IMPLEMENTACION DEL SISTEMA DE GESTION DE … · los dispositivos de una red, por ellos es que hoy...
Transcript of IMPLEMENTACION DEL SISTEMA DE GESTION DE … · los dispositivos de una red, por ellos es que hoy...
UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
PLAN DE ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTA
2015
IMPLEMENTACION DEL SISTEMA DE GESTION DE SEGURIDAD INFORMATICA EN EL DATACENTER DE MEDUNE-MEDELLIN DE LA
EMPRESA O4IT COLOMBIA, EMPLEANDO EL ESTÁNDAR ISO 27001:2013 PARA LOS EQUIPOS DE RED DE BORDE.
DIANA KATERINE QUIÑONEZ RUIZ
UNIVERSIDAD NACIONAL ABIERTA Y DISTANCIA ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
PLAN DE ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA BOGOTA
2015
IMPLEMENTACION DEL SISTEMA DE GESTION DE SEGURIDAD INFORMATICA EN EL DATACENTER DE MEDUNE-MEDELLIN DE LA
EMPRESA O4IT COLOMBIA, EMPLEANDO EL ESTÁNDAR ISO 27001:2013 PARA LOS EQUIPOS DE RED DE BORDE.
DIANA KATERINE QUIÑONEZ RUIZ
Trabajo de grado presentado como requisito para optar al título de Especialista en Seguridad Informática
DIRECTOR DE PROYECTO MARTIN CAMILO CANCELADO RUIZ
ESPECIALISTA EN SEGURIDAD INFORMÁTICA
Nota de Aceptación _____________________________ _____________________________ _____________________________ _____________________________
__________________________________ Firma del Presidente del jurado
____________________________ Firma del Jurado
____________________________ Firma del Jurado
DEDICATORIA
A la Virgen y a Dios por siempre guiar mis pasos.
A mi esposo por ser ese apoyo incondicional que me impulsa a salir adelante y me lleva de la mano.
A mi hija por ser el motor de nuestras vidas y darle sentido a tantos esfuerzos.
A mi madre que siempre está apoyándome y alentándome en todos mis proyectos.
AGRADECIMIENTOS A la UNAD y a los tutores que me guiaron durante cada materia de la especialización y siempre estuvieron dispuesta a apoyarnos en el proceso. A la empresa O4IT, en cabeza de mi coordinador Jhoan Leandro Gutierrez Diaz y al área de Networking, por guiarme y permitirme emplear sus recursos como apoyo para el proyecto. Al Especialista Jose Fernando Santiago Rodriguez, por compartir sus conocimiento y guiarme durante esta etapa, para cumplir los objetivos.
Tabla de Contenido
INTRODUCCIÓN ............................................................................................................................................ 15
1. PLANTEAMIENTO DEL PROBLEMA ..................................................................................................... 17
1.1. TÍTULO ............................................................................................................................................... 17
1.1.2 Alternativa de grado: .................................................................................................................... 17
1.1.3 Tema u objeto de estudio: ........................................................................................................... 17
1.1.4 Línea de investigación: ................................................................................................................ 17
1.2 JUSTIFICACIÓN ..................................................................................................................................... 17
1.3 PLANTEAMIENTO DEL PROBLEMA .................................................................................................. 18
2. OBJETIVOS............................................................................................................................................ 20
2.1 OBJETIVO GENERAL ........................................................................................................................... 20
2.2 OBJETIVOS ESPECIFICOS ................................................................................................................. 20
3. MARCO REFENCIAL ............................................................................................................................ 21
3.1. MARCO CONCEPTUAL .................................................................................................................. 21
3.1.1 Redes de Datos .................................................................................................................................. 21
3.1.2 Datacenter ............................................................................................................................................ 21
3.1.3 Rack ...................................................................................................................................................... 21
3.1.4 Switches y router ................................................................................................................................. 22
3.1.5 Firewall .................................................................................................................................................. 22
3.1.6 Antivirus ................................................................................................................................................ 22
3.1.7 Sistemas IDS/IPS ................................................................................................................................ 23
3.1.8 Seguridad en Contraseñas ................................................................................................................ 23
3.1.9 Backup de la información ................................................................................................................... 23
3.1.10 Amenazas........................................................................................................................................... 23
3.1.11 Hacker ................................................................................................................................................. 24
3.1.12 Políticas de seguridad ...................................................................................................................... 24
3.1.13 Seguridad perimetral ........................................................................................................................ 24
3.1.14 Spyware .............................................................................................................................................. 24
3.1.15 Malware .............................................................................................................................................. 25
3.2 MARCO TEÓRICO ........................................................................................................................... 25
3.2.1 Sistemas De Gestión de Seguridad de la Información .................................................................. 25
3.2.2 ISO 27000............................................................................................................................................. 27
3.2.3 SOA (Statement of Applicability) ....................................................................................................... 29
3.3 MARCO CONTEXTUAL ................................................................................................................... 29
3.3.1 Ubicación de la Empresa ............................................................................................................ 31
3.3.2 Misión .................................................................................................................................................... 31
3.3.3 Visión ..................................................................................................................................................... 31
3.3.4 Políticas de gestión ............................................................................................................................. 31
4. DISEÑO METODOLÓGICO ................................................................................................................. 32
4.1 PLANEAR ................................................................................................................................................ 32
4.1.1 Estructura de O4IT........................................................................................................................ 32
4.1.2 Estructura datacenter MEDUNE ................................................................................................. 33
4.1.3 Operación logica del datacenter medune ........................................................................................ 34
4.1.4 Inventario Datacenter.......................................................................................................................... 35
4.1.5 Alcance del SGSI ................................................................................................................................ 36
4.1.6 Políticas de seguridad. ....................................................................................................................... 37
4.1.7 Metodología de evaluación de riesgos ............................................................................................. 38
4.1.8 Inventario de activos ........................................................................................................................... 38
4.1.9 Identificar amenazas y vulnerabilidades. ......................................................................................... 39
4.1.10 Análisis y evaluación de riesgos ............................................................................................... 39
4.1.11 Selección de controles y SOA. ........................................................................................................ 40
4.2 HACER................................................................................................................................................ 40
4.2.1 Riesgos y/o vulnerabilidades de la información ....................................................................... 40
4.2.2 Plan de Tratamiento de Riesgos ...................................................................................................... 42
4.2.3 Implantar el plan de tratamiento de riesgos .............................................................................. 43
4.2.4 Implementación de controles ............................................................................................................. 48
4.2.4.1 Router MPLS ..................................................................................................................................... 49
4.2.4.2 Firewall Fortigate VM ........................................................................................................................ 52
4.2.4.3 Firewall Juniper ................................................................................................................................. 62
4.2.4.4 Backup de red de internet ................................................................................................................ 65
4.2.4.5 Capacitaciones .................................................................................................................................. 65
4.2.5 Gestión de Recursos. ......................................................................................................................... 66
4.2.6 Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad................................................................................................................................. 66
4.3 CHEQUEAR ....................................................................................................................................... 71
4.4 ACTUAR ............................................................................................................................................. 72
4.4.1 Condiciones previas a la aplicación de la metodología seleccionada ......................................... 73
4.4.1.1 Plan de auditoria interna ................................................................................................................. 73
4.4.1.2 Aplicación de la metodología seleccionada ................................................................................. 75
5. CONCLUSIONES ...................................................................................................................................... 82
BIBLIOGRAFÍA ............................................................................................................................................... 84
ANEXOS .......................................................................................................................................................... 87
LISTA DE FIGURAS
Figura 1. Riesgos informáticos.............................................................................. 26
Figura 2 Ciclo Deming PDCA................................................................................. 27
Figura 3. Procesos de PDCA ................................................................................. 28 Figura 4. Datacenters O4IT.................................................................................... 33 Figura 5. Datacenter MEDUNE .............................................................................. 33 Figura 6. Operación Lógica Datacenter ................................................................. 34 Figura 7. VDOM ..................................................................................................... 53 Figura 8. Firewall FortiGate VM ............................................................................. 53 Figura 9. Acceso de interfaces Port1 ..................................................................... 54 Figura 10. Acceso de interfaces Port3 ................................................................... 54 Figura 11. Interfaces Port3 Acceso ........................................................................ 55 Figura 12. Acceso Interfaces ................................................................................. 55 Figura 13. Usuarios de acceso .............................................................................. 56 Figura 14. FortiAnalyzer ......................................................................................... 56 Figura 15. VDOM Cloud ......................................................................................... 57 Figura 16. VDOM Coleco ....................................................................................... 57 Figura 17. NAT ....................................................................................................... 58 Figura 18. Políticas de acceso a NAT .................................................................... 58 Figura 19. UTM Fortinet ......................................................................................... 59 Figura 20. Perfiles Web ......................................................................................... 60 Figura 21. Control de aplicaciones Fortinet ........................................................... 60
Figura 22. IPS Protección contra Intrusiones ......................................................... 61 Figura 23. Filtros de correo ................................................................................... 61 Figura 24. Escaneo de vulnerabilidades ................................................................ 61 Figura 25. Firewall Juniper ..................................................................................... 62 Figura 26. Firewall Juniper ..................................................................................... 63 Figura 27. Puertos Juniper ..................................................................................... 63 Figura 28. Opciones de seguridad ......................................................................... 64 Figura 29. Políticas de enrutamiento Juniper ......................................................... 64 Figura 30. Traffic bandwidth Juniper ...................................................................... 65 Figura 31. Clausula 9.2 de norma ISO27001 – auditorías internas ....................... 74
LISTA DE TABLAS
Tabla 1. Riesgos y vulnerabilidades Datacenter Medune ..................................... 41
Tabla 2. Declaración de aplicabilidad SOA ............................................................ 42
Tabla 3. Declaracion de aplicabilidad .................................................................... 43
Tabla 4. Chequeo de riesgos y vulnerabilidades ................................................... 71
Tabla 5. Aspectos Auditoria Interna ....................................................................... 75
Tabla 6. Programa Anual De Auditoria Interna ...................................................... 75
Tabla 7. Informe Auditoria ...................................................................................... 76
Tabla 8. Procedimiento Para Auditoría Interna ...................................................... 76
Tabla 9. Historial De Modificaciones ...................................................................... 77
Tabla 10. Check List - Plan De Auditoria Interna .................................................. 77
LISTA DE ANEXOS
Anexo 1. SOA ........................................................................................................ 87
INTRODUCCIÓN
Con el auge de la tecnología hoy en día, ya el uso de los dispositivos de red no es un lujo sino una necesidad, más aun en el ámbito empresarial, pues el recurso más valioso de un entidad es la información, por esto es que debemos protegerla de individuos que pretendan saquearla, destruirla o corromperla. Día a día más personas profundizan en los métodos de intrusión y hacker, por eso es que debemos analizar las vulnerabilidades, amenazas y riesgos a los cuales están expuestas las redes, debemos observarlos, evaluarlos y atacarlos para minimizar pérdidas importantes. Las áreas de tecnología o seguridad ya no son un área más, son el pilar de la empresa pues sobre ellas recae la gran responsabilidad de cuidar la información y los dispositivos de una red, por ellos es que hoy en día ya cada empresa cuenta con un administrador de redes o seguridad para garantizarla y estos deben estar preparados y capacitados para crear muros de contención ante los ataques externos que diariamente sufren las redes. Las técnicas a emplear para evitar los riesgos es implantar controles, y estos van desde la parte física hasta la técnicas de encriptación y equipos de protección, el hecho que tanta tecnología esté a nuestro alcance hace que cada vez más personas encuentren la forma de ganar dinero fácil y aunque lo creamos la información es el bien más valioso y manejado diariamente. Cada empresa debe contar con un Sistema Gestión de Seguridad de la Información, para fortalecer las barreras de acceso que puedan presentarse, este sistemas también conlleva a capacitar y concientizar a los usuarios para emplear las técnicas básicas de seguridad, como cambiar periódicamente las claves, no brindar a información a terceros, no permitir el ingreso de personas no autorizadas a cuartos de equipos, etc. Según informes y estadísticas, los mayores robos se llevan a cabo a través de la red y esto pasa porque existen personas que diariamente trabajan en cómo acceder a ellas, y muchas veces por no pensar en su importancia estos dejando vulnerables los sistemas informáticos, por esto es que uno de los grandes retos es difundir y
publicar el reglamento acorde a estos delitos para concientizar a los empleado y lograr que contribuyan a la seguridad y estabilidad del sistema y por ende de la empresa. Este documento contiene los elementos que describen el procedimiento y las actividades realizadas durante de la IMPLEMENTACION DEL SGSI EN EL DATACENTER DE MEDUNE-MEDELLIN DE LA EMPRESA O4IT COLOMBIA, EMPLEANDO EL ESTÁNDAR ISO 27001:2013 PARA LOS EQUIPOS DE RED DE BORDE., así como las personas, entidades y equipos que participaron en el desarrollo de la misma.
1. PLANTEAMIENTO DEL PROBLEMA
1.1. TÍTULO
IMPLEMENTACION DEL SGSI EN EL DATACENTER DE MEDUNE-MEDELLIN DE LA EMPRESA O4IT COLOMBIA, EMPLEANDO EL ESTÁNDAR ISO 27001:2013 PARA LOS EQUIPOS DE RED DE BORDE.
1.1.2 Alternativa de grado:
Proyecto de Investigación
1.1.3 Tema u objeto de estudio:
El proyecto está inmerso en el tema de SGSI- Sistema de Gestión de Seguridad de la Información. 1.1.4 Línea de investigación: Cadena Formación de Sistemas, línea Gestión de Sistemas. 1.2 JUSTIFICACIÓN La empresa O4IT Colombia, presta servicios de tecnología en la nube, acompañada de servicios de infraestructura y seguridad informática, su misión es proporcionar el acceso y aprovisionamiento con soporte 7x24x365 a sus clientes para cualquier de sus servicios ya sea desktop now, server now, files now, backup now, network now, UCNow y App now.1 Un Sistema de Gestión de Seguridad Informática, permite “garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías” 2 Teniendo en cuenta que el datacenter aloja, diversos dispositivos tanto de almacenamiento como de comunicación y resguardo de información no solo propia sino de sus clientes, es necesario que la información cuente con los pilares de la seguridad como lo son la confidencialidad, disponibilidad e integridad. 1 http://cloudnow.com/ 2 http://www.iso27000.es/sgsi.html
Y para lograr lo anterior es necesario basarnos en los modelos y estándares de la seguridad informática para así garantizar que los riesgos de la seguridad de la informática sean conocidos, asumidos, gestionados y minimizados por las organizaciones, de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.3 Con la implementación de un Sistema de Gestión de la Seguridad Informática, se definen políticas de riesgos, para luego implementar controles de vulnerabilidades encontradas para garantizar así un nivel de seguridad integral para el datacenter y sus clientes.4
1.3 PLANTEAMIENTO DEL PROBLEMA
La empresa O4IT Colombia, presta servicios de tecnología en la nube, acompañada de productos de infraestructura y seguridad informática, ofreciendo servicios todo-en-uno dirigido a los proveedores de servicios que cubre todos los elementos para crear una exitosa operación de servicio: aprovisionamiento, facturación, apoyo e infraestructura convergen en torno a una solución de un solo punto que permite a las empresas para la constitución y gestión de una nube almacenar con una cartera completa de productos de clase mundial. 5 La empresa cuenta con 3 datacenter actuales, ubicados en Bogotá y Miami, pero debido a la expansión y requerimientos actuales, se implementó un nuevo datacenter para satisfacer las necesidad de los clientes, esta vez ubicado en Medellín, pero debido a su rápida implementación es de importancia evaluar su seguridad de la información, pues no existe un Sistema de Gestión de seguridad de la Información, que establezca unas políticas, normas, reglas y controles que permitan establecer, niveles de acceso y roles dentro de la infraestructura del datacenter.6 Debido a la cantidad de información propia y de clientes que este datacenter ha ido albergando se hace necesaria la implementación de un Sistema de Gestión de Seguridad de la Información, para que la empresa obtenga más control sobre su
3 http: //datateca.unad.edu.co/contenidos/233002/Periodo_2014-2/Entorno_de_conocimiento/MATERIAL_DIDACTICO.pdf 4 https://protejete.wordpress.com/gdr_principal/definicion_si/ 5 http://o4it.com/es/soluciones/cloudnow/ 6 http://o4it.com/es/
infraestructura y les brinde así mayor seguridad de información a sus clientes en cuanto al manejo de la información.
2. OBJETIVOS
2.1 OBJETIVO GENERAL
Implementar un SGSI en el datacenter de Medune-Medellin de la empresa o4it Colombia, empleando el estándar ISO 27001:2013 para los equipos de red de borde.
2.2 OBJETIVOS ESPECIFICOS
Analizar los dispositivos de red de borde encontrados en el datacenter Medune para adicionar y/o reforzar sus sistemas de seguridad y/o protección.
Definir un cuadro de riesgos y/o vulnerabilidades a los que puede ver expuesto los equipos de red de borde en el datacenter.
Implementar controles de seguridad en los equipos de red, que permitan hacer cumplir el estándar ISO 27001:2013
Divulgar el Sistema de Gestión de Seguridad Informática, creando un nivel de conciencia de seguridad en los colaboradores de la empresa.
3. MARCO REFENCIAL
3.1. MARCO CONCEPTUAL
De acuerdo al ámbito del proyecto este requiere definir ciertos conceptos y parámetros para lograr la implementación de su seguridad:
3.1.1 Redes de Datos
Se conoce como red de datos a la infraestructura cuyo diseño posibilita la transmisión de información a través del intercambio de datos. Cada una de estas redes ha sido diseñada específicamente para satisfacer sus objetivos, con una arquitectura determinada para facilitar el intercambio de los contenidos.7
3.1.2 Datacenter
Es un edificio o parte de un edificio cuya principal función consiste en albergar una sala de informática y sus áreas de soporte. Es una Infraestructura compuesta por: • Espacio físico para instalación de equipos informáticos de clientes, con adecuados Sistemas de energía, aire acondicionado y seguridad • Conectividad Internet y Privada • Servicios de operación y supervisión de todos los componentes Aspectos Técnicos La norma TIA 942, que tiene por objetivo unificar criterios en el diseño de áreas de tecnología y comunicaciones. – Estandarizar el diseño de los distintos subsistemas que componen el Data Center – Formalizar la disponibilidad teórica del Data Center Establece cuatro niveles (Tiers), en función de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99.995%.8
3.1.3 Rack
Es un soporte metálico destinado a alojar equipamiento electrónico, informático y de comunicaciones. Las medidas para la anchura están normalizadas para que
7 http://definicion.de/red-de-datos/#ixzz3WAD8iwQu 8 http://www.antel.com.uy/wps/wcm/connect/11d15900496ba5459bbc9f7c46b5f36a/Charla-datacenter.pdf?MOD=AJPERES
sean compatibles con equipamiento de cualquier fabricante. También son llamados bastidores, cabinas, cabinets o armarios.9
3.1.4 Switches y router
Switch y Routers son nombres dados a dispositivos de hardware que posibilitan la conexión de computadoras a redes. El switch es un aparato muy semejante al hub, pero tiene una gran diferencia: los datos provenientes de la computadora de origen solamente son enviados a la computadora de destino. Esto se debe a que los switchs crean una especie de canal de comunicación exclusiva entre el origen y el destino. De esta forma, la red no queda "limitada" a una única computadora en el envío de información. El router es un dispositivo utilizado en redes de mayor porte. Es más " inteligente" que el switch, pues, además de cumplir la misma función, también tiene la capacidad de escoger la mejor ruta que un determinado paquete de datos debe seguir para llegar a su destino. Es como si la red fuera una ciudad grande y el router elige el camino más corto y menos congestionado.10
3.1.5 Firewall
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red:
una interfaz para la red protegida (red interna)
una interfaz para la red externa. Un firewall puede ayudar a impedir que hackers o software malintencionado (como gusanos) obtengan acceso al equipo a través de una red o de Internet. Un firewall también puede ayudar a impedir que el equipo envíe software malintencionado a otros equipos.11
3.1.6 Antivirus
Se denomina antivirus a un software utilizado para eliminar programas elaborados con intención destructiva. Así, los antivirus surgieron como una solución a la
9 http://sistemasencomunicaciones.blogspot.com/ 10 http://www.informatica-hoy.com.ar/redes/Diferencias-entre-Hub-Switch-y-Router.php 11 http://windows.microsoft.com/es-xl/windows/what-is-firewall#1TC=windows-7
proliferación de software malicioso cuando el uso de computadoras personales comenzó a masificarse y con ello surgió todo un nuevo mercado.12
3.1.7 Sistemas IDS/IPS
En un momento determinado los sistemas de detección de intrusiones (IDS) y los sistemas de prevención de intrusiones (IPS) fueron “la respuesta” a los problemas de ataques al entorno de la empresa. Posteriormente estas tecnologías IPS/IDS fueron identificadas como anticuadas, ineficaces y fuera de uso. La verdad está entre los dos extremos. Y es que en realidad la tecnología IPS/IDS es un componente clave del sistema de detección de ataques y vulnerabilidades, que trabaja junto con otros controles en la seguridad de la empresa.13
3.1.8 Seguridad en Contraseñas
Las contraseñas son el método principal para verificar la identidad de los usuarios. Por esta razón la seguridad de las contraseñas es de suma importancia para la protección del usuario, la estación de trabajo y la red. La seguridad de una contraseña depende de los diferentes tipos de caracteres que use, de la longitud de la contraseña y de si la contraseña se puede encontrar en un diccionario.14
3.1.9 Backup de la información
Los sistemas de respaldo (Backup) y los sistemas redundantes son dos técnicas para proteger los datos contra pérdida por borrado accidental o desastres fortuitos, ambos sistemas son complementarios en cuanto a la seguridad que ofrecen ya que tanto los respaldos como la redundancia por si solos tienen problemas.15
3.1.10 Amenazas
Se puede definir como amenaza a todo elemento o acción capaz de atentar contra la seguridad de la información. Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e independientemente de que se comprometa o no la seguridad de un sistema de información. Las amenazas pueden clasificarse en dos tipos Intencionales, en caso de que deliberadamente se intente producir un daño y No intencionales, en donde se
12 http://definicion.mx/antivirus/#ixzz3WAEjAyin 13 http://searchdatacenter.techtarget.com/es/consejo/Tecnologias-IPS-IDS-cambios-e-innovaciones 14 http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html 15 http://exa.unne.edu.ar/informatica/SO/Monogrgaby.pdf
producen acciones u omisiones de acciones que si bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden producir un daño.16
3.1.11 Hacker
Del inglés hack, hachar. Término utilizado para llamar a una persona con grandes conocimientos en informática y telecomunicaciones y que los utiliza con un determinado objetivo. Este objetivo puede o no ser maligno o ilegal. La acción de usar sus conocimientos se denomina hacking o hackeo. El término "hacker" suele tener una connotación despectiva o negativa, pues se relaciona a tareas ilegales. Es más propio llamar piratas informáticos a aquellos hackers que realizan acciones malignas con sus conocimientos.17
3.1.12 Políticas de seguridad
Las políticas de seguridad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas.18
3.1.13 Seguridad perimetral
La seguridad perimetral corresponde a la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles. Entre estos sistemas destacan los radares tácticos, videosensores, vallas sensorizadas, cables sensores, barreras de microondas e infrarrojos, concertinas, etc.19
3.1.14 Spyware
(Software espía). Cualquier aplicación informática que recolecta información valiosa de la computadora desde donde está operando. Es un tipo de malware que por lo general se introduce y opera en las PCs sin que el usuario lo advierta. También hay espías que entran en las computadoras cuando el usuario acepta las condiciones
16 http://www.seguridadinformatica.unlu.edu.ar/?q=node/12 17 http://www.alegsa.com.ar/Dic/hacker.ph 18 http://www.gestionintegral.com.co/wp-content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-
2013-GI.pdf 19 http://es.wikipedia.org/wiki/Seguridad_perimetral
de uso de un programa al instalarlo, por lo general ese texto es obviado en la instalación.20
3.1.15 Malware
(Programa maligno). Cualquier programa creado con intenciones de molestar, dañar o sacar provecho en las computadoras infectadas. En general, es fácil determinar si un programa es (o contiene) un malware: sus actividades son ocultas y no son anunciadas al usuario. Pero existen casos en que la distinción no es clara, provocando hasta demandas por parte de los desarrolladores de estos programas a los antivirus y anti-espías que los detectan como malignos.21
3.2 MARCO TEÓRICO
3.2.1 Sistemas De Gestión de Seguridad de la Información
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.22 Los fundamentos o pilares de la seguridad informatica son:
Confidencialidad: la información debe ser resguardada y no debe estar a disposición de los usuarios o individuaos sin los debidos permisos de acceso.
Integridad: es vital que la información siempre este integra de acuerdo a su exactitud, procedimientos y métodos.
Disponibilidad: Se debe tener acceso a la información y a los sistemas de tratamiento y uso de parte de los usuarios, entidades o procesos autorizados en caso de requerirlo.
En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la
20 http://www.cibanco.com/consejosSeguridad_10.html 21 http://www.alegsa.com.ar/Dic/malware.php 22 http://www.iso27000.es/sgsi.html
organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI. Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.23 Para alcanzar un nivel de seguridad de acuerdo a los medios técnicos en la gestión de la seguridad deben tomar parte activa toda la organización, con área de gerencia al frente, tomando en consideración a clientes y proveedores de bienes y servicios. En el modelo de gestión de la seguridad deben estar incluidos procedimientos, planificación e implementación de controles de seguridad basados en una evaluación de riesgos y vulnerabilidades. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer y crear políticas y procesos en relación a los objetivos de la organización, con el objetivo de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
Figura 1. Riesgos informáticos.
Fuente: http://www.iso27000.es/
23 http://www.iso27000.es/sgsi.html
3.2.2 ISO 27000
Se creó teniendo en cuenta un proceso de seguridad de la información basado en el famoso ciclo de Deming ciclo de mejora continua o ciclo PDCA (por las iniciales de Plan, Do, Check y Act), en español Planear, Hacer, chequear y actuar, creando con ello lo que se llamó el Sistema de Gestión de la Seguridad de la Información. Es el estándar para la seguridad de la información ISO/IEC 27001 especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).24
Figura 2 Ciclo Deming PDCA
Fuente: http://www.iso27000.es/
Abarca: Organización de la seguridad de la información.
Política de seguridad.
Gestión de activos
Control de acceso
Seguridad de los recursos humanos
Cumplimiento.
Seguridad física y del entorno.
Adquisición, desarrollo y mantenimiento de los sistemas de información.
Gestión de las comunicaciones y operaciones.
Gestión de la continuidad del negocio.
Gestión de incidentes de seguridad de la información.
24 http://www.pdcahome.com/5202/ciclo-pdca/
FFigura 3. Procesos de PDCA
Fuente: http://www.iso27000.es/
Las actividades más relevantes son:
Implicación de la Dirección.
Alcance del SGSI y política de seguridad.
Inventario de todos los activos de información.
Metodología de evaluación del riesgo.
Identificación de amenazas, vulnerabilidades e impactos.
Análisis y evaluación de riesgos.
Selección de controles para el tratamiento de riesgos.
Aprobación por parte de la dirección del riesgo residual.
Declaración de aplicabilidad.
Plan de tratamiento de riesgos
Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
Monitorización constante y registro de todas las incidencias.
Realización de auditorías internas.
Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
Mejora continua del SGSI.25
3.2.3 SOA (Statement of Applicability)
Se trata de un documento que enlista los controles de seguridad establecidos en el Anexo A del estándar ISO/IEC 27001 (un conjunto de 114 controles agrupados en 35 objetivos de control, en la versión de 2013 de esta norma de seguridad). El Anexo A suele ser utilizado como una referencia para la implementación de medidas de protección de la información, así como para comprobar que no se están dejando de lado medidas de seguridad necesarias que no habían sido consideradas dentro de una organización. Los propósitos que se desean alcanzar a través de la implementación de controles (es decir, objetivos de control), se encuentran incluidos de manera implícita en los controles seleccionados. Sin embargo, es importante mencionar que un SoA no está limitado a los que se encuentran listados en el anexo, por lo cual pueden ser utilizados otros controles y objetivos de control si se considera necesario.26
3.3 MARCO CONTEXTUAL O4IT es una empresa que ofrece todo-en-uno dirigido a los proveedores de servicios que cubre todos los elementos para crear una exitosa operación de servicio: aprovisionamiento, facturación, apoyo e infraestructura convergen en torno a una 25 http://www.iso27000.es/ 26 http://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-aplicabilidad-soa/
solución de un solo punto que permite a las empresas para la constitución y gestión de una nube almacenar con una cartera completa de productos de clase mundial. Marketing, herramientas de ventas, datos técnicos y soporte dedicado también son parte del paquete.27 Sus productos son:
Cloud Desktop Now: Imagina abrir una hoja de cálculo en la computadora portátil de su oficina y editarlo justo donde lo dejaste en tu tablet más tarde en una habitación de hotel en otra ciudad; la creación de una nueva rama entera de su empresa en cuestión de horas, todo esto es posible a través de Cloud Desktop No, nuestro servicio de escritorio virtualizado.28
Cloud Server Now: Infraestructura del servidor en la demanda desde la nube. Utilice su propio software y configurar entornos de TI en minutos con esta solución segura, escalable y de gran alcance.29
Cloud File Now: La solución de sincronización de archivos cierto para la empresa; los usuarios pueden acceder a sus archivos cifrados con seguridad por todas partes, mientras que los administradores de sistemas gozan de auditoría ampliada y gestión de capacidades.30
Backup Now: Asegure el activo más importante de su empresa, sus datos; CloudNow combina la fuerza de una solución de copia de seguridad de clase mundial con la flexibilidad y la facilidad de uso de la nube.31
Network Now: Proteja su red con esta solución que combina firewall, la gestión del tráfico de datos, y la protección anti-virus; que se puede implementar en sus instalaciones o directamente desde la nube.32
Cloud App Now: Una solución de virtualización de software robusta combinada con una tienda completa de productos de terceros, CloudApp Ahora es el mejor de ambos mundos para empresas y desarrolladores de software.33
27 http://o4it.com/es/ 28 http://cloudnow.com/clouddesktopnow/ 29 http://cloudnow.com/cloudservernow/ 30 http://cloudnow.com/cloudfilesnow/ 31 http://cloudnow.com/backupnow/ 32 http://cloudnow.com/networknow/ 33 http://cloudnow.com/products/
3.3.1 Ubicación de la Empresa
O4IT Colombia con una sede central situada en la ciudad de Bogotá, en la dirección Carrera 7 #74-56, en la oficina 202. Dirección Web: http://o4it.com/ 3.3.2 Misión
O4IT es una empresa con desempeño en el segmento de Tecnologías de la Información y Comunicaciones que desarrolla y provee soluciones integrales de telecomunicación a compañías, haciendo uso de tecnología de punta de forma rentable, y orientada a satisfacer las necesidades y crecimiento de nuestros clientes.
3.3.3 Visión
En el 2017 O4IT será en el 2016 el proveedor líder de servicios de comunicación basados en tecnología de punta para compañías con presencia en múltiples países de Latinoamérica, mediante el diseño de soluciones integrales y la prestación de soporte especializado y continuo.
3.3.4 Políticas de gestión
O4IT Colombia es una empresa con desempeño en el segmento de las TIC´S que desarrolla y provee soluciones integrales de comunicación a compañías con presencia en América. Estamos comprometidos con: • La prestación del servicio y el soporte para potenciar los negocios de nuestros clientes y su satisfacción. • El desarrollo de las competencias de nuestros colaboradores. • La protección de la confidencialidad, integridad y disponibilidad de la información que hace parte del componente de seguridad del sistema de gestión integral. • El mejoramiento continuo del sistema de gestión integral enfocado hacia los aspectos estratégicos de calidad y seguridad de la información que impulsan el negocio.
4. DISEÑO METODOLÓGICO
Para lograr la implementación de un SGSI, es necesario llevar a cabo unos pasos, acciones y/o actividades del ciclo PDCA de acuerdo a ISO 27001/2013, para definir paso a paso la creación del sistema.
4.1 PLANEAR
La planificación busca las actividades susceptibles de mejora para establecer los objetivos a alcanzar. Para buscar posibles mejoras se pueden realizar grupos de trabajo, escuchar las opiniones de los trabajadores, buscar nuevas tecnologías mejores a las que se están usando ahora, entre otras.34 Como primera medida es necesario la evaluación de los diagramas físicos y lógicos de la infraestructura existente en el datacenter. De esta forma podremos analizar que hay, que existe y concluir de ahí a donde pretendemos llegar. El análisis de información es el primer paso para la adquisición de los conocimientos existentes en distintas fuentes de información, y este va desde la recopilación y lectura de textos hasta la interpretación para obtener informes o resultados.
4.1.1 Estructura de O4IT
La empresa cuenta con 4 datacenter como se puede observar en la figura 4. Dos de ellos están ubicados en Estados Unidos (NAP – XO) y dos en Colombia (Terremark – Medune), con los cuales brinda servicios de plataforma a los clientes.
34 http://www.pdcahome.com/5202/ciclo-pdca/
Figura 4. Datacenters O4IT
Fuente: O4IT Colombia
4.1.2 Estructura datacenter MEDUNE
En la siguiente figura 5, se observa la estructura del datacenter Medune y sus equipos de Borde a evaluar.
Figura 5. Datacenter MEDUNE
Fuente: O4IT Colombia
Como podemos observar el datacenter de Medune cuenta con los siguientes dispositivos de borde: Equipo Función Router Equipo de borde MPLS Firewall FortiVM Encargado de la gestión e integración de plataformas de
los clientes. Firewall Juniper Encargado del enrutamiento del Internet Switches De interconexión y que distribuyen las redes del cliente.
4.1.3 Operación logica del datacenter medune
Figura 6. Operación Lógica Datacenter
Fuente: O4IT Colombia
Una vez evaluados los diagramas del datacenter es importante evaluar ahora los dispositivos encontrados y sus sistemas de seguridad y/o protección. Y así establecer a nivel de hardware y software la seguridad que mínima según estándares y normas que debe tener un datacenter para cumplir sus objetivos.
4.1.4 Inventario Datacenter
El datacenter cuenta con un documento en el cual se encuentran detallados los equipos del datacenter, mencionando el inventario de hardware de red el cual será tema de estudio. Introduction This document has as an objective to give a brief about the architecture, operation, initial access and start operation of the MEDUNE Datacenter. Environment Inventory
1. 1 “Rack APC Net shelter SX AP 3100”
2. 2 “APC PDU AP8841”
3. 1 “APC ATS AP7721”
Power Computing Hardware Inventory
1. 2 “Cisco Chassis Cisco 5108 + 4 PSU + 8 Fan + 2 I/O Modules 2204”
2. 4 “Cisco B200 M2 blade servers + Vic 1280 + 2 Xeon E5 5640 + 24 GB”
3. 2 Cisco Fiber Interconnects 6120XP
Storage Hardware Inventory
1. 2 “Netapp V3250 AE + Data Ontap Essentials +4 Ports 10Gbe + 4 Ports FC 8Gb + Flexclone
+ FCP + Flexscale + Multistore + NFS + A-SIS + Nearstore”
2. 1 “Netapp Shelf DS4486 3TB 7.2K X 48HDD”
Network Hardware Inventory 3. 2 “Juniper Networks Firewall SSG320M + 1 GB ram”
4. 2 “Brocade VDX 6730 + 10 Gbic Ethernet + 4 SPF+ Fiber LC”
5. 1 “Firewall Fortinet FGTVM01 + Security Bundle Software”
6. 1 “Cisco Router 2851”
Backup Hardware Inventory 1. EMC VNXe 4.0 TB NAS
Available Resources Description Total Available Ram: 96 GB x 85% Processing: 85 GHZ x 85% Storage 7.2k: 134 TB x 60% Backup: 4 TB x 85%
4.1.5 Alcance del SGSI
La investigación se centra en la evaluación de los riesgos encontrados en los equipos de red de borde del Datacenter de Medune de O4IT, parte del diagnóstico realizado de la infraestructura, describiendo y evaluando los riesgos y/o vulnerabilidades de la información a los que puede ver expuestos los equipos de red del datacenter. Y de esta manera analizar y estudiar cada una de estas vulnerabilidades para darles una completa solución. Descripción de la organización O4IT es una empresa que ofrece todo-en-uno dirigido a los proveedores de servicios que cubre todos los elementos para crear una exitosa operación de servicio: aprovisionamiento, facturación, apoyo e infraestructura convergen en torno a una solución de un solo punto que permite a las empresas para la constitución y gestión de una nube almacenar con una cartera completa de productos de clase mundial.35 Descripción funcional del negocio O4IT Colombia es una empresa con desempeño en el segmento de las TIC´S que desarrolla y provee soluciones integrales de comunicación a compañías con presencia en América. Descripción de localización y distribución geográfica Nos centraremos en el análisis y evaluación de seguridad de los equipos de borde de red en el datacenter Medune ubicado en la ciudad de Medellín. Procesos de negocio incluidos en el alcance De los servicios ofrecidos por la empresa nos centraremos en el análisis de su servicio de Network Now y su Network Hardware Inventory, con el cual protegen su red y la red de sus clientes, esta solución combina firewall, la gestión del tráfico de datos, y la protección anti-virus; que se puede implementar en sus instalaciones o directamente desde la nube. Sistemas de Información incluidos en el alcance Los equipos de borde en el datacenter son: Cantidad Descripción
2 Juniper Networks Firewall SSG320M + 1 GB ram 2 Brocade VDX 6730 + 10 Gbic Ethernet + 4 SPF+ Fiber LC 1 Firewall Fortinet FGTVM01 + Security Bundle Software 1 Cisco Router 2851
35 http://o4it.com/es/soluciones/cloudnow/
Planificación del proyecto El proyecto se organizará en los siguientes grupos: · Comité de seguimiento: Constituido por el Jefe de infraestructura, el coordinador
del área de networking, y el jefe de proyecto. · Jefe de proyecto: Katerine Quiñonez · Equipo de proyecto: Katerine Quiñonez
Leandro Gutiérrez Oscar Pérez Jorge David Saba David Martínez
Lanzamiento del proyecto: Divulgación del Sistema de Gestión de seguridad Informática a cargo de Katerine Quiñonez.
4.1.6 Políticas de seguridad.
Los siguientes controles se aplicarán de acuerdo al análisis de riesgos de la norma ISO 27001/2013 en su metodología PDCA.
– Se levantará y recopilará la información en función del entorno a analizar.
– Se asignarán las personas y comités para el análisis del sistema de gestión.
– Se definirán recursos necesarios para los procesos del proyecto.
– Se elegirán las técnicas principales de evaluación de riesgo a utilizar.
– Se evaluaran los requisitos de formación en seguridad
– Análisis en prevención y detección de virus y otro software malicioso
– Consecuencias de las violaciones de la política de seguridad
– Revisión de requisitos de uso de los Sistemas de Información como gestión de contraseñas, acceso a internet, uso de e-mail
– Análisis de Controles técnicos
– Evaluación de gestión de la continuidad del negocio
– Se realizarán campañas informativas de sensibilización a los afectados internos sobre las finalidades y requerimientos en su participación.36
4.1.7 Metodología de evaluación de riesgos
La metodología para la evaluación de riesgos consta de los siguientes pasos:
– Supervisión y control de los cambios significativos en la protección de activos.
– Revisión y seguimiento de incidencias
– Controles de cambio de software
– Controles de versión
– Seguridad de redes y telecomunicaciones
– Seguridad de Sistemas operativos
– Seguridad de Firewalls
– Respuesta ante incidentes
– Seguridad de Intranet
– Cifrado de datos
4.1.8 Inventario de activos
Los activos se agrupan en las siguientes categorías: Activos de información: Base de datos de la empresa, documentación del
datacenter Medune, procedimientos operativos o de soporte y planes de continuidad.
Activos de software: Herramientas de monitoreo y escaneo.
36 http://www.mailxmail.com/curso-implantacion-sistema-gestion-seguridad
Archivos físicos: Equipo portátil para ejecución y procesamiento de los
datos, routers, switches y firewall`s de borde.
4.1.9 Identificar amenazas y vulnerabilidades.
Para efectuar el análisis de riesgos de los equipos de red del datacenter Medune, se debe instaurar una gestión del riesgo realizando las siguientes acciones.
– Verificación del nivel de confianza de los controles existentes.
– Verificación de riesgos y tipos de atacantes al sistema.
– Identificación de riesgos del sistema.
– Análisis del diseño de seguridad.
4.1.10 Análisis y evaluación de riesgos
Para el análisis de riesgos se verificaran los siguientes componentes:
– Diseño y una arquitectura global de seguridad.
– Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001:2013 para el tratamiento del riesgo en respuesta a las amenazas evaluadas.
– Valoración del nivel actual de los controles.
– La identificación y definición de acciones con su prioridad respectiva con
objeto de implantar seguridad.
– Un plan de trabajo detallado para la implantación de los controles, incluyendo prioridades, presupuesto y calendarios.
– Los requisitos para el desarrollo de los procedimientos de operación y
administración de la seguridad a través de control de cambios.37
37 http://www.mailxmail.com/curso-implantacion-sistema-gestion-seguridad/identificar-valorar-riesgos-plan-gestion-riesgo
4.1.11 Selección de controles y SOA.
Se definir la declaración de aplicabilidad también llamada SOA (Statement of Applicability) que incluye:
– Los objetivos de control y controles seleccionados y los motivos para su elección.
– Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.38
4.2 HACER
En esta etapa del ciclo se realizan los cambios para implementar la mejora propuesta en este caso para la seguridad de los equipos de borde del datacenter Medune. 4.2.1 Riesgos y/o vulnerabilidades de la información
Teniendo en cuenta las evaluaciones de los equipos de red de borde del datacenter Medune, debemos establecer un cuadro de riesgos y/o vulnerabilidades a los que puede ver expuesto la información. Y de esta manera analizar y estudiar cada una de estas vulnerabilidades para darles una completa solución. En la tabla 1 a continuación se describen las amenazas que más probablemente impactan al Datacenter de Medune y los componentes del sistema y su administración.
38 http://www.iso27000.es/sgsi_implantar.html
Tabla 1. Riesgos y vulnerabilidades Datacenter Medune
Fuente: El autor
RIESGOS Y VULNERABILIDADES
Probabilidad de amenaza Alta Media Baja
Uso de dispositivos de almacenamientos externos en los
equipos de cómputo de los usuarios de O4IT.
X
Falta de Backup de Datos e Información X
Poca configuración de las políticas de seguridad del
Sistema.
X
Dispositivos sin modo High Avalaible (Alta disponibilidad) X
Control de Acceso a los equipo de comunicaciones sin
registro de usuario por Radius.
X
Claves en texto plano de equipos de cómputo. X
Seguridad a las contraseñas de los usuarios sin
aplicación de políticas
X
Débil configuración de los equipos de comunicación
switches y router.
X
Sin bloqueos de puertos de acceso en los equipo. X
Falta de bloqueo de servicios de entrada y salida de las
políticas de enrutamiento.
X
Faltan de evaluación periódica de los equipos en cuanto a
actualizaciones de firmware y S.O
X
Políticas en los equipos sin etiquetado y señalización. X
Débil cconfiguración de perfiles web X
Falta de configuración de control de aplicaciones X
Sin implementación de configuración de IPS X
Sin instalación de cconfiguración de Email Filter X
Nula delimitación de puertos y servicios en
configuraciones NAT
X
Pocas intervenciones de capacitación y actualización de
los Administrativos y Funcionarios en políticas de
Seguridad Informática.
X
Sin roles de acceso a los equipos. X
Falta de Backup de red de internet X
4.2.2 Plan de Tratamiento de Riesgos
Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información. A continuación se elabora una declaración de aplicación SOA del anexo A de la norma ISO 27001; teniendo en cuenta algunos aspectos que pueden ser aplicados en el tratamiento de riesgos del datacenter de Medune de O4IT. LR: Requisitos legales CO: Obligación contractual BR/BP: Requerimientos del negocio / Mejores prácticas adoptadas RRA: Resultados de la evaluación de riesgos Los controles seleccionados son los que se exponen a continuación:
Tabla 2. Declaración de aplicabilidad SOA
DECLARACIÓN DE APLICABILIDAD
(SOA – STATEMENT OF APPLICABILITY)
SISTEMA DE GESTIÓN DE SEGURIDAD
INFORMÁTICA
ISO 27001:2013
REFERENCIA DEL
CONTROL TÍTULO DEL CONTROL
CONTROLES Y RAZONES DE SELECCIÓN
OBSERVACIONES
LR CO BR/BP RRA
A.5.1.1 Políticas de seguridad de la información
X X X X
A.5.1.2 Revisión de las políticas de seguridad de la información
X X
A.6.1.1 Compromiso de la dirección de seguridad de la información
X X
A.7.2.1 Administración de responsabilidades
X X X X
A.7.2.2 Etiquetado de la información y el manejo de concienciación sobre la seguridad de la información, la educación y la formación
X X X X
A.8.1.1 Inventario de activos X X
A.8.2.1 Clasificación de la información X X
A.8.2.3 Manipulación de los activos X X X
A.8.3.3 Transferencia de medios físicos X X
A.9.1.1 Política de control de acceso X X X
A.9.1.2 Acceso a las las redes y los servicios de red
X X
A.9.1.3 Seguridad de oficinas, habitaciones y medios
X X X
A 9.2.1 registro de usuario y cancelación de la matrícula
X X X
A 9.2.2 Acceso aprovisionamiento de usuarios
X X
A 9.2.6 La eliminación o ajuste de accesos.
X X
A.9.4.1 Restricción de acceso Información X X
A.9.4.3 Sistema de gestión de contraseña X X
A.10.1.2 Gestión de claves X X
A.11.1.1 Perímetro de seguridad física X X
A.11.1.2 Controles de accesos físico X X
A 11.1.3 Asegurar oficinas y salas X X
A 11.2.1 Protección de equipos locales X X X
A 11.2.2 Apoyo a los servicios públicos X X
A 12.1.4 Separación de desarrollo, prueba y
entornos operativos
X X
A.12.3.1 Respaldo de la información X X X X
A 13.1.1 Controles de red X X
Fuente: El autor
Los otros 107 controles restantes de la declaración de aplicabilidad no son incluidos debido a por su naturaleza no se consideran que se relacionan con la gestión del caso o son completo de los ya descritos, para observar el listado completo ver anexo 1. 4.2.3 Implantar el plan de tratamiento de riesgos
En esta parte se define el plan de tratamiento de riesgos con el fin de alcanzar los objetivos de control identificados.
Tabla 3. Declaración de aplicabilidad
ANALISIS DE RIESGOS
(SOA – STATEMENT OF APPLICABILITY)
SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA
ISO 27001:2013
REF. Control
RIESGO IDENTIFICADO
CONTROLES ALTERNOS
RECOMENDACIONES / PLAN DE
TRATAMIENTO
OBSERVACIONES
A.5.1.1 Políticas de seguridad de la información. Estas no son divulgadas ni encontradas en los espacios de la compañía.
Se deben realizar encuestas para verificar la calidad y el ambiente laboral de la compañía, además de auditorías para validar y mejorar las políticas de seguridad.
Se debe publicar el documento para que sea de conocimiento público, así como la capacitación y divulgación del mismo.
Las políticas de seguridad deben ser evaluadas y auditadas por todo el personal de la compañía.
A.5.1.2 Revisión de las políticas de seguridad de la información. —falta de auditoria y revisiones de las políticas.
Periódicamente se deben realizar auditorías y revisión de las políticas de seguridad por áreas internas y entidades externas.
Programar al área interna de las verificaciones periódicas del documento. Contacto de empresa externa para ejecución de auditorias
Las políticas de seguridad deben estar en constante evaluación para ir mejorando nos solo el ambiente laboral sino la seguridad de la compañía.
A.6.1.1 No se identifica una revisión regular por el líder de la compañía gestionar donde se evidencien las revisiones y aprobaciones dadas por el líder.
En el documento se debe incluir un control de cambios con un aprobación y/o revisión por parte de la junta directiva
Incluir revisión y aprobaciones por parte de la junta directiva
La aceptación de la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) debe contar con la aceptación de la junta directiva
A.7.2.1 Administración de Responsabilidades. – deben existir un área encargada de la verificación constante de la seguridad.
Se debe conformar un área o personal idóneo para soportar la seguridad de la compañía
Se deben programar verificaciones periódicas de la seguridad de la compañía.
La seguridad es un deber de la compañas y este debe ser realizado por personas idóneas por lo que deben encargarse de la velar y verificar la seguridad de forma periódica y constante
A.7.2.2 La información no se observa con la rotulación adecuada
Etiquetar los documentos almacenados siguiendo el protocolo que se establezca en el SGSI
Definir una política de la custodia de información en el cual se manejen versionamientos, área de la compañía, proceso que corresponda
Todos los empleados de la organización y, en su caso, los contratistas deberán recibir educación adecuada sensibilización y la formación y actualizaciones periódicas en las políticas y procedimientos de la organización, como relevantes para su función laboral.
A.8.1.1 Inventario de activos. – No se cuenta con un archivo o documento con la información de los activos
Se debe aprovisionar una base de datos para almacenamiento de los activos de la empresa.
Debe existir personal encargado del almacenamiento y actualización de los activos de la compañía.
Los activos de la compañía son los datos y los equipos, por lo que se debe contar con un almacenamiento donde se cuente con un inventario de los mismos.
A.8.2.1 Clasificación de la información. No se observa políticas de acceso y restricción a la información.
Cada área de empresa tiene su rol definido por lo que se deben ejecutar controles y privilegios de la información a consultar.
De acuerdo a las áreas de la compañía es necesario realizar un filtro y restricciones de acceso de acuerdo a los roles desempeñados en la empresa.
De acuerdo al rol desempeñado en la compañía los usuarios deben contar con un acceso específico de la información para evitar divulgación de datos valiosos.
A.8.2.3 Los procesos de manejo de activos asignados a los responsables deben ser correctamente definidos para evitar el riesgo de pérdida o robo de información.
El control de los activos debe definirse y estipularse el método de acceso y las responsabilidades
De acuerdo a los roles establecidos definir los permisos, accesos y responsabilidades.
Cada área debe tener un rol asignado el cual conlleva responsabilidades y de acuerdo al manejo y proceso de la información.
A 8.3.3 Los medios físicos mediante los cuales se trata información, deben ser protegidos.
Salvaguardar la información física en lugares apropiados para que no sea bien público.
Métodos y espacios de protección de la información física y responsables de su protección.
Es por esto que la compañía debe apropiarse estableciendo los mecanismos de resguardo de la información.
A.9.1.1 Política de control de acceso. Se observan controles de acceso débiles en la empresa.
Los equipos y archivos de la compañía deben contar con controles de acceso para su ingreso.
Se debe realizar cambio frecuente de los controles de acceso a los equipos o emplear radius para su acceso y así poder proteger y controlar el acceso a los dispositivos e información.
La información es el bien más valioso de una compañía por lo que se deben implementar controles de acceso a la información dependiendo del área de trabajo.
A 9.1.2 Acceso a las redes y los servicios de red.
La asignación y utilización de los derechos de acceso privilegiados serán restringidas y controladas.
Se establecerán privilegios y acceso de acuerdo a las áreas y roles de los usuarios de la empresa.
Debe establecerse por parte de la empresa un manejo de privilegios de acceso.
A.9.1.3 En caso de una incursión física por parte de
Se debe diseñar y aplicar seguridad física en las
Seguridad electrónica, física, puertas y control de
Las proporciones de una calamidad son altísimas en caso de no
delincuentes, podrá presentarse una catástrofe de proporción gigantesca que ponga en riesgo la continuidad de negocio
oficinas, habitaciones y medios
horarios y de acceso, monitoreo alarmas, cámaras cctv, seguridad humana, etc
implementar los controles a tiempo. La información e infraestructura para preservación de información quedaría vulnerable.
A 9.2.1 Registro de usuario y cancelación de la matrícula
Ejecutar procesos de registro de usuario para permitir la asignación de derechos de acceso.
Los registros de usuarios deben ser actualizados para obtener una base de datos no solo actual sino protegida de accesos indebidos.
Es importante que cada usuario este asociado a un rol y q este rol tenga definido los accesos.
A 9.2.2 Acceso y aprovisionamiento de usuarios
Procesos de aprovisionamiento de acceso a los usuarios formales para asignar o revocar los derechos de acceso para todos los usuarios a todos los sistemas y servicios.
Cada usuario no solo debe tener acceso a la información de manejo y sino que debe tener una permisos especiales de escritura y lectura de acuerdo al rol y la responsabilidad.
El aprovisionamiento de lectura y escritura en los usuarios ayuda a la protección y seguridad de los datos.
A 9.2.6 La eliminación o ajuste de accesos.
Eliminar los derechos de acceso de los usuarios a las instalaciones de procesamiento de la información a la terminación de su contrato.
Se debe generar un proceso interno cada vez que un empleado pierda su vinculación a la empresa sin importa su naturaleza.
Una vez desvinculado un usuario por la empresa o de forma voluntaria se debe notificar al área encargada para la eliminación de perfil.
A.9.4.1 Restricción de acceso Información.
El acceso a la información y las funciones del sistema de aplicación se limitará de acuerdo con la política de control de acceso.
Establecer mecanismos que permitan establecer un control seguro al inicio de sesión
Verificar las políticas de control de acceso, el acceso a los sistemas y aplicaciones niveles de seguridad o asignación de roles.
A.9.4.3 Sistema de gestión de contraseña.
La empresa no cuenta con gestión de cambio periódico de contraseñas ni con contraseñas seguras
Se deben configurar parámetros que permitan la asignación de claves seguras y cambio periódico de las mismas.
La mayoría de las intrusiones se realizan desde la red interna por lo que debemos proteger el acceso a la información y por ello es importante el cambio
periódico de contraseñas.
A 10.1.2 Gestión de claves Crear política sobre el uso, la protección y la duración de claves criptográficas.
Las políticas de seguridad en las contraseñas deberán desarrollarse y aplicarse a través de todo su ciclo de vida.
Es importante que se fijen políticas con cambios periódicos y con una estructura de seguridad para protección de los datos.
A.11.1.1 Perímetro de seguridad física.
La empresa debe reforzar la seguridad perimetral y esta se logra con equipos de cctv y de controles de acceso para poder monitorear y registrar las actividades diarias de la compañía.
Se deben adquirir sistemas de monitoreo y de controles de acceso.
La seguridad perimetral en una compañía es esencial pues esta es la encargada del control de agentes externo e internos gracias a los registros que nos permite acceder
A 11.1.2 Controles de
accesos físico
Proteger y ejercer controles para garantizar que se permite el acceso sólo el personal autorizado.
Por medio de equipos biométricos, de seguridad y de monitoreo deben custodiarse los sistemas de información.
La seguridad física es uno de los pasos fundamentales para salvaguardar los sistemas informáticos.
A 11.1.3 Asegurar oficinas y
salas
Diseñar y planear la seguridad física para oficinas, salas e instalaciones.
Configurar los accesos requeridos para el acceso a los centros de datos así como establecer formatos de ingreso.
Controlar el acceso de las personas a los centros de información nos brinda seguridad a los sistemas de datos.
A 11.2.1 Protección de
equipos locales
El equipo deberá estar situado y protegido para reducir los riesgos derivados de las amenazas ambientales y riesgos y oportunidades para el acceso no autorizado.
Se debe coordinar la correcta instalación de los equipos en los centros de cómputo de forma que puedan estar lo mejor protegidos posibles de eventualidades.
Los factores ambientales y de intrusión física son principios de seguridad básicas para los centros de datos.
A 11.2.2 Proteccion de los
servicios públicos.
El equipo debe ser protegido de fallas de energía y otras interrupciones causadas por fallas en el apoyo servicios públicos.
Se debe contar con planta eléctrica, sistema de ventilación, de oxígeno y cortafuegos para prevenir desastres naturales o
Es importante prevenir los incidentes provocados por factores ambientales, pues así se protegen a los sistemas de información y a los
voluntarios, así como las debidas rutas de evacuación.
implicados en su custodia.
A 12.1.4 Separación de entornos operativos.
Definir y establecer entornos operativos aislados para reducir los riesgos de acceso o cambios no autorizados al ambiente operacional.
Crear segmentación de puertos a nivel de vlan y equipos para prevenir que los ataques de la red tenga una afectación mayor.
Las intrusiones y ataques a la red tienen como fin el daño general de los sistemas por esta razón debemos segmentar la información y las redes para prevenir este tipo de incidencias
A.12.3.1 Respaldo de la información.
La información de la compañía debe contar con registros los cuales deben se almacenas en un servidor o área para salvaguardar la información.
Configurar servidores de almacenamiento para guardar el registro de las labores de la empresa.
La información debe ser protegida para ello es importante contar con backup de respaldo, no solo en caso de falla en el principal sino como server de almacenamiento debido a la cantidad de información que se recibe.
A.13.1.1 Controles de red. Las redes deberán ser gestionadas y controladas para proteger la información de los sistemas y aplicaciones.
Se deben implantar, verificar y chequear las políticas de seguridad para fortalecer la seguridad de las redes e información.
Las políticas de seguridad brindan protección a los sistemas, por esta razón siempre deben estar en constante actualización y ejecución.
Fuente: El autor
4.2.4 Implementación de controles
Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.39 De acuerdo a la topología de los equipos de borde del datacenter se plantean al área de Network las siguientes vulnerabilidades:
39 http://www.iso27000.es/sgsi_implantar.html
4.2.4.1 Router MPLS
Este equipo es el encargado de comunicar al datacenter Medune con los demás datacenter de la empresa, por lo que como primera medida debe contar con una configuración en HSRP para garantizar alta disponibilidad en sus servicios:
Adquirir un equipo Router Cisco de acuerdo a la versión y modelo del existente:
PEMEDUNE01#sh version Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2007 by Cisco Systems, Inc. Compiled Wed 18-Jul-07 06:21 by prod_rel_team ROM: System Bootstrap, Version 12.4(13r)T, RELEASE SOFTWARE (fc1) Cisco 2851 (revision 53.51) with 512000K/12288K bytes of memory. Processor board ID FTX1204A5N3 2 Gigabit Ethernet interfaces 1 Virtual Private Network (VPN) Module DRAM configuration is 64 bits wide with parity enabled. 239K bytes of non-volatile configuration memory. 62720K bytes of ATA CompactFlash (Read/Write)
Configurar el hrsp en los equipos para HA Router A Configuración # configure terminal (config)# interface gigabitethernet x/x (config-if)# no switchport (config-if)# ip address x.x.x.x 255.255.255.0 (config-if)# standby 1 ip x.x.x.x (config-if)# standby 1 priority 110 (config-if)# standby 1 preempt (config-if)# end Router B Configuración # configure terminal (config)# interface gigabitethernet x/x (config-if)# no switchport (config-if)# ip address x.x.x.x 255.255.255.0 (config-if)# standby 1 ip x.x.x.x
(config-if)# standby 1 preempt (config-if)# end Donde standby 1 ip x.x.x.x Esta la ip es la virtualizada a la cual se apuntará el servicio. Y el ip address x.x.x.x 255.255.255.0 Hace referencia a las ip de los Router las cuales deben pertenecer al mismo segmento para tener comunicación.
Verificación niveles de contraseñas Cisco cuenta con unos niveles de privilegios para los usuarios los cuales van desde 0 a 15 donde: Nivel 0 Permite acceso a modo usuario Nivel 1 a 14 Permite realizar modificaciones en los niveles Nivel 15 Permite acceso a modo privilegiado con todos los permisos De estos dos usuarios locales solo uno de ellos debe estar con nivel 15 de privilegios y el otro contar con un nivel entre 1 a 14 para ser modificados de acuerdo al nivel. username admin privilege 15 password 7 07340F1F5A1B49550340525A537B7E7115 username support privilege 15 password 7 142C211E1C147A3930266021704A514152540364 De acuerdo a los tipos de password en cisco existen los siguientes parámetros: Tipo 0: Son contraseñas guardadas en texto plano. Tipo 5: Contraseña con algoritmo MD5 almacenándose su correspondiente hash, la cual es considerada como segura. Tipo 7: Similar a la tipo 5 solo que cuenta con un algoritmo definido por el fabricante Cisco, sin embargo es fácil de crackear. Debido a lo anterior no debería estar este tipo de 7 en la configuración de los usuarios tacacs:
tacacs-server host 190.242.59.182 tacacs-server host 208.176.216.189 tacacs-server key 7 150A295F2F041F313B261A094522tacacs-server host 190.242.59.182
Verificar protocolo de enrutamiento. Si bien cierto el protocolo RIP es más fácil de configurar comparado con los demás protocolo de enrutamiento, pues es soportado por la mayoría de los fabricantes debido a que es un protocolo abierto. Pero también cuenta que algunas desventajas bastante importante de considerar como lo son que para determinar la mejor métrica solo tiene en cuenta el número de saltos y no toma en cuenta otros parámetros importantes e influyentes en el ancho de banda lo que puede causar ineficiencias en las redes al optar por una ruta de menor ancho de banda.40 Además RIP no está diseñado para resolver cualquier posible problema de encaminamiento. El RFC 1720 (STD 1) describe estas limitaciones técnicas de RIP como graves y el IETF está evaluando candidatos para reemplazarlo en que OSPF es el favorito.41
Por esta razón se recomienda que este protocolo no sea empleado como se observa está en la configuración del equipo:
router rip version 2 network 10.0.0.0 neighbor 10.95.0.217 no auto-summary
En su lugar utilizar OSFP, pues está diseñado para redes grandes y complejas con buenos principios de diseño, mientras que RIP está destinado a redes pequeñas en las cuales un único protocolo puede reducir el tiempo de configuración y diseño.
A continuación nombraremos algunas ventajas del protocolo OSPF.
- OSPF es mucho más escalable que RIP
40 https:// dialnet.unirioja.es/descarga/articulo/3648353.pdf 41 http://www.ecured.cu/index.php/Protocolo_RIP
- Presenta menos utilización de red para lograr redes bastante estables - Dispone de una mejor selección de camino - Evita de forma elegante los bucles de enrutamiento - Emplea una métrica mucho más útil - La convergencia es más rápida42
Eliminación de accesos simultáneos en VTY (terminal virtual). En cuanto a conexiones remotas y por ser un equipo de backbone no es recomendable tener habilitadas 15 sesiones simultáneas por lo que se debería eliminar la siguiente línea de comandos:
line vty 5 15 privilege level 15 login authentication ssh transport input ssh
Y solamente trabajar con 4 conexiones lo cual sigue siendo muchas. line vty 0 4 privilege level 15 login authentication telnet transport input telnet ssh
4.2.4.2 Firewall Fortigate VM
Este dispositivo es el firewall donde se encuentra la gestión de los clientes, así como sus redes de aplicaciones y servicios, sus vulnerabilidades son: Dominios virtuales (VDOMs) se pueden utilizar para dividir una sola unidad FortiGate en dos o más instancias virtuales de FortiOS que funcionan como unidades FortiGate independientes.43
42 https:// dialnet.unirioja.es/descarga/articulo/3648353.pdf 43 http://cookbook.fortinet.com/vdom-configuration/
Esto significa que son instancias virtuales que simulan un firewall Individual para cada cliente o clientes que se configuren en él.
Figura 7. VDOM
Fuente: http://cookbook.fortinet.com/vdom-configuration/
Acceso al equipo
Este dispositivo tiene Ip publica para su acceso como se ve en la parte superior de la figura 8, lo cual no es una buena práctica pues no solo está el Core de la empresa sino sus clientes, por lo tanto el acceso debería ser por su IP interna, o limitar las redes de acceso al equipo.
Figura 8. Firewall FortiGate VM
Fuente: O4IT Colombia
Así como el acceso al equipo no debe ser por ip publica, también se debe revaluar los permisos de acceso por puertos que tiene habilitado, en las Figuras. 9 a 12, se puede ver como las redes del puerto 1 y 3 del firewall cuentan con acceso a HTTPS, PING, SSH, SNMP, PMG-Access, debería eliminarse estos accesos y solo dejar HTTPS, PING por buenas prácticas y seguridad.
Figura 9. Acceso de interfaces Port1
Fuente: O4IT Colombia
Figura 10. Acceso de interfaces Port3
Fuente: O4IT Colombia
Figura 11. Interfaces Port3 Acceso
Fuente: O4IT Colombia
Figura 12. Acceso Interfaces
Fuente: O4IT Colombia
Para garantizar no solo la seguridad sino el monitoreo de los cambios y acciones a realizar en el equipo se debe sincronizar el firewall con el servidor de TACACS así como está el Router MPLS y no dejar solo usuarios locales, menos si como observamos en la Fig 13 cuentan con perfiles de Super_admin lo que les permite tener acceso de lectura y escritura sobre el equipo.
Figura 13. Usuarios de acceso
Fuente: O4IT Colombia
Reportes del equipo
El firewall está diseñado para generar diversos reportes y esta es una ventaja que debemos aprovechar para el monitoreo de las redes y análisis de su seguridad, en la parte superior derecha de la Fig 14, se puede observar que no está activa la aplicación, por eso como primera medida debe configurarse y sincronizarse al FortiAnalyzer el cual es el dispositivo de la familia Fortinet que está diseñado para generación de reportes, este equipo nos pueden servir de apoyo no solo para entrega de evidencia y comportamiento del enlace a los clientes sino para análisis de incidentes en caso de presentarse, pues aunque el equipo tiene un módulo de reportes no es tan optimo como el que brinda el FortiAnalyzer y debido a que la empresa cuenta con 3 de estos equipos, la acción seria la sincronización con alguno de estos sin necesidad de adquisición de equipos.
Figura 14. FortiAnalyzer
Fuente: O4IT Colombia
Políticas de enrutamiento
En cuanto a políticas de enrutamiento debe discriminarse no solo la fuente sino también el destino, así como los puertos de servicio de modo que se pueda restringir el acceso y prevenir así infiltraciones a las redes, lo cual si observamos como ejemplo los vdom llamados CLOUD y COLECO de la Fig 15 y 16. Vemos que no se cumple muchas de estas condiciones.
Figura 15. VDOM Cloud
Fuente: O4IT Colombia
Figura 16. VDOM Coleco
Fuente: O4IT Colombia
El firewall así como los Router tiene la capacidad de configurar NAT, esto se hace para asignar una ip publica a una ip interna de algún equipo o servidor especifico,
con el fin de que pueda ser publicado y consultado desde internet, pero se debe recordar que cada vez que esto ocurra se debe limitar los puertos de acceso, pues en vista que su publicación queda abierta queda también muy expuesto a ataques informáticos. Es por esta razón que por buenas prácticas una vez se configure un NAT, en las políticas de acceso se debe limitar los puertos de acceso, lo que en la Fig 17 no se ve aplicado y sus puertos está configurado con ANY, por eso para esta limitación se debe consultar al cliente o al encargado de la aplicación para especificar los puertos a habilitar.
Figura 17. NAT
Fuente: O4IT Colombia
Figura 18. Políticas de acceso a NAT
Fuente: O4IT Colombia
Perfiles de seguridad
El equipo cuenta con un módulo de UTM (Unified Threat Management), o más bien Gestión Unificada de Amenazas. Esto hace que el Firewall UTM contenga múltiples funcionalidades (servicios) en una misma máquina de protección perimetral. 44 Algunas de estos servicios se pueden observar en la Fig 19 y son: Función de un firewall de inspección de paquetes
- Función de VPN
- Antispam Antiphishing
- Antispyware
- Filtrado de contenidos
- Antivirus
- Detección/Prevención de Intrusos (IDS/IPS)
Figura 19. UTM Fortinet
Fuente: O4IT Colombia
De acuerdo a las características anteriormente mencionada y observando las Figuras 20 a 24, se puede ver que su configuración es muy débil, más para el soporte de las redes de cliente y de un datacenter, pues en cuestión de perfiles web solo se ve uno creado y este es el perfil que reglamente el Ministerio de Comunicaciones.
44 http://www.uees.edu.sv/blogs/oscard/?p=611
Figura 20. Perfiles Web
Fuente: O4IT Colombia
Ademas no se observa ningun control de aplicaciones aplicados como se puede apreciar en la casilla de (Referencia) Ref. de la figura 21.
Figura 21. Control de aplicaciones Fortinet
Fuente: O4IT Colombia
Tampoco se observa configuraciones de sensores para protección de intrusiones en la red como tampoco filtro de correo para evitar spam, ni escaneo de vulnerabilidades.
Figura 22. IPS Protección contra Intrusiones
Fuente: O4IT Colombia
Figura 23. Filtros de correo
Fuente: O4IT Colombia
Figura 24. Escaneo de vulnerabilidades
Fuente: O4IT Colombia
4.2.4.3 Firewall Juniper
Este dispositivo es el encargo del enrutamiento de internet en el datacenter y en cuanto su evaluación de seguridad analizaremos parámetros básicos pues debido a su rol no requiere de una robusta configuración.
Serie del firewall
Lo primero que podemos decir del equipo es su versión, pues como se observa en la parte superior izquierda de la Fig. 25, es un firewall juniper SSG-320M, el cual es una versión que por ser tan antigua ya no cuenta con soporte en caso de cualquier falla. Los juniper son plataformas de seguridad de alto rendimiento para implementar en pequeñas hasta grandes empresas, pero la serie SSG-320M es la primera de las versiones empleadas para medianas y grandes empresas, pero por el simple hecho de ser un datacenter debe contar con dispositivos para redes globales y para ello está la serie SSG-500 en donde están dos modelos que son el SSG520M y el SSG550, donde por lo menos se debe cambiar a la versión SSG-520M.45
Figura 25. Firewall Juniper
Fuente: O4IT Colombia
Seguridad de acceso
Este equipo cuenta solo con usuarios locales por lo que no se tiene control de las personas que acceden a él, lo que no garantiza un monitoreo en los cambios que se puedan realizar en el equipo.
45 http://www.juniper.net/us/en/products-services/security/ssg-series/
Figura 26. Firewall Juniper
Fuente: O4IT Colombia
Siendo un equipo que soporta y distribuye todo el enrutamiento del datacenter no debería contar con acceso por ip pública sino de forma interna y no tener tantos accesos permitidos como se ve en la Fig 27 donde se ve habilitado https, ssh y telnet.
Figura 27. Puertos Juniper
Fuente: O4IT Colombia
Bloqueos de seguridad
El firewall aunque tiene opciones de seguridad, no las tiene aplicadas como se aprecia en la siguiente figura 28, y estas herramientas debe estar activas pues no proporcionan más protección a la red.
Figura 28. Opciones de seguridad
Fuente: O4IT Colombia
Politicas de acceso
Por el simple hecho de ser un dispositivo de seguridad no debe contar con políticas de acceso abierto (all to all), menos si estamos hablando de un dispositivo de borde en un datacenter y de acuerdo a esto las políticas que se observan en la fig 29 no debería existir de la forma en la que están configuradas:
Figura 29. Políticas de enrutamiento Juniper
Fuente: O4IT Colombia
Debe validarse los rangos de direccionamiento y delimitar de esta manera las políticas de acceso.
Limitación de tráfico en interfaces.
Como lo que administra este equipo son los canales de internet y su distribución, esta debe ser de acuerdo a lo contratado al cliente y/o segmento, esto para que no consuman más del ancho de banda adquirido y no saturen los enlaces de los demás clientes. En la Fig 30, se puede observar esta acción en la sección de traffic bandwidth, donde no se ve limitación alguna.
Figura 30. Traffic bandwidth Juniper
Fuente: O4IT Colombia
4.2.4.4 Backup de red de internet
El datacenter no puede contar con un solo proveedor de ISP para los servicios de la plataforma, debe existir otro servicio de internet que pueda ya ser empleado como backup o para ser usado como balanceador del internet junto con el existe.
4.2.4.5 Capacitaciones
En la empresa se presentan pocas intervenciones de capacitación a los Usuarios y Administrativos en políticas de Seguridad Informática. Se debe coordinar con el área de gestión y recursos humanos realizar charlas para exponer los riesgos de la seguridad informática, describir los daños que causan los ataques y la forma en la que ingresan al sistema.
La vulnerabilidad más grande de toda empresa es la llamada Ingeniería Social y es en ella en la que se debe enfocar por divulgar a los usuarios para que puedan detectarla y prevenirla.
4.2.5 Gestión de Recursos.
Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.
- Adquisición de equipos de red para su instalación en HA. o Máquina virtual para Firewall VM01 o Firewall Juniper o Router Cisco
4.2.6 Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.
- Formato de ingreso al datacenter.
FORMATO DE INGRESO AL DATACENTER
CÓDIGO
GDS-GS-PL01-FR01
VERSIÓN 1.0
PÁGINA
DATOS GENERALES
INGRESO Y SALIDA DE VEHÍCULOS
Tipo de Solicitud PLACA
Acceso Datacenter
Remote Hands
MARCA
Cliente y/o Contratista
PLACA
Nombre de Datacenter
MARCA
Pais PLACA
Fecha Ingreso(AAAA/MM/
DD) MARCA
Hora Inicio Autorizada
PLACA
Hora Finalizacion MARCA
MOTIVOS DE INGRESO
RELACIÓN DE PERSONAL QUE SOLICITA INGRESO A LAS INSTALACIONES
Se debe adjuntar la siguiente información según el país indicado. Certificado pólizas ARL (en Colombia). Nota: Si no se envía esta certificación el ingreso NO será Permitido).
NOMBRE No.
Identificacion
EPS ARL/ ART/ ARC
EMPRESA / CLIENTE
Cargo Observacio
nes
GESTION DE
EQUIPOS
INVENTARIO DE EQUIPOS QUE INGRESAN O RETIRAN (Solo equipos que se Instalaran en Rack)
Cant.
IN/OUT
Modelo
Marca
Serial Rack Rackea
ble
Tipo equip
o
Dimensiones
SISTEMA ELECTRICO
No. Fuentes
Consumo (Amp)
Voltaje
OBSERVACIONES
AUTORIZADO POR SOLICITADO POR FECHA DE SOLICITUD
NOMBRE
NOMBRE
#######
#######
#####
CEDULA CEDULA
FIRMA
TELÉFONO
NOTA: LA SOLICITUD DE INGRESOS DEBE SER DILIGENCIADA Y
ENVIADA CON UN TIEMPO MINIMO DE 24
HORAS DE ANTICIPACION, PARA URGENCIAS 2 HORA
O4IT COLOMBIA
CLIENTE / CONTRATISTA
- Formato de control de cambios.
FORMATO DE REQUERIMIENTO DE CAMBIO RFC
CÓDIGO OSM-PR03-
FR01
VERSIÓN 2.0
CLASIFICACIÓN Público
PÁGINA 1 DE 1
1. INFORMACIÓN DEL SOLICITANTE
Nombre Identificación
Área/Entidad
Cargo
Teléfono Correo electrónico
2. INFORMACIÓN GENERAL DEL CAMBIO
CODIGO DEL
CAMBIO
FECHA DE REQUERIMIE
NTO (dd/mm/aaa
a)
FECHA EJECUCION
DE ACTIVIDADES (dd/mm/aaa
a)
HORA EJECUCION DE ACTIVIDADES (hh:mm)
TIEMPO ESTIMADO EJECUCION DE ACTIVIDADES - HORAS (Incluye
Rollback)
¿GENERA INDISPONIBILID
AD DEL SERVICIO?
#
Horas:
SITIOS DE LOS TRABAJOS A EJECUTAR
DESCRIPCIÓN DEL CAMBIO (Incluye el alcance)
ANTECEDENTES DEL CAMBIO (¿POR QUÉ SE REQUIERE?)
BENEFICIOS DEL CAMBIO O LAS CONSECUENCIAS DE NO REALIZARLO
URGENCIA DEL CAMBIO Baja Media Alta Crítica
URGENCIA: La urgencia se basa en la tipificación de las acciones a ejecutar: - Crítica: El cambio es requerido para habilitar y/o restaurar los servicios. - Alta: El cambio es requerido para corregir un error que está generando indisponibilidad parcial de los servicios. - Media: El cambio es requerido para implementar ajustes funcionales en los servicios. - Baja: El cambio es requerido para implementar mejoras y/o liberar nuevas versiones planeadas de los servicios.
3. PLANES ASOCIADOS AL CAMBIO
PLAN TAREA Afecta Servici
o?
FECHA/ HORA INICIO
FECHA/ HORA FINALIZACIÓN
RESPONSABLE CELUL
AR
PLA
N
DE
EJEC
UC
IÓN
PLA
N D
E
REV
ERSI
ÓN
(Ro
ll-b
ack)
4. GESTIÓN DEL RIESGO SUCESO ACCION DE MITIGACIÓN RESPONSABLE NUMERO CELULAR
5. ANEXOS Si se requiere, registre en este espacio todos los documentos complementarios que deben ser tenidos en cuenta para efectuar el cambio y remítalos como anexos al formato (manuales, archivos de despliegue, instructivos, minutogramas, etc.)
6. ELEMENTOS DE RED Y SERVICIO AFECTADOS
NODOS AFECTADOS
CANTIDAD
MUNICIPIOS:
ENLACES TRAYECTOS
:
SERVICIO AFECTADOS
CLIENTES CORPORATIV
OS
OBSERVACION:
CLIENTES MASIVOS
OBSERVACI
ON:
7. APROBACIÓN SOLICITUD
NOMBRE ROL FECHA
(dd/mm/aaaa)
APROBACIÓN* CORREO
ELECTRÓNICO
Cargo/rol del
solicitante autorizado
8. INFORMACIÓN PARA SER DILIGENCIADA POR EL ADMINISTRADOR DE CAMBIOS
PRIORIDAD DEL CAMBIO Baja Media Alta Crítica
TIPO DE CAMBIO (Señale con una X)
NORMAL EMERGENCIA
9. APROBACIÓN EJECUCIÓN ADMNISTRADOR
DE CAMBIOS CAB ECAB
NOMBRE CARGO FECHA APROBACIÓN* CORREO
ELECTRÓNICO
*La APROBACIÓN de ejecución de los cambios se puede formalizar a través de: a) Firma del RFC. b) Correo Electrónico de aprobación de los integrantes del comité. c) Acta de Comité de Cambios.
CAMBIO APROBADO
SI OBSERVACIONES
NO
- Log mensual de acceso y manipulación de los equipos borde del datacenter. - Backup semanal de los equipos de red de borde. - Reportes Mensuales de actividad equipos de red de borde.
4.3 CHEQUEAR
El resultado de los riesgos y vulnerabilidades en cuanto a seguridad deben plasmarse en las políticas de seguridad para no solo proteger el sistema y la infraestructura una sola vez, sino salvaguardarla continuamente. Una vez implantada las mejoras propuestas, se deja un periodo de prueba para verificar su correcto funcionamiento. Si la mejora no cumple las expectativas iniciales habrá que modificarla para ajustarla a los objetivos esperados debido a esto la empresa O4IT Colombia deberá:
Tabla 4. Chequeo de riesgos y vulnerabilidades
Probabilidad de amenaza
Chequeo Observaciones
SI NO
Uso de dispositivos de almacenamientos externos
en los equipos de cómputo de los usuarios de
O4IT.
Falta de backup de Datos e Información
Poca configuración de las políticas de seguridad
del Sistema.
Dispositivos sin modo High Avalaible (Alta
disponibilidad)
Control de Acceso a los equipo de
comunicaciones sin registro de usuario por
Radius.
Claves en texto plano de equipos de cómputo.
Seguridad a las contraseñas de los usuarios sin
aplicación de políticas
Débil configuración de los equipos de
comunicación switches y routers.
Sin bloqueos de puertos de acceso en los equipo.
Falta de bloqueo de servicios de entrada y salida
de las políticas de enrutamiento.
Faltan de evaluación periorida de los equipos en
cuanto a actualizaciones de firmware y S.O
Políticas en los equipos sin etiquetado y
señalización.
4.4 ACTUAR
Para que todas las actividades y análisis presentados sean validados es importante que tengan un respaldo de calidad y esto se logra basándose en normas establecidas como lo es el estándar ISO 27001 el cual debemos estudiar para moldear nuestras políticas y presentar un completo e íntegro documento para implementar en la organización. Una vez finalizado el chequeo se deben estudiar los resultados. Si los resultados son satisfactorios se implantará la mejora de forma definitiva, y si no lo son habrá que decidir si realizar cambios para ajustar los resultados o si desecharla. Una vez terminado el paso 4, se debe volver al primer paso periódicamente para estudiar nuevas mejoras a implantar. La organización deberá regularmente:
- Implantar en el SGSI las mejoras identificadas.
- Realizar las acciones preventivas y correctivas adecuadas para prevenir potenciales no conformidades antes de que se produzcan y solucionar no conformidades detectadas y materializadas en relación Clausula 9.2 de norma ISO27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.
Débil configuración de perfiles web
Falta de configuración de control de aplicaciones
Sin implementación de configuración de IPS
Sin instalación de cconfiguración de Email Filter
Nula delimitación de puertos y servicios en
configuraciones NAT
Pocas intervenciones de capacitación y
actualización de los Administrativos y
Funcionarios en políticas de Seguridad
Informática.
Sin roles de acceso a los equipos.
Falta de Backup de red de internet
- Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.
- Asegurarse que las mejoras introducidas alcanzan los objetivos previstos: la
eficacia de cualquier acción, medida o cambio debe comprobarse siempre.46 Se debe diseñar un formato que permita auditar o verificar los aspectos que de acuerdo a la norma se deben revisar en cada uno de los documentos de la gestión documental exigidos en el SGSI en relación a la norma ISO/IEC 27001:2013. La metodología escogida es la norma ISO 27001:2013, utilizando La Declaración de aplicabilidad (SOA – STATEMENT OF APPLICABILITY) como conexión principal entre la evaluación y el tratamiento del riesgo y la implementación de su sistema de seguridad de la información.
4.4.1 Condiciones previas a la aplicación de la metodología seleccionada
4.4.1.1 Plan de auditoria interna
Una de las actividades fundamentales dentro del proceso de retroalimentación y control de todo sistema es la actividad de verificación o chequeo proceso que corresponden al proceso de gestión de la auditoría interna. La norma determina que la organización deberá realizar auditorías internas a intervalos planificados para obtener información sobre el funcionamiento del SGSI de acuerdo a:
1. Los requisitos propios de la organización para el SGSI.
2. Los requisitos del estándar.
3. Que esté eficientemente implantado y mantenido. De nuevo se debe valorar
el logro de los resultados esperados.
Para que esto suceda se debe planificar, establecer, implementar y mantener un programa de auditoría, incluyendo la frecuencia de las mismas, los métodos, responsabilidades, requisitos de planificación e informes. De este proceso es esencial asegurar que los resultados se reportan a la dirección aunque ello se consigue en el proceso de Revisión por Dirección al considerar la auditoría como una de las entradas a dicho proceso.47
46 http://www.iso27000.es/sgsi_implantar.html 47 http://blog.firma-e.com/iso-270012013-analisis-detallado-de-la-nueva-version-parte-4-de-4/
Figura 31. Clausula 9.2 de norma ISO27001 – auditorías internas
Fuente: http://www.iso27001standard.com
El objetivo de la auditoría interna, es determinar si los procedimientos, controles, procesos, acuerdos y demás actividades dentro del SGSI [SGCN] concuerdan con las normas ISO 27001, con las regulaciones correspondientes y con la documentación interna de la organización; como también verificar si son implementados y sostenidos y si cumplen requisitos de políticas y establecen objetivos. Para la realización de una auditoría se necesita de una planificación programada con anterioridad por parte del equipo de auditores. Se define el alcance de la auditoría, los instrumentos necesarios para poder hacerla y las técnicas para verificación del cumplimiento de medidas de seguridad. Para la realización de las auditorías se deben contemplar: Para la realización de estas auditorías se debe tener en cuenta:
Revisión de documentación.
Entrevistas.
Visitas a instalaciones del auditado y observación de la operativa habitual.
Pruebas técnicas sobre los sistemas de información y comunicaciones.48
48 http://www.iso27001standard.com/documentation/internal-audit-procedure/
4.4.1.2 Aplicación de la metodología seleccionada
Aspectos previos a considerar en la auditoría interna
Tabla 5. Aspectos Auditoria Interna
DESCRIPCIÓN CUMPLIMIENTO
SI NO
Las auditorías internas deben estar bien planificadas (plan auditor) y aprobadas por la dirección de la organización
El equipo auditor deben ser profesionales idóneos con experiencia y diferentes a los encargados de la implantación del SGSI en la organización.
El equipo auditor deben ser profesionales idóneos con experiencia y diferentes a los encargados de la implantación del SGSI en la organización.
Se debe estipular un coordinador del equipo auditor.
La auditoría se debe orientar hacia la correcta implantación de los controles de seguridad implementados.
Toda la organización debe conocer el alcance y la agenda estipulada para la auditoría interna.
Los informes y resultados deberán ser conocidos por todo el personal de la organización involucrado dentro del alcance del SGSI.
De acuerdo al informe y/o resultados presentados en la auditoría interna, la organización debe estipular los planes para mejorar la eficacia del SGSI y realizar el procedimiento documentado de las acciones correctivas y preventivas.
Para la realización de una auditoría se necesita de una planificación programada con anterioridad por parte del equipo de auditores. Se define el alcance de la auditoría, los instrumentos necesarios para poder hacerla y las técnicas para verificación del cumplimiento de medidas de seguridad. Para la realización de las auditorías se deben contemplar las siguientes plantillas: Plantillas de auditoria interna / estándar ISO 27001
a) PROGRAMA ANUAL DE AUDITORIA INTERNA
Se redacta este programa anual para el período comprendido desde la [fecha] hasta la fecha [fecha].
Tabla 6. Programa Anual De Auditoria Interna
Periodo de la auditoria
Alcance de la auditoria
Método de auditoria Auditores
b) INFORME DE AUDITORIA INTERNA
Tabla 7. Informe Auditoria
Lugar de la auditoria:
Nombre de la organización:
Fecha del informe:
Período de la auditoría interna:
Quién realizó la auditoría interna: Líder del grupo
Criterios de la auditoría:
Alcance de la auditoría:
Que documentación se revisaron:
Personal entrevistado:
Que sistemas fueron revisados:
Total de no conformidades:
Recomendaciones de mejora:
c) PROCEDIMIENTO PARA AUDITORÍA INTERNA
Tabla 8. Procedimiento Para Auditoría Interna
Código:
Versión:
Fecha de la versión:
Creado por:
Aprobado por:
Nivel de confidencialidad:
d) HISTORIAL DE MODIFICACIONES
Tabla 9. Historial De Modificaciones
Fecha Versión Creado por Descripción de la modificación
Relacionar fecha de modificación
Ej: 1.0 Indicar la persona encargada de la modificación
Descripción básica del documento
e) LISTA DE APOYO O CHEQUEO, BASADO EN LA DOCUMENTACIÓN
PARA AUDITORIA INTERNA49
Tabla 10. Check List - Plan De Auditoria Interna
CHECK LIST
PLAN DE AUDITORIA INTERNA
SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA
ISO 27001:2013
Dominio / Proceso Políticas de seguridad de la información / Dirección de Gestión de
Seguridad de la Información
Objetivo De
Control
Proporcionar orientación y apoyo a la gestión de seguridad de la
información de acuerdo con los requerimientos del negocio y las leyes y
reglamentos pertinentes.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.5.1.1
Se encuentra definido un conjunto de políticas de
seguridad de la información, aprobado por la
administración, publicado y comunicado a los empleados y
partes externas pertinentes?
A.5.1.2
En las políticas de seguridad de la información se
producen cambios significativos para asegurar su continua
conveniencia, adecuación y eficacia?
49 http://www.iso27001standard.com/documentation/internal-audit-checklist
Dominio / Proceso Organización de la seguridad de la información / Organización interna
Objetivo De
Control
Establecer un marco de gestión para iniciar y controlar la implementación
y operación de seguridad de la información dentro de la organización.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.6.1.1
Las responsabilidades de seguridad de la información se
encuentran definidas y se asignadas según los roles
establecidos?
Dominio / Proceso Gestión de Activos / Clasificación de la información
Objetivo De
Control
Garantizar que la información recibe un nivel adecuado de protección de
conformidad con su importancia para la organización.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.8.2.1
La información se encuentra clasificada en términos de
requisitos legales, valor, criticidad y sensibilidad a la
divulgación no autorizada o modificación?
A.8.2.3
Los procedimientos para el manejo de los activos están
desarrollados e implementados de acuerdo con el
esquema de clasificación de la información adoptado por la
organización?
Dominio / Proceso Gestión de Activos / Manejo de los medios de comunicación
Objetivo de
Control
Evitar la divulgación no autorizada, modificación, eliminación o
destrucción de la información almacenada en los medios de
comunicación.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.8.3.3
Los medios que contienen información están protegidos
contra accesos no autorizados y el uso indebido o la
corrupción durante el transporte?
Dominio / Proceso Control de Acceso / Requerimientos del negocio para el control de
acceso
Objetivo de
Control
Limitar el acceso a las instalaciones de procesamiento de la información y
de la información.
Descripción del Control Aplica
Referecia
del
control
Si No N/A
A.9.1.1 Se encuentra establecida y documentada una política de
control de acceso para las áres restringidas?
A.9.1.2
Los usuarios solo disponen de acceso a la red y los
servicios a los cuales han sido autorizados
específicamente para su uso.
Dominio / Proceso Control de Acceso / Gestión de Acceso al Usuario
Objetivo de
Control
Garantizar el acceso de usuarios autorizados y evitar el acceso no
autorizado a los sistemas y servicios.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.9.2.1 Existe un proceso formal de creación y retiro de usuario, el
cual permite la asignación de acceso?
A.9.2.2
Existe un proceso formal de la asignación y utilización de
los derechos de acceso, donde se identifiquen los
privilegios serán restringido y controlado?
A.9.2.6
Existe un proceso formal de inactivación de usuarios
asignados a los empleados internos y externos de la
compañía con acceso a los servicios y procesamiento de
información, una vez que a finalizado su contrato?
Dominio / Proceso Control de Acceso / Control del sistema y acceso a las aplicaciones
Objetivo de
Control Evitar el acceso no autorizado a los sistemas y aplicaciones.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.9.4.1 Cuentan con un formato para autorizar el acceso de los
usuarios a las aplicaciones de la compañía?
A.9.4.5 Se encuentra definida y asignada a los usuarios la política
de contraseña?
Dominio / Proceso Seguridad física y ambiental / Áreas Seguras
Objetivo de
Control
Evitar el acceso físico no autorizado, daño e interferencia con la
organización y procesamiento de la información.
Descripción del Control Aplica
Referecia
del
control
Si No N/A
A.11.1.2 Cuentan con control de acceso para las zonas o áreas
restringidas al personal no autorizado?
A.11.1.3 Se encuentra diseñada y aplicada la seguridad física de
oficinas, habitaciones e instalaciones?
Dominio / Proceso Seguridad física y ambiental / Equipo
Objetivo de
Control
Evitar la pérdida, daño, robo o el compromiso de los activos y la
interrupción de la organización de operaciones.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.11.2.1
El equipo se encuentra situado y protegido para reducir los
riesgos de amenazas y peligros ambientales; y
oportunidades de accesos no autorizados?
A.11.2.2
El equipo esta protegido de fallas de energía y otras
interrupciones causada por fallas en el apoyo a los
servicios públicos?
Dominio / Proceso Seguridad de Operaciones / Procedimientos y Responsabilidades
Operacionales
Objetivo de
Control
Garantizar operaciones correctas y seguras de instalaciones de
procesamiento de información.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.12.1.4
Cuentan con ambiente de desarrollo, pruebas y producción
para reducir los riesgos de acceso no autorizado o cambios
en el
entorno operativo?
Dominio / Proceso Seguridad de Operaciones / Copias de Seguridad
Objetivo de
Control Evitar perdida de datos
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.12.3.1
Cuentan con un procedimiento establecido de ejecución de
backups sobre la información, software y sistemas de
imágenes?
Dominio / Proceso Seguridad de Operaciones / Control Operacional de Software
Objetivo de
Control Garantizar la integridad de los sistemas operativos.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.12.3.1
Se encuentran establecidos los procedimientos para
controlar la la instalación de software en los sistemas
operativos.
Dominio / Proceso Seguridad de las Comunicaciones / Gestión de la Seguridad de Red
Objetivo de
Control
Garantizar la protección de la información en las redes y su
procesamiento de la información.
Referecia
del
control
Descripción del Control Aplica
Si No N/A
A.13.1.1
Se encuentra establecido un procedimiento de gestión y
control de las redes para proteger la información en los
sistemas y aplicaciones?
5. CONCLUSIONES
Es de vital importancia para la ejecución de un proyecto, establecer un plan de trabajo y dar cumplimiento a las actividades propuestas acorde al cronograma planteado. En cuanto a los equipos de red, es importante conocer y distinguir las diferentes formas de configuración y la seguridad a instalar en ellos, evitando así filtraciones y modificaciones a la red.
La declaración de aplicabilidad permite a una empresa establecer un nivel de cumplimiento respecto a las normas ISO/IEC 27001, a parir de esto establecer controles que le permiten mejorar su sistema de gestión de la seguridad de la información proteger los datos de la compañía.
Definir un cuadro de riesgos y/o vulnerabilidades permitirá a la compañía disminuir los peligros relacionados al no cumplimiento y brindar una mayor protección de la información, con base en los procedimientos y controles que establezca para este fin.
Es importante implementar en cualquier organización normas, reglas y/o políticas, ya que es importante acoplar los procesos, recursos e información con las estrategias y objetivos de la organización con el fin de maximizar beneficios, capitalizar oportunidades y ventajas competitivas.
Las empresas deben comprender que la seguridad ya no es lujo, sino que es una necesidad para proteger el bien activo y más valioso de ella, los datos.
La seguridad informática para las organizaciones y personas, se ha convertido en una necesidad de todas las empresas hoy en día, pues han reconocido que así como la tecnología va avanzando con el pasar de los días, también avanzan las filtraciones de red, por lo que se reconoce como fundamental contar con un sistema de protección para la información. La organización deberá realizar auditorías internas como una de las actividades fundamentales dentro del proceso de retroalimentación y control de todo sistema para obtener información sobre el funcionamiento del SGSI. La empresa en coordinación con el área de gestión y recursos humanos debe realizar constantes charlas para exponer los riesgos de la seguridad informática a los empleados, describiendo los daños que causan los ataques y la forma en la que
ingresan al sistema y con ello lograr concientizar a las personas para lograr disminuir los riesgos y vulnerabilidades detectándolos y previniéndolos. A través de la implementación de un Sistema de Gestión de Seguridad Informática, la organización integra e institucionaliza buenas planificación y organización, adquisición e implementación, entrega de servicios y soporte y monitorización del rendimiento de TI relacionadas para soportar los objetivos de la organización. Al analizar los sistemas de seguridad de los dispositivos de red de borde encontrados en el datacenter Medune se observó que existen falencias en la seguridad tanto en sus métodos de acceso como en las políticas de seguridad debido a que no están orientadas ni cumplen con los parámetros de buenas prácticas en cuanto a protección y seguridad. Implementar controles de seguridad en los equipos de red, que permitan hacer cumplir el estándar ISO 27001:2013
BIBLIOGRAFÍA
UNAD. Investigación en Seguridad Informática. (2014). Disponible en: http://66.165.175.235/campus18_20142/file.php/596/entorno_de_conocimiento/Investigacion_en_seguridad_informatica.pdf
CONSTAIN G. E. Modelos Y Estándares De Seguridad Informática. (2012). Disponible en: http: //datateca.unad.edu.co/contenidos/233002/Periodo_2014-2/Entorno_de_conocimiento/MATERIAL_DIDACTICO.pdf
O4IT Colombia. Soluciones. (2014). Disponible en: http://cloudnow.com/
O4IT Colombia. (2014). Disponible en: http://o4it.com/es/
Emicuru J. Soluciones Datacenter. Disponible en: http://www.antel.com.uy/wps/wcm/connect/11d15900496ba5459bbc9f7c46b5f36a/Charla-datacenter.pdf?MOD=AJPERES
ISO2700.ES. SGSI. Disponible en: http://www.iso27000.es/sgsi.html
ICONTEC. Certificación del Sistema de Gestión de Seguridad de la Información con ISO/IEC 27001. (2013). Disponible en: http://www.icontec.org/index.php/en/sectores/agricultura-y-alimentos/50-colombia/certificacion-sistema/342-certificacion-iso-iec-27001 Puig T. Curso Implantación de un sistema de gestión de seguridad. (2008). Disponible en: http://www.mailxmail.com/curso-implantacion-sistema-gestion-seguridad D. Gonzales Trejo. ISO-27001:2013 ¿Qué hay de nuevo?. Magazcitum. (2013). Disponible en: http://www.magazcitum.com.mx/?p=2397 O4IT Colombia. MEDUNE Datacenter Operation. Datacenter Department (2013). M. Erb. Definición de Seguridad Informática. Gestión de Riesgo en la Seguridad Informática. Disponible en: https://protejete.wordpress.com/gdr_principal/definicion_si/
S. Zavala Trías, Guía a la redacción en el estilo APA, 6ta edición. UNAD. (2012) Disponible en: http: http://www.suagm.edu/umet/biblioteca/pdf/GuiaRevMarzo2012APA6taEd.pdf Avellaneda Cao J. ISO 27001:2013 - Análisis detallado de la nueva versión (4 de 4). (2013). Disponible en: http://blog.firma-e.com/iso-270012013-analisis-detallado-de-la-nueva-version-parte-4-de-4/ Definicion. Definición de Antivirus. Recuperado de: http://definicion.mx/antivirus/#ixzz3WAEjAyin Red Hat Enterprise Linux 4: Manual de seguridad. Seguridad de contraseñas. Disponible en: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html Karen Scarfone. SearchDatacenter. Tecnologías IPS/IDS: cambios e innovaciones. Disponible en: http://searchdatacenter.techtarget.com/es/consejo/Tecnologias-IPS-IDS-cambios-e-innovaciones Definición. DE. DEFINICIÓN DE RED DE DATOS. Disponible en: http://definicion.de/red-de-datos/#ixzz3WAD8iwQu Microsft Windows. ¿Qué es un firewall?. Disponible en: http://windows.microsoft.com/es-xl/windows/what-is-firewall#1TC=windows-7 Ledezma Milanez A. Que es un Rack?. (2012). Disponible en: http://sistemasencomunicaciones.blogspot.com/ Informática Hoy, Diferencias entre Hub, Switch y Router. Disponible en: http://www.informatica-hoy.com.ar/redes/Diferencias-entre-Hub-Switch-y-Router.php Internal Audit Checklist [ISO 27001 Templates]», 27001Academy. Disponible en: http://www.iso27001standard.com/documentation/internal-audit-checklist/.
Internal Audit Procedure [ISO 27001 Templates, 27001Academy. Disponible en: http://www.iso27001standard.com/documentation/internal-audit-procedure/.
Mendoza M. A. ¿Qué es una Declaración de Aplicabilidad (SoA) y para qué sirve?. Welivesecurity. (2015). Disponible en: http://www.welivesecurity.com/la-es/2015/04/01/que-es-declaracion-de-aplicabilidad-soa/
Red Hat Enterprise Linux. Manual de seguridad. Seguridad de las estaciones de trabajo. Disponible en: http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-wstation-pass.html
Mojsiejczuk G. Seguridad en los sistemas operativos. Universidad Nacional del Nordeste Facultad de Ciencias Exactas, Naturales y Agrimensura. (2007). Disponible en: http://exa.unne.edu.ar/informatica/SO/Monogrgaby.pdf
Universidad Nacional de Lujuan. Amenazas a la Seguridad de la Información. Disponible en: http://www.seguridadinformatica.unlu.edu.ar/?q=node/12
Alegsa. Definición de Hacker. Disponible en: http://www.alegsa.com.ar/Dic/hacker.php
Benitez M. Gestión Integral. Disponible en: http://www.gestionintegral.com.co/wp-content/uploads/2013/05/Pol%C3%ADticas-de-Seguridad-Inform%C3%A1tica-2013-GI.pdf
Wikipedia. Seguridad perimetral. (2014). Disponible en: http://es.wikipedia.org/wiki/Seguridad_perimetral
CIbanco. Consejos de seguridad banca electrónica. (2014). Disponible en: http://www.cibanco.com/consejosSeguridad_10.html
Alegsa. Definición de Malware. Disponible en: http://www.alegsa.com.ar/Dic/malware.php Jimeno Bernal J. Ciclo PDCA (Planificar, Hacer, Verificar y Actuar): El círculo de Deming de mejora continua. (2013). Disponible en: http://www.pdcahome.com/5202/ciclo-pdca/
ANEXOS
Anexo 1. SOA
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.5.1.1 Policies for information security
An information security policy document shall be approved by management, and published and communicated to all employees and relevant external parties. A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties.
A.5.1.2 Review of the policies for information security
The policies for information security shall be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability, adequacy and effectiveness.
A.6.1.1 Information security roles and responsibilities
All information security responsibilities shall be defined and allocated.
A.6.1.2 Segregation of duties
Conflicting duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA A.6.1.3 Contact with
authorities Appropriate contacts with relevant authorities shall be maintained.
A.6.1.4 Contact with special interest groups
Appropriate contacts with special interest groups or other specialist security forums and professional associations
A.6.1.5 Information security in project management
Information security shall be addressed in project management, regardless of the type of the project.
Contro
l Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.7.2.1 Management responsibilities
Management shall require all employees and contractors to apply information security in accordance with the established policies and procedures of the organization.
A.7.2.2 Information labelling and handling Information security awareness, education and training
All employees of the organization and, where relevant, contractors shall receive appropriate awareness education and training and regular updates in organizational policies and procedures, as relevant for their job function.
A.7.2.3 Disciplinary process
There shall be a formal and communicated disciplinary process in place to take action against employees who have committed an information security breach.
Contr
ol Referen
ce
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Documen
t
LR
CO
BR/BP
RRA
A.8.1.4 Return of assets
All employees and external party users shall return all of the organizational assets in their possession upon termination of their employment, contract or agreement.
A.8.2.1 Classification of information
Information shall be classified in terms of legal requirements, value, criticality and sensitivity to unauthorised disclosure or modification.
A.8.2.2 Labelling of information
An appropriate set of procedures for information labelling shall be developed and implemented in accordance with the information classification scheme adopted by the organization.
A.8.2.3 Handling of assets
Procedures for handling assets shall be developed and implemented in accordance with the information classification scheme adopted by the organization.
A.8.3.1 Management of removable media
Procedures shall be implemented for the management of removable media in accordance with the classification scheme adopted by the organization.
A.8.3.2 Disposal of media
Media shall be disposed of securely when no longer required, using formal procedures.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.8.3.3 Physical media transfer
Media containing information shall be protected against unauthorized access, misuse or corruption during transportation.
A.9.1.1 Access control policy
An access control policy shall be established, documented and reviewed based on business and information security requirements.
A.9.1.2 Access to networks and network services
Users shall only be provided with access to the network and network services that they have been specifically authorized to use.
Control title
Selected Controls and Reasons for selection
Justification for
Control
Reference
Control description
LR
CO
BR/BP
RRA
Applied?
exclusion or
reference Document A.9.2.1 User registration
and de-registration
A formal user registration and de-registration process shall be implemented to enable assignment of access rights.
A.9.2.2 User access provisioning
A formal user access provisioning process shall be implemented to assign or revoke access rights for all user types to all systems and services.
A.9.2.3 Management of privileged access rights
The allocation and use of privileged access rights shall be restricted and controlled.
A.9.2.4 Management of secret authentication information of users
The allocation of secret authentication information shall be controlled through a formal management process.
A.9.2.5 Review of user access rights
Asset owners shall review users’ access rights at regular intervals.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.9.2.6 Removal or adjustment of access rights
The access rights of all employees and external party users to information and information processing facilities shall be removed upon termination of their employment, contract or agreement, or adjusted upon change.
A.9.3.1 Use of secret authentication information
Users shall be required to follow the organization’s practices in the use of secret authentication information.
A.9.4.1 Information access restriction
Access to information and application system functions shall be restricted in accordance with the access control policy.
A.9.4.2 Secure log-on procedures
Where required by the access control policy, access to systems and applications shall be controlled by a secure log-on
A.9.4.3 Password management system
Password management systems shall be interactive and shall ensure quality passwords.
Contr
ol Referen
ce
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.9.4.4 Use of privileged utility programs
The use of utility programs that might be capable of overriding system and application controls shall be restricted and tightly controlled.
A.9.4.5 Access control to program source code
Access to program source code shall be restricted.
A.10.1.1 Policy on the use of cryptographic controls
A policy on the use of cryptographic controls for protection of information shall be developed and implemented.
A.10.1.2 Key management
A policy on the use, protection and lifetime of cryptographic keys shall be developed and implemented through their whole lifecycle.
A.11.1.1 Physical security perimeter
Security perimeters shall be defined and used to protect areas that contain either sensitive or critical information and information processing facilities.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.11.1.2 Physical entry controls
Secure areas shall be protected by appropriate entry controls to ensure that only authorized personnel are allowed access.
A.11.1.3 Securing offices, rooms and facilities
Physical security for offices, rooms and facilities shall be designed and applied.
A.11.1.4 Protecting against external and environmental threats
Physical protection against natural disasters, malicious attack or accidents shall be designed and applied.
A.11.1.5 Working in secure areas
Procedures for working in secure areas shall be designed and applied.
A.11.1.6 Delivery and loading areas
Access points such as delivery and loading areas and other points where unauthorized persons could enter the premises shall be controlled and, if possible, isolated from information processing facilities to avoid unauthorized access.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.11.2.1 Equipment siting and protection
Equipment shall be sited and protected to reduce the risks from environmental threats and hazards, and opportunities for unauthorized access.
A.11.2.2 Supporting utilities
Equipment shall be protected from power failures and other disruptions caused by failures in supporting utilities.
A.11.2.3 Cabling security Power and telecommunications cabling carrying data or supporting information services shall be protected from interception, interference or damage.
A.11.2.4 Equipment maintenance
Equipment shall be correctly maintained to ensure its continued availability and integrity.
A.11.2.5 Removal of assets
Equipment, information or software shall not be taken off-site without prior authorization.
Contr
ol Referen
ce
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.11.2.6 Security of equipment and assets off- premises
Security shall be applied to off-site assets taking into account the different risks of working outside the organization’s premises.
A.11.2.7 Secure disposal or reuse of equipment
All items of equipment containing storage media shall be verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use.
A.11.2.8 Unattended user equipment
Users shall ensure that unattended equipment has appropriate protection.
A.11.2.9 Clear desk and clear screen policy
A clear desk policy for papers and removable storage media and a clear screen policy for information processing facilities shall be adopted.
A.12.1.1 Documented operating procedures
Operating procedures shall be documented and made available to all users who need them.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.12.1.2 Change management
Changes to the organization, business processes, information processing facilities and systems that affect information security shall be controlled.
A.12.1.3 Capacity management
The use of resources shall be monitored, tuned and projections made of future capacity requirements to ensure the required system performance.
A.12.1.4 Separation of development, testing and operational environments
Development, testing, and operational environments shall be separated to reduce the risks of unauthorized access or changes to the operational environment.
A.12.2.1 Controls against malware
Detection, prevention and recovery controls to protect against malware shall be implemented, combined with appropriate user awareness.
A.12.3.1 Information backup
Backup copies of information, software and system images shall be taken and tested regularly in accordance with an agreed backup policy.
Control title
Selected Controls and Reasons for selection
Justification for
Control
Reference
Control description
LR
CO
BR/BP
RRA
Applied?
exclusion or
reference Document A.12.4.1 Event logging Event logs
recording user activities, exceptions, faults and information security events shall be produced, kept and regularly reviewed.
A.12.4.2 Protection of log information
Logging facilities and log information shall be protected against tampering and unauthorized access.
A.12.4.3 Administrator and operator logs
System administrator and system operator activities shall be logged and the logs protected and regularly reviewed.
A.12.4.4 Clock synchronisation
The clocks of all relevant information processing systems within an organization or security domain shall be synchronised to a single reference time source.
A.12.5.1 Installation of software on operational systems
Procedures shall be implemented to control the installation of software on operational systems.
A.12.6.1 Management of technical vulnerabilities
Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization’s exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.
Contro
l Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.12.6.2 Restrictions on software installation
Rules governing the installation of software by users shall be established and implemented.
A.12.7.1 Information systems audit controls
Audit requirements and activities involving verification of operational systems shall be carefully planned and agreed to minimise disruptions to business processes.
A.13.1.1 Network controls Networks shall be managed and controlled to protect information in systems and applications.
A.13.1.2 Security of network services
Security mechanisms, service levels and management requirements of all network services shall be identified and included in network services agreements,
Contr
ol Referen
ce
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.13.1.3 Segregation in networks
Groups of information services, users and information systems shall be segregated on networks.
A.13.2.1 Information transfer policies and procedures
Formal transfer policies, procedures and controls shall be in place to protect the transfer of information through the use of all types of communication facilities.
A.13.2.2 Agreements on information transfer
Agreements shall address the secure transfer of business information between the organization and external parties.
A.13.2.3 Electronic messaging
Information involved in electronic messaging shall be appropriately protected.
A.13.2.4 Confidentiality or nondisclosure agreements
Requirements for confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information shall be identified, regularly reviewed and documented.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.14.1.1 Information security requirements analysis and specification
The information security related requirements shall be included in the requirements for new information systems or enhancements to existing information systems.
A.14.1.2 Securing application services on public networks
Information involved in application services passing over public networks shall be protected from fraudulent activity, contract dispute and unauthorized disclosure and modification.
A.14.1.3 Protecting application services transactions
Information involved in application service transactions shall be protected to prevent incomplete transmission, mis-routing, unauthorized message alteration, unauthorized disclosure, unauthoriz
A.14.2.1 Secure development policy
Rules for the development of software and systems shall be established and applied to developments within the organization.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.14.2.2 System change control procedures
Changes to systems within the development lifecycle shall be controlled by the use of formal change control procedures.
A.14.2.3 Technical review of applications after operating platform changes
When operating platforms are changed, business critical applications shall be reviewed and tested to ensure there is no adverse impact on organizational operations or security.
A.14.2.4 Restrictions on changes to software packages
Modifications to software packages shall be discouraged, limited to necessary changes and all changes shall be strictly controlled.
A.14.2.5 Secure system engineering principles
Principles for engineering secure systems shall be established, documented, maintained and applied to any information system implementation efforts.
A.14.2.6 Secure development environment
Organizations shall establish and appropriately protect secure development environments for system development and integration efforts that cover the entire system development lifecycle.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.14.2.7 Outsourced development
The organization shall supervise and monitor the activity of outsourced system development.
A.14.2.8 System security testing
Testing of security functionality shall be carried out during development.
A.14.2.9 System acceptance testing
Acceptance testing programs and related criteria shall be established for new information systems, upgrades and new versions.
A.14.3.1 Protection of test data
Test data shall be selected carefully, protected and controlled.
A.15.1.1 Information security policy for supplier relationships
Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented.
A.15.1.2 Addressing security within supplier agreements
All relevant information security requirements shall be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.15.1.3 Information and communication technology supply chain
Agreements with suppliers shall include requirements to address the information security risks associated with information and communications technology services and product supply chain.
A.15.2.1 Monitoring and review of supplier services
Organizations shall regularly monitor, review and audit supplier service delivery.
A.15.2.2 Managing changes to supplier services
Changes to the provision of services by suppliers, including maintaining and improving existing information security policies, procedures and controls, shall be managed, taking account of the criticality of business information, systems and processes involved and re- assessment of risks.
A.16.1.1 Responsibilities and procedures
Management responsibilities and procedures shall be established to ensure a quick, effective and orderly response to information security incidents.
Contr
ol Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.16.1.2 Reporting information security events
Information security events shall be reported through appropriate management channels as quickly as possible.
A.16.1.3 Reporting information security weaknesses
Employees and contractors using the organization’s information systems and services shall be required to note and report any observed or suspected information security weaknesses in systems or services.
A.16.1.4 Assessment of and decision on information security events
Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.
A.16.1.5 Response to information security incidents
Information security incidents shall be responded to in accordance with the documented procedures.
A.16.1.6 Learning from information security incidents
Knowledge gained from analysing and resolving information security incidents shall be used to reduce the likelihood or impact of future incidents.
Contr
ol Referen
ce
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.16.1.7 Collection of evidence
The organization shall define and apply procedures for the identification, collection, acquisition and preservation of information, which can serve as evidence.
A.17.1.1 Planning information security continuity
The organization shall determine its requirements for information security and the continuity of information security management in adverse situations, e.g. during a crisis or disaster.
A.17.1.2 Implementing information security continuity
The organization shall establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during an adverse situation.
A.17.1.3 Verify, review and evaluate information security continuity
The organization shall verify the established and implemented information security continuity controls at regular intervals in order to ensure that they are valid and effective during adverse situations.
Contr
ol Referen
ce
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.17.2.1 Availability of information processing facilities
Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements.
A.18.1.1 Identification of applicable legislation and contractual requirements
All relevant legislative statutory, regulatory, contractual requirements and the organization’s approach to meet these requirements shall be explicitly identified, documented and kept up to date for each information system and the organization.
A.18.1.2 Intellectual property rights
Appropriate procedures shall be implemented to ensure compliance with legislative, regulatory and contractual requirements related to intellectual property rights and use of proprietary software products.
A.18.1.3 Protection of records
Records shall be protected from loss, destruction, falsification, unauthorized access and unauthorized release, in accordance with legislatory, regulatory, contractual and business requirements.
Contro
l Referenc
e
Control title
Control description
Selected Controls and Reasons for selection
Applied?
Justification for
exclusion or
reference Document
LR
CO
BR/BP
RRA
A.18.1.4 Privacy and protection of personally identifiable information
Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable.
A.18.1.5 Regulation of cryptographic controls
Cryptographic controls shall be used in compliance with all relevant agreements, legislation and regulations.
A.18.2.1 Independent review of information security
The organization’s approach to managing information security and its implementation (i.e. control objectives, controls, policies, processes and procedures for information security) shall be reviewed independently at planned intervals or when significant changes occur.
A.18.2.2 Compliance with security policies and standards
Managers shall regularly review the compliance of information processing and procedures within their area of responsibility with the appropriate security policies, standards and any other security requirements.
A.18.2.3 Technical compliance review
Information systems shall be regularly reviewed for compliance with the organization’s information security policies and standards.