Espacios. Vol. 32 (1) 2011

Espacios. Vol. 32 (1) 2011. Pág. 22

Modelo gerencial para la seguridad de la información en una institución pública del estado Anzoátegui, Venezuela

Management model for information security in a public institution of Anzoátegui, Venezuela

Gerardo Guacarán, Mercedes Ortiz, Yenny Poturo y Carolina Wong

Modelo teórico propuesto

Para desarrollar el modelo de la investigación, se revisó la literatura en cuanto a los temas descritos en el marco teórico, identificando las diferentes variables que afectan la seguridad de la información y tienen impacto directo sobre los usuarios encargados de la toma de decisiones estratégicas. Partiendo de aquí, el modelo presentado pretende ser estratégico, operativo y no solo para realizar una evaluación tecnológica, ya que involucra los principales factores en toda organización: usuarios, directivos y tecnológicos; sino para conocer cuál de las dimensiones de éxito influyen de una manera directa en el proceso de toma de decisiones gerenciales.

Premisa

La premisa fundamental es la creación de un medio que permita la evaluación de la seguridad de la información en la gerencia de la Institución Pública del Estado Anzoátegui, para que éstas consideren los factores y aspectos determinantes en su planeación, desarrollo y uso; que les permitan conseguir una mayor eficiencia en la realización de sus actividades, así como lograr las metas particulares y organizacionales, en el marco de las leyes. En función de esto se muestra en la figura 2 el modelo en el cual pueden visualizarse las variables que generan un impacto en la toma de decisiones:

Estructura y funcionamiento del modelo

Una vez analizadas todas las variables e identificado las fortalezas, vulnerabilidades, oportunidades y amenazas del sistema de seguridad de la información se pudo construir una lista de riesgos priorizada, en donde quedarán los riesgos con criticidad Alta, Media y Media – Alta únicamente. Esta lista fue la base para las recomendaciones y estimaciones del retorno a las inversiones. Se trataron dichos riesgos, debido a que son los que más criticidad representan tanto en impacto como en número de ocurrencias para la organización. Continuando el análisis, se calculó un valor cualitativo que servirá para el próximo proceso de estimación del ROSI. Este valor consiste en el Costo de Recuperación de Impacto Anual (CRIA), que representa el valor en dinero del impacto anual de cada uno de los riesgos.

Con esta lista priorizada, se construyó un conjunto acción gerenciales dirigidas a mejorar el sistema de seguridad de la información en la Institución Pública del Estado Anzoátegui, Venezuela.

Figura 2: Modelo Propuesto Para Mejorar La Seguridad De La Información
En Una Institución Pública Del Estado Anzoátegui. Venezuela.

Acciones gerenciales resultantes

Introducción

En el caso de la Institución en estudio se observó un 74% de vulnerabilidades lo que ocasiona una gran oportunidad para personas inescrupulosas para ocasionar eventos en contra de información que se genera en este ente gubernamental y un riesgo para la ocurrencia de distintas amenazas ubicadas en el entorno de la organización. Los presentes acciones pretenden al ser implantadas, que generar el aumento de los niveles de protección que actualmente se poseen (26%).

Justificación

El plan de acción propuesto busca sensibilizar y concienciar al personal directivo de la importancia de invertir en la seguridad de la información en pro de obtener la mayor calidad de servicio posible en la institución; de igual forma se justifica el plan de acción implementado, ya que al elevar los niveles de protección de la información en la red, se logra mejorar la imagen y el clima organizacional.

Objetivos	Actividades	Metodología	Recursos	Tiempo	Indicadores
Sensibilizar al personal directivo de la importancia de la inversión en seguridad de la información en la Institución Pública del Estado Anzoátegui. Venezuela	Taller de sensibilización en seguridad de la información contentivo de: ¿Qué es la seguridad de la Información? Marco jurídico nacional que trata la seguridad informática ¿Qué asegurar? Vulnerabilidades y amenazas de los sistemas de seguridad Casos reales de ataques en contra de la seguridad de los datos en organismos públicos venezolanos El éxito en la seguridad informática Beneficios de la inversión en planes de seguridad de la información acordes con las características precisas de la organización.	Seminario Focus Group	Humanos: El investigador. Personal directivo Personal de la División de Informática. Materiales: Video Beam Computador Salón de usos múltiples perteneciente a la Secretaría General de Gobierno.	1 hora Período: Segundo Trimestre 2010	Valoración de la capacitación recibida en bien-regular-mal. Número de directivos en el sometimiento a voto a favor de invertir en la seguridad de la información/Total de directivos
Propiciar encuentros con la gerencia de la Institución Pública del Estado Anzoátegui para presentar los resultados de la investigación “Modelo de Seguridad de la Información para una Institución Pública del Estado Anzoátegui”	Reunión donde se tratarán los siguientes puntos: Amenazas, oportunidades, fortalezas y vulnerabilidades del sistema de seguridad de la información del ente gubernamental. Análisis de riesgo realizado en la organización Calculo del Retorno de la inversión.	Seminario	Humanos: El investigador. Personal directivo. Materiales: Video Beam Computador Salón de usos múltiples perteneciente a la Secretaría General de Gobierno	1 hora Período: Segundo Trimestre 2010	Valoración de la capacitación recibida en bien-regular-mal. Número de directivos en el sometimiento a voto a favor de invertir en la propuesta/Total de directivos

Objetivos

Actividades

Metodología

Recursos

Tiempo

Indicadores

Sensibilizar al personal directivo de la importancia de la inversión en seguridad de la información en la Institución Pública del Estado Anzoátegui. Venezuela

Taller de sensibilización en seguridad de la información contentivo de: ¿Qué es la seguridad de la Información? Marco jurídico nacional que trata la seguridad informática ¿Qué asegurar? Vulnerabilidades y amenazas de los sistemas de seguridad Casos reales de ataques en contra de la seguridad de los datos en organismos públicos venezolanos El éxito en la seguridad informática Beneficios de la inversión en planes de seguridad de la información acordes con las características precisas de la organización.

Seminario Focus Group

Humanos: El investigador. Personal directivo Personal de la División de Informática.

Materiales: Video Beam Computador Salón de usos múltiples perteneciente a la Secretaría General de Gobierno.

1 hora Período: Segundo Trimestre 2010

Valoración de la capacitación recibida en bien-regular-mal. Número de directivos en el sometimiento a voto a favor de invertir en la seguridad de la información/Total de directivos

Propiciar encuentros con la gerencia de la Institución Pública del Estado Anzoátegui para presentar los resultados de la investigación “Modelo de Seguridad de la Información para una Institución Pública del Estado Anzoátegui”

Reunión donde se tratarán los siguientes puntos:

Amenazas, oportunidades, fortalezas y vulnerabilidades del sistema de seguridad de la información del ente gubernamental.
Análisis de riesgo realizado en la organización Calculo del Retorno de la inversión.

Seminario

Humanos: El investigador. Personal directivo.

Materiales: Video Beam Computador Salón de usos múltiples perteneciente a la Secretaría General de Gobierno

1 hora Período: Segundo Trimestre 2010

Valoración de la capacitación recibida en bien-regular-mal.

Número de directivos en el sometimiento a voto a favor de invertir en la propuesta/Total de directivos

Estrategia: incrementar de seguridad de los sistemas de la información

Estructura del Plan

Los cinco (5) planes de acción que se presentan obedecen a una sola estrategia” Incrementar la seguridad de los sistemas de información“cuyo primer objetivo operativo es relativo a reducir los riesgos identificados y priorizados a través del modelo, el cual es: “Reducir la criticidad de los riesgos priorizados (R2, R3, R4, R5, R7) obtenidos a través del modelo” y corresponden con las vulnerabilidades con riesgos de medio-alto en adelante. Los cinco planes, se trataron con un formato predeterminado para realizar actividades de equipos de alto desempeño, en el cual se plasmaron distintas actividades que se pueden implementar ejecutando las actividades señaladas, empleando para esto recursos humanos y materiales que ayudan en el tiempo indicado a la consecución de los objetivos planteados. Producto de la aplicación de los planes y la revisión continua surgirán nuevos objetivos que apoyaran la estrategia trazada.

PLANES DE ACCION

______

Objetivo operativo 1/R2:

Reducir la criticidad de los riesgos(R2) priorizados obtenidos a través del modelo.

Vulnerabilidades:

Cifrado de encriptación débil en los router inalámbricos.
Seguridad inalámbrica mediante lista de direcciones MAC.

Amenazas:

Penetración a la red vía inalámbrica por parte de personas ajenas a la organización.
MAC Spoofing de las tarjetas inalámbricas de la organización.

Riesgo R2

Acciones	Responsables	Inversión Bs.	Ahorro (Retorno) Bs.	Tiempo de Retorno
• Sustitución de routers inalámbricos de uso para el hogar instalados actualmente por routers corporativos. • Implementar protocolo de encriptación WPA (Wi-Fi Protected Access) en los Routers Inalámbricos. • Autenticación por usuarios de Dominio.	Personal de la División de Informática, Auditoría Interna y empresa contratada	6.797,00	227.288,39	1 año
Indicadores: El Porcentaje de spoofing, el nivel de satisfacción de los usuarios por servicios de red disponibles, niveles de confiabilidad en los servicios prestados a la comunidad. Observaciones:

Acciones

Responsables

Inversión Bs.

Ahorro (Retorno) Bs.

Tiempo de Retorno

• Sustitución de routers inalámbricos de uso para el hogar instalados actualmente por routers corporativos.

• Implementar protocolo de encriptación WPA (Wi-Fi Protected Access) en los Routers Inalámbricos.

• Autenticación por usuarios de Dominio.

Personal de la División de Informática, Auditoría Interna y empresa contratada

6.797,00

227.288,39

1 año

Indicadores: El Porcentaje de spoofing, el nivel de satisfacción de los usuarios por servicios de red disponibles, niveles de confiabilidad en los servicios prestados a la comunidad.
Observaciones:

_______

Objetivo operativo 2/R3

Reducir la criticidad de los riesgos(R3) priorizados obtenidos a través del modelo

Vulnerabilidades:

El cuarto de cableado principal esta ubicado junto a un baño.
No hay sensores de humedad en los cinco cuartos de cableado.
No se hacen copias de seguridad de los recursos críticos y confidenciales periódicamente.

Amenazas:

Lluvias fuertes, inundaciones y filtraciones de agua.

Riesgo R3

Acciones	Responsables	Inversión Bs.	Ahorro (Retorno) Bs.	Tiempo de Retorno
• Migración y adecuación del centro de cómputo a un lugar adecuado para ello. • Instalación de sensores de humedad en el centro de cómputo. • Realizar backup de la información crítica de la organización en varias instancias. REFERENCIAS: SUSCERTE D005-01, ISO 17799, BS 7799.	Personal de la División de Informática, Auditoría Interna y empresa contratada.	23.851,51	388.484,83	1 año
Indicadores: Niveles de humedad, Porcentaje de backups internos y externos, velocidad de recuperación de datos ante accidentes. Observaciones:

Acciones

Responsables

Inversión Bs.

Ahorro (Retorno) Bs.

Tiempo de Retorno

• Migración y adecuación del centro de cómputo a un lugar adecuado para ello.

• Instalación de sensores de humedad en el centro de cómputo.

• Realizar backup de la información crítica de la organización en varias instancias. REFERENCIAS: SUSCERTE D005-01, ISO 17799, BS 7799.

Personal de la División de Informática, Auditoría Interna y empresa contratada.

23.851,51

388.484,83

1 año

Indicadores: Niveles de humedad, Porcentaje de backups internos y externos, velocidad de recuperación de datos ante accidentes.
Observaciones:

________

Objetivo operativo 3/R4

Reducir la criticidad de los riesgos priorizados(R4) obtenidos a través del modelo

Vulnerabilidades:

Inexistencia de extintores, piso falso y pintura contra incendios en el centro de cómputo principal.
No existen procedimientos para el almacenamiento y la gestión de los dispositivos de copias de seguridad.

Amenazas:

Incendio en los cuartos de cableado.

Riesgo R4

Acciones	Responsables	Inversión Bs.	Ahorro (Retorno) Bs.	Tiempo de Retorno
• Instalar sensores de humo y aspersores de gas en los 5 cuartos de cableado. • Realizar backup de la información crítica de la organización en varias instancias. REFERENCIAS: SUSCERTE D005-01, ISO 17799, BS 7799.	Personal de la División de Informática, Auditoría Interna y empresa contratada.	11.950,00	-	-
Indicadores: Niveles de producto químico en aspersores de gas, Porcentaje de backups internos y externos, velocidad de recuperación de datos ante accidentes. Observaciones: En este caso, no es posible realizar el proceso de estimación del retorno de la inversión, debido a que el Costo de Referencia de Impacto Anual (CRIA) para este riesgo, tiene un valor de 0 (cero). Dicho valor se dio debido a que el Número de Ocurrencias Anuales (NOA) también es nulo, dado que la materialización de este riesgo no se ha presentado nunca en la organización. De esta forma, al tener un valor de CRIA nulo, no hay un valor de referencia con el cual realizar los cálculos dados por las formulas propuestas, y por lo tanto no es posible estimar el retorno de las inversiones para este riesgo. Sin embargo, la probabilidad de ocurrencia del evento que materializaría el riesgo, es alta, así como también el impacto del mismo, es por ello que el riesgo es clasificado como crítico, al tener una criticidad Media, en la escala que se manejó en la investigación, y se recomienda ser tratada con los controles sugeridos en este caso.

Acciones

Responsables

Inversión Bs.

Ahorro (Retorno) Bs.

Tiempo de Retorno

• Instalar sensores de humo y aspersores de gas en los 5 cuartos de cableado.

• Realizar backup de la información crítica de la organización en varias instancias. REFERENCIAS: SUSCERTE D005-01, ISO 17799, BS 7799.

Personal de la División de Informática, Auditoría Interna y empresa contratada.

11.950,00

Indicadores: Niveles de producto químico en aspersores de gas, Porcentaje de backups internos y externos, velocidad de recuperación de datos ante accidentes.
Observaciones: En este caso, no es posible realizar el proceso de estimación del retorno de la inversión, debido a que el Costo de Referencia de Impacto Anual (CRIA) para este riesgo, tiene un valor de 0 (cero). Dicho valor se dio debido a que el Número de Ocurrencias Anuales (NOA) también es nulo, dado que la materialización de este riesgo no se ha presentado nunca en la organización. De esta forma, al tener un valor de CRIA nulo, no hay un valor de referencia con el cual realizar los cálculos dados por las formulas propuestas, y por lo tanto no es posible estimar el retorno de las inversiones para este riesgo. Sin embargo, la probabilidad de ocurrencia del evento que materializaría el riesgo, es alta, así como también el impacto del mismo, es por ello que el riesgo es clasificado como crítico, al tener una criticidad Media, en la escala que se manejó en la investigación, y se recomienda ser tratada con los controles sugeridos en este caso.

––––––

Objetivo operativo 4/R5

Reducir la criticidad de los riesgos(R5) priorizados obtenidos a través del modelo

Vulnerabilidades:

No se tienen políticas adecuadas en el uso del firewall.
Configuración inadecuada e incompleta del antivirus instalado, con respecto a las necesidades y características propias de la organización.
Ausencia de procesos para la actualización de software.
Los usuarios pueden instalar cualquier aplicación en sus estaciones de trabajo.

Amenazas:

Ataques por malware (virus, troyanos, gusanos, spyware, etc.).

Riesgo R5

Acciones	Responsables	Inversión Bs.	Ahorro (Retorno) Bs.	Tiempo de Retorno
• Revisión y reconfiguración de las principales políticas, funciones y características del firewall instalado. • Instalación de IDS en el perímetro de la red. • Reconfiguración de accesos a Internet a usuarios. REFERENCIAS: SUSCERTE T003-01, ISO 17799, BS 7799. • Aplicar correctivos en la administración de controles de acceso a la red. REFERENCIA SUSCERTE T002-03, ISO 17799, BS 7799. • Proteger la red interna con la adquisición de licencias de software anti malware.	Personal de la División de Informática, Auditoría Interna y empresa contratada.	68.595,97	25.328.012.950,23	1 año
Indicadores: Niveles de ataques causados por malware, porcentaje de accesos externos no autorizados, cantidad de usuarios con acceso a Internet, porcentaje de sistemas operativos actualizados, porcentaje de equipos con lista de virus actualizada, porcentaje de equipos con directivas de seguridad local activada. Observaciones:

Acciones

Responsables

Inversión Bs.

Ahorro (Retorno) Bs.

Tiempo de Retorno

• Revisión y reconfiguración de las principales políticas, funciones y características del firewall instalado.

• Instalación de IDS en el perímetro de la red.

• Reconfiguración de accesos a Internet a usuarios. REFERENCIAS: SUSCERTE T003-01, ISO 17799, BS 7799.

• Aplicar correctivos en la administración de controles de acceso a la red. REFERENCIA SUSCERTE T002-03, ISO 17799, BS 7799.

• Proteger la red interna con la adquisición de licencias de software anti malware.

Personal de la División de Informática, Auditoría Interna y empresa contratada.

68.595,97

25.328.012.950,23

1 año

Indicadores: Niveles de ataques causados por malware, porcentaje de accesos externos no autorizados, cantidad de usuarios con acceso a Internet, porcentaje de sistemas operativos actualizados, porcentaje de equipos con lista de virus actualizada, porcentaje de equipos con directivas de seguridad local activada.
Observaciones:

______

Objetivo operativo 5/R7

Reducir la criticidad de los riesgos (R7)priorizados obtenidos a través del modelo

Vulnerabilidades:

Presencia de carpetas compartidas en los equipos de procesamiento de datos en la red.
No se comprueba el historial personal de aspirantes como parte del proceso de contratación.
No se realizan cursos de formación sobre seguridad.
Falta de conocimiento y capacitación de los usuarios sobre eventos de seguridad, administración y confidencialidad de contraseñas, información crítica, entre otros.
Cifrado de encriptación débil de contraseñas.
No se realizan evaluaciones de seguridad a través de terceros.
No existen mecanismos o dispositivos de seguridad, que permita detectar o evitar ataques generados dentro de la LAN.
Las directivas de seguridad no están adecuadamente configuradas.
No existen pruebas ante los cambios de configuración a los sistemas operativos.

Amenazas:

Ingeniería social (técnica usada para obtener datos esenciales sobre los sistemas, realizando preguntas a los usuarios y obteniendo información sensible sin que el usuario se de cuenta).

Riesgo R7

Acciones	Responsables	Inversión Bs.	Ahorro (Retorno) Bs.	Tiempo de Retorno
• Realizar programas de capacitación a usuarios sobre seguridad de la información. REFERENCIA SUSCERTE U008-01, ISO 17799, BS 7799.	Personal de la División de Informática, Auditoría Interna y empresa contratada.	65.837,90	2.020.870,21	1 año
Indicadores: Cantidad de funcionarios capacitados con evaluación de bien-regular-mal, Cantidad de personas que consideran que la preparación recibida mejora sus conocimientos, Porcentaje de aplicación de técnicas seguridad de la información en sus áreas de trabajo. Observaciones:

[anterior] [inicio] [siguiente]

Vol. 32 (1) 2011
[Índice]