IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE

KAREN ROCIO MONTES SANTACRUZ

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA

DEPARTAMENTO DE OPERACIONES Y SISTEMAS PROGRAMA INGENIERÍA INFORMÁTICA

SANTIAGO DE CALI 2014

IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE

KAREN ROCIO MONTES SANTACRUZ

Proyecto de Grado para optar por el título de Ingeniero Informático

Director Miguel José Navas Jaime

Ingeniero de Sistemas

UNIVERSIDAD AUTÓNOMA DE OCCIDENTE

FACULTAD DE INGENIERÍA DEPARTAMENTO DE OPERACIONES Y SISTEMAS

PROGRAMA INGENIERÍA INFORMÁTICA SANTIAGO DE CALI

2014

3

Nota de aceptación:

Aprobado por el Comité de Grado en

cumplimiento de los requisitos exigidos por la Universidad Autónoma de Occidente para optar al título de Ingeniero Informático. MARIO WILSON CASTRO Jurado

SANTIAGO DE CALI, 10 de Julio de 2014

4

AGRADECIMIENTOS Se hace muy difícil agradecer a todo el mundo llenando una sola página diciendo nombres propios, por eso diré los que sinceramente estuvieron conmigo en el desarrollo de este proyecto y que de una u otra forma depositaron su confianza en mí, apoyándome y que creyeron en mí sobre mis conocimientos básicos. Le soy muy agradecida a Dios por permitir que mis padres, Diomedes Montes Montaño y Melba Cecilia Santacruz Campo, estuvieran conmigo dándome su apoyo incondicional sobre el trabajo de grado que se realizó con éxito, mis padres siempre se esmeraron en darme la mejor educación y valores para tener un excelente progreso en la vida como persona con educación. A mi hermana Juli Angélica Quintero Santacruz, en ella siempre he recibido consejos como hermana mayor y ocupa un grandísimo lugar en mi corazón, a ella también le agradezco por la confianza y el apoyo.

Agradezco a la Universidad Autónoma de Occidente, a los docentes que con su dedicación y empeño se recibieron sus conocimientos con paciencia para formarme como una gran profesional, a el Director de Programa de Ingeniería Informática Cesar Pardo Calvache, quien me brindo apoyo y herramientas para mi formación profesional y a mi director de proyecto de grado Miguel José Navas Jaime, quien con me colaboró como guía académico sobre mi proyecto.

De igual manera agradezco a la División de Tecnologías de la Universidad Autónoma de Occidente, especialmente al Ingeniero Jorge Armando Rojas por aportarme excelentes conocimientos para mi vida profesional y brindarme la confianza absoluta sobre el desarrollo de este proyecto.

De igual manera agradezco a mis demás familiares, amigos, y compañeros que me brindaran su apoyo, confianza y ánimo, para que mis metas y demás propósitos se cumplieran y que hoy en día se convirtieran en realidad siendo una gran profesional.

5

CONTENIDO

pág.

GLOSARIO 12

RESUMEN 13

INTRODUCCIÓN 14

2. ANTECEDENTES 15 3. PROBLEMA DE INVESTIGACIÓN 21 3.1. PLANTEAMIENTO DEL PROBLEMA 21 4. JUSTIFICACIÓN 23 5. OBJETIVOS 24 5.1. OBJETIVO GENERAL 24 5.2. OBJETIVOS ESPECÍFICOS 24 6. MARCO DE REFERENCIA 25 6.1. MARCO TEORICO 25 6.2. NORMA ISO/IEC 31000: 2009 27 6.3. METODOLOGÍA OCTAVE 30 6.4. ESTANDAR DE SEGURIDAD DE LA INFORMACIÓN 34 6.5. NORMA ISO/IEC 27001: 2013 35 6.6. NORMA ISO/IEC 27002: 2013 37 6.7. ANEXO A 38 6.8. SEGURIDAD FÍSICA 40 6.9. ESTANDARES DE SEGURIDAD FÍSICA 44 6.10. NORMA ANSI/EIA/TIA 942 46 7. DESARROLLO DEL PROYECTO 49

6

7.1. FASE 1 – VISTA ORGANIZACIONAL 50 7.1.1. Activos críticos 50 7.1.2. Perfil de amenazas 50 7.1.3. Requerimientos de seguridad 51 7.1.4. Prácticas actuales de seguridad 51 7.2. FASE 2 – VISTA TECNOLOGICA 54 7.2.1. Vulnerabilidades tecnológicas 54 7.3. FASE 3 – ANÁLISIS DE RIESGOS 57 7.3.1. Identificación y evaluación de riesgos 57 7.3.2. Estrategia de protección y planes de mitigación de riesgos 57 7.3.3. Valoración de los campos de la matriz análisis de riesgos 58 7.3.3.1. Valoración del activo 58 7.3.3.2. Riesgo neto 58 7.3.3.3. Riesgo residual 58 7.4. PLANTILLAS 59 7.4.1. Plantilla 01, información sobre el activo del centro de datos 59 7.4.2. Plantilla 02, análisis de riesgos 62 7.4.3. Plantilla 03, controles de la ISO 27002 seleccionados 65 7.5. CRITERIOS DE VALORACIÓN 67 7.5.1. Probabilidad de ocurrencia 67 7.5.1.1. Amenaza 67 7.5.1.2. Vulnerabilidad 67 7.5.2. Relevancia de activo 67 7.5.2.1. Confidencialidad 67 7.5.2.2. Integridad 68 7.5.2.3. Disponibilidad 68 7.5.3. Controles de la organización 68 7.5.3.1. Control 68 7.5.3.2. Controles de la norma 69 7.6. ESCALA DE VALORACIÓN 72 7.6.1. Riesgo neto 72 7.6.2. Riesgo residual 72 7.7. EJEMPLOS 72 7.7.1. Cuadro de ejemplos de activos físicos 72 7.7.2. Cuadro de ejemplos de amenazas informáticas 73 7.7.3. Cuadro de ejemplos de vulnerabilidades 75 8. METODOLOGÍA DE LA INVESTIGACIÓN 76 9. RESULTADOS 78 9.1. ANÁLISIS DE RIESGOS DEL CENTRO DE DATOS 78 9.2. RECOMENDACIONES PARA LOS CONTROLES EXISTENTES 80 DEL CENTRO DE DATOS

7

9.3. POLÍTICA ESPECÍFICA DEL CONTROL DEL ACCESO FÍSICO 80 AL CENTRO DE DATOS 10. CONCLUSIONES 81 11. RECOMENDACIONES 83

BIBLIOGRAFÍA 87

ANEXOS 90

8

LISTA DE FIGURAS

pág.

Figura 1. Principales fases de la seguridad de la información 26

Figura 2. Relaciones entre los principios, el marco de referencia y los 27 procesos para la gestión del riesgo Figura 3. El proceso de la metodología octave 31 Figura 4. Componentes del catálogo de prácticas octave 33 Figura 5. La serie de la norma ISO/IEC 27000 34 Figura 6. Dominios de la norma ISO/IEC 27002: 2013 37 Figura 7. Controles de la norma ISO/IEC 27002: 2013 39 Figura 8. Guía de desarrollo metodológico 49 Figura 9. Fase 1 – metodología octave 50 Figura 10. Fase 2 – metodología octave 54 Figura 11. Fase 3 – metodología octave 57

9

LISTA DE CUADROS

pág.

Cuadro 1. Comparación de métodos biométricos 20

Cuadro 2. Nueva estructura de la norma ISO/IEC 27001: 2013 35

Cuadro 3. Descripción de los estándares de seguridad física 44

Cuadro 4. Prácticas estratégicas – conciencia de seguridad y 53 formación Cuadro 5. Prácticas estratégicas – estrategia de seguridad 53 Cuadro 6. Prácticas estratégicas – gestión de seguridad 53 Cuadro 7. Prácticas estratégicas – planes de contingencia / 53 recuperación de desastres Cuadro 8. Prácticas operacionales – seguridad física. Planes de 55 seguridad física y procedimientos Cuadro 9. Prácticas operacionales – seguridad física. Control de 56 acceso físico Cuadro 10. Prácticas operacionales – seguridad física. Monitoreo 56 y auditoría de seguridad física Cuadro 11. Prácticas operacionales – personal de seguridad. 56 Manejo de incidentes Cuadro 12. Prácticas operacionales – personal de seguridad. 56 Personal de prácticas generales Cuadro 13. Cuadro descriptivo de activos físicos 59 Cuadro 14. Plantilla 01, Información sobre el Activo del Centro de Datos 61 Cuadro 15. Plantilla 02, Análisis de Riesgos 64 Cuadro 16. Plantilla 03, Controles de la ISO 27002 seleccionados 66

10

Cuadro 17. Cuadro descriptivo de valoración de una amenaza 67 Cuadro 18. Cuadro descriptivo de valoración de una vulnerabilidad 67 Cuadro 19. Cuadro descriptivo de valoración del impacto del activo 68 Cuadro 20. Cuadro descriptivo de evaluación del control de la 69 organización Cuadro 21. Cuadro descriptivo de los controles de la norma 69 Cuadro 22. Cuadro descriptivo de riesgo residual 72 Cuadro 23. Cuadro de ejemplos de activos físicos 73 Cuadro 24. Cuadro de ejemplos de amenazas informáticas 73 Cuadro 25. Cuadro de ejemplos de vulnerabilidades informáticas 75

11

LISTA DE ANEXOS

pág.

Anexo A. Información sobre el activo de información 90

Anexo B. Catálogo de prácticas – metodología octave 91

Anexo C. Análisis de riesgos 97

Anexo D. Controles de la ISO 27002 seleccionados 97

12

GLOSARIO

ESTANDAR: es un modelo para establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información cuyo diseño e implementación están influenciados por necesidades y objetivos, requisitos de seguridad, los procesos empleados, el tamaño y la estructura de la Organización, para asegurar controles de seguridad suficientes y proporcionales que protejan los activos de información y brinden confianza en las partes interesadas.

INFORMACIÓN: es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.

ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION): es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.

POLÍTICA: conjunto de normas y procedimientos establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma.

SARI: es un documento que contiene información confidencial de la Universidad. “Sistema de Administración de Riesgos de la Información”.

SEGURIDAD: cotidianamente se puede referir a la seguridad como ausencia de riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia.

13

RESUMEN

La información es uno de los activos más importantes que tiene una compañía, por esto se hace necesario que los procesos y sistemas de información que la gestionan a diario deban ser protegidos de amenazas que afectan la continuidad del negocio y la no consecución de los objetivos organizacionales.

Actualmente la información vital de una organización se encuentra en equipos informáticos y redes de datos, también se puede encontrar información vital en documentos físicos ya sea en carpetas físicas, en libros de contabilidad, etc. Todo esto hace que dichos equipos, redes o documentos físicos estén expuestos a diferentes riesgos e inseguridades por cualquier ente como una persona experta en seguridad informática o una organización externa, esto hace que la información sea afectada directamente en la disponibilidad, integridad y confidencialidad.

Por lo tanto, para proteger a las organizaciones de estos riesgos es necesario conocerlas y afrontarlas de una manera adecuada, para ello se deben establecer unos procedimientos apropiados para mitigar los riesgos, tanto en amenazas como en vulnerabilidades.

En el presente documento se ilustra el proceso que se debe llevar a cabo en una organización, en este caso en la Universidad Autónoma de Occidente, para conocer los riesgos a los que se encuentra expuesto el activo de información el cual está en el Centro de Datos en la misma Universidad, para luego determinar una serie de políticas, procedimientos y controles físicos de seguridad de la información, que permitirán mantener el riesgo en un nivel aceptable por la dirección de la organización.

Palabras claves: Seguridad de la información, Seguridad informática, Análisis de Riesgos, Seguridad Física, Controles físicos, Amenazas, Vulnerabilidades, Activos de Información, Gestión de Riesgos, Norma ISO/IEC 27001 y Norma ISO/IEC 27002.

14

INTRODUCCION

En la actualidad muchas empresas se relacionan con el tema de la Seguridad Informática y Seguridad de la Información para proteger la información de su propia organización. Siendo así que estas organizaciones deben de tener muchos activos de información importantes que contienen información confidencial de la misma empresa. Pero no solo debe ser confidencial la información sino también debe ser privada ya que no todos los empleados deben tener esa disponibilidad de acceder esa información, es decir, solo personal autorizado puede obtener todo tipo de datos posibles.

Por lo tanto, la seguridad de la información tiene varias fases que se relacionan con los sistemas de información. Para ello existe un Modelo de Defensa de Profundidad que manifiesta toda clase de seguridad que puede tener un sistema de información, es decir este sistema de información puede ser atacado por un hacker o un ente de otra organización, y éste modelo protege el sistema mismo y su propia información.

Para este proyecto se realizará el análisis de seguridad física de los centro de datos de la Universidad Autónoma de Occidente, identificando sus controles físicos según la norma ISO/IEC 27002 que es el código de las buenas prácticas; también se utilizará la norma ISO/IEC 27001 donde se observan los objetivos de cada fase de la seguridad de la información. Y por último se hará una identificación de riesgos, análisis de riesgos y evaluación de riesgos, con la ayuda de la norma ISO/IEC 31000 que trata sobre la gestión de riesgos que puede ser impactada en una organización.

15

2. ANTECEDENTES

La seguridad de la información es un concepto que hoy en día todas las organizaciones tienen en cuenta, unas más que otras pero se maneja para proteger la información confidencial. Esto se ve nacional o internacionalmente ya sea en empresas públicas o privadas y en universidades.

A continuación se mostrarán dos proyectos de grado, el primero es de Buenos Aires que se trata sobre la Metodología para el Aseguramiento de Entornos Informatizados, y el segundo proyecto de grado se relaciona con La Seguridad en el Centro de Computo.

En la Universidad de Buenos Aires se encontró una tesis de grado “Metodología para el Aseguramiento de Entornos Informatizados1”, el cual su propósito es formalizar una metodología práctica y factible para convertir entornos informatizados inseguros en entornos protegidos, y lograr una clara evaluación de los mismos, teniendo en cuenta el objetivo y los procesos del negocio.

Su principal objetivo es proveer a los Ingenieros en Informática el Análisis de Sistemas de una herramienta con modelos estructurados para que, de forma ordenada y efectiva, les facilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones, para luego implementarlas con éxito y así lograr una efectiva protección y documentación del entorno efectivo.

Cuando se habla de incidentes de Seguridad, o problemas de Seguridad Informática se refieren a:

Acceso no autorizado a la información. Descubrimiento de información. Modificación no autorizada de datos.

1 BISOGNO, María Victoria. Metodología para Aseguramiento de Entornos Informatizados [en línea]. Trabajo de grado Ingeniero Informático. Buenos Aires: Universidad de Buenos Aires. Facultad de Ingeniería, 2004. 234 p. [consultado: 14 de Noviembre 2013]. Disponible en: http://materias.fi.uba.ar/7500/bisogno-tesisdegradoingenieriainformatica.pdf.

16

Invasión a la privacidad. Denegación de servicios.

Los niveles que cubrirá el proyecto son:

Nivel físico. Nivel lógico. Nivel de la organización.

En la parte de Seguridad Física, al momento de asegurar en este nivel, se tiene en cuenta lo siguiente:

Protección del acceso a los servidores. Protección de los equipos. Controlar el acceso del personal y determinar a qué usuarios se le puede

permitir el uso de los distintos recursos y a cuáles se les debe restringir.

En cuanto al alcance a nivel físico el proyecto como tal, tiene en cuenta lo siguiente:

Protección del edificio contra el acceso físico no autorizado. Protección de las oficinas del sector de Cómputo contra el acceso físico no

autorizado. Protección del hardware e instalaciones del sector de cómputo y de ventas

contra el acceso físico no autorizado. Protección de la red de comunicaciones de toda la empresa contra el acceso

físico no autorizado. Protección de Cables. Protección de Servidores. Protección de la conexión wireless.

Un proyecto de grado denominado “SEGURIDAD EN EL CENTRO DE COMPUTO2”, elaborado para obtener el grado de Licenciado en Administración de Sistemas de Información, presenta los siguientes elementos que como antecedentes son referente para el presente trabajo:

2 PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. Trabajo de Grado Licenciado en Administración de Sistemas de Información, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: http://www.tesis.ufm.edu.gt/pdf/3574.pdf

17

La Seguridad de la Información bajo dos aspectos importantes:

Negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, el cual también se le puede llamar protección de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales.

Garantizar el acceso, a todos los datos importantes, a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado.

2.1. Principales ataques potenciales y destrucción en un Centro de

Cómputo

Ingeniería Social: Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían; aunque a nadie le gusta ser manipulado, en algunos casos no es excesivamente perjudicial (por ejemplo un vendedor puede aplicar ingeniería social para conocer las necesidades de un cliente y ofrecer así mejor sus productos), si las intenciones de quien la pone en práctica no son buenas se convierte quizás el método de ataque más sencillo, menos peligroso para el atacante y por desgracia en uno de los más efectivos.

Shoulder surfing: Consiste en “espiar” físicamente a los usuarios, para obtener generalmente claves de acceso al sistema. Por ejemplo, una medida que utilizan muchos usuarios para recordar sus contraseñas es apuntarlas en un papel pegado al monitor de su computador o escribirlas en la parte de abajo del teclado; cualquiera que pase por delante del puesto de trabajo, sin problemas puede leer el usuario y clave de acceso, e incluso el nombre de la máquina a la que pertenecen.

Masquerading: Consiste simplemente en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno; esta suplantación puede realizarse en persona o electrónicamente, un usuario utiliza para acceder a una máquina un login y password que no le pertenecen. Específicamente en este último caso, la suplantación en persona, es un ataque relativo tanto a la seguridad física del entorno de operaciones como a la seguridad del personal.

Basureo o scavenging: La técnica del basureo está relacionada con los usuarios como con la seguridad física de los sistemas y consiste en obtener información dejada o alrededor de un sistema informático tras la ejecución de un trabajo. El basureo puede ser físico, como buscar en cubos de basura (trashing, traducido también por basureo), listados de impresión o copias de documentos, o lógico, como analizar buffers de impresoras, memoria liberada por procesos, o bloques de un disco que el sistema acaba de marcar como libres, en busca de información.

18

2.2. Seguridad Física del Centro de Cómputo

La importancia de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos.

2.3. Controles de acceso físico

Los controles de acceso físico conectan la información recibida en la red interconectada de dispositivos y sistemas especializados, al permitir a los centros de cómputo, la visualización de los distintos eventos y la consecuente toma de decisiones, que en muchos casos está a cargo de procedimientos preestablecidos, a fin de permitir a los mismos, tomar las decisiones en situaciones típicas u ordinarias, es decir, son las mismas máquinas las que proporcionan un nivel de operatividad y automatismo.

Los métodos de autenticación se dividen en tres categorías:

Sistemas basados en algo conocido. Sistemas lectores. Sistemas de autenticación biométricos.

2.4. Sistemas basados en algo conocido: Contraseñas

En todos los esquemas de autenticación basados en contraseñas se cumple el mismo protocolo: las entidades (generalmente dos) que participan en la autenticación acuerdan una clave, clave que han de mantener en secreto si desean que la autenticación sea fiable. Cuando una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento de esa clave común, y si ésta es correcta se otorga el acceso a un recurso.

2.5. Sistemas lectores

Las cuales son:

Banda magnética: El más familiar y en algunos casos el más conveniente de los dispositivos de acceso físico es la tarjeta magnética. Tiene el aspecto de tarjeta de crédito o de documento de identidad. Sin embargo, las tarjetas pueden extraviarse, ser robadas o entregadas a terceras personas; en sí mismas no acreditan que el usuario sea la misma persona a quien se le expidió.

Código de barras: También pueden usar unidades lectoras de códigos de barras, al utilizar para su conveniencia, por ejemplo, tarjetas con el código de

19

barras adherido. Las tarjetas tienen a la par una banda con un código de barras impresas que es reconocido por un lector de barras.

Proximidad: Estos se usan para la lectura de códigos enviados por unidades como por ejemplo tarjetas que al aproximarse a la unidad lectora envían un código que es recibido por el dispositivo. Este tipo de dispositivos utiliza tecnología de radio frecuencia para leer la información de la tarjeta. Dependiendo de la potencia del dispositivo será la distancia que la tarjeta debe estar para enviar el código de ésta. Los dispositivos de aproximación pueden ser complementados con un teclado para reconocer un código personal, además del código de la tarjeta de aproximación; éstas pueden ser integradas con banda magnética o código de barras.

Tarjetas inteligentes (smartcards): La tarjeta inteligente es una tarjeta convencional de plástico, que incorpora un chip en su interior. Este chip está formado por un microprocesador, una memoria de programa y una memoria de trabajo estructurada de forma lógica en varias zonas. Exteriormente lo que se puede observar es una placa de contactos que permiten comunicarse con el chip. El material empleado en las tarjetas es idóneo dada su durabilidad, resistencia ante factores externos, buen comportamiento en la impresión y posibilidad de grabarse en relieve.

2.6. Sistemas de autenticación biométrica

Estos sistemas son basados en características físicas y de comportamiento de funciones personales del usuario a identificar. El reconocimiento de formas, la inteligencia artificial y el aprendizaje son las ramas de la informática que desempeñan el papel más importante en los sistemas de identificación biométricos. La criptología se limita aquí a un uso secundario, como el cifrado de una base de datos de patrones retinales, o la transmisión de una huella dactilar entre un dispositivo analizador y una base de datos. La autenticación basada en características físicas está desde que existe el hombre y, sin darse cuenta, es la más utilizada en la vida cotidiana; a diario se identifica a personas por los rasgos de su cara o por su voz.

En la siguiente tabla se muestra una comparación de los rasgos más generales de los principales dispositivos biométricos:

20

Cuadro 1. Comparación de métodos biométricos. Ojo - Iris Ojo-Retina Huellas

dactilares Geometría de la mano

Escritura firma Voz

Fiabilidad Muy alta Muy alta Alta Alta Alta Alta Facilidad de

uso Media Baja Alta Alta Alta Alta

Prevención de ataques

Muy alta Muy alta Alta Alta Media Media

Aceptación Media Media Media Alta Muy alta Alta Estabilidad Alta Alta Alta Media Media Media

Identificación y autenticación

Ambas Ambas Ambas Autenticación Ambas Autenticación

Interferencias Gafas Irritaciones Suciedad, heridas,

asperezas

Artritis, reumatismo

Firmas fáciles o cambiantes

Ruido, resfriados

Utilización Instalaciones nucleares, servicios

médicos, centros penitenciarios

Instalaciones nucleares, servicios

médicos, centros penitenciarios

Policía, industrial

General Industrial Accesos remotos en bancos o

bases de datos

Fuente: PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: http://www.tesis.ufm.edu.gt/pdf/3574.pdf.

Los dispositivos biométricos tienen tres aspectos principales:

Disponen de un mecanismo automático que lee y captura imagen digital o analógica de la característica a analizar.

Disponen de una entidad para manejar aspectos como la comprensión, almacenamiento o comparación de los datos capturados con los guardados en una base de datos (que son considerados válidos).

Ofrecen una interfaz para las aplicaciones que los utilizan.

21

3. PROBLEMA DE INVESTIGACIÓN

3.1. PLANTEAMIENTO DEL PROBLEMA

Las empresas actualmente han sido afectadas por muchos factores que se relacionan con el manejo de la información. Entre esos factores se encuentran los activos de información que como ya sabemos son cualquier cosa que tenga valor en una organización. Esa serie de factores están involucradas actualmente en las organizaciones las cuales son Seguridad Informática y Seguridad de la Información en donde sus definiciones son totalmente diferentes y para eso se mostrarán más adelante.

Actualmente la Universidad Autónoma de Occidente cuenta con varios centros de datos (DataCenter) donde almacenan información que contiene la universidad, cuya información se puede decir que es sobre los estudiantes, información sobre los profesores, información sobre los empleados, etc. Pero aquí el problema es que este centro de datos no cuenta con una seguridad física controlada, es decir se debe realizar un registro de los controles que tiene el centro de datos por medio de las normas ISO y normas para la seguridad física de centros de datos, realizar el registro de los controles y desarrollar las recomendaciones necesarias.

La Universidad cuenta con dos centros de datos, el primero está ubicado en las oficinas de División de Tecnología, en una de los 4 bloques de aulas que tiene la Universidad y el otro queda en el Sótano en las oficinas de soporte técnico, pero este segundo no es un data center como tal, ahí permanece todo lo relacionado con Redes y Telecomunicaciones. El presente proyecto se enfocará en el Centro de Datos que se encuentra en las oficinas de División de Tecnologías.

Por lo tanto se identificarán los controles de seguridad física según la norma ISO/IEC 27001:2005 y la norma ISO/IEC 27002:2005 teniendo control y organización en el centro de datos que contiene la División de Tecnologías de la Universidad. Primero se realiza un estudio sobre el centro de datos de la Universidad, es decir, conocer que contiene el centro de datos, que amenazas y vulnerabilidades están afectando la organización y por último realizar gestión de riesgos la cual siguen la norma ISO/IEC 31000:2009. De igual manera se consideran las normas o estándares que manejan un Data Center, cumpliendo con lo que describen estas normas. Considerando tres fases importantes de la seguridad de la información: la confidencialidad, la integridad y la disponibilidad.

22

Se deben considerar los tres pilares de la seguridad de la información, incluyendo la integridad, que también tiene que ver con la seguridad física, ya que se podría llegar a la manipulación y transformación de la información.

23

4. JUSTIFICACIÓN

La Universidad Autónoma de Occidente cuenta en estos momentos con estudios que tienen control sobre la Seguridad Informática y Seguridad de la información; con este proyecto la Universidad pretende, para el centro de datos ubicado en las oficinas de la División de Tecnologías, desarrollar el análisis de la Seguridad Física.

Se hace un estudio en el cual se identifican los controles que tiene el centro de datos por medio de normas estipuladas para estandarizar los controles y el manejo de la seguridad de la información y sobre la gestión de riesgos.

No será necesario contener información sobre este centro de datos ya que sólo es un análisis físico más no lógico como tal. Para proteger la información de manera física se aplican los controles que se hallan en el centro de datos.

Las consecuencias que podría ocasionar el no trabajar este proyecto, son primero que todo los riesgos que tendría la información si no se protegen físicamente los equipos que la contienen. La segunda consecuencia es que no se desarrollaría una secuencia sobre los controles de la seguridad física del centro de datos de la Universidad y la tercera consecuencia es que no se emplearía a un futuro las vulnerabilidades y amenazas que podría tener el centro de datos en el momento que tenga un riesgo inesperado.

24

5. OBJETIVOS

5.1. OBJETIVO GENERAL

Identificar controles de seguridad física para el Centro de Datos de la Universidad Autónoma de Occidente bajo las Normas ISO/IEC 27001: 2005 e ISO/IEC 27002: 2005 con el fin de garantizar la continuidad del negocio.

5.2. OBJETIVOS ESPECÍFICOS

Analizar los requerimientos de Seguridad Física estipulados en las normas ISO/IEC 27001: 2005 e ISO/IEC 27002: 2005.

Gestionar los controles de Seguridad Física según las normas. Proteger la información de carácter crítico para la institución por medio de

controles de acceso físico. Evaluar el nivel de Seguridad Física del centro de datos de la Universidad

Autónoma de Occidente. Formular políticas para el control de Seguridad Física del centro de datos de la

Autónoma de Occidente. Culturizar a los usuarios sobre los controles de la Seguridad Física planteada

en las normas establecidas.

25

6. MARCO DE REFERENCIA

6.1. MARCO TEORICO

6.1.1. Definición de seguridad informática. La seguridad informática se relaciona directamente con la seguridad de la información3. La seguridad informática se define como cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden obtener daños en la información, comprender su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.

La seguridad informática también abarca en asegurar los recursos del sistema de información de una organización, siendo que el acceso a la información sea posible a las personas que estén autorizadas y que se encuentren acreditadas.

También se puede decir que es la disciplina de proteger y resguardar la información gestionada, administrada y operada en los dispositivos los cuales son: estaciones de trabajo, portátiles, PDA´s y equipos de comunicación.

6.1.2. Definición de seguridad de la información. Según la norma ISO/IEC 27001 es la preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y confidencialidad (ISO/IEC 17799:2005).

La seguridad de la información es la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales.

3 Concepto de Seguridad Informática, Empresa Yumbo ESPY, [en línea], consultado el 10 de Junio del 2010, disponible en Internet: http://www.espyumbo.com/portalespy/index.php?option=com_content&view=article&id=78:segu

26

Figura 1. Principales fases de la seguridad de la información

Fuente: Características de la Seguridad de la Información, [en línea], [consultado el 10 de Junio, 2013]. Disponible en Internet:https://www.google.com.co/search?q=caracteristicas+de+la+seguridad+de+la+informacion&source=lnms&tbm=isch&sa=X&ei=fbNnU_7gOo7nsATf84GIBQ&sqi=2&ved=0CAYQ_AUoAQ&biw=1280&bih=709.

6.1.3. Características de la seguridad4. Las principales características que se enfoca la seguridad ya sea de la información o de la informática son: Confidencialidad: Propiedad que determina que la información no esté

disponible ni sea revelada a individuos, entidades o procesos no autorizados [NTC 5411-1 2006].

Integridad: La propiedad de salvaguardar la exactitud o integridad de los activos [NTC 5411-1 2006].

Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada [NTC 5411-1 2006].

4 Portal de ISO 27001, Glosario de definición de las características de la seguridad, [en línea], consultado el 10 de Junio del 2013, disponible en Internet: http://www.iso27000.es/glosario.html#section10c.

27

6.2. NORMA ISO/IEC 31000: 2009

Aunque todas las organizaciones gestionan el riesgo en algún grado, esta norma establece el número de principios que es necesario satisfacer para hacer que la gestión del riesgo sea eficaz. Esta norma recomienda que las organizaciones desarrollen, implementen y mejoren continuamente un marco de referencia cuyo propósito sea integrar el proceso para la gestión del riesgo en los procesos globales de gobierno, estrategia y planificación, gestión, procesos de presentación de informes, políticas, valores y cultura de la organización.

Según esta norma la gestión de riesgos se puede aplicar a toda la organización, en todas sus áreas y niveles, en cualquier momento, así como funciones, proyectos y actividades específicos.

En términos generales la Gestión del Riesgo se refiere a la arquitectura (principios, marco y procesos) para la gestión eficaz del riesgo.

A continuación se muestra el proceso estructurado de la gestión de riesgos:

Figura 2. Relaciones entre los principios, el marco de referencia y los procesos para la gestión del riesgo

Fuente: Avantium Business Consulting, Gestión de Riesgos: Norma ISO/IEC 31000: 2009, [en línea], consultado el 05 de Julio del 2013, disponible en Internet:http://www.avantium.es/index.php/gestion-de-riesgos-iso-31000.

28

En la Figura 2. se muestra el proceso de gestión de riesgos en el cual en este proyecto se centró en la parte del (Proceso Numeral 5) incluyendo el Análisis de Riesgos (Ver en el inciso de Anexos llamado Anexo C. Análisis de Riesgos) para el Centro de Datos.

Esta norma puede ser utilizada por cualquier empresa pública, privada o comunitaria, asociación, grupo o individuo.

Esta norma se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza, bien sea que tenga consecuencias positivas o negativas.

Según la norma ISO/IEC 31000 es un documento práctico que busca ayudar a las organizaciones en el desarrollo de su propia estrategia para gestionar sus riesgos pero no es un estándar certificable. 6.2.1. Gestión de riesgos. La gestión de riesgos según la norma ISO/IEC 31000: 2009 “son las actividades coordinadas para dirigir y controlar una organización con respecto al riesgo5”.

“Son procesos para aumentar la probabilidad y el impacto de las oportunidades y disminuir la probabilidad y el impacto de las amenazas”.

Los procesos de la gestión de riesgos son:

Identificación Análisis y priorización. Establecer planes de respuesta. Monitorización y Control.

5 Avantium Business Consulting, Gestión de Riesgos: Norma ISO/IEC 31000: 2009, [en línea], consultado el 05 de Julio del 2013, disponible en Internet:http://www.avantium.es/index.php/gestion-de-riesgos-iso-31000.

29

Para llevar a cabo el proceso de gestión de riesgos, la ISO 27001 estipula que se debe adoptar una metodología que va a permitir analizar los riesgos asociados a los activos de información y de esta manera brindarle a la dirección un nivel de riesgo aceptable y/o asumible.

Para este proyecto se decidió trabajar bajo la metodología OCTAVE.

6.2.2.¿Qué es un riesgo?. El riesgo es el factor que una empresa puede tener por cualquier motivo que se presente. Según la ISO 73: 2002 el riesgo es definida como una combinación de la probabilidad de un suceso y de sus consecuencias. Pero también el riesgo es todo lo que pueda afectar el objetivo que se tenía planeado.

Pero un concepto muy bien explicado es que el riesgo es la probabilidad que el agente amenazante explote la vulnerabilidad para causar daño, a un computador, red, daño dando como resultado el impacto en el negocio.

Los componentes del riesgo son: Activo de la Información, Amenaza y Vulnerabilidad.

Amenaza: Se define como Amenaza a la posibilidad de ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los Activos de Información.

Vulnerabilidad6: La Vulnerabilidad se define como la capacidad, las condiciones y características del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algún daño. En otras palabras, es la capacidad y posibilidad de un sistema de responder o reaccionar a una amenaza o de recuperarse de un daño.

Las vulnerabilidades están en directa interrelación con las amenazas porque si no existe una amenaza, tampoco existe la vulnerabilidad o no tiene importancia, porque no se puede ocasionar un daño.

6 Concepto de Vulnerabilidad y Amenaza, [en línea], consultado el 08 de Febrero del 2014, Disponible en Internet: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/.

30

6.3. METODOLOGÍA OCTAVE

Esta metodología tiene criterios de peso para su selección, entre los cuales son:

Incorpora activos, amenazas y vulnerabilidades. Permite tomar decisiones basadas en prioridades según la importancia para la

organización. Basado en catálogos de buenas prácticas.

Ofrece un método auto dirigido para evaluación de riesgos de Seguridad de la Información:

Porque se identifica que la Seguridad de la Información es responsabilidad de toda la organización.

La Alta Dirección de la organización debe tomar decisiones sobre la Seguridad de la Información.

Establece un grupo interdisciplinario basado en personal de la organización.

Su desarrollo en la organización es conducida por un equipo de análisis conformado por:

Personal del negocio. Personal de IT. Reforzado cuando se necesitan habilidades o conocimientos especiales.

31

6.3.1. El proceso Octave

Figura 3. El proceso de la Metodología OCTAVE7

Fuente: ROJAS, Jorge. Principios de Seguridad Informática. Colombia – Cali, 2013 – 2014. 57 p.

En donde en la FASE 1 se pueden incluir las siguientes actividades:

Lluvia de ideas. Encuestas. Entrevistas.

Algunas de las preguntas para iniciar esta fase es:

¿Cuáles de los activos relacionados con la información, son indispensables para la organización?

¿Qué hace a cada uno de estos activos importantes? ¿Qué o quién amenaza este activo? ¿Qué se hace hoy día para protegerlo? ¿Qué debilidades existen en cuanto a políticas y prácticas de seguridad hoy

día en su organización?

En esta fase lo principal es identificar las vulnerabilidades organizacionales.

7 ROJAS, Jorge. Principios de Seguridad Informática. Colombia – Cali, 2013 – 2014. 57 p.

32

En la FASE 2 se podría indicar las siguientes preguntas:

¿Cómo se usan los activos? ¿Cómo se accede a ellos? ¿Qué componentes de infraestructura están relacionados con los activos? ¿Cuáles son los componentes claves de la infraestructura computacional? ¿Qué debilidades tecnológicas expone a los activos a amenazas?

Para ello se utilizará el catálogo de prácticas (Ver en el inciso de Anexos con el nombre de Anexo B. Catálogo de Prácticas – Metodología Octave) en el cual consiste en realizar encuestas a la persona que es responsable sobre el activo de información que va a ser evaluada.

Este catálogo de prácticas se divide en dos tipos de prácticas:

Estratégicos. Operativos.

Las Prácticas Estratégicas se centran en cuestiones de organización a nivel de políticas y proporcionan buenas prácticas de gestión general. Estas prácticas estratégicas abordan temas que son relacionados con la empresa, así como cuestiones que requieren los planes de toda la organización y participación. Las Prácticas Operacionales se centran en cuestiones relacionadas a cómo utiliza la gente, interactuar con la tecnología y proteger la tecnología. Dado que las prácticas estratégicas se basan en buenas prácticas de gestión, que debe ser bastante estable en el tiempo, las prácticas operacionales están más sujetos a cambios como la tecnología que surgen avances y prácticas nuevas o actualizadas para hacer frente a esos cambios.

En la siguiente figura muestra la estructura del catálogo de prácticas.

33

Figura 4. Componentes del Catálogo de Prácticas Octave8

Fuente: Catálogo de Prácticas Octave, [en línea], [consultado el 20 de Enero de 2014]. Disponible en Internet: http://www.cert.org/resilience/products-services/octave/index.cfm.

Y por último se encuentra la FASE 3 donde con la matriz de riesgos debe darse respuestas a inquietudes tales como:

En esta fase se crea una estrategia de protección y planes de mitigación, basados en la información recolectada. Las salidas para esta tercera fase son:

¿Qué políticas y prácticas requieren definirse/modificar?

¿Qué acciones deben tomarse para mitigar los riesgos?

8 Catálogo de Prácticas Octave [en línea], consultado el 20 de Enero de 2014, Disponible en Internet: http://www.cert.org/resilience/products-services/octave/index.cfm

34

¿Qué debilidades tecnológicas requieren enfrentarse de inmediato?

Identificación y evaluación de riesgos: Basados en la información de las fases anteriores y particularmente en los perfiles de amenazas, se identifican los riesgos y se evalúa el impacto en términos de una escala predefinida (alto, medio, bajo).

Estrategia de protección y planes de mitigación del riesgo: Se desarrolla los

planes de mejora y los próximos pasos para proteger los activos críticos. Se determina que se va a hacer para implementar los resultados de la evaluación. Esta estrategia se desarrolla a partir de las vulnerabilidades y prácticas de seguridad identificadas durante la fase 1 y 2 de la metodología.

6.4. ESTANDAR DE SEGURIDAD DE LA INFORMACIÓN

Existen diferentes normas y estándares que cumplen con el concepto de gestión de seguridad de la información. Dichas normas están aprobados tanto nacional como internacionalmente. Estas normas y estándares desarrollan un proceso efectivo de la seguridad de los recursos y datos que gestionan.

Existen muchas normas y estándares, pero en este caso nos centraremos en la norma ISO/IEC 27000 la cual es:

“…Una familia de estándares de ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) que proporciona un marco para la gestión de la seguridad”.

6.4.1 La serie de la norma ISO/IEC 27000

Figura 5. La serie de la norma ISO/IEC 27000

Fuente: La Serie de la Norma ISO/IEC 27000, [en línea], [consultado el 10 de Febrero de 2014]. Disponible en Internet: http://www.gcpglobal.com/docs/Intro_ISO27001.pdf.

35

Entre estas normas que se mostraron anteriormente solo se destacan las normas ISO/IEC 27001 y la ISO/IEC 27002 ya que se relacionan más hacia la gestión de seguridad de la información

6.4.2. Norma ISO/IEC 270009. Esta norma establece un conjunto de estándares desarrollados por la ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporciona un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

En este apartado se resume las distintas normas que componen la norma ISO 27000 y se indica como una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en la ISO 27001.

6.5. NORMA ISO/IEC 27001: 201310

“Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de las organizaciones individuales o partes de la misma”.

A continuación se muestra en la Tabla 1 la nueva estructura de la Norma ISO/IEC 27001: 2013:

Cuadro 2. Nueva Estructura de la Norma ISO/IEC 27001: 2013

No de Cláusula Cláusula Descripción 0 Introducción 1 Alcance 2 Referencias

normativas

9 La Serie de la Norma ISO/IEC 27000, [en línea], consultado el 10 de Febrero de 2014. Disponible en Internet: http://www.gcpglobal.com/docs/Intro_ISO27001.pdf. 10

Norma ISO/IEC 27001: 2013, [en línea], consultado el 26 de Marzo de 2014. Disponible en Internet: http://www.welivesecurity.com/la-es/2013/10/09/publicada-iso-270002013-cambios-en-la-norma-para-gestionar-la-seguridad-de-la-informacion/

36

Cuadro 2 (Continuación) No de Cláusula Cláusula Descripción

3 Términos y definiciones

4 Contexto de la Organización

Resalta la necesidad de hacer un análisis para identificar los problemas externos e internos que rodean a la organización.

5 Liderazgo Responsabilidades de la Alta Dirección respecto al SGSI, principalmente en aquellas que demuestren su compromiso, como la definición de la política de seguridad de la información alineada a los objetivos del negocio y la asignación de los recursos necesarios para la implementación del sistema.

6 Planeación Se prioriza la definición de objetivos de seguridad que permita relacionar planes específicos asociados a su cumplimiento.

7 Soporte Se relacionan requerimientos para implementar el SGSI incluyendo recursos, personas y el elemento de comunicación para las partes interesadas en el sistema.

8 Operación Se asocia a la etapa Hacer del ciclo de mejora continua y se establecen los mecanismos para planear y controlar las operaciones y requerimientos de seguridad, realizando las evaluaciones de riesgos periódicas el enfoque central para la gestión del sistema.

9 Evaluación de desempeño

Se definen las bases para medir la efectividad y desempeño del sistema de gestión a través de las auditorías internas y otras revisiones del SGSI, que plantean planes de acción que permitan atender y solucionar las no-conformidades.

10 Mejora Propone a partir de las no-conformidades identificadas establecer las acciones correctivas más efectivas para solucionarlas y teniendo el control de que no se repitan.

Fuente: Norma ISO/IEC 27001: 2013, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: http://www.welivesecurity.com/la-es/2013/10/09/publicada-iso-270002013-cambios-en-la-norma-para-gestionar-la-seguridad-de-la-informacion/.

37

6.6. NORMA ISO/IEC 27002: 201311

Esta norma se basa en el código de las buenas prácticas para la gestión de la seguridad. Se puede dar recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización. Esta norma también describe los objetivos de control (aspectos para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar).

Al igual que el Anexo A de la norma ISO/IEC 27001, tiene los 14 dominios, 35 objetivos de seguridad y 114 controles de seguridad.

Figura 6. Dominios de la Norma ISO/IEC 27002: 2013

Fuente: Dominios de la Norma ISO/IEC 27002: 2013, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: http://www.isaca.org/chapters7/Madrid/Events/Documents/Principales%20Novedades%20de%20la%20ISO27001ISO%2027002%20-%20Paloma%20Garcia.pdf.

11

Norma ISO/IEC 27001: 2013, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: http://www.welivesecurity.com/la-es/2013/10/09/publicada-iso-270002013-cambios-en-la-norma-para-gestionar-la-seguridad-de-la-informacion/

38

Se ha reducido en la versión 2013 la cantidad de controles a 114, contra los 133 de la versión 2005. De los respectivos listados de controles se deduce que de los 133 controles de la versión 2005:

27 controles se han eliminado. 8 controles de los restantes se han consolidado en sólo 4 controles en la

versión 2013. 1 control de la versión 2005 se divide en 2 controles en la versión 2013. 11 controles nuevos se han agregado

6.7. ANEXO A

El Anexo A contiene 114 controles que no se centran solamente en la tecnología de la información; también incluye seguridad física, protección legal, gestión de recursos humanos, asuntos organizacionales. El Anexo A ayuda a escoger los controles adecuados para disminuir los riesgos.

El Anexo A es donde se relacionan las normas ISO/IEC 27001 e ISO/IEC 2700212. Los controles de la norma ISO/IEC 27002 tiene los mismos nombres que en el Anexo A de la norma ISO/IEC 27001; pero su diferencia se encuentra en el nivel de detalle en el cual la ISO/IEC 27001 sólo proporciona una breve descripción de un control, mientras que la ISO/IEC 27002 ofrece lineamientos detallados sobre cómo implementar el control.

12 Norma ISO/IEC 27002: 2013, [en línea], consultado el 26 de Marzo de 2014. Disponible en Internet: http://www.criptored.upm.es/descarga/NuevasVersionesISO27001eISO27002.pdf.

39

Fuente: Controles de la Norma ISO/IEC 27002: 2013 [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: file:///E:/Documents/ControlesISO27002-2013.pdf.

40

6.8. SEGURIDAD FÍSICA13

La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas para proteger físicamente los recursos y la información de la organización. Los recursos incluyen el personal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales los empleados interactúan, en general los activos asociados al mantenimiento y procesamiento de la información.

La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Uno de los aspectos es como la detección de un atacante interno a la empresa que intenta acceder físicamente a una sala de operaciones de la misma.

Una de las principales amenazas con que se relaciona la Seguridad Física es:

Desastres naturales, incendios accidentales, tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

A continuación se analizará los peligros más importantes que se encuentra un centro de datos; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos:

Incendios: Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones eléctricas defectuosas y el inadecuado almacenamiento y traslado de sustancias peligrosas.

El fuego es una de las principales amenazas contra la seguridad. Es considerado el enemigo número uno de las computadoras ya que pueden destruir fácilmente los archivos de información y programas.

Para reducir los riesgos de incendio del centro de datos se encuentras los siguientes factores:

- El área en el donde se encuentran las computadoras debe estar en un lugar que no sea combustible o inflamable.

13 Seguridad de la Información, Información sobre la Seguridad Física, [en línea], consultado el 24 de Junio del 2013. Disponible en Internet: http://www.segu-info.com.ar/fisica/

41

- Las paredes deben hacerse de materiales incombustibles y extenderse desde el suelo hasta el techo.

- Debe construirse un “falso piso” instalado sobre el piso real, con materiales incombustibles y resistentes al fuego.

- No debe estar permitido fumar en el área de proceso. - Deben emplearse muebles incombustibles, y cestos metálicos para

papeles. - El piso y el techo en el recinto del centro de datos y de almacenamiento de

los medios magnéticos deben ser impermeables.

Inundaciones: Se define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial.

Esta es una de las causas de mayores desastres en el centro de datos.

Para evitar este inconveniente se debe construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que baje por las escaleras.

Condiciones Climatológicas: Normalmente se reciben de acuerdo al clima los avisos de tormentas, tempestades, tifones y catástrofes sísmicas similares.

La frecuencia y severidad de su ocurrencia deben ser tenidas al decidir la construcción de un edificio. La comprobación de los informes climatológicos o la existencia de un servicio que notifique la proximidad de una tormenta severa, permite que se tomen precauciones adicionales, tales como la retirada de objetos móviles, la provisión de calor, iluminación o combustible para la emergencia.

Los terremotos son fenómenos sísmicos que pueden ser tan poco intensos que solamente instrumentos muy sensibles los detectan o tan intensos que causan la destrucción de edificios y hasta la pérdida de la vida de las personas.

Señales de Radar: La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años.

42

Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal alcanza el equipo es de 5 Volts/Metro, o mayor.

Instalaciones Eléctricas: Trabajar con computadoras implica trabajar con electricidad. Por lo tanto esta es una de las principales áreas de la seguridad física.

En la medida que los sistemas se vuelven más complicados se hace más necesaria la presencia de un especialista para evaluar riesgos particulares y aplicar soluciones que estén de acuerdo con una norma de seguridad industrial.

Entre la instalación eléctrica se encuentra:

- Picos y ruidos electromagnéticos. - Cableado. - Cableado de alto nivel de seguridad. - Pisos de placas extraíbles. - Sistema de aire acondicionado. - Emisiones electromagnéticas.

Ergometría: Es una disciplina que se ocupa de estudiar la forma en que interactúa el cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa interacción sea lo menos agresiva y traumática posible.

Entre la ergometría se encuentra:

- Trastornos óseos y/o musculares. - Trastornos visuales. - La salud mental. - Ambiente luminoso. - Ambiente climático.

Los sistemas de Aire Acondicionado para un Centro de Datos: El mantenimiento preciso de las condiciones ambientales es muy importante en los espacios del Centro de Datos porque garantizan la integridad de su información y la confiabilidad de la operación de los equipos electrónicos por

43

mucho tiempo; esto garantiza óptimas condiciones de funcionamiento de los equipos.

El aire acondicionado de precisión es esencial un ambiente correcto de los equipos electrónicos. El sistema “Close Control” está preparado para mantener a través del control microprocesado la temperatura y humedad óptimas requeridas para el funcionamiento eficaz de los sistemas electrónicos. Para poder mantener el nivel de temperatura adecuado y el grado de humedad dentro de los límites medios, se proponen dotaciones de equipos de climatización específicos para salas informáticas, controlado por microprocesador, capaz de producir frío, calor y humidificar o deshumidificar de forma automática dentro de unos márgenes de y (Humedad Relativa) para valores de funcionamiento previstos de 21 °C y 60% HR. El aire acondicionado de la sala del Centro de Datos debe ser independiente del aire general de las oficinas.

No se debe climatizar un Centro de Datos por pequeño que sea, con un sistema de aire acondicionado de confort. Existe una gran diferencia entre climatizar equipos electrónicos y proporcionar un ambiente agradable para el confort de las personas. Para empezar, la gente agrega humedad al ambiente de una habitación y los equipos no. De tal manera que se debe tomar en consideración el “enfriamiento latente” (la habilidad de remover la humedad) y el “enfriamiento sensible” (la habilidad de remover el calor seco). Los aires acondicionados de ventana y los sistemas centrales en los edificios de oficinas están diseñados con una relación de enfriamiento sensible de alrededor de 0.60 a 0.70. Hay dos cosas importantes a la hora de enfriar un Centro de datos:

- Se tendrá que instalar mayor capacidad de aire acondicionado de confort

para obtener los mismos resultados que con un Sistema de Aire Acondicionado de Precisión.

- Un sistema de confort extraerá la humedad por debajo de los límites aceptables para la operación eficiente de sus equipos. Lo cual significa que, o se expone a los problemas ocasionados por un ambiente muy seco, o tendrá que adquirir sistemas de humidificación adicionales. Con un Sistema de Precisión no existe tales problemas. Por un lado, no extraerá tanta humedad de aire y por otro, viene provisto de un sistemas de humidificación integral que mantendrá, pase lo que pase, la humedad relativa exigida por los fabricantes de Centros de Datos.

44

6.9. ESTANDARES DE SEGURIDAD FÍSICA

Los Estándares de Seguridad Física manejan los mecanismos de control de acceso físico para el personal y entes externos donde permiten el acceso a las instalaciones y áreas restringidas del Centro de Datos sólo a personas autorizadas para la salvaguarda de los equipos de cómputo y de comunicación que contiene el Centro de Datos.

Cuadro 3. Descripción de los Estándares de Seguridad Física

Estándar Descripción Resguardo y protección de la Información

-El usuario deberá reportar de forma inmediata al área de tecnologías de la información cuando detecte que existan riesgos reales o potenciales para equipos de cómputo o comunicaciones, como pueden ser fugas de agua, conatos de incendio u otros. -El usuario tiene la obligación de proteger las unidades de almacenamiento que se encuentren bajo su administración, aun cuando no se utilicen y contengan información reservada o confidencial. -Es responsabilidad del usuario evitar en todo momento la fuga de la información del sitio que se encuentre almacenada en los equipos de cómputo personal que tenga asignados.

Controles de acceso físico

-Cualquier persona que tenga acceso a las instalaciones del centro de datos, deberá registrar al momento de su entrada, el equipo de cómputo, equipo de comunicaciones, medios de almacenamiento y herramientas que no sean propiedad de este lugar, en el área de recepción, el cual podrán retirar el mismo día. En caso contrario deberá tramitar la autorización de salida correspondiente.

Seguridad en áreas de trabajo

-Los centros de datos de la universidad son áreas restringidas, por lo que sólo el personal autorizado por el área de tecnologías de la información puede acceder a él.

Protección y ubicación de los equipos

-Los usuarios no deben mover o reubicar los equipos de cómputo o de telecomunicaciones, instalar o desinstalar dispositivos, ni retirar sellos de los mismos sin la autorización del área de tecnología de la información, en caso de requerir este servicio deberá solicitarlo. -La universidad será la encargada de generar el resguardo y recabar la firma del usuario como el responsable de los activos informáticos que se le asignen y de conservarlos en la ubicación autorizada por el área de tecnologías de la información. -El equipo de cómputo asignado, deberá ser para uso exclusivo de las funciones del centro de datos. -Mientras se opera el equipo de cómputo, no se deberán consumir alimentos o ingerir líquidos. -Se debe evitar colocar objetos encima del equipo o cubrir los orificios de ventilación del monitor o CPU. -Se debe mantener el equipo informático en un entorno limpio y sin humedad. -El usuario debe asegurarse que los cables de conexión no sean pisados o pinchados al colocar otros objetos encima o contra ellos en caso que no se cumpla solicitar un reacomodo de cables con el personal encargado.

45

Cuadro 3 (Continuación)

Estándar Descripción Mantenimiento de equipo

-Únicamente el personal autorizado por el área de tecnologías de la información podrá llevar a cabo los servicios y reparaciones al equipo informático. -Los usuarios deberán asegurarse de respaldar la información que consideren relevante cuando el equipo sea enviado a reparación y borrar aquella información sensible que se encuentre en el equipo, previendo así la pérdida involuntaria de información, derivada al proceso de reparación.

Pérdida de Equipo -El usuario que tenga bajo su resguardo algún equipo de cómputo, será responsable de su uso y custodia; en consecuencia, responderá por dicho bien de acuerdo a la normatividad vigente en los casos de robo, extravío o pérdida del mismo.

Usos de dispositivos especiales

-El uso de los grabadores de discos compactos es exclusivo para copias de seguridad de software y para respaldos de información que por su volumen así lo justifiquen. -Si algún área por requerimientos muy específicos del tipo de aplicación o servicio de aplicación tiene la necesidad de contar con uno de ellos, deberá ser justificado y autorizado por el área de tecnologías de la información. - El usuario tiene la obligación de proteger los CD – ROM, DVDs, Memorias USB, tarjetas de memoria, discos externos, computadoras y dispositivos portátiles que se encuentren bajo su administración, aun cuando no se utilicen y contengan información reservada o confidencial.

Daño del equipo -El equipo de cómputo o cualquier recurso de tecnología de información que sufra alguna descompostura por maltrato, descuido o negligencia por parte del usuario quien resguarda el equipo, se levantará un reporte de incumplimiento de políticas de seguridad.

Fuente: Manual de Políticas y Estándares de seguridad Informática, Estándares de Seguridad Física,[en línea], consultado el 24 de Septiembre del 2013, disponible en Internet: http://www.scribd.com/doc/18046249/Manual-de-Politicas-y-Estandares-de-Seguridad-a-Para-Usuarios.

46

6.10. NORMA ANSI/EIA/TIA 94214

6.10.1. Definición. Esta norma define los distintos grados de disponibilidad basados en recomendaciones del Uptime Institute, estableciendo cuatro niveles (tiers) en función de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99,995%.

Lo cierto es que para aumentar la redundancia y los niveles de confiabilidad, los puntos únicos de falla deben ser eliminados tanto en el Data Center como en la infraestructura que le da soporte.

El objetivo de esta Norma15 es establecer los requisitos y directrices para el diseño y la instalación de un centro de datos o sala de ordenadores. Está diseñado para ser utilizado por los diseñadores que necesitan una comprensión integral del diseño del centro de datos, incluyendo la planificación de las instalaciones, el sistema de cableado, y el diseño de la red. La norma permitirá el diseño de centros de datos para ser considerado al principio del proceso de desarrollo de la construcción, lo que contribuye a las consideraciones arquitectónicas, proporcionando la información que va más allá de los esfuerzos de diseño multidisciplinarios; promover la cooperación en las fases de diseño y construcción.

6.10.2. Niveles de Tiers. Los cuatro niveles de Tiers que plantea el estándar corresponden a cuatro niveles de disponibilidad, teniendo en cuenta que a mayor número de tier; mayor disponibilidad, lo implica también mayores costos constructivos.

Esta clasificación es aplicable en forma independiente a cada subsistema de la infraestructura (telecomunicaciones, arquitectura, eléctrica y mecánica). Hay que tener en cuenta que la clasificación global del Data Center será igual a la de aquel subsistema que tenga el menor número de tier.

14 Niveles de Centro de Cómputo (Tiers) según la Norma ANSI/TIA 942 [en línea], consultado el 20 de Marzo del 2014, disponible en Internet: http://www.gzingenieria.com/pdf/ClasifNivCentrComNortia92.pdf 15 ESTADOS UNIDOS, NORMA ANSI/TIA 942. Norma de Telecomunicaciones de Infraestructura para Centro de Datos. 2005. 142 p.

47

6.10.2.1 Nivel (Tier) I. Básico

Rutas únicas. Sin componentes redundantes.

Es susceptible de interrupciones por actividades planeadas y no planeadas. La UPS, aires y generadores son módulos simples y tienen múltiples puntos sencillos de falla. Las cargas críticas pueden ser expuestas a apagones durante mantenimientos preventivos o correctivos. Errores de operación o fallas espontáneas de los componentes de la infraestructura causarán interrupciones en el centro de cómputo.

6.10.2.2. Nivel (Tier) II. Componentes redundantes

Rutas únicas. Componentes redundantes.

Son significativamente menos susceptibles de interrupciones que el Tier I por actividades planeadas y no planeadas. El diseño de UPS y Generadores necesita redundancia N+1, pero tienen un solo camino de distribución. El mantenimiento de las rutas críticas de potencia y otras partes de la infraestructura, requerirán de un proceso de “shut down”.

6.10.2.3. Nivel (Tier) III. Concurrentemente mantenible

Sistema multimódulo. Rutas duales o múltiples. Doble ruta de alimentación de potencia. Pérdida de redundancia durante falla o mantenimiento.

Permite realizar actividades de mantenimiento planeadas sin tener que suspender servicios de hardware. Esto incluye labores de mantenimiento preventivo, correctivo, adicción o remoción de equipos. Tiene suficiente disponibilidad en uno de los caminos cuando se estén haciendo trabajos al otro. No queda con redundancia cuando se hacen esos trabajos. Normalmente se diseña con opción de convertirse en Tier 4 cuando las operaciones del negocio así lo exijan.

48

6.10.2.4. Nivel (Tier) IV. Tolerante de fallas

Múltiples rutas. Componentes redundantes. Fuente dual de potencia crítica garantizada. No hay pérdida de redundancia durante una falla sencilla o mantenimiento.

Proporciona la seguridad de no presentar interrupciones en las cargas críticas durante actividades planeadas o no. Conserva la redundancia aun durante labores de mantenimiento a uno de los caminos. La única forma de tener un “shut down” es mediante la activación del Botón de Apagado de Emergencia (EPO) que exigen los códigos.

Por último, esta norma ANSI/EIA/TIA 942 se utiliza generalmente para crear un Centro de Datos en una organización en la parte del cableado, en la infraestructura tecnológica, ubicación de los equipos de cómputo. Por lo tanto se utilizó en este proyecto de grado presente para tener en cuenta al momento de recomendar en los controles físicos para un Centro de Datos.

49

7. DESARROLLO DEL PROYECTO

Figura 8. Guía de desarrollo metodológico

Por medio de la Metodología Octave se le da inicio al proceso del trabajo presente, encontrando los principales riesgos que tiene el Activo de Información por medio de estándares y metodologías que se reflejan en el análisis de riesgos para este proceso.

El Estándar en términos orientados a la gestión de riesgos es un lineamiento de carácter interno, nacional o internacional con el que se debe cumplir para garantizar un tratamiento adecuado de los mismos. De acuerdo a la definición anterior, se enfocará en la Norma ISO/IEC 31000: 2009. La metodología en términos orientados a la gestión de riesgos es un lineamiento de carácter interno, nacional o internacional el cual ayuda el cómo cumplir con los lineamientos dados para garantizar un tratamiento adecuado de los mismos. De acuerdo a la definición anterior, se enfocará en la Metodología Octave. La guía de desarrollo metodológico cuenta con tres fases en los cuales se llevan a cabo una serie de subfases para el cumplimiento del mismo. Inicia con la vista

50

organizacional, seguido de la Vista tecnológica y por último finaliza con el proceso de análisis de riesgos. 7.1. FASE 1 – VISTA ORGANIZACIONAL Figura 9. Fase 1 – Metodología Octave

En donde en la FASE 1 se pueden incluir las siguientes actividades:

Lluvia de ideas. Encuestas. Entrevistas.

Algunas de las preguntas para iniciar esta fase es:

¿Cuáles de los activos relacionados con la información, son indispensables para la organización?

¿Qué hace a cada uno de estos activos importantes? ¿Qué o quién amenaza este activo? ¿Qué se hace hoy día para protegerlo? ¿Qué debilidades existen en cuanto a políticas y prácticas

de seguridad hoy día en su organización?

7.1.1. Activos Críticos. Se identifican los activos relacionados con la información que son de mayor criticidad para la operación y subsistencia de la organización. 7.1.2. Perfil de Amenazas. Un perfil de amenaza es una manera estructurada de mostrar las diferentes amenazas que se presentan sobre cada activo crítico. El perfil de amenazas identifica el actor que genera la amenaza, el motivo u objetivo que perseguiría el actor, la manera como podría acceder al activo (físicamente, a

51

través de la red) y el impacto que generaría sobre el activo y sobre la organización.

7.1.3. Requerimientos de seguridad. Se identifican los aspectos que son importantes de proteger para cada activo. Típicamente se consideran aspectos de confidencialidad, integridad y disponibilidad.

7.1.4. Prácticas actuales de seguridad. Se identifican las prácticas de seguridad en la organización. Esta identificación es la base sobre la que se construirá más adelante la estrategia de protección de la empresa. Para ello, Octave incluye una serie de catálogos de prácticas de seguridad que se evalúa en los diferentes talleres, con una herramienta que facilita a los participantes el entendimiento de lo que es una práctica de seguridad y una vulnerabilidad.

En la parte de las plantillas se mostrará el cuadro sobre la información del Activo de Información el cuál es El centro de Datos.

En esta fase lo principal es identificar las vulnerabilidades organizacionales.

En esta fase se obtuvieron los activos de la Institución Universitaria el cual es el Centro de Datos de la Universidad Autónoma de Occidente, las vulnerabilidades organizacionales se obtuvieron por medio del Documento de Catálogo de Prácticas Octave, donde están las Practicas Estratégicas y las amenazas que pueden tener el Centro de Datos. Teniendo en cuenta que las amenazas no se pueden controlar, en cambio las vulnerabilidades si se pueden controlar. El Catálogo de Prácticas se puede observar en el Anexo B con las Prácticas Estratégicas identificando las vulnerabilidades organizacionales. De acuerdo en el Catalogo de Practicas Octave (Ver Anexo B) que ya se había mencionado anteriormente se especificó que existen Practicas Estratégicas y Practicas Operacionales. Las Practicas Estratégicas son preguntas enfocadas hacia la alta dirección, es decir hacia el responsable del Activo de Información para recolectar información sobre qué tan interesados esta la Alta Dirección con el Centro de Datos.

52

Siguiendo con el tema de Catalogo de Practicas Octave ya se ha mencionado anteriormente que son preguntas que se podrán ver en el Anexo B de este documento. Estas preguntas son divididas en varias etapas que están orientadas hacia el Centro de Datos y también sirven para conocer más sobre la organización.

Esas Prácticas Estratégicas son realizadas con el Responsable del Activo de Información.

En las Practicas Estratégicas se dividen en las siguientes etapas:

Conciencia de Seguridad y Formación (SP1) (Ver Anexo B1). Estrategia de Seguridad (SP2) (Ver Anexo B2). Gestión de la Seguridad (SP3) (Ver Anexo B3). Planes de Contingencia / Recuperación de Desastres (SP6) (Ver Anexo B4).

De esas etapas anteriores se dividen en unas sub etapas que ya hacen parte de ser las preguntas que se encuentran en el Anexo B donde son identificadas como SP1.1, SP2.1, SP3.1 y así sucesivamente. La persona que está encargada de realizar las encuestas no tiene la necesidad de realizar todas las preguntas que están ahí, él las escoge según sea de mayor importancia para realizar un análisis de riesgo al activo de información el cual es el Centro de Datos de la Universidad. Sin embargo, se debe justificar por qué no se escogió la etapa de las prácticas.

Siendo consecuente con la dinámica mencionada en el párrafo anterior, de las etapas de las Practicas Estratégicas no se tiene en cuenta el SP4 (Política y Reglamento de Seguridad) no se considera importante en el proyecto porque es casi igual al SP2 y además lo que interesa es la seguridad física del Centro de Datos de Universidad y no la seguridad lógica. Y el SP5 (Gestión de Seguridad en Colaboración) no es importante esta práctica y no se tiene en cuenta en este proyecto porque lo que interesa es la parte interior de la organización ya que no se ve necesario vincular organizaciones externas para el desarrollo del proyecto, es decir, se debería conocer primero la parte interna de la organización y después ver si la parte externa es importante.

Las sub etapas que se tienen en cuenta en las Prácticas Estratégicas son las siguientes:

53

Cuadro 4. Prácticas Estratégicas – Conciencia de Seguridad y formación (Ver Anexo B1).

Nombre de la Práctica Estratégica Numeración de la Práctica Estratégica

Conciencia de Seguridad y Formación (SP1)

SP1.1 SP1.2 SP1.3

Cuadro 5. Prácticas Estratégicas – Estrategia de Seguridad (Ver Anexo B2).

Nombre de la Práctica Estratégica Numeración de la Práctica Estratégica

Estrategia de Seguridad (SP2) SP2.1 SP2.2 SP2.3

Cuadro 6. Prácticas Estratégicas – Gestión de Seguridad (Ver Anexo B3).

Nombre de la Práctica Estratégica Numeración de la Práctica Estratégica

Gestión de Seguridad(SP3) SP3.2 SP3.4 SP3.5 SP3.6

Cuadro 7. Prácticas Estratégicas – Planes de Contingencia / Recuperación de Desastres (Ver Anexo B4).

Nombre de la Práctica Estratégica Numeración de la Práctica Estratégica

Planes de Contingencia / Recuperación de Desastres (SP6)

SP6.1 SP6.2 SP6.4 SP6.5

54

7.2. FASE 2 – VISTA TECNOLÓGICA

Figura 10. Fase 2 – Metodología Octave

En la FASE 2 se podría indicar las siguientes preguntas:

¿Cómo se usan los activos? ¿Cómo se accede a ellos? ¿Qué componentes de infraestructura están relacionados con los activos? ¿Cuáles son los componentes claves de la infraestructura computacional? ¿Qué debilidades tecnológicas expone a los activos a amenazas?

7.2.1. Vulnerabilidades Tecnológicas. Cada componente es evaluado mediante diferentes técnicas (herramientas de detección de vulnerabilidades, equipo técnico de inspección) para identificar las debilidades que pueden llevar a accesos no autorizados sobre los activos críticos.

Para ello se utilizará el catálogo de prácticas (Ver Anexo B) en el cual consiste en realizar encuestas a la persona que es responsable sobre el activo de información que va a ser evaluada.

En esta fase lo principal es identificar las vulnerabilidades tecnológicas.

En esta fase, las vulnerabilidades tecnológicas se encuentran en el Documento de Catálogo de Prácticas Octave de las Practicas Operacionales. Teniendo en cuenta que las amenazas no se pueden controlar, en cambio las vulnerabilidades si se pueden controlar.

Las Prácticas Operacionales son realizadas con el Custodio del Activo de Información.

55

En las Prácticas Operacionales se dividen en las siguientes etapas:

Seguridad Física (OP1) (Ver Anexo B5). Planes de Seguridad Física y Procedimientos (OP1.1) (Ver Anexo B5.1). Control de Acceso Físico (OP1.2) (Ver Anexo B5.2). Monitoreo y Auditoría de Seguridad Física (OP1.3) (Ver Anexo B5.3).

Personal de Seguridad (OP3) (Ver Anexo B6)

Manejo de Incidentes (OP3.1) (Ver Anexo B6.1). Personal de Prácticas Generales (OP3.2) (Ver Anexo B6.2).

De esas etapas anteriores se dividen en unas subetapas que ya hacen parte de ser las preguntas que se encuentran en el Anexo 1 donde son identificadas como SP1.1.1, SP2.1.1, SP3.1.1 y así sucesivamente. El consultor no tiene la necesidad de realizar todas las preguntas que están ahí, él las escoge según sea de mayor importancia para realizar un análisis de riesgo al activo de información el cual es el Centro de Datos de la Universidad. Sin embargo, se debe justificar por qué no se escogió la etapa y la subetapa de las prácticas.

En la etapa Tecnologías de Seguridad Informática no se tienen en cuenta ninguna de las subetapas. Estas subetapas de la etapa de Tecnologías de Seguridad no se tienen en cuenta porque lo principal es la Seguridad Física del Centro de Datos y no interesa que información se tenga en el activo, es decir, no tiene importancia la Seguridad Lógica en el Activo de Información.

Las sub etapas que se tienen en cuenta en las Prácticas Operacionales son las siguientes:

Cuadro 8. Prácticas Operacionales – Seguridad Física (OP1) (Ver Anexo B5). Planes de Seguridad Física y Procedimientos (Ver Anexo B5.1).

Nombre de la Práctica Operacional Numeración de la Práctica Operacional

Planes de Seguridad Física y Procedimientos (OP1.1)

OP1.1.1 OP1.1.2 OP1.1.3 OP1.1.4 OP1.1.5

56

Cuadro 9. Prácticas Operacionales – Seguridad Física (OP1) (Ver Anexo B5). Control de Acceso Físico (Ver Anexo B5.2).

Nombre de la Práctica Operacional Numeración de la Práctica Operacional

Control de Acceso Físico (OP1.2) OP1.2.1 OP1.2.2 OP1.2.3 OP1.2.4

Cuadro 10. Prácticas Operacionales – Seguridad Física (OP1) (Ver Anexo B5). Monitoreo y Auditoría de Seguridad Física (Ver Anexo B5.3).

Nombre de la Práctica Operacional Numeración de la Práctica Operacional

Monitoreo y Auditoría de Seguridad Física (OP1.3)

OP1.3.1 OP1.3.3

Cuadro 11. Prácticas Operacionales – Personal de Seguridad (OP3) (Ver Anexo B6). Manejo de Incidentes (Ver Anexo B6.1).

Nombre de la Práctica Operacional Numeración de la Práctica Operacional

Manejo de Incidentes (OP3.1) OP3.1.1 OP3.1.2

Cuadro 12. Prácticas Operacionales – Personal de Seguridad (OP3) (Ver Anexo B6). Personal de Prácticas Generales (Ver Anexo B6.2).

Nombre de la Práctica Operacional Numeración de la Práctica Operacional

Personal de Prácticas Generales (OP3.2)

OP3.2.1 OP3.2.2 OP3.2.3

57

7.3. FASE 3 – ANÁLISIS DE RIESGOS Figura 11. Fase 3 – Metodología Octave

Y por último se encuentra la FASE 3 donde con la matriz de riesgos debe darse respuestas a inquietudes tales como:

¿Qué políticas y prácticas requieren definirse/modificar? ¿Qué acciones deben tomarse para mitigar los riesgos? ¿Qué debilidades tecnológicas requieren enfrentarse de inmediato?

En esta fase se crea una estrategia de protección y planes de mitigación, basados en la información recolectada. Las salidas para esta tercera fase son:

7.3.1.Identificación y evaluación de riesgos. Basados en la información de las fases anteriores y particularmente en los perfiles de amenazas, se identifican los riesgos y se evalúa el impacto en términos de una escala predefinida (alto, medio, bajo).

7.3.2.Estrategia de protección y planes de mitigación del riesgo. Se desarrolla los planes de mejora y los próximos pasos para proteger los activos críticos. Se determina que se va a hacer para implementar los resultados de la evaluación. Esta estrategia se desarrolla a partir de las vulnerabilidades y prácticas de seguridad identificadas durante la fase 1 y 2 de la metodología.

Para esta fase se desarrolló una plantilla muy importante dando reporte sobre la cantidad de riesgos que se somete el Centro de Datos y realizando un análisis conceptual sobre el Activo.

58

7.3.3. Valoración de los campos de la Matriz Análisis de Riesgos.

7.3.3.1. Valoración del Activo

Impacto =

7.3.3.2. Riesgo Neto

Riesgo Neto =

7.3.3.3. Riesgo Residual

Riesgo Residual =

7.4 PLANTILLAS A continuación se presentan las diferentes plantillas empleadas para el desarrollo del proyecto: 7.4.1. Plantilla 01: Información sobre el Activo del Centro de Datos. Esta plantilla está compuesta por los siguientes campos: ACTIVO DE INFORMACIÓN: Identifica el nombre del activo.

59

Cuadro 13. Cuadro descriptivo de Activos físicos. Categoría Descripción

Infraestructura de TI Edificios, Centros de Datos, habitaciones de equipos y servidores, armarios de red/cableado, oficinas, escritorios/cajones/archivadores, salas de almacenamiento de medios físicos y cajas de seguridad, dispositivos de identificación y autenticación/control de acceso del personal (tornos, tarjetas, etc) y otros dispositivos de seguridad (circuito cerrado de televisión (CCTV), etc).

Controles del entorno de TI Equipos de alarma/supresión contra incendio, sistemas de alimentación ininterrumpida (SAI), alimentación potencia y de red, acondicionadores/filtros/supresores de potencia, deshumificadores/refrigeradores/alarmas de aire, alarmas de agua.

Hardware de TI Dispositivos de almacenamiento y cómputo como ordenadores de sobremesa, estaciones de trabajo, portátiles, equipos de mano, servidores, mainframes, módems, líneas de terminación de red, dispositivos de comunicaciones (nodos de la red), impresoras/fotocopiadoras/faxes y equipos multifunción.

Fuente: Activos Físicos de TI, [en línea], [consultado el 30 de Marzo de 2014]. Disponible en Internet: http://nicerosniunos.blogspot.com/2010/06/iso27001-inventario-de-los-activos-de.html. PROPIETARIO DEL ACTIVO: Quien define el grado de seguridad que

requiere el activo. El propietario no tiene, necesariamente que ser quien va a gestionar el activo o ser su usuario. Es decir que es un proceso.

RESPONSABLE DEL ACTIVO: Es el que toma decisiones sobre el Activo de Información.

CUSTODIO DEL ACTIVO: Es el que cumple con las expectativas de seguridad sobre el Activo de Información.

CONFIDENCIALIDAD DEL ACTIVO: Valoración de la confidencialidad en el Activo de Información

DISPONIBILIDAD DEL ACTIVO: Valoración de la disponibilidad en el Activo de Información.

INTEGRIDAD DEL ACTIVO: Valoración de la integridad en el Activo de Información.

USUARIOS: Conjunto de permisos y de recursos (o dispositivos) a los cuales se tiene acceso.

60

Cuadro 14. Plantilla 01, Información sobre el Activo del Centro de Datos

NOTA: El desarrollo planteado para esta plantilla se encuentra en el inciso de Anexos con el nombre de “Anexo A. Información sobre el Activo del Centro de Datos”.

Activo de Información

Propietario del Activo

Responsable del Activo

Custodio del Activo

Confidencialidad del Activo

Disponibilidad del Activo

Integridad del Activo

Usuarios

61

7.4.2. Plantilla 02, Análisis de Riesgos. Esta plantilla está compuesta por los siguientes campos: IDENTIFICADOR DEL RIESGO: Número de identificación asignado al riesgo. ACTIVO: Identifica el nombre del activo de la organización. VALORACIÓN DEL ACTIVO: Identifica la valoración que se asigna teniendo

en cuenta el impacto generado frente a la confidencialidad, integridad y disponibilidad.

DESCRIPCIÓN DE LA AMENAZA: Identifica las posibles amenazas que afectan el activo.

Según [ISO/IEC 13335-1: 2004]: una amenaza es la causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.

Algunas amenazas generales tanto físicas como humanas se pueden encontrar en el Cuadro 24. Cuadro de ejemplos de amenazas informáticas.

VALORACIÓN DE LA AMENAZA: Identifica la valoración que se asigna

teniendo en cuenta la posibilidad de que ocurra la amenaza identificada. DESCRIPCIÓN DE LA VULNERABILIDAD: Identifica las vulnerabilidades que

presenta el activo. Según [ISO/IEC 13335-1: 2004]: Debilidad de un activo o conjunto de activos

que puede ser explotado por una amenaza.

Algunas vulnerabilidades físicas generales pueden ser encontradas en el Cuadro 25. Cuadro de ejemplos de vulnerabilidades informáticas. VALORACIÓN DE LA VULNERABILIDAD: Identifica la valoración que se

asigna teniendo en cuenta la posibilidad de que una amenaza explote la vulnerabilidad identificada.

RIESGO NETO: Identifica la valoración del riesgo existente en la organización antes de tomar acciones o establecer controles.

CONTROL DE LA ORGANIZACIÓN: Identifica los controles aplicados sobre el activo.

Según [ISO/IEC 27000]: Las políticas, procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo aceptable. (Nota: Control es también utilizado como sinónimo de salvaguarda o contramedida).

62

EVALUACIÓN DEL CONTROL: Identifica la evaluación que se asigna teniendo en cuenta la efectividad del control asociado.

CONTROL DE LA NORMA: Identifica los controles aplicados según las Norma ISO/IEC 27001: 2013.

RIESGO RESIDUAL: Identifica la valoración del riesgo existente en la organización después de que se han tomado acciones o establecido controles.

63

Cuadro 15. Plantilla 02, Análisis de Riesgos

NOTA: El desarrollo planteado para esta plantilla se encuentra en el inciso de Anexos con el nombre de “Anexo C. Análisis de Riesgos”.

IDENTIFICADOR DEL

RIESGOACTIVO

VALORACIÓN DEL

ACTIVO

DESCRIPCIÓN DE LA

AMENAZA

VALORACIÓN DE LA

AMENAZA

DESCRIPCIÓN DE LA

VULNERABILIDAD

VALORACIÓN DE LA

VULNERABILIDADRIESGO NETO

CONTROL DE LA

ORGANIZACIÓN

EVALUACIÓN DEL

CONTROL

CONTROL DE LA

NORMA

RIESGO

RESIDUAL

64

7.4.3. Plantilla 03, Controles de la ISO 27002 seleccionados. Esta plantilla está compuesta por los siguientes campos: ACTIVO: Identifica el activo de la organización. IDENTIFICADOR RIESGO: Número de identificación asignado al riesgo. DESCRIPCIÓN AMENAZA: Identifica las posibles amenazas que afectan al

activo. CATEGORIA AMENAZA: Identifica la categoría de la amenaza que afecta al

activo. DESCRIPCIÓN VULNERABILIDAD: Identifica las vulnerabilidades que

presenta el activo. NOMBRE DEL CONTROL ISO 27002: Identifica el nombre del control

asignado de la Norma ISO/IEC 27002: 2005. NÚMERO DEL CONTROL – ISO 27002: Identifica el número del control

asignado de la Norma ISO/IEC 27002: 2005. CONTROL – ISO 27002: Identifica información del control asignado para dar

recomendaciones sobre el activo.

65

Cuadro 16. Plantilla 03, Controles de la ISO 27002 seleccionados

Nota: El desarrollo planteado para esta plantilla se encuentra en el inciso de Anexos con el nombre de “Anexo D. Controles de la ISO 27002 seleccionados”.

ACTIVO IDENTIFICADOR RIESGO DESCRIPCIÓN AMENAZA CATEGORÍA AMENAZA DESCRIPCIÓN VULNERABILIDAD NOMBRE DEL CONTROL ISO 27002 NÚMERO DEL CONTROL - ISO 27002 CONTROL - ISO 27002

66

7.5. CRITERIOS DE VALORACIÓN Los siguientes criterios de valoración permiten analizar la probabilidad de ocurrencia, el impacto y los controles existentes, frente a los riesgos del Centro de Datos de la Universidad Autónoma de Occidente. 7.5.1. Probabilidad de Ocurrencia. Se determina mediante la probabilidad de que una amenaza explote una vulnerabilidad. 7.5.1.1. Amenaza. Según [ISO/IEC 13335-1: 2004]: Una amenaza es la causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. Probabilidad de ocurrencia de que una amenaza afecte al activo: Cuadro 17. Cuadro descriptivo de valoración de una amenaza (Nota: El contenido del Cuadro descriptivo de valoración de una amenaza no se debe mostrar en el documento ya que es información confidencial de la Universidad Autónoma de Occidente que está estipulado en el documento “Sistema de Administración de Riesgos de la Información”). 7.5.1.2. Vulnerabilidad. Según [ISO/IEC 13335-1: 2004]: Debilidad de una activo o conjunto de activos que puede ser explotado por una amenaza. Probabilidad de que por la vulnerabilidad se materialice la amenaza: Cuadro 18. Cuadro descriptivo de valoración de una vulnerabilidad (Nota: El contenido del Cuadro descriptivo de valoración de una vulnerabilidad no se debe mostrar en el documento ya que es información confidencial de la Universidad Autónoma de Occidente que está estipulado en el documento “Sistema de Administración de Riesgos de la Información”). 7.5.2. Relevancia de activo. Determina como se ve afectado un activo de información, de acuerdo a las características de la información. 7.5.2.1. Confidencialidad. Acceso a la información únicamente por personas autorizadas. ([ISO/IEC 13335-1: 2004]: Característica/propiedad por la que la

67

información no está disponible o revelada a individuos, entidades, o procesos no autorizados). 7.5.2.2. Integridad. Mantenimiento de la exactitud y completitud de la información. ([ISO/IEC 13335-1: 2004]: Propiedad/característica de salvaguardar la exactitud y completitud de los activos). 7.5.2.3. Disponibilidad. Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. ([ISO/IEC 13335-1: 2004]: Característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada). El impacto que afecta al Centro de Datos de la Universidad Autónoma de Occidente según los pilares de la Seguridad de la Información: La Confidencialidad, La Integridad y la Disponibilidad: Cuadro 19. Cuadro descriptivo de valoración del Impacto del Activo (Nota: El contenido del Cuadro descriptivo de valoración del Impacto del Activo no se debe mostrar en el documento ya que es información confidencial de la Universidad Autónoma de Occidente que está estipulado en el documento “Sistema de Administración de Riesgos de la Información”). 7.5.3. Controles de la organización. Determina que tan efectivo es un control o salvaguarda. 7.5.3.1. Control. Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. (Nota: Control es también utilizado como sinónimo de salvaguarda o contramedida). Evaluación del control de la organización:

68

Cuadro 20. Cuadro descriptivo de evaluación del control de la Institución Universitaria (Nota: El contenido del Cuadro descriptivo de evaluación del control de la Institución Universitaria no se debe mostrar en el documento ya que es información confidencial de la Universidad Autónoma de Occidente que está estipulado en el documento “Sistema de Administración de Riesgos de la Información”). 7.5.3.2 Controles de la Norma. Para el proceso de este proyecto se tuvieron en cuenta los siguientes controles de la Norma ISO/IEC 27001: 2013 y la Norma ISO/IEC 27002: 2013. Cuadro 21. Cuadro descriptivo de los Controles de la Norma

CONTROL DE LA NORMA Numeral de

la Norma Descripción Control

A.5.1.1

Políticas para la seguridad de la información.

Se define un conjunto de políticas para la seguridad de la información, aprobada por la dirección, publicada y comunicada a los empleados y a las partes externas pertinentes.

A.6.1.1 Roles y responsabilidades para la seguridad de la información.

Se deben definir y asignar todas las responsabilidades de la seguridad de la información.

A.6.1.4 Contacto con grupos de interés especial.

Se deben mantener contactos apropiados con grupos de interés especial u otros foros y asociaciones profesionales especializadas en seguridad.

A.6.1.5 Seguridad de la información en la gestión de proyectos.

La seguridad de la información se debe tratar en la gestión de proyectos, independientemente del tipo de proyecto.

A.7.1.2 Términos y condiciones del empleo.

Los acuerdos contractuales con empleados y contratistas deben establecer sus responsabilidades y las de la organización en cuanto a la seguridad de la información.

A.7.2.1 Responsabilidades de la dirección.

La dirección debe exigir a todos los empleados y contratistas la aplicación de la seguridad de la información de acuerdo con las políticas y procedimientos establecidos por la organización.

69

Cuadro 21 (Continuación) Numeral de

la Norma Descripción Control

A.7.2.2 Toma de conciencia, educación y formación en la seguridad de la información.

Todos los empleados de la organización, y en donde sea pertinente, los contratistas, deben recibir la educación y la formación en toma de conciencia apropiada, y actualizaciones regulares sobre las políticas y procedimientos de la organización pertinentes para su cargo.

A.11.1.1 Perímetro de seguridad física.

Se deben definir y usar perímetros de seguridad, y usarlos para proteger áreas que contengan información confidencial o crítica, e instalaciones de manejo de información.

A.11.1.2 Controles de acceso físicos.

Las áreas seguras se deben proteger mediante controles de acceso apropiados para asegurar que solo se permite el acceso a personal autorizado.

A.11.2.1 Ubicación y protección de los equipos.

Los equipos deben estar ubicados y protegidos para reducir los riesgos de amenazas y peligros del entorno, y las posibilidades de acceso no autorizado.

A.11.2.4 Mantenimiento de equipos.

Los equipos se deben mantener correctamente para asegurar su disponibilidad e integridad continuas.

A.12.7.1 Controles de auditorías de sistemas de información.

Los requisitos y actividades de auditoría que involucran la verificación de los sistemas se deben planificar y acordar cuidadosamente para minimizar las interrupciones en los procesos del negocio.

A.16.1.1 Responsabilidades y procedimientos.

Se deben establecer las responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.

A.16.1.5 Respuesta a incidentes de seguridad de la información.

Se debe dar respuestas a los incidentes de seguridad de la información de acuerdo con procedimientos documentados.

A.17.1.1 Planificación de la continuidad de la seguridad de la información.

La organización debe determinar sus requisitos para la seguridad de la información y la continuidad de la gestión de la seguridad de la información en situaciones adversas durante desastres.

70

Cuadro 21 (Continuación) Numeral de

la Norma Descripción Control

A.17.1.2 Implementación de la continuidad de la seguridad de la información.

La organización debe establecer, documentar, implementar y mantener procesos, procedimientos y controles para asegurar el nivel de continuidad requerido para la seguridad de la información durante una situación adversa.

A.17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información.

La organización debe verificar a intervalos regulares los controles de continuidad de la seguridad de la información establecidos e implementados, con el fin de asegurar que son válidos y eficaces durante situaciones adversas.

A.18.2.1 Revisión independiente de la seguridad de la información.

El enfoque de la organización para la gestión de la seguridad de la información y su implementación (es decir, los objetivos de control, los controles, las políticas, los procesos y los procedimientos para seguridad de la información) se deben revisar independientemente a intervalos planificados o cuando ocurran cambios significativos.

Fuente: COLOMBIA. NORMA TÉCNICA NTC-ISO-IEC COLOMBIANA 27001. Sistema de Gestión de la Seguridad de la Información. Bogotá D.C.: 2013. p. 13-24.

71

7.6. ESCALA DE VALORACIÓN

Las siguientes escalas de valoración permitirán analizar e identificar cual es la respuesta más acertada para el tratamiento del riesgo que se está evaluando. 7.6.1. Riesgo Neto. Identifica la valoración del riesgo existente en la organización antes de tomar acciones o establecer controles que permitan a la organización reducir su probabilidad de ocurrencia. 7.6.2. Riesgo residual. Identifica la valoración del riesgo existente en la organización después de que se han tomado acciones o establecido controles que permiten a la organización reducir su probabilidad de ocurrencia. Cuadro 22. Cuadro descriptivo de riesgo residual (Nota: El contenido del Cuadro descriptivo de riesgo residual no se debe mostrar en el documento ya que es información confidencial de la Universidad Autónoma de Occidente que está estipulado en el documento “Sistema de Administración de Riesgos de la Información”). 7.7. EJEMPLOS Para el desarrollo del proyecto se tuvieron en cuenta como base, los siguientes activos, amenazas y vulnerabilidades. 7.7.1. Cuadro de ejemplos de activos físicos. En la siguiente tabla se plantean una serie de activos físicos que pueden llegar a ser tenidos en cuenta en la selección de los mismos:

72

Cuadro 23. Cuadro de ejemplos de activos físicos.

ACTIVO CATEGORÍA Centro de datos Infraestructura Computador de escritorio Infraestructura Computador portátil Infraestructura Servidor de aplicación Infraestructura Servidor de archivos (data) Infraestructura Switch Infraestructura Router Infraestructura Modem Infraestructura Firewall Infraestructura Medios extraíbles (usb, cd-room, disco duro)

Infraestructura

Red de cableado Infraestructura Cintas de Backup Infraestructura Servidor proxy Infraestructura Servidor DHCP Infraestructura Central telefónica Infraestructura Red telefónica Infraestructura

Fuentes de alimentación Equipamiento Auxiliar Sistema de alimentación ininterrumpida (UPS)

Equipamiento Auxiliar

Equipos de Climatización Equipamiento Auxiliar Sistema contra incendio Equipamiento Auxiliar Fuente: Activos Físicos de Información, [en línea], [consultado el 01 de Abril de 2014]. Disponible en Internet: http://www.microsoft.com/spain/technet/recursos/articulos/srsgch00.mspx.

7.7.2. Cuadro de ejemplos de amenazas. En la siguiente tabla se plantean una serie de amenazas que pueden llegar a ser tenidas en cuenta en la selección de las mismas: Cuadro 24. Cuadro de ejemplos de amenazas informáticas

AMENAZAS CATEGORÍA Acceso no autorizado al centro de datos Cumplimiento Incumplimiento en el mantenimiento/ chequeo del sistema de información

Cumplimiento

Uso no autorizado del equipo informático Cumplimiento

73

Cuadro 24 (Continuación) AMENAZAS CATEGORÍA

Uso de software sin licencia Cumplimiento Uso de software prohibido Cumplimiento Uso de software infectado por malware Cumplimiento Creación de cuentas de usuario sin autorización

Cumplimiento

Hurto de documentos Cumplimiento Hurto de equipos informáticos Cumplimiento Destrucción de información Cumplimiento Divulgación de información Cumplimiento Fugas de información Cumplimiento Errores humanos Cumplimiento Hurto de información Fraude interno/externo Abuso de privilegios / derechos Fraude interno / externo Falsificación de privilegios / derechos Fraude interno / externo Inserción/Alteración accidental de información

Fraude interno/externo

Inserción/Alteración de información. Fraude interno/externo Acceso no autorizado al Centro de Datos Fraude interno/externo Acceso forzado al Centro de Datos (intrusión)

Fraude interno/externo

Manipulación con hardware Fraude interno/externo Sabotaje Fraude interno/externo Falla suministro eléctrico Interrupción y Fallas del Sistema Falla del equipo informático Interrupción y Fallas del Sistema Errores de hardware Interrupción y Fallas del Sistema Errores de administrador Interrupción y Fallas del Sistema Errores de los funcionarios Interrupción y Fallas del Sistema Errores de actualización y/o mantenimiento de equipos (hardware)

Soporte y Entrega del Servicio

Amenazas a los equipos informáticos relacionadas con la calidad de aire (temperatura y humedad)

Física

Humo e incendios Física Filtraciones de líquidos Física Contaminantes peligrosos suspendidos en el aire

Física

Terremotos, inundaciones, tormentas, avalanchas, etc.

Física

Fuente: Amenazas Informáticas, [en línea], [consultado el 01 de Abril del 2014]. Disponible en Internet: http://www.microsoft.com/spain/technet/recursos/articulos/srappc.mspx http://www.fasor.com.sv/whitepapers/whitepapers/Monitoreo/Como_monitorear_amenazas_fisicas_en_centro_de_datos.pdf.

74

7.7.3. Cuadro de ejemplos de vulnerabilidades. En la siguiente tabla se plantean una serie de vulnerabilidades que pueden llegar a ser tenidas en cuenta en la selección de las mismas: Cuadro 25. Cuadro de ejemplos de vulnerabilidades informáticas

VULNERABILIDADES Falta de protección física en puertas Acceso no protegido a las instalaciones informáticas Sistemas contra incendios insuficientes Diseño deficiente de edificios Construcción deficiente de edificios Materiales inflamables empleados en la construcción Falta de protección física en las ventanas Paredes que se pueden asaltar físicamente Paredes interiores que no sellan la sala por completo tanto en el techo como en suelo Instalación situada sobre una línea de error Instalación situada en una zona de inundaciones Instalación situada en un área de avalanchas Falta de revisiones de hardware Sistemas sin proteger físicamente Falta de procedimientos Falta de asignación de responsabilidades en la seguridad de la información Falta de planes de continuidad Falta de políticas sobre el uso de computadores portátiles Falta de procesos disciplinarios referentes a los incidentes de seguridad de la información Falta de revisiones regulares por parte de la gerencia Fuente: Vulnerabilidades Informáticas, [en línea], [consultado el 01 de Abril del 2014]. Disponible en Internet: http://www.microsoft.com/spain/technet/recursos/articulos/srappd.mspx.

75

8. METODOLOGÍA DE LA INVESTIGACIÓN

La metodología y seguimiento de este proyecto es Agile Unified Process (AUP).

AUP es una adaptación de UP (marco de desarrollo software iterativo e incremental), formalizada por Scott Ambler. AUP se preocupa especialmente de la gestión de riesgos. Propone que aquellos elementos con alto riesgo obtengan prioridad en el proceso de desarrollo y sean abordados en etapas tempranas del mismo. Para ello, se crean y mantienen listas identificando los riesgos desde etapas iniciales del proyecto. Especialmente relevante en este sentido es el desarrollo de prototipos ejecutables durante la base de elaboración del producto, donde se demuestre la validez de la arquitectura para los requisitos claves del producto y que determinan los riesgos técnicos.

Al igual que en RUP, en AUP se establecen cuatro fases que transcurren de manera consecutiva y que acaban con hitos claros alcanzados:

Concepción: El objetivo de esta fase es obtener una comprensión común cliente – equipo del desarrollo del alcance del nuevo sistema y definir una o varias arquitecturas candidatas para el mismo.

Elaboración: El objetivo es que el equipo de desarrollo profundice en la comprensión de los requisitos del sistema y en validar la arquitectura.

Construcción: Durante la fase de construcción el sistema es desarrollo y probado al completo en el ambiente de desarrollo.

Transición: El sistema se lleva a los entornos de preproducción donde se somete a pruebas de validación y aceptación y finalmente se despliega en los sistemas de producción.

Las fases a contemplar para el desarrollo de este proyecto son:

Fase Concepción:

1. Recolectar información sobre el centro de datos de la Universidad Autónoma de Occidente.

2. Identificar los activos de información más importantes del centro de datos. 3. Definir el alcance del proyecto. 4. Estimación del costo y cronograma del proyecto. 5. Asegurar el compromiso de la Dirección del proyecto.

Fase de Elaboración:

6. Planificación del proyecto. 7. Identificar los controles de la seguridad física utilizando las normas ISO/IEC

27001: 2005 y norma ISO/IEC 27002: 2005.

76

8. Análisis de riesgos relacionados con el proyecto. 9. Definir una metodología para la clasificación de los riesgos asociados a los

activos del centro de datos de la Universidad Autónoma de Occidente. 10. Realizar los modelos de gestión de información del centro de datos. 11. Identificar y evaluar las amenazas y vulnerabilidades de los activos según

la seguridad física del centro de datos. 12. Calcular el valor del riesgo asociado a cada activo.

Fase de Construcción:

13. Identificar los controles correctos de la Seguridad Física de los centros de datos de la Universidad.

14. Habitar el centro de datos en un buen espacio donde no tenga el riesgo de desastres naturales.

15. Generar la documentación pertinente a la Seguridad de la Información de la Seguridad Física del Centro de datos.

16. Decidir cuál de las normas es la más indicada para la Seguridad Física del Centro de Datos.

Fase de Transición:

17. Entregar el proyecto “Identificación de los controles de Seguridad Física de los Centros de Datos de la Universidad Autónoma de Occidente”.

77

9. RESULTADOS

Teniendo en cuenta el análisis realizado es indispensable considerar los riesgos que se obtuvieron en la valoración de la matriz de los riesgos y algunas políticas que permitan gestionar de manera adecuada la seguridad de la información en el Centro de Datos de la Universidad Autónoma de Occidente.

9.1. ANÁLISIS DE RIESGOS DEL CENTRO DE DATOS

Basándose en el análisis realizado, con las Prácticas Estratégicas y las Prácticas Operacionales del Catálogo de Prácticas enfocado en la Metodología Octave se encontraron las vulnerabilidades y amenazas (Presente en el inciso de Anexos con el nombre de “Anexo B. Catálogo de Prácticas – Metodología Octave”) los resultados obtenidos a partir del análisis del Catálogo de Prácticas para el análisis de riesgos del Centro de Datos fueron los siguientes:

Según El Cuadro Descriptivo de Riesgo Residual y la Matriz de Riesgos los siguientes Riesgos que estuvieron en la Línea de Riesgo Aceptable y que se deja tal cual su situación actual evitando adelantar alguna actividad al respecto: R3. R4. R5. R7. R20. R22. R25.

Según El Cuadro Descriptivo de Riesgo Residual y la Matriz de Riesgos los

siguientes Riesgos que estuvieron en la Línea de Riesgo Evaluación y que como conclusión se deja tal cual su situación actual evitando adelantar alguna actividad al respecto, sin embargo de ser posible se monitoreará: R1. R2. R13. R14. R15. R16. R17. R18. R19. R26. R27.

78

R28. R33. R45. R46. R47. R49. R52.

Según El Cuadro Descriptivo de Riesgo Residual y la Matriz de Riesgos los

siguientes Riesgos que estuvieron en la Línea de Riesgo Inaceptable y que como conclusión se deben adelantar actividades las cuales aporten a su mitigación en donde se generarán Planes de Mitigación de Riesgos y Estrategias de Protección: R6. R8. R9. R10. R11. R12. R21. R23. R24. R29. R30. R31. R32. R34. R35. R36. R37. R38. R39. R40. R41. R42. R43. R44. R48. R50. R51. R53. R54. R55. R56. R57.

79

R58. R59. R60. R61. R62.

9.2. RECOMENDACIONES PARA LOS CONTROLES EXISTENTES DEL CENTRO DE DATOS

Con los 62 Riesgos obtenidos para el Centro de Datos de la Universidad Autónoma de Occidente (Presente en el inciso de Anexos con el nombre de “Anexo C. Análisis de Riesgos”), en esta matriz se puede observar que hay controles que existen pero a la misma vez no existen por el cual si deberían existir para que la mitigación del riesgo se cumpla para el Centro de Datos. Las recomendaciones para los Controles Existentes del Centro de Datos se presentan en “El Plan de Mitigación de Riesgos y Estrategias de Protección para el Centro de Datos” representado como el Anexo D. con el nombre de Controles de la ISO 27002 seleccionados.

9.3. POLÍTICA ESPECÍFICA DEL CONTROL DEL ACCESO FÍSICO AL CENTRO DE DATOS

(Nota: El contenido de la Política Especifica del Control de Accesos Físico al Centro de Datos no se debe mostrar por el cuál es información confidencial de la institución universitaria del documento estipulado “Plan de Mitigación de Riesgos y Estrategias de Protección del Centro de Datos”).

80

10. CONCLUSIONES

√ Con la descripción de los lineamientos del Sistema de Administración de

Riesgos Integral (SARI), se tuvo la oportunidad de conocer todas las directrices planteadas para cumplir y garantizar que todas las acciones que se realizan en el contexto de seguridad de la información, para ello se debe lograr mitigar y minimizar las consecuencias de los riesgos a los que se expone el Centro de Datos de la Universidad Autónoma de Occidente. Con la descripción se logra comprender de manera más precisa que el Activo de Información el Centro de Datos es un activo crítico el cual son activos que se relacionan con la información de mayor criticidad para la Institución Universitaria. Con lo anteriormente dicho se debe entender que el Centro de Datos es un activo de información más importante ya sea para la División de Tecnologías como para la Universidad Autónoma de Occidente.

√ Al aplicar los lineamientos del Sistema de Administración de Riesgos Integral

(SARI), se logró apropiarse de manera adecuada del sistema que permite la valoración de las amenazas, valoración de las vulnerabilidades, la valoración del control, valoración del riesgo neto y la valoración del riesgo residual. Con la aplicación de los lineamientos se logra entender que riesgos para el Centro de Datos son Inaceptables y toca hacer seguimiento a esos riesgos por medio de controles.

√ Con el Catálogo de Prácticas de la Metodología Octave se logra identificar las

vulnerabilidades organizacionales con sus respectivas amenazas y las vulnerabilidades tecnológicas con sus amenazas. Es importante indicar que con la descripción de los lineamientos del Sistema de Administración de Riesgos Integral se comprendió identificar el Responsable del Centro de Datos y el Custodio del Centro de Datos. Con el Responsable y el Custodio se lograron realizar encuestas o entrevistas con una serie de preguntas aplicando Normas ISO 27001 e ISO 27002.

√ A partir del análisis de riesgos a los que se expone el Centro de Datos que es un activo crítico de la Institución Universitaria se logró identificar que hay controles tanto organizacionales como controles tecnológicos. Pero lo que se debe mejorar es la documentación, procedimientos, políticas que debe presentar la División de Tecnologías con los controles organizacionales y los controles tecnológicos.

81

√ Con el Plan de mitigación de Riesgos del Centro de Datos permitió cumplir con el objetivo principal con la Identificación de los Controles de la Seguridad Física, toda vez que esté consiste en proponer controles que salvaguarden todas las actividades que se realicen para el Centro de Datos que son ofrecidos por la División de Tecnologías a la Institución Universitaria. El análisis de riesgos sólo se realizó para el Centro de Datos empleando plantear oportunidades de mejora para los controles más físicos que organizacionales y debido a esto se planteó una política específica para el control de acceso físico al Centro de Datos.

82

11. RECOMENDACIONES

Teniendo en cuenta una proyección a futuro en el campo de seguridad de la información se le recomienda al Centro de Datos de la Universidad Autónoma de Occidente de Cali (Nota: Esta recomendaciones son para tener en cuenta proyectos a futuros para el Activo de información. Las recomendaciones a fondo para el Centro de Datos se encuentran en un documento estipulado “Plan de Mitigación de Riesgos y Estrategias de Protección para el Centro de Datos”, y no se debe mostrar debido a que es información confidencial para la Universidad):

√ Se desarrolló un Plan de Mitigación de Riesgos para el Centro de Datos en términos de controles mitigando los riesgos que se obtuvieron para el Activo de Información. Sin embargo es indispensable que, una vez identificado los controles, se desarrolle una auditoría general para verificar si se cumplen o no con los controles que se recomendaron para el Centro de Datos de la División de Tecnologías.

√ Para el análisis de riesgos se tomó como en el peor de los casos la parte

donde no existían los controles para algunos de los riesgos identificados en el proyecto, donde se propone que solo los riesgos que tomen un nivel de aceptación del riesgo inaceptado serán tratados como mejoramiento para el Centro de Datos cumpliendo con controles adecuados. A partir de la matriz consignada en el Anexo C se pueden identificar riesgos con niveles medios que se recomienda para proyectos futuros ser cambiados a una valoración aceptable.

Para continuar con el Plan de dar a conocer las oportunidades de mejora para el Centro de Datos fue necesario indicar al Plan de Mitigación de Riesgos que documentación, política o procedimientos se debe cumplir para mitigar los riesgos que se encontraron para el Centro de Datos de la División de Tecnologías. Para este proyecto se utilizó el Catálogo de Prácticas de la Metodología Octave (Ver en el inciso de Anexos con el nombre de Anexo B. Catálogo de Prácticas – Metodología Octave), en este Catálogo se incluyeron dos Prácticas, la primera es la Estratégica y la segunda es la Operacional. En donde se especifica que las Prácticas Estratégicas son dedicadas a la parte organizacional del Centro de Datos y las Prácticas Operacionales son dedicadas a la parte tecnológica del activo de información. Para ello se desarrollan las siguientes recomendaciones para indicar a los responsables del Centro de Datos que se deben tener en cuenta para tener un buen mejoramiento para los controles organizacionales y los controles físicos:

83

Para la parte organizacional del Centro de Datos:

√ Se recomienda para tener un plan de mejoramiento del Centro de Datos en los controles organizacionales que se desarrolle una documentación y verificación para las estrategias de seguridad, metas y objetivos del Centro de Datos.

√ Se recomienda para tener un plan de mejoramiento en la parte organizacional

del Centro de Datos que se desarrolle una documentación para las normas, políticas y procedimientos del Centro de datos.

√ Se recomienda para tener un plan de mejoramiento que se tenga un

compromiso, capacitación, revisión y documentación de la Alta Dirección para trabajos con entes externos en las políticas y procedimientos para el activo de información.

√ Se recomienda para tener un plan de mejoramiento que se tenga un

compromiso, capacitación, revisión y documentación de la Alta Dirección para los planes de recuperación de desastres y de contingencia del Centro de Datos.

√ Se recomienda para tener un plan de mejoramiento en la parte organizacional

obtener una integración entre las estrategias y objetivos institucionales por parte de la Alta Dirección y las estrategias de seguridad del Centro de Datos por parte del Custodio del activo de información.

√ Se recomienda para tener un plan de mejoramiento en el Centro de Datos un documento donde se incluya la asignación de roles y responsabilidades de la seguridad de la información.

√ Se recomienda para tener un plan de mejoramiento en la parte organizacional contacto con los grupos especializados en seguridad de la información obteniendo capacitaciones y conocimientos por medio de las personas expertas en el tema.

84

√ Se recomienda para tener un plan de mejoramiento en el Centro de Datos una revisión independiente de la seguridad física del activo de información, teniendo registros del estado de la seguridad física.

√ Se recomienda para tener un plan de mejoramiento para la parte

organizacional del Centro de datos desarrollar o tener un documento que esté aprobado, revisado y firmado por la Alta Dirección de planes de Continuidad del Negocio, planes de Contingencia y planes de Recuperación de Desastres.

Para la parte tecnológica del Centro de Datos:

√ Se recomienda para tener un plan de mejoramiento para la parte tecnológica el desarrollo de una documentación, revisión, aprobación y actualización del plan de protección de las instalaciones para mitigar los riesgos del perímetro de seguridad física del Centro de Datos.

√ Se recomienda para tener un plan de mejoramiento para la parte tecnológica del activo de información el desarrollo de un documento de lineamientos y procedimientos para el control de acceso físico a personal externo al Centro de Datos.

√ Se recomienda para tener un plan de mejoramiento el desarrollo de documentación de políticas y procedimientos para el control de acceso físico por parte de los usuarios de la División de Tecnologías del Centro de Datos.

√ Se recomienda para tener un plan de mejoramiento para la parte tecnológica del Centro de Datos obtener la documentación de procedimientos para la verificación de autorización del control de acceso físico para el activo de información.

√ Se recomienda para tener un plan de mejoramiento para la parte tecnológica tener controles para salvaguardar las estaciones de trabajo que contienen información confidencial del Centro de Datos.

85

√ Se recomienda una documentación efectiva para la reparación física a los equipos físicos que necesitan un mantenimiento continuo en el Activo de información.

√ Se recomienda una documentación para los procedimientos y responsabilidades a los incidentes de seguridad que incluye incidentes de acceso físico al Centro de Datos.

86

BIBLIOGRAFÍA

Activos Físicos de Información, [en línea], [consultado el 01 de Abril de 2014]. Disponible en Internet: http://www.microsoft.com/spain/technet/recursos/articulos/srsgch00.mspx.

Activos Físicos de TI, [en línea], [consultado el 30 de Marzo de 2014]. Disponible en Internet: http://nicerosniunos.blogspot.com/2010/06/iso27001-inventario-de-los-activos-de.html.

Amenazas Informáticas, [en línea], [consultado el 01 de Abril del 2014]. Disponible en Internet: http://www.microsoft.com/spain/technet/recursos/articulos/srappc.mspx

http://www.fasor.com.sv/whitepapers/whitepapers/Monitoreo/Como_monitorear_amenazas_fisicas_en_centro_de_datos.pdf.

Avantium Business Consulting, Gestión de Riesgos: Norma ISO/IEC 31000: 2009, [en línea], consultado el 05 de Julio del 2013, disponible en Internet:http://www.avantium.es/index.php/gestion-de-riesgos-iso-31000.

BISOGNO, María Victoria. Metodología para Aseguramiento de Entornos Informatizados [en línea]. Trabajo de grado Ingeniero Informático. Buenos Aires: Universidad de Buenos Aires. Facultad de Ingeniería, 2004. 234 p. [consultado: 14 de Noviembre 2013]. Disponible en: http://materias.fi.uba.ar/7500/bisogno-tesisdegradoingenieriainformatica.pdf.

Catálogo de Prácticas Octave [en línea], consultado el 20 de Enero de 2014, Disponible en Internet: http://www.cert.org/resilience/products-services/octave/index.cfm.

COLOMBIA. NORMA TÉCNICA NTC-ISO-IEC COLOMBIANA 27001. Sistema de Gestión de la Seguridad de la Información. Bogotá D.C.: 2013. p. 13-24.

87

Concepto de Seguridad Informática, Empresa Yumbo ESPY, [en línea], consultado el 10 de Junio del 2010, disponible en Internet: http://www.espyumbo.com/portalespy/index.php?option=com_content&view=article&id=78:segu.

Concepto de Vulnerabilidad y Amenaza, [en línea], consultado el 08 de Febrero del 2014, Disponible en Internet: http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/.

Controles de la Norma ISO/IEC 27002: 2013, [en línea], consultado el 26 de Marzo de 2014. Disponible en Internet: file:///E:/Documents/ControlesISO27002-2013.pdf.

Dominios de la Norma ISO/IEC 27002: 2013, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: http://www.isaca.org/chapters7/Madrid/Events/Documents/Principales%20Novedades%20de%20la%20ISO27001ISO%2027002%20-%20Paloma%20Garcia.pdf.

ESTADOS UNIDOS, NORMA ANSI/TIA 942. Norma de Telecomunicaciones de Infraestructura para Centro de Datos. 2005. 142 p.

Estándares y Normas de Seguridad, [en línea], consultado el 10 de Febrero del 2014. Disponible en Internet: http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf.

La Serie de la Norma ISO/IEC 27000, [en línea], consultado el 10 de Febrero de 2014. Disponible en Internet: http://www.gcpglobal.com/docs/Intro_ISO27001.pdf.

Manual de Políticas y Estándares de seguridad Informática, Estándares de Seguridad Física,[en línea], consultado el 24 de Septiembre del 2013, disponible en Internet: http://www.scribd.com/doc/18046249/Manual-de-Politicas-y-Estandares-de-Seguridad-a-Para-Usuarios.

88

Niveles de Centro de Cómputo (Tiers) según la Norma ANSI/TIA 942 [en línea], consultado el 20 de Marzo del 2014, disponible en Internet: http://www.gzingenieria.com/pdf/ClasifNivCentrComNortia92.pdf. Norma ISO/IEC 27001: 2013, [en línea], consultado el 26 de Marzo de 2014. Disponible en Internet: http://www.welivesecurity.com/la-es/2013/10/09/publicada-iso-270002013-cambios-en-la-norma-para-gestionar-la-seguridad-de-la-informacion/.

Norma ISO/IEC 27002: 2013, [en línea], consultado el 26 de Marzo de 2014. Disponible en Internet: http://www.criptored.upm.es/descarga/NuevasVersionesISO27001eISO27002.pdf.

PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. Trabajo de Grado Licenciado en Administración de Sistemas de Información, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: http://www.tesis.ufm.edu.gt/pdf/3574.pdf.

Portal de ISO 27001, Glosario de definición de las características de la seguridad, [en línea], consultado el 10 de Junio del 2013, disponible en Internet: http://www.iso27000.es/glosario.html#section10c.

ROJAS, Jorge. Principios de Seguridad Informática. Colombia – Cali, 2013 – 2014. 57 p.

Seguridad de la Información, Información sobre la Seguridad Física, [en línea], consultado el 24 de Junio del 2013, disponible en Internet: http://www.segu-info.com.ar/fisica/.

Vulnerabilidades Informáticas, [en línea], [consultado el 01 de Abril del 2014]. Disponible en Internet: http://www.microsoft.com/spain/technet/recursos/articulos/srappd.mspx.

89

ANEXOS

Anexo A. Información sobre el Activo del Centro de Datos

(Nota: El contenido del Anexo A. Información sobre el Activo del Centro de Datos no se debe mostrar en este documento por el cual contiene información confidencial de la Institución Universitaria Autónoma de Occidente).

90

Anexo B. Catálogo de Prácticas – Metodología Octave

A continuación se muestran las preguntas de las Prácticas Estratégicas y Prácticas Operacionales teniendo en cuenta para el análisis de las vulnerabilidades organizacionales y vulnerabilidades estratégicas:

Prácticas Estratégicas

Anexo B.1. Conciencia de Seguridad y formación (SP1)

SP1.1.

¿Existe para el Centro de Datos una definición de roles y responsabilidades respecto con la seguridad de la Información?

¿Esto está documentado y verificado los roles y responsabilidades en la seguridad de la información para el Centro de Datos?

SP1.2.

¿Existen reuniones por la Alta Dirección hacia los recursos de los servicios, tecnologías o mecanismos del Centro de Datos?

¿Esto está documentado y verificado las reuniones por la Alta Dirección para el centro de datos?

SP1.3.

¿Existe un compromiso, capacitación y revisión continua por todo el personal del centro de datos?

Esto incluye:

o Las estrategias de seguridad , metas y objetivos o Las normas de seguridad , políticas y procedimientos o Políticas y procedimientos para trabajar con terceros o Los planes de recuperación de desastres y de contingencia o Requisitos de seguridad física o La gestión de incidentes o Prácticas generales de personal o Cumplimiento, sanciones y acciones disciplinarias por violaciones de

seguridad

91

¿Esto está documentado y verificado periódicamente?

Esto incluye:

o Las estrategias de seguridad, metas y objetivos o Las normas de seguridad, políticas y procedimientos o Políticas y procedimientos para trabajar con terceros o Los planes de recuperación de desastres y de contingencia o La gestión de incidentes o Prácticas generales de personal o Cumplimiento, sanciones y acciones disciplinarias por violaciones de

seguridad

Anexo B.2. Estrategia de seguridad (SP2)

SP2.1.

¿Existe un orden adecuado para las estrategias del negocio en la seguridad de la información del Centro de Datos?

SP2.2.

¿Existe una integración entre las estrategias y objetivos institucionales y las estrategias de seguridad para el Centro de Datos?

SP2.3.

¿Están documentadas y se revisan continuamente las estrategias de seguridad del centro de datos?

Anexo B.3. Gestión de seguridad (SP3)

SP3.2.

¿La asignación de funciones y responsabilidades de seguridad se especifican para todos los usuarios que estén relacionados con el centro de datos?

SP3.4.

¿Existe contacto con los grupos de interés especializados en seguridad de la información del Centro de Datos?

SP3.5.

¿La alta Dirección identifica los riesgos de seguridad de la información del Centro de Datos incluyendo o Evaluación de riesgos?

92

o Las amenazas internas/externas? o Toma de medidas para mitigar los riesgos? o Mantiene un nivel aceptable para el riesgo?

SP3.6.

¿El centro de datos cuenta con una gestión en la revisión independiente de la seguridad de la información de acuerdo a los resultados en o La revisión de los registros del centro de datos? o La revisión de auditoría del centro de datos? o Los incidentes de seguridad del centro de datos? o Las evaluaciones de riesgos del centro de datos? o Las revisiones de seguridad física del centro de datos? o Los planes de mejora de seguridad y recomendaciones del centro de

datos?

Anexo B.4 Planes de contingencia / recuperación de desastres (SP6)

SP6.1.

¿Se ha desarrollado e implementado planes de continuidad que incluyen la seguridad de la información para analizar las operaciones, las aplicaciones y la criticidad para el centro de datos?

SP6.2.

¿El centro de datos cuenta con una documentación de política de seguridad de la información que se refiera a la continuidad del negocio?

¿El centro de datos cuenta con una documentación de política de seguridad de la información que se refiera al plan de recuperación de desastres?

¿El centro de datos cuenta con una documentación de política de seguridad de la información que se refiera al plan de contingencia para responder a las emergencias?

SP6.4.

¿Los planes de contingencia, recuperación de desastres y continuidad del negocio del centro de datos se someten a pruebas, mantenimiento y reevaluación continuamente?

SP6.5.

¿Todos los usuarios que está a cargo del centro de datos conoce sobre la estructura de la planificación de contingencia, recuperación de desastres y continuidad del negocio?

93

¿Todos los usuarios que está a cargo del centro de datos comprenden y son capaces de llevar a cabo sus responsabilidades de acuerdo a la estructura para la planificación de contingencia, recuperación de desastres y continuidad del negocio que tienen sobre el centro de datos?

Prácticas Operacionales

Anexo B.5. SEGURIDAD FÍSICA (OP1)

Anexo B.5.1 Planes de seguridad física y procedimientos (OP1.1)

OP1.1.1.

¿Están documentados el plan de protección de las instalaciones para mitigar los riesgos del perímetro de seguridad física del centro de datos?

OP1.1.2.

¿Estos planes de protección de las instalaciones del perímetro físico del centro de datos son revisados, probados y actualizados continuamente?

OP1.1.3.

¿Los procedimientos de seguridad física y sus mecanismos son probados y revisados continuamente para el centro de datos?

OP1.1.4.

¿Para el centro de datos existe una documentación de lineamientos y procedimientos para gestionar el control de acceso físico de la entrada de visitantes? o Escoltas? o Para registros de acceso?

OP1.1.5.

¿Existe documentación de lineamientos y procedimientos de seguridad de la información para el control físico de hardware y software del centro de datos?

Anexo B.5.2 Control de acceso físico (OP1.2)

OP1.2.1.

¿Existen documentos de políticas y procedimientos para el acceso físico individual y grupal de personas que no estén autorizadas para ingresar al centro de datos?

94

OP1.2.2.

¿Existen políticas, procedimientos y mecanismos del centro de datos que están documentados para el control de acceso físico a aquellas entidades definidas?

OP1.2.3.

¿Existen procedimientos documentados para la verificación de autorización del acceso físico al centro de datos?

OP1.2.4.

¿Las estaciones de trabajo y otros componentes que permiten el acceso a la información sensible del centro de datos se salvaguardan físicamente para evitar el acceso físico no autorizado?

Anexo B.5.3. Monitoreo y auditoría de seguridad física (OP1.3)

OP1.3.1.

¿Los registros de mantenimiento de los equipos se reducen al documentar las reparaciones de la instalación de componentes físicos del centro de datos?

OP1.3.3.

¿Los registros de auditoría y supervisión de los sistemas de información del centro de datos se examinan continuamente para detectar anomalías?

¿Para esas anomalías en los sistemas de información del centro de datos se toman medidas correctivas?

Anexo B.6. PERSONAL DE SEGURIDAD (OP3)

Anexo B.6.1. Manejo de incidentes (OP3.1)

OP3.1.1.

¿Se ha desarrollado para el centro de datos procedimientos y responsabilidades a los incidentes de seguridad de la información que están documentados para la identificación, notificación y respuestas a sospechas de incidentes de seguridad que incluye incidentes basadas en la red? o Incidentes de acceso físico? o Incidentes de ingeniería social?

95

OP3.1.2.

¿Estos procedimientos de gestión de incidentes de seguridad de la información del centro de datos son probados, verificados y actualizados periódicamente?

Anexo B.6.2. Personal prácticas generales (OP3.2)

OP3.2.1.

¿Los usuarios encargados del centro de datos cumplen con las buenas prácticas de las políticas seguridad de la información?

OP3.2.2.

¿Todos los usuarios del centro de datos ponen en práctica sus roles y responsabilidades asignadas para la seguridad de la información?

OP3.2.3.

¿Existen procedimientos documentados de políticas de seguridad de la información para la autorización y el control de quienes trabajan con información sensible del centro de datos?

96

Anexo C. Análisis de Riesgos

(Nota: El contenido del Anexo C. Análisis de Riesgos no se debe mostrar en este documento por el cual contiene información confidencial de la Institución Universitaria Autónoma de Occidente).

Anexo D. Controles de la ISO 27002 seleccionados

(Nota: El contenido del Anexo D. Controles de la ISO 27002 seleccionados no se debe mostrar en este documento por el cual contiene información confidencial de la Institución Universitaria Autónoma de Occidente).