8
Reduccin del riesgo de prdida de negocio, tiempo y dinero por la inestabilidad y fragilidad del
sistema informtico.
Aumentar la disponibilidad de los servicios tecnolgicos. Facilidad de comparticin y acceso a la
informacin
Google Mail
Google Docs
Google Calendar
Google Drive
Google Sites
Google Hangouts
Google Vault
En este punto describiremos el nuevo alcance segn la planificacin de implementacin y los nuevos
activos necesarios para el cumplimiento de los objetivos de este proyecto.
El alcance principal de la certificacin es:
Diseo, implantacin, comunicacin y administracin de polticas y soluciones de retribucin
flexible
Este alcance est diseado en relacin a todos los activos del sistema de la informacin de la
organizacin. De cada implementacin comentada en el plan de implementaciones realizaremos un
diseo de los nuevos activos que posteriormente ser gestionado su valoracin en la gestin de riesgo.
En los siguientes apartados realizaremos un esquema del diseo de las diferentes implementaciones.
6.3.1
20
Para el diseo de la implementacin del servicio Team Fundation Server necesitaremos un servidor Windows Server con la
aplicacin Team Fundation Server y los equipos clientes en Informtica necesitaran la aplicacin Visual Studio 2012 para
conectarse al servidor.
6.3.2
Figura 8 SharePoint
Para el diseo de la implementacin del portal SharePoint necesitaremos un servidor Windows Server con las aplicaciones
SharePoint Fundation 2010 y SQL Server 2012 y los equipos clientes necesitaran conexin de red local y un navegador web.
6.3.3
Figura9 Monitorizacin
Para el diseo de la implementacin del sistema de monitorizacin necesitaremos un servidor Linux Server con las aplicaciones
Opsview y Nagios y el equipo cliente se conectara mediante un navegador web. Se monitorizarn todos los servidores del
sistema.
21
6.3.4
6.3.5
22
6.3.6
6.3.7
23
6.3.8
Figura 14
Sistema Final
6.4
Empleados
Proveedores /Posibles Proveedores
Clientes / Posibles Clientes
Empleados
Los empleados estn dentro del alcance de la seguridad de la informacin. Uno de los requisitos de la
normativa ISO 27001 implica que los usuarios del sistema de la informacin tienen que estar formados
continuamente en seguridad y en el caso de los empleados deben estar concienciados en la seguridad.
La solucin consiste en implementar los siguientes puntos:
Acceso privado al portal del Empleado: acceso seguro mediante protocolo SSL con un usuario y
contrasea segura.
Sitio web Cliente: creacin de sitio web para el acceso de los empleados.
24
Normativa interna: la normativa interna son las obligaciones y normas de seguridad que debe
concienciarse un empleado incluida la poltica de seguridad. Los empleados realizan la
aceptacin de la normativa electrnicamente.
Documento de seguridad: documento de normas de seguridad y requisitos legales que todos
los empleados deben conocer.
Documentos en polticas secundarias: documentacin de polticas de seguridad implicadas a la
seguridad del sistema. Continuamente se estn documentando nuevas polticas y controles de
seguridad debido a los cambios que se van produciendo, como por ejemplo las mejoras que
implementaremos.
Indicadores de Seguridad: seguimiento de los valores de los indicadores de seguridad de la
informacin. Los empleados estarn actualizados con el seguimiento de la seguridad en el
sistema.
El diseo del repositorio consiste en crear una web dentro el portal del empleado con todas las partes y
documentos comentados anteriormente.
Proveedores / posibles proveedores
La Descripcin de esta funcionalidad para a los proveedores de EkinderGarden consiste en la creacin
de un sitio web personalizado para la gestin de la seguridad de la informacin. En dicha web tendrn
que realizar una auditora de Seguridad. El objetivo principal para esta gestin consiste en mantener el
sistema seguro de las amenazas y vulnerabilidades y ofrecer a los clientes una seguridad ptima en el
tratamiento y servicio que ofrece EkinderGarden, para ello tambin es importante que nuestros
proveedores o posibles proveedores formen parte de este proceso.
El resultado de esta solucin consiste en implementar los siguientes puntos:
Acceso privado a la web Corporativa: acceso seguro mediante protocolo SSL con un usuario y
contrasea segura.
Sitio web Cliente: creacin de sitio web para el acceso de los proveedores.
Cuestionario auditoria seguridad: consiste en cumplimentar una serie de preguntas de
cumplimento de la ISO 27001. Todos los proveedores deben realizar esta auditora para ser
aprobados en el sistema de la informacin. Las preguntas sern desde seguridad fsica, lgica
hasta la poltica de vulnerabilidades de su sistema.
Contrato de confidencialidad de la informacin: contrato de confidencialidad que debe firmar
cada proveedor con acceso a la informacin.
De esta forma nuestros proveedores y posibles proveedores estarn compartiendo la filosofa de
seguridad en el sistema de la informacin y cumplirn estrictamente los requisitos de seguridad.
Clientes / posibles Clientes
Cada vez ms nuestros clientes y posibles nos exigen el cumplimiento de requisitos de seguridad en
relacin a la normativa ISO 27001. Para solventar esta necesidad debemos implementar una solucin
adecuada con la finalidad de superar sus auditoras de seguridad y ofrecer ms confianza en el servicio
que ofrece EkinderGarden a sus clientes.
La solucin consiste en implementar los siguientes puntos:
Acceso privado a la web Corporativa: acceso seguro mediante protocolo SSL con un usuario y
contrasea segura.
Sitio web Cliente: creacin de sitio web para el acceso de los clientes.
Certificados: documentacin de las certificaciones de seguridad que EkinderGarden.
Documentos Seguridad: relacin de documentos de seguridad en relacin a la norma ISO
27001 del sistema de gestin de la seguridad de EkinderGarden.
25
El resultado de este punto consiste en formalizar un acceso a la web corporativa para los clientes
posibles clientes para que accedan a la informacin de los requisitos de seguridad que nos exigen
cuando evalan la posibilidad de ofrecer nuestros servicios.
6.4.2
Diseo
El siguiente grfico muestra el diseo de los canales de comunicacin para brindar la solucin esperada
6.4.3
Conclusiones
6.5
Anlisis de Riesgo
Como ya describimos en la situacin actual la metodologa que se utiliza para el anlisis de riesgo se
basa en la metodologa Magerit. En los siguientes puntos realizaremos el anlisis de riesgo del primer
cuatrimestre de este ao 2014, siguiendo la estructura de la valoracin:
1.
2.
3.
4.
5.
6.
7.
Inventariado Activos
Este apartado corresponde a las acciones de los puntos 1 y 2. Identificacin y valoracin de activos en
funcin de la confidencialidad, integridad y disponibilidad.
Despus de definir las acciones del anlisis del riesgo tendremos que inventariar y valorar los nuevos
activos ya que su valor ser imprescindible y necesario para obtener el valor del riesgo final. Los nuevos
activos del sistema de la informacin obtenidos en base a las implementaciones nuevas son los
siguientes:
num
ACTIVO
200
212
Comunicaciones
IPS Hosting
207
Firewall SonicWall
300
335
Conf.
Disp.
Int.
Valoracin
Hosting
Sistemas
Barcelona
Sistemas
Infraestructura
Compensa14
Barcelona
Sistemas
339
Compensa15
Barcelona
Sistemas
400
416
Software
Google Apps
Sistemas
418
Barcelona
Sistemas
Barcelona
Sistemas
427
Barcelona
Sistemas
428
Veeam Monitor
Barcelona
Sistemas
424
Sede
Persona Responsable
Descripcin
En total 9 activos ms en el sistema de la informacin. Por ejemplo el activo IPS Hosting ubicado en la
sede Hosting tiene un valor 3 de Confidencialidad, valor 3 de Disponibilidad y 3 Integridad, en total un
valor de 8 en el activo. Ver Criterios de Valoracin activos. Este valor ser utilizado en la valoracin el
riesgo.
En el siguiente punto tendremos que realizar el anlisis de riesgo de los nuevos activos y de los activos
que forman parte del sistema de la informacin.
27
6.5.2
Para el resultado del informe de Anlisis de riesgo realizaremos las acciones de los puntos 3 al 6.
Finalmente despus de realizar el anlisis de riesgo describiremos el informe del resultado.
Ejemplo de cmo calcular un riesgo de un activo.
6.6
Activo compensa14:
o Probabilidad de ocurrencia: Valor de probabilidad de ocurrencia de vulnerabilidades
de software, teniendo un sistema actualizado y con antivirus la probabilidad de
ocurrencia es de un 4 %.
o Impacto del activo: La materializacin de la amenaza podra originar un impacto de
hasta 50.000 en el servidor de gestin documental, por lo tanto un valor 2 de
impacto.
o Valor del activo: el resultado de valoracin de la confidencialidad, disponibilidad e
integridad es de 7.
o Valoracin final: probabilidad de ocurrencia * impacto * valor del activo = 4*2*7=56.
Hemos analizado los riesgos de los nuevos 9 activos. No existe ningn riesgo de estos activos con un
valor ms alto de 250, por lo tanto se acepta automticamente su riesgo y no se realizara ningn
tratamiento.
El total de activos restante es 93 y el valor del riesgo obtenido un supera el valor 250 por lo tanto
Todos los riesgos obtenidos se aceptan automticamente sin realizar ningn tratamiento.
El nivel de riesgos de los activos del sistema est por debajo del riesgo no aceptable por lo tanto el
sistema de seguridad de EkinderGarden est protegido de las amenazas o vulnerabilidades en este
instante.
Posteriormente se tendrn que realizar nuevos anlisis de riesgos, en concreto cuando se
introduzcan nuevos activos y cuatrimestralmente, con el objetivo de mantener y conservar un nivel
de riesgo que no exponga a la seguridad del sistema de la informacin.
Tratamiento de Riesgo
En este punto no tendremos que realizar ninguna accin ya que el resultado del anlisis de riesgo
obtenido nos indica que el nivel de riesgo est por debajo de la actuacin del tratamiento de los activos.
6.7
Requisitos
Antes de iniciar la parte de implementacin de este proyecto debemos realizar el estudio de requisitos
de todas las nuevas implementaciones. Los requisitos estn descritos en el Anexo 1.
6.8
Finalmente en relacin al diseo del plan de implementacin realizaremos una revisin de las polticas
de seguridad que debemos modificar siguiente la normativa ISO 27001. La revisin esta descrita en el
Anexo 2.
7 Implementacin
Despus de realizar el diseo y requisitos del proyecto de Gestin de la Seguridad en EkinderGarden nos
centraremos en la parte de implementacin.
28
Para la realizacin de la parte de implementacin debemos aplicar la metodologa PDCA de la norma ISO
27001, concretamente la parte de DO. Dicha parte fue descrita en la fase de planificacin y est
formada por una serie de tareas que complementan la resolucin de esta parte. Las Tareas a
implementar son las siguientes:
7.1
Implementacin Mejoras
Documentacin de las polticas de Seguridad
Revisin Indicadores de Seguridad
Implementacin de Mejoras
Las implementaciones de mejoras descritas en el documento anterior sern descritas en este punto.
7.1.1
Figura 16 Empleados
Conclusiones Finales
Las conclusiones finales sobre esta implementacin son:
Proveedores
El resultado de la implementacin es la siguiente:
Web Corporativa con acceso para proveedores
Desarrollo final en la web corporativa del acceso para proveedores. El usuario tendr un acceso a la web
mediante protocolo SSL y podr consultar la documentacin necesaria para realizar la auditoria.
Figura 17 Proveedores1
Plantilla Auditoria
Este es una parte del documento de la auditoria de seguridad que debe realizar.
30
Figura 18 Proveedores2
Conclusiones Finales
Las conclusiones finales sobre esta implementacin son:
Clientes
El resultado de la implementacin es la siguiente:
31
Figura 19 Clientes
Conclusiones Finales
Las conclusiones finales sobre esta implementacin son:
7.2
32
7.2.1
33
Acciones a realizar
Las acciones a desarrollar para el cumplimiento de este punto de control consisten:
Obtener la lista de nuevas tecnologas en el sistema de la informacin.
Agregar la alerta en Google Alerts.
Inscribirse en el foro de seguridad de cada nueva tecnologa.
Registrar vulnerabilidades en el caso de recibir alertas.
Documentacin
El en documento del sistema de gestin de la seguridad PSEG03-Gestion de Vulnerabilidades se ha
incluido los siguientes puntos:
Lista de las nuevas tecnologas: incorporacin de las nuevas tecnologas en base a las nuevas
implementaciones. Las nuevas tecnologas son:
o SharePoint Fundation: aplicacin de gestin documental.
o SonicWall: firewall implementado en el sistema.
o Nagios: monitorizacin de la red y servidores.
o Opsview: monitorizacin de la red y servidores.
o Veeam Backup: Software de replicacin y backup de servidores virtuales.
o Google Apps: aplicaciones en el Cloud de Google Apps.
o Cisco: sistema operativo del Firewall del Hosting.
Google Alerts: actualizacin de las alertas de Google Alerts.
Figura 22 vulnerabilidades
34
Nagios
Figura 23 Nagios
OpsView
Figura 24 Opsview
SonicWall
Figura 25 SonicWall
Figura 26 SharePoint
Veeam Backup
Figura 27
Veeam Bakup
Conclusiones
Las conclusiones para la implementacin de los nuevos controles en relacin a este punto de control de
la Norma ISO 27001 son las siguientes:
Control de las vulnerabilidades y novedades de las nuevas tecnologas.
La inscripcin a los nuevos foros de las tecnologas, en relacin a la seguridad, prevendr las
posibles amenazas en el sistema.
Finalmente indicar que este punto de control tambin es aplicable para el punto A.12.6 Gestin de las
vulnerabilidades tcnicas
A.6.2.2 Tratamiento de seguridad en relacin Clientes
Descripcin
Las implementaciones relacionadas con este punto de control son: implementacin Canales
Comunicacin.
En este punto debemos identificar todos los requisitos de seguridad antes de dar acceso a los activos o a
la informacin en relacin a los clientes.
36
Procedimientos y Registros
La revisin de este punto implica revisar y modificar la plantilla de contrato para un cliente. Los puntos
que debemos modificar es la parte de requisitos de seguridad de los diferentes servicios que ofrece
EkinderGarden.
Acciones a realizar.
Las acciones a desarrollar para el cumplimiento de este punto de control consisten:
Documentacin
La documentacin agregada en la plantilla del contrato para un cliente es la siguiente:
La poltica de contrasea descrita en el contrato de clientes
o
o
o
o
o
o
o
o
Documentacin
La documentacin agregada en la plantilla del contrato de confidencialidad para un proveedor es la
siguiente:
La poltica de contrasea descrita en el contrato de clientes
Nombre de Activo
Sede
Persona Responsable
Descripcin
38
Acciones a realizar
Las acciones a desarrollar para el cumplimiento de este punto de control consisten en registrar los
nuevos activos en el sistema con los campos definidos anteriormente.
Documentacin
Para ver el registro de los nuevos activos ver Anexo 3
Conclusiones
Con la identificacin de los activos tenemos un control de todos los activos que contienen informacin
en el sistema de la gestin de la seguridad de EkinderGarden.
7.2.4
39
Conclusiones
Con el portal del empelado y los recursos en relacin a seguridad de la informacin los empleados e
implicados en la seguridad tienen la informacin y canal necesario para la concienciacin y formacin en
la seguridad de la informacin.
7.2.5
Documentacin
La documentacin agregada al registro de Gestin de Capacidad de la Infraestructura es el siguiente;
Infraestructura: descripcin de la nueva infraestructuras implementadas en el sistema. Las
nuevas infraestructuras
o Servidor SharePoint: servidor de gestin de la documentacin del SGI
o Servidor Team Fundation: servidor de repositorio de cdigo fuente de las aplicaciones.
o Sistema de Backups: Almacena las copias de seguridad de los datos de los servidores,
las copias se hacen diariamente.
o Sistema Monitorizacin: Monitorizamos los servicios de cada servidor mediante la
herramienta OpsView.
o Comunicaciones: Firewall SonicWall: filtraje web y control de acceso al exterior.
Gestin Servidores: descripcin de la capacidad actual de los servidores. Ver Anexo 4.
Conclusiones
El objetivo principal de este documento es decidir si es necesario o no ampliar alguno de los recursos del
servidor principal y controlar los cambios de los recursos. El umbral para la ampliacin de alguno de los
recursos es de 75 %.
Despus de analizar el consumo de los recursos del servidor principal podemos afirmar lo siguiente:
Finamente despus de gestionar los recursos del servidor principal podemos afirmar que no es
necesario realizar ninguna ampliacin.
A10.4.1 Controles contra cdigo malicioso
Descripcin
Las implementaciones relacionadas con este punto de control son: implementacin Team Fundation
Server, implementacin SharePoint, implementacin Firewall Avanzado, implementacin Veeam Backup
e implementacin del IPS en el Firewall del Hosting.
En este punto debemos deben implementar los controles de deteccin, prevencin y recuperacin que
sirvan como proteccin contra cdigo malicioso.
Procedimientos y Registros
La revisin de este punto implica modificar el procedimiento PSEG10-ProteccionCodigoMalicioso.El
documento est formado por las diferentes protecciones de cdigo malicioso de las diferentes
tecnologas que forma el sistema.
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en la incorporacin de los controles
de cdigo malicioso en relacin a la implementacin del Firewall Avanzado. Describir todas las
caractersticas que ofrece. Finalmente incorporar proteccin de cdigo malicioso en los nuevos servicios
implementados.
41
Documentacin
El resultado de la documentacin de este punto de control se ha clasificado en tres reas de proteccin:
Proteccin servidores
Proteccin Red interna
Proteccin Red Externa
1. Proteccin Servidores
Para los nuevos servidores con los servicios, Team Fundation Server, Veeam Bakup Replication y
SharePoint se ha instalado un antivirus cliente llamado End Point Protecction con el fin de proteger de
las amenazas del cdigo malicioso. Las protecciones de este producto son:
Proteccin en tiempo real del sistema de ficheros
Proteccin proactiva del trfico de red y las amenazas
Figura 28 Antivirus
42
Conclusin
La implementacin del Firewall Avanzado y el IPS en el Firewall del Hosting mejorar y aseguran la
proteccin de cdigo malicioso en las nuevas tecnolgicas implementadas y en todo el alance del
sistema.
Las acciones a realizar para el cumplimiento de este punto consisten en configurar el nuevo software de
copias de seguridad (Veeam Backup Replication) y agregar las programaciones de copias de seguridad y
restauraciones en los nuevos y existentes activos.
Documentacin
El resultado de la documentacin de este punto de control est definido por la modificacin de la
poltica de copias de seguridad. El resultado es el siguiente:
Configuracin del software Veeam Backup Replication en la poltica de copias de seguridad.
Configuracin de todas las mquinas virtuales del sistema en la programacin de copias.
Configuracin del servicio copias de seguridad de Google Apps para la copia de seguridad de
todos los datos del Cloud en Google Apps.
Agregacin de dos mquinas virtuales, servidor de Team Fundation Server y Servidor de
SharePoint, en la programacin de copias de seguridad.
Modificacin de la poltica de restauracin y pruebas de recuperacin de las copias de
seguridad para comprobar la integridad de las copias de seguridad.
Conclusin
Las implementaciones realizadas en este punto de control mejoran la disponibilidad e integridad de la
informacin del sistema. Con un sistema ms avanzado y seguro de copias de seguridad con el software
Veeam Backup Replication tambin se mejora la contingencia y continuidad en todo el sistema.
A10.6.1 Controles de Red
Descripcin
La implementacin relacionada con este punto de control es el Firewall Avanzado Sonic Wall.
En este punto debemos controlar y gestionar las redes para mantenerlas protegidas frente a posibles
amenazas y mantener la seguridad en los sistemas y aplicaciones.
Procedimientos y Registros
La revisin de este punto implica modificar el procedimiento PSEG11-Seguridad Lgica. Este documento
contiene una serie de polticas de seguridad. La poltica relacionada con los controles de seguridad
describe las protecciones de todas redes del sistema.
Acciones a realizar
Las acciones a realizar para el cumplimiento de este punto consisten en implementar los controles de
red nuevas despus de configurar el nuevo Firewall Avanzado en el sistema.
Actualizar diagrama del sistema.
Documentar configuracin de Firewall Avanzado.
Documentacin
El resultado de la documentacin de este punto de control consiste en documentar las nuevas redes y
actualizar los cambios en el diagrama del alcance del sistema.
La documentacin de la configuracin del Firewall no se mostrar en este documento.
Conclusin
La implementacin del Firewall Avanzado SonicWall mejora el control de seguridad en la red
controlando el trfico de informacin y protegiendo las amenazas de la red externa a la red interna.
44
Finalmente indicar que este punto de control tambin es aplicable para el punto A.11.4 Control de
conexin a la red.
10.10.1 Registro de Auditorias
Las implementaciones relacionadas con este punto de control son todas las implementaciones.
En este punto debemos realizar registros de auditora en las actividades de los usuarios, eventos de
seguridad y mantenerlos en un periodo acordado para servir a investigaciones futuras y a la supervisin
de los controles de acceso.
Procedimientos y Registros
La revisin de este punto implica modificar el procedimiento PSEG11-Seguridad Lgica. Este documento
contiene una serie de polticas de seguridad. La poltica relacionada con el registro de auditoras
describe los diferentes entornos y tecnologas que deben registrarse.
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en agregar las nuevas tecnologas a
auditar en el sistema.
Documentacin
Las nuevas tecnologas a auditar son:
Auditora Team Fundation Server: registros en el acceso al servidor.
Auditora de Portal SharePoint: registros en el acceso al servidor y cambios en la
documentacin.
Auditora canales de comunicacin: registro de acceso a las diferentes webs y control de
descargas de documentacin y aceptacin de polticas de seguridad.
Auditora Firewall Avanzado: registro de las reglas de seguridad implementadas en el firewall.
Auditora de Cloud Google Apps: registro de las acciones en las diferentes aplicaciones y
servicios que ofrece este servicio.
Conclusin
El registro de auditoria en el sistema de gestin de la seguridad es un punto de control importante para
la resolucin de problemas de seguridad. Con estas nuevas auditoras se controla el acceso y registro en
todas las nuevas aplicaciones y tecnologas de forma eficiente y centralizada.
7.2.7
45
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en modificar de la poltica de
control de acceso en relacin a las nuevas implementaciones.
Documentacin
La modificacin de la poltica de control de acceso consiste en:
Revisar la poltica de contraseas de los nuevos accesos: definicin de la poltica de contraseas
en:
o Canales de comunicacin: ver apartado A.6.2.2 Tratamiento de seguridad en relacin
Clientes y A.6.2.2 Tratamiento de seguridad en relacin Proveedores.
o Portal SharePoint, Cloud Google Apps y Team Fundation utilizan la misma poltica que
el servidor de dominio.
o Los dems accesos son exclusivos para el administrador del sistema.
Revisar los permisos de accesos y privilegios. Definicin de privilegios en las diferentes
implementaciones restringiendo los accesos y permitiendo el acceso a los servicios permitidos
segn el privilegio de cada uno de los usuarios del sistema.
Revisin de las polticas de vulnerabilidades y controles de red en relacin a los apartados
A.6.1.7 Contacto de grupo de Inters y A10.6.1 Controles de Red.
Revisin del contrato de confidencialidad entre proveedores: se aplica condiciones definidas en
el apartado A.6.2.2 Tratamiento de seguridad en relacin Proveedores
Conclusin
La revisin de la poltica de control de acceso en relacin a las nuevas implementaciones permite una
mejora en todos los accesos del sistema y verificar el uso adecuada para cada servicio del sistema.
Los puntos A.11.2.3 Gestin de contraseas de usuarios, A.11.4.2 Autentificacin de usuarios para
conexiones externas y A.11.4.6 Restriccin del acceso a la informacin.
7.2.8
Conclusin
La revisin de la poltica de encriptacin en relacin a las nuevas implementaciones permite mejorar la
seguridad en el intercambio de informacin en los puntos de acceso de todas las nuevas
implementaciones.
Finalmente indicar que este punto de control tambin es aplicable para el punto A.15.1.6 Regulacin de
los controles criptogrficos.
A.12.4.3 Control de acceso al cdigo fuente de los programas
Descripcin
La implementacin relacionada con este punto de control es la implementacin de Team Fundation
Server.
En este punto debemos documentar la proteccin el acceso al cdigo fuente de los programas. EL
servidor Team Fundation Server contiene un repositorio de cdigo fuente de todas las aplicaciones que
se desarrollan en el sistema informtico.
Procedimientos y Registros
La revisin de este punto implica modificar el procedimiento PSEG11-Seguridad Lgica. Este documento
contiene una serie de polticas de seguridad. La poltica de este punto de control es la poltica de Gestin
y control de Software.
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en modificar de la poltica de
Gestin y control de Software en relacin a la nueva implementacin.
Documentacin
La modificacin de la poltica de Gestin y control de Software consiste en:
Utilizan el usuario del dominio para acceder.
Definicin de los permisos y grupos de accesos al cdigo fuente de las aplicaciones.
Todos los usuarios de desarrollo acceden al cdigo fuente.
Se registra cada cambio en el cdigo fuente.
Conclusin
La revisin de la poltica de encriptacin en relacin a la implementacin del Team Fundation Server
permite mejorar la seguridad en acceso al cdigo fuente de los programas. El entorno web es
funcionalmente seguro y fcil de administrar.
7.2.9
Descripcin
La implementacin relacionada con este punto de control es la implementacin del nuevo sistema de
Monitorizacin OpsView con Nagios.
47
La funcionalidad en este punto de control consiste en asegurarse de que los eventos y las
vulnerabilidades de la seguridad de la informacin asociados con los sistemas de informacin se
comunican de forma que sea posible emprender acciones correctivas oportunamente.
Procedimientos y Registros
La revisin de este punto implica modificar el procedimiento PSEG13-Gestion Incidencias Informticas.
Este documento contiene las acciones en la gestin de las incidencias.
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en modificar de la gestin de las
incidencias informticas en relacin a la nueva implementacin.
Documentacin
La modificacin de la gestin de las incidencias informticas consiste en:
monitorizacin de los servicios de red y nuevos servidores implementados que se utilizan
en el sistema informtico utilizando el sistema de alertas por correo y visual del sistema de
monitorizacin opsview.
Pro actividad en la ocurrencia de incidentes de seguridad y deteccin mediante el nuevo
sistema de monitorizacin.
Ejemplo de eventos de seguridad:
Conclusin
La implementacin del sistema de monitorizacin de OpsView mejora la pro actividad y deteccin de
incidentes de seguridad y su tratamiento final.
7.2.10
Descripcin
Las implementaciones relacionadas con este punto de control son todas las implementaciones.
En este punto debemos documentar la proteccin de los procesos crticos de negocio contra los efectos
derivados de fallos importantes o catastrficos de los sistemas de informacin, as como garantizar su
oportuna reanudacin.
Procedimientos y Registros
La revisin de este punto implica modificar el PSEG14-GestinContinuidadNegocio. El documento est
formado por los siguientes puntos:
Continuidad del servidor principal.
Continuidad del Hosting.
Fase de Recuperacin Parcial.
Fase de Normalidad.
Planificacin de pruebas.
Acciones a Realizar
Las acciones a realizar para el cumplimiento de este punto consisten en agregar los nuevos activos y
servicios en cada uno de los puntos del documento de gestin de la continuidad del negocio.
48
Documentacin
La modificacin del documento de gestin de la continuidad del negocio consiste en:
Continuidad del servidor principal: agregar los nuevos servicios y servidores en el plan de
continuidad. Firewall Avanzado, servidor Team Fundation Server, Portal SharePoint, sistema
monitorizacin y Veeam Backup Replication.
Continuidad del Hosting: la continuidad del servicio IPS en el Firewall del Hosting no afecta a la
disponibilidad de los servicios del Hosting ya que el servicio funcionaria sin el IPS.
Fase de Recuperacin Parcial: en los dos planes de continuidad se ha documentado una
recuperacin parcial de los servicios con el fin de ofrecer los diferentes servicios en el sistema.
Este punto tambin se llama contingencia.
Fase de Normalidad: la fase de normalidad es el restablecimiento de todos los servicios en
total disponibilidad.
Planificacin de pruebas: para verificar la eficiencia del plan de continuidad de todos los
servicios se ha planificado para Julio y Agosto una prueba en cada uno de ellos. El objetivo de
esta prueba conlleva a la modificacin y mejora de dicho plan.
La continuidad del Cloud Google Apps estar contemplada en el sistema de Google. Google Apps ofrece
un 99,9 % de disponibilidad con lo que aseguramos existir una continuidad constante en este servicio.
Conclusin
Las nuevas implementaciones dentro la gestin de la continuidad del negocio mantendr la correcta
continuidad de los servicios que ofrece el sistema. Para cumplir con esta conclusin tendr que
realizarse una prueba total y verificar los resultados.
7.3
Revisin de Indicadores
La revisin de los objetivos e indicadores son dos puntos importantes para la implementacin y revisin
de la gestin de la seguridad en la norma ISO 27001.
7.3.1
Indicadores
Los indicadores son herramientas para facilitar la toma de decisiones, mejorar el desempeo y anlisis y
reporte de datos de desempeo relevantes. El propsito de medir el desempeo es monitorear el
estado de las actividades medidas y facilitar la mejora de estas aplicando acciones correctivas basadas
en las medidas observadas.
Despus de disear las nuevas implementaciones y polticas de seguridad debemos configurar nuevos
indicadores de seguridad.
7.3.2
Resultado indicadores
Los nuevos indicadores de seguridad para las nuevas implementaciones y controles de seguridad son los
siguientes:
Disponibilidad del Servidor compensa14: Indicador que mide la disponibilidad del Portal
SharePoint.
Disponibilidad del Servidor compensa15: Indicador que mide la disponibilidad del servidor
Team Fundation Server.
Revisin Vulnerabilidades / % vulnerabilidades resueltas: Indicador de la revisin bimensual de
vulnerabilidades del sistema de la informacin y el porcentaje de vulnerabilidades resueltas
despus de la instalacin de las actualizaciones o parches en cada sistema
49
Las conclusiones finales en relacin a las nuevas implementaciones y la finalizacin de la revisin de las
nuevas polticas son:
Seguridad Terceros
La implementacin y revisin de la seguridad a terceros mejora los controles de concienciacin,
tratamiento de seguridad con clientes y proveedores.
Seguridad Lgica
La implementacin y revisin de la seguridad lgica mejora los controles de acceso, vulnerabilidades,
gestin de cambios de software, control de redes, vulnerabilidades, cdigo malicioso y poltica de
contraseas.
Gestin de incidentes
La implementacin y revisin de la gestin de incidentes mejora la deteccin y prevencin de incidentes
de seguridad que pudieran ocasionar una prdida de los servicios del sistema.
Copias de Seguridad y Gestin de la continuidad del negocio
La implementacin y revisin de la poltica de copias de seguridad y gestin de la continuidad del
negocio mejora la recuperacin y continuidad del negocio.
Conclusin Finales
La implementacin de las nuevas tecnologas y servicios una vez finalizada la revisin de las polticas de
seguridad implica una disminucin de la probabilidad de ocurrencia de amenaza en todos los activos del
sistema de gestin de la seguridad y as mismo una probabilidad de riesgo ms baja que en el momento
inicial de este proyecto. Para comprobar el resultado de esta conclusin final debemos realizar
auditoras de seguridad. Las auditorias se describen en el siguiente punto.
Conclusiones Finales Proyecto
Finalmente despus de realizar todas las fases de trabajo en este proyecto de gestin de la seguridad de
la informacin basada en la norma ISO 27001, describiremos las conclusiones finales en relacin a la
revisin de los objetivos. El resultado es el siguiente:
El desarrollo de este proyecto y el resultado final obtenido nos indica que todas las acciones e
implementaciones realizadas mejorarn la eficiencia y la seguridad de todo el sistema de
seguridad de la informacin protegiendo el sistema de las amenazas que pudieran poner en
peligro la informacin de nuestro sistema.
nuestro sistema de seguridad. Tambin podemos concluir que las auditoras a proveedores y
clientes sern ms eficientes y ms agiles para la gestin de nuestro sistema.
Para la revisin del cumplimiento total de los objetivos tendremos que desarrollar la parte final del
proyecto mediante las auditorias de seguridad. En los prximos apartados describe las lneas de futuro.
8.2
Auditorias
Anualmente realizamos Auditorias de Seguridad para la norma ISO 27001. Dichas auditorias consisten
en revisar todos los puntos de control implementados durante los cambios des de la ltima auditoria.
Finalmente destacar que las auditorias hacen referencia a la parte COMPROBAR de nuestra metodologa
PDCA. EL proceso de auditoras est formado por dos puntos.
Auditoria Interna Seguimiento
Auditoria de seguimiento sin finalidad de certificado. Es una auditoria de prueba de cumplimiento de
todos los puntos de seguridad antes de la auditoria de Certificacin.
La auditora de seguimiento est planificada para la ltima semana de junio. Un equipo auditor realizara
la comprobacin de todos los puntos e implementaciones y el resultado ser presentado en direccin. Si
en el resultado se ha producido alguna no conformidad o desviacin de los controles de seguridad
debern solucionarse con una planificacin coherente.
Auditoria de Certificacin
Actualmente EkinderGarden ya dispone de la certificacin ISO 27001. La auditora anual de certificacin
consiste en la revisin y mantenimiento del cumplimiento de la norma.
La auditora de certificacin tiene las mismas caractersticas que la auditoria de seguimiento pero el
resultado es la certificacin de la norma ISO 27001. La auditora de seguimiento est planificada para la
ltima semana de agosto.
En resumen a este punto destacamos que la lnea de futuro consistir en realizar dichas auditorias de
comprobacin de todos los cambios realizados aplicados a nuestra metodologa y el resultado obtenido
ser la comprobacin total del cumplimiento de nuestros objetivos.
8.2.2
Revisin Posterior
No conformidad: incidente grave y tendr que ser resuelto con prioridad alta.
Observacin: incidente no grave pero tendr que ser resuelto en un tiempo razonable
ya que en un futuro podra convertirse en una No conformidad
Oportunidad de Mejora: no corresponde a ningn incidente pero es aconsejable su
solucin.
La resolucin de los incumplimientos se realiza mediantes las acciones correctivas. En nuestra
metodologa dichas acciones corresponden a la fase de MEJORAR.
Ver Glosario para ms informacin.
51
9 Propuesta de Mejoras
Todas las mejoras descritas estn propuestas a direccin de EkinderGarden con el fin de mejorar an
ms la gestin y la seguridad de la informacin dentro el sistema.
9.1
Primera mejora
La primera mejora que describiremos ya ha sido aprobada por direccin de EkinderGarden, pero no ha
podido ser realizada en este proyecto. Esta implementacin es el Cloud de Google Apps que est
planificado para realizarse a finales de Agosto. Con esta implementacin queremos mejorar la
disponibilidad de los servicios de correo e informacin compartida. Google nos ofrece una disponibilidad
del 99,9 % en sus servicios.
Tambin comentar que el sistema Google Apps ha sido estudiado detalle a detalle a nivel de seguridad.
Todo su sistema cumple estrictamente con la normativa ISO 27001 y la normativa de seguridad
internacional ISAE3402.
9.2
Segunda Mejora
La segunda mejora que describiremos ya ha sido aprobada por direccin de EkinderGarden. Est
planificada para principios de septiembre. Esta mejora que queremos destacar es la implementacin de
un sistema de intercambio de informacin entre proveedores y clientes mediante SFTP. Este sistema
consiste en un FTP con el protocolo SSH con lo cual la informacin intercambiada ser realizada
mediante un canal encriptado y seguro el cual se convierte en el servicio SFTP.
9.3
Tercera mejora
52
10 Glosario
10.1
Anlisis de riesgos
El anlisis de riesgos es un proceso que comprende la identificacin de activos informticos, sus vulnerabilidades y amenazas a los
que se encuentran expuestos as como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
10.2
Auditora de seguridad
Es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por profesionales en Tecnologas de la informacin
para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisin
exhaustiva de las estaciones de trabajo, redes de comunicaciones, servidores o aplicaciones
10.3
Autenticacin
Procedimiento de comprobacin de la identidad de un usuario como medida de seguridad frente a posibles operaciones
fraudulentas a travs de la Red. La finalidad que persigue esta medida de seguridad es servir de salvaguarda para comprobar que
los usuarios con los que se est interactuando son realmente quienes dicen ser. Este proceso constituye una funcionalidad
caracterstica para una comunicacin segura en la Red.
10.4
Confidencialidad
Propiedad o atributo consistente en proporcionar acceso a los sistemas de informacin nicamente a aquellos usuarios
autorizados, en tiempo y forma determinados, y negar el acceso a terceros no autorizados.
Esta caracterstica de seguridad debe ir acompaada a su vez por un adecuado "control de accesos", entendiendo dicho trmino
como un mecanismo que en funcin de la identificacin autenticada permite el acceso a datos o recursos.
10.5
Cortafuegos
(En ingls Firewall) Sistema de seguridad que se compone bien de programas (software) o de equipos (hardware) y de programas
(software) en puntos clave de una red para permitir slo trfico autorizado. A menudo utilizado para restringir el acceso a una red
interna desde Internet. La regla bsica de un cortafuego es asegurar que todas las comunicaciones entre la red e Internet se
realicen conforme a las polticas de seguridad de la organizacin o corporacin. Estos sistemas tambin poseen caractersticas de
privacidad y autentificacin. Las dos tcnicas usadas en la construccin de un cortafuego son: el empleo de aplicaciones o el
filtrado de paquetes.
10.6
Disponibilidad
Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos)
autorizados cuando estos lo requieran.
10.7
Incidente de seguridad
Un incidente de seguridad es un evento o una serie de eventos inesperados o no deseados, que tienen la probabilidad significativa
de comprometer las operaciones empresariales y de amenazar la seguridad de la informacin. Pueden comprometer la
confidencialidad, integridad o disponibilidad de la informacin.
10.8
Integridad
Conjunto de medidas de seguridad que se incluyen en un sistema de informacin, que garantizan la exactitud de los datos
transportados o almacenados, evitando su alteracin, prdida o destruccin, ya sea de forma accidental, por fallos de software o
hardware, por condiciones medioambientales o bien, por intervencin de terceros con fines fraudulentos.
La integridad y la confidencialidad constituyen objetivos claves en la seguridad de la informacin, ya que de un lado, se pretende
evitar los accesos no autorizados a los datos, y de otro, se garantiza la no alteracin de los mismos.
10.9
IPS
Siglas de Intrusin Prevention System (sistema de prevencin de intrusiones). Es una herramienta de seguridad que detecta un
posible ataque informtico y reacciona para evitar su consumacin.
10.10
ISO/IEC 27001
ISO/IEC 27001, conocido ms coloquialmente como ISO/27001 es un conjunto de estndares desarrollados por ISO (Organizacin
Internacional de Estandarizacin) y la IEC (Comisin Internacional Electrotcnica).
53
Este conjunto de estndares est orientado a cualquier empresa que desee organizar e instaurar una poltica de seguridad. Su
principal funcin es organizar la seguridad de la informacin, y para ello establece toda una secuencia orientada a establecer,
implementar, monitorizar, revisar, mantener y mejorar los ISMS o SGSI (Sistema de Gestin de la Seguridad de la Informacin).
Este estndar debe concretarse dentro de la denominada serie 27000 entre las que cabe citar la ISO 27000, ISO 27002.
Actualmente se ha aprobado la normativa ISO/IEC 27001:2013.
10.11
Plan de contingencia
Un Plan de contingencias es un instrumento de gestin para el buen gobierno de las Tecnologas de la Informacin y las
Comunicaciones en el dominio del soporte y el desempeo.
Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las
operaciones de una compaa.
10.12
Poltica de Seguridad
Son las decisiones o medidas de seguridad que una empresa ha decidido tomar respecto a la seguridad de sus sistemas de
informacin despus de evaluar el valor de sus activos y los riegos a los que estn expuestos. Tambin puede referirse al
documento de nivel ejecutivo mediante el cual una empresa establece sus directrices de seguridad de la informacin
10.13
Vulnerabilidad
Fallos o huecos de seguridad detectados en algn programa o sistema informtico, que los virus utilizan para propagarse e
infectar. Estos errores de programacin y/o diseo permiten que un tercero se aproveche de ellos para realizar acciones tales
como ataques, intrusiones o cualquier otro uso indebido.
10.14
No conformidad
Incumplimiento de los requisitos de la Norma de referencia, estndares aplicables, o de los documentos del Sistema de Gestin
Integrada de la Organizacin.
10.15
Observacin
Incumplimiento de carcter puntual o indicaciones que deben ser consideradas por la Organizacin, ya que podran llegar a
constituir no conformidades en el futuro.
10.16
Oportunidad de Mejora
Acciones destinadas a la mejora continua del sistema, teniendo en consideracin que la mejora continua persigue el incremento
de la probabilidad de aumento de la satisfaccin
10.17
Accin Correctiva
Una accin correctiva es una accin tomada para eliminar las causas de una no conformidad detectada u otra situacin
indeseable. Es diferente a Correccin mediante la cual slo se elimina o repara la no conformidad detectada, no su causa.
54
11 Bibliografa
Inteco:
http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/;jsessionid=66A07A25E525CDA81F346DF58
AA4AF26
ISO 27001
http://es.wikipedia.org/wiki/ISO/IEC_27001
http://www.iso27000.es/
55
12 Anexos
12.1
Los diferentes requisitos para el diseo de la implementacin de la gestin de la seguridad es un punto muy importante que
debemos disear en este apartado. Existen tres requisitos que debemos analizar.
Software
Hardware
Seguridad
Los requisitos de software y hardware quedan establecidos segn el fabricante, usuarios y funciones a realizar. Para los requisitos
de seguridad se ha diseado un procedimiento y es el siguiente:
Responsable Sistemas
Inicio (1)
Director Informtica
Observaciones
Mantenimiento
Software
Elaborar / Actualizar
Catlogo de Requisitos (2)
Definir / Actualizar
Documentos de cambio en el
sistema (2)
Elaborar Planificacin de
actuacin (3)
3. El Responsable de sistemas
Planificara los cambios a realizar en el sistema y los
documentar en relacin a los controles de seguridad
Iniciar
cambio en el
Sistema
Figura 21 Requisitos
Seguidamente obtendremos los requisitos de todas las implementaciones planificadas.
Framework 4.5
IIS 7.5
Portal SharePoint
Software
Framework 4.5
IIS 7.5
Hardware
Seguridad
Anlisis de riesgo
Gestin de activos
Hardware
Seguridad
Anlisis de riesgo
Sistema Monitorizacin
Software
Apache
Nagios
Opsview 4.0
Seguridad
56
Gestin de vulnerabilidades
Control de acceso
Gestin de la continuidad
Firewall Avanzado
Software
Modulo IPS
Hardware
Seguridad
Anlisis de riesgo
Gestin de activos
Gestin de vulnerabilidades
Seguridad Fsica
Control de acceso
Gestin de la continuidad
Google Drive
Google Chrome
Gestin de activos
Gestin de vulnerabilidades
Control de acceso
Gestin de la continuidad
CISCO ASA5510
Seguridad
Anlisis de riesgo
Gestin de activos
Gestin de vulnerabilidades
Control de acceso
Gestin de la continuidad
Anlisis de riesgo
Gestin de activos
Gestin de vulnerabilidades
Seguridad Fsica
Control de acceso
Gestin de la continuidad
IIS 7.5
Framework 4.5
Hardware
Seguridad
Anlisis de riesgo
Gestin de activos
Gestin de vulnerabilidades
Control de acceso
Gestin de la continuidad
Canales Comunicacin
Seguridad
Anlisis de riesgo
Gestin de activos
Gestin de vulnerabilidades
Seguridad con terceros
Control de acceso
Gestin de la continuidad
Hardware
Seguridad
El anlisis de los requisitos es fundamental para que la implementacin de las nuevas tecnologas se realice de forma correcta,
metdica y eficiente.
57
12.2
Control
A.6 Organizacin de la Seguridad de la Informacin.
6.1.7 Contacto con grupos de inters especial
6.2.2 Tratamiento de la Seguridad en la relacin con los Clientes
6.2.3 Tratamiento de la Seguridad en contratos con terceros
A.7
A.7.1
A.8
A.10
A.10.1
A.10.3
A 10.4
A10.5
A10.6
A10.10
A11
A11.1
A11.6
A12
A12.3
A12.6
A13
A13.1
A14
A14.1
A15 Cumplimiento
15.1.6 Regulacin de los controles criptogrficos
58
12.3
ACTIVO
Sede
Persona Responsable
Descripcin
Comunicaciones
IPS Hosting
Hosting
Sistemas
Firewall SonicWall
Barcelona
Sistemas
Infraestructura
Compensa14
Barcelona
Sistemas
Compensa15
Barcelona
Sistemas
Software
Google Apps
Sistemas
Barcelona
Sistemas
Barcelona
Sistemas
Barcelona
Sistemas
Veeam Monitor
Barcelona
Sistemas
59
12.4
Para la gestin de la capacidad de los servidores nos centraremos en el servidor Principal del sistema, es
decir, el servidor fsico ya que los servicios de las diferentes implementaciones son servidores virtuales.
Se utilizan las herramientas de monitorizacin del servidor para obtener los resultados. El resultado es el
siguiente:
Servidor Principal Barcelona
El servidor Principal de Barcelona tiene instalado el sistema Vmware Esxi 5.1
Vmware nos permite gestionar la capacidad de los recursos del servidor
Consumo CPU
El consumo de las dos CPUS del servidor principal es el siguiente:
En el primer cuatrimestre del 2014 el consumo medio de las CPUS del servidor principal es del
37,39 % con picos mximos del 73,20 %. La conclusin final es que el consumo de CPUS del
servidor principal no supera el rango mximo establecido para el aumento de recursos y
cambios en la infraestructura del sistema.
Consumo Memoria
El consumo de Memoria del servidor principal es el siguiente:
En el primer cuatrimestre del 2014 el consumo medio de la Memoria del servidor principal es
del 74,30 % con picos mximos del 76,87 %. La conclusin final es que el consumo de Memoria
del servidor principal no supera el rango mximo establecido para el aumento de recursos y
cambios en la infraestructura del sistema.
60