seguridad informática m.c. juan carlos olivares rojas
TRANSCRIPT
Seguridad Informática
M.C. Juan Carlos Olivares Rojas
Sistema de Gestión de Seguridad de la Información
Riesgos de Seguridad Informática
Riesgos de Seguridad Informática
Pasos Recomendados en una Estrategia
Evaluación de Activos
COBIT
Control Objective for Information & related Technology.
ITIL• IT Infrastructure Library, incluye definiciones de
las mejores prácticas para la gestión de Servicios. La definición se divide en dos volúmenes:
• Soporte de Servicios• Distribución de Servicios
Ejercicio 1• El Hospital “Santa Cecilia”, el cual cuenta con más
de 100 años de operación en la ciudad de Monterrey, cuenta con tres hospitales satélites en donde se atienden urgencias y medicina familiar.
• Desde hace dos años implementó un sistema para sistematizar las historias clínicas de sus pacientes. Al momento llevan un 30% de avance en la captura de esa información, por lo que existe todavía gran cantidad de información en archivos de papel.
Ejercicio 1• El Hospital cuenta con más de 300 equipos de
cómputo conectados a través de su red local, los cuales mantienen estrecha comunicación con el equipo central. Así mismo maneja conexiones con aseguradoras para la transferencia de información referente a trámites de sus pacientes.
• Hace cinco años, el hospital se conectó a Internet, ya que esto facilitaba la comunicación con sus clientes y proveedores.
Ejercicio 1• Existen canales de comunicación tales como el
correo electrónico y mensajería, por donde fluye todo tipo de información (incluyendo la transferencia de archivos).
• A mediados del año pasado lanzó su portal del área de laboratorio y check up, con lo cual sus clientes pueden acceder a sus resultados de laboratorio y enviárselos a su doctor.
Ejercicio 1• Dentro de los planes de expansión, el hospital
está considerando asociarse con la Clínica Mayo con el fin de transferir tecnología y establecer acuerdos de investigación. Actualmente el Hospital cuenta con un Centro de Investigación líder a nivel mundial en Neurocirugía y cuenta con dos investigadores que han ganado premios Nobel por las investigaciones realizadas en este campo. Esto le ha dado una ventaja competitiva a este hospital.
Ejercicio 1• En los próximos meses se empezará a realizar un
reemplazo de equipo de cómputo y se necesita tomar una decisión sobre como disponer del equipo viejo.
• Con base en esta información, tú como especialista en seguridad debes de realizar un estudio de la problemática y realizar recomendaciones.
Ejercicio 1• De acuerdo a tu criterio, lista los activos por
orden de importancia.
• ¿Contra que situaciones protegerías dichos activos?
• ¿Cómo protegerías dichos activos?
• ¿Qué harías con el equipo viejo?
Ejercicio 2• Entre los incidentes más recientes en el Hospital
Santa Cecilia se cuentan los siguientes:
• Se han detectado numerosos equipos a los cuales los empleados le han instalado aplicaciones como “Hotbar” y “Messenger Plus”. Otros tienen instalados utilerías que les permiten ver la temperatura de la ciudad en su desktop. Sin embargo, estas aplicaciones son “shareware” y no están soportadas.
Ejercicio 2• Se han reportado clientes del hospital notificando
la recepción de un mail con una liga que les solicita la actualización de los datos para ingresar al portal del Laboratorio. El hospital nunca ha enviado mensajes de ese tipo.
• Su portal de banca electrónica estuvo sobrecargado durante dos días imposibilitando a sus clientes acceder al mismo.
Ejercicio 2• Existe software no licenciado instalado en los
equipos del hospital.
• Un empleado de sistemas fue despedido y en represalia copió el archivo de contraseñas de acceso al sistema de información de pacientes.
• Se detectó virus en diversos equipos a pesar de contar con software antivirus instalado.
Ejercicio 2• Se han detectado accesos no autorizados a los
sistemas.
• ¿Qué eventos de los explicados en la sesión han afectado al hospital?
• ¿Con base en tu experiencia que harías para corregir esta situación?
Ejercicio 3• Identifica qué principio y activo es el más
importante para cada una de las siguientes organizaciones. Justifica tu respuesta.
• Secretaría de Hacienda • Ejército • Empresa farmacéutica • Amazon.com• Sistema de Escolar de una Universidad
Ejercicio 3• Sistema de emergencias telefónica 066• Su equipo de cómputo personal. • Banco • Carrier de telecomunicaciones. • Coca Cola.
Ejercicio 4• La empresa Alfa-2030 ha estado trabajando en los
últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.
Ejercicio 4• Esta empresa ha experimentado desde hace
meses ciertos incidentes en materia de seguridad de información, que a continuación se describen:
• Recién se ha creado el equipo de seguridad de información de la empresa, sus procesos operativos de Seguridad son incipientes (respaldos de información, manejo de capacidad, controles de acceso lógico, etc.).
Ejercicio 4• La tecnología para proteger la seguridad de
información ha estado poco ausente de hecho este equipo de Seguridad ha iniciado con planes de adquirir tecnologías.
• El presidente de la empresa ha solicitado a un experto en seguridad de información que estime los riesgos para cada una de las siguientes amenazas:
Ejercicio 4• Acceso no autorizado a la información de los
clientes.
• Software malicioso que afecte a los principales sistemas de la empresa
• Denegación de servicios a su portal de Internet
Ejercicio 4• A partir del caso anterior, escriba un reporte
donde determine los riesgos (niveles) para cada una de las amenazas descritas, tendrá que justificar sus respuestas en cuanto a describir las vulnerabilidades y sus impactos.
• De manera adicional, escriba un reporte, donde mencionen al menos 5 controles de Seguridad de información que mitiguen las amenazas descritas en este caso.
Ejercicio 5• La empresa Alfa-2030 ha decidido iniciar con un
programa formal de Seguridad de información como una función importante y su propio presupuesto en la organización, Ricardo Aranguren ha sido nombrado como Director de Seguridad de Información dependiendo en forma directa de la Dirección General, de momento sólo se la ha asignado a tres personas para esta nueva función.
Ejercicio 5• Lo primero que la dirección genera le ha
solicitado al Director de seguridad de información es establecer una política específica del uso del e-mail dado que han ocurrido últimamente incidentes en el mismo tales como virus y gusanos que han causado pérdidas al negocio, además hay personal que al parecer abusa de este servicio haciendo mal uso del mismo.
Ejercicio 5• Escribe un reporte con está política especifica con
un mínimo de 6 párrafos (cuerpo de la política). Asegúrate que este documento contenga estas secciones:
• Antecedentes • Objetivo • Cuerpo del documento • Responsabilidades • Definición de términos
Ejercicio 6• La empresa Alfa-2030 ha estado trabajando en los
últimos años desarrollando servicios on-line de seguros de todo tipo para empresas. Su negocio está basado en transacciones en Internet a través de su portal de Internet donde los clientes realizan todas sus transacciones como contratación de los seguros, pagos electrónicos en línea, renovaciones, reclamaciones, cancelaciones, etc.
Ejercicio 6• El Director general ha solicitado realizar un plan
de trabajo para desarrollar los procedimientos operativos de Seguridad de información para su portal de Internet.
• Se debe realizar un reporte que seleccione la prioridad del desarrollo de los siguientes procedimientos operativos (justifiquen su respuesta):
Ejercicio 6• Procedimientos de respaldos de Información
• Procedimientos de control de acceso lógico a la información
• Procedimientos de control de cambios
• Procedimientos de control de software malicioso
Ejercicio 7• EL Hospital “El Milagro” ha estado desarrollando
actividades en el medio por más de 5 años, el director del Hospital le ha llamado a un equipo especializado en seguridad de información debido a que se ha sentido frustrado por haber invertido mucho dinero en seguridad de información sin tener resultados positivos.
• EL director en una entrevista mencionó lo siguiente (en resumen):
Ejercicio 7• El área de seguridad depende del área de redes
• Al parecer nunca le alcanza al Hospital el dinero que se solicita para inversiones en el área de seguridad.
• Los usuarios de los sistemas de información tienen la impresión que la función de seguridad nunca los ha tomado en cuenta.
Ejercicio 7
• El gasto de inversión en equipos de seguridad como Firewalls, licencias de antivirus, detectores de intrusos, etc. se ha disparado.
• Al parecer estos equipos no han sido efectivos dado que han ocurrido incidentes de Seguridad y no se ha protegido al Hospital de estos impactos causados.
• Hace poco un auditor externo mencionó que no vio ningún procedimiento operativo de seguridad.
Ejercicio 7• El encargado de redes batalla mucho para que le
apruebe los proyectos el Hospital dado que el lenguaje que usa es muy técnico.
• Realizar un comentario que brinde consejos al Director General para poder ir armando la estrategia de la función de Seguridad de Información, favor de justificar sus respuestas.
Ejercicio 7• De manera adicional se deben realizar las
siguientes actividades:
• Visión de seguridad de información (a 5 años) • Misión de seguridad de información • Que dimensión será la más relevante en un
Hospital (Disponibilidad, confidencialidad, Integridad, autenticidad y no repudiación)
• Establecer 5 objetivos de seguridad de información.
Ejercicio 8• Retomando el caso del Hospital Santa Cecilia y de
acuerdo a la información proporcionada en el mismo realiza lo siguiente:
• Escribe una política de seguridad corporativa (Máximo tres párrafos).
• Identifica tres políticas específicas que consideras deben de desarrollarse.
Ejercicio 8• Lista tres recomendaciones que harías a los
empleados del hospital en cuanto a:
• Respaldo de información • Correo electrónico • Manejo de usuarios y contraseñas • Uso de equipo de cómputo.
Ejercicio 9• Para el caso del Hospital Santa Cecilia, se requiere
realizar un análisis de riesgo. Dado que no se cuenta con datos que sustenten un análisis cualitativo, se requiere que realices un análisis cualitativo para los tres principales activos que identifiques. Para ello deberás realizar lo siguiente:
• Identificar los tres principales activos que consideres.
Ejercicio 9• Identificar al menos una vulnerabilidad para cada
uno.• Identificar al menos una posible amenaza para
cada vulnerabilidad.• Estimar la probabilidad de ocurrencia de esa
amenaza (alta, media o baja).• Calcular los riesgos de cada amenaza (Riesgo =
probabilidad x Impacto).• Definir el tratamiento que darás a cada riesgo
(disminuirlo, transferirlo, aceptarlo).
Referencias• Morales, R. (2008) Curso de Seguridad
Informática, SI040001, ITESM.
• González, H. (2008), Curso de Seguridad Informática II, UNID Sede Morelia.
¿Preguntas, dudas y comentarios?