Hacking ético para detectar fallas en la seguridad informática de la intranet del Gobierno Provincial de Imbabura e implementar un sistema de gestión de seguridad de la información (SGS), basado en la norma ISO/IEC 27001:2005

Abstract

El presente proyecto aborda la seguridad de la información de los elementos involucrados en el procesamiento, almacenamiento o transporte de la información en el Gobierno Provincial de Imbabura. La norma ISO/IEC 27001:2005 ha sido seleccionada como guía para el desarrollo de las actividades descritas en este documento con el objetivo de implementar un sistema de gestión de seguridad de la información. La norma ISO/IEC 27001:2005 establece tres requisitos previos para el análisis del diseño del sistema de gestión de seguridad de la información, el primero de ellos es un inventario de activos de información del Gobierno Provincial de Imbabura, para lo cual se ha tomado énfasis en el data center como centro de operaciones y procesamiento de la información. A partir de este requerimiento se realiza el análisis de riesgos, es decir identificar las amenazas de los activos de información, y el tercer requisito es la identificación de vulnerabilidades. El proceso de análisis de riesgos se lo realiza bajo los lineamientos estipulados en la metodología Magerit, encargada de guiar todo el proceso abarcando la clasificación de los activos, las relaciones de dependencia, la selección de las amenazas y la valoración de las mismas en base a las propiedades de la información. La detección de las vulnerabilidades es realizada en base a técnicas de hacking ético desde una perspectiva black-box (caja negra), es decir existe un desconocimiento inicial de los sistemas a evaluar y paulatinamente mediante varios procesos descubrir las características del equipo y las respectivas vulnerabilidades. De esta forma se pretende imitar un ataque hacker desde cualquier parte del mundo con intenciones maliciosas. Una vez se ha identificado los problemas se procede a seleccionar los controles recomendados por la norma ISO/IEC 27001:2005 para el tratamiento del riesgo de los activos de la información, finalizando con la implementación de los controles seleccionados entre ellos la política de seguridad de la información.