-
Universidad Nacional Mayor de San Marcos(Universidad del Per,
Decana de Amrica)
Facultad de Ingeniera de Sistemas e Informtica
Anlisis y Administracin de riesgos para Prestadores de Servicios
de Sistemas de Valor Aadido (SVA) Tipo Sistema de Intermediacin
Digital (SID) basados en controles ISO 27002 alineados a
ITIL
Tesina para optar el Titulo Profesional de Ingeniero de
sistemas
Presentada por:
Bachiller: Cerdn Obregn, Rosario Celeste
-
Introduccin
En la actualidad el desarrollo de las Tecnologas de la
Informacin
se extiende sobre la administracin pblica, en particular con
el
proyecto de la planta de certificacin digital que se est
implementando en RENIEC y con el nuevo reglamento de la ley
de
firmas y certificados digitales los cuales impulsan el
desarrollo de
nuevos servicios de trmites documentarios en lnea.
-
Definicin del Problema
Las Entidades de la Administracin Pblica enfrentan constantes
ataques
internos y externos a la Seguridad de la Informacin, y puesto
que cuentan con
presupuestos limitados, es difcil determinar la prioridad con la
que una
vulnerabilidad de Seguridad debe ser atendida, por lo que se
debe iniciar con un
estudio de anlisis de riesgos incluso desde las etapas de diseo
de los Servicios
de Valor Aadido (SVA), a fin de cubrir las vulnerabilidades
primarias, sin
embargo esto puede implicar tambin una inversin
significativa.
-
Objetivos:
GeneralIdentificar los riesgos comunes y
determinar controles del ISO 27002 e
ITIL v3, que puedan ser considerados
desde las etapas de Diseo de los
Servicios de Valor aadido (SVA) a fin
de reducir las futuras prdidas
posibles.
Especficos
Identificar un proceso modelo
general para los Servicios de Valor
Aadido (SVA).
Identificar los Activos importantes
del proceso.
Identificar las Vulnerabilidades y
Amenazas comunes.
Evaluar los riesgos.
Recomendar controles apropiados
basados en el ISO 27002 e ITIL v3.
-
Marco terico
Firma DigitalCertificado
Digital
IOFE ITIL V.3
SVASID
-
Firma Digital Certificado Digital
Es aquella firma electrnica que utilizando una tcnica de
criptografa asimtrica, permite la identificacin del signatario.
Tiene la misma validez y eficacia jurdica que el uso de una
firma manuscrita, siempre y cuando haya sido generada por un
Prestador de Servicios de Certificacin Digital debidamente
acreditado que se encuentre dentro de la Infraestructura Oficial de
Firma Electrnica.
Para la obtencin de un certificado digital, el solicitante deber
acreditar lo siguiente:
Tratndose de personas naturales, tener plena capacidad de
ejercicio de sus derechos civiles.
Tratndose de personas jurdicas, acreditar la existencia de la
persona jurdica y su vigencia mediante los instrumentos pblicos o
norma legal respectiva, debiendo contar con un representante
debidamente acreditado para tales efectos.
-
IOFE (InfraestructuraOficial de Firma Electrnica)
ITIL (Information Technology Infrastructure Library) v.3
De acuerdo a lo que establece el
Reglamento de la Ley de Firmas y
Certificados Digitales, se denomina
'Infraestructura de Firma Digital', al
sistema confiable, acreditado,
regulado y supervisado por la
Autoridad Administrativa
Competente.
ITIL como metodologa propone el
establecimiento de estndares que
nos ayuden en el control, operacin y
administracin de los recursos.
-
ISO 27002:2005 Servicio de Valor Aadido(SVA)
Es de uso obligatorio en todas las instituciones pblicas
desde agosto de 2004.
La versin de 2005 del estndar incluye las siguientes once
secciones principales:
1) Poltica de seguridad.
2) Aspectos organizativos para la seguridad.
3) Clasificacin y control de activos.
4) Seguridad ligada al personal.
5) Seguridad fsica y del entorno.
6) Gestin de comunicaciones y operaciones.
7) Control de accesos.
8) Desarrollo y mantenimiento de sistemas.
9) Gestin de incidentes de seguridad de la
informacin.
10) Gestin de continuidad de negocio.
11) Conformidad.
Segn el Reglamento de la Ley de Firmas y
Certificados Digitales del DECRETO SUPREMO
N 052-2008-PCM los Prestadores de Servicios de
Valor aadido tienen las siguientes funciones:
a) Participar en la transmisin o envo de
documentos electrnicos firmados
digitalmente.
b) Certificar los documentos electrnicos con
fecha y hora cierta (Sellado de Tiempo)
c) Generar certificados de autenticacin a los
usuarios que lo soliciten.
-
Sistema de IntermediacinDigital (SID)Un Sistema de Intermediacin
Digital (SID) es un sistema Web que permite la realizacin de
procesos
automatizados de trmite documentario, empleando certificados
digitales para realizar autenticaciones y firma digitales que
garanticen el no repudio de las transacciones electrnicas
realizadas.
El Sistema de Intermediacin Digital (SID) comprende los
siguientes componentes principales:
Firma Digital.
Solicitante.
Funcionario.
Servidor Principal.
Servidor de Domicilios Electrnicos.
Servidor de Transacciones.
Servidor de Base de Datos.
Bitcora digital.
-
ESPECIFICACIN DIFERENCIAL UTILIZADAS EN EL PRESENTE TRABAJO DE
INVESTIGACIN
ISO 27001 ISO 27002 ISO 27005
Es certificable No es certificable No es certificable
Es una especificacin Cdigo de Buenas Prcticas Diseada para
ayudar a la aplicacin
satisfactoria de la seguridad de la
informacin basada en un enfoque de
gestin de riesgos.
Adopta un enfoque de gestin de
riesgos y promueve la mejora
continua de los procesos en los
Servicios de Valor Aadido (SVA)
Gua para, en distintos mbitos,
conocer qu se puede hacer para
mejorar la seguridad de la informacin
en los Servicios de Valor Aadido
(SVA).
Proporciona directrices para la gestin de
riesgos en la seguridad de la informacin.
Es la que proporciona recomendaciones y
lineamientos de mtodos y tcnicas de
evaluacin de riesgos de Seguridad en la
Informacin en los Servicios de Valor
Aadido (SVA), en soporte del proceso de
gestin de riesgos de la norma ISO 27001
Enumera los objetivos de control y
controles que desarrolla la ISO
27002, como se muestra en la Tabla
Caracterizacin de Amenazas de los
Activos importante de los Servicios
de Valor Aadido (SVA)
Describe los objetivos de control y
controles recomendables, detallados
en la Tabla Caracterizacin de
Amenazas de los Activos importante
de los Servicios de Valor Aadido
(SVA)
Apoya los conceptos generales
especificados en la ISO 27001
-
Estado de Arte
Criterio para la Gestin de Riesgo segn MAGERIT
Criterio para la Gestin de Riesgo segn ISO/IEC
27005:2008
Metodologa Propuesta
-
Criterio para la Gestin de Riesgo segn MAGERIT
El objetivo a proteger es la misin de la Organizacin, teniendo
en cuenta las diferentes dimensiones de
la seguridad:
Disponibilidad: o disposicin de los servicios a ser usados
cuando sea necesario.
Integridad: o mantenimiento de las caractersticas de completitud
y correccin de los datos.
Confidencialidad: o que la informacin llegue solamente a las
personas autorizadas.
Autenticidad (de quin hace uso de los datos o servicios): o que
no haya duda de quin se hace
responsable de una informacin o prestacin de un servicio, tanto
a fin de confiar en l como de poder
perseguir posteriormente los incumplimientos o errores.
-
Criterio para la Gestin de Riesgo segn ISO/IEC 27005:2008
Proporciona un conjunto de directrices para la correcta
realizacin
de un Anlisis de Riesgos.
Determina dentro de las SVA:
Qu se debe Proteger
Porqu se debe Proteger
Contra qu se debe Proteger
Cmo se debe Proteger
-
Metodologa Propuesta
Esta investigacin pretende realizar un anlisis de
riesgos basado en una metodologa internacional sobre
un proceso cuyo modelo general es un Prestador de
Servicios de Valor Aadido (SVA) tipo Sistema de
Intermediacin Digital (SID), que permita identificar
los riesgos claves y comunes, a fin de determinar los
controles necesarios y sus prioridades desde la etapa de
formacin de las SVAs de la Administracin Pblica.
-
APLICACIN DE LA PROPUESTA METODOLOGICA
1 fase: Ingreso de Solicitud de Trmite Documentario.
2 fase: Firma del Funcionario.
3 fase: Verificacin del estado del Trmite del solicitante.
-
Proceso: Solicitud de trmite Documentario
Solicitante Servidor
Principal
Servidor de
Domicilios
Electrnicos
Fase
Inicio
El Solicitante
ingresa al Portal
del SIE
Registra Solicitud
de trmite Trmite
Documentario
Recibe la
Notificacin del
trmite
documentario
Fin
Ingreso de
Solicitud de
Trmite
Documentario
Ingresa los datos
requeridos en la
solicitud
Firma digitalmente
dicha solicitud
Enva la solicitud
al Servidor
Principal
El Servidor
Principal recibe la
solicitud del
solicitante
Registra solicitud
del Trmite
Documentario
Luego de ser
registrado en el
Servidor principal,
enva la solicitud
al Servidor de
Domicilios
Electrnicos
Recibe solicitud
de trmite
documentario del
servidor Principal
Enva Notificacin
de Registro de
Trmite al
Solicitante
Selecciona el tipo
de trmite a
realizar y la
solicitud
correspondiente
Fase 1: Ingreso de Solicitud de Trmite Documentario [Elaboracin
propia]
-
Proceso: Solicitud de Trmite Documentario
Servidor de Base
de DatosFuncionario
Servidor de
Domicilios
Electrnicos
Servidor de
TransaccionesFase
Firma del
Funcionario
Inicio
El Funcionario
ingresa al Portal
del SIE
Consulta al
Servidor de
Domicilios
Electrnico
El Servidor de
Domicilios
Electrnicos
recibe consulta del
Funcionario
Procede a evaluar
la consulta y enva
resultado al
Funcionario
Recibe resultado
de Trmites
documentarios
pendientes
Enva todos los
trmites
documentarios
pendientes
Escoje un Trmite
Documentario
Procede a evaluar
solicitud de trmite
documentario
Enva la solicitud
de firmaRecibe solicitud
Enva solicitud al
Servidor de
Transacciones
Recibe
informacin del
Servidor de
Domicilios
Electrnicos para
validar firma
posterior
A
Fase 2: Firma del Funcionario[Elaboracin propia]
-
Proceso: Solicitud de Trmite Documentario
Servidor de Base
de Datos
Servidor de
Transacciones
Servidor de
Domicilios
Electrnicos
FuncionarioFase
A
El Servidor de
transacciones,
muestra una
pantalla de
ingreso de firma al
Funcionario
Ve en el Portal la
pantalla de
ingreso de Firma e
ingresa su firma
Enva firma al
Servidor de
TransaccionesRecibe firma y lo
valida
Enva la solicitud
de trmite
documentario al
Servidor de Base
de Datos
Registra o
actualiza la
solicitud de trmite
documentario
Enva notificacin
al Servidor de
Domicilios
Electrnicos
Recibe
notificacin del
Servidor de Base
de datos
El Servidor de D.E.
pregunta si hay un
sgte funcionario
para que firme
Recibe
notificacin del
Servidor de
Domicilios
Electrnicos
SI
Enva notificacin
al Solicitante
NO
Fin
Firma del
Funcionario
Fase 2: Firma del Funcionario[Elaboracin propia]
-
Proceso: Solicitud de Trmite Documentario
Fase Servidor de Base de DatosSolicitante
Verificacin del
Estado de
Trmite del
Solicitante
Inicio
El Solicitante
enva consulta del
Trmite al
Servidor de Base
de Datos
Recibe consulta
de solicitud de
trmite
documentario
Procesa dicha
solicitud
Luego de
procesado enva
resultado al
Solicitante
El Solicitante
recibe resultado
de la Solicitud
El Solicitante,
consulta al SIE si
el tramite
documentario a
finalizado
Enva documento
firmado a su
correo o a otra
cuenta
SI
Fin
NO
Fase 3: Verificacin del estado del Trmite del
solicitante[Elaboracin propia]
-
Anlisis de riesgos para Prestadores de Servicios de Sistemas de
Valor
Aadido (SVA)
-
Operacional Imgen institucional Obligaciones legales o
regulatorias Econmicas
Probablemente cause una interrupcin
excepcionalmente seria de las
actividades
propias de la Organizacin con un serio
impacto en otras organizaciones
Constituye un incumplimiento
excepcionalmente grave de las
obligaciones contractuales relativas a la
seguridad de la informacin
proporcionada por terceros
Probablemente cause un incumplimiento
excepcionalmente grave de una ley o
regulacin
Sera de enorme inters para la
competencia, de muy elevado valor
comercial para terceros, sera causa de
muy significativas ganancias o ventajas
para individuos u organizaciones. Causa
de prdidas econmicas
excepcionalmente elevadas
Alto 3
Probablemente cause una interrupcin
temporal de las actividades
propias de la Organizacin con cierto
impacto en otras organizaciones
Constituye un incumplimiento de las
obligaciones contractuales para mantener
la seguridad de la informacin
proporcionada por terceros
Probablemente sea causa de
incumplimiento de una regulacin
Sera de cierto inters para la
competencia, de cierto valor comercial
para terceros, sera causa ganancias o
ventajas moderadas para individuos u
organizaciones. Causa de prdidas
econmicas moderadas
Medio 2
No podra causar la interrupcin de
actividades propias de la Organizacin
Sera causa de inconveniencias mnimas
a las partes afectadas
No sera causa de incumplimiento de
ninguna regulacin
Supondra prdidas econmicas
insignificantes
Bajo1
Impacto
NIVELES DE IMPACTO QUE EL DAO DE UN ACTIVO PUEDE CAUSAR SOBRE
LOS SERVICIOS DE VALOR AADIDO (SVA)
-
El activo es atractivo
para atacantes internos o
externos?
Es dificil
materializar la
amenaza?
Existen
controles
eficaces?
Muy frecuente Puede ocurrir a diario Si Y Muy Fcil Y No
Frecuente Puede ocurrir mensualmente Si Y Fcil Y No
Normal Puede ocurrir una vez al ao Si Y Difcil Y No
Poco frecuente Puede ocurrir cada varios aos No O Muy difcil O
Si
CRITERIOS
Cada cunto se puede materializar una amenaza?
FRECUENCIA
CRITERIOS PARA DETERMINAR LA FRECUENCIA DE UNA AMENAZA SOBRE LOS
ACTIVOS DE
LOS SERVICIOS DE VALOR AADIDO (SVA)
-
Poca frecuenciaFrecuencia
NormalFrecuente Muy Frecuente
Alto Muy bajo Alto Muy alto Muy alto
Medio Muy bajo Medio Alto Muy alto
Bajo Muy bajo Bajo Medio Alto
Muy Bajo Muy bajo Muy bajo Bajo Medio
IMPACTO
FRECUENCIA
RIESGO
MATRIZ DE RIESGOS DE LA SEGURIDAD DE LOS SERVICIOS DE VALOR
AADIDO (SVA)
-
SELECCIN DE ACTIVOS IMPORTANTES DE LOS SERVICIOS DE VALOR AADIDO
(SVA)
EVALUACIN DE LOS REQUERIMIENTOS DE SEGURIDAD DE LOS SERVICIOS DE
VALOR
AADIDO (SVA)
CARACTERIZACIN DE AMENAZAS DE LOS ACTIVOS IMPORTANTES DE LOS
SERVICIOS DE
VALOR AADIDO (SVA)
Ver
-
Controles basados en la fase de Operacin del Servicio
segn ITIL v3
A fin de complementar controles respecto de la gestin de
incidencias y mantenimiento del
SGSI segn el estndar ISO 27001:2005 se propone la implementacin
de los procesos de
control de la fase de Operacin del Servicio segn ITIL v3.
Gestin de Eventos en los Servicios de Valor Aadido (SVA)
Un evento es un suceso detectable que tiene importancia para la
gestin de la
infraestructura TI, entrega y evaluacin del impacto de una
posible desviacin en los
Servicios de Valor Aadido (SVA).
Gestin de Incidencias en los Servicios de Valor Aadido (SVA)
Una incidencia en los Servicios de Valor Aadido (SVA), es una
interrupcin no planificada o
una reduccin de la calidad de un servicio de TI.
-
ConclusionesComo resultado de la presente investigacin, se
concluye lo siguiente:
Los sistemas SVA del tipo SID pueden ser expresados siguiendo
los criterios de las metodologas de gestin por procesos permitiendo
identificar fcilmente las etapas crticas y los activos ms
relevantes de dichos procesos.
Los SVA del tipo SID pese a contar con tecnologas que garantizan
el no repudio requieren ser complementados con un sistema de gestin
de la seguridad de la informacin que permita identificar de manera
eficiente y oportuna las vulnerabilidades de cada SVA.
El proceso de anlisis y evaluacin de riesgo es la base
fundamental para establecer un Sistema de Gestin de la Seguridad de
la Informacin, permitiendo priorizar los esfuerzos econmicos,
personal y tiempo para cubrir los requerimientos de seguridad de la
informacin.
Los procesos y funciones de ITIL v3 se complementan con los
controles del ISO 27001:2005 para lograr una mejor gestin de la
seguridad de la informacin.
