Anlisis y evaluacin de riesgos de seguridad informtica Universidad Piloto de Colombia 1

Anlisis de Riesgos Activos Informticos

Compaa Gacela Transportes
Nelson Andrey Eslava, Edward Andres Gutierrez

Abstract This article shows the result of computer risk III. RIESGO E IMPACTO
analysis carried out on three computer assets of the Gacela
transport company, finding the probability and impact generated
in the company when any of them materialize, likewise Para el anlisis que se realizara a la compaa se establecieron
establishing the treatment given to each risk and established las siguientes escalas de probabilidad e impacto.
controls. Teniendo en cuenta la probabilidad de ocurrencia de sucesos
ms su durabilidad (persistencia)
Index Terms Risk assessment, Information Security, Risk
analysis, threat, vulnerability, assets. ESCALA DE PROBABILIDAD
VALOR NIVEL PROBABILIDAD
I. INTRODUCCIN 5 CRITICO (5) Diaria
4 GRAVE (4) Semanal
ste documento expone el anlisis de riesgos realizado a la 3 PROBABLE (3) Mensual
Ecompaa de transportes Gacela, en el cual se seleccionaron
2 LEVE (2) Semestral
tres activos informticos y se establecieron 3 riesgos por cada
uno, hallando su probabilidad de materializarse y su impacto 1 RARO (1) Anual
sobre la compaa, se estableci su forma de tratamiento y
controles para los tres riesgos ms altos.
ESCALA DE IMPACTO
El anlisis de riesgo se realiz teniendo en cuenta en un primer NIVEL DE IMPACTO
VALOR
escenario el mtodo intuitivo de anlisis de riesgos y en un IMPACTO FINANCIERO
segundo escenario la metodologa ISO 27001
5 CATASTROFICO(5) Mayor a 100 millones
II. DESCRIPCION DE LA COMPAA Y DEL
Entre 50 millones y
CONTEXTO 4 MAYOR(4)
100 millones
Entre 20 millones y 50
La compaa gacela transportes es una empresa del sector 3 MEDIO (3)
millones
privado que presta sus servicios en diferentes regiones del pas
brindando un servicio de buena calidad y a conformidad con Entre 5 millones y 20
2 MENOR(2)
las necesidades de los usuarios. De acuerdo a la dimensin de millones
la empresa, a sus sedes a nivel nacional, clientes y rutas Menor a 5 millones de
enmarcadas dentro de su itinerario podemos decir que la 1 INSGINIFICANTE(1)
pesos
empresa maneja un gran volumen de informacin digital que
se constituye en uno de sus ejes centrales de gestin para
alcanzar sus metas trazadas A. INFORMACION EN BASE A IMPACTOS DE ORDEN
FINANCIERO

Para determinar el nivel de impacto financieramente se

Este trabajo es realizado en base a estadsticas de trabajo observado de
acuerdo con la experiencia de trabajo con grupos de transporte de pasajeros
va terrestre en Colombia con sedes en Bogot como eje central de
comunicaciones.
Nelson Andrey Eslava Autor, experiencia en coordinacin de soporte y
sistemas con empresas de transporte homologadas en rutas a nivel nacional y
docencia informtica (e-mail: Nelson_aej94@hotmail.com).
Edwar Andres Gutierrez Autor Experiencia en soporte TI en la parte
publica.
seleccion un rango que demuestra el nivel de impacto
monetario que representa las prdidas de acuerdo con la
probabilidad de que un riesgo en relacin con un activo
tecnolgico se materialice.
De acuerdo con lo anterior, la informacin recolectada para el
anlisis de cifras es:
Anlisis y evaluacin de riesgos de seguridad informtica Universidad Piloto de Colombia 2

ID RIESGO NOMBRE ACTIVO DESCRIPCION DEL RIESGO

PROMEDIOS GENERALES
VALOR PROMEDIO DE TIQUETE $50.000 El sistema electrico que alimenta el servidor de
venta de tiquetes sufre una interrupcion haciendo
SERVIDOR DE APLICATIVO DE
PROMEDIO DE PASAJEROS DIARIOS R1 que el servidor se apague y la operacin de venta
20 VENTA DE TIQUETERIA EN LINEA
por sistema en linea se detenga, causando perdida
POR VEHICULO ABORDADOS monetaria

PROMEDIO DE VEHICULOS
DESPACHADOS POR HORA NIVEL 2 El servicio de internet dedicado para el servidor no
NACIONAL R2
SERVIDOR DE APLICATIVO DE responde debido a problemas del proveedor de
VENTA DE TIQUETERIA EN LINEA servicios en su infraestructura. Lo cual perjudica
PROMEDIO DE HORAS DE que la operacin de venta en linea se lleve a cabo
16
OPERACIN

El numero de usuarios que desean comprar

PROMEDIOS CALCULADOS tiquetes en simultanea en las diferentes agencias
TOTAL AGENCIAS 25 SERVIDOR DE APLICATIVO DE comerciales desborda la capacidad de respuesta
R3
VENTA DE TIQUETERIA EN LINEA del servidor, colapsando en si al servidor, el
PROMEDIO DE DINERO servicio de impresin y almacenamiento de
informacion en la base de datos
RECAUDADO POR $ 2.000.000,00
AGENCIA POR HORA
La ubicacin del DVR es conocida por todo el
PROMEDIO DE DINERO personal, no existen medidas de seguridad como
R4 DVR CAMARAS DE SEGURIDAD rack con llave, contraseas y alarmas de acceso, lo
RECAUDADO A NIVEL $ 50.000.000,00 cual conlleva a que pueda haber perdida y/o robo
NACIONAL POR HORA del DVR fisico

El acceso al DVR no esta restringido debido a su

PROMEDIO DE DINERO visible ubicacin al igual que sus puertos usb lo
RECAUDADO DIARIO R5 DVR CAMARAS DE SEGURIDAD cual puede generar que se robe informacion
$ 800.000.000,00 privada de grabaciones y/o conversaciones de
DURANTE LA JORNADA accionistas, proyectos, juntas y demas
DE OPERACIN
El cableado electrico y de conectividad del DVR no
R6 DVR CAMARAS DE SEGURIDAD es optimo y cualquier movimiento puede causar
De acuerdo con las tablas se calcula el rango de perdida que perdida de conectividad y/o corto circuito

puede representar la materializacin de un riesgo. El router que integra la VPN entre la sede principal
en Bogota y la Subsede en Medellin, sufre un
R7 ROUTER bloqueo causando la interrupcion en las
transaciones financieras de venta en punto de
IV. IDENTIFICACIN DE ACTIVOS atencion

Los activos identificados dentro de la compaa que sern

sujetos de anlisis son los siguientes El router de la sede principal, esta desactualizado
en cuanto su firmware, debido a que el fabricante
R8 ROUTER
dejo de brindar actualizaciones de mismo, por lo
1. Servidor de aplicativo de venta de tiqueteria en lnea. cual se podria presentar hurto de informacion.

2. DVR cmaras de seguridad

3. Router administrable
Los 3 activos son Hardware ya que al estado actual de la
compaa el estado fsico de los activos es altamente
vulnerable, de acuerdo con que son los contendedores y
transporte de la informacin
El router se encuentra conectado directamente a
la toma corriente por lo que puede ser averiado, o
sufrir un dao electrico en algunos de sus
R9 ROUTER
elementos internos por sobrecarga de voltaje,
provocando la caida de comunicacin cliente-
servidor

V. IDENTIFICACION DE RIESGOS A. Causas

Los posibles riesgos detectados en el anlisis de riesgo se
identifican por un cdigo (R1, R2, Rn) y se describen como
el posible evento que puede ocurrir en un instante analizado o
previsto de tiempo a raz de no controlar una amenaza,
repercutiendo financieramente la operacin.
Mediante la problemtica planteada con los eventos ms
recurrentes vistos en el rea informtica de las empresas de
transporte se analiza los riesgos de mayor probabilidad de
ocurrencia.
Las causas son factores internos o externos con probabilidad
de ocurrencia que pueden afectar el continuo orden y
funcionamiento de los activos descritos. Caracterizados a
continuacin como la situacin problema que conlleva a ser y
detectar una amenaza.
Las causas pueden ser controladas hasta cierto punto, pero el
riesgo en definitiva no. El riesgo siempre est latente ante la
existencia de amenazas.
Anlisis y evaluacin de riesgos de seguridad informtica Universidad Piloto de Colombia 3

1) Las causas de riesgo para el servidor que almacena el VI. VULNERABILIDADES

aplicativo de venta de tiqueteria online estn previstas como
la falla que pueda tener el operador externo de servicios o la ISO27000: debilidad de un activo o control que puede
falla incrrete de una elevada tasa de uso de los servicios ser explotado por una o varias amenazas.
entregados por el servidor. Las vulnerabilidades presentadas la metodologa de anlisis
de riesgo van determinadas por las componentes en los que se
ACTIVO CAUSA detecta una debilidad o falencia en terminadas instancias en el
comportamiento y funcionamiento de los activos.
SERVIDOR DE La empresa de servicios
APLICATIVO DE pblicos interrumpe por
Servidor
VENTA DE obra y/o mantenimiento
Falta de sistema de UPS
TIQUETERIA EN LINEA
Falta un canal de respaldo con diferente proveedor de
SERVIDOR DE El ISP sufre una cada de servicios
APLICATIVO DE sus servicios Capacidad de procesamiento del servidor no es ptima para
VENTA DE temporada alta en la que el nmero de usuarios crece
TIQUETERIA EN LINEA exponencialmente
SERVIDOR DE La gran cantidad de
APLICATIVO DE usuarios comprando Dvr
VENTA DE colapsa y retrasa el lmite Falta organizar Y asegurar estratgicamente la ubicacin del
TIQUETERIA EN LINEA de peticiones que acepta el DVR
servidor No existe un contenedor para guardar el DVR del acceso de
usuarios no autorizados y conexiones de dispositivos USB
El cableado no est organizado y presenta bastante desgaste
2) La causa de riesgos para el DVR est dada por la
posible prdida, robo o falla del dispositivo y/o su Router
informacin El router que integra la VPN, no est diseado para la
demanda de trafico de red que se est manejando.
ACTIVO CAUSA
El firmware del router se encuentra desactualizado y es
Mala ubicacin y falta de medidas de obsoleto frente a los nuevos malware
DVR CAMARAS DE SEGURIDAD faltan medidas de proteccin para picos de voltaje o fallas
seguridad y resguardo
Mala ubicacin, facil acceso al dvr y elctricas que repercutan al router
DVR CAMARAS DE SEGURIDAD conexin de dispositivos USB sin
restriccion
No se ha planteado la organizacin VII. AMENAZAS
DVR CAMARAS DE SEGURIDAD estructurada del cableado electrico y de
red para el DVR
Factores cotidianos que junto con las vulnerabilidades generan
un factor de riesgo. Las amenazas son incidentes inesperados
3) El router puede estar sujeto a diversas variables de
que ocurren en cualquier instancia de tiempo.
riesgo, de acuerdo con las ocurrencias se detectan las
Estn determinadas por mltiples factores: humanos,
causas de riesgo.
tecnolgicos, naturales, etc.
ACTIVO CAUSA
La demanda de trafico de red, provoca
1. Amenaza servidor de venta.
que el router sufra bloqueo en su - Interrupcin del servicio de energa elctrica
ROUTER - Cada del canal de internet
operacin y se interrumpa la
conectividad a traves de la VPN - El crecimiento desmedido de solicitudes de compra y
Un nuevo malware, ataca el router reserva en un instante de tiempo de manera
ROUTER logrando infiltrarse y capturar simultanea
informacin.
Incremento de voltaje en la red 2. Amenaza DVR CCTV
electrica provoca dao en el hardware - Robo del DVR
ROUTER
del router dejandolo sin funcionamiento - Fuga de informacin
en su totalidad - Corto circuito a raz de las malas conexiones
elctricas visibles en el DVR

3. Amenaza Router Admin.

- El trfico de datos que se maneja en la VPN y en la
red ha aumentado en 50% en los ltimos seis meses.
- Todo tipo de malware y dems software malicioso
que se genera a diario
Anlisis y evaluacin de riesgos de seguridad informtica Universidad Piloto de Colombia 4

- Aumento del voltaje en la red elctrica que alimenta

el dispositivo electrnico. MAPA DE CALOR - CALCULO SIN CONTROLES
NIVEL DE IMPACTO RIESGO PURO
CATASTROFICO (5) 5 10 15 -R4 & R8 20 -R5 25
VIII. CONSECUENCIAS
MAYOR (4) 4 8 -R3 12 16 20
Las mayores consecuencias infieren en prdidas de dinero. Las MODERADO (3) 3 -R2 6 9 12 - R9 15
perdidas monetarias que acarrea la falla de los sistemas y la no MENOR (2) 2 4 -R1 6 - R7 8 10 -R6
disponibilidad de los activos conlleva a que la operacin sea INSIGNIFICANTE (1) 1 2 3 4 5
detenida y por ende acarre no solo consecuencias en finanzas.
Al igual se ve una afectacin de la imagen corporativa, la RARO(1) LEVE(2) PROBABLE (3) GRAVE(4) CRITICO(5)
fidelizacin de clientes, perdida de activos, retraso de las PROBABILIDAD
operaciones, perdida y fuga de informacin, negocios ilcitos.
ZONAS DE RIESGO
Consecuencias de ocurrencia de riesgo en activos.

SERVIDOR DE APLICATIVO DE VENTA DE ALTO

TIQUETERIA EN LINEA MEDIO -
- Perdida monetaria ALTO
- Afectacin de imagen
- Retraso de operacin MEDIO
- Prdida de clientes
BAJO
- Afectacin hardware y software (perdida de
informacin)
- Descoordinacin
- Perdida falla y colapso de servicios X. CONTROLES

DVR CAMARAS DE SEGURIDAD Medidas para proteger y mitigar riesgos.

- Perdida de informacin sensible El costo debe ser proporcional al beneficio de implementacin
- Perdida de evidencia de dichos controles.
- Brechas de seguridad
- Nueva inversin De acuerdo con la matriz de anlisis de riesgo se concluyeron
- Reduccin de confiabilidad 3 principales riesgos con mayor nivel de riesgo.
- Afectacin de imagen
R4 - La ubicacin del DVR es conocida por todo el personal,
ROUTER ADM no existen medidas de seguridad como rack con llave,
- Estropeo de operaciones contraseas y alarmas de acceso, lo cual conlleva a que pueda
- Alta probabilidad de recibir ataques haber perdida y/o robo del DVR fsico. NIVEL DE RIESGO
- Robo de informacin 15
- Perdida de comunicacin sincronizacin de
informacin R5 - El acceso al DVR no esta restringido debido a su visible
ubicacin al igual que sus puertos usb lo cual puede generar
que se robe informacion privada de grabaciones y/o
conversaciones de accionistas, proyectos, juntas y demas.
IX. MAPA DE CALOR NIVEL DE RIESGO 20

Ubicacin de los resultados a nivel de riesgo metodologa R8 - El router de la sede principal, esta desactualizado en
intuitiva sin ejecucin de controles. cuanto su firmware, debido a que el fabricante dejo de brindar
actualizaciones de mismo, por lo cual se podria presentar
hurto de informacin. NIVEL DE RIESGO 15

CONTROLES EJECUTADOS

R4
Instalar un rack de telecomunicaciones con cerradura y llave,
Las imgenes, cuadros y graficos relacionados son adjunto fuera del alcance, acceso vista de cualquier individuo
directo del documento Taller 1, Anexo a este trabajo escrito
para validez de la informacion y la relacin de los datos R5
Anlisis y evaluacin de riesgos de seguridad informtica Universidad Piloto de Colombia 5

Instalar rack de telecomunicaciones, proteger por medio de 2. Vulnerabilidades y amenazas identificadas dentro de
contrasea o pin el DVR, bloquear los puertos usb y botn DVR cmaras de seguridad
reset, configurar un equipo gerencial para el acceso remoto al
DVR cifrando el acceso al computador y al aplicativo del EVALUACION
DVR por contrasea DEL RIESGO
VULNERABILIDAD AMENAZA
(Probabilidad *
Impacto)
R8 Falta organizar Y Robo del DVR P(3)*I(5)=15
Delegar personal capacitado para la revisin peridica de las asegurar
actualizaciones de firmware, al igual que acordar o seleccionar estratgicamente la
un proveedor que garantice y certifique que el router va a ubicacin del DVR
recibir las actualizaciones necesarias a tiempo No existe un contenedor Fuga de P(4)*I(5)=20
para guardar el DVR informacin
A nivel de escalas Mapa de calor del acceso de usuarios
Se evidencia una disminucin en el nivel de riesgo respecto a no autorizados y
la posicin original sin implementacin de controles conexiones de
dispositivos usb
El cableado no est Corto circuito a P(5)*I(2)=10
MAPA DE CALOR - RECALCULO + CONTROLES organizado y presenta raz de las malas
NIVEL DE IMPACTO RIESGO PURO bastante desgaste conexiones
CATASTROFICO (5) 5 - R4 & R5 15 -R4 & R8 20 -R5 elctricas visibles
en el DVR
MAYOR (4)
MEDIO (3) 8 - R8
MENOR (2)
INSIGNIFICANTE (1) 3. Vulnerabilidades y amenazas identificadas dentro de
Router
RARO(1) LEVE(2) PROBABLE (3) GRAVE(4) CRITICO(5)
PROBABILIDAD METODOLOGIA ISO 27001

1. La metodologa iso 27001 propone el siguiente

XI. METODOLOGIA proceso para evaluacin de gestin de riesgos de
seguridad informtica
ANLISIS Y EVALUACIN DE RIESGOS CON METODOLOGA ISO
27001 a) Establecimiento del contexto
b) Evaluacion del riesgo
c) Tratamiento del riesgo
1. Vulnerabilidades y amenazas identificadas dentro del
d) Aceptacion del riesgo
servidor de aplicativo de venta de tiqueteria en lnea.
e) Comunicacion del riesgo
EVALUACION
f) Monitorizacion y revision del riesgo
DEL RIESGO
VULNERABILIDAD AMENAZA
(Probabilidad * La metodologia ISO 27001, especifica su anlisis de riesgo
Impacto) dentro de la norma ISO 27005 y en la cual se establecen los
Interrupcin del P(2)*I(2)=4 anteriores pasos.
Falta de sistema de UPS servicio de energa
elctrica El software el pilar es una herramienta desarrollada por el
Falta un canal de P(1)*I(3)=3 centro nacional de criptografa del gobierno espaol y est
Cada del canal de enfocado al anlisis de riesgos en los diferentes sistemas de
respaldo con diferente
internet gestin.
proveedor de servicios
Capacidad de El crecimiento P(2)*I(4)=8
procesamiento del desmedido de
servidor no es ptima solicitudes de
para temporada alta en compra y reserva
la que el nmero de en un instante de
usuarios crece tiempo de manera
exponencialmente simultanea
Anlisis y evaluacin de riesgos de seguridad informtica Universidad Piloto de Colombia
Para el anlisis de esta metodologa se utiliz el software
PILAR en su versin de prueba y en la cual se declararon los
activos fijos y se desarrollo la siguiente estructura Como se
muestra en la siguiente grfica.
Se utiliz un anlisis cuantitativo, identificando los tres
activos (Router, DV-R y Servidor de tiqueteria en lnea)
ubicndolos los mismos dentro de su clase de activo
catalogado por el software como se muestra a continuacin
6
El software permite realizar la valoracin de los activos de
para la compaa teniendo diferentes criterios como seguridad.
Operativilidad, interrupcin del servicio entre otros, de igual
forma hay que aclarar que el software estipula algunas
amenazas automticamente teniendo en cuenta la clase de
activo
Realizando el procedimiento se obtuvo el siguiente anlisis
arrojado por el software.
En el anterior cuadro se puede evidenciar los controles
implementados.
XII. CONCLUSION
El anlisis de riesgos permite detectar Amenazas y
vulnerabilidades que lleven a la definicin misma de los
riesgos en activos tecnolgicos que preservan la seguridad de
la informacin en las empresas. Por medio de metodologas,
tcnicas, manuales y herramientas es posible realizar un
estudio de anlisis del riesgo. El profesional encargado de la
seguridad de la informacin y de plantear un plan de controles
y reduccin de vulnerabilidades debe desarrollar un plan de
anlisis de riesgos y controles que permitan dar seguridad y
fiabilidad de las operaciones. Durante el presente escrito se
observa claramente los riesgos y las altas vulnerabilidades a
los que estn expuestos los activos informticos de gacela
transportes, sin embargo, se consigui realizar un anlisis de
riesgos que da precisin de la probabilidad de materializacin
de riesgos y ejecucin de controles que mitiguen la
explotacin de una vulnerabilidad en los activos tecnolgicos
descritos a travs de la publicacin.
Anlisis y evaluacin de riesgos de seguridad informtica Universidad Piloto de Colombia 7

REFERENCIAS

- NORMA TCNICA NTC-ISO/IEC COLOMBIANA

27001 - 2006-03-22
http://intranet.bogotaturismo.gov.co/sites/intranet.bog
otaturismo.gov.co/files/file/Norma.%20NTC-ISO-
IEC%2027001.pdf
- MAGERIT versin 3.0 Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de Informacin -
https://www.ccn-cert.cni.es/documentos-
publicos/1789-magerit-libro-i-metodo/file.html
- Anlisis y cuantificacin del Riesgo -
http://www.madrid.org/cs/StaticFiles/Emprendedores
/Analisis_Riesgos/pages/pdf/metodologia/4Analisisy
cuantificaciondelRiesgo%28AR%29_es.pdf
- Seguridad y privacidad de la informacin -Guia de
gestin de riesgos -
https://www.mintic.gov.co/gestionti/615/articles-
5482_G7_Gestion_Riesgos.pdf

AUTORES

Nelson Andrey Eslava Jimnez. Ingeniero de sistemas de la

Universidad del Tolima, 23 aos. gustos por la seguridad
informtica y el desarrollo de software. Nacido en Bogot y
residente en la ciudad de Funza, Cundinamarca desde hace 16
aos. Estudiante para especialista en seguridad informtica de
la universidad piloto de Colombia. Experiencia en el campo de
administracin de servidores y soporte tecnolgico en
plataformas de software para venta de tiqueteria y docencia en
informtica escolar.

Edward Andres Gutirrez Santiago. Ingeniero electrnico y

telecomunicaciones egresado de la universidad San Martin
Nacido en el municipio de Cqueza Cundinamarca.
Experiencia en soporte TI en la parte publica y actualmente
se encuentra cursando especializacin de Seguridad
Informtica en la Universidad Piloto.