ejemplo de caracterizacion y valuacion de activos sp800-30

Caracterización y Valuación de Activos

La importancia de una buena clasificación de los activos de una Empresa ayudan a que sea más

efectiva la gestión de estos. La caracterización y valuación son necesarios para el análisis de riesgos.

Caracterización de Activos

A continuación se realizó una clasificación de los activos de la empresa para obtener un

resultado de los activos más importantes y utilizables, con base en un estudio y recolección de

información para el desarrollo del proyecto. Las tablas 1, 2, 3, 4 categorizan los diferentes

activos:

ACTIVOS DE INFORMACIÓN

DATOS DIGITALES INFORMACION TANGIBLE

INFORMACION INTANGIBLE

APLICACIONES SISTEMAS OPERATIVOS

Bases de datos - Oracle 10G

Backup - Cintas - Archivos

Correo Electrónico Encriptación de claves

- Protocolo SSH

Personal - División de

Sistemas Correo/Postal Fax Compartimiento de seguridad

- Caja fuerte - Llaves de

oficina

- Información - Licencias

OEM - Imagen

Corporativa - Buen

Nombre de la empresa

Propietarias - Sinap - Sth (talento

humano) Adquiridas - Finanzas PLUS - Srf (sistema

recursos físicos)

Código Abierto - Asterisk - Squid Aplicaciones de Escritorio - Office 2003

Basic - Office

2007Basic - Office

Professional 2003

- Office 97 Standard

- Office 2000 Professional

- Office XP Professional

- Office 97 Professional

- Openoffice.org 2.1




- Openoffice.org

- Linux Enterprise 5.2

- CentOS 5.2 - Windows

Server 2008 R.2

- Windows XP - Windows

Vista - IAX

3.1 - Openoffice.org

1.0.1

Tabla Nº 1. Activos de Información

ACTIVOS FÍSICOS TI

SOPORTE DE INFRAESTRUCTURA TI

CONTROLES DE ENTORNO TI

HARDWARE TI

- Cuarto de Telecomunicaciones

- Rack - Oficinas - Cajas fuertes

- Extintores - UPS - Cableado Eléctrico - Aire Acondicionado - Planta de Energía

Servidores - Servidor CLON(VOIP) - Servidor IBM (APLICACIONES) - Servidor CLON (WEB) - Servidor IBM (BD) - Servidor ACER (NOMINA(antigua)) - Servidor HP(SERVER 2008 R2 (PRUEBA)) Tarjetas - DIGIUM(VOZ IP) Switches - 4 Switches d`link 1024D (24 puertos) - 2 Switches d`link 1016D (16 puertos) - 1 adtran express 6500 (conversor de

medios) - 1 switch Netgear PS 516 - 2 switch encore - 1 switch Trendnet - switch 3com Enrutadores - Router Cisco 828 GHDSL

Equipos Terminales - 30 ATA VOZ IP lynsys - Estaciones de trabajo - Portátiles Impresoras - Hewlett-Packard - Epson - Xerox - Lexmark - Dell Cámaras de Monitoreo Teléfonos Lectores códigos de barra Fotocopiadoras Fax Cámaras de video y fotográficas

Tabla Nº 2. Activos Físicos TI

ACTIVOS DE SERVICIOS TI

SERVICIOS DE RED SERVICIOS WEB CONTRATOS DE SOPORTE

- Proxy

- SSH

- VPN

- Apache 2.2.3

- IIS

- Oracle

- Nod 32

- Microsoft

Tabla Nº 3. Activos de Servicios TI

ACTIVOS DE INFORMACIÓN DE PERSONAL

EMPLEADOS DIVISIÓN DE SISTEMAS

- Jefe de sistemas

- Analista programador

- Auxiliar programador

- Operador sistemas

Tabla Nº 4. Activos de Información de Personal

Valuación de Activos

Dentro de la etapa de caracterización del sistema, luego de la identificación y clasificación de los

activos por categorías se realiza la valuación de estos. Esta valuación se hace teniendo como

punto de partida los pirales de la seguridad informativa y para cada uno de ellos se definen

diferentes niveles de cumplimiento como se consigna en la tabla 5. (MUY ALTO (5), ALTO (4),

MEDIO (3), BAJO (2), MUY BAJO (1)) el nivel más alto indicaría que se cumple a cabalidad con un

determinado pilar de la seguridad informática.

PUNTACION PARA LA VALUACION DE ACTIVOS

MUY ALTO 5

ALTO 4

MEDIO 3

BAJO 2

MUY BAJO 1

Tabla Nº 5. Puntuación para la Valuación de Activos

Los Criterios para la valuación de activos observados en la tabla 6 son la confidencialidad,

integridad, disponibilidad.

CRITERIOS PARA LA VALUACIÓN DE ACTIVOS

Confidencialidad Integridad Disponibilidad

- Los componentes del

sistema TI serán

accesibles sólo por

aquellos usuarios

autorizados.

- Los componentes del

sistema TI sólo

pueden ser creados

y modificados por

los usuarios

autorizados.

- Los usuarios deben tener

disponibles todos los

componentes del sistema

TI cuando así lo deseen.

Tabla Nº 6. Criterios para Valuación de Activos

Considerando los criterios de la tabla 6, los niveles de puntuación y la categorización anteriormente

hecha de los activos se realiza la valuación plenamente, donde se obtiene un valor total que sirve

para la escogencia de los activos más importantes dentro de la Empresa. En las tablas 7 al 17 se

encuentra los valores asignados para cada uno de los activo. El criterio para la colocación de los

valores se hizo teniendo en cuenta un primer estudio de afectación de la continuidad del negocio.

VALUACIÓN DE ACTIVOS

ACTIVOS DE INFORMACIÓN

DATOS DIGITALES

Confidencialidad Integridad Disponibilidad Valor de

Activos

Base de datos 5 5 5 15

Backup 5 5 3 13

Correo Electrónico 3 2 1 6

Encriptación de

llaves

3 3 3 9

Tabla Nº7. Valuación de Datos Digitales

INFORMACIÓN TANGIBLE


Activos

Personal(empleados) 5 3 4 12

Correo/Postal 4 4 3 13

Fax 3 3 2 8

Compartimiento de

seguridad

5 4 4 13

Tabla Nº 8. Valuación de Información Tangible

INFORMACIÓN INTANGIBLE


Activos

Información 5 5 5 15

Licencias 2 1 2 5

Imagen corporativa 1 2 5 8

El buen nombre de 1 2 3 6

la empresa

Tabla Nº 9. Valuación de Información Intangible

APLICACIONES


Activos

Propietarias

Sinap 5 5 5 15

Sth 5 5 4 14

Adquiridas

Finanzas Plus 5 5 5 15

Srf 5 5 4 14

Código Abierto

Asterisk 5 5 5 15

Squid 5 5 4 14

Aplicaciones de

Escritorio

2 2 3 7

Tabla 10. Valuación de Aplicaciones

SISTEMAS OPERATIVOS


Activos

Linux Enterprise(Base de

datos)

5 5 5 15

Centos (servidor web-

proxy)

5 5 4 14

Centos(Aplicaciones) 5 5 5 15

Centos (Voip) 5 5 4 14

Windows Server 2008

(prueba)

5 5 2 12

Windows XP 3 3 2 8

Windows Vista 3 3 2 8

IAX 5 5 2 12

Tabla Nº 11. Valuación de Sistemas Operativos

ACTIVOS FÍSICOS TI

SOPORTE DE INFRAESTRUCTURA


Activos

Cuarto de

telecomunicaciones

5 5 5 15

Rack 3 3 3 9

Oficinas 2 2 3 7

Caja Fuerte 5 2 2 9

Tabla Nº 12. Valuación de Soporte de Infraestructura

CONTROLES ENTORNO TI

Confidencialidad Integridad Disponibilidad Valor de Activos

Extintores 1 1 4 6

UPS 4 5 5 14

Cableado Eléctrico 1 3 4 8

Aire Acondicionado 1 3 4 8

Planta de energía 1 3 4 8 Tabla Nº 13. Valuación de Controles Entorno TI

HARDWARE TI

Confidencialidad Integridad Disponibilidad Valor de Activos

Servidores

Servidor Base de datos 5 5 5 15

Servidor VOIP 5 5 4 14

Servidor Web 5 5 4 14

Servidor de Nomina (antigua) 5 5 3 13

Servidor Windows server 2008 (Prueba)

3 3 3 9

Servidor de Aplicaciones 5 5 5 15

Tarjetas

DIGIUM (Voip) 5 5 3 13

Switches 3 3 3 9

Router Cisco 5 5 4 14

Equipos Terminales

Ata Vo IP lynsys

3 3 2 8

Estaciones de trabajo 2 2 2 6

Portátiles 2 2 2 6

Impresoras 1 1 2 4

Cámaras de monitoreo 5 5 5 15

Lector de Barras 5 5 5 15

Teléfonos 3 2 1 6

Fax 2 1 1 4

Fotocopiadoras 1 1 1 3

Cámaras de video y fotográficas 1 1 1 3

Tabla Nº 14. Valuación de Hardware TI

ACTIVOS DE SERVICIO TI

SERVICIOS DE RED


Activos

Proxy 5 5 2 12

VPN 5 5 2 12

SSH 5 5 2 12

Tabla Nº 15. Valuación de Activos de Servicio TI

SERVICIOS WEB


Activos

Apache 2.2.3 5 5 4 14

IIS 5 3 2 10

Tabla Nº 16. Valuación de Servicios Web

CONTRATOS DE SOPORTE


Activos

Oracle 3 4 3 10

Nod 32 3 4 4 11

Microsoft 3 3 3 9

Tabla Nº 17. Valuación de Contratos de Soporte

Los activos Importantes de acuerdo a la Puntuación dada anteriormente fueron aquellos que

obtuvieron un valor de activos de 15 y 14, siendo este resultado la suma CID (Confidencialidad,

Integridad, Disponibilidad) por cada activo. Después de realizar la valuación se determina que los

siguientes activos son de mayor importancia dentro de la empresa como se estipula en las tabla

18 y 19 .

ACTIVOS DE INFORMACION

DATOS DIGITALES INFORMACION INTANGIBLE

INFORMACION TANGIBLE

APLICACIONES SISTEMAS OPERATIVOS

Base de datos

Personal (empleados)

Información Propietaria Sinap y Sth

Linux Enterprise

Backups Compartimiento de seguridad

Adquirida finanzas plus y Srf

Centos (servidor web-proxy servidor de aplicaciones)

Open Source Asterisk, squid

Centos (VoIP)

Tabla Nº 18. Activos de Información

ACTIVOS FISICOS TI


CONTROLES ENTORNO TI HARDWARE TI

Cuarto de telecomunicaciones

UPS Servidor Base de datos

Router

Servidor VoIP

Servidor Web

Servidor de Aplicaciones

Cámaras de monitoreo

Lector de Barras

Tabla Nº 19. Activos Físicos TI

Valuación de Amenazas Teniendo identificados los activos más importantes se pasa a considerar los criterios de posibles causas potenciales de un incidente no relacionado que pueden ocasionar alguna falla dentro de la Empresa. En la tabla 20 se realizo una categorización de las posibles causas o amenazas.

CRITERIOS PARA LA VALUACION DE LAS AMENAZAS

Amenazas Naturales Amenazas Humanas Amenazas del Entorno

- Terremoto

- Inundaciones

- Tormentas Eléctricas

- Vendavales

- Acceso no autorizado a sistemas

- Explotación de errores (usuario y administrador)

- Ingeniería Social - Phishing - Interceptación de datos - Código malicioso - Abuso de la informática. - Virus

- Fallas eléctricas - Polución - Sustancias químicas - Fugas de líquido - Temperatura - Incendios - Control de humedad - Edificaciones Cercanas - Accidente de tránsito. - Protección de los Equipos en el sitio - Fuentes de Potencia - Seguridad de cableados - Mantenimiento de Equipos - Ingreso no autorizado - Aseguramiento de oficinas, recintos

Y espacios físicos.

- Fallas de equipos Tabla Nº 20. Criterios para La Valuación de las Amenazas

Categorizadas las amenazas , se procede a definir niveles para encontrar los activos más

amenazados, a mayor puntuación el activo puede estar más afectado por una amenaza. La tabla 21

define la puntuación para la valuación de activos con relación a las amenazas.

PUNTACION PARA LA VALUACION DE ACTIVOS

MUY ALTO 5

ALTO 4

MEDIO 3

BAJO 2

MUY BAJO 1

Tabla Nº 21. Puntuación para la Valuación de Amenazas

La utilización de niveles permite identificar y ponderar cuantitativamente los activos con la finalidad

de encontrar cuales pueden ser afectados en mayor medida por las diferentes amenazas presentes

en la empresa SegTec. En las tablas de la 22 a la 32 se obtiene un valor de amenaza, dependiendo de

las amenazas categorizadas (Natural, Humana y de Entorno) con relación a un activo.

VALUACION DE AMENAZAS DE LOS ACTIVOS

ACTIVOS DE INFORMACION

DATOS DIGITALES

Amenaza Natural

Amenaza Humana

Amenaza del Entorno

Valor de la Amenaza

Base de datos 1 4 3 8

Backup 1 3 4 8

Correo Electrónico 1 3 1 5

Encriptación de llaves

1 2 1 4

Tabla Nº 22. Valuación de Amenazas de Datos Digitales

INFORMACION TANGIBLE

Amenaza

Natural

Amenaza

Humana

Amenaza del

Entorno

Valor de la

Amenaza

Personal(empleados TI) 1 3 1 5

Correo/Postal 1 2 2 5

Fax 1 2 2 5

Compartimiento de

seguridad

1 2 2 5

Tabla Nº 23. Valuación de Amenazas de Información Tangible

INFORMACION INTANGIBLE

Amenaza

Natural

Amenaza

Humana

Amenaza del

Entorno

Valor de la

Amenaza

Información 1 4 1 6

Licencias 1 2 1 4

Imagen corporativa 1 1 1 3

El buen nombre de

la empresa

1 2 1 4

Tabla Nº 24. Valuación de Amenazas de Información Intangible

APLICACIONES

Amenaza Natural Amenaza

Humana

Amenaza del

Entorno

Valor de la

Amenaza

Propietarias

Sinap 1 4 1 6

Sth 1 4 1 6

Adquiridas

Finanzas Plus 1 4 1 6

Srf 1 4 1 6

Código Abierto

Asterisk 1 3 2 6

Squid 1 3 2 6

Aplicaciones de

Escritorio

1 2 1 4

Tabla Nº 25. Valuación de Amenazas de Aplicaciones

SISTEMAS OPERATIVOS

Amenaza Natural

Amenaza Humana

Amenaza del Entorno

Valor de la Amenaza

Linux Enterprise(Base de

datos)

1 4 2 7

Centos (servidor web-proxy)

1 4 2 7

Centos(Aplicaciones) 1 4 2 7

Centos (Voip) 1 4 2 7

Windows Server 2008 (prueba)

1 2 2 5

Windows XP 1 2 1 4

Windows Vista 1 2 1 4

IAX 1 3 2 6

Tabla Nº 26. Valuación de Amenazas de Sistemas Operativos

ACTIVOS FISICOS TI


Amenaza Natural

Amenaza Humana

Amenaza del Entorno

Valor de la Amenaza

Cuarto de telecomunicaciones 1 2 3 6

Rack 1 2 3 6

Oficinas 1 3 2 6

Caja Fuerte 1 2 2 5

Tabla Nº 27. Valuación de Amenazas de Soporte de Infraestructura

CONTROLES ENTORNO TI

Amenaza Natural Amenaza Humana

Amenaza del Entorno

Valor de la Amenaza

Extintores 1 1 1 3

UPS 1 2 2 5

Cableado Eléctrico 1 1 3 5

Cableado de red 1 2 4 6

Aire Acondicionado 1 1 2 4

Planta de energía 1 1 2 4

Tabla Nº 28. Valuación de Amenazas de Controles Entrono TI

HARDWARE TI

Amenaza Natural

Amenaza Humana

Amenaza del Entorno

Valor de la Amenaza

Servidores

Servidor Base de datos 1 2 2 5

Servidor VOIP 1 2 2 5

Servidor Web 1 2 2 5

Servidor de Nomina (antigua) 1 2 2 5

Servidor Windows server 2008 1 2 2 5

(Prueba)

Servidor de Aplicaciones 1 2 2 5

Tarjetas

DIGIUM (Voip) 1 2 1 4

Switches 1 2 2 5

Router Cisco 1 2 2 5

Equipos Terminales

Ata VOZ IP lynsys 1 1 2 4

Estaciones de trabajo 1 3 2 6

Portátiles 1 2 2 5

Impresoras 1 1 2 4

Cámaras de monitoreo 1 2 2 5

Lector de Barras 1 2 2 5

Teléfonos 1 1 1 3

Fax 1 1 1 3

Fotocopiadoras 1 1 2 4

Cámaras de video y fotográficas 1 1 1 3

Tabla Nº 29. Valuación de Amenazas del Hardware TI

ACTIVOS DE SERVICIO TI

SERVICIOS DE RED

Amenaza Natural

Amenaza Humana

Amenaza del Entorno

Valor de la Amenaza

Proxy 1 3 2 6

SSH 1 3 1 5

Tabla Nº 30. Valuación de Amenazas de Servicios de Red

SERVICIOS WEB

Amenaza

Natural

Amenaza

Humana

Amenaza del

Entorno

Valor de la

Amenaza

Apache 2.2.3 1 4 2 8

IIS 1 2 1 4

Tabla Nº 31. Valuación de Amenazas de Servicios Web

CONTRATOS DE SOPORTE

Amenaza

Natural

Amenaza

Humana

Amenaza del

Entorno

Valor de la

Amenaza

Oracle 1 2 1 4

Nod 32 1 2 1 4

Microsoft 1 2 1 4

Tabla Nº 32. Valuación de Amenazas de Controles de Soporte

Una vez realizada la valuación de amenazas se identifican los activos que se encuentran amenazados

actualmente en la Empresa.

Activos más Amenazados según la puntación de valuación

En la tabla 33 se obtienen las amenazas de acuerdo a un estudio previo realizado en la Empresa

sobre los activos dependiendo del tipo de Amenaza.

Tabla Nº 33. Descripción de los Activos Amenazados

Probabilidades de amenazas de la Empresa

Las probabilidades de las amenazas determinan si un ataque es inminente que podrían causar

perjuicio de disponibilidad, confidencialidad, integridad y autenticidad de la información empresarial.

Los criterios para la probabilidad de amenaza se definen en la tabla 34, clasificados en 4 niveles

ALTA, MEDIA, BAJA, MUY BAJA.

ALTA La realización del ataque es inminente. No existen condiciones internas y

externas que impidan el desarrollo del ataque.

MEDIA Existen condiciones que hacen poco probable un ataque en el corto plazo

pero que no son suficientes para evitarlo en el largo plazo.

BAJA Existen condiciones que hacen muy lejana la posibilidad del ataque.

MUY BAJA No existen condiciones que impliquen riesgo/ataque.

Tabla Nº 34. Criterios para probabilidad de Amenaza

Los criterios de la probabilidad de Amenazas anteriormente descritos y estudios previos realizados

en la Empresa como la recolección de información permitieron identificar el nivel de probabilidad de

una amenaza.

Activos Tipo de Amenazas Amenaza

Base de Datos Amenaza humana - Acceso no autorizado (Ingeniería Social y Phising). - Errores del programador por falta de capacitación

en el área.

Backup Amenaza del entorno - Ingreso físico no autorizado por terceras personas - No se encuentran en un sitio confiable - No existen copias externas custodiadas

Información Amenaza Humana - Información impresa no está segura y controlada - Acceso físico no Autorizado por terceras personas

Aplicaciones propietarias y adquiridas

Amenaza humana - Acceso no autorizado (Ingeniería Social y Phising)

Aplicaciones de Código Abierto

Amenaza humana - Acceso no autorizado (Ingeniería Social y Phising)

Sistemas operativos Linux Amenaza humana - Errores de seguridad, por mala administración.


Amenaza Entorno - Control de humedad - Polución

Oficinas Amenaza humana - Acceso no autorizado físico

Cableado de red Amenaza de entorno - Falta de cumplimiento de la normatividad de cableado estructurado

Estaciones de trabajo Amenaza humana - Ingeniería Social

Rack Amenaza Entorno - Falta de cumplimiento de la normatividad de cableado estructurado

Servidor Apache Amenaza humana - Spoofing Web - Errores de seguridad

En la tabla 35 y 36 se utilizan las divisiones de la columna Probabilidad de Amenaza, marcando con

una “X” la opción que se consideró aplicable a la empresa dependiendo de los tipos de amenazas

identificadas en su respectivo análisis.

TIPO DE AMENAZA PROBABILIDAD DE AMENAZA

AMENAZA HUMANA ALTA MEDIA BAJA MUY BAJA Acceso no autorizado por Ingeniería Social y Phising (BASE DE DATOS)

X

Errores del programador por falta de capacitación en el área (BASE DE DATOS)

X

Información impresa no está segura y controlada (INFORMACION)

X

Acceso físico no Autorizado por terceras personas (INFORMACION)

X

Acceso no autorizado por Ingeniería Social y Phising (APLICACIONES PROPIETARIAS Y ADQUIRIDAS, OPEN SOURCE)

X

Errores de seguridad por mala Administracion (S.O LINUX)

X

Ingeniería social (ESTACIONES DE TRABAJO) X

Spoofing Web (SERVIDOR APACHE) X

Errores de seguridad (SERVIDOR APACHE) X

Acceso no autorizado físico (OFICINAS) X

Tabla Nº 35. Probabilidad de Amenazas Humanas

AMENAZA DE ENTORNO ALTA MEDIA BAJA MUY BAJA

Ingreso físico no autorizado por terceras

personas (BACKUP)

X

No se encuentran en un sitio confiable (BACKUP) X

No existe copias externas custodiadas (BACKUP) X

Control de humedad (CUARTO DE

TELECOMUNICACIONES)

X

Polución (CUARTO DE TELECOMUNICACIONES) X

Falta de cumplimiento de la normatividad de

cableado estructurado (RACK)

X

Falta de cumplimiento de la normatividad de

cableado estructurado (CABLEADO DE RED)

X

Tabla Nº 36. Probabilidad de Amenazas de Entornos

Identificación de Vulnerabilidades

Las debilidades pueden ocasionar que una amenaza cause daños a un activo y se afecte el normal

funcionamiento de la Empresa por este motivo se procedió a la identificación de las vulnerabilidades

para ello se consideraron tres áreas que determina la metodología SP 800-30:

Administración

Operacional

Técnica

En las tablas de la 37 a la 39 se describen las vulnerabilidades asociadas en las áreas de

administración, operacional y técnica con relación a una serie de criterios establecidos por la

metodología SP800-30. Además para cada uno de los activos más críticos (servidores) se identifican

las vulnerabilidades como se indica en las tablas 40 a la 43.

Criterios de la Área de Administración de Sistemas

Criterios Vulnerabilidades Asociadas

Asignación de responsabilidades

La asignación de responsables de los activos del área de sistemas no está muy bien definida.

Revisión periódica de controles de seguridad.

La existencia de controles de seguridad que protejan los activos es escasa.

Continuidad

No se maneja una política clara y específica para la continuidad del negocio. Actividades relacionadas con los controles de cambios en las aplicaciones críticas es susceptible a mejoras.

Evaluación de Riesgos Algunos riesgos sobre los activos más críticos de la empresa no están plenamente identificados y documentados.

Seguridad y capacitación técnica

No se posee un documento donde se estipulen los incidentes y las mejoras en seguridad.

No se manejan roles para la gestión de vulnerabilidades

No hay exigencia continua de identificación en lugar visible para personas que ingresan al área. No existen procedimientos formales para llevar acabo procesos capacitación bien estructurada. Es mínimo el control en cumplimiento de normas después de una capacitación ya que no existen personas encargadas de verificar los controles.

Plan de seguridad del sistema

Claramente no se tiene definido un plan de seguridad del sistema, aunque se realizan algunas actividades en lo relacionado a seguridad.

El manejo de aplicaciones está más enfocado a lo funcional y no se tienen controles adecuados de seguridad.

No se maneja una política clara de registro y des-registro de los usuarios en el sistema.

Explícitamente no se posee documentación en cuanto a criterios de confidencialidad y criticidad de las aplicaciones.

Sistemas de autorización y re-autorización EL manejo de claves secretas por parte de los usuarios se realiza de manera informal.

Falta de procedimiento formal para la revisión de los accesos a los sistemas para mirar usuarios y permisos asignados.

Tabla Nº 37. Vulnerabilidades del Área de Administración de sistemas

Seguridad Operacional

Criterios Vulnerabilidades asociadas

Controles para garantizar la calidad de

suministro de energía

Falta etiquetado de tableros e identificación

de circuitos que alimentan las ups

Medios de acceso y eliminación de dato Proceso formal de eliminación de datos no se

tiene.

La eliminación de datos digitales no se realiza

con herramientas adecuadas.

Los medios de acceso al cuarto de

comunicaciones es susceptible a mejoras)

Control de contaminantes transportados por

el aire

Las paredes del cuarto de equipos falta un

adecuando tratamiento.

Facilidad de protección (Sala de

computadores, Data center, oficinas)

Los actividades relacionadas con la seguridad

física son susceptible de mejora para el

control de acceso a la dependencia, cuarto de

equipos y manejo de activos presentes en

esta.

Control de humedad No se maneja un mecanismo de control de

humedad

Tabla Nº 38. Vulnerabilidades del Área Seguridad Operacional

Criterios en el Área de Seguridad Técnica

Criterios Vulnerabilidades asociadas

Comunicaciones (Interconexión se sistemas, Enrutadores).

No se puede determinar adecuadamente las rutas y espacios horizontales utilizados.

Falta etiquetado de cableado horizontal.

Falta de etiquetas adecuados de equipos activos y servidores.

Existencia de derivaciones en cableado horizontal.

No se tiene una plano adecuado para mirar distancias de puntos de red, pero por observación de algunas oficinas se sobrepasa la distancia máxima.

No existen barras de puesta a tierra dentro del cuarto de comunicaciones y en rack.

El medio de trasporte de cable se encuentra deteriorado

Cableado de red y eléctrico junto en algunos sitios.

Equipos activos dentro de cuarto de comunicaciones no están aterrizados.

La distribución dentro de rack no es la adecuada.

No se tiene una canal de respaldo con ISP en caso de fallo de canal principal.

El manejo de métodos criptogramas dentro de la organización es susceptible a mejoras.

Criptografía Control de acceso discrecional

En algunos servidores Linux no se maneja archivos para el control de longitud contraseñas, tiempos de expiración y cambios de estas.

Las falta documentación formal para la gestión de identificadores de usuarios únicos (ID´s).

Sistema de auditoria

Muchos de los servidores tienen instalados servicios innecesarios

No se maneja un endurecimiento de servidores apropiado en los servidores (Hardening).

Mecanismos de para chequeo de integridad de datos en servidores es susceptible de mejoras

Se permite conexión por ssh a root directamente.

Sistemas de antivirus y detección de rootkit es escasa

Equipos de control de acceso como firewall no se tienen

No se cuenta con equipos de segmentación de redes (Switch Gestionables o VPN).

Documentos formales para registro de ingreso de personas al área no se tiene.

Identificación y autenticación La gestión de logs para control de accesos no está muy bien automatizada.

Herramientas de monitoreo para gestión de equipos conectados a determinado servicio no se tiene implementado.

No se manejan controles de autenticación para el ingreso al sitio de procesamiento de información (tarjetas de control con códigos etc).

Para el ingreso al área de sistemas no se exige portar documento de identificación en un lugar visible a personal ajeno a esta.

Detección de intrusiones Mecanismos de detección de intrusiones como IDS e IPS no se manejan.

Tabla Nº 39. Vulnerabilidades del área Técnica

Tabla Nº 40. Vulnerabilidades del servidor de Aplicaciones

Criterios en el Área de Servidor de Aplicaciones

Servidor de Aplicaciones Vulnerabilidades

Se utiliza VNC para la administración de el servidor.

En la referente a software de servidor se tiene instalado software innecesario como el servidor X11

Los banners de los servicios instalados falta modificarlos adecuadamente.

Hardening en para el sistema operativo que manejo este servidor es susceptible mejoras.

Se permite autenticación al servidor como root por medio de ssh

No hay un plan de contingencia establecido a nivel de Hw para este servidor.

No se tienen herramientas de monitoreo de logs automatizadas para este servidor.

Explícitamente de se tiene asignado una persona responsable de este servidor.

Es susceptible de mejora tener una política definida de control de cambios.

EL php instalado el servidor esta propenso a muchos ataques

El software para samba esta propenso a ataques de ganancia de privilegios.

Se tienen debilidades a nivel de ssh (hijacking).

El servidor apache instalado no posee las ultimas actualizaciones ( posibles ataques de desbordamiento de buffer.)

No se tiene un documento de registro de incidentes y de soluciones de estos.

No se tiene plenamente identificado cables de red ni el cableado eléctrico para el servidor.

No se maneja software de chequeo de integridad

Herramienta de monitorio para este servidor no se tiene.

CRITERIOS DEL SERVIDOR WEB Y PROXY

Servidor Web y Proxy Vulnerabilidades

El hardening utilizado en el servidor es

susceptible de mejoras

Backup para este servidor no se maneja

Se tiene instalado software innecesario en

este servidor.

El manejo de banner es susceptible a

mejoramiento para los servicios instalados.

Se utiliza vnc para administración remota de

este servidor.

Existen varios puertos abiertos innecesarios

en este servidor.

Apache esta propenso a ataques por no estar

actualizado.

El servicio de samba esta propenso a ataques.

El servidor posee versión de ssh no

actualizada.

No se posee una adecuado control de cambios

para este servidor.

El servicio de Dns instalado no se encuentra

actualizado.

No se tiene plenamente identificado los

cables, puntos red y el cableado eléctrico

para el servidor.

Tabla Nº 41. Vulnerabilidades del servidor Web y Proxy

CRITERIOS DEL SERVIDOR ASTERISK

Servidor Asterisk Vulnerabilidades

La configuración del SO en los aspectos de seguridad es susceptible a mejoras

Los banner de los servicios instalados son susceptible a mejoras

No se manejan restauraciones de periódicas de los respaldos ( backup) para el servidor , ni respaldos (backup) externos o fuera de sitio.

No se maneja software de integridad de archivos en el servidor.

No se tienen implementadas herramientas de monitorio de logs.

No tiene garantizado que el servidor posea las ultimas actualizaciones.

No se tienen instalados herramientas de protección contra rootkit.

No se tiene plenamente identificado los cables eléctricos y puntos de red para el servidor.

La versión de ssh no se encuentra actualizada.

Se tienen habilitados servicios innecesarios en este servidor como (smtp).

La versión se apache puede ser propensa ataques de injection por comandos.

Mysql para la base de datos no se encuentra actualizada.

La versión de php instalada en el servidor no está actualizada.

Tabla Nº 42. Vulnerabilidades del servidor Asterisk

CRITERIOS DEL SERVIDOR DE BASE DE DATOS (ORACLE)

Servidor Oracle Vulnerabilidades asociadas

El manejo de cambio de contraseñas por defecto durante la instalación es susceptible a mejoras

La base de datos esta propensa a ganancia de privilegios por accesibilidad de diccionario.

La información de los parámetros para conexión remota es susceptible a mejoras.

La aplicación de Oracle es susceptible a mejoras en lo que se refiere a proceso de autenticación remota.

Los parches para la base de datos no están actualizados.

La versión de ssh presente en el servidor no está actualizada.

No se posee explicita mente una documento formal de consignación de errores y fallas

No se tiene dentro del servidor programas de chequeo de integridad para gestión de archivos del S.O

No se maneja adecuadamente las gestión de contraseñas en la relacionado al tiempo para cambio de estas.

El manejo de banners para el S.O del servidor es susceptible de mejoras

Herramientas para automatización de logs para este servidor es escasa.

El hardening en el servidor es susceptible de mejoras.

Las diferentes conexiones de red y eléctricas que tiene el servidor no están plenamente etiquetadas.

Tabla Nº 43. Vulnerabilidades de Servidor de Base de Datos

Probabilidad de Vulnerabilidades

Dentro de la empresa existen una serie de vulnerabilidades que pueden ser explotadas por las

amenazas por lo tanto se hace necesario definir criterios que permitan determinar el nivel de

probabilidad de las vulnerabilidades; tres niveles son definidos con este fin como se observa en la

tabla 44.

Tabla Nº 44. Nivel de Probabilidad de Vulnerabilidades

En la tabla 45 se asocia la vulnerabilidad y su probabilidad de acuerdo a los tres niveles anteriores.

Vulnerabilidad Alta Media Baja

La asignación de responsables de los activos del área de sistemas no está definida.

X

La existencia de controles de seguridad que protejan los activos es escasa.

X

No se maneja una política clara y específica para la continuidad del negocio.

X

Actividades relacionadas con los controles de cambios en la aplicaciones críticas es susceptible a mejoras.

X

Algunos riesgos sobre los activos más críticos de la empresa no están plenamente identificados y documentados.

X

No se posee un documento donde se estipulen los incidentes y las mejoras en seguridad.

X

No se manejan roles para la gestión de vulnerabilidades X

No hay exigencia continua de identificación en lugar visible para personas que ingresan al área.

X

No existen procedimientos formales para llevar acabo procesos capacitación bien estructurada.

X

Es mínimo el control en cumplimiento de normas después de una capacitación ya que no existen personas encargadas de verificar los controles.

X

Claramente no se tiene definido un plan de seguridad del sistema, se realizan algunas actividades en lo relacionado a seguridad

X

EL manejo de aplicaciones esta mas enfocado a lo funcional y no se tienen controles adecuados de seguridad.

X

Nivel de Probabilidad Definición de Probabilidad

Alta El threat-source es altamente motivado y suficientemente capaz, y los controles para evitar la vulnerabilidad de ser ejercidas son ineficaces

Media El threat-source es motivado y capaz, pero los controles están en el lugar que pueden impedir el ejercicio exitoso de la vulnerabilidad.

Baja El threat-source carece de motivación o capacidad, o los controles existen para prevenir, o al menos obstaculicen de manera significativa la vulnerabilidad de ser ejercida.

No se maneja una política clara de registro y des-registro de los usuarios en sistema

X

Explicitamente no se posee documentación en cuanto a criterios de confidencialidad y criticidad de las aplicaciones

X

EL manejo de claves secretas por parte de los usuarios se realiza de manera informal.

X

Falta de procedimiento formal para la revisión de los accesos a los sistemas para mirar usuarios y permisos asignados.

X

Falta marquillado de tableros e identificación de circuitos que alimentan las ups

X

Proceso formal de eliminación de datos no se tiene. La eliminación de datos digitales no se realiza con herramientas adecuadas

X

Los medios de acceso al cuarto de comunicaciones es susceptible a mejoras)

X

Las paredes del cuarto de equipos falta un adecuando tratamiento.

X

Los actividades relacionadas con la seguridad física son susceptible de mejora para el control de acceso a la dependencia, cuarto de equipos y manejo de activos presentes .

X

NO se maneja un mecanismo de control de humedad X

No se puede determinar adecuadamente las rutas y espacios horizontales utilizados en el cableado de red.

X

Falta etiquetado de cableado horizontal. X

Falta de etiquetas adecuados de equipos activos y servidores. X

Existencia de derivaciones en cableado horizontal. X

No se tiene una plano adecuado para mirar distancias de puntos de red, pero por observación de algunas oficinas se sobrepasa la distancia máxima.

X

No existen barras de puesta a tierra dentro del cuarto de comunicaciones y en rack.

X

El medio de trasporte de cable se encuentra deteriorado X

Cableado de red y eléctrico junto en algunos sitios. X

Equipos activos dentro de cuarto de comunicaciones no están aterrizados.

X

Las distribución dentro de rack no es la adecuada. X

No se tiene una canal de backup con Isp en caso de fallo de canal principal.

X

El manejo de métodos criptogramas dentro de la organización es susceptible a mejoras.

X

El algunos servidores Linux no se maneja archivos para manejo de longitud de contraseñas, tiempos de espiración de contraseñas y cambios de contraseñas.

X

Las gestión de ID's unicos falta documentación. X

Muchos de los servidores tienen instalados servicios innecesarios X

No se maneja un hardening apropiado en los servidores. X

Mecanismos de para chequeo de integridad de datos en servidores es susceptible de mejoras

X

Se permite conexión por ssh a root directamente. X

Sistemas de antivirus y detección de rootkit es escasa X

Equipos de control de acceso como firewall no se tienen X

No se cuenta con equipos de segmentación de redes (Switch Gestionables).

X

Documentos formales para registro de ingreso de personas al área no se tiene.

X

La gestion de logs para gestión de accesos esta muy bien automatizada.

X

Herramientas de monitoreo para gestión de equipos conectados a determinado servicio no se tiene implementado.

X

No se manejan controles de autenticación para en sitio de procesamiento de información (tarjetas de control con códigos etc).

X

Para el ingreso al área de sistemas no se exige portar documento en un lugar visible para el personal que ingresa ajeno al área.

X

Mecanismos de detección de intrusiones como IDS e IPS no se manejan.

X

Un diagrama logico de conexión de equipos no se tiene X

Falta un adecuado marquillado de cada uno de los dispositivos ATA

X

Tabla Nº 45. Probabilidad de Vulnerabilidades Generales

Anteriormente se menciona que los servidores y su información son los activos más críticos de la

empresa SegTec motivo por el cual una clasificación por niveles de la probabilidad de las

vulnerabilidades se hace necesaria.

Clasificación de la probabilidad de las vulnerabilidades para servidores

En las tablas 46 a la 49 se determinará las diferentes vulnerabilidades encontradas en los diferentes

servidores.

Servidor de Aplicaciones


Se utiliza VNC para la administración de el servidor. X

En la referente a software de servidor se tiene instalado software innecesario ie servidor X11

X

Los banners de los servicios instalados falta codificarlos X

adecuadamente.

Hardening en para el sistema operativo que manejo este servidor es susceptible mejoras.

X

Se permite autenticación al servidor como root por medio de ssh

X

El plan de contingencia establecido para este servidor es susceptible de mejoras.

X

No se tienen herramientas de monitoreo de logs automatizadas para este servidor.

X

Explicitamente de se tiene asignado una persona responsable de este servidor.

X

Es susceptible de mejora tener una política definida de control de cambios.

X

EL php instalado el servidor esta propenso a muchos ataques X

El software para samba esta propenso a ataques de ganacia de privilegios.

X

Se tienen debilidades a nivel de ssh (hijacking). X

El servidor apache instalado no posee las ultimas actualizaciones ( posibles ataques de desbordamiento de buffer.)

X

No se tiene un documento de incidentes y ni de soluciones X

No se tiene plenamente identificado cables de red ni el cableado eléctrico para el servidor

X

No se maneja software de chequeo de integridad X

Herramienta de monitorio para este servidor no se tiene. X

Tabla Nº 46. Probabilidad de Vulnerabilidades del Servidor de Aplicaciones

Servidor Web y Proxy


El hardening utilizado en el servidor es susceptible de mejoras X

Backup para este servidor no se maneja X

Se tiene instalado software innecesario en este servidor. X

El manejo de banner es susceptible a mejoramiento para los servicios instalados.

X

Se utiliza vnc para administración remota de este servidor. X

Existen varios puertos abiertos en este servidor innecesarios. X

Apache esta propenso a ataques por no estar actualización X

El servicio de samba esta propenso a ataques. X

El servidor posee versión de ssh no actualizada. X

No se posee un adecuado control de cambios para este servidor. X

El servicio de Dns instalado no se encuentra actualizado. X

No se tiene plenamente identificado los cables, los puntos red ni el cableado eléctrico para el servidor.

X

Tabla Nº 47. Probabilidad de Vulnerabilidades del Servidor de WEB Y PROXY

Servidor Asterisk


La configuración del SO en los aspectos de seguridad es susceptible a mejoras

X

Los banner de los servicios instalados son susceptible a mejoras X

No se manejan restauraciones de periódicas de los backup para el servidor ni backup externos o fuera de sitio.

X

No se maneja software de integridad de archivos en el servidor X

No se tienen implementadas herramientas de monitorio de logs X

No se tienen implementadas herramientas de monitorio de logs X

No tiene garantizado que el servidor posea las ultimas actualizaciones. X

No se tienen instalados herramientas de protección contra rootkit. X

No se tiene plenamente identificado los cables eléctricos y puntos de red para el servidor.

X

La versión de ssh no se encuentra actualizada. X

e tienen habilitados servicios innecesarios en este servidor(smtp) xxx X

La verion se apache puede ser propensa ataques de injection por comandos.

X

Mysql para la base de datos no se encuentra actualizada. X

No se posee una adecuado control de cambios para este servidor. X

La versión de php instalada en el servidor no esta actualizada. X

Tabla Nº 48. Probabilidad de Vulnerabilidades del Servidor de Asterisk

Servidor de Base de Datos (Oracle)


El manejo de cambio de contraseñas por defecto durante la instalacion

es susceptible a mejoras

X

La base de datos esta propensa a ganancia de privilegios por

accesibilidad de diccionario.

X

La información de los parámetros para conexión remota es susceptible

a mejoras.

X

El aplicación de oracle es susceptible a mejoras en lo que se refiere a

proceso de autenticación remota.

X

Los parches para la base de datos no están actualizados. X

La versión de ssh presente en el servidor no esta actualizada X

No se posee explicita mente una documento formal de consignación de

errores y fallas

X

No se tiene dentro del servidor programas de chequeo de integridad

para gestión de archivos del S.O

X

No se maneja adecuadamente las gestión de contraseñas en la

relacionado al tiempo para cambio de estas.

X

El manejo de banners para el s.o del servidor es susceptible de mejoras X

Herramientas para automatización de logs para este servidor es escasa X

El hardenig en el servidor es susceptible de mejoras. X

Las diferentes conexiones de red y eléctricas que tiene el servidor no

están plenamente maquilladas

X

Politica de control de cambios no se tiene plenamente definida. X

Tabla Nº 49. Probabilidad de Vulnerabilidades del Servidor de Base Datos (Oracle)

Análisis de Impacto

En el análisis de riesgos para la determinación de los impactos negativos derivados de la

materialización de una amenaza es necesario medir las consecuencias que afectan la integridad,

confidencialidad y disponibilidad.

Los criterios tomados para el análisis de impacto se encuentran a continuación:

- Se pierde la información/conocimiento,

- Terceros podrían tener acceso a la información/conocimiento,

- La información ha sido manipulada o está incompleta,

- La información/conocimiento o persona no está disponible,

Tabla Nº 50. Escala de Impactos

Hay dudas acerca de la legitimidad de la fuente de la información.

En este análisis de impactos se considera la siguientes escalas descritas en la tabla 50:

Para esta clasificación se tuvo en cuenta los principios de la seguridad informática y la magnitud de daño que sufre los activos, que corresponden a la realidad de la empresa, como consecuencia de un impacto causado por un ataque exitoso como se observa en la tabla 51.

Activos Amenazados Principios de la Seguridad Informática Impacto

Confidencialidad Integridad Disponibilidad Alto Medio Bajo Muy Bajo

Base de Datos X X X X

Backup X X X X

Información X X X X

Aplicaciones propietarias y adquiridas

X X X X

Aplicaciones de Código Abierto

X X X X

Sistemas operativos Linux X X X X


X X X X

Oficinas X X

Cableado de red X X

Estaciones de trabajo X

Rack X X

Servidor Apache X X X X

Tabla Nº51. Impactos en los Activos

Análisis de riesgos

El riesgo es el efecto negativo cuando se produce un impacto sobre un activo, teniendo en cuenta

tanto la probabilidad de la amenaza y el impacto de esta. Una efectiva administración de riesgos se

necesita para evaluar y mitigar los riesgos identificados en la empresa.

Dentro de este ámbito la Probabilidad de Amenaza e Impacto de las amenazas están considerados

por medio de los siguientes niveles o escalas:

1 = Muy baja

2 = Baja

3 = Mediana

4 = Alta

El Riesgo, se calcula como el producto de la multiplicación Probabilidad de Amenaza por el Impacto

de la amenaza, está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes

colores.

Bajo Riesgo = 6 – 9 (Azul)

MUY BAJO No causa ningún tipo de impacto o daño a la organización.

BAJO Causa daño aislado, que no perjudica a ningún componente de la organización.

MEDIO Provoca la desarticulación de un componente de la organización. Si no se atiende a tiempo, a largo plazo puede provocar la desarticulación de la organización.

ALTO En el corto plazo desmoviliza o desarticula a la organización.

http://protejete.wordpress.com/glosario/#amenaza

Medio Riesgo = 10-12 (Verde)

Alto Riesgo = 13– 16 (Naranja)

En la tabla 52 se especifican el impacto, la probabilidad de amenaza con relación a los activos mas

amenazados de la empresa SegTec.

Tabla Nº 52. Análisis de Riesgos

ANALISIS DE RIESGOS

IMPACTO PROBABILIDAD DE AMENAZA (alto=4, medio=3, bajo=2, muy bajo=1)

HUMANA ENTORNO

ESC

ALA

P

AR

A I

MP

AC

TO (

alto

=4, m

edio

=3,

baj

o=2

, mu

y b

ajo

=1)

Acc

eso

no

au

tori

zad

o p

or

Inge

nie

ría

Soci

al y

Ph

isin

g (B

ASE

DE

DA

TOS)

Erro

res

del

pro

gram

ado

r p

or

falt

a d

e ca

pac

itac

ión

en e

l áre

a (B

ASE

DE

DA

TOS)

Info

rmac

ión

imp

resa

no

est

á se

gura

y c

on

tro

lad

a

(IN

FOR

MA

CIO

N)

Acc

eso

fís

ico

no

Au

tori

zad

o p

or

terc

eras

per

son

as

(IN

FOR

MA

CIO

N)

Acc

eso

no

au

tori

zad

o p

or

Inge

nie

ría

Soci

al y

Ph

isin

g (A

PLI

CA

CIO

NES

PR

OP

IETA

RIA

S Y

AD

QU

IRID

AS,

CO

DIG

O A

BIE

RTO

)

Erro

res

de

segu

rid

ad p

or

mal

a a

dm

inis

trac

ión

(S.

O

LIN

UX

)

Inge

nie

ría

soci

al (

ESTA

CIO

NES

DE

TR

AB

AJO

)

Spo

ofi

ng

Web

(SE

RV

IDO

R A

PA

CH

E)

Erro

res

de

segu

rid

ad (

SER

VID

OR

AP

AC

HE)

Acc

eso

no

au

tori

zad

o f

ísic

o (

OFI

CIN

AS)

Ingr

eso

fís

ico

no

au

tori

zad

o p

or

terc

eras

per

son

as

(BA

CK

UP

)

No

se

encu

entr

an e

n u

n s

itio

co

nfi

able

(B

AC

KU

P)

No

exi

sen

co

pia

s ex

tern

as c

ust

od

iad

as (

BA

CK

UP

)

Co

ntr

ol d

e h

um

edad

(C

UA

RTO

DE

TELE

CO

MU

NIC

AC

ION

ES)

Po

luci

ón

(C

UA

RTO

DE

TELE

CO

MU

NIC

AC

ION

ES)

Falt

a d

e cu

mp

limie

nto

de

la n

orm

ativ

idad

de

cab

lead

o e

stru

ctu

rad

o (

RA

CK

)

Falt

a d

e cu

mp

limie

nto

de

la n

orm

ativ

idad

de

cab

lead

o e

stru

ctu

rad

o (

CA

BLE

AD

O D

E R

ED)

4 4 3 3 4 4 4 4 4 4 3 4 4 4 3 4 4

Base de Datos 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16

Backup 2 8 8 6 6 8 8 8 8 8 8 6 8 8 8 6 8 8

Información 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16

Aplicaciones propietarias y adquiridas 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16

Aplicaciones de Código Abierto 2 8 8 6 6 8 8 8 8 8 8 6 8 8 8 6 8 8

Sistemas operativos Linux 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16

Cuarto de telecomunicaciones 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16

Oficinas 2 8 8 6 6 8 8 8 8 8 8 6 8 8 8 6 8 8

Cableado de red 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16

Estaciones de trabajo 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16

Rack 3 12 12 9 9 12 12 12 12 12 12 9 12 12 12 9 12 12

Servidor Apache 4 16 16 12 12 16 16 16 16 16 16 12 16 16 16 12 16 16

ejemplo de caracterizacion y valuacion de activos sp800-30

Documents