UNIVERSIDAD TCNICA DE MACHALA

UNIDAD ACADMICA DE INGENIERA CIVIL

CARRERA DE INGENIERA DE SISTEMAS

DISEO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLGCOS

UTILIZANDO LA METODOLOGA NIST SP 800-30

TRABAJO PROBATORIO DEL COMPONENTE PRCTICO DEL EXMEN DE

GRADO DE CARCTER COMPLEXIVO PARA OPTAR POR EL TTULO DE
INGENIERA DE SISTEMAS

AUTORA
IRMA YESABETH CUEVA BELTRN
070490336-8

MACHALA, OCTUBRE DE 2015

CARATULA

DISEO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLGCOS

UTILIZANDO LA METODOLOGA NIST SP 800-30

AUTORA:

Yo, Cueva Beltrn Irma Yesabeth, como autora del presente trabajo probatorio del
componente prctico del Examen de Grado de Carcter Complexivo, soy responsable
de las ideas, conceptos, procedimientos y resultados vertidos en el mismo.

f.
Cueva Beltrn Irma Yesabeth
C.I.: 070490336-8
Correo electrnico: yesabeth_cueva@hotmail.com

FRONTISPICIO

MACHALA, OCTUBRE DE 2015

II

DISEO DE UN PLAN PARA EL TRATAMIENTO DE RIESGOS TECNOLGCOS

UTILIZANDO LA METODOLOGA NIST SP 800-30

Autora: Cueva Beltrn Irma Yesabeth

RESUMEN
La importancia de una buena gestin de Tecnologas de la Informacion es relevante en
actualidad ms aun en las instituciones educativas, el presente informe permite realizar
un anlisis de los riesgos tecnolgicos a los que estaran expuestos el departamento
de sistemas del Colegio e Instituto Tecnolgico Superior Jos Miguel Capelo y la
institucin en general, a travs de la elaboracin del plan de riesgos se lograr
cuantificar y comparar los requerimientos de seguridad de la informacion y en base a
las diferencias encontradas definir los controles y adiciones necesarios para cumplir
estos requerimientos, para el desarrollado de este proyecto se ha definido una
metodologa que guiar y alinear la caracterizacin, identificacin y anlisis de los
riesgos; la metodologa definida es la NIST SP 800-30, desarrollada por el National
Institute of Standards and Technology, misma que tiene entre sus principales objetivos
el aseguramiento de los sistemas de informacin que almacenan, procesan y trasmiten
informacin. La gestin de riesgos es considerada como un proceso el cual incluye el
anlisis y la priorizacin de riesgos, con el objetivo de tener una visin de todos los
riesgos y amenazas a los que estara expuesto el departamento de sistemas de la
institucin, adems se determinara que riesgos pueden ser o no gestionados. El
propsito de este anlisis es determinar si existe un entorno que brinde seguridad y
confiabilidad para los equipos de la institucin, as como tambin proyectar planes de
mitigacin de riesgos con el cual se podr transformar entornos informticos que no
son seguros en protegidos. Se deber analizar exhaustivamente cada una las
situaciones en donde podran ocurrir estos eventos para as lograr desarrollar un buen
plan del tratamiento de los riesgos el cual pueda alcanzar a controlar y porque no evitar
que se susciten hechos que afecten a la institucin.
Palabras Claves: Riesgo, Metodologas de Anlisis de Riesgos, NIST SP 800-30,
Vulnerabilidades, Seguridad.

III

DESIGN OF A PLAN FOR THE TREATMENT OF RISKS TECHNOLOGY USING THE

METHODOLOGY NIST SP 800-30

Author: Cueva Beltrn Irma Yesabeth

ABSTRACT
The importance of good management of information technology is even more relevant
today in educational institutions, this report allows an analysis of the technological risks
to be exposed to the IT department of the College and Institute Technological Superior
"Jose Miguel Capelo "and the institution in general, through the development of the risk
plan will be achieved quantify and compare the security requirements of information and
based on the differences and additions define the controls needed to meet these
requirements for the developed this project has defined a methodology to guide and
align the characterization, identification and analysis of risks; the methodology defined
is the NIST SP 800-30, developed by the National Institute of Standards and
Technology, it has among its main objectives the securing of information systems that
store, process and transmit information. Risk management is considered as a process
which includes the analysis and prioritization of risks, in order to have a vision of all
risks and threats that they would be exposed systems department of the institution, and
it is determined that Risks can be managed or not. The purpose of this analysis is to
determine if there is an environment that provides safety and reliability for the
equipment of the institution as well as to project risk mitigation plans with which you can
transform computing environments that are unsafe in protected. It should thoroughly
analyze each situation in which these events could occur in order to achieve a good
plan to develop risk treatment which can achieve control and why not prevent events
affecting the institution may arise.

Keywords:Risk, Risk Analysis Methodologies, NIST SP 800-30, Vulnerabilities,

Security.

IV

NDICE DE CONTENIDOS

CARTULA ..................................................................................................................... I
FRONTISPICIO .............................................................................................................. II
RESUMEN .................................................................................................................... III
ABSTRACT .................................................................................................................. IV
1.

2.

INTRODUCCIN ..................................................................................................... 1
1.1.

Marco Contextual .............................................................................................. 2

1.2.

Problema ........................................................................................................... 2

1.3.

Objetivo General ............................................................................................... 3

DESARROLLO ........................................................................................................ 3
2.1.

Marco Terico ................................................................................................... 3

2.1.1. Riesgo ........................................................................................................... 3

2.1.2. Gestin de Riesgo ......................................................................................... 3
2.1.3. Metodologa de Gestin de Riesgo ................................................................ 3
2.1.4. Metodologa NIST SP 800-30 ........................................................................ 4
2.2.

Marco Metodolgico .......................................................................................... 4

2.3.

Resultados ........................................................................................................ 8

3.

CONCLUSIONES .................................................................................................. 10

4.

REFERENCIAS BIBLIOGRFICAS ....................................................................... 11

5.

ANEXOS................................................................................................................ 12

NDICE DE TABLAS

Tabla 1. Fases de las metodologas para el anlisis de riesgos ..................................... 3

Tabla 2. Documentos solicitados para revisin .............................................................. 5
Tabla 3. Resumen de infraestructura ............................................................................. 5
Tabla 4. Identificacin de amenazas humanas ............................................................... 5
Tabla 5. Identificacin de amenazas tcnicas ................................................................ 6
Tabla 6. Identificacin de vulnerabilidades ..................................................................... 6
Tabla 7. Identificacin y verificacin de controles existentes. ......................................... 7
Tabla 8. Determinacin de Probabilidades ..................................................................... 7
Tabla 9. Controles recomendados, con relacin al anlisis de riesgos. .......................... 8

VI

NDICE DE FIGURAS

Figura 1. reas del departamento de sistemas ............................................................ 12

Figura 2. Diseo lgico de la red .................................................................................. 13
Figura 3. Aspectos a considerar para el tratamiento de los riesgos .............................. 14
Figura 4. Aspectos a considerar para el tratamiento de los riesgos. ............................. 15
Figura 5. Solucin de control sugerido sobre la autentificacin de usuarios. ................ 16
Figura 6. Solucin de control sugerido sobre uso de red. ............................................. 17
Figura 7. Solucin de control sugerido sobre respaldos de informacin. ...................... 18

VII

1. INTRODUCCIN

En la actualidad las tecnologas de la informacin y comunicacin mejor denominadas

como TICs ocupan un gran espacio en todos los aspectos sociales y mayor an en los
niveles del mundo educativo, en donde han producido fuertes impactos, es necesario
destacar que la mayora de actividades que son ejecutadas por el ser humano son
asistidas por computadoras o en algunos de los casos reemplazados por ellas debido a
este motivo hacen apreciar su innegable influencia en nuestro medio. El concepto de
TIC tiene sus orgenes en las llamadas Tecnologas de la Informacin, mismo que
surge como convergencia tecnolgica de la electrnica, el software y las
infraestructuras de telecomunicaciones, este concepto apareci en los aos 70 el cual
se refera a las tecnologas para el procesamiento de la informacion; dicho proceso se
realizaba solo en entornos locales por lo que la comunicacin era una funcin poco
valorada(1), ya en la actualidad las TICs han proporcionado grandes cambios que se
convierten en nuevas formas de impartir conocimientos.
Las TICs establecen que el proceso de enseanza-aprendizaje se obtiene por una
parte, de la interaccin del estudiante y el profesor, la libertad en la gestin del tiempo
de aprendizaje, el uso del computador de manera individual o grupal, la economa en
todos los casos (geografa, dinero y tiempo); y por otra de los recientes lineamientos y
reglamentaciones para la introduccin de Internet en la educacin (2) es necesario
citar que El acceso a los datos a travs de redes informticas ha transfigurado nuestra
experiencia del mundo y el valor del conocimiento personal de cada individuo. Saber
empieza a tener menos relevancia que ser capaz de descubrir, investigar y analizar (3)
Con la prominente evolucin de las tecnologas de informacin tambin aumenta los
casos de incidentes relacionados con la seguridad de los sistemas de la informacin
que comprometen los equipos de cmputo de una organizacin o institucin, las
amenazas informticas siempre han existido, la diferencia es que ahora son ms
rpidas y ms difciles de detectar, es por ello que en toda institucin deben estar alerta
y saber implementar sistemas de seguridad mismo que se basan en el anlisis de
riesgos para evitar o minimizar las consecuencias no deseadas en la institucin.
Es importante enfatizar que antes que se implemente cualquier sistema de seguridad,
debemos hacer anlisis exhaustivo del entorno, detallando as el software, hardware
que posee la institucin, inclusive el personal responsable de cada uno de los equipos
con el fin de garantizar la elaboracin de un buen plan para el tratamiento de riesgos
tecnolgicos.
Actualmente solo los proyectos que manejan una duracin temporal de un ao mximo
pueden suponerse que el entorno tecnolgico donde se desarrollan es estable y
conocido, de lo contrario es necesario destacar que la tecnologa siempre va a variar
sustancialmente durante el desarrollo de un proyecto. Todas estas acciones que son
relacionadas con la tecnologa de una organizacin debern planificarse a lo largo del
tiempo, tomando as la forma de un plan de riesgos tecnolgicos, este implicar la
identificacin y seguimiento de las actividades de la institucin educativa as tambin
como el seguimiento del recurso humano y material, esta planificacin siempre se
realizar haciendo supuestos de las actividades que podran suscitarse en casos en
donde no existen ciertas reglas o controles para estas situaciones inesperadas.

Estas situaciones que se suscitan de manera inadvertida son conocidas como riesgos,
este se constituye como una falta de conocimiento sobre futuros acontecimientos y se
pueden definir como Posibilidad de que existan consecuencias indeseables o
inconvenientes de un acontecimiento relacionado con el acceso o uso de la tecnologa
y cuya aparicin no se puede determinar a priori. (4).
Es trascendental indicar que no todos los riesgos tienen la misma importancia, por ello
existe la caracterizacin del mismo, en donde se evaluar el impacto y la mayor
ocurrencia en los que se puedan suscitar. Este proceso se lo puede llevar a cabo
utilizando mapas bidimensionales de impactos y probabilidades, estos permiten la toma
de decisiones en relacin a los riesgos en los que se debe tomar mayor precaucin.
Para el diseo de un plan para el tratamiento de riesgos de tecnologas de informacin
es indispensable trabajar con una metodologa la cual presentar sus lineamientos en
donde enfrascaremos nuestra planificacin. Entre las metodologas ms idneas para
el desarrollo de estas planificaciones se encuentran: CMMI, SPICE, PMBOK, COBIT y
la NIST SP 800-30, la cul es considerada entre una de las mejores debido a respuesta
inmediata a los impactos sobre los objetivos del proyecto, fue desarrollada por el NIST,
y debemos destacar que esta compuesta de 9 pasos bsicos para el anlisis de riesgos
entre los que tenemos: caracterizacin, del sistema, identificacin de amenaza,
identificacin de vulnerabilidades, control de anlisis, determinacin de la probabilidad,
anlisis de impacto, determinacin del riesgo, recomendaciones de control y resultado
de la implementacin o documentacin(4)
1.1. Marco Contextual
El desarrollo del plan para el tratamiento de riesgos de tecnologas de informacin ser
orientado al departamento de sistemas del Colegio e Instituto Tecnolgico Superior
Jos Miguel Capelo ubicado en el cantn Machala, provincia de El Oro, actualmente
el Departamento de Sistemas cuenta con cuatro reas que son: Gestin de
Tecnologas de Informacin, Soporte a usuarios, Administracin de red y
Mantenimiento de hardware y software, entre las principales razones que se tomaron
en cuenta para elaborar un plan para el tratamiento de riesgos de tecnologas es
debido a sus antecedentes de los cuales se puede destacar que principalmente no
existen inventarios de hardware y software, existen falencias con el acceso al servicio
de internet debido a su lentitud, teniendo inconvenientes de internet en donde se tienen
interrupciones de hasta 3 horas por da, adems la nica poltica de seguridad de la
informacin que poseen es copia de una poltica de seguridad de otra institucin
educativa, y este proceso fue realizado solo con el fin de cumplir con un requisito del
Ministerio de Educacin ya que se les solicitaba para habilitarles el acceso a la
aplicacin de gestin acadmica, adems esta poltica solo incluye aspectos generales
de seguridad para uso de software, resultado de ello no poseen polticas internas que
permitan manejar, controlar o disminuir el impacto de eventos que lleguen a suscitarse
y afectar los equipos de hardware del departamento de sistema y la institucin en
general.
1.2. Problema
El tratamiento de riesgos tecnolgicos mediante la implementacin de la metodologa
NIST SP 800-30, garantizar la seguridad de la informacin en el Colegio e Instituto
Tecnolgico Superior Jos Miguel Capelo?
2

1.3. Objetivo General

Disear un plan para el tratamiento de riesgos tecnolgicos para el departamento
de sistemas del Colegio e Instituto Tecnolgico Superior Jos Miguel Capelo
ubicado en la ciudad de Machala utilizando la metodologa NIST SP 800-30, para
poder garantizar la seguridad de la informacin.
2. DESARROLLO
2.1.

Marco Terico

2.1.1. Riesgo
Es la probabilidad de que una amenaza se convierta en un desastre. Las
vulnerabilidades o las amenazas por separado no representan factores de peligro,
pero si estas se acopian se convierten en un riesgo. (5)
2.1.2. Gestin de Riesgo
La Gestin de Riesgos consiste en un proceso cclico que se inicia a partir de un
conjunto de informacin recogida de diversas fuentes (requisitos, personas,
procesos de desarrollo, presupuestos, expectativas). Toda esta informacin
proporciona una lista de riesgos a tener en cuenta. El proceso de Gestin de
Riesgos los analiza, prioriza y plantea planes de respuesta, dando como resultado
el conjunto de riesgos priorizados, los planes de respuesta a dichos riesgos y un
conjunto de indicadores que se utilizarn para medir el xito del proceso, y en su
caso, mejorarlo (6)
Por su parte el autor Galaway (2004) define la Gestin de riesgos de un proyecto
como el arte y la ciencia de identificar, analizar, y responder a los riesgos a lo largo
de la vida de un proyecto, con el propsito de lograr los objetivos del proyecto.
2.1.3. Metodologas de gestin de riesgos
Existen metodologas que permiten hacer un uso adecuado del anlisis de riesgos y
as asegurar los sistemas de informacin de las organizaciones. Entre las
principales tenemos: OCTAVE, MEHARI, MAGERIT,CRAMM, EBIOS, NIST SP
800-30. En la tabla 1 se hace referencia a las fases que componen cada una de las
metodologas mencionadas anteriormente.
Tabla 1. Fases de las metodologas para el anlisis de riesgos
METODOLOGAS
FASES
Caracterizacin del sistema
Identificacin de amenazas
Identificacin de vulnerabilidades
Anlisis de controles
Determinacin de la probabilidad
3

1A

1B

X
X
X
X

X
X

X
X
X
X

X
X

X
X
X

X
X

X
X
X
X
X

Tabla 1. Continua
Anlisis de impacto
Determinacin del riesgo
Recomendaciones de control
Documentacin de resultados
Establecimiento de parmetros
Necesidades de Seguridad

X
X
X

X
X

X
X
X

X
X
X

X
X

X
X
X
X

Fuente:Ana Abril, 2013 (7)

(1) OCTAVE, (1A) OCTAVE 1, (1B) OCTAVE ALLEGRO, (2) MEHARI, (3)
MAGERIT, (4) CRAMM, (5) EBIOS, (6) NIST SP 800 30.
2.1.4. Metodologa NIST SP 800-30
Es un estndar desarrollado por el Instituto Nacional de Estndares y Tecnologa
(NIST), fue formulado para la evaluacin de riesgos de seguridad de la informacin
especialmente a los sistemas de TI (Tecnologa de la Informacin), proporciona un
gua para la seguridad de las infraestructuras de la misma desde una perspectiva
tcnica. Por otro lado, esta gua provee fundamentos para la administracin de
riesgos as como la evaluacin y mitigacin de los riesgos identificados dentro del
sistema de TI con el objetivo de apoyar a las organizaciones con todo lo relacionado
a Tecnologa (8). La metodologa NIST SP 800-30 est compuesta por nueve fases:
1. Caracterizacin del sistema: La cual permite establecer el alcance y los lmites
operacionales de la evaluacin de riesgos en la empresa.
2. Identificacin de amenazas: Es donde se definen las fuentes de motivacin de
las mismas.
3. Identificacin de vulnerabilidades: En esta fase desarrolla una lista de defectos o
debilidades del sistema que podran ser explotadas por una amenaza.
4. Anlisis de controles: Lista de controles actuales.
5. Determinacin de probabilidades: Ayuda a evaluar el rango de probabilidad de
que una vulnerabilidad se convierta en amenaza.
6. Anlisis del impacto: Analizarn el impacto que pueden repercutir los riesgos.
7. Determinacin del riesgo: Ayuda a evaluar el riesgo en el sistema de
informacin.
8. Recomendaciones de control: En donde se proporcionan los controles que
podran mitigar el riesgo identificado disminuyndolo hasta un nivel aceptable.
9. Finalmente est la documentacin de resultados la cual genera un informe con
la descripcin de amenazas y vulnerabilidades, midiendo el riesgo y generando
recomendaciones para la implementacin de controles.
2.2.

Marco Metodolgico

El anlisis de riesgo se centra en los equipos de cmputo que se encuentran en el

departamento de sistemas de la Institucin Educativa, ya que los controles que se
implementarn para la gestin de los riesgos tecnolgicos sern administrados por el
responsable encargado del rea de Gestin de Tecnologas de Informacin, segn la
metodologa NIST SP 800-30 la primera etapa que deber abarcar el plan de riesgos
es la caracterizacin del sistema, para ello se ha solicitado la siguiente lista de
documentos, polticas y guas de configuracin, lo cual corresponde a la
documentacin tcnica de la institucin educativa.
4

Tabla 2. Documentos solicitados para revisin

Documento

Encontrado

Inventario de hardware, software

Diagrama de red e Inventario de
la asignacin de direcciones IP
Relacin de responsables de
activos (Hardware)
Respaldo de la configuracin de
equipos activos
Anlisis de riesgo
Polticas de instalacin para
equipos porttiles, servidores y
estaciones de trabajo
Polticas de uso de red
Poltica de respaldo
Polticas de monitoreo
Informe de seguridad de TI
Polticas de confidencialidad

Parcialmente

No
encontrado
X

X
X
X
X
X
X
X
X
X
X

Tabla 3. Resumen de infraestructura

Activos Informticos
Tipo
Equipos Windows 7
Servicio
Equipos Windows 7 Professional
Servicio
Impresoras Matriciales
Servicio
Impresoras de Inyeccin a tinta
Servicio
Router
Comunicacin
Switch
Comunicacin
Conexiones a internet
Servicio Externo
Antivirus
Servicio interno y externo

Cantidad
90
2
5
3
1
7
1
1

Continuando con la estructura de la metodologa NIST SP 800-30 identificaremos las

posibles amenazas tecnolgicas con las que se pueden enfrentar la Institucin
Educativa.

Fuente de
Amenaza
Prdida del
personal

Tabla 4. Identificacin de amenazas Humanas

Acciones de la amenaza

Hackers, cracker
Usuarios finales y
personal docente o
administrativo no
capacitado
Administracin
incorrecta del
sistema

Suspensin y desorganizacin del soporte y de las tareas

que se encuentran a su cargo.
Ingeniera social.
Accesos no autorizados al sistema.
Prdida de confidencialidad e integridad de los datos.
Negligencia en manejo de equipos, cables y datos.
Fallas del sistema.
Ataques de cdigo malicioso.
Fallas en el sistema.
Accesos no autorizados.
Deficiente confidencialidad e integridad de los datos.
5

Tabla 5. Identificacin de amenazas tcnicas

Fuente de Amenaza

Acciones de la amenaza

Falta de polticas de
seguridad

Prdida de confidencialidad de la informacin.

Prdida de integridad de la informacin.

Falta control del uso

recursos

Abuso de los recursos y/o sistemas.

Mala utilizacin de los equipos de hardware y software.

Polticas para el
sistema de red

Conexiones no autorizadas a la red.

Abuso de equipos con conectividad a la red de la institucin.

Sanciones legales por uso inadecuado del software.

Interrupcin del sistema de gestin con el que cuenta la institucin.

Ausencia de licencias
de software
Fallas del proveedor
de Internet

Se debe continuar identificando las vulnerabilidades a la que est expuesta la

institucin debido a la inexistencia del plan del tratamiento de riesgos tecnolgicos las
cuales son:
Tabla 6. Identificacin de vulnerabilidades
Amenaza

Vulnerabilidad

Uso de protocolos de comunicacin inseguros.

Inexistencia de planes de capacitacin a los responsables de
equipo.
Falta de mantenimiento en cableado elctrico.
Usuarios Internos:
Inexistencia de controles de integridad en equipos activos.
Usuarios
sin Inexistencia de polticas de uso de software.
capacitacin
Inexistencia de cultura de seguridad en usuarios finales.
Usuarios
Poca educacin sobre temas de seguridad a usuarios finales.
negligentes
Firmas antivirus deficientes.
Tiempo de vida til de los equipos.
Inexistencia de procedimientos de cambios en sistemas.
Inexistencia de polticas de confidencialidad.
Actualizaciones de antivirus.
Control de acceso a la red Inalmbrica de la institucin.
Usuarios Externos:
Hackers
Crackers
Ex
Empleados

Personal responsable ante un incidente de seguridad.

Control de asignacin de direcciones IP a los equipos de la
institucin.
Actualizacin en los sistemas operativos y aplicaciones.
Respaldos peridicos de la informacin.
Asignacin estaciones de empleados de acuerdo a sus
funciones.

Una vez que hemos analizado las amenazas humanas, tcnicas y vulnerabilidades
debemos hacer un anlisis de los controles tcnicos y no tcnicos que existen
institucin.
6

Tabla 7. Identificacin y verificacin de controles existentes.

EXISTENCIA
CONTROL
SI
NO
Polticas de autentificacin de usuarios
X
Mecanismo de encriptacin
X
Polticas para intrusin de software malicioso
X
Polticas para el sistema de red
X
Polticas de control de cambios
X
Ambiente seguro para equipos
X
Polticas para contraseas
X
Polticas de hardening en estaciones de trabajo
X
Polticas de monitoreo, implementacin de herramientas
X
de monitoreo
Polticas para responsables de equipos
X
Personal que atienda un incidente de seguridad.
X
Una vez que he analizado e identificado cada una de las posibles amenazas y
vulnerabilidades se deber determinar las probabilidades de que una vulnerabilidad
potencial se convierta en amenaza, a continuacin se detallaran las vulnerabilidades
con su respectiva probabilidad.
Tabla 8. Determinacin de Probabilidades
Vulnerabilidad
Cableado de red expuesto
Uso
de
protocolos
de
comunicacin inseguros
Inexistencia de planes de
capacitacin
Falta de mantenimiento en
cableado elctrico
Inexistencia de controles de
integridad en equipos activos
Inexistencia de polticas de uso
de software
Inexistencia de controles sobre
el uso de procesador, memoria,
disco duro y ancho de banda
Inexistencia de cultura de
seguridad en usuarios finales
Fallas por parte del proveedor
de servicios de internet
Poca educacin sobre temas
de seguridad a usuarios finales
Firmas antivirus deficientes
Tiempo de vida til de los
equipos
Inexistencia de procedimientos
de cambios en sistemas
Inexistencia de polticas de
confidencialidad

Probabilidad
de
ocurrencia
Alta

Medio

Principio de
seguridad
afectado
Disponibilidad

Nivel de
atencin
del riesgo
Medio

Media

Alto

Disponibilidad

Medio

Alta

Medio

Disponibilidad

Medio

Media

Alto

Disponibilidad

Medio

Alta

Medio

Disponibilidad

Medio

Medio

Medio

Disponibilidad

Medio

Medio

Medio

Disponibilidad

Medio

Bajo

Alta

Integridad

Bajo

Alto

Alto

Disponibilidad

Alto

Bajo

Medio

Integridad

Bajo

Media

Medio

Confidencialidad

Medio

Media

Medio

Disponibilidad

Medio

Alta

Bajo

Integridad

Bajo

Bajo

Medio

Confidencialidad

Bajo

Impacto

2.3. Resultados
Una vez que se ha analizado y evaluado, las amenazas, y el riesgos que tiene cada
vulnerabilidad, como resultado de este anlisis se ha elaborado un plan para el
tratamiento de riesgos de tecnologas de informacion para el departamento de sistemas
del Colegio e Instituto Tecnolgico Superior Jos Miguel Capelo ubicado en el cantn
Machala.
A continuacin se realizado el listado de las vulnerabilidades detectadas, en relacin al
riesgo, a las mismas que se sugiere uno o varios controles los cuales permitirn reducir
la posibilidad de ocurrencia de estos riesgos.
Tabla 9. Controles recomendados, con relacin al anlisis de riesgos.
Nivel de impacto de
Vulnerabilidad
Control sugerido
riesgo
Red inalmbrica abierta
Alto
Hotspot
Cifrado de Red
Falta de control en la Inventario de gestin de
Alto
administracin de IP
redes.
Inexistencia de polticas Preparacin de polticas de
Alto
de uso de red
uso de red.
Falta de control de los Elaborar filtro de contenidos,
datos que se descarguen
Alto
Firewall.
a travs de la red
Inexistencia de respaldo Elaborar
Alto
polticas
de
de la informacin.
respaldo.
Inexistencia de reglas de Elaborar
Alto
polticas
de
autentificacin
de
contrasea.
usuarios
Concientizacin en temas de
seguridad.
Fallas por parte del Emitir comunicados a la
Alto
proveedor de internet
secretaria
de
rectorado
acerca de los problemas de
internet suscitados.
Abuso de las conexiones Elaborar polticas de uso de
Alto
de red
red
Inexistencia de polticas Disear
Alto
polticas
de
de uso de hardware
hardware
Uso
de
contraseas Elaborar
Alto
polticas
para
dbiles
contraseas,
Capacitacin a usuarios
finales sobre temas de
seguridad.
Uso
de
contraseas Elaborar
polticas
de
repetidas en distintos
Alto
contrasea.
equipos de computo
Concientizacin en temas
de seguridad.
No existe mantenimiento Disear
plan
de
de
las
instalaciones
Alto
mantenimientos preventivos
elctricas.
para
las
estaciones
elctricas
Robo de informacin
Medio
Elaborar
polticas
de
confidencialidad
8

Tabla 9. Controles recomendados, con relacin al anlisis de riesgos. Continuacin

Inexistencia de controles
sobre la utilizacin de
memoria y disco duro.
Inventario del tiempo de
vida til que tienen los
equipos.

Utilizacin de versiones
de aplicaciones obsoletas
Personal no capacitado
en temas de seguridad
Falta de mantenimiento
preventivo en equipos de
cmputo
Cableado de red expuesto
Inexistencia de reglas
visitas de sitios web con
software malicioso
Descarga de archivos
ejecutables de sitios web
no seguros
Inexistencia de licencias
de antivirus
Daos de hardware por
alzas y bajas elctricas
Fugas
y
robo
de
informacin
Inexistencia de polticas
para
mantener
la
integridad de los equipos
Utilizacin de software sin
actualizacin

Daos en la configuracin
de los equipos por falta de
mantenimiento.
Mal manejo y uso del
hardware
Desastres
naturales
dentro de la institucin

Polticas hardening

Medio

Elaborar
planes
de
mantenimiento preventivo.
Elaborar planes de periodos
de renovacin de hardware.
Elaborar
planes
de
actualizaciones
para
aplicaciones ms utilizadas
en la institucin
Concientizar al personal de
recibir capacitacin del buen
uso y manejo de las TICs
Elaborar
planes
para
mantenimiento preventivo de
computadoras
Cableado estructura
Capacitacin
a
usuarios
finales.
Gestor de contenidos.
Capacitacin
a
usuarios
finales.
Gestor de contenidos.
Evaluacin y adquisicin de
licencias de antivirus
Implementacin de UPS

Medio

Establecer
polticas
de
confidencial
Establecer
polticas
de
integridad para los equipos.

Medio

Medio

Medio

Medio
Medio

Medio

Medio
Medio
Medio
Medio

Disear
planes
de
actualizaciones de software
para equipos de la institucin
Elaboracin de planes para
mantenimiento preventivo

Medio

Capacitacin a todo el
personal
docente,
administrativo y de servicio
de la institucin.
Elaborar
planes
de
prevencin para desastres
naturales

Bajo

Bajo

Medio

3. CONCLUSIONES
El desarrollo del plan para el tratamiento de riesgos de tecnologas de informacin
a travs de la metodologa NIST SP 800-30 presenta la oportunidad de entender
los conceptos definidos en relacin a la gestin de riesgos.
Debido a la constante evolucin de la tecnologas de informacin tambin
evolucionan nuevas amenazas que son ms difciles de detectar y contrarrestarlas,
estas amenazas pueden arremeter en contra de las organizaciones pblicas y
privadas de tal modo que afectarn las actividades diarias y causarn prdidas
considerables, mediante la gestin de los riesgos tecnolgicos podemos mitigar las
posibles amenazas a las que se encuentran expuestas ests organizaciones.
Se realiz el anlisis y la evaluacin de las vulnerabilidades y amenazas que se
suscitan en la institucin educativa.
El objetivo de disear un plan para el tratamiento de riesgos de tecnologas es
crear conciencia en el personal docente y administrativo sobre la seguridad
informtica para poder prevenir riesgos y disear estrategias con el fin de asegurar
la informacin y brindar un ambiente seguro para los equipos de hardware de la
Institucin Educativa
El diseo de este plan controlar considerablemente la ocurrencia de incidentes.
El tratamiento de riesgos tecnolgicos es un proceso continuo que se debe realizar
al menos una vez al ao.
Finalmente, es necesario enfatizar que independientemente el mbito en que se
encuentre una organizacin necesita tener una plan para el tratamiento de riesgos,
en muchas organizaciones e instituciones tomar medidas preventivas suelen pasar
por desapercibidas pero aplicar este tipo de gestiones radicar formidablemente la
disminucin de prdidas y perjuicios.

10

4. REFERENCIAS BIBLIOGRFICAS

1. Arencibia MG. Biblioteca Virtual. [Online].; 2006 [cited 2015 Octubre 12. Available
from: http://www.eumed.net/libros-gratis/2006a/mga-01/2b.htm.
2. Enrique Surez y Anna Pappagallo. Introduction of
Comunication. Revista Omnia. 2008;: p. 111-129.

the

Information

and

3. McFarlane. TIC's. [Online].; 2011 [cited 2015 Octubre 15.

4. Antonio Hidalgo Nuchera. Una introduccion a la gestion de riesgos tecnologicos.
MadridMas. 2006;: p. 25.
5. Soldano A. [Online].; 2009 [cited 2015 Octubre 09. Available
http://www.rimd.org/advf/documentos/4921a2bfbe57f2.37678682.pdf.

from:

6. Romeral LM. GESTIN DE LOS RIESGOS TECNOLGICOS. Relatec. 2008;: p. 9.

7. Ana Abril, Jarol Pulido, Jhon Bohada. Analisis de Riesgos en la Seguridad de la
Informacin. PC Magazine. 2013;: p. 15.
8. Shanthamurthy D. Search Security. [Online].; 2011 [cited 2015 10 09. Available from:
http://searchsecurity.techtarget.in/tip/NIST-SP-800-30-standard-for-technical-riskassessment-An-evaluation.

11

5. ANEXOS

Figura 1. reas del departamento de Sistemas

12

Figura 2. Diseo Lgico de la Red

13

Figura 3. Aspectos a considerar para el tratamiento de los riesgos

14

Figura 4. Aspectos a considerar para el tratamiento de los riesgos.

15

Figura 5. Solucin de control sugerido sobre la Autentificacin de usuarios.

16

Figura 6. Solucin de control sugerido sobre uso de red.

17

Figura 7. Solucin de control sugerido sobre respaldos de informacin.

18