PDF de programación - MAEI - Metodología para el Aseguramiento de Entornos Informatizados

UNIVERSIDAD DE BUENOS AIRES

FACULTAD DE INGENIERÍA
Ingeniería en informática



Tesis de grado:

“Metodología para el

Aseguramiento de Entornos

Informatizados” – MAEI.



Alumna: María Victoria Bisogno
Padrón: 74.784
E-mail: [email protected]; [email protected]
Tutor: Prof. Lic. Sergio Villagra
Co-tutores: Andrea Morales, Saverio Locane, y Héctor Dinamarca
12 de octubre de 2004

Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.



I.

III.

I.
II.

ÍNDICE:
Índice:..................................................................................................... 1
Prefacio...................................................................................... 6
1. Propósito de la tesis.................................................................................. 6
2. Estado del Arte de la Seguridad Informática. ................................................ 8
3. Motivación para la realización de este trabajo ............................................. 10
4. Alcance de la tesis .................................................................................. 11
5. Organización del documento .................................................................... 12
Introducción. ............................................................................ 13
1. La metodología. ..................................................................................... 13
1.1 El estudio del entorno......................................................................... 13
1.2 La implantación de la solución. ............................................................ 13
2. Descripción de las fases. ......................................................................... 15
IV.
Desarrollo de la metodología AEI ................................................. 23
1 Definición del Alcance ................................................................................. 25
Contenido: ............................................................................................. 25
1.1 Análisis de Requerimientos de Usuario ..................................................... 26
1.1.1 Documento de Requerimientos de Usuario .......................................... 26
1.1.2 Ejemplo - Requerimientos de Usuario................................................. 27
1.2 Elaboración del Alcance ......................................................................... 27
1.2.1 Alcance.......................................................................................... 28
1.2.2 Ejemplo - Alcance ........................................................................... 30
1.3 Aprobación del Alcance.......................................................................... 33
1.4 Estimación de tiempos y costos. ............................................................. 33
1.4.1 Costos capitales .............................................................................. 34
1.4.2 Costos recurrentes .......................................................................... 35
1.4.3 Costos No recurrentes...................................................................... 37
1.5 Elaboración del Plan de Trabajo .............................................................. 37
2 Relevamiento ............................................................................................ 40
Contenido: ............................................................................................. 40
2.1 Elaboración del Relevamiento General. .................................................... 41
2.1.1 Relevamiento General...................................................................... 43
2.2 Elaboración del Relevamiento de Usuario ................................................. 45
2.2.1 Relevamiento de Usuario.................................................................. 48
2.2.2 Asignación de puntaje...................................................................... 49
2.2.3 Aclaración sobre las preguntas .......................................................... 51



1

Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.



2.2.4 Resultados de la evaluación .............................................................. 55
2.2.5 Evaluación del entorno..................................................................... 56
2.2.5.1 Referencias al puntaje obtenido en el test por nivel: .......................... 56
2.2.5.2 Configuraciones de resultados: ....................................................... 56
2.3 Análisis de vulnerabilidades.................................................................... 57
2.3.1 Conocer al enemigo ......................................................................... 57
2.3.2 Ejemplo – Atacantes ........................................................................ 58
2.3.3 Las amenazas................................................................................. 59
2.3.4 Análisis de Vulnerabilidades .............................................................. 61
2.3.4.1 Aspectos funcionales..................................................................... 61
2.3.4.2 Análisis de la documentación.......................................................... 65
2.3.4.3 Análisis de las aplicaciones y equipos .............................................. 66
2.3.4.3.1 Intento de Penetración ............................................................... 69
2.3.4.3.2 Herramientas de análisis de vulnerabilidades ................................. 70
2.3.5 Mapa de Vulnerabilidades ................................................................. 70
2.3.5.1 Vulnerabilidades a nivel físico ......................................................... 71
2.3.5.2 Vulnerabilidades a nivel lógico ........................................................ 75
2.3.5.3 Vulnerabilidades a nivel de la organización. ...................................... 82
2.4 Análisis de Riesgos ............................................................................... 83
2.4.1 Informe de Riesgos ......................................................................... 85
2.4.2 Ejemplo – Informe de Riesgos........................................................... 86
3 Planificación .............................................................................................. 89
Contenido: ............................................................................................. 89
3.1 Elaboración del Plan de Aseguramiento....................................................... 90
3.1.1 Protección física .............................................................................. 90
3.1.1.1 Protección de las Instalaciones ....................................................... 91
3.1.1.2 Protección de los equipos............................................................... 94
3.1.2 Protección lógica ........................................................................... 100
3.1.2.1 Protección de la información ........................................................ 100
3.1.2.2 Protección del Sistema Operativo.................................................. 104
3.1.2.3 Protección de los datos................................................................ 115
3.1.3 Protección a nivel de la organización. ............................................... 122
3.2 Aprobación del Plan de Aseguramiento ..................................................... 130
4 Implantación ........................................................................................... 132
Contenido: ........................................................................................... 132
4.1 Elaboración del Relevamiento de Activos. ............................................... 135
4.1.1 Inventario de Activos ..................................................................... 135



2

Metodología para el Aseguramiento de Entornos Informatizados.
MAEI - María Victoria Bisogno.



4.1.2 Ejemplo – Inventario de Activos ...................................................... 139
4.1.3 Rotulación de activos ..................................................................... 140
4.1.4 Análisis de Criticidades................................................................... 140
4.2 Clasificación de la Información.............................................................. 142
4.2.1 Identificación de la información ....................................................... 142
4.2.2 Tipos de información...................................................................... 143
4.2.3 Beneficios de la clasificación de la información................................... 144
4.2.4 Riesgos de la información ............................................................... 144
4.3 Elaboración/ adaptación de la Normativa de Seguridad............................. 144
4.3.1 Interiorización del experto con la política y negocio de la organización .. 144
4.3.2 Elaboración/adaptación de la Normativa de Seguridad ........................ 145
4.3.2.1 Política de Seguridad................................................................... 147
4.3.2.1.1 Definición ............................................................................... 147
4.3.2.1.2 Ámbitos de aplicación y personal afectado ................................... 149
4.3.2.2 Normas y Procedimientos ............................................................ 149
4.3.2.2.1 Definición ............................................................................... 149
4.3.2.2.2 Espectro de las Normas y los Procedimientos ............................... 150
4.3.2.2.3 Ejemplo – Normas y Procedimientos ........................................... 152
4.3.2.3 Estándares, Esquemas y Manuales de usuarios .................