ESCUELA POLITECNICA DEL EJERCITO

Presentación del tema: "ESCUELA POLITECNICA DEL EJERCITO"— Transcripción de la presentación:

1 ESCUELA POLITECNICA DEL EJERCITO
“Evaluación Técnica de la Seguridad Informática Del Data Center de la Escuela Politécnica del Ejército” Integrantes: Ricardo Guagalango Vega Patricio Moscoso Montalvo

2 Objetivo General Realizar una Evaluación Técnica Informática en la
Unidad de Sistemas de Información del Data Center de la Escuela Politécnica del Ejército en Sangolquí, considerando como referencia los estándares ISO 27001 e ISO

3 AGENDA Seguridad Informática y de la Información Norma ISO 27000
Metodología MAGERIT Software PILAR Resultados Conclusiones Recomendaciones Seguridad Informática y de la Información Norma ISO 27000 Metodología MAGERIT Resultados Software PILAR Conclusiones Recomendaciones

4 Seguridad Informática y de la Información
Protección de Infraestructura Computacional. Proteger y resguardar la Información. Agenda

5 Norma ISO 27000 Agenda

6 Estructurado en tres guías:
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información MAGERIT Estructurado en tres guías: METODO CATALOGO TECNICA

7 Metodología MAGERIT Riesgo Agenda Amenazas Valor Impacto Frecuencias
Activos Amenazas Valor Degradación Impacto Frecuencias Riesgo Salvaguardas Riesgo Residual Agenda

8 Activos Tipo Ejemplos: [SW] Aplicaciones (software)
Sistemas Operativos Aplicativos Windows XP, 2003 Server, Linux Sistema Académico, Sistema Financiero [HW] Equipos informáticos (hardware) Equipos Servidores PC Clones Compaq, HP [S] Servicios Mensajería electrónica [AUX] Equipamiento auxiliar Proyector Digital [COM] Redes de comunicaciones red LAN [L] Instalaciones Cuarto de Servidores - Principal Metodología

9 Valor de Activos Activos Ejemplo Valor Software
Criterio 10 Muy alto Daño muy grave a la organización 7 – 9 Alto Daño grave a la organización 4 – 6 Medio Daño importante a la organización 1 – 3 Bajo Daño menor a la organización Despreciable Irrelevante a efectos prácticos Activos Ejemplo Valor Software Sistema Operativo Windows XP 7 Hardware PC’S 8 Servicios 9 Metodología

10 Amenazas Clases de Activos Descripción Software
Sistema Operativo Windows XP 1. Virus 2. Fallo de Usuario 3. Caída del Sistema Hardware PC’S 1.Tormentas electromagnéticas 2. Mantenimiento Defectuoso Servicio 1. Fallo del Servicio 2. Reencaminamiento Metodología

11 Frecuencia Frecuencia 0,1 una vez cada 10 años 1 todos los años
10 todos los meses 100 todos los días Metodología

12 Degradación Metodología Clases de Activos Descripción Amenazas
Frecuencia D I C A T Software Sistema Operativo Windows XP 1. Virus 2. Avería en el S.O. 3. Caída del Sistema 10 1 100 M MA B Hardware PC’S 1.Tormentas electromagnetic as 2. Mantenimiento Defectuoso 0,1 Metodología

13 Impacto y Riesgo Impacto = valor activo * degradación
Cualitativo Impacto Nivel de Valor Riesgo Nivel de Criticidad Impacto = valor activo * degradación Riesgo = impacto * probabilidad Metodología

14 Salvaguardas [H] Protecciones Generales
[S] Protección de los Servicios [D] Protección de la Información [SW] Protección de las Aplicaciones Informáticas (SW) [HW] Protección de los Equipos Informáticos (HW) [COM] Protección de las Comunicaciones [L] Protección de las Instalaciones Metodología

15 Resultados Generales Aplicando los Controles de la Norma ISO 27004
Cumplimiento de la Norma ISO 27002 Agenda

16 Resultados Obtenidos con la Herramienta PILAR
RESULTADOS GENERALES 79.45% 70.64% 46.36% 34.55% Agenda

17 Resultados con la Herramienta Pilar Referente a los Controles de la Norma ISO 27002
Agenda

18 RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002
90% 55% 43% 35% 32% 30% 23% 21% 22% 14% 15% Agenda

19 RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002
90% 63% 53% 43% 40% 41% 40% 38% 38% 41% 23% Metodología

20 RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002
95% 77% 77% 75% 69% 68% 67% 67% 64% 40% 60% Agenda

21 RESULTADOS CON LA HERRAMIENTA PILAR REFERENTE A LOS CONTROLES DE LA NORMA ISO 27002
95% 92% 86% 82% 74% 79% 77% 76% 76% 69% 68% Agenda

22 Utilización de la Herramienta PILAR
1. Activos 2. Amenazas Identificación de Activos Clasificación de Activos Identificación de Amenazas Seleccionar las Amenazas Desde la biblioteca del programa por cada Activo Dependencias entre Activos Padre e Hijo Ingreso de la Frecuencia o probabilidad de Materialización de la amenaza Según el criterio del análisis Valoración de Amenazas por cada Activo Valoración de Activos Seleccionar el nivel según criterio basado en las vulnerabilidades Ingreso de la Degradación por Nivel o porcentaje Terminadas las fases 1 y 2 Pilar genera como producto: el Impacto y Riesgo inicial automáticamente Agenda

23 Utilización de la Herramienta PILAR
3. Tratamiento de Riesgos Fases del Proyecto Current: Situación Actual Target: Situación Objetivo Identificación Salvaguardas Valoración Impacto y Riesgo Residual Terminadas las 3 fases del Proyecto, Pilar genera como producto: el Impacto y Riesgo Residual automáticamente Agenda

24 Conclusiones Diagnóstico utilizando las Normas ISO 27000
Diagnóstico utilizando la Metodología MAGERIT Resumen de Observaciones realizadas en Seguridad Informática al Data Center. Agenda

25 Recomendaciones Iniciar Proceso de Certificación.
Desarrollar un Plan de Seguridad Informático. Adquirir una herramienta para el Análisis y Gestión de Riesgos. Aplicar las salvaguardas. Mantener abierta la comunicación en todas las áreas en cuanto a seguridad informática Agenda