Ejemplo y Resumen Magerit

  • Published on
    26-Oct-2015

  • View
    171

  • Download
    6

Transcript

  • MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de

    Informacin)

    Los responsables y los usuarios de la tecnologa de la informacin son

    conscientes de la necesidad de disponer de instrumentos tales como

    metodologas que ayuden a la investigacin del estado de seguridad de los

    sistemas de informacin (SI) y a la seleccin de medidas de seguridad

    proporcionadas, tanto para disminuir las insuficiencias de los sistemas existentes,

    como para aquellos otros que precisen de reforma o de nuevo desarrollo.

    No es posible una aplicacin racional de medidas de seguridad sin antes analizar

    los riesgos para as implantar las medidas proporcionadas.

    Para responder a esta necesidad, el Consejo Superior de Administracin

    Electrnica ha elaborado la Metodologa de Anlisis y Gestin de Riesgos de los

    Sistemas de Informacin, MAGERIT, un mtodo formal para investigar los riesgos

    que soportan los Sistemas de Informacin, y para recomendar las medidas

    apropiadas que deberan adoptarse para controlar estos riesgos.

    La razn de ser de MAGERIT est directamente relacionada con la generalizacin

    del uso de los medios electrnicos, informticos y telemticos, que supone unos

    beneficios evidentes para los ciudadanos, las empresas y la propia Administracin

    Pblica, pero que tambin da lugar a ciertos riesgos que deben minimizarse con

    medidas de seguridad que generen confianza en su utilizacin.

    MAGERIT propone la realizacin de un anlisis de los riesgos que implica la

    evaluacin del impacto que una violacin de la seguridad tiene en la organizacin;

  • seala los riesgos existentes, identificando las amenazas que acechan al sistema

    de informacin, y determina la vulnerabilidad del sistema de prevencin de dichas

    amenazas, obteniendo unos resultados que permitirn a la gestin de riesgos

    seleccionar e implantar las medidas de seguridad adecuadas para conocer,

    impedir, reducir o controlar los riesgos identificados y as reducir al mnimo su

    potencialidad o sus posibles perjuicios.

    Este Anlisis y Gestin de Riesgos determina la implantacin de medidas de

    salvaguarda que responden al objetivo de mantener la continuidad de los procesos

    organizacionales soportados por los sistemas de informacin.

    Asimismo intenta minimizar tanto el coste global de la ejecucin de dichos

    procesos como las prdidas de los recursos asignados a su funcionamiento.

    El Anlisis y Gestin de Riesgos es, en consecuencia, el corazn de toda

    actuacin organizada de materia de seguridad y, por tanto, de la gestin global de

    la seguridad. Influye incluso en las fases y actividades de tipo estratgico

    (implicacin de la direccin, objetivos, polticas) y condiciona la profundidad de las

    fases y actividades de tipo logstico (planificacin, organizacin, implantacin de

    salvaguardas, sensibilizacin, accin diaria y mantenimiento). La figura 7 muestra

    el ciclo de fases de la gestin global de la seguridad:

  • Ciclo de fases de la gestin global de la seguridad

    Herramienta EAR/PILAR

    El entorno de anlisis de riesgos EAR Pilar es una herramienta informtica para el

    anlisis de riesgos, basado en MAGERIT. Este software puede descargarse

    gratuitamente, en su versin de prueba, desde el enlace www.ar-tools.com/pilar.

    PILAR dispone de una biblioteca estndar de propsito general, y es capaz de

    realizar calificaciones de seguridad respecto de normas ampliamente conocidas

    como son:

    ISO/IEC 27002:2005 - Cdigo de buenas prcticas para la Gestin de la

    Seguridad de la Informacin.

  • SP800-53:2006 - Recommended Security Controls for Federal Information

    Systems.

    Criterios de Seguridad, Normalizacin y Conservacin del Consejo Superior

    de Informtica y para el Impulso de la Administracin Electrnica.

    Para el desarrollo y planificacin del anlisis de riesgos se ha seguido:

    Magerit versin 2 (Metodologa de Anlisis y Gestin de Riesgos de los

    Sistemas de Informacin), elaborada por el Consejo Superior de

    Administracin Electrnica.

    PILAR (Procedimiento Informtico y Lgico del Anlisis de Riesgos) se ha

    utilizado tanto para la valoracin de activos, como para la de

    Amenazas y la estimacin del riesgo potencial.

    En funcin del marco normativo, y sin entrar en demasiados detalles, puede

    asumirse que el esquema sobre el que finalmente se construye el SGP es

    el clsico

    PILAR

    Es una aplicacin, para el anlisis y gestin de riesgos de un Sistema de Informacin que Magerit

    ofrece.

    Las herramientas EAR (Entorno de Anlisis de Riesgos) soportan el anlisis y la gestin de riesgos

    de un sistema de informacin siguiendo la metodologa Magerit,

  • PILAR - Anlisis y Gestin de Riesgos

    Se analizan los riesgos en varias dimensiones: confidencialidad, integridad, disponibilidad,

    autenticidad y trazabilidad (accountability).

    Para tratar el riesgo se proponen

    salvaguardas (o contra medidas)

    normas de seguridad

    procedimientos de seguridad

    Los activos estn expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que est expuesto el sistema. Degradacin y frecuencia califican la vulnerabilidad del sistema.

    El gestor del sistema de informacin dispone de salvaguardas, que o bien reducen la frecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantacin de estas salvaguardas, el sistema pasa a una nueva estimacin de riesgo que se denomina riesgo residual.

  • PILAR, contiene un conjunto de herramientas que actualmente ofrece

    Anlisis cualitativo. Las valoraciones de los elementos (activos, amenazas y salvaguardas)

    se realiza por niveles, desde la irrelevancia hasta la mxima importancia o criticidad. Esto

    hace un anlisis rpido del que lo ms importante es la relativizacin de impactos y

    riesgos.

    Anlisis cuantitativo. Las valoraciones son numricas, tpicamente en trminos dinerarios.

    Esto hace el anlisis mucho ms preciso, si se consigue validar los datos empleados. El

    anlisis puede llegar a ofrecer resultados de recuperacin de la inversin en salvaguardas,

    en trminos de riesgo menguante.

    Es importante destacar el papel de la herramienta como ayuda al analista.

    primero, para introducir y consolidar datos, calculando los impactos y riesgos que se

    derivan de los valores introducidos.

    Y segundo, la herramienta permite la navegacin entre los diferentes puntos de vista,

    ayudando a la comprensin del sistema y de las razones que llevan a conclusiones.

    Anlisis y gestin no pueden verse como procesos ciegos que metabolizan de forma mgica los

    datos que entran. Muy al contrario, muchas veces el por qu es ms importante que el resultado

    final.

    Las herramientas emplean el concepto de categora de activos para organizar el inventario y para

    ayudar al analista en la identificacin de amenazas y salvaguardas relevantes. Las herramientas

    pueden hacer sugerencias al analista, basndose en la categora de los activos involucrados.

    Tambin se soporta la presentacin del riesgo como acumulado sobre los activos de soporte o

    repercutido en los servicios prestados.

    La herramienta busca un amplio espectro de utilizacin. En su vertiente ms ejecutiva (casi con

    toda seguridad, cualitativa) se busca poder levantar un primer plano de riesgos en una jornada, con

    resultados al menos orientados en la direccin correcta.

    La captura de datos y automatizacin permite que aquel esbozo rpido pueda ser refinado y

    mantenido capturando una caracterizacin ms precisa (probablemente cuantitativa) de la

    organizacin.

  • ETAPAS

    Planificacin

    Se establecen las consideraciones necesarias para arrancar el proyecto.

    Se definen los objetivos que ha de cumplir y el dominio (mbito) que abarcar.

    Se planifican los medios materiales y humanos para su realizacin.

    Se procede al lanzamiento del proyecto.

    Anlisis de riesgos

    Se identifican los activos a tratar, las relaciones entre ellos y la valoracin que merecen.

    Se identifican las amenazas significativas sobre aquellos activos y se valoran en trminos

    de frecuencia de ocurrencia y degradacin que causan sobre el valor del activo afectado.

    Se identifican las protecciones existentes y se valora la eficacia de su implantacin.

    Se estima el impacto y el riesgo al que estn expuestos los activos del sistema.

    Se interpreta el significado del impacto y el riesgo.

    Gestin de riesgos

    Se elige una estrategia para mitigar impacto y riesgo.

    Se determinan las protecciones oportunas para el objetivo anterior.

    Se disea un plan de seguridad (plan de accin o plan director) para llevar el impacto y el

    riesgo a niveles aceptables.

  • Creacin del Proyecto en Pilar

    Inventario de activos

    El primer paso fue generar un plano de la topologa de la red para determinar la

    ubicacin de los activos. El plano de la red de la Institucin se muestra en la

    Figura 10.

  • Topologa de la red del HSLV

    Se realiz un inventario de activos el cual se puede consultar en el anexo C. De

    estos activos los principales son:

    [BK] BACKUP: Este activo representa las copias de seguridad de la informacin

    de la base de datos que se realizan de forma automtica cada 8 horas y se guarda

    en un disco duro de un servidor, adems se realiza una copia diaria en DVD y una

    semanal externa que se entrega al jefe del rea de Informtica, Este activo es

    importante para la institucin en cuanto a que debe protegerse el acceso a las

    copias de seguridad porque contienen los datos de historia clnica y otros

    documentos que son de carcter confidencial por ley.

    [SO] SISTEMAS OPERATIVOS: Este activo agrupa todos los sistemas operativos

    presentes en los equipos del hospital como son Windows server 2003, Windows

  • XP, Windows Vista, Windows Seven y Centos los cuales poseen licencias

    empresariales.

    [OF] SOFTWARE OFIMTICO: Este activo agrupa todos los paquetes ofimticos

    instalados en los equipos del hospital como son Office 2003, Office 2007, Office

    2010 y open office los cuales poseen sus respectivas licencias.

    [DE] SOFTWARE DE DESARROLLO: Este activo agrupa todos los paquetes

    software que se utilizan para el desarrollo de aplicaciones en la institucin como

    son Microsoft Visual Studio 2008, Microsoft Visual Fox pro 8.0, Microsoft SQL

    server 2008 los cuales cuentan con sus respectivas licencias y paquetes de

    licencia GPL como MYsql, PHP.

    [NA] NAVEGADORES: Agrupa todos los navegadores instalados en los equipos

    del hospital como son: Internet Explorer, Mozilla Firefox, Google Chrome.

    [SM] SENDMAIL: Es el "agente de transporte de correo" (MTA - Mail Transport

    Agent) en Internet, cuya tarea consiste en "encaminar" los mensajes correos de

    forma que estos lleguen a su destino y se configuro para prestar el servicio de

    correo interno a los funcionarios del Hospital.

    [UV] VNC SERVIDOR CLIENTE: VNC es un programa de software libre basado

    en una estructura cliente-servidor el cual permite tomar el control del ordenador

    servidor remotamente a travs de un ordenador cliente y se utiliza en el hospital

    para acceder remotamente a los servidores desde la oficina de Informtica.

  • [FS] FIRESTARTER: Firestarter es una herramienta de cortafuegos personal

    libre y de cdigo abierto que usa el sistema (iptables/ipchains) Netfilter incluido en

    el ncleo Linux y se configuro satisfacer los requerimientos mnimos de seguridad

    de la red del hospital.

    [EJ]: EJABBERD es un servidor de mensajera instantnea (M.I) de cdigo

    abierto (GNU GPL) para plataformas Unix (BSD, GNU/Linux, etc), Microsoft

    Windows y otras.

    [PA] PANDION: Un cliente de mensajera instantnea es una aplicacin que

    permite al usuario hacer uso de la mensajera instantnea.

    [AN] ANTIVIRUS: Es una herramienta cuyo objetivo es detectar y eliminar virus

    informticos. En el hospital se encuentra instalado el antivirus Symantec Endpoint

    Protection.

    [DG] DINAMICA GERENCIAL: DGH es un Sistema Modular Completamente

    Integrado para el Manejo Mdico, Operativo y Financiero para IPS Pblicas y

    Privadas. Consta de ms de 35 mdulos que integran totalmente el rea Cientfica

    con la Facturacin y Contabilidad. Es decir, desde el mismo acto mdico (Historia

    Clnica Digital) se afecta en forma automtica todo el sistema de informacin.

    DGH cumple con todas las normas exigidas por la Ley para el manejo Financiero,

    Facturacin Ley 100 e Historia Clnica, adems que cumplimos con estndares

    internacionales como HL7, XML, DICOM, TELEMEDICINA, entre otros.

    Dinmica Gerencial fue comprada por el hospital y es el programa principal de

    interaccin de los usuarios del hospital con las bases de datos de informacin.

  • [PH] PLATAFORMA DEL HOSPITAL: Es una aplicacin creada por el

    desarrollador de aplicaciones del hospital para satisfacer necesidades de

    informacin propias de la institucin.

    [SQ] SQL SERVER: Microsoft SQL Server es un sistema para la gestin de bases

    de datos producido por Microsoft.

    [TB] THUNDERBIRD: Es un cliente de correo electrnico el cual permite a los

    funcionarios tener un acceso fcil a sus correos internos.

    [IIS] INTERNET INFORMATION SERVICES (IIS): Es un servidor web y un

    conjunto de servicios para el sistema operativo Microsoft Windows. Este servicio

    convierte a una PC en un servidor web para Internet o una intranet, es decir que

    en las computadoras que tienen este servicio instalado se pueden publicar

    pginas web tanto local como remotamente.

    Este servidor se instal para permitir la creacin del sitio web que utiliza la

    aplicacin Dinmica Gerencial para sus actualizaciones.

    Este inventario se ingres en la herramienta Pilar como se muestra en la Figura 11

  • Activos

    Despus de ingresar los activos y clasificarlos se realiza la ponderacin mediante

    un anlisis cualitativo de los mismos. Se realiza la ponderacin en base a cinco

    aspectos fundamentales que son:

  • [I] (INTEGRIDAD DE LOS DATOS): Que pondera el impacto que tendra en la

    organizacin el hecho de que la informacin que se maneja para prestar el servicio

    fuera incorrecta o incompleta.

    [C] (CONFIDENCIALIDAD DE LOS DATOS): Que pondera el impacto que

    tendra en la organizacin el hecho de que la informacin que se maneja para

    prestar el servicio fuera accedida por personas no autorizadas.

    [A] (AUTENTICIDAD DE LOS DATOS): Que pondera el impacto que tendra en

    la organizacin el hecho de que no se pueda saber a ciencia cierta quin ha

    accedido a la informacin que se maneja para prestar el servicio.

    [T] (TRAZABILIDAD DE LOS DATOS):Que pondera el impacto que tendra en

    la organizacin el hecho de que no se pueda saber qu se ha hecho con la

    informacin que se maneja para prestar el servicio o no se pudiera conocer quin

    hace qu y cundo con el servicio.

    [D] (DISPONIBILIDAD): Que pondera el impacto que tendra en la organizacin

    el hecho de que se dejara de prestar el servicio.

    De esta ponderacin se obtuvo que los activos ms crticos para la institucin son:

    En la categora de aplicaciones SQL SERVER, DINAMICA GERENCIAL Y EL

    BACKUP ya que estos utilizan la informacin de historia clnica y financiera de la

    institucin y estas ltimas son el core del negocio de la institucin. La Figura 12

    muestra la ponderacin obtenida para este grupo de activos

    Figura 1 Ponderacin de activos aplicaciones

  • En la categora de equipos los activos ms crticos son servidor de base de datos

    ya que este contiene las aplicaciones de gestin de base de datos y el servidor de

    antivirus ya que es muy importante que evitar que se pueda propagar un virus por

    medio de la red y afectar el funcionamiento del sistema de informacin. Se puede

    observar tambin que el servidor eros tiene una alta ponderacin en cuanto a

    disponibilidad ya que es el controlador de dominio y permite el ingreso a los

    terminales a los usuarios. La ponderacin para este grupo de activos se muestra

    en la Figura 13.

  • Figura 2 Ponderacin activos equipos

    En la categora de servicios son los servicios de bases de datos y antivirus ya que

    de ellos depende disponibilidad y estabilidad del sistema de informacin por las

    razones mencionadas en las categoras anteriores. La ponderacin para este

    grupo de activos se muestra en la Figura 14.

    Figura 3 Ponderacin activos Servicios internos

    Se debe tener en cuenta que las reas de servidores cuentan con dos circuitos

    elctricos de respaldo, ups y el hospital cuenta con plantas elctricas de respaldo.

    Los servidores de bases de datos tienen una configuracin en clster para

    respaldar la cada de un servidor. De esta forma se determina que los activos

    relacionados con la base de datos son los ms crticos porque el acceso a esta

    debe tener una alta disponibilidad.

  • Identificacin de amenazas

    Se realiz una evaluacin de amenazas basado en la frecuencia de

    materializacin de la amenaza para lo cual se define la frecuencia como:

    Frecuencia: Cuando una amenaza se valora, permite definir la posibilidad de que

    ocurra en funcin de la cantidad de veces que se puede materializar dicha

    amenaza en un ao (esta es la opcin por defecto) y se utiliz la siguiente escala:

    0,1 - una vez cada 10 aos

    1 - todos los aos

    Todos los meses

    100 - todos los das

    Como se puede observar en la Figura 15 el activo Backup es el que presenta

    mayores posibilidades de materializacin de amenazas ya que el acceso no

    autorizado puede materializarse todos los das y tiene varias amenazas con

    frecuencia de 10 que significa que se pueden materializar en cada mes.

    Amenazas activos Backup

    Con respecto a los activos de aplicaciones la amenaza ms frecuente es los

    errores de mantenimiento o actualizacin de software como se muestra en la

  • Figura 16 debido a que se produciran cuando se realice mantenimiento

    programado sobre los equipos o por a una falla de las aplicaciones de los mismos.

    Figura 4 Amenazas activos aplicaciones

    Con respecto a los activos de equipos la amenaza ms frecuente es la cada del

    sistema por agotamiento de recursos como se muestra en la figura 17, ya que de

    estos los ms esenciales como son los servidores y switches principales se

    encuentran en reas con acceso solo al personal autorizado por lo cual la

    amenaza depende de los recursos instalados en los equipos.

    Figura 5 Amenazas activos equipos

  • En los activos de comunicaciones la amenaza ms frecuente es la denegacin de

    servicio como se muestra en la Figura 18 ya que puede ocasionar la cada de

    servicios en diferentes partes de la empresa.

    Figura 6 Amenazas activos comunicaciones

    Con respecto a los activos de servicios internos las amenazas ms frecuentes son

    la cada del sistema por agotamiento de recursos como se muestra en la Figura 19

    ya que depende de los recursos del equipo donde se encuentra instalado el

    servicio y denegacin de servicio porque est expuesto a ataques software como

    hardware.

    Figura 7 Amenazas activos Servicios internos

    Impacto

    El anlisis de impacto nos indica que las consecuencias de las materializaciones

    de las amenazas son crticas para los activos SQL SERVER, DINAMICA

    GERENCIAL Y EL BACKUP como se observa en la Figura 20.

  • El impacto se muestra con la siguiente escala de colores segn su valor:

    {5} o ms: Crtico (Rojo)

    {4}: Muy alto (Rosado)

    {3}: Alto (Amarillo)

    {2}: Medio (Azul)

    {1}: Bajo (Verde)

    {0}: Despreciable

    {OFF}: Este activo, o uno del que depende, est marcado como

    /indisponible.

    Figura 8 Impacto

  • Riesgos

    En la Figura 21 se puede observar que los riesgos son ms crticos para los

    activos de backup, los activos relacionados con la base de datos y el software de

    Dinmica Gerencial.

    Figura 9 Riesgos

    Identificacin de Vulnerabilidades

    La identificacin de vulnerabilidades se realiz mediante una visita a las

    instalaciones para realizar una inspeccin visual de los activos, entrevistas con el

    personal encargado del manejo de los recursos informticos y la utilizacin de

    herramientas de ethical hacking y anlisis de vulnerabilidades.