ANALISIS DE VULNERABILIDADES PARA EL DEPARTAMENTO DE SISTEMAS EN EMPRESA LTDA,

ANALISIS DE VULNERABILIDADES PARA EL DEPARTAMENTO DE SISTEMAS EN EMPRESA LTDA,
BASADO EN ISO 27001:2005

@@@@@@@@@@@@

IX Cohorte No Id: ###########

UNIVERSIDAD PONTIFICIA BOLIVARIANA

FACULTAD  DE SISTEMAS

ESPECIALIDAD SEGURIDAD INFORMATICA

BUCARAMANGA

PROBLEMÁTICA

En empresa Ltda. el departamento de sistemas el cual es la administran el servidor web, de correo, firewall, servidores internos de datos y toda la infraestructura de datos (Cableado Estructurado) y al no contar con un análisis de vulnerabilidades, no se tiene conocimiento de los riesgos que presenta el departamento de sistemas con vulnerabilidades que pueden ser explotadas por personas malintencionadas el cual son el blanco predilecto para realizar daños a los sistemas de información junto con su infraestructura. También se puede decir que al no tener un análisis de vulnerabilidad no se puede estimar la valorización del impacto ya sea cualitativo o cuantitativo y así plantear una estrategia coherente y efectiva para mitigar estas amenazas.

PREGUNTA DE INVESTIGACION

Cómo determinar las vulnerabilidades/riesgos que se presentan en el área de sistemas de empresa Ltda.?

JUSTIFICACION

En el proceso de mejora continua con el cual se cuenta en empresa Ltda, se considera importante el implementar un proceso de seguridad de la información ya que no se cuenta con ninguno en estos momentos y así dar mejora a los sistemas de gestión integral con los que se cuentan actualmente como los son ISO:9001, ISO:14001, ISO:18001, SGE:21 entre otros.

Como paso importante para implementar un sistema de seguridad de la información basados en la norma ISO:27001 como base hay que identificar las vulnerabilidades con las que cuenta el departamento de sistemas de la empresa, dando esto paso al análisis de vulnerabilidades/riesgos como parte primordial en la seguridad de la información identificando también de qué forma se desea medir ya sea cuantitativamente o cualitativamente y asignarle la importancia adecuada.

OBJETIVO GENERAL

• Identificar, clasificar y valorar las amenazas/vulnerabilidades/riesgos del Departamento de Sistemas de Empresa Ltda mediante el estándar ISO 27001:2005 con el fin de proponer procedimientos de prevención y corrección.

OBJETIVOS ESPECIFICOS

• Identificar  las vulnerabilidades del departamento de sistemas de Empresa Ltda.
• Clasificar las amenazas/vulnerabilidades/riesgos encontradas en el departamento de sistemas de Empresa Ltda.
• Valorar las amenazas/vulnerabilidades/riesgos encontradas según su clasificación en el departamento de sistemas de Empresa Ltda.
• Determinar  los procedimientos de prevención y corrección de las amenazas/vulnerabilidades/riesgos encontradas en el departamento de sistemas de  Empresa Ltda.
• Recomendar a la alta dirección de Empresa Ltda la propuesta De prevención y corrección de las amenazas/vulnerabilidades/riesgos del Departamento de Sistemas.

MARCO TEORICO

“Las estrategias de riesgo reactivas se han denominado humorísticamente "Escuela de gestión del riesgo de Indiana Jones". En las películas, Indiana Jones, cuando se enfrentaba a una dificultad insuperable, siempre decía "¡No te preocupes, pensaré en algo!", nunca se preocupaba de los problemas hasta que ocurrían, entonces reaccionaba como un héroe.

Una estrategia considerablemente más inteligente para el control del riesgo es el ser proactivos.

La estrategia proactiva empieza mucho antes de que comiencen los trabajos técnicos.

Se identifican los riesgos potenciales, se valoran su probabilidad y su impacto y se establece una prioridad según su importancia. (Tomado de: http://www.um.es/docencia/barzana/IAGP/Iagp5.html)

Un sistema de gestión debe medir parámetros del sistema para poder mejorarlos, es pertinente en este momento traer un texto muy importante del Señor H. James Harrington, que dice: "La medición es el primer paso para el control y la mejora. Si algo no se puede medir, no se puede entender. Si no se entiende, no se puede controlar. Si no se puede controlar, no se puede mejorar. “

Entonces se deben identificar y medir los riesgos a que están expuestos los activos de información, esto debe ser parte fundamental de un sistema de gestión de la seguridad de la información que gestione y minimice el impacto de las vulnerabilidades o fallas inherentes de los activos.

La figura 1-13 muestra en forma gráfica el ciclo de gestión de riesgos que nunca termina en el sistema de gestión de la seguridad de la información:

Figura 1-12: Ciclo indefinido de la gestión del riesgo.

En Colombia la entidad de control “Superfinanciera” ha emitido la circular externa 041 de 2007, donde se aprueba la implementación del sistema de administración de riesgos operativos.

Esta misma superfinanciera define el riesgo operativo como la posibilidad de incurrir en pérdidas por deficiencias, fallas o inadecuaciones, en el recurso humano, los procesos, la Tecnología, la infraestructura o por la ocurrencia de acontecimientos externos que impactan negativamente el patrimonio de la organización.

Existen muchas metodologías para hacer análisis y gestión de riegos, la figura 1-13 muestra una lista muy corta:

Figura 1-13: Metodologías para el análisis de riesgos.

Punto de vista de la norma ISO/IEC 17799:2005/ISO27002:2005

Según la norma ISO/IEC 17799/27002:2005 la primera fuente para que una organización identifique sus necesidades de seguridad de la información es la valoración de sus riesgos.  Sin análisis de riesgos no se debe iniciar el sistema de gestión de la seguridad de la información.

La forma de abordar esta valoración es mediante la realización de un análisis de riesgos de los procesos críticos de la organización en forma sistémica y metodológica.

La norma ISO 27002:2005 no establece una metodología específica para realizar el análisis de riesgos, pero exige unos puntos básicos que se deben tener en cuenta:

...