ESCUELA POLITECNICA DEL EJERCITO

1
ESCUELA POLITECNICA DEL EJERCITO

• EVALUACIÓN TÉCNICA DE LA SEGURIDAD INFORMÁTICA
• DEL DATA CENTER DE LA BRIGADA DE FUERZAS
  ESPECIALES NO. 9 PATRIA
• MONSERRATH VITERI

2
ANTECEDENTES

• La Brigada De Fuerzas Especiales No. 9 Patria es
  un ente que pertenece al estado, cuya finalidad
  esencial es formar militares de excelencia para
  salvaguardar al país.
• La brigada de fuerzas No. 9 Patria , se
  encuentra ubicada en la provincia del Cotopaxi,
  actualmente los sistemas que se utilizan se
  encuentran centralizados en la comandancia, el
  área tecnológica esta encargada de dar servicios
  de Soporte a nivel de hardware y software,
  realizar respaldos de Información y administrar
  permisos de usuarios.

3
ANTECEDENTES

• La brigada de Fuerzas Especiales BI-9 Patria,
  para brindar un servicio Informático eficiente y
  administrar los recursos tecnológicos posee un
  datacenter el mismo que cuenta con las normas
  básicas de seguridad informática.

4
AGENDA

• Conceptos de Seguridad Informática
• Norma ISO 27000
• Análisis ISO 27001 vs 27002
• Plan de Investigación de Campo.
• Metodología utilizada en la Evaluación (MAGERIT)
• Aplicación de la Evaluación Técnica de la
  Seguridad Informática (PILAR).
• Informe Ejecutivo y Detallado de la Evaluación
• Conclusiones
• Recomendaciones

5
RESUMEN

• Se utilizo las Normas ISO 27000 para gestionar la
  seguridad Informática.
• Las Normas ISO 27001 y 27002 fue utilizada para
  determinar si existía integridad,
  confidencialidad y disponibilidad de la
  información dentro de la Brigada de Fuerzas
  Especiales No.9 Patria.
• Se aplicó la metodología MAGERIT para analizar y
  gestionar los riesgos.
• Simultáneamente se utilizó la herramienta PILAR
  para controlar y mitigar los riesgos.

6
INTRODUCCIÓN

• Para establecer y gestionar un Sistema de Gestión
  de la Seguridad de la Información en base a ISO
  27001, se utilizó el ciclo de mejora continua
  PDCA.
• ISO/IEC 27002 Es Código de buenas prácticas
  para la gestión de Seguridad de la Información.

7
JUSTIFICACIÓN

• La Brigada de Fuerzas Especiales No.9 Patria,
  se encuentra sometida a peligros naturales así
  como también ocasionados por el hombre, los
  mismos que puede provocar daños a las
  instalaciones y por ende a la información.

8
OBJETIVO GENERAL

• Realizar una Evaluación Técnica Informática de
  las seguridades del Data Center de la Brigada
  Patria en Latacunga, teniendo como marco de
  trabajo los estandares ISO 27001 e ISO 27002.

9
OBJETIVOS ESPECIFICOS

• Desarrollar el plan de trabajo que será
  ejecutado en la Institución.
• Determinar los recursos de TI, la infraestructura
  de la Institución y el periodo que comprende el
  proyecto.
• Definir actividades y cargos del personal
  tecnológico de la Brigada.
• Elaborar el plan de investigación de campo.
• Elaborar y aplicar los instrumentos de
  investigación de campo.
• Elaborar la matriz de riesgo informático de las
  seguridades del Data Center.

10
OBJETIVOS ESPECIFICOS

• Procesar los datos obtenidos en la investigación.
• Elaborar los informes ejecutivo y detallado.

11
ALCANCE

• Realizar la Evaluación Técnica de la Seguridad
  Informática de la Brigada de Fuerzas Especiales
  BI- 9 Patria. Se utilizara las Normas ISO
  27000, 27001 y 27002 para verificar el
  cumplimiento del SGSI.
• La recopilación de la información se utilizó el
  plan de investigación de campo.
• Para obtener los activos de riesgo se aplicó la
  metodología MAGERIT y posteriormente se empleo la
  herramienta PILAR, la misma que proporciono las
  Matrices de Riesgo e Impacto Acumulado.

12
ALCANCE

• Finalmente, con los resultados obtenidos durante
  el estudio de la seguridad informática, se
  procede a diseñar un programa de mejora continua
  con un plan de Seguridad Informática.

13
Conceptos De Auditoria
14
Seguridad Infórmatica

• Protección de la Información contenida en los
  sistemas e instalaciones

15
Auditoria Informática

• Protección de activos e integridad de datos.
• Gestiona la eficacia y eficiencia.

16
ISO 27000

• La familia ISO 27000 son estándares de seguridad
  publicados por la Organización Internacional para
  la Estandarización (ISO) y la Comisión
  Electrotécnica Internacional (IEC), para una gama
  de normas de gestión de la seguridad de la
  información .
• Contiene y garantiza las mejores prácticas
  recomendadas en Seguridad de la información.

17
Norma ISO 27000

• Garantiza la seguridad de la Información
• Proporcionan un marco de gestión de la seguridad
  de la información.

18
ISO 27001

• Define un marco para el establecimiento de
  objetivos y establece las directrices y
  principios de accion en lo referente a seguridad
  de la información
• Tiene en cuenta requerimientos legales, de
  negocio y contractuales
• Se alinea el contexto estrategico de gestión del
  riesgo de la
•  Es la única norma certificable

19
ISO 27002

• Establece la base común para desarrollar normas
  de seguridad dentro de las organizaciones.
• Define diez dominios de control que cubren por
  completo la Gestión de la Seguridad de la
  Información.
• 36 objetivos de control y 127 controles.

20
Elementos de Evaluación

• Organización Del Centro De Cómputo
• Manejo De La Información
• Seguridad Física
• Seguridad Lógica
• Respaldos
• Equipo De Soporte
• Recursos Humanos
• Financiero
• Redes

21
MAGERIT

• MAGERIT es el acrónimo de "Metodología de
  Análisis y Gestión de Riesgos de los Sistemas de
  Información de las Administraciones Públicas"
• Es un método formal para investigar los riesgos
  que soportan los Sistemas de Información  y para
  recomendar las medidas apropiadas que deberían
  adoptarse para controlar estos riesgos.

22
MAGERIT

• Se trata de una metodología para conocer el
  riesgo al que esta sometido una información y
  como de seguro (o inseguro) está.

23
Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información
24
EL MÉTODO (LIBRO I)

• Describe los pasos y las tareas básicas para
  realizar un proyecto de análisis y gestión de
  riesgos, y proporciona una serie de aspectos
  prácticos.

25
EL CATALOGO DE ELEMENTOS (LIBRO II)

• Contiene los ítems se estándar a los que puedan
  adscribirse rápidamente, centrándose en lo
  específico del sistema objeto del análisis.

26
LA GUÍA DE TÉCNICAS (LIBRO III)

• Aporta conocimiento adicional y guías sobre
  algunas técnicas que se emplean habitualmente
  para llevar a cabo proyectos de análisis y
  gestión de riesgos.

27
Valor de Activos
Valor Valor Criterio
10 Muy alto Daño muy grave a la organización
7 9 Alto Daño grave a la organización
4 6 Medio Daño importante a la organización
1 3 Bajo Daño menor a la organización
0 Despreciable Irrelevante a efectos prácticos
28
Herramienta Pilar

• Matriz de Impacto Acumulado

29
Herramienta Pilar

• Matriz de Riesgo Acumulado

30
Hallazgos

• Caída del sistema por agotamiento de recursos
• Suplantación de la identidad del usuario
• Denegación de servicio
• Fuego
• Daños por agua
• Desastres naturales
• Avería de origen físico o lógico
• Corte del suministro eléctrico
• Condiciones inadecuadas de temperatura o humedad
• Abuso de privilegios de acceso
• Acceso no autorizado
• Manipulación del hardware
• Ataque destructive

31
Procesos Críticos

• La Matriz de riesgos Acumulados muestra los
  activos con su respectivo riesgo, en cada
  dimensión de la seguridad como lo son
  Disponibilidad, Integridad, Confidencialidad,
  Autenticidad y trazabilidad.

32
CONCLUSIONES DE LA TESIS

• La metodología MAGERIT y su herramienta PILAR,
  ayudan a realizar el análisis de riesgos de
  tecnologías de información de cualquier
  institución pública o privada. 
• Las normas ISO permitieron conocer de manera
  general como se encuentra actualmente la
  seguridad informática del Centro de datos de la
  Brigada No. 9 Patria.

33
CONCLUSIONES DE LA TESIS

• La seguridad informática permite proteger la
  infraestructura computacional incluyendo la
  información que esta contiene, por lo que debe
  ser implantado con normas internacionales de TI.
   

34
CONCLUSIONES DE LA EVALUACIÓN TECNICA

• Disponen de normas, procedimientos y controles de
  la seguridad que en su mayoría están
  desactualizados
• No existen programas o capacitaciones frecuentes
  de seguridad
• No se ha realizado la clasificación de la
  información de acuerdo a la criticidad

35
RECOMENDACIONES DE LA TESIS

• Se recomienda utilizar la metodología MAGERIT
  para analizar los riesgos dentro de cualquier
  Institución privada o pública que tengan activos
  tangibles e intangibles, integrando el software
  PILAR para trabajar con los parámetros de riesgos
  que sugiere la herramienta como activos, amenazas
  y salvaguardas. 

36
RECOMENDACIONES DE LA TESIS

• Se recomienda manejar las medidas de seguridad
  para que las salvaguardas ayuden a disminuir el
  riesgo y sean transparentes a los usuarios.
• Implementar un manual de procedimientos en caso
  de que los riesgos se materialicen para poder
  tratarlos sin que se vea afectados los activos de
  la Institución.

37

• Registrar y documentar los procesos, las
  actividades y las tareas del personal encargado
  del centro de datos, para de esta manera tener un
  control que ayude a mitigar riesgos de TI
  futuros.

38
RECOMENDACIONES DE LA EVALUACIÓN

• El encargado del Centro de datos debe verificar
  que se actualicen de manera periódica las
  políticas de seguridad
• Implementar o contratar cursos, par que los
  conocimientos adquiridos sean puestos en
  práctica.
• Designar de manera formal al personal encargado
  del Datacenter, para que se haga responsable de
  cada activo.