trabajo final-ssi

Unidad Administrativa Especial de Catastro Distrital

José Abraham Villarraga Ríos

Curso VirtualSeguridad de la Información

Trabajo Final

Noviembre 2014

Rol: Mi rol en la Unidad es la de gestor de Capacidad, Gestor de Disponibilidad y Gestor de Continuidad, por lo que el enfoque de la Seguridad de la Información lo tomare desde el punto de vista de gestor de continuidad



Contenido- Contexto organizacional- Activos de la UAECD- Clasificación de la Información- Componentes del Proceso de Seguridad de la Información- Políticas de la información-Ciclo PHVA- Modelo de Continuidad de Negocio- Inventario de activos- Alcance del Sistema de Continuidad de negocio- Metodología Procesos Críticos-Política del Sistema de Gestion de Continuidad- Comité de Seguridad de la información y Continuidad de Operaciones-Equipo del Comité- Asignación de Roles-Análisis de Impacto al negocio- Resultados del Análisis de Impacto al negocio- Estrategia de continuidad- Análisis de riesgos- Matriz de riesgos- Algunas amenazas por Activos- Plan de tratamiento de Riesgos- Conclusión



La Unidad Administrativa Especial de Catastro Distrital, de la ciudad de Bogotá es la entidad oficial encargada de las actividades relacionadas con la formación, conservación y actualización del inventario de los bienes inmuebles situados dentro del Distrito a partir del estudio de sus elementos físico, económico y jurídico. Los procesos de Actualización y Conservación Catastral, el primero realizado de manera masiva y el segundo por solicitud de los ciudadanos, censan la información de cada predio y la inscriben en sus bases de datos de forma textual y gráfica (cartografía). Así, Catastro dispone de una base única y oficial de información georeferenciada que de forma dinámica registra los cambios experimentados en la propiedad inmueble, desde la cual también asigna y fija oficialmente los indicadores prediales (chip, código de sector, cédula catastral) e igualmente la Nomenclatura Vial y domiciliaria

CONTEXTO ORGANIZACIONAL

Esta información es un aporte fundamental para las diferentes instituciones públicas y privadas para la toma de decisiones relacionadas con la planeación y la administración de la ciudad



Los activos pueden agruparse en las siguientes categorías:

Activos de información: ficheros y bases de datos, documentación del sistema, manuales de usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivadaActivos de software: software de aplicación, software del sistema, herramientas, programas de desarrollo y utilidades.Archivos físicos: equipos de tratamiento (servidores, monitores, portátiles, módems), equipo de comunicaciones (routers, firewalls, centrales digitales, máquinas de fax), medios magnéticos (discos y cintas), muebles, etc.Servicios: servicios de tratamiento y comunicaciones, servicios generales (calefacción, alumbrado, energía, aire acondicionado).Humano: personas, y sus calificaciones, capacidades y experiencia.

Intangibles: tales como la reputación y la imagen de la organización

ACTIVOS DE LA UAECD



CLASIFICACIÓN DE LA INFORMACIÓN:

•Confidencialidad: Asegurar que no se divulgue información confidencial o restringir a las personas no autorizadas•PUBLICA: Información que puede ser conocida y utilizada sin autorización por cualquier persona, sea funcionario o no de la UAECD.•USO INTERNO: Información que puede ser conocida y utilizada por un grupo de funcionarios o empleados, que la necesiten para realizar su trabajo, y algunas entidades externas debidamente autorizadas, y cuya divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves a la UAECD o terceros•CONFIDENCIAL: Información que sólo puede ser conocida y utilizada por un grupo seleccionado de funcionarios o empleados de la UAECD, que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría ocasionar pérdidas significativas a la UAECD o a terceros•SECRETA: Información que sólo puede ser conocida y utilizada por un grupo muy reducido de funcionarios o empleados, generalmente de la alta dirección de la UAECD, y cuya divulgación o uso no autorizados podría ocasionar pérdidas graves a la entidad o a terceros



•Integridad: Asegurar que no se realicen cambios a los datos sin la autorización del dueño del proceso, lo que lleva a la exactitud y completes de la información• BAJA: Información cuya modificación no autorizada, si no es detectada, no afecta la operación de la UAECD, o podría ocasionar pérdidas leves para la UAECD o terceros• MEDIA: Información cuya modificación no autorizada, si no es detectada, podría ocasionar pérdidas significativas para la UAECD o terceros•ALTA: Información cuya modificación no autorizada, si no es detectada, podría ocasionar pérdidas graves a la UAECD o a terceros.

•Disponibilidad: Asegurar la No eliminación de información sin autorización y mantener copias de respaldo de la información



El modelo de la UAECD debe representar lógicamente la operación de los diferentes componentes que se deben tener para la implementación de un proceso de gestión de Seguridad de la Información como son:•Política de seguridad•Organización de la seguridad•Gestión de Activos•Seguridad de recurso Humano•Seguridad Física y Ambiental•Gestión de operaciones y comunicaciones•Control de Acceso•Mantenimiento, desarrollo y Adquisición de Sistemas de Información•Gestión de Incidentes•Gestión de Continuidad el negocio•Cumplimiento

COMPONENTES DEL PROCESO DE SEGURIDAD DE LA INFORMACIÓN



Políticas de la Información

AutenticidadTodas las aplicaciones de la Unidad deben contar con un sistema de seguridad donde se verifique y valide la identidad de quien hace la transacción. Se exige usuario y clave No repudioSe tienen una serie de logs para asegurarse que quien realiza una transacción no pueda después negar haberla realizado.

LegalidadEl sistema de seguridad permite tener los mecanismos para validar legalmente la realización correcta de una transacción.



CICLO PHVA



Modelo de Continuidad de Negocio



Inventario de Activos

Se realizo un inventario de Activos los cuales se registraron en una hoja electrónica y se clasificaron en

INFRAESTRUCTURA PROVEEDORES CRITICOS

INFRAESTRUCTURA TECNOLOGICA



ALCANCE DEL SGCN

El Sistema de Gestión de Continuidad de Negocio de la Unidad Administrativa Especial de Catastro Distrital (UAECD) tiene como alcance la continuidad de los procesos y subprocesos críticos de la Entidad. De acuerdo con el modelo de operación de la UAECD y la evaluación de criticidad realizada a los procesos, se concluyo los siguientes resultados:



METODOLOGIA PARA IDENTIFICAR PROCESOS CRITICOS

CriterioCalificación

1Bajo

2 Medio

3Alto

Afectación a rentabilidad y/o ingresos

Afectación al cliente

Afectación a la imagen de la empresa

Incumplimiento legal

Detección o afectación a otros procesos

Estrategia Corporativa



UMBRAL DE CRITICIDAD: Procesos con evaluación promedio igual o superior a 2.02.0

PROCESOS CRÍTICOS: Procesos a los cuales se les definirá e implementará una estrategia de negocio y planes de continuidad, en caso de la ocurrencia de un evento de interrupción

PROCESOS NO CRÍTICOS: Procesos que no se tendrán en cuenta dentro de la estrategia y planes de continuidad del negocio

METODOLOGIA PARA IDENTIFICAR PROCESOS CRITICOS



POLÍTICA DEL SGCN DE LA UAECD

La dirección de la Unidad Administrativa Especial de Catastro Distrital (UAECD) en coherencia con su misión y compromiso con clientes y partes interesadas, gestiona, mantiene y mejora la Continuidad de Negocio de la Entidad, mediante la identificación de estrategias e implementación de planes que permitan salvaguardar la integridad física de las personas, cumplir con la normatividad vigente y mitigar los impactos operacionales y financieros asociados a la interrupción del servicio.



COMITÉ DE SEGURIDAD DE LA INFORMACION Y CONTINUIDADDE LA OPERACION

Responsable de promover, apoyar y hacer seguimiento a la administración del Sistema de Gestión de Continuidad de Negocio de la UAECD, mediante la toma de decisiones, disposición de recursos, diseño de estrategias y directrices acordes con los requerimientos de la entidad.



EQUIPO QUE CONFORMARA EL COMITÉ:

• Director quien fungirá como Presidente

• Gerente de Tecnología

• Gerente de Información Catastral

• Gerente de Gestión Corporativa

• Gerente de Infraestructura de Datos Espaciales IDECA

• Gerente Comercial y de Atención al Usuario

• Jefe de la Oficina Asesora de Planeación y Aseguramiento de Procesos

• Oficial de Seguridad de la Información, adscrito a la Gerencia de Tecnología

• Oficial de Continuidad de Negocio, adscrito a la Gerencia de Tecnología



Líder del SGCN

Director de la UAECD

Gestión Integral de

Riesgos

Representante por la dirección

Líder del DRP

Oficial de Continuidad de Negocio

Subgerente Infraestructur

a Hardware

Profesional Especializado 222-11 GT

ASIGNACIÓN DE ROLES PARA EL DISEÑO, MANTENIMIENTO Y MEJORA CONTINUA DEL SGCN

Equipo Programa de Continuidad

Profesionales especializados delegados por cada gerencia y/o sub gerencia.

Gerencias

• Gerencia de IDECA• Gerencia de

Información Catastral• Gerencia Comercial • Gerencia de Gestión

Corporativa• Gerencia de Tecnología



ANÁLISIS DE IMPACTO AL NEGOCIO – BIA

Proporcionar herramientas y criterios de priorización para la definición de estrategias de recuperación.

Identificar operaciones, activos y recursos que requieren un nivel mayor de atención y protección

Identificar el momento(s) en el que el negocio se encuentra más expuesto y vulnerable a sufrir impactos

Estimar los impactos potenciales de perdida, causados por una interrupción

¿PARA QUÉ SIRVE?



RESULTADOS DEL ANÁLISIS DE IMPACTO AL NEGOCIO BIA

REQUERIMIENTOS MINIMOS PARA OPERAR EL CONTINGENCIA

REQUERIMIENTOS MINIMOS PARA OPERAR EL CONTINGENCIA

RECURSO HUMANO SOFTWARE HARDWARE

PUESTOS DE TRABAJO

PROVEEDORES RESGISTROS VITALES



RECURSO HUMANO

ESTRATEGIAS:

1.Plan Backup para todos los roles que hacen parte de los equipos de continuidad2.Definición de dos alternos por rol teniendo en cuenta las competencias necesarias

COMPONENTES ESTRATEGIA DE CONTINUIDAD DE NEGOCIO



INFRAESTRUCTURA

ESTRATEGIAS:

1.Implementación de tele trabajo con los procesos que es factible hacerlo2.Adquisición de un centro de operación en contingencia para la operación de los procesos que por sus condiciones de seguridad y de operatividad deben funcionar desde el COC. (Arrendamiento, propio o por alianzas).




PROVEEDORES CRITICOS

ESTRATEGIAS:

1.Desarrollar e implementar un procedimiento para la evaluación, integración y control de los proveedores críticos.2.Generar acuerdos de niveles de servicio con los proveedores críticos.




Análisis de Riesgos

La Unidad para su análisis de riesgos tiene en cuenta “Guía para la Administración del Riesgo” del Departamento Administrativo de la Función Pública y la “Guía Conceptual y Metodológica para la Administración del Riesgo” de la Veeduría Distrital, el Mapa de Calor y el Nivel de Riesgo Aceptable

PROBABILIDAD IMPACTO

Raro Insignificante

Improbable Menor

Posible Moderado

Probable Mayor

Casi Seguro Catastrófico



CASI SEGURO ALTO ALTO EXTREMO EXTREMO EXTREMO

PROBABLE MODERADO ALTO ALTO EXTREMO EXTREMO

POSIBLE BAJO MODERADO ALTO EXTREMO EXTREMO

IMPROBABLE BAJO BAJO MODERADO ALTO EXTREMO

RARO BAJO BAJO MODERADO ALTO ALTO

INSIGNIFICANTE MENOR MODERADA MAYOR CATASTRÓFICA

El mapa de calor Resultante de Los niveles de riesgo resultante de combinar la probabilidad y el impacto es el siguiente



Representa la combinación de probabilidad e impacto para cada amenaza evaluada. Sus niveles son:

Los números en cada nivel representan la cantidad de amenazas.

MATRIZ DE EVALUACIÓN DE RIESGO



Nivel de Riesgo Aceptable (NRA)

MATRIZ RESULTANTE DE LA EVALUACIÓN DEL RIESGO

Casi seguro 0 0 2 0 0

Probable 4 8 0 7 2

Posible 4 20 109 1 0

Improbable 0 6 23 1 0

Raro 0 12 103 47 0

Probabilidad/Impacto Raro Improbable Posible Probable Casi

seguro



Amenaza Nivel de Riesgo

Suplantación de la identidad del usuario Moderado

Abuso de privilegios de acceso Moderado

Errores de los usuarios Moderado

Escapes de información Moderado

Vulnerabilidades de los programas (software) Alto

Errores de mantenimiento / actualización de programas (software) Alto

Errores de monitorización (log) Alto

ALGUNAS AMENAZAS POR ACTIVOS ENCONTRADAS

Software

Base de Datos

Amenaza Riesgo

Modificación de la información Alto

Introducción de falsa información Alto

Corrupción de la información Alto

Destrucción de la información Alto

Divulgación de la información Alto

Suplantación de la identidad del usuario Moderado


Escapes de información Alto

Alteración de la información Alto


Degradación de la información Alto






Amenaza Riesgo

Acceso a la información sin autorización Moderado

Incumplimiento políticas de archivo Moderado

Información insuficiente y/o errada Moderado

Modificación de la estructura orgánica Moderado

Tablas de retención documental mal elaboradas

y/o desactualizadasModerado

Volumen alto de documentación Moderado

Información

Servidores

Amenaza Riesgo

Acceso no autorizado Extremo

Intercepción de información (escucha) Extremo

Denegación de servicio Alto

Caída del sistema por agotamiento de recursos Alto

Daños por agua Moderado

Avería de Origen físico o lógico Moderado

Corte del suministro eléctrico Extremo

Condiciones inadecuadas de temperatura y/o

humedadExtremo



TRATAMIENTO DE RIESGO

amenazas identificadas para cada categoría de riesgo junto con su respectiva calificación y las recomendaciones

Amenaza Nivel de Riesgo Recomendaciones

Suplantación de la identidad del usuario Moderado Implementar políticas de seguridad de información más estrictas y

socializarlas a todos los funcionarios. Debe incluir refuerzos en el

concepto “usuarios y claves personales e intransferibles”, políticas para

ausencias del puesto de trabajo, fortalecer el monitoreo Abuso de privilegios de acceso Moderado

Errores de los usuarios ModeradoAumentar la capacitación a usuarios finales y hacer más estrictos los

perfiles de acceso para este tipo de funcionarios

Escapes de información Moderado

Implementar políticas de seguridad más estrictas para los roles

autorizados que pueden acceder a la información más sensible de la

entidad

Vulnerabilidades de los programas

(software)Alto

Aumentar la frecuencia del monitoreo de la disponibilidad del aplicativo

y las bases de datos que lo soportan

Errores de mantenimiento / actualización de

programas (software)Alto

Definir políticas para realizar actualizaciones periódicas y fortalecer los

planes de estabilización que actualmente se están implementando


Implementar políticas de monitoreo periódicos de logs, ya que en la

actualidad dicho procedimiento quedan a nivel de aplicación

(infraestructura)



Amenaza Riesgo Recomendaciones

Modificación de la información Alto Fortalecer los controles de acceso físico y

lógicos.

Establecer un plan de capacitación y

sensibilización enfocado al uso de la

información siguiendo los lineamientos de

seguridad.

Fortalecer los controles lógicos de uso y

gestión de información


Corrupción de la información Alto



Suplantación de la identidad del usuario Moderado Implementar políticas de seguridad de

información más estrictas y socializarlas a

todos los funcionarios. Debe incluir

refuerzos en el concepto “usuarios y claves

personales e intransferibles”, políticas para

ausencias del puesto de trabajo, fortalecer

el monitoreo


Escapes de información Alto

Fortalecer los controles de acceso físico y

lógicos.

Establecer un plan de capacitación y

sensibilización enfocado al uso de la

información siguiendo los lineamientos de

seguridad.

Fortalecer los controles lógicos de uso y

gestión de información

Fortalecer los mecanismos de monitoreo e

implementar su ejecución periódicamente




Acceso a la información sin autorización Moderado

Fortalecer los mecanismos de

administración y gestión de la

información física.

Implementar programas de

capacitación y sensibilización sobre

las políticas de seguridad de la

información

Incumplimiento políticas de archivo Moderado

Información insuficiente y/o errada Moderado

Modificación de la estructura orgánica Moderado

Tablas de retención documental mal elaboradas y/o

desactualizadasModerado

Volumen alto de documentación Moderado




Acceso no autorizado ExtremoFortalecer los mecanismos de acceso al centro de

datos, teniendo en cuenta que es administrado por la

Secretaría de Hacienda Distrital.

Proteger los rack con llave de seguridad.

Establecer barreras físicas para los servidores.

Garantizar el cumplimiento de las políticas de

seguridad de TI sin importar la jerarquía y/o rol del

funcionario.

Implementar mecanismos de seguimiento y control

para que todos los cambios en la configuración

realizados por el proveedor Procalculo sean

conocidos en tiempo real por al UAECD.

Fortalecer y actualizar las políticas de seguridad de

la información.

Realizar oportunamente el proceso de contratación

del proveedor que presta el servicio de monitoreo a

la capacidad de administración de los equipos

Intercepción de información (escucha) Extremo

Denegación de servicio Alto

Caída del sistema por agotamiento de

recursosAlto

Daños por agua Moderado

Avería de Origen físico o lógico Moderado

Corte del suministro eléctrico Extremo

Condiciones inadecuadas de temperatura

y/o humedadExtremo



Podemos concluir que :

La implementación de un Sistema de Gestión de Continuidad del Negocio (SGCN) hace posible que una entidad como la UAECD desarrolle los elementos necesarios de la estrategia global de continuidad del negocio que le permiten prepararse para afrontar de forma adecuada un incidente que pueda poner en riesgo la continuidad de su negocio y/o de sus operaciones.

Contribuyendo a la seguridad de la información en su componente de Continuidad

trabajo final-ssi

Education