Anlisis de

Informtica.

Riesgo

de

la

Seguridad

OBJETIVOS
Objetivo General:
Desarrollar una consultora de seguridad en la empresa DURACELL para
determinar diversos factores que intervienen para lograr mejorar la seguridad de
la informacin en la organizacin.
Objetivos Espe cficos:

Conocer de forma detallada la metodologa que se implementara para realizar una

correcta consultora de seguridad a la empresa.
Implementar de forma correcta y eficiente la Metodologa de Anlisis y Gestin de
Riesgos de los Sistemas de Informacin, Magerit la cual ser desarrollada por
parte del grupo de consultores de seguridad.
Realizar un planteamiento de anlisis de Riesgos de seguridad con miras a
identificar vulnerabilidades as como tambin los riesgos potenciales y polticas de la
empresa
Brindar un informe detallado en el cual se brindaran soluciones especficas para
aplacar con los riesgos o amenazas con el fin de minimizar los ataques a los que
enfrenta la empresa.
Formular en base al anlisis de riesgos de quien se debe proteger los activos de la
empresa ya sean estos usuarios inexpertos como atacantes externos, adems de
las aplicaciones a las cuales se debe tener usos restringidos considerados
como fundamentales para la organizacin.

Anlisis de
Informtica.

Riesgo

de

la

Seguridad

MARCO TEORICO
El concepto de riesgo est presente en la totalidad de las actividades que
realiza el ser humano, por lo que antes de implementar cualquier mecanismo de
seguridad (software, hardware, poltica, etc.) en las Tecnologas de la Informacin, es
necesario conocer la prioridad de aplicacin y que tipo de medida podemos aplicar. El
anlisis de riesgos es el primer paso de la seguridad informtica.
Riesgo: es un evento, el cual es incierto y tiene un impacto negativo. Tambin se
puede definir como la posibilidad de sufrir un dao por la exposicin a un peligro y
peligro: es la fuente del riesgo y se refiere a una substancia o a una accin que puede
causar dao. Las metodologas de anlisis de riesgos existentes describen sus etapas en
forma terica, se presentan pocos ejemplos o es necesario una herramienta para
realizarlo, cuyo costo normalmente es elevado.
Por lo anterior es necesario establecer una metodologa cualitativa prctica para realizar
un anlisis de riesgos a las reas de TI, estableciendo cmo puede ejecutarse el anlisis.
Anlisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar los riesgos.
El primer paso del anlisis es identificar los activos a proteger o evaluar. La
evaluacin de riesgos involucra comparar el nivel de riesgo detectado durante el proceso
de anlisis con criterios de riesgo establecidos previamente.
La funcin de la evaluacin consiste en ayudar a alcanzar un nivel razonable de
consenso en torno a los objetivos en cuestin, y asegurar un nivel mnimo que permita
desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del anlisis, van a permitir aplicar alguno de los mtodos
para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que
existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y
ejecutarlos.
Dentro del tema de anlisis de riesgo se ven reflejados cinco elementos muy
importantes dentro del concepto estos son los siguientes: probabilidad, amenazas,
vulnerabilidades, activos e impactos.
Probabilid
ad

Amenazas
Activos

Vulnerabilida
des
Impactos

Anlisis de
Informtica.

Riesgo

de

la

Seguridad

PROBABILIDAD: establecer la probabilidad de ocurrencia puede realizarse de

manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe
contemplar la existencia de ninguna accin paliativa, o sea, debe considerarse
en
cada
caso
qu posibilidades existen que la amenaza se presente
independientemente del hecho que sea o no contrarrestada.
Existen amenazas, como por ejemplo incendios, para las cuales hay
informacin suficiente (series histricas, compaas de seguros y otros datos)
para establecer con razonable objetividad su probabilidad de ocurrencia. Otras
amenazas presentan mayor dificultad en establecer cuantitativamente la probabilidad.
Por ejemplo, el acceso no autorizado a datos; dnde se hacen estimaciones sobre la
base de experiencias.
AMENAZAS: las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en la operativa de la empresa. Comnmente
se indican como amenazas a las fallas, a los ingresos no autorizados, a los
virus, uso inadecuado de software, los
desastres ambientales
como
terremotos
o
inundaciones,
accesos
no
autorizados, facilidad de acceso a las instalaciones, etc.
Las amenazas pueden ser de carcter fsico o lgico, como ser una inundacin en
el primer caso, o un acceso no autorizado a una base de datos en el segundo caso.
VULNERABILIDADES: son ciertas condiciones inherentes a los activos o presentes en
su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser
vulnerables. Mediante el uso de las debilidades existentes es que las amenazas logran
materializarse, o sea, las amenazas siempre estn presentes, pero sin la identificacin
de una vulnerabilidad no podrn ocasionar ningn impacto.
Una vulnerabilidad comn es contar con antivirus no actualizado, la cual
permitir al virus actuar y ocasionar daos. Si el antivirus estuviese actualizado la
amenaza (virus) si bien potencialmente seguira existiendo no podra materializarse.
ACTIVOS: Los activos a reconocer son aquellos relacionados con sistemas de
informacin. Ejemplos tpicos son los datos, el hardware, el software, servicios,
documentos, edificios y recursos humanos.
IMPACTOS: las consecuencias de la ocurrencia de las distintas amenazas son
siempre negativas. Las prdidas generadas pueden ser financieras, no financieras, de
corto plazo o de largo plazo.

Anlisis de
Informtica.

Riesgo

de

la

Seguridad

Se puede establecer que las ms comunes son: la prdida directa de dinero, la

prdida de confianza, la reduccin de la eficiencia y la prdida de oportunidades de
negocio. Otras no tan comunes, felizmente, son la prdida de vidas humanas, afectacin
del medio ambiente, etc.
Las amenazas se pueden convertir en realidad a travs de fallas de
seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas al mximo
para que el ambiente que se desea proteger est libre de riesgos de incidentes de
seguridad.
Por lo tanto, la relacin entre amenaza-incidente-impacto, es la condicin principal
a tomar en cuenta en el momento de priorizar acciones de seguridad para la correccin
de los activos que se desean proteger y deben ser siempre considerados cuando se
realiza un anlisis de riesgos. A continuacin presentamos un esquema de la
relacin que existe en los elementos antes mencionados.

Aprovechan las vulnerabilidades encontradas en nuestros sistemas y que se convierten en:

Que originan
Incidentes

Son los
hechos
que
deben ser evitados en
una organizacin, puesto
que causan impacto a los
negocios.
En

virtud de

la accin

Los impactos pueden ser

desastrosos, segn
su
amplitud y gravedad.

de un agente o condicin natural, que

son las amenazas en s mismas, los

incidentes generan una

serie de
problemas

que

pueden afectar los

Anlisis de Riesgo de la Seguridad de la Informacin

El activo ms importante que se posee es la informacin y, por lo tanto,
deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se
establezca sobre los equipos en los cuales se almacena. Estas tcnicas las
brinda la seguridad lgica que consiste en la aplicacin de barreras y
procedimientos que resguardan el acceso a los datos y slo permiten acceder
a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informtica que dicta: "lo que
no est permitido debe estar prohibido" y sta debe ser la meta perseguida.
Los medios para conseguirlo son:
1. Restringir el acceso (de personas de la organizacin y de las que no lo
son) a los programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no puedan
modificar los programas ni los archivos que no correspondan
(sin una supervisin minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas correctos
en/y/por el procedimiento elegido.
4. Asegurar que la informacin transmitida sea la misma que reciba el
destinatario al cual se ha enviado y que no le llegue a otro.
5. Asegurar que existan sistemas y pasos de emergencia
alternativos de transmisin entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarqua informtica, con
claves distintas y permisos bien establecidos, en todos y cada uno de
los sistemas o aplicaciones empleadas.
7. Actualizar constantemente las contraseas de accesos a los
sistemas de cmputo.
Una vez que la programacin y el funcionamiento de un
dispositivo de almacenamiento (o transmisin) de la informacin se
consideran seguras, todava deben ser tenidos en cuenta las circunstancias
"no informticas" que pueden afectar a los datos, las cuales son a menudo
imprevisibles o inevitables, de modo que la nica proteccin posible es la
redundancia (en el caso de los datos) y la descentralizacin -por ejemplo
mediante estructura de redes- (en el caso de las comunicaciones).
Estos fenmenos pueden ser causados por:
El usuario: causa del mayor problema ligado a la seguridad de un
sistema informtico (porque no le importa, no se da cuenta o a
propsito).
Programas maliciosos: programas destinados a perjudicar o a hacer
un uso ilcito de los recursos del sistema. Es instalado (por inatencin o
maldad) en el ordenador abriendo una puerta a intrusos o bien
modificando los datos. Estos

Anlisis de Riesgo de la Seguridad de la Informacin

programas pueden ser un virus informtico, un gusano informtico, un
troyano, una bomba lgica o un programa espa o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de
los cuales no tiene acceso permitido (cracker, defacer, script kiddie o
Script boy, viruxer, etc.).
Un siniestro (robo, incendio, por agua): una mala manipulacin o
una mal intencin derivan a la prdida del material o de los archivos.
El personal interno de Sistemas. La competencia del poder que
llevan a disociaciones entre los sectores y soluciones incompatibles
para la seguridad informtica.
Determinacin de la probabilidad.
Con el fin de derivar una probabilidad o una estimacin de la ocurrencia
de un evento, los siguientes factores deben ser tomados en cuenta:
Fuente de la amenaza y su
capacidad. Naturaleza de la
vulnerabilidad.
La probabilidad que una vulnerabilidad potencial pueda ser explotada por una
fuente de amenaza la podemos clasificar en alta, media-alta, media, media-baja
y baja.
Identificacin de Vulnerabilidades.
Para la identificacin de vulnerabilidades sobre la plataforma de
tecnologa, se utilizan herramientas como listas de verificacin y
herramientas de software que determinan vulnerabilidades a nivel del sistema
operativo y firewall:
Seguridad Fsica.
Monitoreo
ambiental
Control de acceso
Desastres
naturales Control
de
incendios
Inundaciones
Seguridad en las conexiones a Internet.
Polticas
en
el
Firewall
VPN
Deteccin de intrusos
Seguridad en la infraestructura de comunicaciones.

Anlisis de Riesgo de la Seguridad de la Informacin

Switchs
Firewall
Hubs
RAS

Seguridad en Sistema Operacionales (Unix, Windows)

Correo Electrnico
Seguridad en las aplicaciones Crticas
Se define las aplicaciones que son crticas para la organizacin y por
cada una de ellas se obtendr una matriz de riesgo. Es importante
considerar que las aplicaciones estn soportadas por: Sistemas
operativos, hardware servidor, redes LAN y WAN, y el Centro de cmputo.
Identificacin de A menazas.
Una vez conocemos los recursos que debemos proteger y de
identificar las vulnerabilidades es hora de identificar de igual manera las
amenazas que se ciernen contra ellos. Una vulnerabilidad es cualquier
situacin que pueda desembocar en un problema de seguridad, y una
amenaza es la accin especfica que aprovecha una vulnerabilidad para
crear un problema de seguridad; entre ambas existe una estrecha relacin:sin
vulnerabilidades
no hay amenazas, y sin amenazas no hay
vulnerabilidades.
Se suelen dividir las amenazas que existen sobre los sistemas informticos
en tres grandes grupos, en funcin del mbito o la forma en que se pueden
producir:
Desastres del entorno.
Dentro de este grupo se incluyen todos los posibles problemas
relacionados con la ubicacin del entorno de trabajo informtico o de la propia
organizacin, as como con las personas que de una u otra forma estn
relacionadas con el mismo. Por ejemplo, se han de tener en cuenta desastres
naturales (terremotos, inundaciones...), desastres producidos por elementos
cercanos, como los cortes de fluido elctrico, y peligros relacionados con
operadores, programadores o usuarios del sistema.
Amenazas en el sistema.
Bajo esta denominacin se contemplan todas las vulnerabilidades de los
equipos y su software que pueden acarrear amenazas a la seguridad, como
fallos en el sistema operativo, medidas de proteccin que ste ofrece, fallos
en los programas, copias de seguridad.

Anlisis de Riesgo de la Seguridad de la Informacin

Amenazas en la red.
Cada da es menos comn que una mquina trabaje aislada de todas las
dems; se tiende a comunicar equipos mediante redes locales, intranets o la
propia Internet, y esta interconexin acarrea nuevas - y peligrosas amenazas a la seguridad de los equipos, peligros que hasta el momento de
la conexin no se suelen tener en cuenta. Por ejemplo, es necesario analizar
aspectos relativos al cifrado de los datos en trnsito por la red, a proteger
una red local del resto de internet, o a instalar sistemas de autenticacin de
usuarios remotos que necesitan acceder a ciertos recursos internos a la
organizacin (como un investigador que conecta desde su casa a travs
de un mdem).
No siempre hemos de contemplar a las amenazas como actos
intencionados contra nuestro sistema: muchos de los problemas pueden ser
ocasionados por accidentes, desde un operador que derrama una taza de caf
sobre una terminal hasta un usuario que tropieza con el cable de alimentacin
de un servidor y lo desconecta de la lnea elctrica, pasando por temas
como el borrado accidental de datos o los errores de programacin; decir
`no lo hice a propsito' no ayuda nada en estos casos. Por supuesto,
tampoco tenemos que reducirnos a los accesos no autorizados al sistema:
un usuario de nuestras mquinas puede intentar conseguir privilegios que
no le corresponden, una persona externa a la organizacin puede lanzar
un ataque de negacin de servicio contra la misma sin necesidad de conocer
ni siquiera un login y una contrasea, etc.
Limitantes del anlisis de riesgo.
En general, a pesar de que se han desarrollado muchas
soluciones a los problemas de la seguridad en los sistemas de informacin,
la apreciacin general es que la inseguridad es un problema que no ha sido
resuelto. La perspectiva parece poco optimista, principalmente debido a que los
atacantes han pasado de ser aficionados en busca de notoriedad a criminales
en busca de lucro.
Posiblemente una de las principales razones por las cuales los
problemas de seguridad informtica no han sido resueltos es la aparicin
frecuente de nuevas amenazas. Como un ejemplo de esto es la evolucin del
malware: los virus altamente nocivos y de amplia difusin han dado lugar a
botnets furtivos, de difcil deteccin y dirigidos a objetivos especficos.
Precisamente una de las debilidades de las metodologas de anlisis
de riesgo es que parten de una visin esttica de las amenazas as como
de los controles requeridos para disminuir los riesgos. El ciclo de vida
establecido para las arquitecturas de seguridad informtico suele ser
demasiado extenso ante un entorno en cambio constante.

Anlisis de Riesgo de la Seguridad de la Informacin

Los cambios en los riesgos que debe considerar una organizacin tienen dos orgenes:
a) El surgimiento de nuevas amenazas.
b) La adopcin de nuevas tecnologas que da origen a riesgos no previstos.
Todo sistema de informacin evoluciona, debido a la integracin de
hardware y software con caractersticas nuevas y ms atractivas para los
usuarios, as como al desarrollo de nuevas funcionalidades. Estos cambios
abren la posibilidad de riesgos imprevistos y tambin pueden crear
vulnerabilidades donde antes no existan.
Priorizacin De R iesgos.
En este paso de la estimacin de riesgos, se estiman su prioridad de
forma que se tenga forma de centrar el esfuerzo para desarrollar la gestin de
riesgos. Cuando se realiza la priorizacin (elementos de alto riesgo y
pequeos riesgos), estos ltimos no deben ser de gran preocupacin, pues lo
verdaderamente crtico se puede dejar en un segundo plano.
Sin importar cual sea el proceso que se siga, el anlisis de riesgos
comprende los siguientes pasos:
1. Definir los activos informticos a analizar.
2. Identificar las amenazas que pueden comprometer la seguridad de los
activos. 3. Determinar la probabilidad de ocurrencia de las amenazas.
4. Determinar el impacto de las amenaza, con el objeto de
establecer una priorizacin de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los
riesgos. 6. Documentar el proceso.
Cuando ya hemos realizado este anlisis no tenemos ms que presentar
nuestras cuentas a los responsables de la organizacin (o adecuarlas al
presupuesto que un departamento destina a materias de seguridad), siempre
teniendo en cuenta que el gasto de proteger un recurso ante una amenaza
ha de ser inferior al gasto que se producira si la amenaza se convirtiera en
realidad. Hemos de tener siempre presente que los riesgos se pueden
minimizar, pero nunca eliminarlos completamente, por lo que ser
recomendable planificar no slo la prevencin ante un problema sino
tambin la recuperacin si el mismo se produce; se suele hablar de medidas
proactivas (aquellas que se toman para prevenir un problema) y medidas
reactivas (aquellas que se toman cuando el dao se produce, para minimizar
sus efectos).

Anlisis de Riesgos
El anlisis de riesgos es una aproximacin metdica para determinar el
riesgo siguiendo unos pasos pautados:
1.

Determinar los activos relevantes para la Organizacin, su

interrelacin y su valor, en el sentido de qu perjuicio (coste)
supondra su degradacin.

2. Determinar a qu amenazas estn expuestos aquellos activos

3. Estimar el impacto, definido como el dao sobre el activo derivado
de la materializacin de la amenaza.
4. Estimar el riesgo, definido como el impacto ponderado con la
tasa de ocurrencia (o expectativa de materializacin) de la amenaza.

Anlisis de Riesgo de la Seguridad de la Informacin

La siguiente figura recoge el anlisis de riesgos, cuyos pasos se
detallan en las siguientes secciones:

Paso 1: Activos
El activo esencial es la informacin que maneja el sistema; o sea los datos. Y
alrededor de estos datos se pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los
servicios que se necesitan para poder gestionar dichos datos.
Las aplicaciones informticas (software) que permiten manejar los datos.
Los equipos informticos (hardware)
datos, aplicaciones y servicios.

que

permiten

hospedar

Los soportes de informacin que son dispositivos de almacenamiento de datos.

El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de comunicaciones.
Las personas que
anteriormente citados.

explotan

operan

todos

los

elementos

Anlisis de Riesgo de la Seguridad de la Informacin

VALORACIN
La valoracin puede ser cuantitativa (con una cantidad numrica) o
cualitativa (en alguna escala de niveles). Los criterios ms importantes a
respetar son:
Homogeneidad:
Es importante poder comparar valores aunque sean de diferentes dimensiones
a fin de poder combinar valores propios y valores acumulados, as como poder
determinar si es ms grave el dao en una dimensin o en otra.
Relatividad:
Es importante poder relativizar el valor de un activo en comparacin con otros activos.
Se ha elegido una escala detallada de tres valores:
Importancia del Activo
Valor

Criterio

Alto

De gran importancia a la organizacin

Medio

De importancia a la organizacin

Bajo

De menor importancia a la organizacin

Paso 2: Amen azas

El siguiente paso consiste en determinar las amenazas que pueden afectar
a cada activo. Las amenazas son cosas que ocurren. Y, de todo lo que
puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un
dao.
Tipos de amenaz as a determinar:
[N] Desastres naturales
Sucesos que pueden ocurrir sin intervencin de los seres humanos como
causa directa o indirecta.
[I] De origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad
humana de tipo industrial.
Estas amenazas pueden darse de forma accidental o deliberada.

Anlisis de Riesgo de la Seguridad de la Informacin

[A] Ataques intencionados
Fallos deliberados causados por las personas.
La numeracin no es consecutiva para coordinarla con los errores no
intencionados, muchas veces de naturaleza similar a los ataques deliberados,
difiriendo nicamente en el propsito del sujeto.
Para cada amenaza se presenta un cuadro como el siguiente:
[cdigo] Ttulo descriptivo de la amenaza
Tipos de activos:

Dimensiones:

Que se pueden ver afectados por este 1. De seguridad que se

pueden
ver afectadas
por
este
tipo
tipo de amenazas
deamenaza, ordenadas de ms
a menos relevante.
Descripcin:
Complementaria o ms detallada de la amenaza: lo que le puede ocurrir a
activos del tipo indicado con las consecuencias indicadas.

Valoracin de l as amenazas.
Cuando un activo es vctima de una amenaza, no se ve afectado en
todas sus dimensiones, ni en la misma cuanta. Una vez determinado que
una amenaza puede perjudicar a un activo, hay que estimar cun vulnerable es
el activo, en dos sentidos:
Degradacin: cun perjudicado resultara el activo
Frecuencia: cada cunto se materializa la amenaza
La degradacin mide el dao causado por un incidente en el supuesto
de que ocurriera.
Dao causado por la amenaza
Valor

Criterio

Alto

Dao grave

Medio

Dao importante

Bajo

Dao menor

Anlisis de Riesgo de la Seguridad de la Informacin

La frecuencia pone en perspectiva aquella degradacin, pues una amenaza
puede ser de terribles consecuencias pero de muy improbable materializacin;
mientras que otra amenaza puede ser de muy bajas consecuencias, pero tan
frecuente como para acabar acumulando un dao considerable.
Frecuencia con que sucede la amenaza.
Valor

Criterio

Alto

Bastante Frecuente

Medio

Frecuente

Bajo

Poco Frecuente

Paso 3: Determinacin del impacto

Se denomina impacto a la medida del dao sobre el activo derivado
de la materializacin de una amenaza. Conociendo el valor de los
activos (en varias dimensiones) y la degradacin que causan las amenazas,
es directo derivar el impacto que estas tendran sobre el sistema.
Clasificacin del Impacto
Valor

Criterio

Alto

Alto impacto

Medio

Impacto moderado

Bajo

Bajo impacto

Se puede calcular el impacto en base a tablas sencillas de doble entrada:

DEGRADACION

IMPACTO

VALOR

Anlisis de Riesgo de la Seguridad de la Informacin

Aquellos activos que reciban una calificacin de impacto alto (A) deberan
ser objeto de atencin inmediata.
Paso 4: Determinacin del riesgo
Se denomina riesgo a la medida del dao probable sobre un sistema.
Conociendo el impacto de las amenazas sobre los activos, es directo
derivar el riesgo sin ms que tener en cuenta la frecuencia de ocurrencia.
El riesgo crece con el impacto y con la frecuencia.
Clasificacin del Riesgo
Valor

Criterio

Alto

Alto riesgo

Medio

Riesgo moderado

Bajo

Bajo riesgo

Pudiendo combinarse impacto y frecuencia en una tabla para calcular el riesgo:

FRECUENCIA
RIESGO

IMPACTO

Aquellos activos que reciban una calificacin de riesgo alto (A) deberan ser
objeto de atencin inmediata. Los que reciban una calificacin de riesgo alto,
deberan ser objeto de planificacin inmediata de salvaguardas.

Anlisis de Riesgo de la Seguridad de la Informacin

Identificacin de Activos.
Tablas de inventario de a ctivos
Departamento: Mercadeo
No

Descripcin

Computadora
s
Dell,

Impresora
Canon,

Finalidad
Control
precios,

Categora
de HW,
SI

SW,

Criticidad
Alto

Promociones,
publicidad
Publicaciones e

HW

medio

Categora

Criticidad

impresiones

para todo el
departamento

Departamento: Ventas
No

Descripcin

Computadora
s
Dell

1
1

Computadora
Dell
Impresora
Panasonic,
para
todo el

departamento
Scanner para
todo el
departamento

Finalidad

Control de Ventas, HW,

SI
clientes,
proveedores,

SW,

Alto

HW, SW,
SI
ventas,
HW

Alto

cotizaciones
Para las cajeras
Reportes
precios

medio

e
impresiones
varias
Captura de datos,
informes de ventas
y
cotizaciones

HW

bajo

Anlisis de Riesgo de la Seguridad de la Informacin

Departamento: Contabilidad
No

Descripcin

Finalidad

Categora

Computadora
s

Finanzas

HW, SW, SI

Dell,
Impresora HP

Impresiones
varias del

departamen
to
Scanner para Reportes
y
cotizaciones,
todo el
de acuerdo
departamento
al
Fax y
Fotocopiadora
(multifuncin),
Panasonic

departamen
Para
transacciones
y
datos
informes

Criticidad
Alto

HW

medio

HW

bajo

HW

medio

generales de la
Departamento: Recursos Humanos.
No

Descripcin

Computadora
s

Dell.
Impresora
Panasonic,
para
todo el
departamento

Finalidad

Categora

Informacin de los HW,

SI
empleados
Impresiones varias
del
departamento

HW

SW,

Criticidad
Alto

medio

Anlisis de Riesgo de la Seguridad de la Informacin

Departamento: Gerencia General
No

Descripcin

Computadoras

Finalidad
Uso del Gerente

Categora
HW, SW, SI

Criticidad
Alto

Dell.
1

Impresora HP.

1
1

HW

medio

Scanner

Uso
Exclusivo
del
Gerente
Uso del Gerente

HW

bajo

Modem

(Conexin a Internet)

HW

medio

HW

medio

speedtoucher

pertenece al proveedor

Fax y

Uso del Gerente

Fotocopiadora

Anlisis de Riesgo de la Seguridad de la Informacin

Identificacin de Amenazas
Tablas de amenazas y vulnerabilidades
Desastres Naturales [Des N]
[DesN.1] Fuego
Tipos de activos:

Dimensiones:

[HW] Equipos Informticos (hardware) [Dis] Disponibilidad

[SI] Soportes de Informacin
[EAUX] Equipamiento Auxiliar
Descripcin
Incendios: Existe el riesgo de que un corto circuito provoque un incendio y
el fuego dae el
equipo de la empresa.

Vulnerabilidades detectadas relacionadas a esta amenaza:

No existen sensores de humo o alarma contra incendios
No existen suficientes extintores de incendios, o no estn distribuidos
en los sitios claves de manejo de informacin.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios crticos de
manejo de informacin.
Hay paredes de concreto pero tambin hay paredes de material
inflamables tales como madera o plywood.

[DesN.2] Daos por agua

Tipos de activos:

Dimensiones:

[HW] Equipos Informticos (hardware)

[Dis] Disponibilidad

[SI] Soportes de Informacin

Descripcin:
Inundaciones: Posibilidad de que el agua dae por completo los recursos del
sistema.

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:
Existe la posibilidad de que haya filtracin de agua en la poca de
invierno en los lugares donde se encuentra equipo informtico.
Amenazas de or igen industrial [Indus.]
[Indus.1] Corte del Suministro Elctrico
Tipos de activos:

Dimensiones:

[HW] Equipos Informticos

(hardware)

[Dis] Disponibilidad

[SI] Soportes de Informacin

[EAUX] Equipamiento Auxiliar
Descripcin:
El que haya un corte permanente o corto de energa elctrica.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No cuentan aun con una planta elctrica para este tipo de
emergencias. No todos los equipos informticos son alimentados
mediante UPS.
Cortes de energa prolongados (ms de veinte minutos) requerirn
que los equipos de misin crtica de la institucin sean
apagados. No existir disponibilidad de los servicios de
informacin en la institucin durante el lapso que dure el corte de
energa.
Los sistemas elctricos podran ser susceptibles a cortos
circuitos que podran provocar la interrupcin del suministro total o
parcial.
El corte de energa podra dejar sin trabajar al personal de la empresa.
[Indus.2] Condiciones Inadecuadas de Temperatura
Tipos de activos:

Dimensiones:

[HW] Equipos Informticos (hardware)

[Dis] Disponibilidad

[SI] Soportes de Informacin

[EAUX] Equipamiento Auxiliar
Descripcin: Deficiencias en la climatizacin de los locales, excediendo los
mrgenes de trabajo de los equipos: excesivo calor.

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe un mecanismo de aire acondicionado para toda la empresa.
Presentan un ambiente en la mayora de departamentos con
calor, excediendo la temperatura de las maquinas.

[Indus.3] Degradacin de los soportes de almacenamiento de

la informacin
Tipos de activos:
Dimensiones:
[SI] Soportes de Informacin

[Dis] Disponibilidad

Descripcin:
Como consecuencia del paso del tiempo
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay una ubicacin adecuada para almacenar y resguardar
soportes de informacin (medios magnticos, medios pticos,
documentos en papel) Los backups se hacen en medios pticos
(DVDs y CDs)
Documentos en papel no se convierten a otro medio (no se
digitalizan). Estos documentos son susceptibles a los daos que
pueda sufrir el papel como consecuencia de un proceso de
archivado inadecuado o daos provocados por el paso del tiempo.
Amenazas a Causa de Ataques Intencionados [A_Int.]
[A_Int.1] Manipulacin de la Configuracin
Tipos de activos:

Dimensiones:

[D] Datos / informacin

1. [I] Integridad

[SW] Aplicaciones (software)

2. [C] Confidencialidad

[HW] Equipos informticos (hardware)

3. [A_S] Autenticidad del servicio

4. [A_D] Autenticidad de los datos
7. [D] Disponibilidad

Descripcin: Prcticamente todos los activos dependen de su configuracin

y sta de la diligencia del administrador: privilegios de acceso, flujos de
actividades, registro de actividad, encaminamiento, etc.

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe un sistema para deteccin de intrusos dentro de la
red de informacin.
No mantienen un sistema de monitoreo constante en el cual
detecten notificaciones automticas a quienes administran la red.
Nunca han implementado un nivel de polticas de seguridad como el
uso de contraseas, y el cambio constante de estas.
No mantienen un sistema de Active Directory u otros servicios.

[A_Int.2] Suplantacin de la Identidad del Usuario

Tipos de activos:

Dimensiones:

[SW] Aplicaciones (software)

1. [C] Confidencialidad
2. [A_S] Autenticidad del servicio
3. [A_D] Autenticidad de los datos
4. [I] Integridad

Descripcin:
Cuando un atacante consigue hacerse pasar por un usuario autorizado,
disfruta de los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas
ajenas a la Organizacin o por personal contratado temporalmente.

Vulnerabilidades detectadas relacionadas a esta amenaza:

No hay restricciones sobre la cantidad de sesiones que un usuario
puede iniciar.
Tampoco existen restricciones sobre las estaciones de trabajo
sobre las cuales los usuarios pueden iniciar sesin, aun a pesar
de que de manera fsica, cada usuario tiene asignado un puesto de
trabajo y una estacin de trabajo.
No se han implementado a nivel de las polticas de seguridad el
uso de contraseas fuertes y el cambio obligatorio de estas en forma
peridica.

Anlisis de Riesgo de la Seguridad de la Informacin

No existe dentro de la administracin de usuarios, directivas o
polticas que deshabilite a los usuarios que por diversas razones
se ausenten de sus puestos de trabajo en periodos temporales
relativamente largos, como por ejemplo cuando algn usuario est
de vacaciones.
El proceso para dar de alta y de baja a los usuarios, cuando entran a
formar parte de la organizacin o cuando dejan de trabajar en la
misma, no es automtico. Hasta que se reciben las notificaciones
de recursos humanos, el administrador del dominio tomas las
acciones correspondientes para actualizar el directorio, lo cual
podra generar ciertos espacios de riesgo sobre uso inautorizado
de los recursos de informacin.

[A_Int.3] Abuso de Privilegios de Acceso

Tipos de activos:

Dimensiones:

[SW] Aplicaciones (software)

1. [C] Confidencialidad

[HW] Equipos Informticos (hardware)

2. [I] Integridad

Descripcin:
Cada usuario disfruta de un nivel de privilegios para un determinado
propsito; cuando un usuario abusa de su nivel de privilegios para realizar
tareas que no son de su competencia, hay problemas.

Vulnerabilidades detectadas relacionadas a esta amenaza:

No existen procedimientos de revisin peridica de los derechos y
permisos efectivos de los usuarios, para comprobar si debido a
un cambio de configuracin, o a una accin errnea o indebida se
le han concedido a un usuario o grupo de usuarios ms
derechos y permisos de los que le corresponden.
No existen sistemas de monitorizacin en lnea que detecten y
generen
alarmas
y
notificaciones
automticas
a
los
administradores de red si se ejecutan cambios o alteraciones en la
configuracin que pudieran afectar el funcionamiento normal de los
sistemas.
No existen mecanismos de control que detecten y prevengan
posibles abusos de privilegios en las aplicaciones.

Anlisis de Riesgo de la Seguridad de la Informacin

[A_Int.4] Uso no Previsto

Tipos de activos:

Dimensiones:

[SW] Aplicaciones (software)

[Dis] Disponibilidad

[HW] Equipos Informticos

(hardware)
[SI] Soportes de Informacin
Descripcin:
Utilizacin de los recursos del sistema para fines no previstos,
tpicamente de inters personal: juegos, consultas personales en
Internet, bases de datos personales, programas personales,
almacenamiento de datos personales, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No
existen
herramientas
de
control
de
contenido
o
monitorizacin de trfico para el uso de Internet u otros servicios de
la infraestructura de red y los sistemas de informacin.
Tampoco
se
implementan
inventarios
automatizados
de
software y hardware para comprobar que no se hayan
instalado componentes adicionales y no autorizados a los equipos
de los usuarios.

[A_Int.5] Difusin de software daino

Tipos de activos:

Dimensiones:

[SW] Aplicaciones (software)

1. [Dis] Disponibilidad
2. [I] Integridad
3. [C] Confidencialidad
4. [A_S] Autenticidad del Servicio
5. [A_D] Autenticidad de los Datos

Descripcin:
Propagacin intencionada de virus, espas (spyware), gusanos, troyanos,
bombas lgicas, etc.

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:
Los equipos de computo tienen un software de antivirus en el cual
esta actualizado y bajo licencia.
No existen controles de las conexiones a red dentro de la empresa.
Por medio de que no tienen control en la red se conectan
equipos personales en los cuales se puede infectar de virus
peligrosos la red.
No mantienen un control para el uso de memorias USB, discos
duros externos, etc.

[A_Int.6] Destruccin de la informacin

Tipos de activos:

Dimensiones:

[D] Datos / Informacin

[Dis] Disponibilidad

Descripcin:
Eliminacin intencional de informacin, con nimo de obtener un beneficio o
causar un perjuicio.

Vulnerabilidades detectadas relacionadas a esta amenaza:

Hacen frecuentemente la realizacin de backup por medio de DVDs
y CDs de los datos.
No se cuenta con un cuidado exclusivo del almacenamiento de
datos por medio pticos.
No se cuenta con una oficina, en la cual se pueda guardar la
informacin de los backups y las aplicaciones fundamentales de la
empresa.

[A_Int.7] Denegacin de Servicio

Tipos de activos:

Dimensiones:

[HW] Equipos Informticos (hardware)

[Dis] Disponibilidad

Descripcin:
La carencia de recursos suficientes provoca la cada del sistema cuando la
carga de trabajo es desmesurada.

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sistemas de deteccin y prevencin de intrusos en la
institucin (IPS / IDS) que pudiera detectar movimientos o
patrones de conducta anormales en el entorno de la red,
orientados a alterar el funcionamiento normal de los servicios de
informacin.

[A_Int.8] Robo
Tipos de activos:

Dimensiones:

[HW] Equipos Informticos (hardware)

1. [Dis] Disponibilidad

[SI] Soportes de Informacin

2. [C] Confidencialidad

[EAUX] Equipamiento Auxiliar

Descripcin:
La sustraccin de informacin empresarial se puede dar mediante el robo que
pueda hacer personal interno no personal ajeno a la compaa.

Vulnerabilidades detectadas relacionadas a esta amenaza:

Los controles y mecanismos de seguridad fsica orientados a
prevenir el robo de activos de informacin en la institucin son
mnimos.
No se cuentan con sistemas de alarmas contra robo o intrusos para
horas nocturnas, ni siquiera en la locacin de la divisin de
informtica que es donde se encuentran los equipos de misin
critica para las operaciones de la empresa.
Los documentos de identificacin de los empleados no llevan
fotografa que facilite la comprobacin de la identidad de alguien en
forma inmediata, ni la autenticidad de dicha identificacin.
En el caso de los visitantes, las tarjetas de visitantes no son de
un color diferente a las identificaciones de los empleados, y no
difieren en mucho de estas, salvo por el hecho que llevan el texto
que dice visitante, pero pueden fcilmente ser confundidas.

Anlisis de Riesgo de la Seguridad de la Informacin

ANLISI S DE RI ESGO S E I MPACTOS
Catalogo Completo de Amenazas Analizadas
Cdigo

Descripcin

[DesN.1] Fuego
[DesN.2] Daos por Agua
[Indus.1] Corte del Suministro Elctrico
[Indus.2] Condiciones Inadecuadas de temperatura
[Indus.3] Degradacin de los Soportes de Almacenamiento de la
Informacin
[A_Int.1] Manipulacin de la Configuracin
[A_Int.2] Suplantacin de la Identidad del Usuario
[A_Int.3] Abuso de Privilegios de Acceso
[A_Int.4] Uso no Previsto
[A_Int.5] Difusin de Software Daino
[A_Int.6] Destruccin la Informacin
[A_Int.7] Denegacin de Servicio
[A_Int.8] Robo