modelo de evaluacion de riesgos y analisis de impacto para la gestión de continuidad del negocio...

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENOESCUELA DE POSTGRADO

Unidad de Postgrado Facultad de Ciencias Exactas y Tecnología

MODELO DE EVALUACION DE RIESGOS Y ANALISIS DE IMPACTO PARA LA GESTION DE CONTINUIDAD

DEL NEGOCIO BASADO EN LA METODOLOGIA AS/ANZ 4360, MAGERIT Y LA NORMA ISO/IEC 27002:

Caso de estudio Empresas del Grupo Nacional VIDA”

Tesis presentado a laEscuela de Postgrado de la facultad de Ciencias Exactas y Tecnología

De la Universidad Autónoma Gabriel René MorenoPara optar al grado de:

Magister en Auditoría y Seguridad Informática

Por:

Ing. ALEXIS ANDRES GARCIA SANDOVAL

Profesor guía:

Msc. Ing. VLADIMIR CALDERON YAKSIC.

Abril, 2012

Santa Cruz de la Sierra, Bolivia© 2012, Alexis Andres García Sandoval

UNIVERSIDAD AUTONOMA GABRIEL RENE MORENOESCUELA DE POSTGRADO

Unidad de Postgrado Facultad de Cs. Exactas y Tecnología

MODELO DE EVALUACION DE RIESGOS Y ANALISIS DE IMPACTO PARA LA GESTION DE CONTINUIDAD

DEL NEGOCIO BASADO EN LA METODOLOGIA AS/ANZ 4360, MAGERIT Y LA NORMA ISO/IEC 27002:

Caso de estudio Empresas del Grupo Nacional VIDA”

Por:

Ing. ALEXIS ANDRES GARCIA SANDOVAL

Tesis presentado a la Escuela de Postgrado de la facultad de Ciencias Exactas y Tecnología de

la Universidad Autónoma Gabriel René Moreno.Para optar al grado de:

Magister en Auditoría y Seguridad Informática.

Profesor guía:

Msc. Ing. VLADIMIR CALDERON YAKSIC.

Abril, 2012

Santa Cruz de la Sierra, Bolivia© 2012, Alexis Andres García Sandoval

Modelo de Evaluación de Riesgos y Análisis de Impacto para la Gestión de Continuidad del Negocio basado en la metodología AS/NZ 4360, MAGERIT y la norma ISO/IEC 27002

i

MODELO DE EVALUACION DE RIESGOS Y ANALISIS DE IMPACTO PARA LA GESTION DE CONTINUIDAD DEL NEGOCIO BASADO EN LA METODOLOGIA AS/ANZ 4360 Y LA NORMA ISO/IEC 27002

©2012, Alexis Andrés García Sandoval

Se autoriza la reproducción total o parcial, por cualquier medio o procedimiento, solo con fines académicos, incluyendo la cita bibliográfica del documento.


ii

DEDICATORIA

Dedico el presente trabajo de investigación a mis hijos: Melissa, Eduardo y Andresito.

Espero que este trabajo logre alentarlos a superarse cada día de manera que puedan ser personas de bien, útiles a la sociedad y comprometidas con quienes mas nos necesitan.

De manera muy especial dedico este trabajo a mi amada esposa y amiga Carola, pido disculpa por las noches de desvelo mientras estudiaba, investigaba y escribía el trabajo de tesis.


iii

AGRADECIMIENTOS

Agradezco a nuestro padre celestial por iluminar mi camino de conocimientos y sabiduría, por permitirme formar una gran familia.

Agradezco a mis padres y hermanos por ser una parte importante en mi vida

Agradezco a la Universidad Autónoma Gabriel Rene Moreno, a la Unidad de Postgrado Facultad de Ciencias Exactas y Tecnología y en especial al cuerpo docente de la Maestría en Auditoria y Seguridad Informática 2ª edición 2ª versión, gracias por permitirme ser parte de un grupo selecto de profesionales especializados en Auditoria y Seguridad informática.

Un agradecimiento especial a mi tutor Ing. Vladimir Calderón y todos mis colegas y compañeros de la maestría


iv

Tabla de contenido

RESUMEN.............................................................................................................................vii

ABSTRACT...........................................................................................................................viii

INTRODUCCION....................................................................................................................1

LA EMPRESA.........................................................................................................................2

ESQUEMA DE LAS EMPRESAS DEL GRUPO................................................................2

NACIONAL VIDA....................................................................................................................3

LATINA SEGUROS PATRIMONIALES...............................................................................3

NACIONAL ASISTENCIA......................................................................................................3

TECNOLOGIA CORPORATIVA...........................................................................................3

OFICINAS................................................................................................................................4

MISION....................................................................................................................................5

VISION.....................................................................................................................................5

OBJETIVOS DE LA COMPAÑIA..........................................................................................5

VALORES................................................................................................................................5

OBJETIVOS DE CALIDAD..................................................................................................6

OBJETO DE ESTUDIO.........................................................................................................7

SITUACION PROBLEMATICA.............................................................................................7

SITUACION DESEADA.........................................................................................................7

ÁREA DE INVESTIGACION.................................................................................................7

OBJETIVOS............................................................................................................................8

OBJETIVO GENERAL...........................................................................................................8

OBJETIVOS ESPECIFICOS.................................................................................................8

METODOLOGÍA.....................................................................................................................9

ETAPAS DEL DESARROLLO DEL TRABAJO................................................................11

PLAN DE TRABAJO............................................................................................................13

CAPITULO 1.................................................................................................................................14


v

1.1 SEGURIDAD DE LA RED.......................................................................................15

1.2 INCIDENTES DE SEGURIDAD..............................................................................15

1.3 CATEGORIZANDO LOS ATAQUES DE RED.....................................................18

1.4 MECANISMOS DE DEFENSAS ACTUALES.......................................................24

1.5 DEFINICION DEL DISEÑO DE REDES SEGURAS...........................................28

1.6 COMO CONTROLAR LOS INCIDENTES DE SEGURIDAD..............................31

1.7 REALIDAD NACIONAL............................................................................................32

CAPITULO 2.................................................................................................................................36

CAPITULO 3.................................................................................................................................37

CONCLUSIONES.................................................................................................................38

REFERENCIAS BIBLIOGRAFICAS..................................................................................38

CURRÍCULUM VITAE.........................................................................................................40

Tabla de FigurasFigura 1 Empresas del grupo (Grupo Nacional Vida, 2011).................................................2Figura 2 Presencia Nacional (Grupo Nacional Vida, 2011).................................................4Figura 3 Metodología DRI Internacional (Disaster Recovery Institute, 2012)....................9Figura 4 Metodología BCM BS 25999:2007 (Business Continuity Institute, 2012)........10Figura 5 Tendencia de los incidentes reportados. (CERT, Carnegie Mellon University)18Figura 6 Defensas de red tradicionales (Capite, 2007).......................................................24Figura 7 diseño general de la red con Firewall e IDS (Capite, 2007)...............................30

Tabla 1 Total vulnerabilidades catalogadas (García, 2011)...............................................17

Grafico 1 Tecnologías de seguridad informática (García, 2011).......................................32Grafico 2 área de seguridad informática (García, 2011).....................................................32Grafico 3 Vectores de Amenaza (García, 2011)..................................................................33Grafico 4 Incidentes de seguridad más comunes (García, 2011)....................................34Grafico 5 Inversión en seguridad informática (García, 2011)...........................................34Grafico 6 Publicación de Incidentes (García, 2011)...........................................................35


vi


vii

RESUMEN

El aprovechamiento y posicionamiento de las organizaciones en la red internet conlleva un incremento exponencial de las amenazas informáticas, la creciente dependencia de los sistemas y servicios de información que estos procesan y comparten provoca una exposición de riesgos que tolera el aumento de las vulnerabilidades en los sistemas informáticos, en este sentido, las organizaciones son cada vez más vulnerables.

Muchas organizaciones sufren las consecuencias de los ataques de red (internos y externos), y el crecimiento de incidentes por fallas en la seguridad de los sistemas. Esta exposición al riesgo trae consigo un impacto en las operaciones administrativas, las finanzas, el incumplimiento con los entes reguladores, perdida de imagen, reputación, credibilidad, desmotivación personal por parte de los recursos humanos, y en algunos casos el desastre la empresa sufre la quiebra financiera.

La información es considerada uno de los activos más importantes de una organización, por tal motivo, se debe proteger su confidencialidad, integridad y disponibilidad.

El presente proyecto tiene como objetivo diseñar un modelo de evaluación de riesgo y análisis de impacto para la continuidad del negocio, que pueda ser implementado por las empresas del grupo Nacional VIDA, de manera de poder identificar los riesgos, detectar las amenazas y definir el grado de protección que es prudente con base en los requerimientos, objetivos y prioridades, que podrían afectar al cumplimiento de los objetivos del negocio.

PALABRAS CLAVE

Análisis de Riesgo, Amenazas, Vulnerabilidades, Análisis de Impacto, Manejo de incidentes de seguridad, Respuesta a Incidentes de Seguridad, Plan de Continuidad del Negocio, Metodología AS/NZ 4360, Norma ISO/IEC 27002.


viii

ABSTRACT

The use and positioning of organizations in the Internet network carries an exponential increase in security threats, the growing dependence on information systems and services that process and share these results in an exposure risk to tolerate the increased vulnerabilities in systems computer, in this sense, organizations are increasingly vulnerable.

Many organizations suffer from network attacks (internal and external), and growth of incidents of security breaches of systems. This exposure brings an impact on business operations, finance, non-compliance with regulatory bodies, loss of image, reputation, credibility, personal motivation of human resources, and in some cases the company suffers disaster bankruptcy.

Information is considered one of the most important assets of an organization, as such, protect confidentiality, integrity and availability.

This project aims to design a model for risk assessment and impact analysis for business continuity that can be implemented by the Nacional Vida Group companies, so as to identify risks, detect threats and define the degree protection is prudent based on the requirements, objectives and priorities, which could affect the fulfillment of business objectives.


ix

INTRODUCCIONLa seguridad sigue siendo la pesadilla de los responsables de informática, el clásico ejemplo: cuando un virus o gusano informático infecta a los equipos computadores, incluyendo los servidores. Los profesionales de TI deben dejar todas sus actividades y destinar esfuerzo para actualizar y escanear los equipos y en algunos casos reinstalar todo (preparar los servidores y configurar servicios críticos).

Según la encuesta dirigida a profesionales de TI, en el 85% de las empresas los procesos críticos de la organización dependen de los sistemas informáticos, de estas empresas solo el 23% ha elaborado un plan de Seguridad y solamente en el 8% los planes son ejecutados o simulados de manera periódica (García,2011)

El problema aun es peor, en empresas que no tienen el personal dedicado a la seguridad; una vez que estos logran estabilizar los sistemas (cuando pasa la ola de incidencia), ya que los responsables de informática y profesionales de TI tienden a olvidarse de la seguridad para volver a sus actividades rutinarias.

Al parecer no aprendemos de nuestros errores, en este momento podemos preguntar ¿cuáles fueron las lecciones aprendidas después del incidente?

En muchas empresas no es posible responder a esta incertidumbre, ya que no anticipamos los problemas y mucho menos se toman acciones posteriores a los incidentes, para determinar cómo ingreso el malware o como se suscitó el incidente (a través de que vulnerabilidad), o como identificar la naturaleza y la exposición del riesgo o si es posible minimizar el impacto al negocio, con la intención de poder prepararse a futuro para evitar que vuelva a suceder el incidente.

Modelo de Evaluación de Riesgos y Análisis de Impacto para la continuidad del negocio basado en la metodología AS/NZ 4360 y la norma ISO/IEC 27002 | CAPITULO 1

1

LA EMPRESAEl Grupo Nacional Vida, es un grupo empresarial dedicado en seguros de vida, seguros patrimoniales, asistencia al viajero, call center, red de servicios y tecnología a las empresas del segmento pymes, quienes apuestan por el desarrollo del país en general y del sector en particular.

Actualmente cuenta con 4 empresas:

Nacional Vida S.A. Latina Seguros Patrimoniales S.A. Nacional Asistencia S.A. Tecnología Corporativa S.A

ESQUEMA DE LAS EMPRESAS DEL GRUPO

Figura 1 Empresas del grupo (Grupo Nacional Vida, 2011)


2

NACIONAL VIDANacional Vida Seguros de Personas S.A. es una compañía líder en seguros de vida, debido a su filosofía empresarial y su cultura organizacional orientada a la excelencia en servicios. Lo que ha llevado a ser la compañía con mayor crecimiento del país, como consecuencia a la confianza otorgada por nuestros asegurados.

LATINA SEGUROS PATRIMONIALESLATINA Seguros Patrimoniales S.A. es el resultado de la visión empresarial del Grupo Vida que respalda a Nacional Vida Seguros de Personas S.A.

Con el nacimiento de esta compañía se pretende cubrir una sentida necesidad de los clientes del mercado asegurador boliviano, como es la de contar con una nueva alternativa en la oferta de seguros generales o patrimoniales.

NACIONAL ASISTENCIANacional Asistencia, Redes y Servicios S.A, es parte del Grupo Corporativo más importante en la Industria de Seguros y la generación de Valor Agregado y Servicios en Bolivia, el Grupo Nacional Vida, grupo corporativo accionista de Nacional Vida, Seguros de Personas S.A., Latina Seguros Patrimoniales S.A y T Corp, Tecnología Corporativa S.A.

La base de operaciones se encuentra en Santa Cruz de la Sierra, Bolivia, un lugar estratégico en Sudamérica, con grandes oportunidades de negocios e inversiones. Santa Cruz es la ciudad más productiva de Bolivia y con un pujante desarrollo empresarial. Nuestro Grupo Corporativo está enmarcado en el compromiso, superación e inquietud por ampliar horizontes.

TECNOLOGIA CORPORATIVASolucionamos y simplificamos lo que hasta ahora era complicado.

Proveemos soluciones integrales, innovadoras, llave en mano, que cubren las necesidades informáticas de nuestros clientes con la más alta calidad y la eficiencia.


3

Representamos como canal de distribución oficial a Compaq HP, Canon, Epson, IBM, con servidores, impresoras, PC de Escritorio, Portátiles, Equipos de Red y Accesorios de estas prestigiosas marcas.

OFICINASPresencia Nacional en 6 ciudades:

Santa Cruz Monseñor Rivero (Oficina Central) Parque Industrial (Nacional Asistencia, TCorp) Libertad (Agencia) Velarde (Agencia) Montero (Agencia Provincial)

Oficinas Regionales Oficina Regional La Paz Oficina Regional Cochabamba Oficina Regional Sucre Oficina Regional Tarija Oficina Regional Trinidad


4

Figura 2 Presencia Nacional (Grupo Nacional Vida, 2011)

MISION Garantizamos confianza y seguridad a nuestros clientes y sus familias, en forma transparente, justa y oportuna, mediante el portafolio de productos y calidad de recursos humanos, respaldada con la mejor tecnología disponible y gestión administrativa altamente productiva con capacidad de innovación técnica financiera, maximizando la rentabilidad.

VISION Ser la compañía de seguros de personas del mercado boliviano, con excelencia en gestión de riesgos, más confiable, solvente, sólida, rentable y con responsabilidad social

OBJETIVOS DE LA COMPAÑIA Satisfacer las necesidades de los asegurados, brindando un servicio de atención al cliente de excelencia, con el apoyo de los recursos humanos, proveedores, tecnología, reaseguradores, capacidad de gestión gerencial y respaldo económico de los accionistas para que la empresa sea altamente competitiva, lider del mercado de seguros de personas, y que garanticen los beneficios de una mejor vida para nuestros asegurados y clientes potenciales.

VALORES

Perseguimos hacer las cosas bien con buenas intenciones. Nos mantenemos siempre en la búsqueda de la más alta calidad y la

mayor simplicidad. Confiamos en las personas. Creemos en la buena fe de las personas. Creemos en la familia como pilar fundamental en el desarrollo equilibrado

de las personas. No evadimos el trabajo duro.


5

Valoramos y fomentamos el trabajo en equipo. Incentivamos la toma de decisiones no sancionando a las personas por

cometer errores, sino que la ayudamos para no volver a cometerlos en el futuro.

Valoramos a las personas con actitud positiva, colaboradoras, flexibles y creativas, con ambición en términos de desarrollo familiar, profesional y empresarial.

Promovemos la competencia leal entre el personal. Fomentamos un clima de trabajo alegre, amistoso con competencia leal

entre el persona. Promovemos la sonrisa y la amabilidad.

OBJETIVOS DE CALIDAD

Para establecer objetivos claros, definidos y reales, además de cumplir con eficacia y eficiencia, hemos desarrollado y socializado un plan de cinco años que refuerza nuestro compromiso de excelencia en cada uno de nuestros pasos que tomaremos en el futuro, acción que permite trazar el camino de la compañía en la diversificación de nuestra cartera,

Es en este aspecto que durante el periodo que concluye, se ha logrado mantener la certificación de calidad ISO 9001:2000 por cuarto año consecutivo, al implementar y aplicar un sistema de gestión de calidad con el alcance, creación, diseño, comercialización, elaboración y servicio postventa de seguros de personas.

Esta certificación fue otorgada el pasado 16 de diciembre del 2009, mediante auditoria realizada por el centro de Certificación de Sistemas de TÜV Rheinland Argentina S.Ay fue obtenida por todas nuestras oficinas a nivel nacional. Es de esta forma que se acredita nuestro trabajo solido, esmerado y eficiente


6

OBJETO DE ESTUDIO

Los controles internos de seguridad informática aplicados en las empresas, las amenazas y vulnerabilidades de seguridad sobre la infraestructura tecnología que afectan los procesos de misión crítica de generación de valor de cada empresa del grupo Nacional Vida.

.

SITUACION PROBLEMATICA

Según la encuesta dirigida a profesionales de TI, a través de un análisis del entorno, se manifiesta que entre las principales causas que no permiten a los encargados de seguridad reaccionar de manera oportuna ante un desastre, y escalar oportunamente los incidentes que afectan la seguridad organizacional, entre otros son:

Falta de Políticas, procesos y procedimientos, desconocimiento de amenazas, vulnerabilidades y las consecuencias de los riesgos e impactos que afectan la continuidad del negocio.

SITUACION DESEADA

Reducir el impacto de las amenazas y vulnerabilidades de seguridad sobre la empresa, con la finalidad de poder reaccionar de manera oportuna ante un desastre o incidente en la seguridad de la infraestructura de red y de los servicios de misión crítica, mediante el cual, sea posible Informar y escalar los incidentes de seguridad de forma oportuna, aplicando debidamente el Plan de Continuidad del Negocio para dar respuesta ante desastres o incidentes.

ÁREA DE INVESTIGACIONAuditoria y Seguridad Informática


7

OBJETIVOS

Los objetivos propuestos en el desarrollo del presente trabajo de investigación son los siguientes:.

OBJETIVO GENERAL

Diseñar un modelo de evaluación de riesgos y análisis de impacto con el propósito de mejorar la continuidad del negocio, la capacidad de reacción ante desastres y las amenazas de seguridad informática de la organización.

OBJETIVOS ESPECIFICOS

Evaluar el nivel de madurez actual basado en una línea base de seguridad

Evaluar los riesgos, vulnerabilidades y amenazas Tecnologías de seguridad informática con la metodología AS/NZ 4360 y MAGERIT

Realizar un análisis de impacto al negocio (BIA) Diseñar el Plan de Continuidad del Negocio (BCP) Definir el Procedimiento de Gestión de Incidentes Definir el Procedimiento de Recolección de Evidencia Definir el Procedimiento de Cadena de Custodia Definir los roles y descripciones para la creación de un equipo de

respuestas a Incidentes Evaluar la capacidad de reacción ante desastres y la postura final de

seguridad de la red Realizar una evaluación del estado actual de la capacidad de respuesta

a incidentes Realizar un Test de prueba al Plan de continuidad del negocio para

medir el nivel de reacción y aseguramiento logrado Realizar una pre auditoria de Seguridad para determinar la brecha de

seguridad de los controles informáticos recomendados por la norma ISO/IEC 27001.


8


9

METODOLOGÍA

La solución al problema de investigación requiere de la aplicación de varias metodologías, las cuales son especificadas por

Disaster Recovery Institute (DRI)


10

Pruebas

Mantenimiento

Entrenamiento

Business Continuity Plan (BCP)

Seleccion de Estrategia

Business Impact Analysis (BIA)

Evaluacion de Riesgos


11

Figura 3 Metodología DRI Internacional (Disaster Recovery Institute, 2012)

En las siguientes etapas:1. Evaluación de Riesgos2. Análisis de Impacto al Negocio (BIA)3. Selección de Estrategia4. Plan de Continuidad del Negocio (BCP)5. Entrenamiento6. Mantenimiento7. Pruebas al Plan

Business Continuity Management BS 25999:2007


12

Figura 4 Metodología BCM BS 25999:2007 (Business Continuity Institute, 2012)

Etapas del programa de Gestión de Continuidad del Negocio BCM:

1. Comprensión del negocio2. Estrategias de Continuidad del Negocio3. Desarrollar e implementar el BCM (BCP)4. Construir e incorporar la cultura del BCM5. Pruebas, mantenimiento y auditoría


13

BCM Programme

Management

Understanding your business

Business Continuity Strategies

Develop and Implement BCM (BCP)

Building and Embedding

(BCM Culture)

Testing, Maintenance

and Audit

ETAPAS DEL DESARROLLO DEL TRABAJO

Etapa 1: Auditoría PreviaActividades (Trabajo de campo)

a) La recopilación de os datos de las empresas dirigidas y de las empresas del Grupo Nacional Vida, serán basados en encuestas y papeles de trabajo de auditoría.

Etapa 2: Análisis de la Madurez Actividades

a) La realización de un test (encuesta) para la definición del nivel de madurez de seguridad inicial, requieren de papeles de trabajo de auditoria basados en la Norma ISO 27001.

Etapa 3: Fase de Análisis de Riesgo e Impacto Actividades

a) e realizará una evaluación de los riesgos, vulnerabilidades y amenazas Tecnologías de seguridad informática a cada empresa del Grupo Nacional Vida.Basado en la metodologia AS/NZ 4360 y MAGERIT

b) Se realizará un Análisis de Impacto al Negocio (BIA)

Etapa 4: Diseño de la Documentación de SeguridadActividades (Trabajo de Gabinete)

c) Se desarrollaran procesos y procedimientos de seguridad, los cuales serán basados en los objetivos de control de Cobit 4.1

d) Se definirán los roles para la creación de un equipo de respuesta a incidentes será basado a las recomendaciones de CERT

e) Se definirán los roles para la creación de un equipo de manejo de crisis basado a las recomendaciones de CERT

f) Se diseñará el Plan de Continuidad del Negocio para cada Empresa del Grupo

Etapa 5: Fase de Implementación Actividades


14

a) Implementación del Proceso de Administración de Riesgos Definición del Alcance Evaluación de los riesgos Tratamiento del riesgo Comunicación del Riesgo Monitoreo y Revisión

b) Análisis de Impacto (BIA)c) Valoración Cuantitativa y Cualitativad) Implementación del Plan de Continuidad del Negocio.

Definición del Punto objetivo de recuperación Definición del Tiempo objetivo de recuperación

b) Implementación del Proceso de Manejo y Respuesta a Incidentes Alcance, Estatuto y Responsabilidades Definición de Objetivos, Estado Deseado Métricas e indicadores Plan de detallado de Acción, Respuesta y Recuperación

c) Implementación del Proceso de Escalamiento de Incidentes

Etapa 6: Control de Calidad y SeguridadActividades

a) Evaluación del estado actual de la capacidad de respuesta a incidentes Prueba periódica al Plan de Respuesta y Recuperación Pruebas a la infraestructura y las aplicaciones criticas del negocio

b) El test de prueba al Plan de continuidad del negocio para medir el nivel de reacción y aseguramiento logrado

Pruebas periódicas al Plan de Continuidad Métricas e indicadores

d) Realizar una pre auditoria de Seguridad para determinar la brecha de seguridad de los controles informáticos recomendados por la norma ISO/IEC 27001

Analisis de Madurez de Seguridad basado en la ISO 27001 Plan de Remediación


15

PLAN DE TRABAJOActividades que se realizaran para cumplir los objetivos y tiempo requerido para desarrollarlas

ETAPA

ACTIVIDAD INICIO

TRABAJO DE CAMPO TRABAJO DE GABINETE

M1 M2 M3 M4 M5 M6 M7 M8 M9 M10

1

AuditoriaPrevia Preparación de Encuestas

Desarrollo de encuestas

Perfil de Tesis

2Análisis de Madurez

Papeles de Trabajo

Entrevista Personal de TI

Revisión de Documentos

Cumplimiento de la Normativa

3Diseño de la

Documentación

Políticas, Procesos y Procedimientos de Seguridad

Análisis de Riesgo

Análisis de Impacto

4Fase de

Implementación

Selección de estrategia de continuidad

Implementación del Esquema de Continuidad (BCP)

Capacitación y sensibilización

5Control de Calidad y Seguridad

Test de Prueba de Recuperación de incidentes

Test de Prueba al Plan de Continuidad (BCP)

Informe Final


16

CAPITULO 1

LA SEGURIDAD DE LA RED, LOS INCIDENTES DE SEGURIDAD Y

ATAQUES QUE AMENZAN LA CONTINUIDAD DEL NEGOCIO


17

1.1 SEGURIDAD DE LA REDDurante las primeras décadas de su existencia, las redes de

computadoras fueron usadas principalmente por investigadores universitarios para el envío de correo electrónico, y por empleados corporativos para compartir impresoras. En estas condiciones, la seguridad no recibió mucha atención. Pero ahora, cuando millones de ciudadanos comunes usan redes para sus transacciones bancarias, compras y declaraciones de impuestos, la seguridad de las redes aparece en el horizonte como un problema potencial de grandes proporciones (Tanembaum, 1997).

La seguridad es un tema amplio que cubre una multitud de pecados. En su forma más sencilla, la seguridad se ocupa de garantizar que los curiosos no puedan leer, o peor aún, modificar mensajes dirigidos a otros destinatarios; se preocupa por la gente que intenta acceder a servicios remotos no autorizados. La seguridad se ocupa del problema de la captura y reproducción de mensajes legítimos, y de la gente que intenta negar que envió ciertos mensajes.

1.2 INCIDENTES DE SEGURIDADAmenazas, en el sentido de la seguridad de la información, son las

actividades que representan un posible peligro a su información. Peligro puede ser pensado como algo que afectaría negativamente a la confidencialidad, integridad o disponibilidad de sus activos, sistemas o servicios. Por lo tanto, si el riesgo es el potencial de pérdida o daño, las amenazas pueden ser consideradas como agentes de riesgo (GIACInformation Security, 2002).

Las amenazas pueden venir en muchas formas diferentes y provienen de muchas fuentes diferentes. Hay amenazas físicas, como incendios, inundaciones, actividades terroristas, y los actos vandálicos. Hay amenazas electrónicas como los hackers, vándalos, y los virus. El conjunto particular de las amenazas, dependerá en gran medida de su situación. Que es la empresa, donde se encuentra, quiénes son sus socios y enemigos, lo valioso que es su información, cómo se almacena, mantiene y se asegura, quien tiene acceso a ella, y una serie de otros factores.


18

El punto es que hay demasiadas variables como para protegerse para siempre contra todas las posibles amenazas su información. Para hacerlo costaría mucho dinero, debería disponer demasiado tiempo y demasiado esfuerzo. Por lo tanto, tendrá que elegir contra qué amenazas protegerse. Debería comenzar por la identificación de las amenazas que tienen más probabilidades de ocurrir o que más preocupa a su organización

Las Vulnerabilidades son otro elemento del espectro de riesgo. En términos de seguridad, una vulnerabilidad es una debilidad en los sistemas o procesos que permite a una amenaza que se produzca. Sin embargo, el simple hecho de tener una vulnerabilidad en sí misma no es una mala cosa. Sólo cuando esa vulnerabilidad es unida a una amenaza es que el peligro comienza a aumentar (GIAC Information Security, 2002).

El problema es que las vulnerabilidades de fabricación están escondidas, no son descubiertas hasta que alguien se entera de ellos. Por desgracia, ese "alguien" suele ser un mal tipo. Los chicos malos siempre parecen saber acerca de las vulnerabilidades mucho antes de que los buenos (GIAC Information Security 2002, p. 11).

Un incidente es un evento adverso que ha ocasionado o tiene la posibilidad de ocasionar un daño a los activos, la reputación y/o el personal de una organización (ISACA CISM, 2012).

El manejo de incidentes se define como el proceso de desarrollar y mantener la capacidad para manejar incidentes dentro de una organización, de tal forma que sea posible contener los impactos y se pueda alcanzar la recuperación dentro del objetivo de tiempo establecido. El manejo de incidentes puede incluir actividades que contribuyan a minimizar la posibilidad de que ocurran incidentes o reducir los impactos, o bien ambos. Un ejemplo seria proteger las laptops físicamente para reducir la posibilidad de robo y encriptar el disco duro para reducir el impacto que tendría el robo o la perdida de la información

La respuesta a incidentes es la capacidad de prepararse para eventos inesperados y responder a ellos a fin de poder controlar y limitar el daño, y mantener o restablecer las operaciones normalmente (ISACA 2008, p. 285).


19

El manejo y respuesta a incidentes es la parte operativa de la administración de riesgos. Se trata de las actividades que tienen lugar como resultado de ataques no anticipados, perdidas, robo, accidentes o cualquier otro evento adverso inesperado que ocurra como resultado de los controles fallidos o inexistentes.

El proceso de manejar y responder a incidentes tiene por objetivo administrar a niveles aceptables el impacto que tienen los eventos perjudiciales inesperados. Tales eventos pueden ser de naturaleza técnica; por ejemplo, ataques montados sobre la red a través de virus, denegación de servicio intrusión del sistema, o bien, puede ser el resultado de errores, accidentes o fallas en el proceso o sistema. Las interrupciones también pueden derivarse de varios eventos físicos como son robo de información de dominio privado, ingeniería social, pérdida o robo de cintas de respaldo o laptops, condiciones ambientales como inundaciones, incendios o terremotos. Por consiguiente cualquier tipo de incidente que pudiera tener un efecto significativo en la capacidad de la organización de operar u ocasionar algún daño (ISACA, p. 291).

1. Estadísticas importantes relacionadas con incidentes de seguridad reportadas en (CERT, Carnegie Mellon University)

Año Vulnerabilidades

2008 (Q1-Q3) 6,058.002007 7,236.002006 8,064.002005 5,990.002004 3,780.002003 3,784.002002 4,129.002001 2,437.002000 1,090.001999 417.001998 262.001997 311.001996 345.001995 171.00

Total 44,074.00Tabla 1 Total vulnerabilidades catalogadas (García, 2011)


20

La Tabla 1 refleja el número creciente de vulnerabilidades a partir del año 1995, que han sido catalogadas y reportadas a la unidad de CERT de manera directa.


21

1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 20080

1000

2000

3000

4000

5000

6000

7000

8000

9000

10000

11000

12000

Incidentes de seguridad reportados en CERTLos datos del 2008 solo representan (Q1-Q3)

Figura 5 Tendencia de los incidentes reportados. (CERT, Carnegie Mellon University)

1.3 CATEGORIZANDO LOS ATAQUES DE REDExisten dos maneras de categorizar los ataques de red, (Stephen

Northcutt, 2001) indica que los ataques de red pueden llegar por varias vías, la siguiente lista nos muestra los ataques categorizados por vectores de amenazas principales:

1. Ataque exterior desde la red publica2. Ataque exterior desde un teléfono3. Ataque interior desde una red o subred local4. Ataque interior desde una red inalámbrica5. Ataque interior desde un sistema local6. Ataque con un código malicioso

La segunda forma de categorizar los ataques de red, es basándose en la naturaleza del ataque (Capite, 2007). Las categorías de ataques a redes incluyen los siguientes:

1. Virus: Un virus informático es un malware1 que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos.

Los virus informáticos tienen, básicamente, la función de propagarse, replicándose, pero algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil.

El funcionamiento de un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por desconocimiento del usuario. El código del virus queda

1 Malware (del inglés malicious software, también llamado badware o software malicioso) un software que tiene como objetivo infiltrarse en o dañar un ordenador sin el conocimiento de su dueño. Esta expresión es un término general muy utilizado por profesionales de la computación para definir una variedad de programas de códigos hostiles e intrusivos


22

residente en la memoria RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus toma entonces el control de los servicios básicos del sistema operativo, infectando de manera posterior, archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al del programa infectado y se graba en disco, con lo cual el proceso de replicado se completa (Wikipedia).

2. Gusanos: Los Gusanos Informáticos (Worm), son programas que realizan copias de sí mismos, alojándolas en diferentes ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes informáticas, impidiendo así el trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos.

El principal objetivo de los gusanos es propagarse y afectar al mayor número de ordenadores posible. Para ello, crean copias de sí mismos en el ordenador afectado, que distribuyen posteriormente a través de diferentes medios, como el correo electrónico, programas P2P o de mensajería instantánea, entre otros.

Los gusanos suelen utilizar técnicas de ingeniería social para conseguir mayor efectividad. Para ello, los creadores de malware seleccionan un tema o un nombre atractivo con el que camuflar el archivo malicioso. Los temas más recurrentes son los relacionados con el sexo, famosos, temas morbosos, temas de actualidad o software pirata (PandaSecurity).

3. Caballos de Troya: Un caballo de Troya (Trojan Horse) es un programa aparentemente útil que contiene funciones ocultas que pueden aprovechar los privilegios de los usuarios [de ejecutar el programa], con una amenaza de seguridad resultantes. Un caballo de Troya hace cosas que el programa de usuario no tenía la intención.

Los Caballos de Troya se basan en los usuarios para ser instalados, o pueden ser instaladas por intrusos que han ganado acceso no autorizado por otros medios. Entonces, un intruso tratando de perturbar un sistema utilizando un caballo de Troya se basa en que los usuarios estén ejecutando el caballo de Troya para tener éxito (CERT, CarnegieMellon University).

Los troyanos no son autopropagables, característica que los distingue de los virus y gusanos.


23

Hoy en día, los troyanos suelen instalarse en secreto y lanzan su carga maliciosa sin que el usuario se entere de ello. Gran parte de los modernos programas delictivos se componen de distintos tipos de troyanos que son específicamente diseñados con propósitos netamente maliciosos. Los más comunes son los troyanos backdoor (a menudo incluyen un keylogger), los troyanos espía, los troyanos ladrones de contraseñas, y los troyanos proxy que convierten el equipo del usuario en un centro de distribución de spam (kaspersky Lab).

4. Denegación de Servicios: En seguridad informática, un ataque de denegación de servicio, también llamado ataque DoS (de las siglas en inglés Denial of Service), es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima.

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios, por eso se le dice "denegación", pues hace que el servidor no dé abasto a la cantidad de usuarios. Esta técnica es usada por los llamados Crackers para dejar fuera de servicio a servidores objetivo (Wikipedia).

5. Denegación de Servicios Distribuida: Una ampliación del ataque Dos es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS (de las siglas en inglés Distributed Denial of Service) el cual lleva a cabo generando un gran flujo de información desde varios puntos de conexión.

La forma más común de realizar un DDoS es a través de una botnet, siendo esta técnica el ciberataque más usual y eficaz.

En ocasiones, esta herramienta ha sido utilizada como un notable método para comprobar la capacidad de tráfico que un ordenador puede soportar sin volverse inestable y perjudicar los servicios que desempeña. Un administrador de redes puede así conocer la capacidad real de cada máquina. Algunos ejemplos son:

Inundación SYN (SYN Flood), Inundación ICMP (ICMP Flood), SMURF, Inundación UDP (UDP Flood) (Wikipedia).


24

6. Programas espías: Un programa espía, traducción del inglés spyware, es un programa, que funciona dentro de la categoría malware, que se instala furtivamente en un ordenador para recopilar información sobre las actividades realizadas en éste. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en organismos oficiales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software. Además pueden servir para enviar a los usuarios a sitios de internet que tienen la imagen corporativa de otros, con el objetivo de obtener información importante. Dado que el spyware usa normalmente la conexión de una computadora a Internet para transmitir información, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otra(s) conectada(s) a la red.

Entre la información usualmente recabada por este software se encuentran: los mensajes, contactos y la clave del correo electrónico; datos sobre la conexión a Internet, como la dirección IP, el DNS, el teléfono y el país; direcciones web visitadas, tiempo durante el cual el usuario se mantiene en dichas web y número de veces que el usuario visita cada web; software que se encuentra instalado; descargas realizadas; y cualquier tipo de información intercambiada, como por ejemplo en formularios, con sitios web, incluyendo números de tarjeta de crédito y cuentas de banco, contraseñas, etc (Wikipedia).

7. Pesca de usuarios: Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea1 o incluso utilizando también llamadas telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para


25

prevenir a los usuarios con la aplicación de medidas técnicas a los programas (Wikipedia).

8. Desbordamiento de buffer: En seguridad informática y programación, un desbordamiento de buffer (del inglés buffer overflow o buffer overrun) es un error de software que se produce cuando un programa no controla adecuadamente la cantidad de datos que se copian sobre un área de memoria reservada a tal efecto (buffer), de forma que si dicha cantidad es superior a la capacidad preasignada los bytes sobrantes se almacenan en zonas de memoria adyacentes, sobrescribiendo su contenido original. Esto constituye un fallo de programación.

En las arquitecturas comunes de computadoras no existe separación entre las zonas de memoria dedicadas a datos y las dedicadas a programa, por lo que los bytes que desbordan el buffer podrían grabarse donde antes había instrucciones, lo que implicaría la posibilidad de alterar el flujo del programa, llevándole a realizar operaciones imprevistas por el programador original. Esto es lo que se conoce como una vulnerabilidad.

Una vulnerabilidad puede ser aprovechada por un usuario malintencionado para influir en el funcionamiento del sistema. En algunos casos el resultado es la capacidad de conseguir cierto nivel de control saltándose las limitaciones de seguridad habituales. Si el programa con el error en cuestión tiene privilegios especiales constituye en un fallo grave de seguridad.

Se denomina shellcode al código ejecutable especialmente preparado que se copia al host objeto del ataque para obtener los privilegios del programa vulnerable.

La capacidad de los procesadores modernos para marcar zonas de memoria como protegidas puede usarse para aminorar el problema. Si se produce un intento de escritura en una zona de memoria protegida se genera una excepción del sistema de acceso a memoria, seguido de la terminación del programa. Por desgracia para que esta técnica sea efectiva los programadores han de indicar al sistema operativo las zonas que se necesita proteger, programa a programa y rutina a rutina, lo que supone un problema para todo el código heredado (Wikipedia).

9. Explotación de vulnerabilidades: Exploit (del inglés to exploit, explotar o aprovechar) es una pieza de software, un fragmento de datos, o una secuencia de comandos con el fin de automatizar el


26

aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informáticos, hardware, o componente electrónico (por lo general computarizado). Con frecuencia, esto incluye cosas tales como la violenta toma de control de un sistema de cómputo o permitir la escalada de privilegios o un ataque de denegación de servicio

El fin del Exploit puede ser violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros.

Los Exploits pueden ser escritos empleando una diversidad de lenguajes de programación, aunque mayoritariamente se suele utilizar lenguaje C. También puede aprovecharse de distintos tipos de ataques tales como desbordamiento de búfer, Cross Site Scripting, Format Strings, Inyección SQL, entre otros.

Una de las herramientas más utilizadas para trabajar con este tipo de software es Metasploit Framework, una plataforma de test de penetración escrita en lenguaje de programación Ruby, como así también otros frameworks como Core Impact, Canvas, entre otros (Wikipedia).

10. Ingeniería social: En el campo de la seguridad informática, ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, por


27

ejemplo proporcionando detalles financieros a un aparente funcionario de un banco en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos (Wikipedia).

1.4 MECANISMOS DE DEFENSAS ACTUALES

Figura 6 Defensas de red tradicionales (Capite, 2007)

1. Listas de Acceso del Router: Las listas de control de acceso IP (ACL access control lists) Son filtros que permiten que el router2 pueda descartar algunos paquetes basados en criterios definidos por el ingeniero de la red. El objetivo de estos filtros es prevenir el tráfico no deseado en la red, ya sea para evitar que los hackers penetren en la red o simplemente para evitar que los empleados puedan utilizar los sistemas que no deberían usar. Las listas de control de acceso deben ser simplemente parte de la política de seguridad de una organización.

Se configura Una lista de control de acceso en un router para controlar el flujo de paquetes a través del router, como para prevenir que los paquetes de una determinada red o dirección IP ingresen o salgan de

2 Router dispositivo de la capa de red que utiliza una o más medidas para determinar la trayectoria optima a lo largo de la cual deba direccionarse el tráfico de la red. Los ruteadores direccionan paquetes de una red a otra con base a la información de la capa de red, determinando la mejor ruta (Merilee Ford, 1998, pág. 646).


28

una interfaz en particular en el router. Por cierto, las listas de control de acceso IP también se pueden utilizar para filtrar las actualizaciones de enrutamiento, de manera que coincidan con los paquetes para el establecimiento de prioridades, con los paquetes para hacer un túnel VPN, y con los paquetes de aplicación de calidad de servicio (Odom,2004).

La lista de acceso es la piedra angular de seguridad de la red. Las Listas de Acceso permite o niega tráfico en la red basado incluso en los parámetros de la dirección IP origen, IP destino al que se dirige, y servicio de redes o número de puerto. Las listas de acceso de un router son típicamente inestables, significa que el router no hace un mantenimiento del estado de la conexión TCP para cada conexión. Las listas de acceso del router ofrece una protección al perímetro y de defensa básica porque los routers son típicamente ambos dispositivo de borde y dispositivos centrales (Capite, 2007).

2. Muros de Seguridad o Paredes de fuego (Firewall): Un firewall, tal como lo define el Dictionary of Internetworking Terms ans Acronyms (Diccionario para términos y acrónimos de internetworking), es un router o servidor de acceso, o varios routers o servidores de acceso, que actúan como búfer entre las redes públicas y una red privada. Un router firewall utiliza "listas de control de acceso" y otros métodos para garantizar la seguridad de la red privada.

Los Firewalls son prevalecientes en las redes del perímetro y centros de datos, se encuentran a menudo en el perímetro para proteger sitios remotos o redes de borde. Los Firewall de la red toman su nombre de las paredes de fuego tradicionales que pueden existir en los trenes y edificios que son para poner en cuarentena o bloquear que el fuego pueda extenderse de un área a otro.

3. Sistemas de Detección de Intrusos (IDS): Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.

El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos


29

sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.

Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo (Wikipedia).

Las listas de acceso del router y Firewall han sido penetrables tempranamente desde los 1990s. Los IDS empezaron a desplegarse ampliamente hacia los fines de los años noventa. Los IDS son dispositivos pasivos que supervisan una copia del tráfico de la red mientras fluyen a través del sistema. Estos dispositivos se despliegan a menudo en los centros de datos cerca de los servidores críticos. Los IDS pueden descubrir un ataque a la red basado en firmas de tráfico o modelos de datos en el tráfico de la red. Los IDS descubren típicamente en lugar de prevenir el ataque de la red porque ellos están dentro de línea, como están realizando una copia del tráfico de la red. Son muy valiosos para la defensa de la seguridad de la red, porque pueden proporcionar una alerta temprana que un ataque a la red ha comenzado (Capite, 2007).

4. Redes Privadas Virtuales: Una red privada virtual (VPN) se define como una red en la que la conectividad cliente entre varios sitios se distribuye en una infraestructura compartida con las


30

mismas normas de acceso o seguridad que en una red privada. Las primeras redes privadas virtuales se basaban en tecnologías tales como X.25 y Frame Relay, y posteriormente, en SDMS y ATM. Con la introducción de nuevas tecnologías en las redes de los proveedores de servicios y los nuevos requisitos de los clientes, el concepto de VPN se hace cada vez más complicado. Los modernos servicios VPN pueden abarcar distintas tecnologías y topologías. Los tres problemas comerciales que una empresa normalmente intentara solucionar con una red privada virtual son:

Comunicación interna de la empresa (intranet) Comunicación con otras empresas (extranet) Acceso de los usuarios móviles, trabajadores en

casa, oficinas remotas, etc. Mediante medios de conexión económicos.

Las comunicaciones internas de las empresas no suelen estar bien protegidas por los hosts finales o firewalls. Por tanto, el servicio VPN utilizado para implementar la comunicación interna debe ofrecer altos niveles de aislamiento y seguridad. Las comunicaciones internas de la empresa también requieren calidad de servicio garantizada para los procesos de misión crítica.

Con frecuencia, las comunicaciones entre empresas tienen lugar entre los sitios centrales de las empresas, habitualmente utilizando dispositivos de seguridad dedicados, como firewalls o mecanismos de cifrado. Estas comunicaciones también pueden tener requisitos de calidad de servicio menos estrictos. Este conjunto de requisitos hace que Internet sea cada vez más apropiado para las comunicaciones entre empresas; por tanto no es una sorpresa que cada vez más tráfico business-to-business tenga lugar en Internet.

Al usuario remoto que accede a una red corporativa, normalmente desde ubicaciones cambiantes o desconocidas, se le abruma con cuestiones de seguridad, que se tienen que resolver sobre una base extremo a extremo utilizando tecnologías como el cifrado o las claves de acceso de un solo uso (Ivan Pepelnjak, 2003).


31

Las VPNs son comunes en la mayoría de las redes corporativas. Son esencialmente una capa de seguridad aplicada a una red pública o privada para hacer la conexión de la red fiable.

5. Programas Antivirus: Muchas organizaciones han implementado un programa antivirus para combatir los ataques de virus frecuentes contra sus redes. Los programas antivirus examinan a menudo el correo electrónico recibido para identificar y quitar los ataques de virus conocidos. Mientras la examinación del antivirus es valiosa a la seguridad de una red, los componentes antivirus son tradicionalmente autónomos y no integrados en la estructura de la red. La habilidad de adjuntar la funcionalidad antivirus directamente en una red permite a la red autodefenderse, como los componentes de seguridad pueden integrarse y centralmente manejarse, puede proporcionarse un mecanismo para que la red de computadoras sea autocurable y automáticamente defenderse contra ciertos virus o ataques virales (Capite, 2007).

1.5 DEFINICION DEL DISEÑO DE REDES SEGURAS(David W. Chapman Jr., 2002) Cuando se accede a información en un

entorno internetwork3, hay que crear áreas seguras. El dispositivo que separa cada una de estas áreas se denomina firewall. Aunque un firewall suele separar una red privada de una red pública, esto no siempre es así. Lo normal es usar un firewall para separar los segmentos de una red privada.

Un firewall suele tener un mínimo de tres interfaces, aunque las primeras implementaciones solo incluían dos. Cuando se usa un firewall con tres interfaces se crea un mínimo de tres redes. Las tres redes que crea el firewall se describen de este modo.

Interior. El interior es el área de confianza de la internetwork. Los dispositivos que están en el interior forman las redes privadas de la organización. Estos dispositivos comparten unas directivas de seguridad comunes con respecto a la red exterior (Internet). Sin embargo, resulta muy habitual que un firewall segmente el entorno de confianza. Si un departamento como Recursos Humanos, tiene que ser protegido del resto de usuarios de confianza, se puede utilizar un firewall.

3 Una internetwork se compone de muchas redes que están conectadas entre sí


32

Exterior. El exterior es la red de no confianza de la internetwork. El firewall protege los dispositivos del interior y la DMZ de los dispositivos del exterior. Al hacer sus negocios, las empresas suelen permitir el acceso a la DMZ desde el exterior. En ocasiones, es necesario configurar un firewall para el acceso selectivo desde el exterior hasta los hosts y servicios de la DMZ. Si es inevitable, es posible configurar un firewall para permitir el acceso desde un dispositivo del exterior hasta un dispositivo de confianza del interior. Esto es mucho más arriesgado que permitir el acceso desde el exterior hasta la DMZ aislada.

DMZ (Zona Desmilitarizada). La DMZ es una red aislada, a la que pueden acceder los usuarios del exterior. Es necesario configurar el firewall para permitir el acceso desde el exterior o interior hasta la DMZ. La creación de una DMZ posibilita que una empresa ponga la información y los servicios a disposición de los usuarios del exterior dentro de un entorno seguro y controlado. Esto permite el acceso a los usuarios del exterior, sin permitir el acceso al interior.

Los hosts o servidores que residen en la DMZ suelen denominarse hosts bastión (equipo fortificado). En este caso un host bastión es un host que esta actualizado y endurecido con respecto a su sistema operativo y las modificaciones experimentadas por este último. El hecho de que este actualizado generalmente lo hará menos vulnerable a los ataques, ya que el fabricante habrá establecido o parchado todos los defectos conocidos. El host bastión es un host que solo ejecuta los servicios necesarios para realizar sus tareas de aplicación. Los servicios innecesarios (y a veces más vulnerables) son desactivados o eliminados del host.

El cometido básico de un firewall consiste en llevar a cabo las siguientes funciones:

No permitir acceso desde el exterior hasta el interior. Permitir un acceso limitado desde el exterior a la DMZ. Permitir todo el acceso desde el interior hasta el exterior. Permitir un acceso limitado desde el interior a la DMZ


33

Figura 7 diseño general de la red con Firewall e IDS (Capite, 2007).


34

1.6 COMO CONTROLAR LOS INCIDENTES DE SEGURIDADEl primer paso hacia la seguridad es proteger la red de

vulnerabilidades y amenazas. El entendimiento de la postura de seguridad de una red está basado en piezas vitales como ser: monitoreo de eventos, análisis de vulnerabilidades, y reportes de los incidentes entre otros (ISACA CISM, 2012).

El Monitoreo de Eventos es el proceso de recibir eventos (o alertas) de la red y presentarlas al usuario o administrador de seguridad en tiempo real y en una forma detallada o explicativa. Esto es posible a través de cuadros de mando integral de indicadores de seguridad “dashboard”, donde los nuevos eventos son desplegados a medida que estos van ocurriendo.

El Análisis es el proceso de tomar los eventos recibidos, normalizarlos y ponerlos en correlación, de acuerdo al tipo de evento, incidente, severidad. El proceso de correlación toma múltiples flujos de eventos desde varios tipos de dispositivos y encuentra similitudes en sus datos que pueden ser unidos para proveer una imagen compuesta detallada, el resultado del proceso de correlación produce un conjunto de datos más relevantes y permite tomar una acción para mitigar la amenaza o reducir el nivel de exposición. El proceso de normalización remueve los datos redundantes y mejora la consistencia de los datos.

Los Reportes permiten comparar datos históricos con eventos específicos y presentar al usuario datos estadísticos de aquellos eventos de mayor importancia.

Un alto grado de control de seguridad de la red, está basado en la capacidad del Monitoreo, análisis, y reporte de eventos e incidentes de seguridad en el momento que estos ocurren, este grado de administración es útil para informar al usuario administrador de la red el estado de salud actual de la red. Estas herramientas son muy importantes en redes multiplataforma, porque el volumen de eventos que cada dispositivo genera para por cada recurso de red monitoreado es enorme. Monitorear los dispositivos de red individualmente no es ni practico ni eficiente.


35

1.7 REALIDAD NACIONALA continuación se muestran los resultados más importantes de la “Encuesta de Seguridad Informática4” dirigida a profesionales de TI en Santa Cruz de la Sierra-Bolivia, organizada por el Modulo de “Fundamentos para la elaboración de Tesis”, para la maestría de auditoria y seguridad informática de la UAGRM. (Elaboración propia: número de empresas encuestadas 13)

Certifica

dos Digi

tales

(SSL)

Comunicacio

nes En

criptad

as (e-

Mail, M

ensaj

ería)

Control d

e Acc

eso basa

do en Puert

os (IEE

E 802.1x/R

adius)

Encri

ptación de A

rchivo

s (PGP)

Pared de F

uego (F

irewall

)

Listas

de contro

l de a

cceso

(ACL)

Mecan

ismos d

e Auten

ticació

n Biométrico

s

Política

s de C

ontrol d

e Acc

eso (A

ctive

Directo

ry)

Redes

Privad

as Virt

uales (V

PN)

Segm

entac

ión de Red

es Virt

uales (V

LAN)

Servi

dores de L

ogs / S

ervidor d

e Eve

ntos d

e Seg

uridad

Sistem

as de D

etecc

ión de Intru

sos ID

S/IPS

Software

Antivirus

Software

Parchad

o y Actu

alizac

ión (WSU

S)

Test

de Pen

etrac

ión Continuo / Test

de Vulnera

bilidad

esOtro

s

No sabe /

No Responde

0.002.004.006.008.00

10.0012.0014.0016.00

6.174.94

1.230.00

13.58

7.417.41

14.81

11.11

1.233.70

6.17

13.58

7.41

0.000.001.23

Grafico 1 Tecnologías de seguridad informática (García, 2011)

Las tecnologías de seguridad informática más utilizadas hoy, son: 15% Políticas de Control de Acceso (Active Directory), 14% Software antivirus y 14% firewalls.Un número considerable de las empresas 11% utilizan Redes Privadas Virtuales (VPN).

Si No No sabe / No Responde0.00

20.00

40.00

60.00 53.8546.15

0.00

Grafico 2 área de seguridad informática (García, 2011)

4 ANEXO A


36

En el 54% de las empresas existe el área de seguridad informática.El 46% de las empresas manifestó haber tenido incidentes de seguridad informática en el último año.

Ataque e

xterio

r desd

e la r

ed public

a

Ataque e

xterio

r desd

e un te

léfono o m

odem

Ataque i

nterior d

esde u

na red

o subred

loca

l

Ataque i

nterior d

esde u

na red

inalá

mbrica

Ataque i

nterior d

esde u

n sistem

a loca

l

Ataque c

on un código

mali

cioso

0.005.00

10.0015.0020.0025.0030.00

18.18

4.55

18.18

9.09

22.7327.27

Grafico 3 Vectores de Amenaza (García, 2011)

De éstas el 27% citó como primer Vector de Amenaza, el ataque con código malicioso y el 23% Ataque interior desde un sistema local, seguido de un 18% por el Ataque exterior desde la red pública y el ataque interior desde una red o subred local.


37

0.00

2.00

4.00

6.00

8.00

10.00

12.00

14.00

16.00

Grafico 4 Incidentes de seguridad más comunes (García, 2011)

Los incidentes de seguridad más comunes durante el último año fueron:13% Abuso del Acceso a Internet, 12% el correo electrónico spam, 9% los virus informáticos y el uso de software no autorizado.

Se mantendrá igual a la presente gestión

Crecerá Decrecerá No sabe / No Responde0.005.00

10.0015.0020.0025.0030.0035.0040.0045.00

38.46 38.46

0.00

23.08

Grafico 5 Inversión en seguridad informática (García, 2011)


38

El 38% de las empresas planea incrementar la inversión en seguridad informática, mientras que el otro 38% indica que la inversión en seguridad se mantendrá igual a la presente gestión

Grafico 6 Publicación de Incidentes (García, 2011)

El 43% de las empresas cree que los incidentes no son denunciados por desconocimiento de los mismos, mientras que el


39

Desconocim

iento

manejo

inter

no de la e

mpresa

Motivacio

nes pers

onales

Pérdida d

e valo

r de a

ccionist

as

Publicació

n de noticia

s desf

avorab

les

Responsab

ilidad

lega

l

Vulnerabilid

ad an

te la

compete

ncia Otro

No sabe /

No Responde

0.005.00

10.0015.0020.0025.0030.0035.0040.0045.0050.00

42.86

21.43

0.00 0.00 0.00

7.14 7.14

0.00

21.43

21% indica que los incidentes son manejados de manera interna para no afectar la imagen.


40

CAPITULO 2

EL ANALISIS DE RIESGO, IMPACTO Y LA CONTINUIDAD DEL NEGOCIO


41

CAPITULO 3

DIAGNOSTICO DE LA SITUACION ACTUAL


42

CONCLUSIONES

(Serán agregadas al finalizar el trabajo)

REFERENCIAS BIBLIOGRAFICAS

Business Continuity Institute. (2012). Recuperado el 11 de Abril de 2012, de http://www.thebci.org/

Capite, D. d. (2007). Self-Defending Networks: The Next Generation of Network Security. USA: CiscoPress.

Centro de investigacion y seguridad informática, A. (s.f.). ENCUESTA DE SEGURIDAD INFORMÁTICA EN ARGENTINA. Recuperado el 16 de Junio de 2011, de http://www.cisi.ar

CERT, Carnegie Mellon University. (s.f.). CERT Statistics. Recuperado el 3 de Junio de 2011, de Sitio web de CERT: http://www.cert.org/stats/

CERT, Carnegie Mellon University. (s.f.). CERT® Advisory CA-1999-02 Trojan Horses. (Carnegie Mellon University) Recuperado el 09 de Junio de 2011, de http://www.cert.org/advisories/CA-1999-02.html

CWE, Mitre. (19 de Noviembre de 2011). Common Weakness Enumeration. Obtenido de http://cwe.mitre.org/

David W. Chapman Jr., A. F. (2002). Firewall PIX de Cisco Secure (Primera edición en español ed.). (C. Press, Ed., & R. V. Llorente, Trad.) Madrid: Pearson Education S.A.

Disaster Recovery Institute. (2012). DRI International. Recuperado el 11 de Abril de 2012, de https://www.drii.org/

García, S. A. (2011). Encuesta de Seguridad dirigida a Profesionales de TI. UAGRM. Santa Cruz de la Sierra: Elaboración Propia.

GIAC Information Security, C. (2002). Threat and the Need for Defense in Dept. En S. Training, GIAC SECURITY ESSENTIALS with the Common Body of Knowledge. USA.

Grupo Nacional Vida. (2011). Memoria Anual 2010. Santa Cruz.ISACA CISA. (2012). Certified Information Systems Auditor: Manual de Preparación

al Examen CISA 2012 (Vol. I). Estados Unidos de America: ISACA Bookstore.ISACA CISM. (2012). Certified Information Security Manager: Manual de Preparación

al Examen CISM 2012 (2012 ed., Vol. I). Estados Unidos de Norteamérica: ISACA Bookstore.

Ivan Pepelnjak, J. G. (2003). Arquitectura MPLS y VPN (Primera edición en español ed.). (C. Press, Ed.) Madrid: Pearson Education S.A.

kaspersky Lab. (s.f.). Que es un troyano. Recuperado el 09 de Junio de 2011, de http://www.kaspersky.com/sp/threats_faq#trojan


43

Merilee Ford, H. K. (1998). Tecnologias de interconectividad de redes (En español ed.). (C. Press, Ed., & C. C. Pedraza, Trad.) Naucalpan de Juarez, Mexico: Prentice Hall.

Odom, W. (2004). CCNA ICND Exam Certification Guide. USA: Cisco Press.Panda Security. (s.f.). Que es un Gusano Informatico. Recuperado el 09 de Junio de

2011, de http://www.pandasecurity.com/spain/homeusers/security-info/classic-malware/worm/

SANS. (19 de 11 de 2011). Top 25 Software Errors. Obtenido de http://www.sans.org/top25-software-errors/

Stephen Northcutt, J. N. (2001). Guia Avanzada de Deteccion de Intrusos (Segunda ed.). (T. V. S.L, Trad.) Madrid: Pearson Educacion.

Tanembaum, A. S. (1997). Redes de Computadoras (Tercera ed.). (D. M. Peake, Trad.) México, D.F: Prentice Hall.

Wikipedia. (s.f.). buffer overflow. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Desbordamiento_de_b%C3%BAfer

Wikipedia. (s.f.). Denegacion de Servicio. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Denegaci%C3%B3n_de_servicio

Wikipedia. (s.f.). Exploit. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Exploit

Wikipedia. (s.f.). Ingenieria Social. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_inform%C3%A1tica%29

Wikipedia. (s.f.). Phishing. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Phishing

Wikipedia. (s.f.). Sistema de detección de intrusos. Recuperado el 11 de Junio de 2011, de http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos

Wikipedia. (s.f.). Spyware. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Spyware

Wikipedia. (s.f.). Virus Informaticos. Recuperado el 09 de Junio de 2011, de http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico


44

CURRÍCULUM VITAE

Datos PersonalesNombres y Apellidos : Alexis Andrés García SandovalCedula de Identidad : 4566970 SCDirección Personal : Barrio San José Obrero, calle Mores # 2120Teléfono : Domicilio +591(3) 3477073 Celular +591 78005022Correo Electrónico : [email protected] : Español, Ingles (Nivel Avanzado)Membresías SIB-SCZ, BICSI, IEEE, Cisco CCNA, ISACA

Formación Académica2012 UAGRM Maestría en Auditoria y Seguridad

Informática (Maestrante)Facultad de ciencias exactas y tecnología

2011 UAGRM Diplomado en Seguridad de Redes2009 Universidad

Privada CumbreDiplomado en FinanzasDiplomado en Proyectos

Facultad de ciencias económicas

2003 USACH Postítulo en Telecomunicaciones y Redes

Facultad de Ingeniería

2002 Universidad NUR Licenciado en Ingeniería de Sistemas Carrera de Ingeniería de Sistemas

Experiencia Laboral2011- Grupo Nacional Vida Oficial de Seguridad Informática2004-2011 Corporación NexoCorp Jefe de Redes y Seguridad2003-2004 Universidad NUR Docente Administrativo2001-2002 FarmaCorp S.A Encargado de Redes y Soporte1998-2001 Freelance Consultor de Redes Independiente1995-1997 Saint Honore Bolivia Analista de Sistemas1993-1995 Prosistemas S.R.L Técnico en Computación1991-1993 Computer Center Institute Encargado del Laboratorio de Computación

Cursos de Capacitación tecnológica y Seminarios Realizados2011 Curso ACL 105 Técnicas de Auditoria ACL v9 Interop S.A (40 horas)2010 Certificación Auditor Interno de Sistemas de Gestión de

Seguridad de la Información ISO 27001:2005TÜV Rheinland Group(24 Horas)

2007 Curso ETHICAL HACKING & Penetration TestInformation Securiy

iSec(16 horas)

2007 Curso ITIL FOUNDATIONS SERVICE MANAGEMENT - Information Securiy

iSec(16 horas)

2007 Curso Cisco Certified Network ProfessionalCCNP Level 1-2-3, Academia de Redes Cisco

UPSA(432 Horas)

2005 Certificación CCNA Cisco Certified Network AssociateAcademia de Redes Cisco (Fast Track)

UPSA(40 Horas)

2005 Curso Planificación e Implementación de un Sistema de Gestión de la Calidad ISO 9001:2000

IRAM Bolivia(16 Horas)


45

mailto:[email protected]

2005 Curso Entrenamiento intensivo ISO 17799 e-Cainco (16 horas)

(Hoja intencionalmente dejada en blanco)- Fin del Trabajo -


46

modelo de evaluacion de riesgos y analisis de impacto para la gestión de continuidad del negocio...

Documents