Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluación de Riesgos de Seguridad de la Información.docx
1. PROYECTO DEL MODULO III – SEGURIDAD EN EQUIPOS DE RED
ASEGURAMIENTO DE LA INFRAESTRUCTURA DE RED DE OFICINAS DE LA
CRE, DE ACUERDO A UN ANÁLISIS Y EVALUACIÓN DE RIESGOS DE
SEGURIDAD DE LA INFORMACIÓN
Grupo 1
Ruddy Mauricio Candia Rosado
Laura Alejandra Toara Salinas
William Percy Cardona Terceros
Henry Romero Añez
2. CONTENIDO
DEFINICIÓN DE ALCANCE Y OBJETIVO.............................................................. 3
Alcance................................................................................................................. 3
Objetivo ................................................................................................................ 3
METODOLOGÍA...................................................................................................... 4
Evaluación de Riesgos......................................................................................... 4
Identificación Riesgos................................................................................... 4
Análisis de Riesgos ...................................................................................... 4
Valoración..................................................................................................... 5
Tratamiento de Riesgos ....................................................................................... 5
DESARROLLO........................................................................................................ 6
Evaluación de Riesgos......................................................................................... 6
Identificación de Riesgos.............................................................................. 6
Análisis de Riesgos ...................................................................................... 6
Valoración de Riesgos.................................................................................. 7
Tratamiento de Riesgos ....................................................................................... 8
CONCLUSIONES.................................................................................................. 10
ANEXO I................................................................................................................ 11
SIMULACIÓN DE IMPLEMENTACIÓN.............................................................. 12
ANEXO II............................................................................................................... 33
Catálogo de Amenazas ...................................................................................... 34
Catálogo de Vulnerabilidades............................................................................. 35
3. DEFINICIÓN DE ALCANCE Y OBJETIVO
Alcance
El presente Análisis y Evaluación de Riesgos de Seguridad de la Información tiene
como alcance la infraestructura de red que soporta la conexión entre la oficina
principal y dos sucursales de la Cooperativa Rural de Electrificación, a efectos de
realizar el análisis y definir riesgos se considerará como un activo de información a
todos los componentes de dicha infraestructura.
Objetivo
Considerando la naturaleza y complejidad la infraestructura de red que soporta la
conexión entre la oficina principal y dos sucursales de la Cooperativa Rural de
Electrificación, se realiza el Análisis y Evaluación de Riesgos en Seguridad de la
Información, con el objetivo de brindar plena comprensión sobre los riesgos
relacionados a dicha infraestructura y como estos tendrían la posibilidad de
materializarse generando afectación o daños a los activos de información, y por
consiguiente a los objetivos de la institución.
4. METODOLOGÍA
Con el propósito de seguir un proceso sistemático y metódico para la Evaluación y
Tratamiento de Riesgos, que permita la obtención de resultados objetivos,
coherentes y sustentables, alineado al estándar para la gestión de riesgos de
seguridad de la información referido en la ISO 27005, se consideran las siguientes
etapas:
Evaluación de Riesgos
Identificación Riesgos
Los riesgos de seguridad de la información son escenarios compuestos por los
activos de información que potencialmente pueden ser afectados, las
amenazas que pueden intentar afectar a los activos y las vulnerabilidades o
debilidades que tienen los activos de información que podrían ser
aprovechados por una amenaza.
Para la recolección de datos que permitan la identificación de los riesgos se
tienen que considerar las siguientes actividades:
Relevamiento de Activos de Información
Identificación Amenazas
Identificación de Vulnerabilidades
El resultado de esta etapa es el Listado de Riesgos Identificados
Análisis de Riesgos
El análisis de riesgos es un proceso que tiene por objetivo realizar la
valoración del nivel de riesgo considerando su probabilidad de ocurrencia y el
impacto resultante de su materialización, para ello se deben realizar las
siguientes actividades:
Estimación de Probabilidad
Estimación de Impacto
Valoración del Nivel de riesgo
El resultado de esta etapa es el Listado de Riesgos Identificados que incluyen
las estimaciones de probabilidad e impacto y tiene valorado el nivel de riesgo
según la siguiente ecuación:
Nivel de Riesgo = Probabilidad X Impacto
5. Para efecto de una mejor visualización sobre la distribución de criticidad de los
riesgos, se considera la elaboración de un mapa de calor que permita
representar la distribución de los riesgos en función a su probabilidad e
impacto
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
1 2 3 4 5
Severidad del Riesgo
Probabilidad
Impacto
Para efectos de clasificación de la severidad de los riesgos, se dispone de la
siguiente agrupación:
Intervalo Calificación
0-3 Baja
4-6 Moderada
8-12 Alta
15-25 Critico
Severidad
Valoración
La valoración de riesgos es un proceso que tiene por objetivo identificar los
riesgos críticos que deben estar sujetos a tratamientos y su priorización.
Tratamiento de Riesgos
Según la determinación de la evaluación de riesgos, se define el plan de
tratamiento que considera las alternativas de gestionar dichos riesgos, las
medidas o controles para subsanarlos, además de realizar la estimación de
riesgo residual luego del tratamiento.
6. DESARROLLO
Evaluación de Riesgos
Identificación de Riesgos
De acuerdo a lo definido en el alcance del presente Análisis y Evaluación de
Riesgos de Seguridad de la Información se considera como un activo de
información a toda la infraestructura de red de la Cooperativa Rural de
Electrificación, y siguiendo la metodología indicada previamente a
continuación se identifican los siguientes riesgos:
Activo de
Información
Amenaza Vulnerabilidad
Código Escenario de Riesgo
Infraestructura
de Red
A1, A3,
A4, A5,
A16
V2, V3, V8, V9,
V21
R1
Acceso no autorizado a
información confidencial debido
a una incorrecta configuración
de VLAN. (VLAN Hopping)
Infraestructura
de Red
A1, A3
A4, A5,
A16
V1, V8, V9,
V21
R2
Fuga de Información debido a
una inadecuada configuración
del protocolo DHCP. (DHCP
Spoofing)
Infraestructura
de Red
A1, A3
A4, A5,
A16
V1, V8, V9,
V21
R3
Denegación de Servicio debido
a una mala configuración de
equipos de la infraestructura de
Red. (Port Security)
Infraestructura
de Red
A1, A3
A4, A5,
A8, A10
V2, V3, V8, V9,
V21
R4
Acceso no autorizado a raíz de
información obtenida por una
inadecuada configuración del
protocolo CDP. (Protocolo
CDP)
La descripción de las amenazas y vulnerabilidades consideradas se
encuentra detallada en el Anexo II del presente documento.
Análisis de Riesgos
A continuación, se lista la estimación de impacto y probabilidad para cada
riesgo identificado, en base a estos parámetros se calcula la estimación del
nivel de riesgo inherente.
7. Para la realización del análisis de los riesgos se utilizó el método Delphi,
formando parte del equipo interdisciplinario de expertos los integrantes del
grupo, mismos que en consenso definieron los siguientes datos:
Código P I
Nivel de Riesgo
Inherente
Descripción de Nivel
de Riesgo Inherente
R1 4 5 20 Crítico
R2 3 4 12 Alto
R3 4 4 16 Crítico
R4 4 3 12 Alto
Valoración de Riesgos
Por la importancia de tener los riesgos controlados y considerando la
disposición reglamentaria para los riesgos identificados y analizados, se
determina que todos los riesgos evidenciados deben ser tratados mediante
la aplicación de medidas o controles según corresponda.
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
1 2 3 4 5
Severidad del Riesgo
Probabilidad
Impacto
8. Tratamiento de Riesgos
De acuerdo con la definición de la valoración de riesgos, se procedió con la
determinación de las acciones de tratamiento y la selección de medidas
aplicables a cada riesgo, además de realizar la estimación de riesgo
residual luego de la aplicación de las medidas correspondientes, según se
lista en la siguiente tabla:
Código P I
Nivel de
Riesgo
Inherente
Descripció
n de Nivel
de Riesgo
Inherente
Opción
de
Tratamie
nto
Controles Aplicables PR I
Nivel de
Riesgo
Residual
Descripción
de Nivel de
Riesgo
Residual
R1 4 5 20 Crítico Mitigar
Deshabilitar DTP, esto
para que los puertos no
estén configurados para
negociar troncales.
1 5 5 Moderado
Establecer un Proceso
de Hardenización de
equipos que permita la
correcta configuración
de seguridad en los
mismos.
Implementar
herramientas de
monitoreo que permitan
detección oportuna y
contención de ataques.
(SIEM)
R2 3 4 12 Alto Mitigar
Configurar Snooping
DHCP para evitar el
contacto con servidores
maliciosos
1 4 4 Moderado
Establecer un Proceso
de Hardenización de
equipos que permita la
correcta configuración
de seguridad en los
mismos.
R3 4 4 16 Crítico Mitigar
Habilitar Port-Security
para evitar conexiones
no deseadas a equipos
o puertos.
1 4 4 Moderado
Establecer un Proceso
de Hardenización de
equipos que permita la
correcta configuración
de seguridad en los
mismos.
9. R4 4 3 12 Alto Mitigar
Desactivar el protocolo
CDP, para evitar brindar
información a terceros
que puedan utilizarla de
manera
malintencionada.
1 3 3 Bajo
Establecer un Proceso
de Hardenización de
equipos que permita la
correcta configuración
de seguridad en los
mismos.
Luego de la aplicación de medidas o controles de seguridad a los diferentes
riesgos evidenciados, los mismos han sido afectados en su probabilidad de
modo que se encuentran en niveles residuales aceptables.
Riesgo Residual
Probabilidad
5 0 0 0 0 0
4 0 0 0 0 0
3 R4 0 0 0 0
2 0 0 0 0 0
1 0 0 0
R2,
R3
R1
1 2 3 4 5
Impacto
Severidad Riesgo
Inherente
Riesgo
Residual
Intervalo Calificación
0 - 3 Bajo 0 1
4 - 6 Moderada 0 3
8 - 12 Alta 2 0
15 - 25 Crítica 2 0
Total Riesgos 4 4
10. CONCLUSIONES
Luego de culminado el proceso y de haber logrado afectar positivamente a la
modificación de los riesgos inherentes en seguridad de la información, se
concluye que la Infraestructura de Red luego de una aceptable aplicación de
medidas de seguridad mantiene un nivel de seguridad aceptable ante posibles
eventos disruptivos que intenten afectar a la seguridad de la información de la
institución.
Asimismo, se enfatiza en la importancia de establecer un proceso adecuado de
hardenización de los equipos de red de manera de mantener un nivel de
seguridad adecuado sobre los mismos, si bien la infraestructura de red de la
Cooperativa Rural de Electrificación contaba con los elementos adecuados de
red, los mismo nos estaban correctamente configurados por lo cual estaban
expuestos a ataque de distintos tipos que tenían gran probabilidad de afectar la
seguridad de la información de dicha institución.
Además, se debe considerar que el análisis y evaluación de riesgos en
seguridad de la información es un proceso continuo, por lo tanto, los riesgos
que son parte del alcance del presente informe estarán sujetos de atención
permanente debiendo al menos una vez por año ser sometidos a un proceso
de análisis y evaluación.
12. SIMULACIÓN DE IMPLEMENTACIÓN
En esta fase realizaremos la simulación de las contramedidas que se definieron en
el tratamiento de riesgos, para ello daremos información acerca de la red de la
CRE para su mejor comprensión.
Direccionamiento y VLAN’s
Sucursal 1 (Central )
La sucursal Central es la que está ubicada en la avenida Bush 2 anillo entre
la calle Honduras y Perú. Para el cual se encontraran los siguientes
departamentos o subredes:
NOMBRE DE VLAN NUMERO DE VLAN IP DE RED
ASIGNADA
DATOS 10 10.1.10.0 /24
TELEFONÍA 11 10.1.11.0 /24
GERENCIA 12 10.1.12.0 /24
NATIVA 13 10.1.13.0 /24
SERVIDORES 14 10.1.14.0 /24
ADMINISTRACION 15 10.1.15.0 /24
Sucursal 2
Esta sucursal está ubicada en la avenida Roca y Coronado entre 2do y
tercer anillo
NOMBRE DE VLAN NUMERO DE VLAN IP DE RED
ASIGNADA
DATOS 10 10.2.10.0 /24
TELEFONÍA 11 10.2.11.0 /24
GERENCIA 12 10.2.12.0 /24
NATIVA 13 10.2.13.0 /24
ADMINISTRACION 14 10.2.14.0 /24
SERVIDORES 15 10.2.15.0 /24
13. Sucursal 3
Esta sucursal está ubicada en la zona norte km 5 sobre la avenida Banzer
NOMBRE DE VLAN NUMERO DE VLAN IP DE RED
ASIGNADA
DATOS 10 10.3.10.0 /24
TELEFONÍA 11 10.3.11.0 /24
GERENCIA 12 10.3.12.0 /24
NATIVA 13 10.3.13.0 /24
SERVIDORES 14 10.3.14.0 /24
ADMINISTRACION 15 10.3.15.0 /24
CONFIGURACIÓN
A continuación mostraremos las configuraciones de seguridad que se
implementaron en la red de infraestructura de la CRE de cada sucursal.
Cabe recalcar que en esta simulación no se realizó la configuración de seguridad
DAI para la mitigación de ARP Spoofing, por motivos de incompatibilidad con el
simulador Packet Tracert V 7.3,
Las credenciales de los equipos son:
User: ciber
Password: c00-cr3
///////////////////////////////CONFIGURACION DE EQUIPOS CORE /////////////////////////////////
hostname SUC1-CORE1
!
!
enable secret 5 $1$mERr$zCs1UItt6ASW6ECgts2kl1
ip cef
no ipv6 cef
username ciber secret 5 $1$mERr$zCs1UItt6ASW6ECgts2kl1
!
ip ssh version 2
no ip domain-lookup
ip domain-name cre.com.bo
!
18. !
interface Vlan1
no ip address
shutdown
!
ip default-gateway 10.1.10.1
ip classless
!
ip flow-export version 9
!
!
!
no cdp run
!
!
!
!
!
!
line con 0
logging synchronous
login local
!
line aux 0
!
line vty 0 4
logging synchronous
login local
transport input ssh
line vty 5 15
logging synchronous
login local
transport input ssh
!
!
!
!
end
///////////////////////CONFIGURACION DE EQUIPOS DE DISTRIBUCION////////////////////
hostname SUC1-DIST1
!
enable secret 5 $1$mERr$zCs1UItt6ASW6ECgts2kl1
!
!
!
27. !
line vty 0 4
logging synchronous
login local
transport input ssh
line vty 5 15
logging synchronous
login local
transport input ssh
!
end
///////////////////////////CONFIGURACION DE ROUTER ///////////////////////////////////////////////////
hostname RT-WAN1
!
!
!
enable secret 5 $1$mERr$zCs1UItt6ASW6ECgts2kl1
!
ip cef
no ipv6 cef
!
!
!
username RT-WAN2 password 0 c00-cr3
username ciber secret 5 $1$mERr$zCs1UItt6ASW6ECgts2kl1
!
!
!
!
!
!
!
!
ip ssh version 2
no ip domain-lookup
ip domain-name cre.com.bo
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
28. no ip address
ip access-group 107 out
duplex auto
speed auto
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address 10.1.10.1 255.255.255.0
ip access-group 100 in
!
interface FastEthernet0/0.11
encapsulation dot1Q 11
ip address 10.1.11.1 255.255.255.0
ip access-group 101 in
!
interface FastEthernet0/0.12
encapsulation dot1Q 12
ip address 10.1.12.1 255.255.255.0
ip access-group 102 in
!
interface FastEthernet0/0.13
encapsulation dot1Q 13
ip address 10.1.13.1 255.255.255.0
!
interface FastEthernet0/0.14
encapsulation dot1Q 14
ip address 10.1.14.1 255.255.255.0
!
interface FastEthernet0/0.15
encapsulation dot1Q 15
ip address 10.1.15.1 255.255.255.0
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/0/0
ip address 192.168.4.2 255.255.255.252
encapsulation ppp
ppp authentication chap
!
interface Serial0/0/1
no ip address
clock rate 2000000
shutdown
34. Catálogo de Amenazas
Código Amenazas
A1 Atacantes externos.
A2 Campaña de Phishing.
A3 Funcionario deshonesto.
A4
Ataques volumétricos a la infraestructura de red y servicios expuestos
en Internet.
A5 Funcionarios negligentes con privilegios críticos.
A6 Humedad.
A7 Incendios.
A8 Intruso (Personal externo que ingresó sin autorización).
A9 Malware.
A10 Repentino crecimiento de la concurrencia y carga de procesamiento.
A11 Cambios en la Infraestructura Tecnológica.
A12
Habilitación de nuevos servicios expuestos tanto en la red interna
como externa.
A13
Habilitación de nuevos productos sobre la misma tecnología, que
provoquen incremento en la concurrencia.
A14
Alta complejidad en la configuración de seguridad de las soluciones
tecnológicas.
A15 Tecnología de nueva generación.
A16 Funcionarios descuidados o negligentes.
A17
Requerimientos de Soluciones de TI especializados para procesos
críticos.
A18
Alto índice de requerimientos de desarrollo o mantenimiento de
software.
A19
Recurrentes cambios evolutivos y funcionales al software debido a la
dinámica del negocio.
A20
Requerimientos normativos itinerantes con tiempos de respuestas
ajustados.
35. Catálogo de Vulnerabilidades
Código Vulnerabilidad
V1 Exposición innecesaria de puertos hacia la red interna y externa.
V2 Inadecuada segmentación de la Red.
V3 Debilidad en el control de acceso.
V4 Personal distraído o poco consiente de la seguridad informática.
V5 Debilidad en la protección de la información crítica.
V6 Equipos informáticos sin parches de seguridad.
V7 Funcionario poco capacitado o concientizado
V8 Personal técnico inexperto o con débil capacitación especializada.
V9 Reducida capacidad de Identificación de Vulnerabilidades Técnicas.
V10 Información insuficiente para la identificación de vulnerabilidad técnicas.
V11 La información crítica no está plenamente identificada.
V12 Falta de lineamientos de buen uso de La información.
V13 Falta de Clasificación de las áreas tecnológicas.
V14 Falta de Clasificación de la Información.
V16 Ausencia de lineamientos de creación y uso de contraseñas.
V17
Debilidad o Ausencia de Implementación de mecanismos de autenticación que
permitan la creación y uso de contraseñas fuertes.
V18 Ausencia de un Plan Estratégico de Tecnología de La información.
V19
Plan Estratégico de Tecnología de La información que no se encuentre alineado
a la Estratégica Institucional.
V20 Inadecuada estructuración del área responsable de Tecnología de la
Información.
V21 Se cuenta con un limitado número de Recursos Humanos especializados
V22
No se cuenta con servicios tercearizados de desarrollo o mantenimiento de
software que permitan balancear los picos de cargas de trabajo.
V23
Existen varias instancias de validación, pruebas y autorizaciones durante todo el
proceso, que necesariamente deben ser cubiertos para evitar incumplimiento a la
normativa.
V24
Ausencia de Acuerdos de Nivel de Servicio suscrito, para garantizar la atención
oportuna de parte de proveedores de TI, sobre incidentes o problemas
relacionados a los Servicios de Tecnología de la Información.
V25
Falta de lineamientos y mecanismos que permitan a los sistemas de información,
registrar las actividades de usuarios y pistas de auditoría.