Aporte3_fase 2. Desarrollar El Analisis de Riesgos.
Short Description
Descripción: Análisis de Riesgos Magerit...
Description
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360 PROGRAMA: ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA CURSO: MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA TRABAJO FASE 2. DESARROLLAR EL ANÁLISIS DE RIESGOS PRESENTADO POR RUTH YADIRA MOSQUERA PARRA CÓDIGO 35604928 CURSO 233002A_360
PRESENTADO A ING. SALOMÓN GONZÁLEZ
MARZO 2017
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360
INTRODUCCIÓN La seguridad informática, en el trascurso de los años, se ha convertido de mayor prioridad para las organizaciones mediante el manejo de las TIC; ayudando a una mejor prestación de servicios a las empresas y ciudadanos, implementando políticas, procedimientos y métodos con el cual se salvaguarda los principios de la seguridad, CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD. Para ello es importante implementar los modelos y estándares de la información, ya que con estos se podrá encontrar los Lineamientos, Políticas, Normas, Procesos, que ayudara a manejar, controlar e implementar, las estrategias para un correcto funcionamiento, pero todo esto se logra con el apoyo constante de la alta gerencia, lo que ayuda a incentivar a los involucrados a buen manejo y aplicación de los sistema para contrarrestar la vulnerabilidad a la información. Hoy en día las empresas a través de modelos, estándares y normas pueden establecer y definir un patrón en sus organizaciones con la finalidad de crear procesos, procedimientos y estrategias para un manejo adecuado de la información y su tratamiento; es así como se puede establecer una adecuada protección de todos los activos que componen la tecnologías de la información y comunicaciones y por ende cumplir con la misionalidad y objetivos de la organización. Por todo lo anterior y teniendo más clara la perspectiva general de la materia, así como el estudio y revisión del, modulo y actividades; se da la posibilidad de presentar en este trabajo colaborativo, mediante el análisis de riesgos para las actividades sugeridas para una Pymes y determinar a través de unos aportes grupales la importancia definiendo cada punto planteado. Este trabajo es realizado teniendo en cuenta la metodología de MAGERIT, debido a que hay varios acercamientos al problema de analizar los riesgos soportados por los sistemas TIC, Como pueden ser guías informales, aproximaciones metódicas y herramientas de soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los sistemas. Es por ello que en MAGERIT se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista, por lo que en la Planificación del Análisis del Riesgos se establecen las consideraciones necesarias para arrancar este tema en la empresa.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360
OBJETIVOS 1. identificar una PYME (pequeña o mediana empresa) 2. Realizar el análisis de riesgos basado en La metodología MAGERIT de la empresa escogida. 3. Reconocer de los diferentes métodos para el Análisis de Riesgos en relación a la empresa. 4. Realizar el levantamiento de los activos de información que posee la empresa. 5. Realizar el plan de tratamiento de los riesgos con base en la norma ISO 27001: 2013
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360
SITUACIÓN PLANTEADA 1. El grupo colaborativo identificará una PYME (pequeña o mediana empresa) y determinará para la empresa en cuestión los siguientes aspectos: 2. Levantamiento de Información: Realizar el levantamiento de los activos de información que posee la empresa. 3. Análisis de riesgos: Realizar el análisis de riesgos con base en la metodología MAGERIT. 4. Plan de Tratamiento de Riesgos. Se debe realizar el plan de tratamiento de riesgos con base en la norma ISO 27001: 2013.
DESARROLLO DEL PLANTEAMIENTO 1.- La empresa que tomaremos como ejemplo para el desarrollo de la actividad se llama Hablemos de Salud SAS. Es una empresa que se encuentra en la ciudad de Bogotá. Es una empresa que trabaja prestando servicios de salud inicialmente de oftalmología, y tiene aproximadamente 30 empleados. Esta empresa Cuenta con activos informáticos como datos, e información de los pacientes, cuenta con una infraestructura acorde con el desarrollo de las actividades tales como equipos médicos, estructura de red, planta telefónica entre otras.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360 2.- LEVANTAMIENTO DE LOS ACTIVOS DE INFORMACIÓN QUE POSEE LA EMPRESA.
TIPO
ACTIVOS
Servicios
Datos/ Información
Aplicaciones (Software)
Equipos informáticos Hardware Redes de Comunicaciones
Soportes de Información Instalaciones Personal
La empresa Hablemos de salud presta servicios de oftalmología, exámenes diagnósticos y servicio de parqueadero Reglamento interno de trabajo, procesos, formatos, Código Fuente: páginas web de la empresa Código Ejecutable: historias clínicas, agenda Programas, aplicativos, desarrollos: Historia Clínica, Agenda, Páginas Web, firewall, sistemas operativos (Windows), programa de control de acceso, Windows server 8 Computadores, servidor, planta telefónica, cámaras de seguridad, equipos médicos Impresoras, teléfonos, datafonos, cito fonos Red Local Internet Red telefónica Red inalámbrica Memorias USB Discos duros Edificio HDS Administrador del sistema y Desarrolladores de páginas web
INFORME DE EVALUACION DE RIESGOS
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360
Análisis de Riesgos Empresa Hablemos de Salud SAS. Según la metodología Magerit el primer paso en el análisis de riesgos contempla el inventario de activos. Recepción Edificio HDS N° 2
Descripción computadores Dell
1
Cámara fotográfica
1
Lector de Huella
1
Pantalla
1
Teléfono
1
Citófono
Servicio de ACG N°
Descripción
2
computadores
1
teléfono
1
Tonómetro
1
Campo Visual
Finalidad Recepción de Pacientes Tomar foto de Pacientes que ingresen al edificio Toma huella de pacientes que ingresen al edificio Proyectar presentaciones acerca de la Salud Comunicación interna y externa Comunicación ascensor
Finalidad Uso de Enfermera comunicación Externa e interna Toma Presión intraocular de ojo Realzar examen del campo visual
Categoría
Criticidad
Hw, Sw, SI
Alto
Hw
Alto
Hw
Alto
Hw
Alto
Hw
Alto
Hw
Alto
Categoría
Criticidad
Hw, Sw, SI
Alto
Hw
Medio
Hw, Sw, SI
Alto
Hw, Sw, SI
Alto
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360 Servicio de Parqueadero N°
Descripción
1
computador
1
datafono
1
impresora
Servicio Alta Visión Recepción N° 3
Descripción Computadores Dell
1
impresora
3
teléfonos
1
datafono
Preconsulta N°
Descripción
7
computadores LG
2
diademas
2
cámaras de Segmento Anterior
1
Topógrafo
1
Campimetro
1
Optec 6500
1
Optec 5000
1
Tonómetro de no
Finalidad uso del acomodador Transacciones es en línea Imprimir recibos
Categoría
Criticidad
Hw, Sw, SI
Alto
Hw, Sw, Si
Alto
Hw
Alto
Finalidad Categoría Servicio al cliente Hw, Sw, SI Impresiones de Hw recibos Comunicación Hw externa o interna Transacciones es Hw, Sw, Si en línea
Criticidad Alto
Finalidad Categoría Realización de exámenes Hw, Sw, SI oftalmológicos Comunicación Hw externa Realiza examen Hw, Sw, SI para pacientes Realizar Examen Hw de Cornea Realizar Examen Hw de campo Visual Realizar Examen Hw de agudeza visual Evalúa el grado del contraste que Hw puede ver un paciente Mide la presión HW
Criticidad
medio medio Alto
Alto medio Alto Alto Alto Alto Alto Alto
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360 contacto 1 Educación N°
Cámara Retinal
Descripción
2
computadores HP
2
mini computadores HP
2
Teléfonos
1
impresora Samsung
Oftalmología N°
Descripción
4 1 1 1 1
Intraocular Realizar Examen de fondo de ojo Finalidad Servicios de Educación para pacientes Presentación de videos de educación Comunicación con Pacientes Impresiones de Formulas medicas
Hw
Alto
Categoría
Criticidad
Hw, Sw, SI
Alto
Hw, Sw, SI
Medio
Hw
Medio
Hw
Alto
Finalidad Categoría Servicios de computadores HP HW,SW, SI Oftalmología Uso del Doctor lámpara de Hendidura para revisar el ojo HW,SW, SI del paciente Uso del Doctor Tonómetro para revisar el ojo Hw del paciente Evalúa el oftalmoscopio indirecto segmento anterior Hw del ojo pantalla visión Uso para paciente HW,SW, SI
Servicio de Procedimientos menores N°
Descripción
1
computador LG
Finalidad Uso del doctor revisión de historia clínica
Criticidad Alto Alto Alto Medio Medio
Categoría
Criticidad
HW,SW, SI
Alto
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360
1 1 1
Realiza Lámpara de hendidura procedimientos menores Realiza Yag laser procedimientos menores Realiza SLT laser procedimientos menores
Administración N°
Descripción
7
computadores
3
impresoras
5
teléfonos
Gerencia General N° 2
Descripción Computadores
1
impresora
1
teléfono
1
televisor
Tinking Room N°
Descripción
4
computadores
2
impresoras
1
televisor
1
teléfono
Hw
Alto
Hw
Alto
Hw
Alto
Categoría
Criticidad
Hw, Sw, Si
Alto
Hw
Medio
Hw
Medio
Finalidad uso del gerente impresiones Varias Comunicación Externa e interna reuniones
Categoría Hw, Sw, Si
Criticidad Alto
Hw, Sw, Si
Medio
Hw
Medio
Hw
Medio
Finalidad uso de administrativos Impresiones varias Capacitaciones comunicación externa e interna
Categoría
Criticidad
Hw, Sw, Si
Alto
Hw
Alto
Hw
Medio
Hw
Medio
Finalidad Uso de administrativos impresión varias comunicación externa e interna
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360 Edificio N° 60 6
Descripción cámaras de seguridad alarmas de seguridad
Cuarto de Servidores N°
Descripción
1
servidor
1
Amplificador Red local Internet Red Telefónica
Soporte de información N°
Descripción Memorias USB Discos duros
Personal N° 1
Datos/
Descripción Persona
Finalidad Vigilar el edificio y sus alrededores Seguridad de Edificio
Categoría
Criticidad
Hw, Sw, SI
Alto
Hw, Sw, SI
Alto
Categoría
Criticidad
Hw, Sw, SI
Alto
Hw
Medio
Hw, SW, SI
Alto
Hw, SW, SI
Alto
Hw, SW, SI
Alto
Finalidad Guardar la información Guardar la información Guardar la información
Categoría
Criticidad
Hw
Medio
Hw
Medio
Hw
Alto
Finalidad Administrador del Sistema
Categoría
Criticidad
Persona
Alto
Finalidad Proyectar toda la información a la empresa Proyectar la música en todo el Edificio Comunicación de carpetas locales Comunicación Externa Comunicación externa
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360 Información N°
Descripción Base de datos
Leyes o reglamentos Código Fuente Código Ejecutable Servicio Exámenes Diagnósticos N°
Descripción
7
computadores
6
impresoras
1
Teléfono
1
datafono
1
Campo visual
1
Pentacam
1
OCT
1
Tracey
1
tonómetro
1
BFA
Finalidad Almacenar información Pacientes El reglamento interno del trabajo de la institución Páginas Web Historia Clínica, Agenda
Categoría
Criticidad
Sw
Alto
Sw
Alto
Sw
Alto
Sw
Alto
Finalidad uso de Enfermera para realizar exámenes médicos Imprimir Exámenes Médicos Comunicación con pacientes Transacciones es en línea Realiza el examen de Campo visual Realiza el examen de paquimetría Realiza el examen de OCT Realiza el examen de Realiza la toma de presión de ojo Realiza la toma de presión sanguínea del ojo
Categoría
Criticidad
HW,SW, SI
Alto
Hw
Medio
Hw
Medio
Hw, Sw, Si
Alto
Hw, Sw, Si
Alto
Hw, Sw, Si
Alto
Hw, Sw, Si
Alto
Hw, Sw, Si
Alto
Hw, Sw, Si
Alto
Hw, Sw, Si
Alto
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360
1
Comunicación desde recepción hasta el consultorio
Citófono
Hw
Alto
3. ANÁLISIS DE RIESGOS: REALIZAR EL ANÁLISIS DE RIESGOS CON BASE EN LA METODOLOGÍA MAGERIT. El análisis de riesgos se llevó a cabo en la empresa Hablemos de Salud SAS, para esto se utilizó la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT) en su versión 3.0, que dispone de cinco fases y de la cual se creyó pertinente el uso de cuatro de ellas, las cuales son: establecer los activos para la organización, determinar a qué amenazas están expuestos los activos, apreciar el impacto y el riesgo. En la primera fase se establecieron los activos relevantes de la empresa Hablemos de Salud SAS, logrando un inventario actualizado del hardware y el software, los procesos de la empresa por área, las dependencia que tienen los activos, el análisis y el levantamiento de la información. En la segunda fase identificaremos las posibles amenazas que se pueden presentar en los activos, como acontecimientos que pueden ocurrir causando daños y perjuicio para los activos de la empresa. IDENTIFICACIÓN DE AMENAZAS SOBRE CADA ACTIVO Representan los diferentes riesgos a que están expuestos los activos de información de la empresa Hablemos de Salud SAS y el factor de dicho riesgo.
TIPO DE RIESGO Robo de hardware
FACTOR Alto
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360 Robo de información Accesos no autorizados Alteración de información Fallas en los equipos Virus Informáticos Equivocaciones
Alto Alto Alto Medio Medio Medio
Fraude
Bajo
Fuego
Muy Bajo
Terremotos
Muy Bajo
Inundaciones
Muy bajo
Vandalismo
Muy bajo
Tabla No.1 Factor de riesgo NIVELES DE RIESGOS Para encontrar los niveles de riesgo en la empresa hablemos de Salud SAS, debemos identificar el factor de probabilidad de materialización de las amenazas. PROBABILIDAD DE OCURRENCIA Bajo
1
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD Escuela de Ciencias Básicas, Tecnología e Ingeniería Especialización en Seguridad Informática – Modelos y Estándares de Seguridad Informática - Curso 233002A_360 Medio
2
Alto
3
Tabla No.2. Probabilidad de ocurrencia de una amenaza IMPORTANCIA DEL RIESGO. Mide la importancia de riesgo para la empresa hablemos de Salud SAS, en caso de llegarse a materializar. IMPORTANCIA DEL RIESGO Bajo
1
Normal
2
Alto
3
Crítico
4
Tabla No. 3. Factor de importancia del riesgo
NIVEL DE RIESGO = IMPORTANCIA DEL RIESGO * PROBABILIDAD DE RIESGO Criticidad del riesgo Se mide de acuerdo al factor de nivel de riesgo, sea este bajo, medio, alto o crítico, entre unos rangos establecidos.
RANGO INFERIOR
NIVEL DEL RIESGO
RANGO SUPERIOR
0>=
Bajo
=
Medio
=
Alto
=
Crítico
View more...
Comments