metodologia cramm-centro de computo

7/21/2019 Metodologia Cramm-Centro de Computo

http://slidepdf.com/reader/full/metodologia-cramm-centro-de-computo 1/13

INSTITUTO TECNOLÓGICO

DE TUXTEPEC

METODOLOGIA SCRAMM APLICADAAL CENTRO DE CÓMPUTO DELINSTITUTO TECNOLOGICO DE

TUXTEPEC

UNIDAD II

Alumnos:

Andrés Antonio PavónJosé Víctor Carrera CastroFeliciano Gonzalo AlejandroRicardo Vázquez PavónJesús Duque ArzateAlejandro Santos Sandoval

Catedrático:

M.C. María luisa acosta sanjuán

Materia: Auditoría en Seguridad Informática

Semestre: 7to

TUXTEPEC, OAX. A 14 DE NOVIEMBRE DEL 201



INTRODUCCION

Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas,

que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso dela información que reside en una organización.

Mediante una auditoría realizada al Centro de Cómputo del Instituto Tecnológico de Tuxtepec,se busca establecer las posibles amenazas que ponen en riesgo los activos informáticos en estadependencia, empleando la metodología Cramm, aplicando los conocimientos obtenidospreviamente en la investigación de dicha metodología.



OBJETIVO GENERAL

Desarrollar un Plan de Gestión de Riesgos para el Centro de Cómputo del Instituto Tecnológico

de Tuxtepec, mediante el uso de la metodología Cramm.

OBJETIVOS ESPECIFICOS

● Identificar los activos que hacen parte del Centro de Cómputo, y por lo tanto sonimportantes para su funcionamiento.

● Describir las posibles amenazas que actúan sobre los activos.● Analizar las posibles vulnerabilidades que puedan presentarse.● Establecer los posibles riesgos potenciales a los que está expuesto el Centro de

Cómputo del Instituto Tecnológico de Tuxtepec mediante la identificación de amenazas yvulnerabilidades que implementa la metodología Cramm

● Determinar los posibles mecanismos utilizados como salvaguardas.



INSTITUTO TECNOLOGICO DE TUXTEPEC: CENTRO DE CÓMPUTO

El Centro de Cómputo es un departamento del Instituto Tecnológico de Tuxtepec, cuyo objetivoes el de prestar servicios tales como el uso de los laboratorios destinados a la enseñanza dedistintas materias que se relacionen con el uso de equipos informáticos.

Objetivo

Brindar una adecuada asistencia y asesoría técnica para que se optimice el uso de recursostecnológicos tanto de hardware como de software.Mantener en buen funcionamiento los servidores, equipos de cómputo y comunicación y softwareen el Instituto Tecnológico de Tuxtepec.

Funciones

● Planear, coordinar, controlar y evaluar las actividades de desarrollo de sistemas yservicios de cómputo.

● Elaborar el programa operativo anual y el anteproyecto de presupuesto del Centro deCómputo y presentarlos a la Subdirección de Servicios Administrativos, para loconducente.

● Aplicar la estructura orgánica autorizada para el Centro de Cómputo y los procedimientosestablecidos.

● Organizar, coordinar y controlar los servicios de almacenamiento, captura y explotaciónde información del Instituto Tecnológico de Tuxtepec.

● Establecer y mantener actualizados los sistemas de captación, validación y explotaciónde información del Instituto Tecnológico de Tuxtepec.

● Coordinar el análisis, diseño y programación de sistemas de los procesos aprobados.● Controlar la operación y mantenimiento del equipo de cómputo, así como la

infraestructura del Centro de Cómputo.● Realizar estudios de factibilidad para la selección de equipo y servicio de cómputo, a fin

de mantenerlos actualizados en el Instituto Tecnológico de Tuxtepec.



METODOLOGÍA CRAMM

La metodología CRAMM define tres fases para la realización del análisis de riesgos:

Fase 1: Establecimiento de objetivos de seguridad:

Definir el alcance del estudio.

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevasplataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, haabierto nuevos horizontes a las empresas para mejorar su productividad y poder implementarsus servicios en un entorno mucho más amplio, lo cual lógicamente ha traído consigo, la apariciónde nuevas amenazas para los sistemas de información.

Las políticas de seguridad informática surgen como una herramienta organizacional paraconcienciar a los colaboradores de la organización sobre la importancia y sensibilidad de lainformación y servicios críticos que permiten a la empresa crecer y mantenerse competitiva,asegurando el buen uso de los recursos informáticos y la información como activos de unaorganización, manteniéndolos libres de peligros, daños o riesgos.

Identificar y evaluar los activos físicos que forman parte del sistema.

Los activos son aquellos recursos (hardware/software), que tiene y explota una organización.

● Centros de datos● Servidores● Equipos de escritorio● Equipos móviles● PDA● Teléfonos móviles● Enrutadores● Conmutadores de red● Equipos de fax● PBX● Medios extraíbles (por ejemplo, cintas, disquetes, CD-ROM, DVD, discos duros portátiles,

Dispositivos de almacenamiento PC Card, dispositivos de almacenamiento USB, etc.)● Fuentes de alimentación● Sistemas de alimentación ininterrumpida● Sistemas contra incendios



● Sistemas de aire acondicionado

Identificar y evaluar los activos de software que forman parte del Sistema.

● Software de aplicación de servidor● Software de aplicación de usuario final● Herramientas de desarrollo● Sistema de Información Académico● Sitios Web internos

Fase 2: Evaluación de riesgos:

Identificar y valorar el tipo y nivel de las amenazas que pueden afectar al sistema.

Se conoce como Amenaza al evento accidental o provocado, que puede ocasionar daño opérdida de recursos. Pueden ser de Origen (Amenazas naturales, de agentes externos y/ointernos) o de intencionalidad (Accidentes, errores, actuaciones malintencionadas).

El Centro de Cómputo del Instituto Tecnológico de Tuxtepec, día a día está expuesta a estostipos de amenazas, dentro de las cuales encontramos:

Origen: Amenazas Naturales: Ocasionando la pérdida total o parcial de la Infraestructura de ésta división:

● Terremotos.● Inundaciones.● Incendios.● Explosión.

Amenazas de Agentes Externos: Provienen de agentes externos al Centro de Cómputo puedencausar graves pérdidas de información, tiempo, e incluso dinero.

● Virus informáticos, gusanos, caballos de Troya.● Intrusos en la red (Accesos de Usuarios no permitidos).● Pérdida o Robo de la información.● Conflictos Sociales.● Fallas eléctricas.● Robo de equipos usado para el manejo de la información.



Amenazas de Agentes Internos: Provienen de agentes internos al Centro de Cómputo, éstas sonmucho más costosas, debido a que el infractor tiene mayor acceso a la información.

● Descuido por parte de encargados.● Uso indebido del Acceso a Internet por parte de los alumnos.● Errores en la utilización de herramientas y recursos del sistema.

● Conflictos entre empleados del Centro de Cómputo que pongan en riesgo laconfidencialidad de la información.

Intencionalidad: Accidentes:

● Daño del Hardware utilizado dentro del Centro de Cómputo (equipos, servidores,cableado).

● Incendio o inundación provocados ya sea por el personal del Centro de Cómputo, algúndaño en el Hardware o por un agente externo.

Errores:● Fallas dentro de alguno de los sistemas de información.● Falla de Servidores.● Desgaste o daño permanente del Hardware.● Software desactualizado.● Ejecución defectuosa de procedimientos.

Actuaciones Malintencionadas:● Actividades fraudulentas por parte de los empleados del Centro de Cómputo con el fin de

obtener algún beneficio económico o social.

● Fuga de información a través del personal que ingresa de manera temporal en sustituciónde empleados por discapacidad laboral.

Valorar las vulnerabilidades de los sistemas ante las amenazas identificadas.

Una vulnerabilidad es una debilidad que puede ser aprovechada por una amenaza y ocasionarpérdidas. Pueden presentarse a nivel de diseño, implementación, y/o uso del sistema o lossistemas de información dentro del Centro de Cómputo.

Diseño● Diseño deficiente del cableado estructurado.● Mala configuración en las bases de datos.● Debilidad en el diseño de protocolos utilizados en las redes.● Políticas de seguridad insuficiente o inexistente.

Implementación● Errores de programación.● Existencia de “BackDoors” en los sistemas informáticos.



● Descuido de los fabricantes.Uso

● Fallas en los sistemas.● Pérdida de medios.● Mala configuración de los sistemas informáticos.

● Desconocimiento y falta de sensibilización de los usuarios y de los responsables deinformática.

● Compatibilidad.● Recalentamiento de dispositivos.● Deficiencia en alguno de los equipos o servidores.● Condiciones ambientales no aptas para el uso de los sistemas.

Los tipos de Vulnerabilidades más conocidos a nivel del sistema son:

● Vulnerabilidad de desbordamiento de buffer: Si algunos de los programas no controla lacantidad de datos que se copian en buffer, puede llegar un momento en que se sobrepasela capacidad del buffer y los bytes que sobran se almacenan en zonas de memoriaadyacentes.

● Vulnerabilidad de condición de carrera (race condition): Si varios procesos acceden almismo tiempo a un recurso compartido puede producirse este tipo de vulnerabilidad. Esel caso típico de una variable, que cambia su estado y puede obtener de esta forma un

valor no esperado.

● Vulnerabilidad de Cross Site Scripting (XSS): Es una vulnerabilidad de las aplicacionesweb, que permite inyectar código VBSript o JavaScript en páginas web vistas por elusuario. El phishing es una aplicación de esta vulnerabilidad. En el phishing la víctimacree que está accediendo a una URL (la ve en la barra de direcciones), pero en realidadestá accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en estesitio las estará enviando a un lugar incorrecto.

● Vulnerabilidad de denegación del servicio: La denegación de servicio hace que un servicioo recurso no esté disponible para los usuarios. Suele provocar la pérdida de laconectividad de la red por el consumo del ancho de banda de la red de la víctima osobrecarga de los recursos informáticos del sistema de la víctima.

● Vulnerabilidad de ventanas engañosas (Window Spoofing): Las ventanas engañosas sonlas que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo único quequieren es que el usuario de información. Hay otro tipo de ventanas que si las siguesobtienen datos del ordenador para luego realizar un ataque.



Combinar las valoraciones de amenazas y vulnerabilidades para calcular la medida de losriesgos.

Un riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad,causando un determinado impacto en la organización. Luego de un análisis detallado de lasposibles amenazas y vulnerabilidades, obtenemos que los posibles riesgos son los siguientes:

● Corrupción de la información. Modificación o eliminación de datos existentes en las basesde datos y creación de nueva información falsa y errónea.

● Pérdida de información debido a fallos en los dispositivos de almacenamiento que ocurrenpor factores ambientales, mal manejo de las herramientas, desgaste por el tiempo devida.

● Acceso a información Confidencial. Los usuarios de los sistemas de información delCentro de Cómputo, tanto trabajadores de este como estudiantes, tienen acceso ainformación específica de acuerdo a las necesidades de cada uno.

● El correcto funcionamiento de los computadores, servidores y demás equipos se puedenver afectados por la infección de virus informáticos como troyanos, gusanos, bombaslógicas, hoax, joke, entre otros, robando así información, alterando el sistema delhardware, dando control a usuarios externos de controlar los equipos principales y siendomolestos para las actividades normales.

Fase 3: Identificación y selección de contramedidas.

Las contramedidas deben ser apropiadas a la naturaleza del riesgo, deben aplicarse en elmomento adecuado, y deben ser lo suficientemente flexibles para adaptarse a la situación.

1. Mecanismos de identificación y autenticación

Físicos: ● Solicitud del documento de identidad que lo identifica como personal o alumno del

Instituto Tecnológico de Tuxtepec.● Actualización permanente de los datos.

Tecnológicos: ● La forma habitual de autorizar una persona es por medio de un identificador de usuario

y una clave, y asociando a este usuario una serie de permisos . Por ello, es de vitalimportancia que estos usuarios y sus claves sean custodiados de forma adecuada.



2. Mecanismos de control de acceso

Físicos:

● La implementación de Bitácoras de Acceso por parte del personal de Vigilancia, conel fin de garantizar de que los ingresos a las áreas restringidas, sea sólo por personalautorizado.

● Instalación de cámaras de Seguridad en las entradas y en los puntos críticos, donde secreería que se requiere mayor vigilancia.

Virtuales: ● Los dos tipos más importantes de sistemas de detección de intrusos son los basados en

red y los basados en host:• Basados en red: Estos detectores son aplicaciones que están conectadas a la

red interna de la empresa y analizan todo el tráfico detectando anomalías quepuedan indicar que hay intrusos. La ventaja de estos sistemas es que sirven paratodos los equipos de una red, aunque si el tráfico de la red está cifrado no sueleser muy eficientes.• Basados en host: Estos detectores están instalados en la misma máquina a

proteger y analizan un comportamiento anómalo en el equipo. Estos sistemassuelen ser más eficientes aunque tienen el inconveniente de tener que instalarseen cada ordenador a proteger

● La función fundamental de un cortafuegos es la de limitar y controlar el tránsito deinformación entre una red externa (por ejemplo Internet) de una red interna (la Intranet).Las funciones de un cortafuego son varias:• Permite bloquear el acceso a determinadas páginas de Internet (por ejemplo, algunas

de uso interno de una empresa).• Monitorizar las comunicaciones entre la red interna y externa. • Controlar el acceso a determinado servicios externos desde dentro de una empresa (porejemplo, puede evitar que los empleados de una empresa usen Internet paradescargarse ficheros).

3. Mecanismos de separación

● Garantizar la persistencia de los datos, mediante la ejecución periódica de copias deseguridad o backups con el fin de salvaguardar la información.

4. Mecanismos de seguridad en las comunicaciones

● Realizar un mantenimiento periódico a la planta física, y a la infraestructuratecnológica, con el fin de mejorar la funcionalidad de los procesos institucionales.

● La criptografía es una disciplina muy antigua cuyo objeto es la de ocultar la informacióna personas no deseadas.



● Practicar la protección de la información cuando viaja por la red mediante laimplementación de protocolos seguros, tipo SSH o Kerberos, que cifran el tráfico por lared.

ANEXO A

Depende de: No aplicaFunción general Planear, preparar y realizar las Auditorias internasFunciones especificas 1. Planear y preparar la Auditoria.

2. Comunicar y establecer los requisitos de la auditoria.

3. Dirigir el proceso de auditoria en el periodo planificado4. Verificar que el SGC o el SGSI, es conforme con las

disposiciones planificadas en la norma con los requisitos del

SGC o el SGSI, según corresponda.

5. Verificar que el SGC o el SGSI implementado se mantiene de

manera eficaz.

6. Planear y realizar las actividades y atribuciones de sus

responsabilidades efectiva y eficientemente.

7. Informar al área auditada los hallazgos obtenidos durante el

proceso.

8. Documentar las observaciones.

9. Redactar las no conformidades encontradas del SGC o del

SGSI en la SAC.

10. Elaborar y presentar el informe de auditoría.

Requisitos mínimos depuesto

Título Profesional Universitario.

Curso de Auditor Interno ISO 27001.

Deseable Formación del Auditor ISO 27001

Experiencia profesional mínima de tres años en ejecución de

auditorías de sistemas de gestión de calidad o de sistemas

de gestión de seguridad de la información.

HabilidadesComunicación efectiva Versátil

Mentalidad abierta Integridad ycomportamiento ético

Perceptivo Liderazgo

Decidido Observador

Respeto y trabajo en equipo Tenaz

PERFIL DEL PUESTO DEL AUDITOR INTERNO

Título:

Código:

Anexo:

Versión:

Página:

PROCEDIMIENTO DE AUDITORÍA INTERNA

ITTUX-MEJ-PR-01

A

02

11/12



Organización y planificación Seguro de sí mismo

Diplomático

ANEXO B

Título:

Código:

Anexo:

Versión:

Página:

PROCEDIMIENTO DE AUDITORÍAS INTERNAS ITTUX-MEJ-PR-03 B 00 12/12

EVALUACION DEL AUDITOR INTERNO

Instituto Tecnologico deTuxtepec

Evaluado:

Fecha:

Evaluador:

Norma de referencia:

N° CRITERIOS DEEVALUACION MUY

SATISFACTORIO

BASTANTESATISFACTORIO

POCOSATISFACTORIO

NADASATISFACTORIO

CONOCIMIENTO Y DESEMPE O COMO AUDITOR

1 conocimiento de la norma iso 27001-2013, segun corresponda2 conocimiento de la norma iso 27001-2013, segun corresponda3 Haber completado y aprobado el curso de informacion de auditores,

corespondiente4 Experiencia como auditor interno

5 Desempeño satisfactorio en auditoria(s) previa(s)6 Haber realizado inducciones y cursos al personal respect al SGC o al

SGSI, segun correponda.7 Haber realizado las auditorias en el period programado

CONOCIMIENTO Y DESEMPE O GENERAL

8 conocimiento de los procesos de la organizacion9 Conocimientos de los objetivos, alcanse y criterios de la auditoria



10 Conocimiento de la documentacion del SGC o del SGSI, seguncorresponda

11 Experiencia laboral en la organizacion (minimo seis (6) meses)12 Desempeño general en la organizacion

HABILIDADES DEL AUTOR13 Comunicacion efectiva (informa y se informa de los demas )14 Mentalidad abierta (dispuesto a considerar ideas alternativas)15 Perceptivo (cosciente y capaz de entender las situaciones)16 Decidido (alcanza conclusions oportunas basadas en el analisis y

razonamientos logicos )17 Respect y trabajo en equipo (actua y colabora efectivamente con los

demas )18 Organizacion y planificacion (organiza y dispone de las cosas

logrando fluidez en sus actividades)19 Diplomatico (contacto en las relaciones con las personas )20 Versatile (se adapta facilmente a diferentes situaciones)21 Integridad y comportamiento etico (imparcial, sincere, honesto y

discreto)22 Liderasgo (capacidad para dirigir un grupo)23 Observador (consciente del entorno fisico y las actividades)24 Tenaz (persistente, orientado hacia el logro de los objetivos)25 Seguro de si mismo(actua en forma independiente)

RESUMENCRITERIOS DE CALIFICACION

CALIFICATIVO PORCENTAJCONOCIMIENTO Y DESEMPEÑO COMO AUDITOR 0.00 muy satisfactorio >4 - 5CONOCIMIENTO Y DESEMPEÑO GENERAL 0.00 bastante

satisfactorio>3 – 4

HABILIDADES DEL AUDITOR 0.00 satisfactorio >2 – 3RESULTADO* Poco satisfactorio >1 – 2

0-00 Nada satisfactorio < 1

OBSERVACIONES / ACCIONES A TOMAR

metodologia cramm-centro de computo

Documents