Download - Implementación de Un SGSI Sobre Un Sitio de Comercio Electrónico Para Una Nueva Institución Banca
-
ESCUELA SUPERIOR POLITCNICA DEL LITORAL
ESCUELA DE DISEO Y COMUNICACIN VISUAL
PROYECTO DE GRADUACIN
PREVIO A LA OBTENCIN DEL TTULO DEANALISTA Y PROGRAMADOR DE SISTEMAS
TEMAImplementacin de un Sistema de Gestin de Seguridad de la Informacin usando la
norma ISO27000 sobre un sitio de comercio electrnico para una nueva institucinbancaria aplicando los dominios de control ISO27002:2005 y utilizando la
metodologa Magerit
AUTORESMarcel Eduardo Len LafebrEvelyn Anabell Mota Orrala
Joffre Manuel Navarrete Zambrano
DIRECTORIng. Vctor Muoz Chachapoya
AO2011
-
AGRADECIMIENTO
Agradecemos a Dios por habernos permitido llegar a este punto en nuestra vidaestudiantil, a nuestras familias que con su apoyo incondicional supieron apoyarnos enlos momentos difciles, a nuestros maestros que da a da impartieron sus conocimientospara enfrentarnos a un mejor maana y a nuestros compaeros por permitirnoscompartir gratos momentos en el transcurso nuestra carrera.
Marcel Len LafebrEvelyn Mota Orrala
Joffre Navarrete Zambrano
-
DEDICATORIA
Dedicamos este logro a nuestros padres, hermanos y allegados que estuvieronincondicionalmente apoyndonos a lo largo de nuestras carreras, permitindonos de talmanera hacer la entrega de este proyecto.A nuestros maestros que supieron enrumbarnos con sus metodologas por el caminocorrecto logrando as a ser profesionales competitivos en el campo laboral.Finalmente a todas aquellas personas que se nos escape mencionar pero que siempre lostendremos presente.
Marcel Len LafebrEvelyn Mota Orrala
Joffre Navarrete Zambrano
-
DECLARACIN EXPRESA
Los autores nos responsabilizamos por el anlisis, estudio y las conclusionesrealizadas en este Proyecto de Graduacin. As mismo declaramos que el patrimoniointelectual del mismo pertenece a la ESCUELA SUPERIOR POLITCNICA DELLITORAL".
-
FIRMA EL DIRECTOR DEL PROYECTO Y MIEMBRODEL TRIBUNAL DE GRADUACIN
Ing. Vctor Muoz ChachapoyaDirector del Proyecto
Mae. Enrique Salazar MezaDelegado
-
FIRMA DE LOS AUTORES DEL PROYECTO
Marcel Len Lafebr Evelyn Mota Orrala
Joffre Navarrete Zambrano
-
RESUMEN
El presente documento contiene la informacin tcnica de la revisin de las seguridadesde un sitio web transaccional con el fin de encontrar y analizar las posiblesvulnerabilidades y amenazas para poder minimizarlas y gestionar el riesgocorrespondiente con la finalidad de lograr tener un sistema de seguridad de lainformacin lo mas ptimo posible.
Considerando la importancia y sensibilidad de la informacin de los clientes en unainstitucin bancaria, hemos realizado este exhaustivo estudio, mediante el cual hemospodido aplicar varios controles de los diferentes dominios existentes en la norma ISO-27000, la cual se escogi para desarrollar este proyecto
-
CONTROL DEL DOCUMENTO
FECHA REVISIN OBSERVACIONES02-Mayo-2011 Versin 1.0 Elaboracin de borrador
inicial del documento16-Mayo-2011 Versin 1.1 Ordenar contenido de
captulos22-Mayo-2011 Versin 1.2 Depuracin del captulo de
Anlisis y Gestin deRiesgo
06-Mayo-2011 Versin 1.3 Verificacin general delcontenido del documento
1-Septiembre-2011 Versin 1.4 Correccin de formatos
-
NDICE GENERAL
CAPTULO 1: INTRODUCCIN
1.INTRODUCCIN....................................................................................................................................
1.1.ANTECEDENTES
..................................................................
121.2.OBJETIVOS
........................................................................
131.2.1. OBJETIVO GENERAL
.........................................................
131.2.2. OBJETIVOS ESPECFICOS
.................................................
13
2.GENERALIDADES.................................................................................................................................
2.1.DEFINICIN DE CONCEPTOS
................................................
152.1.1.P.D.C.A.:
.........................................................................
152.1.2.LA GESTIN POR PROCESOS
.............................................
152.1.3.LA ISO
............................................................................
152.1.4.INFORMACIN
.................................................................
152.1.5.RECURSO O ACTIVO DE TECNOLOGA INFORMTICA YCOMUNICACIONES (TIC)
...........................................................
152.1.6.POLTICA
........................................................................
152.1.7.DIRECTIVAS
....................................................................
152.1.8.ESTNDAR
......................................................................
152.1.9.PROCEDIMIENTO
..............................................................
152.1.10.ACTIVO
.........................................................................
152.1.11.ANLISIS DE RIESGO
.....................................................
152.1.12.CONTROL
......................................................................
152.1.13.CRIPTOGRAFA
...............................................................
152.1.14.ELECTROTCNICA
...........................................................
152.1.15.EVALUACIN DE RIESGO
.................................................
152.1.16.EVENTO DE SEGURIDAD DE LA INFORMACIN
...................
152.1.17.GESTIN DE RIESGO
......................................................
162.1.18.INCIDENTE DE SEGURIDAD DE LA INFORMACIN
...............
162.1.19.LINEAMIENTO
................................................................
162.1.20.MTRICA
.......................................................................
162.1.21.RIESGO
.........................................................................
162.1.22.TERCERA PERSONA
.........................................................
162.1.23.VULNERABILIDAD
...........................................................
162.2.DEFINICIN DE LA EMPRESA
................................................
162.2.1. PERFIL DE LA EMPRESA
....................................................
162.2.2.ESQUEMA DE PROCESO
....................................................
172.2.2.1.GESTIN DE PROYECTOS
...............................................
182.2.2.2.DESARROLLO DE TRANSACCIONES
..................................
18
9
-
2.2.2.3.IMPLEMENTACIN EN PRODUCCIN
.................................
182.2.2.4.MANTENIMIENTO Y RESPALDO
........................................
182.2.2.5.OPERACIONES
..............................................................
182.2.3. PLATAFORMA DE LA BANCA VIRTUAL
.................................
18
3.ALCANCE DEL PROYECTO.................................................................................................................
3.1.ALCANCE A ALTO NIVEL
.......................................................
203.2.DESCRIPCIN AL DETALLE DEL ALCANCE
...............................
203.3. JUSTIFICACIN
.................................................................
20
4.POLTICA DE SEGURIDAD..................................................................................................................
4.1.OBJETIVO Y ALCANCE
..........................................................
224.2.MBITO DE APLICACIN
......................................................
224.3.NORMATIVA MARCO (NORMATIVAS SUPERIOR DEREFERENCIA)
...........................................................................
224.4.DISPOSICIONES GENERALES Y TRANSITORIAS
.......................
224.5.ROLES Y RESPONSABILIDADES
.............................................
224.6.POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN
........
234.6.1.PRINCIPALES DIRECTIVAS:
...............................................
234.6.2.CLASIFICACIN Y CONTROL DE ACTIVOS DE INFORMACIN
..............................................................................................
234.6.3.ADMINISTRACIN DE RIESGOS DE SEGURIDAD
...................
234.6.4.COMPETENCIA DEL PERSONAL EN MATERIA DE SEGURIDADDE LA INFORMACIN
................................................................
234.6.5.SEGURIDAD FSICA Y DE ENTORNO
....................................
234.6.6.ADMINISTRACIN DE EQUIPAMIENTO, OPERACIONES YCOMUNICACIONES
...................................................................
234.6.7.CONTROLES DE ACCESO
...................................................
234.6.8.DESARROLLO Y MANTENIMIENTO DE SISTEMAS
...................
234.6.9.ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO
.........
23
5.ANLISIS Y GESTIN DE RIESGOS...................................................................................................
5.1.METODOLOGA
...................................................................
265.2.ANLISIS DE GESTIN DE RIESGO
.......................................
265.3.IDENTIFICACIN DE ACTIVOS
..............................................
265.4.VALORACIN DE ACTIVOS
...................................................
275.5.INTERRELACIN DE LOS ACTIVOS
........................................
275.6.AMENAZAS
.........................................................................
295.7.VALORACIN DEL IMPACTO
..................................................
29
Capacidad de Operar............................................................295.8.CONTROLES
.......................................................................
345.9.DETERMINACIN DEL RIESGO
..............................................
35
10
-
5.9.1.FRECUENCIA DE OCURRENCIA DE LAS AMENAZAS
...............
355.10.DOCUMENTO DE DECLARACIN DE APLICABILIDAD (SOA)
.....
375.11.CONTROLES A IMPLEMENTAR
..............................................
425.12.PROCEDIMIENTOS DOCUMENTADOS.
...................................
435.12.1.ATENCIN DE INCIDENTES
..............................................
435.12.1.1.OBJETIVO:
..................................................................
435.12.1.2.RESPONSABILIDADES:
.................................................
435.12.1.3.CLASIFICACIN DE ALERTAS
.........................................
435.12.1.4.ESTADO DE EMERGENCIA
.............................................
435.12.1.5. NOTIFICACIONES:
......................................................
445.12.2. MONITOREO DE BASE DE DATOS
.....................................
445.12.2.1.RESPONSABILIDADES:
.................................................
445.12.3.MONITOREO DE REDES
...................................................
455.12.3.1.OBJETIVO
...................................................................
455.12.3.2.RESPONSABILIDADES:
.................................................
455.12.3.3.PROCEDIMIENTO:
........................................................
455.12.4. MONITOREO DE SERVIDORES
.........................................
455.12.4.1.OBJETIVO
...................................................................
455.12.4.2.RESPONSABILIDADES:
.................................................
465.12.4.3.PROCEDIMIENTO:
........................................................
465.12.5.POLTICA DE MONITOREO
...............................................
475.12.5.1.OBJETIVO
...................................................................
475.12.5.2.MONITOREO POR ELEMENTO
................................................
475.12.5.3.ARQUITECTURA:
..........................................................
475.12.5.4.RESPONSABILIDADES:
.................................................
475.12.6.POLTICA DE CONTROL DE ACCESO
..................................
495.12.6.1.OBJETIVO
...................................................................
495.12.6.2.ALCANCE
....................................................................
495.12.6.3.PERFILES DE USUARIOS
...............................................
495.12.6.4.POLTICA:
...................................................................
495.12.7.PERMISO DE RED O SISTEMAS OPERATIVOS
......................
495.12.8.POLITCA DE CUENTA
......................................................
505.12.8.1.USUARIO SA
...............................................................
505.12.8.2.USARIO DE CONSULTA / LECTURA
.................................
505.12.8.3.APLICATICATIVOS/ACTUALIZACIONES
............................
505.12.8.4. OPERADORES
.............................................................
505.12.8.5. ADMINISTRADORES DE BASE DE DATOS
.......................
505.12.8.6. OFICIAL DE SEGURIDAD
..............................................
505.12.9.POLTICA DE PASSWORD
.................................................
505.12.10.ACTA DE COMPROMISO
.................................................
505.12.10.1.POLTICAS:
...............................................................
50
11
-
5.12.10.2.DECLARACIN:
..........................................................
515.12.11.POLTICA DE USO DE PENDRIVES
...................................
525.12.11.1.OBJETIVO
.................................................................
525.12.11.2.GENERALIDADES
.......................................................
525.12.11.3.MOTIVO DE LA REGULACIN
.......................................
525.12.11.4.POLTICAS
................................................................
525.12.11.4.1.DRIVER USB DESHABILITADO
...................................
525.12.11.4.2.MONITOREO DE DRIVERS HABILITADOS
....................
525.12.11.4.3.PASSWORD, ENCRIPTACIN Y RESPALDO DEARCHIVOS
...............................................................................
525.12.11.4.4.CARPETAS COMPARTIDAS DE RED
.............................
525.12.11.4.5.PEN-DRIVE AUTORIZADO
.........................................
525.12.11.5.ADVERTIR A USUARIOS
..............................................
525.12.11.6.POLTICA DE INFORMACIN COMPARTIDA
...............................
535.12.11.6.1.RIESGOS DE COMPARTIR DIRECTORIOS Y/OARCHIVOS
...............................................................................
535.12.11.6.2.SISTEMA DE DOCUMENTACIN
.................................
535.12.11.6.3.POLTICA DE CORREO ELECTRNICO E INTERNET
.......
545.12.11.6.3.1.PROCEDIMIENTO
..................................................
545.12.11.7.RECOMENDACIONES
..................................................
545.12.11.7.1.CORREO ELECTRNICO
............................................
545.12.11.7.2. NAVEGACIN EN INTERNET
............................................
55
6.CONCLUSIONES Y RECOMENDACIONES........................................................................................
6.1.CONCLUSIONES
..................................................................
576.2.RECOMENDACIONES
...........................................................
58
ESTANDAR DE SEGURIDAD PARA WINDOWS 2003 SERVER.........................................................
CONFIGURACIN DE SEGURIDAD PARA EL HARDWARE DE SERVIDORES..............................
DEFINICIN DE OBJETOS DEL SERVICIO DE DIRECTORIOS Y ASIGNACIN DE
PERMISOS..................................................................................................................................................
ESQUEMA DE SEGURIDAD EN ACTIVE DIRECTORY.......................................................................
ADMINISTRACIN DE RECURSOS COMPARTIDOS..........................................................................
ESTRUCTURA DE DIRECTORIOS Y PERMISOS ASIGNADOS..........................................................
ADMINISTRACIN DE RECURSOS.......................................................................................................
ESTNDAR DE SEGURIDAD PARA MS SQL SERVER 2008...............................................................
CONFIGURACIN GENERAL DE LA SEGURIDAD............................................................................
DIRECTORIOS DE INSTALACIN Y PERMISOS EN WINDOWS 2003/2008....................................
12
-
CONFIGURACIN DE SQL SERVER AGENT.......................................................................................
ROLES DE ADMINISTRACIN DEL SERVIDOR..................................................................................
BASES DE DATOS.....................................................................................................................................
ENCRIPTACIN DE DATOS..................................................................................................................
CONSIDERACIONES ADICIONALES DE SEGURIDAD....................................................................
ESTNDAR DE SEGURIDAD PARA INTERNET INFORMATION SERVICES 7.............................
CONSIDERACIONES GENERALES DEL SISTEMA OPERATIVO....................................................
CONSIDERACIONES BSICAS DE SEGURIDAD DEL SERVICIO WEB........................................
PERMISOS DE ACCESO A DIRECTORIOS..........................................................................................
CONSIDERACIONES DE SEGURIDAD SOBRE EL SERVICIO FTP.................................................
CONSIDERACIONES DE SEGURIDAD SOBRE EL SERVICIO SMTP..............................................
CONTROLES DE ACCESO.....................................................................................................................
DOCUMENTACIN DE REFERENCIA.................................................................................................
13
-
NDICE DE ILUSTRACIONES
Figura 2-1: PDCA.................................................................................15Figura 2-2: Esquema de Proceso.........................................................17Figura 2-3: Gestin de Proyectos........................................................18Figura 2-4: Desarrollo de Transacciones.............................................18Figura 2-5: Implementacin en Produccin.........................................18Figura 2-6: Mantenimiento y Respaldo...............................................18Figura 2-7: Operaciones......................................................................18Figura 2-8: Plataforma del Servicio Virtual..........................................18Figura 1: Estructura Forest..................................................................61Figura 2: Estructura de unidades organizativas..................................62Figura 11: Autenticacin de usuarios................................................107Figura 12: Sitio Web predeterminado...............................................108Figura 13: Buscador de directorio.....................................................108
14
-
NDICE DE TABLAS
Tabla 5-1: Identificacin de Activos....................................................26Tabla 5-2: Valoracin de Activos.........................................................27Tabla 5-3: Abreviatura de Activos.......................................................27Tabla 5-4: Interrelacin de Activos......................................................28Tabla 5-5: Amenazas...........................................................................29Tabla 5-6: Valoracin del Impacto.......................................................34Tabla 5-7: Controles............................................................................35Tabla 5-8: Anlisis estadstico.............................................................36Tabla 5-9: SOA....................................................................................41Tabla 5-10: Controles a Implementar..................................................42Tabla 5-11: Tablas...............................................................................50Tabla 0-1: Polticas de Contraseas....................................................66Tabla 0-2: Polticas de Bloqueo de Cuentas........................................66Tabla 0-3: Polticas de Kerberos..........................................................66Tabla 0-4: Derechos de Usuarios.........................................................70Tabla 0-5: Polticas de Bloqueo de Cuentas........................................71Tabla 0-6: Opciones de Seguridad......................................................78Tabla 0-7: Controladores de Dominio..................................................78Tabla 0-1: Administracin de Recursos Compartidos..........................79Tabla 0-2: Permisos por Grupo............................................................79Tabla 0-3: Permisos por Grupo............................................................79Tabla 0-4: Esquema de Carpetas Compartidas...................................79Tabla 0-1: Controladores de Dominio..................................................86Tabla 0-2: Servidores Miembro Stand Alone.......................................87Tabla 0-1: Account..............................................................................88Tabla 0-2: Profile.................................................................................88Tabla 0-3: Exchange............................................................................89Tabla 0-4: Alta de Cuentas de Servicio...............................................89Tabla 0-5: Alta de Cuenta de Servicio Password.................................90Tabla 0-6: Controladores de Dominio..................................................91Tabla 0-7: Member Servers y Stand Alone..........................................92Tabla 0-1: Cuentas de Servicio............................................................94Tabla 0-1: Directorios de Instalacin...................................................94Tabla 0-2: Permisos en Windows.........................................................94Tabla 0-3: Permisos.............................................................................95Tabla 0-1: Definicin de Grupos........................................................105
15
-
Tabla 0-2: Derechos de Usuarios.......................................................105Tabla 0-3: Servicios...........................................................................105Tabla 0-1: Reduccin de los Componentes www...............................105Tabla 0-1: Permiso de Acceso a Directorios......................................106Tabla 0-2: Permiso de Acceso a Directorios......................................107Tabla 0-3: Configuracin del Registro de Windows...........................107
16
-
CAPTULO 1INTRODUCCIN
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
1. INTRODUCCIN
1.1. ANTECEDENTES
En la actualidad, las principales instituciones financieras del Ecuador tienen lanecesidad de estar constantemente verificando las seguridades de sus sitiostransaccionales, ya que as mismo existen personas y/u organizaciones bien o mal-intencionadas que buscan encontrar alguna vulnerabilidad en los sitios de estasempresas para robar informacin o para buscar un negocio de asesoramiento con dichasinstituciones.
Vale acotar tambin que la banca virtual es una tecnologa indispensable en laactualidad para dar un servicio de calidad a los clientes de una institucin financiera.
Es claro que todo tiene su precio, por lo cual esta nueva institucin financiera deseasacar su sitio transaccional pero est consciente de que necesita implementar un SGSIpara minimizar el riesgo en sus operaciones.
Una directriz de la implementacin de este SGSI es que va a estar aplicado en variosdominios de controles de la norma ISO.
Otro punto de mucha relevancia es determinar la metodologa que se va a utilizar para laimplementacin del SGSI.
EDCOM Pgina # 18 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
1.2. OBJETIVOS
1.2.1. OBJETIVO GENERAL
Implementar un SGSI para un sitio transaccional de comercio electrnico de una nuevainstitucin financiera bajo la norma ISO27000 aplicado a varios dominios de control yutilizando la metodologa MAGERIT para minimizar los riesgos y que el servicio no sevea afectado en lo mayormente posible.
1.2.2. OBJETIVOS ESPECFICOS
Determinacin del alcance y poltica de seguridad. Determinacin del valor de los activos. Determinacin del riesgo. Identificacin de objetivos de control y controles. Definicin e implementacin de polticas, estndares y procedimientos para
implementar los controles. Revisiones y auditoria de Certificacin del SGSI.
EDCOM Pgina # 19 ESPOL
-
CAPTULO 2GENERALIDADES
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
2. GENERALIDADES
2.1. DEFINICIN DE CONCEPTOS
2.1.1. P.D.C.A.:Es conocido como "crculo de Deming" por Edwards Deming, es una estrategia demejora continua de la calidad en cuatro pasos, basada en un concepto ideado por WalterA. Shewhart. Tambin se denomina espiral de mejora continua. Las siglas PDCA son elacrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
Figura 2-1: PDCA
2.1.2. LA GESTIN POR PROCESOSEs la forma de gestionar toda la organizacin basndose en los Procesos. Entendiendoestos como una secuencia de actividades orientadas a generar un valor aadido sobreuna ENTRADA para conseguir un resultado, y una SALIDA que a su vez satisfaga losrequerimientos del Cliente.
2.1.3. LA ISOOrganizacin Internacional de Normalizacin. Organismo encargado de promover eldesarrollo de normas internacionales de fabricacin, comercio y comunicacin paratodas las ramas industriales a excepcin de la elctrica y la electrnica. Su funcinprincipal es la de buscar la estandarizacin de normas de productos y seguridad para lasempresas u organizaciones a nivel internacional.
2.1.4. INFORMACINSe considera informacin a los diferentes conjuntos organizados de datos que utilizaBanco.
EDCOM Pgina # 21 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
2.1.5. RECURSO O ACTIVO DE TECNOLOGA INFORMTICA YCOMUNICACIONES (TIC)
Se considera recurso TIC a todos aquellos recursos tcnicos que almacenan, procesan otransmiten informacin de la Entidad.
2.1.6. POLTICASe considera poltica a la declaracin, por parte de la direccin de la Entidad, de unconjunto de objetivos para regir y proteger los objetivos de la misma. Dentro de estosobjetivos se encuentran prcticas generalmente aceptadas para llevar a cabo tareas decontrol interno, requerimientos de proteccin de la informacin, etc.
2.1.7. DIRECTIVASUna directiva es una declaracin que provee a los miembros de la Entidad. Lainformacin acerca de los objetivos planteados en las polticas. Las directivas sondiseadas para proveer una descripcin ms especfica de los objetivos de la Entidad,de modo que son modificadas ms frecuentemente que las polticas debido a cambiosen el entorno de negocios de la Entidad. El cumplimiento de las directivas asegura el cumplimiento de los objetivos planteadosen las polticas.
2.1.8. ESTNDARUn estndar es una declaracin que provee una gua o lineamiento para concretar losobjetivos estipulados por las directivas e indicados por las polticas.
2.1.9. PROCEDIMIENTOUn procedimiento es una declaracin que indica cmo realizar un conjunto deactividades que permitan lograr los objetivos establecidos. Un procedimiento puedetomar la forma de un manual de instalacin, una gua de usuario, un manualadministrativo, una lista de verificacin o cualquier otro tipo de documentacinoperacional.
2.1.10. ACTIVOCualquier cosa que tenga valor para la organizacin.
EDCOM Pgina # 22 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
Amenaza: una causa potencial de un incidente no deseado, el cual puede resultar endao a un sistema u organizacin.
2.1.11. ANLISIS DE RIESGOUso sistemtico de la informacin para identificar las fuentes y calcular el riesgo.
2.1.12. CONTROLMedios para manejar el riesgo, incluyendo polticas, procedimientos, lineamientos,prcticas o estructuras organizacionales, las cuales pueden ser administrativas, tcnicas,de gestin o de naturaleza legal. El control tambin se utiliza como sinnimo desalvaguarda o contramedida.
2.1.13. CRIPTOGRAFAEs el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas que haganposible el intercambio de mensajes de manera segura que slo puedan ser ledos por laspersonas a quienes van dirigidos.
2.1.14. ELECTROTCNICAEs la ciencia que estudia las aplicaciones tcnicas de la electricidad.
2.1.15. EVALUACIN DE RIESGOProceso de comparar la contingencia estimada con un criterio de la contingencia dadapara determinar la solucin del riesgo.
2.1.16. EVENTO DE SEGURIDAD DE LA INFORMACINCualquier evento de seguridad de la informacin es una ocurrencia identificada delestado de un sistema, servicio o red, indicando una posible falla en la poltica deseguridad de la informacin o falla en las salvaguardas, o una situacin previamentedesconocida que puede ser relevante para la seguridad.
2.1.17. GESTIN DE RIESGOActividades coordinadas para dirigir y controlar una organizacin con relacin alriesgo.EDCOM Pgina # 23 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
2.1.18. INCIDENTE DE SEGURIDAD DE LA INFORMACINUn incidente de seguridad de la informacin es indicado por un solo evento o una seriede eventos inesperados de seguridad de la informacin que tienen una probabilidadsignificativa de comprometer las operaciones comerciales y amenazar la seguridad dela informacin.
2.1.19. LINEAMIENTODescripcin que aclara Qu? y Cmo? se debera hacer, para lograr los objetivosestablecidos en las polticas.Medios de procesamiento de la informacin: cualquier sistema, servicio oinfraestructura de procesamiento de la informacin, o los locales fsicos que los alojan.
2.1.20. MTRICAEs una metodologa de planificacin, desarrollo y mantenimiento de sistemas deinformacin.Poltica: intencin y direccin general expresada formalmente por la gerencia.
2.1.21. RIESGOCombinacin de la probabilidad de un evento y su ocurrencia.Seguridad de la informacin: preservacin de confidencialidad, integracin ydisponibilidad de la informacin; adems, tambin puede involucrar otras propiedadescomo autenticidad, responsabilidad, no-reputacin y confiabilidad.Tratamiento del riesgo es un proceso de seleccin e implementacin de medidas paramodificar el riesgo.
2.1.22. TERCERA PERSONAPersona u organismo que es reconocido como independiente de las partes involucradas,con relacin al tem en cuestin.
2.1.23. VULNERABILIDADLa debilidad de un activo o grupo de activos que puede ser explotada por una o msamenazas.
EDCOM Pgina # 24 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
2.2. DEFINICIN DE LA EMPRESA
2.2.1. PERFIL DE LA EMPRESA
Como empresa del sector financiero, la entidad tiene como objeto: la captacin defondos de entidades pblicas, empresas del sector privado y los fondos de todos susclientes para ofrecer planes de financiamiento para los sectores productivos del pascon el fin de dar, mantener y mejorar la economa de la nacin. Por ende necesita darservicios de calidad a nuestros clientes, para lo cual tiene su valor aadido del sitiotransaccional de banca virtual, que le permitir al cliente hacer un sin fin deoperaciones sin tener que ir a las diferentes centrales y sucursales del banco.
En la actualidad la institucin est presente en las 3 ms grandes ciudades del Ecuador,estando as distribuidas:
Guayaquil Matriz Quito Sucursal 1 Cuenca Sucursal 2
La empresa al adquirir la banca virtual, ofrece a sus clientes (empresas y personas) ladisponibilidad del servicio 7 x 24.
La organizacin se mueve en un sector en el que la mejora continua es esencial paramantener el nivel de competitividad que goza actualmente.
La constante innovacin tecnolgica le permite a la entidad financiera una mejoracontinua en los procesos de negocio.
La forma de actuacin de la entidad financiera sigue las pautas del P.D.C.A. (planificar,hacer, controlar y actuar), en consecuencia con una constante retroalimentacin sobre lagestin de nuestros procesos.
El objetivo primordial de la poltica de calidad es la satisfaccin y fidelidad de nuestrosclientes.La empresa considera prioritario a nivel interno:
La mejora de la competitividad de la empresa, dentro del mercado donde desarrolla suactividad.EDCOM Pgina # 25 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
El aumento de la rentabilidad de la empresa, mejorando los procesos.
Para alcanzar estos objetivos establecemos como primer paso la gestin de un sistemade Calidad segn la Norma ISO 9000 en el servicio del ATM (cajeros automticos) obtenido dicho certificado en el ao 2008.
Actualmente la entidad brinda a sus clientes por medio de su banca virtual lossiguientes servicios de calidad:
Transferencias cuentas propias Transferencias terceros mismo banco, otros bancos SPI, directo e internacionales Pago de tarjetas de crdito propias Pago de tarjetas de crdito de terceros mismo banco, otros bancos SPI, directo einternacionales. Recarga de tarjetas de crdito Servicios de consulta y pago de servicios pblicos y privados en lnea y base local Consulta de central de crdito
2.2.2. ESQUEMA DE PROCESO
La organizacin ha identificado sus diferentes procesos de negocio claves para la bancavirtual, como se indica en la figura 1.
EDCOM Pgina # 26 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
Figura 2-2: Esquema de Proceso
EDCOM Pgina # 27 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
2.2.2.1. GESTIN DE PROYECTOSENTRADA SALIDA
* Necesidades del cliente y oportunidad de negocio* Anlisis de las reas: - Mercadeo y Publicidad - Productos - Legal - Financiero -Tecnologa* Recursos disponibles* Viabilidad
* Satisfaccin del cliente y rentabilidad* Documentacin del proyecto* Registros del proyecto
Figura 2-3: Gestin de Proyectos
2.2.2.2. DESARROLLO DE TRANSACCIONESENTRADA SALIDA
* Definiciones de CU* Definiciones tcnicas
* Nueva transaccin de banca virtual* Orden de proceso para produccin, respaldos y procesos en lotes
Figura 2-4: Desarrollo de TransaccionesEDCOM Pgina # 28 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
2.2.2.3. IMPLEMENTACIN EN PRODUCCIN
ENTRADA SALIDA
* Requerimiento de pase a produccin* Documentacin de permisos de red a terceros
* Nueva transaccin disponible para clientes en banca virtual
Figura 2-5: Implementacin en Produccin
2.2.2.4. MANTENIMIENTO Y RESPALDO
ENTRADA SALIDA
* Documentacin de base de datos* Documentacin de procesos batch
* Inclusin en bitcora de respaldos de centro de cmputo* Ejecucin de procesos batch
Figura 2-6: Mantenimiento y Respaldo
EDCOM Pgina # 29 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
2.2.2.5. OPERACIONES
ENTRADA SALIDA
* Inconvenientes reportados por clientes* DWH
* Parches de la transaccin* Anlisis de estadsticas* Conciliaciones de transacciones* Cuadres contables
Figura 2-7: Operaciones
EDCOM Pgina # 30 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
2.2.3. PLATAFORMA DE LA BANCA VIRTUAL
Figura 2-8: Plataforma del Servicio Virtual
NOTA: Vale indicar que existen estndares de seguridad del software utilizado en losdiferentes servidores Microsoft, los cuales son los siguientes:Sistema Operativo Windows 2003 (Ver anexo de estndares)Motor de base de datos SQLServer 2008 (Ver anexo de estndares)Servicios de Informacin de Internet 7 (IIS) (Ver anexo de estndares)
EDCOM Pgina # 31 ESPOL
-
CAPTULO 3ALCANCE DEL PROYECTO
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
3. ALCANCE DEL PROYECTO
3.1. ALCANCE A ALTO NIVELLa gestin de la seguridad de la informacin en todas las actividades y desarrollo deproyectos de servicios de comercio electrnico de la entidad financiera. Elmantenimiento, los servicios de valor aadido, los ingresos relacionados con dichosservicios, su consecucin y el otorgarle a los clientes un servicio 7 x 24 (Las 24 horasdel da y 365 das del ao). Esto est de acuerdo con el documento de Declaracin deAplicabilidad (Statement Of Applicability, SOA) fechado a Abril/01/2011, v1.0.
3.2. DESCRIPCIN AL DETALLE DEL ALCANCEComo empresa del sector financiero, la entidad tiene como objeto la captacin defondos de entidades pblicas, empresas del sector privado privado y los fondos detodos sus clientes para ofrecer planes de financiamiento para los sectores productivosdel pas con el fin de dar mantener y mejorar la economa de la nacin. Por endenecesita dar servicios de calidad a nuestros clientes, para lo cual tiene su valor aadidodel sitio transaccional de banca virtual, que le permitir al cliente hacer un sin fin deoperaciones sin tener que ir a las instalaciones de la oficina.
En la actualidad la institucin est presente en las 3 ms grandes ciudades del Ecuador,estando as distribuidas:
Guayaquil MatrizQuito Sucursal 1Cuenca Sucursal 2
La empresa al adquirir la banca virtual, ofrece a sus clientes (empresas y personas) ladisponibilidad del servicio 7 x 24.
La organizacin se mueve en un sector en el que la mejora continua es esencial paramantener el nivel de competitividad que goza actualmente.
La constante innovacin tecnolgica le permite a la entidad financiera una mejoracontinua en los procesos de negocio.
La forma de actuacin de la entidad financiera sigue las pautas del P.D.C.A. (planificar,hacer, controlar y actuar), en consecuencia con una constante retroalimentacin sobre la
EDCOM Pgina # 33 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
gestin de nuestros procesos.
El objetivo primordial de la poltica de calidad es la satisfaccin y fidelidad de nuestrosclientes.La empresa considera prioritario a nivel interno:
La mejora de la competitividad de la empresa, dentro del mercado dondedesarrolla su actividad.
El aumento de la rentabilidad de la empresa, mejorando los procesos.
Para alcanzar estos objetivos establecemos como primer paso la gestin de un sistemade Calidad segn la Norma ISO 9000 en el servicio del ATM (cajeros automticos) obtenido dicho certificado en el ao 2008.
3.3. JUSTIFICACINLa informacin que se maneja en la banca virtual es un activo vital para el xito y lacontinuidad en el mercado de la agencia financiera. El aseguramiento de dichainformacin y de los sistemas que la procesan es, por tanto, un objetivo de primer nivelpara la organizacin.
Este manual se basa en ISO/IEC 27000, que es un conjunto de estndares desarrolladospor ISO (International Organization for Standardization) e IEC (InternationalElectrotechnical Commission), que nos permite implementar un sistema de gestin deseguridad de informacin de una forma metdica, documentada y basada en objetivosclaros de seguridad y una evaluacin de los riesgos a los que est sometida lainformacin online de la entidad financiera.
La nueva institucin va a sacar su sitio transaccional de comercio electrnico, para locual necesita un SGSI, este es un producto en el que se mezclan dominios de control dediversas reas, tales como:
Aspectos organizativos Cumplimiento Legal Telecomunicaciones y operaciones Adquisicin, mantenimiento y desarrollo de software Controles de Accesos Gestin de Incidentes
Para la implementacin del SGSI se decidi implementar la metodologa Magerit, lacual mencionaremos en los siguientes tpicos de esta presentacin. EDCOM Pgina # 34 ESPOL
-
CAPTULO 4POLTICA Y OBJETIVOS
DE SEGURIDAD
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
4. POLTICA DE SEGURIDAD
4.1. OBJETIVO Y ALCANCEEl objetivo de la Poltica General de la Seguridad de la Informacin es establecer loslineamientos y directivas relativas a la proteccin de la informacin y activos detecnologa informtica y comunicaciones de la Banca Virtual.
Las definiciones y lineamientos presentados en esta Poltica establecen las bases para laimplementacin de controles y medidas de la Seguridad de la Informacin quepermitirn al Banco minimizar y/o controlar adecuadamente los riesgos que afectan asu informacin y a sus activos de tecnologa informtica y comunicaciones de laEntidad en las transacciones virtuales.
La responsabilidad de la seguridad de la informacin diaria es deber de cadafuncionario y no solamente es al rea de Seguridad. La informacin de la Entidad debeser administrada activamente para asegurar la seguridad, confidencialidad, integridad ydisponibilidad de la misma.
4.2. MBITO DE APLICACINTanto el Banco en su conjunto, como las personas y terceros que acceden, utilizan einteractan con sus recursos informticos y de comunicaciones relacionados a losservicios transaccionales virtuales, se encuentran alcanzados por esta Poltica y laspolticas derivadas, y por ende, son responsables de contribuir al logro y mantenimientode estos objetivos en su desempeo cotidiano.
Esta Poltica es de aplicacin para todo colaborador y/o terceros contratados por elBanco que accedan y/o utilicen informacin y/o recursos de tecnologa informtica ycomunicaciones de la banca virtual.
4.3. NORMATIVA MARCO (NORMATIVAS SUPERIOR DE REFERENCIA) Esta Poltica General tiene como normativa la Norma ISO 27000:2000, todo estndar yprocedimiento de Banco se basan en las mejores prcticas y normas de seguridad comoNIST, NSA, PCI, CIS, Resolucin de la Junta Bancaria No. JB-2011-1851 entre otras.
Normativa Derogada
EDCOM Pgina # 36 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
Ninguna. Vigencia
Esta Poltica entrar en rigor a partir del 15 de Agosto del 2011.
4.4. DISPOSICIONES GENERALES Y TRANSITORIAS Los criterios y directivas emitidos en revisiones anteriores de esta Poltica y losreferidos en cualquier otra norma al respecto, quedan totalmente sustituidos a partir dela vigencia de la presente.
Esta poltica ser revisada anualmente por el rea de Seguridad de la Informacin deBanco. Los resultados de la revisin, y los cambios que se sucedan, sern reportados ala Gerencia General y comunicados a los involucrados antes de ser implementados.La falta de cumplimiento de las definiciones emanadas de la presente Poltica, y de laspolticas y normas derivadas sobre seguridad y proteccin de la informacin y recursosTIC de la Entidad, estar sujeta a las sanciones disciplinarias que amerite cada caso.Los estndares y polticas derivadas de la Poltica General de Seguridad seguirn lasiguiente clasificacin jerrquica:
Poltica General de Seguridad;Polticas Especficas de Seguridad;Normativas y Directivas de Seguridad;Estndares de Seguridad;Procedimientos de Seguridad.
4.5. ROLES Y RESPONSABILIDADESLa implementacin satisfactoria de la Poltica General de la Seguridad de laInformacin, y de las medidas que de ella se desprendan, requiere la plena cooperaciny la asistencia de todos los colaboradores de Banco que intervengan en el servicio de labanca virtual. Es imperativo, por lo tanto, que todo el personal sea consciente de, yopere de acuerdo con, los requisitos de seguridad aqu detallados.
A los efectos de definir e implementar adecuados niveles de seguridad en lainformacin, el Banco ha designado dos rganos de trabajo, a saber:
Comit de Seguridad de la Informacin: asumir la responsabilidad departicipar en la toma de decisiones en cuestiones relativas a la Seguridad de
EDCOM Pgina # 37 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
la Informacin.
rea de Seguridad de la Informacin: ser la encargada de gestionar laproteccin de la informacin y los recursos TIC, implementando las medidasde seguridad que se desprendan de la estrategia y poltica definidas por elComit de Seguridad de la Informacin, y controlando su eficacia para losfines buscados. As mismo, proveer a RRHH los recursos necesarios paraasegurar que todo el personal de Banco reciba la capacitacin adecuada sobrelos procedimientos de seguridad relevantes, y que se brinden los medios yrecursos para cumplir con dichos procedimientos.
Adicionalmente, se definen los siguientes roles relativos al cumplimiento de losrequisitos de la Seguridad de la Informacin:
Propietario: persona a la que, por su cargo y/o responsabilidad, Banco reconocecomo responsable de un recurso TIC determinado.
Su nivel deber ser consistente con la autoridad requerida para evaluar los riesgos alos que est expuesto el recurso TIC, respetar las medidas de proteccin parareducirlos, o para asumir los riesgos que no desee minimizar, dentro de los rangos deriesgos aprobados por el Comit de Seguridad de la Informacin.
Es responsable de establecer el nivel de criticidad y confidencialidad del recurso TICdel que es dueo.
Usuario: persona que accede a informacin y/o utiliza un recurso TIC de Banco en
el desarrollo de su tarea especfica.
Deben firmar su conformidad con las polticas de seguridad de la Entidad, y los estndaresy procedimientos que regulan sus actividades.
4.6. POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN El principal objetivo de la Seguridad de la Informacin es cumplir con los siguientesprincipios:
CONFIDENCIALIDAD: Asegurar que todos sus recursos informticos estnprotegidos contra uso no autorizado o revelaciones accidentales acorde a la
EDCOM Pgina # 38 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
clasificacin otorgada por el origen y la funcin de la misma. Slo las personascalificadas y autorizadas tendrn acceso a la informacin requerida bajo elcriterio de la necesidad de conocer y el principio de otorgar el mnimoprivilegio requerido para la realizacin de las tareas asignadas.
INTEGRIDAD: Tender a la ausencia de errores y/o corrupcin en toda suinformacin y garantizar que la informacin sea exacta, completa y vlida deacuerdo con los valores y las expectativas de Banco, y regulaciones externas.
DISPONIBILIDAD: Minimizar las amenazas de interrupcin del negocio ypreservar la continuidad de la operatoria normal. Por lo tanto debe garantizarque:
- La informacin de alta criticidad sea resguardada; - La capacidad de procesamiento sea recuperada en tiempo y forma.
4.6.1. PRINCIPALES DIRECTIVAS:
Las siguientes directivas regirn la implementacin de la Seguridad de la Informacinen Banco:
Poltica General de Seguridad de la InformacinBanco define que su Poltica General de Seguridad de la Informacin, y todas laspolticas derivadas, estn alineadas al estndar de seguridad ISO 27000, segn lasnecesidades y particularidades de Banco. Esta definicin tambin regir para losestndares especficos y procedimientos apropiadamente detallados queconstituyen el marco completo de cobertura de la seguridad de la informacin deBanco. Organizacin de SeguridadPara la Administracin de la Seguridad de la Informacin, Banco ha definido unaGerencia de Seguridad de la Informacin, la cual reporta directamente a la Gerenciade Riesgo.
As mismo, la Gerencia de Seguridad de la Informacin cuenta con el apoyo del Comitde Seguridad de la Informacin.
4.6.2. CLASIFICACIN Y CONTROL DE ACTIVOS DE INFORMACIN La informacin de negocio de Banco, y todos los recursos TIC relacionados, debern
EDCOM Pgina # 39 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
encontrarse inventariados, tener asignado un Propietario, y debern estar clasificadossegn su nivel de confidencialidad y criticidad para el negocio de Banco.
4.6.3. ADMINISTRACIN DE RIESGOS DE SEGURIDADSe evaluarn los riesgos a los que estn sometidos los activos TIC de Banco. El rea deSeguridad de la Informacin en conjunto con el Propietario del recurso TIC,establecern los riesgos que pueden afectar a dicho recurso, las implicancias de suexposicin, modificacin o acceso no autorizado y cules son las medidas deproteccin que se debern implementar de acuerdo con el anlisis de riesgo efectuado.
4.6.4. COMPETENCIA DEL PERSONAL EN MATERIA DE SEGURIDAD DE LAINFORMACIN
El personal de Banco, ya sea permanente, temporal, o perteneciente a empresasproveedoras de Banco, deber ser informado desde el momento de su ingreso de lasresponsabilidades y derechos en materia de uso y proteccin de los recursos TIC deBanco, se revisar anualmente estas responsabilidades. Se capacitar con y para el finde crear conciencia acerca de la importancia que adquiere este aspecto para la Entidad.
Se realizar un seguimiento del uso que se realiza de los recursos TIC para impedirdaos e interferencias y evitar interrupciones de las actividades de Banco.
4.6.5. SEGURIDAD FSICA Y DE ENTORNO Se proteger adecuadamente todos los recursos TIC y las reas donde estos residen,contra accesos no autorizados y dao intencional o no intencional, implementandomedidas de proteccin acorde con la clasificacin de criticidad, confidencialidad yriesgo otorgada a cada recurso.
4.6.6. ADMINISTRACIN DE EQUIPAMIENTO, OPERACIONES YCOMUNICACIONES
Se deber asegurar la disponibilidad de los equipamientos, la integridad de los procesosoperativos y la seguridad en las comunicaciones para garantizar un correctoprocesamiento de la informacin y resguardar la confidencialidad de la misma. Todaslas comunicaciones electrnicas con el exterior debern prever la encriptacin de losdatos.
EDCOM Pgina # 40 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
4.6.7. CONTROLES DE ACCESOEl acceso a los recursos TIC deber ser restringido de acuerdo con los requerimientosde control establecidos por sus Propietarios y el rea de Seguridad de la Informacin,bajo el criterio de la necesidad de conocer y el principio de mnimo privilegio. Dichoacceso se asegurar a travs de procesos de autenticacin, autorizacin, monitoreo yposterior auditora.
4.6.8. DESARROLLO Y MANTENIMIENTO DE SISTEMAS Los principios de seguridad de la informacin debern ser incorporados a los sistemasaplicativos en todo el ciclo de vida de los mismos, incluyendo los procesos dedesarrollo, prueba, mantenimiento y puesta en produccin de los sistemas aplicativos.
Se debern prevenir prdidas, modificaciones o uso inadecuado de los datos, proyectosy sistemas aplicativos de Banco.
4.6.9. ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO Se deber desarrollar y mantener los planes de recuperacin tecnolgica y continuidadde negocio requeridos por los propietarios de los recursos TIC y el rea de Seguridadde la Informacin, de forma tal de poder responder a eventos no deseados que impactende manera negativa sobre los procesos de negocio crticos para la Entidad.
Conformidad con Leyes, Regulaciones y Normas InternasSe deber garantizar que la utilizacin de los recursos TIC no provoque infracciones oviolaciones de leyes, regulaciones, ni de las obligaciones establecidas por estatutos,normas, reglamentos o contratos vigentes en cada mbito de actuacin.
Asimismo, se deber evaluar y asegurar el cumplimiento de las normas internas(polticas, reglas, estndares, procedimientos) relativos a la Seguridad de laInformacin.
EDCOM Pgina # 41 ESPOL
-
CAPTULO 5ANLISIS Y GESTIN DE
RIESGO
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
5. ANLISIS Y GESTIN DE RIESGOS
5.1. METODOLOGADebido al gran nivel de importancia que tiene la informacin de la banca virtual, seopt por utilizar la metodologa Magerit, ya que permite no solo valorizar los riesgos,sino tambin permitir saber cunto de este valor est en juego y segn ese nivelayudar a proteger la informacin.Con la metodologa Magerit podemos:
Concienciar a los responsables de los sistemas de informacin de laexistencia de riesgos y de la necesidad de atajarlos a tiempo Ofrecer un mtodosistemtico para analizar tales riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener losriesgos bajo control.
Preparar a las partes de que intervienen en la banca virtual de la organizacinfinanciera para: procesos de evaluacin, auditora, certificacin oacreditacin, segn corresponda en cada caso.
5.2. ANLISIS DE GESTIN DE RIESGOEsta etapa proceder a puntuar los activos que posee el banco (Banca Virtual) y en baseaquello a puntuar las amenazas, salvaguardas, estimar los riesgos y el impacto que dichas amenazas producen sobre cada uno de los activos.
El anlisis de riesgos es una aproximacin metdica para determinar el riesgosiguiendo unos pasos pautados:
Determinar los activos relevantes para la Organizacin, su interrelacin ysu valor, en el sentido de qu perjuicio (coste) supondra su degradacin
Determinar a qu amenazas estn expuestos aquellos activos Determinar qu salvaguardas hay dispuestas y cun eficaces son frente al
riesgo. Estimar el impacto, definido como el dao sobre el activo derivado de la
materializacin de la amenaza. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materializacin) de la amenaza.
EDCOM Pgina # 43 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
5.3. IDENTIFICACIN DE ACTIVOSA continuacin se enlistan los activos incluidos en el servicio de estudio del entorno deseguridad de la entidad:
ACTIVOS DESCRIPCIN CARACTERSTICAS CANTIDAD
Transacciones de
banca virtual
Servicios que pueden utilizar
los clientes
del banco
Disponible las 24 horas
del da
7
Transferencias cuentas
propias
Transaccin a travs de
la cual los clientes pueden
transferir dinero entre sus
propias cuentas de la
institucin
Disponible las 24 horas
del da
1
Transferencias terceros
mismo banco, otros
bancos SPI, directo e
internacionales
Transacciones a travs de la
cuales los clientes pueden
transferir dinero a cuentas no
propias del mismo banco, a
otros bancos en batch o en
lnea e incluso a bancos del
extranjero.
Disponible las 24 horas
del da4
Pago de tarjetas de
crdito propias
Transaccin a travs de la cual
los clientes pueden realizar
pagos a sus propias tarjetas de
crdito de la institucin
Disponible las 24 horas
del da1
Pago de tarjetas de
crdito de terceros
mismo banco, otros
bancos SPI, directo e
internacionales.
Transacciones a travs de la
cuales los clientes pueden
realizar pagos a tarjetas de
crdito no propias del mismo
banco, a otros bancos en batch
o en lnea e incluso a bancos
Disponible las 24 horas
del da
4
EDCOM Pgina # 44 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
del extranjero.
Recarga de tarjetas
de crdito
Transaccin a travs de la cual
los clientes pueden realizar
recargas de saldos a tarjetas de
crdito
Disponible las 24 horas
del da1
Servicios de consulta y
pago de servicios
pblicos en lnea y
base local
Transaccin a travs de las
cuales los clientes pueden
consultar y cancelar los
valores de servicios pblicos
(luz, agua, telfono)
Disponible las 24 horas
del da3
Consulta de
central de crdito
Transaccin a travs de la cual
los clientes pueden consultar
el total de sus deudas
registrados en la central de
crdito del Ecuador.
Disponible las 24 horas
del da1
Mensajera electrnica
Servicio para el envo de
notificaciones a los clientes
va correo electrnico
Microsoft Exchange
Server1
Servicios de
Informacin de
Internet
Servicios que sirven para
publicar el sitio transaccional
en la internet
Internet Information
Service 71
Sistema Operativo
Servidor
Componente que administra el
hardware y software de un
equipo
Windows 2003 Server
Edicin Estndar
Motor de Base de
Datos
Software que permite la
creacin y el funcionamiento
SqlServer 2008 Edicin
Profesional
EDCOM Pgina # 45 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
de la base de datos
Antivirus y anti espas
Software para evitar
programas que alteren el
correcto funcionamiento de las
pcs y servidores, y que
prohban el ingreso de cdigos
que puedan espiar las
actividades de un equipo de la
organizacin
Mc-Afee Profesional
versin 4.0 con 200
licencias2
Servidores Windows
BD
Servidores que contienen las
bases de datos SQLServer
Servidores virtualizados
con procesadores
Pentium I7, Memoria
de 8 Gb y 1 Tb de disco
duro con SO Windows
2003 Server.
4
Servidores Windows
FE
Servidores que contienen las
pginas y el servicio de
informacin de internet y otras
aplicaciones para el correcto
funcionamiento de la banca
virtual
Servidores virtualizados
con procesadores
Pentium I7, Memoria
de 8 Gb y 1 Tb de disco
duro con SO Windows
2003 Server.
6
Servidores Unix BD
Servidor que contiene la bases
de datos principales en
ambiente Sybase
Servidor HP fsico
PN:583967001 DL-380
G7 E5640
1
Estaciones de trabajo
(Operadores de centro
de cmputo,
Ingenieros
Administradores de
redes e Infraestructura,
Pcs de los funcionarios del
banco Equipos Dell Optiplex
GX620 Pentium 4 de 3
Ghz en adelante
De 1 a 2 Gb
dependiendo de las
20
EDCOM Pgina # 46 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
Desarrolladores)
actividades
80 Gb en disco duro
Cortafuegos
Hardware y software que
permite la administracin de
permisos de usuarios a travs
de las redes de la organizacin
Uno para administrar la
comunicacin entre la
DMZ y la Red de
Produccin
Uno para administrar la
comunicacin entre la
Red del Banco y
proveedores de
servicios
Uno para administrar la
comunicacin entre las
otras redes internas del
Banco
2
Base de datos de
clientes de banca
virtual
Repositorio de informacin de
los clientes de la banca virtual
Base SqlServer de datos
de clientes de la banca
virtual alojada en el
STOREBBSRV.
1
Base de datos
transaccional de banca
virtual
Repositorio de informacin de
las transacciones realizadas
por los clientes en banca
virtual
Base SqlServer de
transaccionalidad de
clientes en banca virtual
alojada en el
STOREBBSRV.
1
Base de datos de los
maestros de cuentas y
tarjetas de crdito y
dbito
Repositorio de cuentas
corrientes y ahorros, tarjetas
de crdito y tarjetas de dbito.
Base Sybase de
maestros de cuentas de
ahorros, corrientes,
tarjetas de crdito y
4
EDCOM Pgina # 47 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
dbito, alojadas en el
servidor central HP.
Base transaccional de
movimientos de
cuentas
Repositorio de informacin de
las transacciones monetarias
realizadas por los clientes
Base Sybase de
transacciones de
clientes alojada en el
servidor central HP.
1
Bases histricasRepositorios de informacin
histrica de las bases de datos
Base Sybase de
histrico de
movimientos de clientes
alojada en el servidor
central HP.
Base SqlServer de
histrico de
transaccionalidad de
clientes en banca virtual
alojada en el
STOREBBSRV.
2
Respaldos en cintaRespaldos de informacin de
las bases de datos
Cintas HP que guardan
los datos de las bases
con una fidelidad alta
9
Red Local Sistema de comunicaciones
que permite la comunicacin
entre los diferentes equipos de
cmputo de la institucin
Dividida en subredes
de:
Desarrollo de sistemas
Pre-produccin
Produccin interna y
DMZ
Empleados que no
1
EDCOM Pgina # 48 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
pertenecen a tecnologa
administrados por 20
switch de comunicacin
Edificio Matriz
Espacio fsico donde
funcionan las instalaciones de
la institucin y en el que se
encuentra el Centro de
cmputo principal
Ubicado en el centro de
la ciudad, en un edificio
de 5 pisos con sistema
central de climatizacin
y acceso restringido
controlado con
seguridad fsica
(guardias de seguridad
y empleados de reas
restringidas) y
seguridad electrnica
(controles biomtricos:
torniquetes, lectores de
huellas dactilares y
tarjetas de acceso)
1
Centro alterno
Espacio fsico donde que se
encuentra el Centro de
cmputo de contingencia de la
institucin
Ubicado en las afueras
de la ciudad, con un
espacio fsico de 20 m2
y sistema de
climatizacin y acceso
restringido.
1
Operadores de centro
de cmputo,
Ingenieros
Administradores de
redes e Infraestructura,
Desarrolladores
Personal humano que labora
en la institucin y desempean
funciones que estn
implicadas dentro del entorno
de la banca virtual
Ingenieros y Analistas
de Sistemas encargados
del correcto
funcionamiento,
desarrollo de nuevas
transacciones y el
20
EDCOM Pgina # 49 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
mantenimiento de los
componentes de la
banca virtual
Tabla 5-1: Identificacin de Activos
5.4. VALORACIN DE ACTIVOS Las valoraciones para escala cualitativa de Activos sern las siguientes de acuerdo a lautilidad y servicio de cada una.
Muy Alta - MAAlta - AMedia - MBaja - BMuy Baja- MB
EDCOM Pgina # 50 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
Tabla 5-2: Valoracin de Activos
5.5. INTERRELACIN DE LOS ACTIVOS Para el cuadro de las relaciones y dependencias entre los activos se utilizar una nuevacolumna con el fin de identificar por abreviaturas los activos.
EDCOM Pgina # 51 ESPOL
Activo Disponibilidad Confidencialidad e Integridad
Valoracinpromedio
Transacciones de banca virtual MA MA MAMensajera electrnica A MA MAServicios de Informacin deInternet
MA A MA
Sistema Operativo Servidor MA A MAMotor de Base de Datos MA A MAAntivirus y antiespas MA A MAServidores Windows BD MA A MAServidores Windows FE MA A MAServidores Unix BD MA A MAEstaciones de trabajo M M MCortafuegos MA A MABase de datos de clientes debanca virtual
MA MA MA
Base de datos transaccional debanca virtual
MA MA MA
Base de datos de los maestrosde cuentas y tarjetas de crditoy dbito
MA MA MA
Base transaccional demovimientos de cuentas
MA MA MA
Bases histricas MA A MARespaldos en cinta A MA MARed Local M A AEdificio Matriz A MA MACentro alterno A MA MAEmpleados MA MA MA
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
Activo AbreviaturaTransacciones de banca virtual TRX_BV
Mensajera electrnica MSG
Servicios de Informacin de Internet IIS
Sistema Operativo Servidor SO
Motor de Base de Datos M_BD
Antivirus y antiespas ANT
Servidores Windows BD SW_BD
Servidores Windows FE SW_FE
Servidores Unix BD SU_BD
Estaciones de trabajo PCS
Cortafuegos FRW
Base de datos de clientes de banca
virtual
BD_CBV
Base de datos transaccional de banca
virtual
BD_TBV
Base de datos de los maestros de
cuentas y tarjetas de crdito y dbito
BD_MAE
Base transaccional de movimientos de
cuentas
BD_MOV
Bases histricas BD_HIS
Respaldos en cinta BACKUP
Red Local LAN
Edificio Matriz EDIF.
Centro alterno ALT
Empleados RRHH
Tabla 5-3: Abreviatura de Activos
Teniendo en cuenta las dependencias para operar (disponibilidad) y dealmacenamiento de datos (integridad y confidencialidad) se ha determinado lasiguiente matriz de dependencia entre activos:
TRX
_BV
MSG
IIS
SO M_B
DA
NT
SW_B
DSW
_FE
SU_B
DPC
SFR
WB
D_C
BV
BD
_TB
VB
D_M
AE
BD
_MO
VB
D_H
ISB
AC
KU
PLA
NED
IF.
ALT
ALT
RR
HH
RR
HH
TRX_BV X X X X X X X X X X X X X X X X X X X X
MSG X X X X X X X X X X X X X X X
EDCOM Pgina # 52 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
IIS X X X X X
SO X X X X X X X X X X X X X
M_BD X X X X X X X X X X X X X
ANT X X X X X
SW_BD X X X X X X X X X X X X X X X X X
SW_FE X X X X X
SU_BD X X X X X X
PCS X X X X X
FRW X X X X
BD_CBV X X X X X X X
BD_TBV X X X X X X
BD_MAE X X X X X
BD_MOV X X X X X
BD_HIS X X X X X X
BACKUP X X X X X X X X X X
LAN X X X X X X X
EDIF. X X X X X X X X X X X X X X X X X X X X
ALT X X X X
RRHH X X X X
Tabla 5-4: Interrelacin de Activos
EDCOM Pgina # 53 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
5.6. AMENAZASLas amenazas identificadas en trminos de seguridad y disponibilidad del servicio debanca virtual para los activos son las siguientes:
ACTIVOS AMENAZAS
Servicio de banca virtualInconvenientes en produccinAcuerdos legales
Mensajera electrnica Cdigo maliciosoPaso de virus
Servicios de Informacin de Internet Cada del servicio
Sistema Operativo ServidorFalla de softwareFalla de hardwareVirus
Motor de Base de DatosFalla del servicioEspacio en disco
Antivirus Caducidad de las actualizaciones
Servidores Windows BDFallas de hardwareapagones de luzintrusos
Servidores Windows FEFallas de hardwareapagones de luzintrusos
Servidores Unix BDFallas de hardwareapagones de luzintrusos
Estaciones de trabajo (Operadores decentro de cmputo, IngenierosAdministradores de redes eInfraestructura, Desarrolladores)
VirusFalsificacin de identidadesacceso a informacin no debida
CortafuegosVirusfalla de softwarefalla de hardware
Base de datos de clientes de bancavirtual
Robo de informacinacceso a informacin no debida
EDCOM Pgina # 54 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
Base de datos transaccional de bancavirtual
Robo de informacinacceso a informacin no debida
Base de datos de los maestros de cuentasy tarjetas de crdito y dbito
Robo de informacinacceso a informacin no debida
Base transaccional de movimientos decuentas
Robo de informacinacceso a informacin no debida
Bases histricasRobo de informacinacceso a informacin no debida
Respaldos en cintaExtravosDeterioros de las cintas fsicas
Red LocalAcceso no autorizadoCada de la red por hardware
Edificio Matriz Incendio o terremotoCentro alterno Incendio o terremotoOperadores de centro de cmputo,Ingenieros Administradores de redes eInfraestructura, Desarrolladores
Extorsiones por informacin declientes
Tabla 5-5: Amenazas
5.7. VALORACIN DEL IMPACTOLas valoraciones de los impactos que causaren las amenazas identificadas para cadauno de los activos sern las siguientes de acuerdo a la degradacin y violacin deseguridad del servicio de cada una.
Muy Bajo - 1 Bajo - 2 Media - 3 Alto - 4 Muy Alto - 5
Se valorar bajo los siguientes parmetros: Costos de reposicin: adquisicin e instalacin del activo ms el costo de mano
de obra (especializada) invertida en recuperar el valor del activo. Capacidad de operar: confianza de los usuarios y proveedores que se traduce
en una prdida de actividad o en peores condiciones econmicas. Sanciones por incumplimiento de la ley u obligaciones contractuales.
EDCOM Pgina # 55 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
ACTIVOS AMENAZASCosto de
ReposicinCapacidad de
Operar
Valoracinpromedio
del impacto
TRX_BVInconvenientes en
produccin5 5 5
Acuerdos legales 1 5 3
MSGCdigo malicioso 4 4 4
Paso de virus 3 5 4IIS Cada del servicio 5 5 5
SOFalla de software 5 5 5Falla de hardware 5 4 5
Virus 4 4 4
M_BDFalla del servicio 5 5 5Espacio en disco 3 5 4
ANTCaducidad de lasactualizaciones
3 3 3
SW_BDFallas de hardware 5 4 5
apagones de luz 4 4 4Intrusos 5 5 5
SW_FEFallas de hardware 5 4 5
apagones de luz 4 4 4Intrusos 5 5 5
SU_BDFallas de hardware 5 4 5
apagones de luz 4 4 4Intrusos 5 5 5
PCS
Virus 4 3 4Falsificacin de
identidades3 5 4
acceso a informacin nodebida
5 5 5
FRWVirus 5 5 5
falla de software 5 5 5falla de hardware 5 5 5
BD_CBV Robo de informacin 5 5 5
EDCOM Pgina # 56 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
acceso a informacin nodebida
5 5 5
BD_TBVRobo de informacin 5 5 5
acceso a informacin nodebida
5 5 5
BD_MAERobo de informacin 5 5 5
acceso a informacin nodebida
5 5 5
BD_MOVRobo de informacin 5 5 5
acceso a informacin nodebida
5 5 5
BD_HISRobo de informacin 5 5 5
acceso a informacin nodebida
5 5 5
BACKUPExtravos 5 5 5
Deterioros de las cintasfsicas
3 5 4
LANAcceso no autorizado 5 5 5
Cada de la red porhardware
5 5 5
EDIF. Incendio o terremoto 5 5 5ALT Incendio o terremoto 5 5 5
RRHHExtorsiones por
informacin de clientes4 4 4
Tabla 5-6: Valoracin del Impacto
5.8. CONTROLESYa que la base del funcionamiento del negocio de la entidad financiera radica en uso detecnologas y su principal proceso 7 x 24 son las transacciones disponibles para losclientes en la banca virtual, nos fijaremos como meta trazada la de mantener en lnea yfuncionamiento los sistemas que permiten se realice este proceso. Las salvaguardadasexistentes son las siguientes:
EDCOM Pgina # 57 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
ACTIVOS AMENAZAS CONTROL
TRX_BV
Inconvenientesen produccin
Pruebas tcnicas y funcionales en ambiente de desarrollo.Poltica de pases a produccin. Usuarios de dominio o servidores para pases a servidores. Proteccin de inyeccin de cdigo.
Acuerdoslegales
Anlisis de departamento comercial y legal
MSG
Cdigomalicioso
Eliminar servicio SMTP de servidores con IISPermisos hacia el servidor Exchange debidamentedocumentados y autorizados por el rea de SeguridadInformtica
Paso de virusAntivirus actualizados en pcs de usuarios y servidores Administracin de correo interno y externo Depuracin de cuentas de clientes y usuarios internos
IISCada delservicio
Scripts y tareas automticas para restauracin,Implementacin de recicladores de pools aplicativos de lossitios publicados
SO
Falla desoftware
Determinacin de que actualizaciones del SO tener al da ycuales no dependiendo de aplicativos
Falla dehardware
Mantenimientos de hardware y tunning de hardware enhorarios exclusivos
Virus Antivirus actualizados
M_BD
Falla delservicio Planes de mantenimientos
Espacio endisco
Alertas de avisos de espacio en disco
ANTCaducidad de
lasactualizaciones
Sistema de registro de compras de licencias, fechas ycaducidad de antivirus
SW_BD Fallas dehardware
Servidores de contingencia
EDCOM Pgina # 58 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
apagones deluz
UPS
IntrusosDeteccin de comportamientos anormales
SW_FE
Fallas dehardware
Servidores de contingencia
apagones deluz
UPS
Intrusos Deteccin de comportamientos anormales
SU_BD
Fallas dehardware
Servidores de contingencia
apagones deluz
UPS
Intrusos Deteccin de comportamientos anormales
PCS
Virus Servidores de contingenciaFalsificacin
de identidadesUPS
acceso ainformacin no
debidaDeteccin de comportamientos anormales
FRW
VirusAntivirus actualizados
falla desoftware
Procedimiento de configuracin
falla dehardware Firewall de contingencia
BD_CBV
Robo deinformacin
Sensores de usuarios de db conectados
acceso ainformacin no
debidaAsignacin de permisos por usuario
BD_TBV Robo deinformacin
Sensores de usuarios de db conectados
EDCOM Pgina # 59 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
acceso ainformacin no
debidaAsignacin de permisos por usuario
BD_MAE
Robo deinformacin
Sensores de usuarios de db conectados
acceso ainformacin no
debidaAsignacin de permisos por usuario
BD_MOV
Robo deinformacin
Sensores de usuarios de db conectados
acceso ainformacin no
debidaAsignacin de permisos por usuario
BD_HIS
Robo deinformacin
Sensores de usuarios de db conectados
acceso ainformacin no
debidaAsignacin de permisos por usuario
BACKUP
Extravos Respaldo en bitcoraDeterioros de
las cintasfsicas
Temperatura adecuada
LAN
Acceso noautorizado
Monitoreo de trfico de red
Cada de la redpor hardware
Switches de contingencia
EDIF.Incendio oterremoto
Poltica de desastres
ALTIncendio oterremoto
Poltica de desastres
RRHH
Extorsionespor
informacin declientes
Ingeniera Social
Tabla 5-7: Controles
EDCOM Pgina # 60 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
5.9. DETERMINACIN DEL RIESGO
5.9.1. FRECUENCIA DE OCURRENCIA DE LAS AMENAZASPara determinar las probabilidades con la que ocurra un evento que amenace laintegridad de los activos, vamos a utilizar la siguiente escala:
100 = muy frecuente a diario10 = frecuente mensualmente1 = normal una vez al ao1/10 = poco frecuente cada varios aosCabe indicar que la tabla de frecuencias est basada en un anlisis estadstico.
ACTIVOS AMENAZAS FRECUENCIA
TRX_BVInconvenientes en
produccin10
Acuerdos legales 1
MSGCdigo malicioso 100
Paso de virus 100IIS Cada del servicio 1
SOFalla de software 1Falla de hardware 1/10
Virus 10
M_BDFalla del servicio 1Espacio en disco 1
ANTCaducidad de lasactualizaciones
10
SW_BDFallas de hardware 1
apagones de luz 1Intrusos 100
SW_FEFallas de hardware 1
apagones de luz 1Intrusos 100
SU_BDFallas de hardware 1
apagones de luz 1Intrusos 100
PCS Virus 10Falsificacin de identidades 1/10
EDCOM Pgina # 61 ESPOL
-
Proyecto de Graduacin Implementacin de un SGSI usando la norma ISO-27000 sobre un sitio decomercio electrnico para una nueva institucin bancaria aplicando losdominios de control ISO27000:2005 y utilizando la metodologa Magerit
acceso a informacin nodebida
10
FRWVirus 10
falla de software 1falla de hardware 1
BD_CBVRobo de informacin 100
Acceso a informacin nodebida
10
BD_TBVRobo de informacin 100
Acceso a informacin nodebida
10
BD_MAERobo de informacin 100
Acceso a informacin nodebida
10
BD_MOVRobo de informacin 100
Acceso a informacin nodebida
10
BD_HISRobo de informacin 100
Acceso a informacin nodebida
10
BACKUPExtravos 10
Deterioros d