Title: ESCUELA POLITECNICA DEL EJERCITO
1ESCUELA POLITECNICA DEL EJERCITO
- EVALUACIÓN TÉCNICA DE LA SEGURIDAD INFORMÁTICA
- DEL DATA CENTER DE LA BRIGADA DE FUERZAS
ESPECIALES NO. 9 PATRIA - MONSERRATH VITERI
2ANTECEDENTES
- La Brigada De Fuerzas Especiales No. 9 Patria es
un ente que pertenece al estado, cuya finalidad
esencial es formar militares de excelencia para
salvaguardar al país. - La brigada de fuerzas No. 9 Patria , se
encuentra ubicada en la provincia del Cotopaxi,
actualmente los sistemas que se utilizan se
encuentran centralizados en la comandancia, el
área tecnológica esta encargada de dar servicios
de Soporte a nivel de hardware y software,
realizar respaldos de Información y administrar
permisos de usuarios.
3ANTECEDENTES
- La brigada de Fuerzas Especiales BI-9 Patria,
para brindar un servicio Informático eficiente y
administrar los recursos tecnológicos posee un
datacenter el mismo que cuenta con las normas
básicas de seguridad informática.
4AGENDA
- Conceptos de Seguridad Informática
- Norma ISO 27000
- Análisis ISO 27001 vs 27002
- Plan de Investigación de Campo.
- Metodología utilizada en la Evaluación (MAGERIT)
- Aplicación de la Evaluación Técnica de la
Seguridad Informática (PILAR). - Informe Ejecutivo y Detallado de la Evaluación
- Conclusiones
- Recomendaciones
5RESUMEN
- Se utilizo las Normas ISO 27000 para gestionar la
seguridad Informática. - Las Normas ISO 27001 y 27002 fue utilizada para
determinar si existía integridad,
confidencialidad y disponibilidad de la
información dentro de la Brigada de Fuerzas
Especiales No.9 Patria. - Se aplicó la metodología MAGERIT para analizar y
gestionar los riesgos. - Simultáneamente se utilizó la herramienta PILAR
para controlar y mitigar los riesgos.
6INTRODUCCIÓN
- Para establecer y gestionar un Sistema de Gestión
de la Seguridad de la Información en base a ISO
27001, se utilizó el ciclo de mejora continua
PDCA. - ISO/IEC 27002 Es Código de buenas prácticas
para la gestión de Seguridad de la Información.
7JUSTIFICACIÓN
- La Brigada de Fuerzas Especiales No.9 Patria,
se encuentra sometida a peligros naturales así
como también ocasionados por el hombre, los
mismos que puede provocar daños a las
instalaciones y por ende a la información.
8OBJETIVO GENERAL
- Realizar una Evaluación Técnica Informática de
las seguridades del Data Center de la Brigada
Patria en Latacunga, teniendo como marco de
trabajo los estandares ISO 27001 e ISO 27002.
9OBJETIVOS ESPECIFICOS
- Desarrollar el plan de trabajo que será
ejecutado en la Institución. - Determinar los recursos de TI, la infraestructura
de la Institución y el periodo que comprende el
proyecto. - Definir actividades y cargos del personal
tecnológico de la Brigada. - Elaborar el plan de investigación de campo.
- Elaborar y aplicar los instrumentos de
investigación de campo. - Elaborar la matriz de riesgo informático de las
seguridades del Data Center.
10OBJETIVOS ESPECIFICOS
- Procesar los datos obtenidos en la investigación.
- Elaborar los informes ejecutivo y detallado.
11ALCANCE
- Realizar la Evaluación Técnica de la Seguridad
Informática de la Brigada de Fuerzas Especiales
BI- 9 Patria. Se utilizara las Normas ISO
27000, 27001 y 27002 para verificar el
cumplimiento del SGSI. - La recopilación de la información se utilizó el
plan de investigación de campo. - Para obtener los activos de riesgo se aplicó la
metodología MAGERIT y posteriormente se empleo la
herramienta PILAR, la misma que proporciono las
Matrices de Riesgo e Impacto Acumulado.
12ALCANCE
- Finalmente, con los resultados obtenidos durante
el estudio de la seguridad informática, se
procede a diseñar un programa de mejora continua
con un plan de Seguridad Informática.
13Conceptos De Auditoria
14Seguridad Infórmatica
- Protección de la Información contenida en los
sistemas e instalaciones
15Auditoria Informática
- Protección de activos e integridad de datos.
- Gestiona la eficacia y eficiencia.
16ISO 27000
- La familia ISO 27000 son estándares de seguridad
publicados por la Organización Internacional para
la Estandarización (ISO) y la Comisión
Electrotécnica Internacional (IEC), para una gama
de normas de gestión de la seguridad de la
información . - Contiene y garantiza las mejores prácticas
recomendadas en Seguridad de la información.
17Norma ISO 27000
- Garantiza la seguridad de la Información
- Proporcionan un marco de gestión de la seguridad
de la información.
18ISO 27001
- Define un marco para el establecimiento de
objetivos y establece las directrices y
principios de accion en lo referente a seguridad
de la información - Tiene en cuenta requerimientos legales, de
negocio y contractuales - Se alinea el contexto estrategico de gestión del
riesgo de la - Es la única norma certificable
19ISO 27002
- Establece la base común para desarrollar normas
de seguridad dentro de las organizaciones. - Define diez dominios de control que cubren por
completo la Gestión de la Seguridad de la
Información. - 36 objetivos de control y 127 controles.
20Elementos de Evaluación
- Organización Del Centro De Cómputo
- Manejo De La Información
- Seguridad Física
- Seguridad Lógica
- Respaldos
- Equipo De Soporte
- Recursos Humanos
- Financiero
- Redes
21MAGERIT
- MAGERIT es el acrónimo de "Metodología de
Análisis y Gestión de Riesgos de los Sistemas de
Información de las Administraciones Públicas" - Es un método formal para investigar los riesgos
que soportan los Sistemas de Información y para
recomendar las medidas apropiadas que deberían
adoptarse para controlar estos riesgos.
22MAGERIT
- Se trata de una metodología para conocer el
riesgo al que esta sometido una información y
como de seguro (o inseguro) está.
23Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información
24EL MÉTODO (LIBRO I)
- Describe los pasos y las tareas básicas para
realizar un proyecto de análisis y gestión de
riesgos, y proporciona una serie de aspectos
prácticos.
25EL CATALOGO DE ELEMENTOS (LIBRO II)
- Contiene los ítems se estándar a los que puedan
adscribirse rápidamente, centrándose en lo
específico del sistema objeto del análisis.
26LA GUÍA DE TÉCNICAS (LIBRO III)
- Aporta conocimiento adicional y guías sobre
algunas técnicas que se emplean habitualmente
para llevar a cabo proyectos de análisis y
gestión de riesgos.
27Valor de Activos
Valor Valor Criterio
10 Muy alto Daño muy grave a la organización
7 9 Alto Daño grave a la organización
4 6 Medio Daño importante a la organización
1 3 Bajo Daño menor a la organización
0 Despreciable Irrelevante a efectos prácticos
28Herramienta Pilar
- Matriz de Impacto Acumulado
29Herramienta Pilar
- Matriz de Riesgo Acumulado
30Hallazgos
- Caída del sistema por agotamiento de recursos
- Suplantación de la identidad del usuario
- Denegación de servicio
- Fuego
- Daños por agua
- Desastres naturales
- Avería de origen físico o lógico
- Corte del suministro eléctrico
- Condiciones inadecuadas de temperatura o humedad
- Abuso de privilegios de acceso
- Acceso no autorizado
- Manipulación del hardware
- Ataque destructive
31Procesos Críticos
- La Matriz de riesgos Acumulados muestra los
activos con su respectivo riesgo, en cada
dimensión de la seguridad como lo son
Disponibilidad, Integridad, Confidencialidad,
Autenticidad y trazabilidad.
32CONCLUSIONES DE LA TESIS
- La metodología MAGERIT y su herramienta PILAR,
ayudan a realizar el análisis de riesgos de
tecnologías de información de cualquier
institución pública o privada. - Las normas ISO permitieron conocer de manera
general como se encuentra actualmente la
seguridad informática del Centro de datos de la
Brigada No. 9 Patria.
33CONCLUSIONES DE LA TESIS
- La seguridad informática permite proteger la
infraestructura computacional incluyendo la
información que esta contiene, por lo que debe
ser implantado con normas internacionales de TI.
34CONCLUSIONES DE LA EVALUACIÓN TECNICA
- Disponen de normas, procedimientos y controles de
la seguridad que en su mayoría están
desactualizados - No existen programas o capacitaciones frecuentes
de seguridad - No se ha realizado la clasificación de la
información de acuerdo a la criticidad
35RECOMENDACIONES DE LA TESIS
- Se recomienda utilizar la metodología MAGERIT
para analizar los riesgos dentro de cualquier
Institución privada o pública que tengan activos
tangibles e intangibles, integrando el software
PILAR para trabajar con los parámetros de riesgos
que sugiere la herramienta como activos, amenazas
y salvaguardas.
36RECOMENDACIONES DE LA TESIS
- Se recomienda manejar las medidas de seguridad
para que las salvaguardas ayuden a disminuir el
riesgo y sean transparentes a los usuarios. - Implementar un manual de procedimientos en caso
de que los riesgos se materialicen para poder
tratarlos sin que se vea afectados los activos de
la Institución.
37- Registrar y documentar los procesos, las
actividades y las tareas del personal encargado
del centro de datos, para de esta manera tener un
control que ayude a mitigar riesgos de TI
futuros.
38RECOMENDACIONES DE LA EVALUACIÓN
- El encargado del Centro de datos debe verificar
que se actualicen de manera periódica las
políticas de seguridad - Implementar o contratar cursos, par que los
conocimientos adquiridos sean puestos en
práctica. - Designar de manera formal al personal encargado
del Datacenter, para que se haga responsable de
cada activo.