trabajo final-ssi
TRANSCRIPT
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Curso VirtualSeguridad de la Información
Trabajo Final
Noviembre 2014
Rol: Mi rol en la Unidad es la de gestor de Capacidad, Gestor de Disponibilidad y Gestor de Continuidad, por lo que el enfoque de la Seguridad de la Información lo tomare desde el punto de vista de gestor de continuidad
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Contenido- Contexto organizacional- Activos de la UAECD- Clasificación de la Información- Componentes del Proceso de Seguridad de la Información- Políticas de la información-Ciclo PHVA- Modelo de Continuidad de Negocio- Inventario de activos- Alcance del Sistema de Continuidad de negocio- Metodología Procesos Críticos-Política del Sistema de Gestion de Continuidad- Comité de Seguridad de la información y Continuidad de Operaciones-Equipo del Comité- Asignación de Roles-Análisis de Impacto al negocio- Resultados del Análisis de Impacto al negocio- Estrategia de continuidad- Análisis de riesgos- Matriz de riesgos- Algunas amenazas por Activos- Plan de tratamiento de Riesgos- Conclusión
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
La Unidad Administrativa Especial de Catastro Distrital, de la ciudad de Bogotá es la entidad oficial encargada de las actividades relacionadas con la formación, conservación y actualización del inventario de los bienes inmuebles situados dentro del Distrito a partir del estudio de sus elementos físico, económico y jurídico. Los procesos de Actualización y Conservación Catastral, el primero realizado de manera masiva y el segundo por solicitud de los ciudadanos, censan la información de cada predio y la inscriben en sus bases de datos de forma textual y gráfica (cartografía). Así, Catastro dispone de una base única y oficial de información georeferenciada que de forma dinámica registra los cambios experimentados en la propiedad inmueble, desde la cual también asigna y fija oficialmente los indicadores prediales (chip, código de sector, cédula catastral) e igualmente la Nomenclatura Vial y domiciliaria
CONTEXTO ORGANIZACIONAL
Esta información es un aporte fundamental para las diferentes instituciones públicas y privadas para la toma de decisiones relacionadas con la planeación y la administración de la ciudad
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Los activos pueden agruparse en las siguientes categorías:
Activos de información: ficheros y bases de datos, documentación del sistema, manuales de usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivadaActivos de software: software de aplicación, software del sistema, herramientas, programas de desarrollo y utilidades.Archivos físicos: equipos de tratamiento (servidores, monitores, portátiles, módems), equipo de comunicaciones (routers, firewalls, centrales digitales, máquinas de fax), medios magnéticos (discos y cintas), muebles, etc.Servicios: servicios de tratamiento y comunicaciones, servicios generales (calefacción, alumbrado, energía, aire acondicionado).Humano: personas, y sus calificaciones, capacidades y experiencia.
Intangibles: tales como la reputación y la imagen de la organización
ACTIVOS DE LA UAECD
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
CLASIFICACIÓN DE LA INFORMACIÓN:
•Confidencialidad: Asegurar que no se divulgue información confidencial o restringir a las personas no autorizadas•PUBLICA: Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea funcionario o no de la UAECD.•USO INTERNO: Información que puede ser conocida y utilizada por un grupo de funcionarios o empleados, que la necesiten para realizar su trabajo, y algunas entidades externas debidamente autorizadas, y cuya divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves a la UAECD o terceros•CONFIDENCIAL: Información que sólo puede ser conocida y utilizada por un grupo seleccionado de funcionarios o empleados de la UAECD, que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría ocasionar pérdidas significativas a la UAECD o a terceros•SECRETA: Información que sólo puede ser conocida y utilizada por un grupo muy reducido de funcionarios o empleados, generalmente de la alta dirección de la UAECD, y cuya divulgación o uso no autorizados podría ocasionar pérdidas graves a la entidad o a terceros
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
•Integridad: Asegurar que no se realicen cambios a los datos sin la autorización del dueño del proceso, lo que lleva a la exactitud y completes de la información• BAJA: Información cuya modificación no autorizada, si no es detectada, no afecta la operación de la UAECD, o podría ocasionar pérdidas leves para la UAECD o terceros• MEDIA: Información cuya modificación no autorizada, si no es detectada, podría ocasionar pérdidas significativas para la UAECD o terceros•ALTA: Información cuya modificación no autorizada, si no es detectada, podría ocasionar pérdidas graves a la UAECD o a terceros.
•Disponibilidad: Asegurar la No eliminación de información sin autorización y mantener copias de respaldo de la información
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
El modelo de la UAECD debe representar lógicamente la operación de los diferentes componentes que se deben tener para la implementación de un proceso de gestión de Seguridad de la Información como son:•Política de seguridad•Organización de la seguridad•Gestión de Activos•Seguridad de recurso Humano•Seguridad Física y Ambiental•Gestión de operaciones y comunicaciones•Control de Acceso•Mantenimiento, desarrollo y Adquisición de Sistemas de Información•Gestión de Incidentes•Gestión de Continuidad el negocio•Cumplimiento
COMPONENTES DEL PROCESO DE SEGURIDAD DE LA INFORMACIÓN
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Políticas de la Información
AutenticidadTodas las aplicaciones de la Unidad deben contar con un sistema de seguridad donde se verifique y valide la identidad de quien hace la transacción. Se exige usuario y clave No repudioSe tienen una serie de logs para asegurarse que quien realiza una transacción no pueda después negar haberla realizado.
LegalidadEl sistema de seguridad permite tener los mecanismos para validar legalmente la realización correcta de una transacción.
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Modelo de Continuidad de Negocio
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Inventario de Activos
Se realizo un inventario de Activos los cuales se registraron en una hoja electrónica y se clasificaron en
INFRAESTRUCTURA PROVEEDORES CRITICOS
INFRAESTRUCTURA TECNOLOGICA
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
ALCANCE DEL SGCN
El Sistema de Gestión de Continuidad de Negocio de la Unidad Administrativa Especial de Catastro Distrital (UAECD) tiene como alcance la continuidad de los procesos y subprocesos críticos de la Entidad. De acuerdo con el modelo de operación de la UAECD y la evaluación de criticidad realizada a los procesos, se concluyo los siguientes resultados:
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
METODOLOGIA PARA IDENTIFICAR PROCESOS CRITICOS
CriterioCalificación
1Bajo
2 Medio
3Alto
Afectación a rentabilidad y/o ingresos
Afectación al cliente
Afectación a la imagen de la empresa
Incumplimiento legal
Detección o afectación a otros procesos
Estrategia Corporativa
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
UMBRAL DE CRITICIDAD: Procesos con evaluación promedio igual o superior a 2.02.0
PROCESOS CRÍTICOS: Procesos a los cuales se les definirá e implementará una estrategia de negocio y planes de continuidad, en caso de la ocurrencia de un evento de interrupción
PROCESOS NO CRÍTICOS: Procesos que no se tendrán en cuenta dentro de la estrategia y planes de continuidad del negocio
METODOLOGIA PARA IDENTIFICAR PROCESOS CRITICOS
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
POLÍTICA DEL SGCN DE LA UAECD
La dirección de la Unidad Administrativa Especial de Catastro Distrital (UAECD) en coherencia con su misión y compromiso con clientes y partes interesadas, gestiona, mantiene y mejora la Continuidad de Negocio de la Entidad, mediante la identificación de estrategias e implementación de planes que permitan salvaguardar la integridad física de las personas, cumplir con la normatividad vigente y mitigar los impactos operacionales y financieros asociados a la interrupción del servicio.
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
COMITÉ DE SEGURIDAD DE LA INFORMACION Y CONTINUIDADDE LA OPERACION
Responsable de promover, apoyar y hacer seguimiento a la administración del Sistema de Gestión de Continuidad de Negocio de la UAECD, mediante la toma de decisiones, disposición de recursos, diseño de estrategias y directrices acordes con los requerimientos de la entidad.
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
EQUIPO QUE CONFORMARA EL COMITÉ:
• Director quien fungirá como Presidente
• Gerente de Tecnología
• Gerente de Información Catastral
• Gerente de Gestión Corporativa
• Gerente de Infraestructura de Datos Espaciales IDECA
• Gerente Comercial y de Atención al Usuario
• Jefe de la Oficina Asesora de Planeación y Aseguramiento de Procesos
• Oficial de Seguridad de la Información, adscrito a la Gerencia de Tecnología
• Oficial de Continuidad de Negocio, adscrito a la Gerencia de Tecnología
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Líder del SGCN
Director de la UAECD
Gestión Integral de
Riesgos
Representante por la dirección
Líder del DRP
Oficial de Continuidad de Negocio
Subgerente Infraestructur
a Hardware
Profesional Especializado 222-11 GT
ASIGNACIÓN DE ROLES PARA EL DISEÑO, MANTENIMIENTO Y MEJORA CONTINUA DEL SGCN
Equipo Programa de Continuidad
Profesionales especializados delegados por cada gerencia y/o sub gerencia.
Gerencias
• Gerencia de IDECA• Gerencia de
Información Catastral• Gerencia Comercial • Gerencia de Gestión
Corporativa• Gerencia de Tecnología
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
ANÁLISIS DE IMPACTO AL NEGOCIO – BIA
Proporcionar herramientas y criterios de priorización para la definición de estrategias de recuperación.
Identificar operaciones, activos y recursos que requieren un nivel mayor de atención y protección
Identificar el momento(s) en el que el negocio se encuentra más expuesto y vulnerable a sufrir impactos
Estimar los impactos potenciales de perdida, causados por una interrupción
¿PARA QUÉ SIRVE?
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
RESULTADOS DEL ANÁLISIS DE IMPACTO AL NEGOCIO BIA
REQUERIMIENTOS MINIMOS PARA OPERAR EL CONTINGENCIA
REQUERIMIENTOS MINIMOS PARA OPERAR EL CONTINGENCIA
RECURSO HUMANO SOFTWARE HARDWARE
PUESTOS DE TRABAJO
PROVEEDORES RESGISTROS VITALES
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
RECURSO HUMANO
ESTRATEGIAS:
1.Plan Backup para todos los roles que hacen parte de los equipos de continuidad2.Definición de dos alternos por rol teniendo en cuenta las competencias necesarias
COMPONENTES ESTRATEGIA DE CONTINUIDAD DE NEGOCIO
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
INFRAESTRUCTURA
ESTRATEGIAS:
1.Implementación de tele trabajo con los procesos que es factible hacerlo2.Adquisición de un centro de operación en contingencia para la operación de los procesos que por sus condiciones de seguridad y de operatividad deben funcionar desde el COC. (Arrendamiento, propio o por alianzas).
COMPONENTES ESTRATEGIA DE CONTINUIDAD DE NEGOCIO
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
PROVEEDORES CRITICOS
ESTRATEGIAS:
1.Desarrollar e implementar un procedimiento para la evaluación, integración y control de los proveedores críticos.2.Generar acuerdos de niveles de servicio con los proveedores críticos.
COMPONENTES ESTRATEGIA DE CONTINUIDAD DE NEGOCIO
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Análisis de Riesgos
La Unidad para su análisis de riesgos tiene en cuenta “Guía para la Administración del Riesgo” del Departamento Administrativo de la Función Pública y la “Guía Conceptual y Metodológica para la Administración del Riesgo” de la Veeduría Distrital, el Mapa de Calor y el Nivel de Riesgo Aceptable
PROBABILIDAD IMPACTO
Raro Insignificante
Improbable Menor
Posible Moderado
Probable Mayor
Casi Seguro Catastrófico
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
CASI SEGURO ALTO ALTO EXTREMO EXTREMO EXTREMO
PROBABLE MODERADO ALTO ALTO EXTREMO EXTREMO
POSIBLE BAJO MODERADO ALTO EXTREMO EXTREMO
IMPROBABLE BAJO BAJO MODERADO ALTO EXTREMO
RARO BAJO BAJO MODERADO ALTO ALTO
INSIGNIFICANTE MENOR MODERADA MAYOR CATASTRÓFICA
El mapa de calor Resultante de Los niveles de riesgo resultante de combinar la probabilidad y el impacto es el siguiente
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Representa la combinación de probabilidad e impacto para cada amenaza evaluada. Sus niveles son:
Los números en cada nivel representan la cantidad de amenazas.
MATRIZ DE EVALUACIÓN DE RIESGO
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Nivel de Riesgo Aceptable (NRA)
MATRIZ RESULTANTE DE LA EVALUACIÓN DEL RIESGO
Casi seguro 0 0 2 0 0
Probable 4 8 0 7 2
Posible 4 20 109 1 0
Improbable 0 6 23 1 0
Raro 0 12 103 47 0
Probabilidad/Impacto Raro Improbable Posible Probable Casi
seguro
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Amenaza Nivel de Riesgo
Suplantación de la identidad del usuario Moderado
Abuso de privilegios de acceso Moderado
Errores de los usuarios Moderado
Escapes de información Moderado
Vulnerabilidades de los programas (software) Alto
Errores de mantenimiento / actualización de programas (software) Alto
Errores de monitorización (log) Alto
ALGUNAS AMENAZAS POR ACTIVOS ENCONTRADAS
Software
Base de Datos
Amenaza Riesgo
Modificación de la información Alto
Introducción de falsa información Alto
Corrupción de la información Alto
Destrucción de la información Alto
Divulgación de la información Alto
Suplantación de la identidad del usuario Moderado
Abuso de privilegios de acceso Moderado
Escapes de información Alto
Alteración de la información Alto
Introducción de falsa información Alto
Degradación de la información Alto
Destrucción de la información Alto
Divulgación de la información Alto
Errores de monitorización (log) Alto
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Amenaza Riesgo
Acceso a la información sin autorización Moderado
Incumplimiento políticas de archivo Moderado
Información insuficiente y/o errada Moderado
Modificación de la estructura orgánica Moderado
Tablas de retención documental mal elaboradas
y/o desactualizadasModerado
Volumen alto de documentación Moderado
Información
Servidores
Amenaza Riesgo
Acceso no autorizado Extremo
Intercepción de información (escucha) Extremo
Denegación de servicio Alto
Caída del sistema por agotamiento de recursos Alto
Daños por agua Moderado
Avería de Origen físico o lógico Moderado
Corte del suministro eléctrico Extremo
Condiciones inadecuadas de temperatura y/o
humedadExtremo
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
TRATAMIENTO DE RIESGO
amenazas identificadas para cada categoría de riesgo junto con su respectiva calificación y las recomendaciones
Amenaza Nivel de Riesgo Recomendaciones
Suplantación de la identidad del usuario Moderado Implementar políticas de seguridad de información más estrictas y
socializarlas a todos los funcionarios. Debe incluir refuerzos en el
concepto “usuarios y claves personales e intransferibles”, políticas para
ausencias del puesto de trabajo, fortalecer el monitoreo Abuso de privilegios de acceso Moderado
Errores de los usuarios ModeradoAumentar la capacitación a usuarios finales y hacer más estrictos los
perfiles de acceso para este tipo de funcionarios
Escapes de información Moderado
Implementar políticas de seguridad más estrictas para los roles
autorizados que pueden acceder a la información más sensible de la
entidad
Vulnerabilidades de los programas
(software)Alto
Aumentar la frecuencia del monitoreo de la disponibilidad del aplicativo
y las bases de datos que lo soportan
Errores de mantenimiento / actualización de
programas (software)Alto
Definir políticas para realizar actualizaciones periódicas y fortalecer los
planes de estabilización que actualmente se están implementando
Errores de monitorización (log) Alto
Implementar políticas de monitoreo periódicos de logs, ya que en la
actualidad dicho procedimiento quedan a nivel de aplicación
(infraestructura)
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Amenaza Riesgo Recomendaciones
Modificación de la información Alto Fortalecer los controles de acceso físico y
lógicos.
Establecer un plan de capacitación y
sensibilización enfocado al uso de la
información siguiendo los lineamientos de
seguridad.
Fortalecer los controles lógicos de uso y
gestión de información
Introducción de falsa información Alto
Corrupción de la información Alto
Destrucción de la información Alto
Divulgación de la información Alto
Suplantación de la identidad del usuario Moderado Implementar políticas de seguridad de
información más estrictas y socializarlas a
todos los funcionarios. Debe incluir
refuerzos en el concepto “usuarios y claves
personales e intransferibles”, políticas para
ausencias del puesto de trabajo, fortalecer
el monitoreo
Abuso de privilegios de acceso Moderado
Escapes de información Alto
Fortalecer los controles de acceso físico y
lógicos.
Establecer un plan de capacitación y
sensibilización enfocado al uso de la
información siguiendo los lineamientos de
seguridad.
Fortalecer los controles lógicos de uso y
gestión de información
Fortalecer los mecanismos de monitoreo e
implementar su ejecución periódicamente
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Amenaza Riesgo Recomendaciones
Acceso a la información sin autorización Moderado
Fortalecer los mecanismos de
administración y gestión de la
información física.
Implementar programas de
capacitación y sensibilización sobre
las políticas de seguridad de la
información
Incumplimiento políticas de archivo Moderado
Información insuficiente y/o errada Moderado
Modificación de la estructura orgánica Moderado
Tablas de retención documental mal elaboradas y/o
desactualizadasModerado
Volumen alto de documentación Moderado
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Amenaza Riesgo Recomendaciones
Acceso no autorizado ExtremoFortalecer los mecanismos de acceso al centro de
datos, teniendo en cuenta que es administrado por la
Secretaría de Hacienda Distrital.
Proteger los rack con llave de seguridad.
Establecer barreras físicas para los servidores.
Garantizar el cumplimiento de las políticas de
seguridad de TI sin importar la jerarquía y/o rol del
funcionario.
Implementar mecanismos de seguimiento y control
para que todos los cambios en la configuración
realizados por el proveedor Procalculo sean
conocidos en tiempo real por al UAECD.
Fortalecer y actualizar las políticas de seguridad de
la información.
Realizar oportunamente el proceso de contratación
del proveedor que presta el servicio de monitoreo a
la capacidad de administración de los equipos
Intercepción de información (escucha) Extremo
Denegación de servicio Alto
Caída del sistema por agotamiento de
recursosAlto
Daños por agua Moderado
Avería de Origen físico o lógico Moderado
Corte del suministro eléctrico Extremo
Condiciones inadecuadas de temperatura
y/o humedadExtremo
Unidad Administrativa Especial de Catastro Distrital
José Abraham Villarraga Ríos
Podemos concluir que :
La implementación de un Sistema de Gestión de Continuidad del Negocio (SGCN) hace posible que una entidad como la UAECD desarrolle los elementos necesarios de la estrategia global de continuidad del negocio que le permiten prepararse para afrontar de forma adecuada un incidente que pueda poner en riesgo la continuidad de su negocio y/o de sus operaciones.
Contribuyendo a la seguridad de la información en su componente de Continuidad