MUNICIPALIDAD DE SAYAN

ANALISIS DE RIEGOS
 CONTENIDO

Resumen Ejecutivo
1. Objetivo y alcance del trabajo
2. Metodología
3. Procedimientos Utilizados
4. Análisis de Riesgos
4.1. Importancia de la Información y su seguridad de la MUNICIPALIDAD
DE SAYAN
4.2. Elementos del modelo de Análisis de Riegos
4.3. Desarrollo del Análisis de Riegos
4.3.1. Activos y Amenazas
4.3.2. Posibles consecuencias y medidas existentes
4.3.3. Calculo de niveles de vulnerabilidad y de riesgo
4.3.4. Conclusiones
Lima, xx de octubre del xxxx

Señor xxxxxxxxxxxxxxxxxx
Jefe del Área de Informática
MUNICIPALIDAD DE SAYAN
Presente.-
Estimado Señor xxxx:

En relación a la realización del análisis de riesgos encargados a nuestro equipo de trabajo

por parte de la empresa Municipalidad de Sayán, según definido con los responsables de
la seguridad de información de su institución, no es grato adjuntar el informe relacionado
con el mencionado servicio “Análisis de Riesgos” respectivamente, infórmate que
presentamos a continuación.

Resumen Ejecutivo

Del Análisis de Riesgos

De acuerdo a los requerimientos de la MUNICIPALIDAD DE SAYAN se realiza la

clasificación de seguridad de activos asociados a la tecnología mediante el análisis de
riesgo que ha sido desarrollado con el propósito de determinar cuáles de los activos de
la institución que cuentan con mayor vulnerabilidad ante factores externos o internos
que puedan afectarlos, identificando las causas potenciales que faciliten o impidan
alcanzar los objetivos, calculando la probabilidad de su ocurrencia, evaluando sus
probables efectos, y considerando el grado en que el riesgo puede ser controlado.

Para generar esta información se desempeñaron las siguientes actividades:

1. Listado de los activos de la institución

2. Asignación de prioridades a los activos
3. Definición de amenazas
4. Descripción de consecuencias
5. Asignación de probabilidades de ocurrencia de las amenazas
6. Cálculo de niveles de vulnerabilidad
7. Conclusiones
Informe Detallado

En el presente proyecto definido como Análisis de Riesgos se presenta con la

siguiente estructura:

- Objetivo y alcance del trabajo.

- Metodología

- Procedimientos utilizados

- Análisis de Riesgos

Este informe es para uso exclusivo del Directorio y la Gerencia de la

Municipalidad de Sayán, y no debe ser usado con ningún otro propósito.

De usted muy atentamente,

-------------------------------------------

Ing.
 MUNICIPALIDAD DE SAYÁN

ANALISIS DE RIESGOS

1. OBJETIVOS Y ALCANCE DEL TRABAJO

El objetivo de nuestro trabajo estuvo dirigido a desarrollar un análisis de riesgos
relacionado con el Sistema de Información de la MUNICIPALIDAD DE SAYÁN;
que les permitirá contar con un documento en donde se definan las amenazas, la
vulnerabilidad del sistema ante estas amenazas y estimar el impacto o grado de
perjuicio que una seguridad insuficiente puede tener para la MUNICIPALIDAD DE
SAYÁN, obteniendo cierto conocimiento del riesgo que se corre.

El alcance de nuestro trabajo comprende:

 Evaluación de riesgos de seguridad a los que está expuesta la información
 Selección de controles y objetivos de control para reducir, eliminar o evitar
los riesgos identificados, indicando las razones de su inclusión o exclusión.

2. METODOLOGÍA
Durante la ejecución del proyecto se utilizó una metodología específica para la
realización del Análisis de Riesgo. La relación de metodología utilizada y el
alcance de la misma se resumen a continuación:

Nombre Alcance
MAGERIT Metodología para el desarrollo de un análisis de
riesgo, identificación de activos, amenazas y cálculos
de vulnerabilidad.

Metodología MAGERIT
La Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
de las Administraciones Públicas, MAGERIT, es un método formal para investigar
los riesgos que soportan los Sistemas de Información, y para recomendar las
medidas apropiadas que deberían adoptarse para controlar estos riesgos.

La metodología MAGERIT comprende 4 Etapas:

1. Planificación del Proyecto de Riesgos. Como consideraciones iniciales para

arrancar el proyecto de Análisis y Gestión de Riesgos (AGR), se estudia la
oportunidad de realizarlo, se definen los objetivos que ha de cumplir y el ámbito
que abarcará, planificando los medios materiales y humanos para su realización e
inicializando el propio lanzamiento del proyecto.

2. Análisis de riesgos. Se identifican y valoran las diversas entidades, obteniendo

una evaluación del riesgo, así como una estimación del umbral de riesgo deseable.

3. Gestión de riesgos. Se identifican las funciones y servicios de salvaguarda

reductoras del riesgo, seleccionando los que son aceptables en función de las
salvaguardas existentes y las restricciones, tras simular diversas combinaciones.

4. Selección de salvaguardas. Se prepara el plan de implantación de los

mecanismos de salvaguarda elegidos y los procedimientos de seguimiento para la
implantación. Se recopilan los documentos del Análisis y Gestión de Riesgos
(AGR), para obtener los documentos finales del proyecto y realizar las
presentaciones de resultados a diversos niveles.
3. PROCEDIMIENTOS UTILIZADOS
Durante el desarrollo del trabajo se utilizaron los siguientes procedimientos de
trabajo

 Charlas de orientación para la realización del Análisis de Riesgos, en la cual

intervinieron:

****Ing. Marin

 Revisión y análisis de la información y documentación proporcionada por el

personal de la MUNICIPALIDAD DE SAYÁN.

4. ANALISIS DE RIESGOS
4.1. Importancia de la Información y su seguridad de la MUNICIPALIDAD
DE SAYÁN
Es innegable la importancia considerable y creciente del tratamiento de la
información para el funcionamiento e incluso para la supervivencia de la
MUNICIPALIDAD DE SAYÁN. Como la información es inmaterial, necesita
soportes que adoptan muchas formas:

• Puede almacenarse en sistemas informáticos,

• Puede transmitirse a través de redes;

• Puede registrarse en papel, dispositivos transportables;

• Puede transmitirse o registrarse en conversaciones habladas.

La necesidad de seguridad afectaría desde esta perspectiva a todas las formas de

información y sus soportes o bien a cualquier método usado para transmitir
conocimiento, datos e ideas.

La información y los sistemas que la soportan constituyen recursos valiosos e

importantes para la MUNICIPALIDAD DE SAYÁN. Su seguridad suele ser
imprescindible para mantener valores esenciales, como servicio, seguridad
procedimental, imagen, competitividad, rentabilidad, permanencia del
funcionamiento y cumplimiento de la legalidad. Dicha seguridad consiste al final
en un depósito de confianza suficiente en la capacidad de dicha información y
sistemas para sostener el funcionamiento adecuado de las funciones y los valores de
la MUNICIPALIDAD DE SAYAN.

El crecimiento de las redes y la consecuente conectividad entre sistemas representa

nuevas oportunidades, no sólo positivas, sino también negativas al facilitar por
ejemplo los accesos no autorizados y al reducir las facilidades de control
centralizado y especializado de los sistemas de información.

Los sistemas de información de cualquier Organización están sometidos a

amenazas más o menos destructivas (como ampliamente difunden los medios de
comunicación incluso los no especializados).

Amenazas que van desde fallos técnicos y accidentes no intencionados -pero no

menos peligrosos-; hasta acciones intencionadas, más o menos lucrativas, de
curiosidad, espionaje, sabotaje, vandalismo, chantaje o fraude. Todas las opiniones
aseguran que las amenazas a la seguridad de los sistemas de información y a la
información misma serán cada vez más ambiciosas y sofisticadas.

El objeto o propósito de la seguridad de los sistemas de información consiste sobre

todo en mantener la continuidad de los procesos organizacionales que soportan
dichos sistemas. Asimismo, intenta minimizar tanto el coste global de la ejecución
de dichos procesos como las pérdidas de los recursos asignados a su
funcionamiento.

El sujeto global de la seguridad se determina como un Dominio del conjunto de la

Organización, que suele considerarse compuesto por Activos (como sujetos
elementales de la seguridad), estructurados metódicamente de forma jerarquizada.

La seguridad siempre es barata a largo plazo (y lo es también cada vez más a corto
plazo). El ahorro y la eficacia que proporciona son relativos, pues dependen de su
coste propio y su implantación inteligente; pero siempre son muy superiores si los
requerimientos y especificaciones de seguridad se incorporan en el propio
desarrollo de los sistemas y los servicios de información. Cuanto más temprano se
actúe para dar seguridad a los sistemas de información, más sencilla y económica
resultará ésta a la Organización.

4.2. Elementos del modelo de Análisis de Riegos

El Análisis y Gestión de Riesgos es el ‘corazón’ de toda actuación organizada de
materia de seguridad. Influye incluso en las Fases y actividades de tipo estratégico
(implicación de la Dirección, objetivos, políticas) y condiciona la profundidad de
las Fases y actividades de tipo logístico (planificación, organización, implantación
de salvaguardas, sensibilización, acción diaria y mantenimiento).

El modelo de Análisis de Riesgos retiene 6 entidades clásicas (cada una dotadas de

ciertos atributos y relacionadas con las otras). Estas entidades son los Activos;
Amenazas; Vulnerabilidades; Impactos; Riesgos; y Salvaguardas.

Activos

Los Activos del Dominio, “recursos del sistema de información o relacionados con
éste, necesarios para que la organización funcione correctamente y alcance los
objetivos propuestos por su dirección” se pueden así estructurar en 5 categorías:

1) El entorno del Sistema de Información necesario para su funcionamiento:

instalación física, infraestructura de comunicaciones y otras, suministros,
personal operacional o desarrollador de aplicaciones.

2) El sistema de información (hardware, redes propias, software básico,

aplicaciones).

3) La propia información.

4) Las funcionalidades de la organización que justifican y dan finalidad a la

existencia de los Sistemas de Información, incluido el personal usuario o
los objetivos propuestos por la dirección.

5) Otros Activos (por ejemplo, la credibilidad de una persona jurídica o

física, su intimidad, la imagen...).
El fallo de un Activo de una categoría o ‘nivel’ pueden generar ‘cadenas’ de fallos
en otros niveles. Así, fallos en Activos del Entorno (1) provocarían otros fallos en
el Sistema de Información (2); éstos inciden en fallos de la Información (3), que
soporta las funcionalidades de la organización (4) y ésas condicionan los otros
activos (5).

Amenazas

Se definen como “los eventos que pueden desencadenar un incidente en la

organización, produciendo daños materiales o pérdidas inmateriales en sus activos”.
Las Amenazas se pueden materializar y transformarse en agresiones.

Vulnerabilidad

Definida como la “ocurrencia real de materialización de una Amenaza sobre un

Activo”, la Vulnerabilidad es una propiedad de la relación entre un Activo y una
Amenaza. Ejerce entre ambos una función de ‘mediación’ en el cambio del ‘estado
de seguridad’ del Activo; siendo también el mecanismo de paso desde la Amenaza
a la Agresión materializada.

Impacto

Se define como “daño producido a la organización por un posible incidente” y es el

resultado de la Agresión sobre el Activo, o visto de manera más dinámica, “la
diferencia en las estimaciones de los estados (de seguridad) obtenidas antes y
después del evento”. La metodología clasifica los Impactos sobre los Activos a
partir de sus consecuencias cuantitativas o cualitativas, y por reducción de
subestados de seguridad.
Riesgo

Se ha definido como la “Posibilidad de que se produzca un impacto dado en la

organización”. Su importancia como resultado de todo el Análisis organizado sobre
los Elementos anteriores (activos, amenazas, vulnerabilidades e impactos) queda
velada por su apariencia como Indicador resultante de la combinación de la
Vulnerabilidad y el Impacto que procede de la Amenaza actuante sobre el Activo.
Este riesgo calculado permite tomar decisiones racionales para cumplir el objetivo
de seguridad de la organización. Para dar soporte a dichas decisiones, el riesgo
calculado se compara con el umbral de riesgo, un nivel determinado con ayuda de
la política de seguridad de la Organización. Un riesgo calculado superior al umbral
implica una decisión de reducción de riesgo. Un riesgo calculado inferior al umbral
queda como un riesgo residual que se considera asumible.

‘Función o Servicio’ de salvaguarda, ‘mecanismo’ de salvaguarda

Para reducir el riesgo se necesita la mejora de Salvaguardas existentes o la

incorporación de otras nuevas. MAGERIT distingue entre la Organización
abstracta llamada Función o Servicio de Salvaguarda y la Organización concreta
llamada Mecanismo de Salvaguarda. Se define la función o servicio de salvaguarda
como “reducción del riesgo”; y el mecanismo de salvaguarda como “dispositivo,
físico o lógico, capaz de reducir el riesgo”. Una Función o Servicio de Salvaguarda
es así una acción para reducir un Riesgo de tipo actuación u omisión (es una acción
fruto de una decisión, no de tipo evento). Esa actuación se concreta en un
mecanismo de salvaguarda que opera de dos formas:

 La salvaguarda preventiva ejerce como acción sobre la Vulnerabilidad,

‘neutralizando’ otra acción, la materialización de la Amenaza, antes de que
actúe ésta (lo que es válido en general para Amenazas de origen humano, sea
por Error o Intencional).

 La salvaguarda curativa actúa sobre el Impacto, modificando el estado de

seguridad del Activo agredido y reduciendo el resultado de la Agresión; o
 sea después de ésta (lo que es válido en general para Amenazas de tipo
Accidente).

4.3. Desarrollo del Análisis de Riesgos

El presente análisis de los riesgos fue desarrollado con el propósito de
determinar cuáles de los activos de la institución tienen mayor vulnerabilidad
ante factores externos o internos que puedan afectarlos, identificando las causas
potenciales que faciliten o impidan alcanzar los objetivos, calculando la
probabilidad de su ocurrencia, evaluando sus probables efectos, y considerando
el grado en que el riesgo puede ser controlado.

Para generar esta información se desempeñaron las siguientes actividades:

1. Identificación de Activos
Se evaluarán los distintos activos físicos y de software de la
MUNICIPALIDAD DE SAYÁN, generando un inventario de aquellos que
son considerados como vitales para su desenvolvimiento seguro.

2. Asignación de importancia a los activos

Los activos serán clasificados según el impacto que sufriría la organización
si faltase o fallara tal activo.

3. Identificación de amenazas
Acto seguido se listarán los factores de riesgo relevantes a los pueden verse
sometidos cada uno de los activos arriba nombrados.

4. Descripción de consecuencias y salvaguardas

Se hará una descripción de las consecuencias que podría sufrir la
MUNICIPALIDAD DE SAYÁN si los activos son afectados por sus
respectivas amenazas, detallando la manera en que se protege al activo
 contra ese ataque en particular, y puntualizando en qué grado son efectivas
estas medidas

5. Asignación de Probabilidades de ocurrencia de las amenazas

Teniendo en cuenta los datos arriba mencionados se estimará la
probabilidad de ocurrencia que cada una de las amenazas representaba con
respecto a los activos listados, considerando para esta estimación las
medidas tomadas por la institución para mitigar su acción.

6. Cálculo de niveles de vulnerabilidad y riesgo

Una vez identificados los riesgos, se procederá su análisis. Con toda la
información recolectada, se determinó el nivel de vulnerabilidad que se
asocia con cada activo listado.

7. Conclusiones

A partir de las actividades anteriormente descritas se evaluará la situación

actual de la MUNICIPALIDAD DE SAYÁN en relación a los incidentes
que pueden afectarla, calculando las vulnerabilidades cubiertas y
descubiertos, y un análisis sobre la escala de importancia de los activos.

8. Consecuencias

Luego de identificar, estimar y cuantificar los riesgos, la unidad de riesgos

de la MUNICIPALIDAD DE SAYÁN se deberá determinar los objetivos
específicos de control y, con relación a ellos, establecer los procedimientos
de control más convenientes, para enfrentarlos de la manera más eficaz y
económica posible. En general, aquellos riesgos cuya concreción esté
estimada como de baja frecuencia, no justifican preocupaciones mayores.
Por el contrario, los que se estiman de alta frecuencia deben merecer
preferente atención. Entre estos extremos se encuentran casos que deben ser
 analizados cuidadosamente, aplicando elevadas dosis de buen juicio y
sentido común.

4.3.1. Activos y Amenazas

Presentamos los distintos Activos reconocidos en la MUNICIPALIDAD
DE SAYÁN, asignando un valor a la importancia que tienen en la
organización, ponderada en una escala del 1 al 10. Esta importancia es un
valor subjetivo que refleja el nivel de Impacto que puede tener la
MUNICIPALIDAD DE SAYÁN si un incidente afecta a los activos, sin
considerar las medidas de seguridad que existan sobre los mismos.

Clasificacion ID Activos Impacto

1 Servicio de internet 7
Servicios 2 servicio de mantenimiento maquinaria 6
3 Servicios de agua y electricidad 9
4 Datos de proveedores 8
Datos/Información 5 Datos de trabajadores 10
6 Datos de clientes 8
7 Sistema de información actual Foxpro 10
ACTIVOS DE SOFTWARE 8 SISTEMA OPERATIVO WINDOWS XP/W7 8
9 Sistema de BD 9
10 router 8
Equipos Informáticos 11 Cámaras de vigilancia 5
12 Servidor 10
13 Trabajadores internos 9
Personal 14 Proveedores 7
15 Gerencia General 10
16 Cableado Estructurado 9
Redes de comunicación 17 Servidor 10
18 Tecnologias WIFI 7
Soporte de Información 19 tarjeta de memoria 10
 20 Computadoras 8
21 Disco duros 10
22 Impresoras 3
Equipamento Auxiliar 23 Teléfonos 3
24 Radios 4
25 Oficinas 8
Instalaciones
26 Datacenter 10

A continuación, se listan las amenazas que pueden afectar a dichos activos, indicando
la probabilidad de que estas contingencias ocurran, en una escala del 1 al 3. Esta
probabilidad fue evaluada teniendo en cuenta las medidas de seguridad existentes en la
organización.

Tipo ID Amenaza Posibilidad

1 Terremoto 1
Desastres Naturales 2 inundaciones 2
3 Incendios 2
4 Polvo 2
5 Fallas en la comunicación 2
6 Exceso de calor 2
Emanaciones Electromagnéticas o
7 1
radiofracuencias
8 Denegacion de servicios 3
9 Deterioro de maquinas 2
10 Falta de mantenimiento 2
De origen no 11 Ubicación inadecuada 2
mantenimiento 12 Filtraciones de liquidos 1
/tecnologicos 13 Fallas del aire acondicionado 2
14 Mala Comunicación 1
15 interceptación 1
16 Mal control de llamadas 3
17 Accesos libres 1
18 Sin actualizaciones 3
19 Pocos recursos 2
20 Almacenamiento 1
21 Infraestructura 1
 22 Mantenimiento 3
23 Acceso no autorizado 2
24 Ataques de virus informaticos 2
25 Hacker 2
26 hurto 1
27 fraude 2
28 Uso no autorizado de internet 3
29 Uso no autorizado de los equipos 3
30 Uso inadecuado de los equipos 3
Ataques intensionados
31 Incumplimiento de contrato 1
32 equipos inoperativos 1
33 Banda de ancho limitado 3
34 Sin conexiones a la red 2
35 Robo de informacion 2
36 robo de clave 3
37 eliminacion o perdida intencional de informacion 2
38 Manipulacion de la configuracion del sistema 3
39 Accidentes Laborales 2
40 Falta de experiencia 2
41 Ruptura de cables de red 2
42 Corte imprevisto del servicio de internet 1
43 Enfermedades 2
44 Aplicaciones sin licencia 2
45 Perdida de personal clave 3
46 Crisis ecnomica 2
Errores de fallos no 47 Personal no calificado 2
intencionados
48 productos defectuosos 3
49 Falta de repuestos 1
50 Personal no capacitado 2
51 Error de privilegio de usuario 1
52 Perdida de informacion 2
53 corte de electricidad 2
54 desuso de la maquina 3
55 huelga 1
 4.3.2. Posibles Consecuencias y Medidas Existentes
En el presente cuadro se listan los activos de la organización, las
amenazas que los afectan directamente y las consecuencias que puede
acarrear la materialización de estas amenazas. Se describen también las
salvaguardas o información referida a las medidas que ha tomado la
MUNICIPALIDAD DE SAYÁN para mitigar estas consecuencias. Por
último, se han evaluado estas medidas, indicando si son deficientes,
mejorables o eficientes.

¿Se ¿Cómo se
Activos Riesgos Consecuencias Efectividad
protege? protege?

Corte imprevisto
Transferencia
del servicio de No
de datos
internet

Servicio de Ruptura de Implementando

Red se caiga SI M
internet cables de red canaletas

Uso no
Acceso a Implementando
autorizado de SI E
páginas libres un firewall
internet
Capacitaciones o
Falta de Ineficiencia en
Si contratar nuevo M
experiencia los trabajos
personal
malestar en el
Servicio
trabajo y fallas Dando descanso
mantenimiento Enfermedades SI M
de por enfermedad
maquinaria
manipulación
Implementación
Accidentes Gastos en
SI normas de M
Laborales seguros
seguridad
Destrucción de
los equipos,
Terremoto materiales, SI Zonas seguras M
Servicios de documentos,et
agua y c
electricidad
Denegación de
Fallas eléctricas No
servicios
 Corte de Maquinas
No
electricidad inutilizables

Acceso no Robo de Políticas de

SI E
autorizado información Seguridad

Eliminación o
Datos de pérdida Información
SI Backup E
proveedores intencional de perdida
información
Robo de
Capacitaciones
información
Hacker SI en Seguridad E
con fines de
informática
lucro

Acceso no Robo de Políticas de

Si E
autorizado información Seguridad

Eliminación o
Datos de pérdida Información
Si Backup E
trabajadores intencional de perdida
información
Robo de
Capacitaciones
información
Hacker Si en Seguridad E
con fines de
informática
lucro

Acceso no Robo de Políticas de

Si E
autorizado información Seguridad

Robo de
Capacitaciones
información
Datos de cliente Hacker con fines de
Si en Seguridad E
informática
lucro
Eliminación o
pérdida Información
Si Backup E
intencional de perdida
información
Robo de
Capacitaciones
información
Hacker SI en Seguridad E
con fines de
Sistema de informática
lucro
información
Implementación
actual Foxpro Error de
Filtraciones de de privilegios
privilegio de SI E
información para el personal
acceso
de la empresa
 utilizando
acceder al
SI políticas de E
sistema
robo de claves seguridad
Capacitaciones
Ataques de virus Control del
si en Seguridad E
informáticos sistema
informática
Accesos a
Sistema Obtener
Manipulación de personal
operativo información del si E
la configuración correspondiente
Windows xp/w7 sistema
del sistema del área
uso de
Errores del compra de
aplicaciones sin si M
sistema licencias
licencia

Acceso no Posible hurto Políticas de

si E
autorizado de información Seguridad

acceso a la Políticas de
Sistema de BD robo de claves si M
base de datos Seguridad

Control del Capacitaciones

Ataques de virus
sistema y si en Seguridad E
informáticos
acceso a bd informática
Mal
soporte a las
Polvo funcionamiento SI M
laptops
de los equipos

Deterioro de gasto de
Laptops NO
maquinas recursos

Equipos Equipos sin soporte a las

si M
inoperativos funcionar laptops

Destrucción de
los equipos,
Incendios materiales, NO
documentos,et
c
Cámaras de
vigilancia Deterioro de Maquinas soporte de
SI D
maquinas malogradas cámaras

Perdida para la Llevar un control

Hurto SI E
empresa de inventarios
 Uso de
Sobre
polvo SI estándares de M
calentamiento
calidad

Falta de soporte a los

Servidor Eficiencia del SI D
mantenimiento servidores

fallas de aire falla de los

NO
acondicionado servidores

Perdida de Retraso en lo
SI Remuneraciones M
personal clave objetivos

Implementación
Trabajadores Accidentes Gastos en
SI normas de M
internos Laborales seguros
seguridad

Baje la Realizando
Huelga SI M
producción acuerdos

insatisfacción
productos
de los
defectuosos
productos
Realizando un
Incumplimiento
Proveedores Desconfianza SI mejor detalle de M
de contrato
los contratos

Fraude Problemas No

Convenios con la
mal manejo de PNP para la
hurto SI D
recurso seguridad del
personal
Gerencia pagos de
General Crisis económica clientes No
retrasados

mala toma de
Enfermedades No
decisiones

Implementación
Accidentes Gastos en
SI normas de M
Laborales seguros
seguridad
Cableado
Estructurado Daños y
pérdidas
Incendios No
materiales para
la empresa
 Implementando
Distorsiones en
Fallas en la antenas para
la SI D
comunicación mejor la
comunicación
comunicación

Personal no Un mal trabajo Capacitaciones o

para la SI contratar nuevo M
calificado
empresa personal
Siguiendo
Ubicación Deterioro del Normas para la
Servidor SI D
inadecuada equipo implementación
de servidores
Siguiendo
Filtraciones de Normas para la
Cortos circuitos si D
líquidos implementación
de servidores
filtración a los Políticas de
hacker datos del SI E
Seguridad
sistema
Medida de Implementando
Usuarios no
Tecnologías WIFI seguridad si la seguridad de E
deseados
inadecuadas accesos wifi
Implementando
Banda de ancho
Exceso de SI la seguridad de E
limitado
usuarios accesos wifi

desgaste de la
polvo SI mantenimiento E
maquina

tarjeta de Deterioro de perdida de

NO
memoria equipamiento información

Falta de
Deterioro del SI M
mantenimiento
equipo mantenimiento
Acceso de Privilegios en los
Accesos libres cualquier SI accesos a E
usuarios equipos

Sin Actualizando las

Computadoras si M
actualizaciones maquinas
Vulnerables
Aumentar la
Insuficiencia capacidad o
pocos recursos si M
para los Adquiriendo
trabajos nuevas maquinas
 Aumentar la
Almacenamiento Saturación de SI capacidad de M
la información almacenamiento

robo de inventario de
Disco duros hurto no
información equipos

Robo de La información Privilegios en los

de la empresa si E
información accesos
se divulgue
Rendimiento
Desuso de las de las
SI M
maquina impresoras Soporte a las
baje impresoras

Impresoras Sin conexiones a No tenga un

uso adecuado SI Mediante la M
la red
en la empresa conexión a la red

Mantenimiento Deterioro del SI Adquisición de M

equipo nuevas maquinas

Mal control de Llevar un mal Levando el

uso a los SI control de las E
llamadas
teléfonos llamadas

Teléfonos Hurtos Perdidas de SI Llevar un control E

equipos de inventarios

interceptación obtener SI Tener saldos M

información destinados

Mala
La señal es SI D
Comunicación
irregular Colocar antenas
emanación de
Radios electromagnetis SI Adquisición de M
mo interferencia atenas
Intercepten
comunicacione
interceptación No
s privadas de la
empresa
No tener
lugares Ambientes
Oficinas Infraestructura SI M
adecuados para sofisticados para
el trabajo el ámbito laboral
 Fallas del aire Generar estrés Implementación
en el lugar de SI de aire M
acondicionado
trabajo acondicionado

Personal no Capacitaciones o
SI contratar nuevo M
calificado
Un mal trabajo personal
Desarrollando un
Robo de La información plan para
SI E
información de la empresa salvaguardar los
se divulgue datos
Ambiente no es Aplicaciones las
Datacenter Exceso de calor SI E
apto para un normativas
datacenter SISCO

Filtraciones de Se malogren las Mejor la

maquinas del SI infraestructura M
líquidos
lugar de la empresa

4.3.3. Cálculos de niveles de vulnerabilidad y riesgo

En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los
que incurre cada activo vital identificado. Para esto se tiene en cuenta el
nivel de importancia asignado a cada uno y la probabilidad de ocurrencia
de estos riesgos. Para realizar dicho cálculo se desarrollaron las siguientes
operaciones:

 PROBABILIDAD DE OCURRENCIA: representan la probabilidad

de que se materialicen las amenazas identificadas, en una escala del 1
al 3. Esta probabilidad fue evaluada teniendo en cuenta las medidas de
seguridad existentes en la MUNICIPALIDAD DE SAYÁN.
 NIVEL DE VULNERABILIDAD: se calcula el porcentaje de
probabilidad de que se materialicen las amenazas, con respecto a la
cantidad de amenazas identificadas para dicho activo. Esto es debido a
que cada activo está afectado por un número diferente de amenazas
posibles, de manera que este cálculo sirve para obtener un porcentaje
 de probabilidades equilibrado por igual para cualquier activo,
independientemente de la cantidad de amenazas que lo afectan.
 NIVEL DE RIESGO: en este momento interviene el nivel de
importancia que refleja el nivel de Impacto que puede tener la
MUNICIPALIDAD DE SAYÁN si un incidente afecta a los activos,
multiplicando al nivel de vulnerabilidad. De esta forma se obtiene el
nivel de riesgo de cada activo con respecto a una amenaza. La suma
de estos valores es el nivel de riesgo total que corresponde a cada
activo.

Prob.
de
ID Activos Impacto ID Riesgo Riesgos Vulnerabilidad Riesgo
ocurr
en.
Corte
imprevisto del
42 1 33,33 233,33
servicio de
internet
Ruptura de
Servicio de 41 2 66,67 466,67
1 7 cables de red
internet
Uso no
28 autorizado de 3 100,00 700,00
internet

Cantidad de amenazas = 3 200,00 1400,00

Falta de
40 2 66,67 400,00
experiencia
Servicio 43 Emfermedades 2 66,67 400,00
2 mantenimiento 6 Accidentes
39 2 66,67 400,00
maquinaria Laborales

Cantidad de amenazas = 3 200,00 1200,00

1 Terremoto 1 33,33 300,00
Denegacion de
8 3 100,00 900,00
Servicios de servicios
3 agua y 9 Corte de
53 2 66,67 600,00
electricidad electricidad

Cantidad de amenazas = 3 200,00 1800,00

 Acceso no
23 2 66,67 533,33
autorizado
Eliminación o
pérdida
Datos de 37 2 66,67 533,33
4 8 intencional de
proveedores información
25 Hacker 2 66,67 533,33

Cantidad de amenazas = 3 200,00 1600,00

Acceso no
23 2 66,67 466,67
autorizado
Eliminación o
pérdida
Datos de 37 2 66,67 466,67
5 7 intencional de
trabajadores información
25 hacker 2 66,67 466,67

Cantidad de amenazas = 3 200,00 1400,00

Acceso no
23 2 66,67 666,67
autorizado
Eliminación o
pérdida
Datos de 37 2 66,67 666,67
6 10 intencional de
cliente información
25 hacker 2 66,67 666,67

Cantidad de amenazas = 3 200,00 2000,00

25 Hacker 2 66,67 666,67
Error de
Sistema de 51 privilegio de 1 33,33 333,33
7 información 10 acceso
actual Foxpro 36 robo de claves 3 100,00 1000,00

Cantidad de amenazas = 3 200,00 2000,00

Ataques de
24 virus 2 66,67 533,33
informaticos
Manipulación
Sistema de la
38 3 100,00 800,00
operativo configuración
8 8 del sistema
Windows
xp/w7 uso de
44 aplicaciones sin 2 66,67 533,33
licencia

Cantidad de amenazas = 3 233,33 1866,67

 Acceso no
23 2 66,67 666,67
autorizado
36 robo de claves 3 100,00 1000,00
Ataques de
9 Sistema de BD 10
24 virus 2 66,67 666,67
informaticos

Cantidad de amenazas = 3 233,33 2333,33

4 Polvo 2 66,67 466,67
Deterioro de
9 3 100,00 700,00
maquinas
10 Laptops 7 Equipos
32 2 66,67 466,67
inoperativos

Cantidad de amenazas = 3 233,33 1633,33

3 Incendios 1 33,33 166,67
Deterioro de
9 3 100,00 500,00
Cámaras de maquinas
11 5
vigilancia 26 Hurto 2 66,67 333,33

Cantidad de amenazas = 3 200,00 1000,00

4 polvo 2 66,67 533,33
Falta de
10 2 66,67 533,33
mantenimiento
12 Servidor 8 fallas de aire
13 2 66,67 533,33
acondicionado

Cantidad de amenazas = 3 200,00 1600,00

Perdida de
45 3 100,00 900,00
personal clave
Accidentes
Trabajadores 39 1 33,33 300,00
13 9 Laborales
internos
55 Huelga 1 33,33 300,00

Cantidad de amenazas = 3 166,67 1500,00

productos
48 3 100,00 700,00
defectuosos
Incumplimiento
31 1 33,33 233,33
14 Proveedores 7 de contrato
27 Fraude 2 66,67 466,67

Cantidad de amenazas = 3 200,00 1400,00

26 hurto 2 66,67 600,00
Gerencia Crisis
15 9 54 3 100,00 900,00
General economica
43 Enfermedades 2 66,67 600,00
 Cantidad de amenazas = 3 233,33 2100,00
Accidentes
39 1 33,33 266,67
Laborales
3 Incendios 1 33,33 266,67
Cableado
16 8 Fallas en la
Estructurado 5 3 100,00 800,00
comunicación

Cantidad de amenazas = 3 166,67 1333,33

Personal no
47 2 66,67 666,67
calificado
Ubicación
11 2 66,67 666,67
inadecuada
17 Servidor 10
Filtraciones de
12 1 33,33 333,33
líquidos

Cantidad de amenazas = 3 166,67 1666,67

25 hacker 2 66,67 466,67
Usuarios no
28 3 100,00 700,00
deseados
Tecnologías
18 7 Banda de
WIFI 33 3 100,00 700,00
ancho limitado

Cantidad de amenazas = 3 266,67 1866,67

4 polvo 2 66,67 466,67
Deterioro de
9 3 100,00 700,00
equipamento
tarjeta de
19 7 Falta de
memorias 10 2 66,67 466,67
mantenimiento

Cantidad de amenazas = 3 233,33 1633,33

17 Accesos libres 1 33,33 233,33
Sin
18 3 100,00 700,00
actualizaciones
20 Computadoras 7
19 pocos recursos 2 66,67 466,67

Cantidad de amenazas = 3 200,00 1400,00

Almacenamient
20 1 33,33 333,33
o
26 hurto 2 66,67 666,67
21 Disco duros 10 Robo de
35 2 66,67 666,67
informacion

Cantidad de amenazas = 3 166,67 1666,67

Desuso de las
22 Impresoras 3 54 2 66,67 200,00
maquina
 Sin conexiones
34 2 66,67 200,00
ala red
22 Mantenimiento 1 33,33 100,00

Cantidad de amenazas = 3 166,67 500,00

Mal control de
16 3 100,00 300,00
llamadas
26 Hurtos 2 66,67 200,00
23 Teléfonos 3
15 interceptación 1 33,33 100,00

Cantidad de amenazas = 3 200,00 600,00

Mala
14 1 33,33 133,33
Comunicación
emanación de
7 electromagneti 2 66,67 266,67
24 Radios 4 sco
15 interceptación 1 33,33 133,33

Cantidad de amenazas = 3 133,33 533,33

21 Infraestructura 1 33,33 266,67
Fallas del aire
13 2 66,67 533,33
acondicionado
25 Oficinas 8 Personal no
47 2 66,67 533,33
calificado

Cantidad de amenazas = 3 166,67 1333,33

Robo de
35 1 33,33 333,33
información
6 Exceso de calor 2 66,67 666,67
26 Datacenter 10 Filtraciones de
12 1 33,33 333,33
liquidos

Cantidad de amenazas = 3 133,33 1333,33

 4.3.4. Conclusiones
En este cuadro se calculan los niveles de vulnerabilidad y de riesgo en los
que incurre cada activo vital identificado. Para esto se tiene en cuenta el
nivel de importancia asignado a cada uno y la probabilidad de ocurrencia
de estos riesgos. Para realizar dicho cálculo se desarrollaron las siguientes
operaciones:

Niveles de Riesgo (R) y Vulnerabilidad (V) En el cuadro se listan los

niveles de Riesgo y Vulnerabilidad para cada activo, considerando la
importancia de 1 a 10, y sin tener en cuenta la importancia (es decir con un
valor de 1). A la derecha los valores que observamos representan el número
de los activos, ordenados en forma descendiente de acuerdo al riesgo y
vulnerabilidad que corren dichos activos.

Nivel de Riesgo Nivel de vulnerabilidad

Activos Vulnerabil
Riesgo R% V%
idad
1 Servicio de internet 1400,00 3,61 200,00 3,92
servicio de mantenimiento
2 1200,00 3,09 200,00 3,92
maquinaria
Servicios de agua y
3 1800,00 4,64 200,00 3,92
electricidad
4 Datos de proveedores 1600,00 4,12 200,00 3,92
5 Datos de trabajadores 1400,00 3,61 200,00 3,92
6 Datos de cliente 2000,00 5,15 200,00 3,92
Sistema de información
7 2000,00 5,15 200,00 3,92
actual Foxpro
Sistema operativo Windows
8 1866,67 4,81 233,33 4,58
xp/w7
9 Sistema de BD 2333,33 6,01 233,33 4,58
10 Laptops 1633,33 4,21 233,33 4,58
11 Cámaras de vigilancia 1000,00 2,58 200,00 3,92
12 Servidor 1600,00 4,12 200,00 3,92
13 Trabajadores internos 1500,00 3,86 166,67 3,27
 14 Proveedores 1400,00 3,61 200,00 3,92
15 Gerencia General 2100,00 5,41 233,33 4,58
16 Cableado Estructurado 1333,33 3,43 166,67 3,27
17 Servidor 1666,67 4,29 166,67 3,27
18 Tecnologias WIFI 1866,67 4,81 266,67 5,23
19 tarjeta de memoria 1633,33 4,21 233,33 4,58
20 Computadoras 1400,00 3,61 200,00 3,92
21 Disco duros 1666,67 4,29 166,67 3,27
22 Impresoras 500,00 1,29 166,67 3,27
23 Teléfonos 600,00 1,55 200,00 3,92
24 Radios 666,67 1,72 133,33 2,61
25 Oficinas 1333,33 3,43 166,67 3,27
26 Datacenter 1333,33 3,43 133,33 2,61
100,0
38833,33 5100,00 100,00
0

Activos por orden de Riesgo (R)

ACTIVO RIESGO R%
Sistema de BD 2333,33 6,01
Gerencia General 2100,00 5,41
Sistema de información actual Foxpro 2000,00 5,15
Datos de cliente 2000,00 5,15
Sistema operativo Windows xp/w7 1866,67 4,81
Tecnologias WIFI 1866,67 4,81
Servicios de agua y electricidad 1800,00 4,64
Servidor 1666,67 4,29
Disco duros 1666,67 4,29
Laptops 1633,33 4,21
tarjeta de memoria 1633,33 4,21
Datos de proveedores 1600,00 4,12
Servidor 1600,00 4,12
Trabajadores internos 1500,00 3,86
Servicio de internet 1400,00 3,61
Datos de trabajadores 1400,00 3,61
Proveedores 1400,00 3,61
Computadoras 1400,00 3,61
Cableado Estructurado 1333,33 3,43
Oficinas 1333,33 3,43
Datacenter 1333,33 3,43
servicio de mantenimiento maquinaria 1200,00 3,09
Cámaras de vigilancia 1000,00 2,58
Radios 666,67 1,72
Teléfonos 600,00 1,55
Impresoras 500,00 1,29
TOTAL 38833,33 100,00

Activos por orden de Vulnerabilidad (V)

ACTIVOS VULNERABILIDAD V%
Tecnologias WIFI 266,67 5,23
Sistema operativo Windows xp/w7 233,33 4,58
Sistema de BD 233,33 4,58
Laptops 233,33 4,58
Gerencia General 233,33 4,58
tarjeta de memoria 233,33 4,58
Servicio de internet 200,00 3,92
Sistema de información actual Foxpro 200,00 3,92
Teléfonos 200,00 3,92
servicio de mantenimiento maquinaria 200,00 3,92
Servicios de agua y electricidad 200,00 3,92
Datos de proveedores 200,00 3,92
Datos de trabajadores 200,00 3,92
Datos de cliente 200,00 3,92
Cámaras de vigilancia 200,00 3,92
Servidor 200,00 3,92
Proveedores 200,00 3,92
Computadoras 200,00 3,92
Cableado Estructurado 166,67 3,27
Trabajadores internos 166,67 3,27
Servidor 166,67 3,27
Disco duros 166,67 3,27
Impresoras 166,67 3,27
Oficinas 166,67 3,27
Radios 133,33 2,61
Datacenter 133,33 2,61
TOTAL 5100,00 100,00

Análisis de Importancias

Aquí vemos un análisis donde se tiene en cuenta el nivel de riesgo y la

importancia con una ponderación de 1 a 10. Se calculó el porcentaje de los
riesgos y el porcentaje del impacto respectivamente. Al calcular la
diferencia entre estos porcentajes (Dif. de %) se obtiene el porcentaje que
muestra cuán sobrevaluados o menospreciados están los activos de acuerdo
a sus riesgos. A continuación se calcula una cifra (Dif. de importancia) que
representan los porcentajes anteriormente mencionados, de la siguiente
manera:
 Para aplicar la diferencia de porcentajes a la importancia actual, se
multiplican.

Importancia. x Dif. de %

 Este resultado no está en escala de 1 a 10, por lo que con una regla
de tres simple, se centran los valores:

100 % ------------------------------------ 10 puntos de importancia Importancia x

Dif. de % ------------- ? (= Diferencia de importancia)

A este resultado se le suma (o resta de acuerdo al signo) a la importancia

actual, obteniendo la importancia que debería tener cada activo
(importancia ideal), de acuerdo al nivel de riesgos encontrado.

Importancia ideal = Importancia actual + Diferencia de importancia

 Importancia
Nivel de Riesgo
actual Diferencia Dif. De Importancia
Activos
Importa De % importancia Ideal
Riesgo R% I%
ncia
Servicio de
1 1400,00 3,61 7 3,43 0,17 0,12 7,12
internet
Servicio de
2 mantenimi 1200,00 3,09 6 2,94 0,15 0,09 6,09
ento
Servicios
de agua y
3 1800,00 4,64 8 3,92 0,71 0,57 8,57
electricida
d
Datos de
4 proveedor 1600,00 4,12 7 3,43 0,69 0,48 7,48
es
Datos de
5 trabajador 1400,00 3,61 7 3,43 0,17 0,12 7,12
es
Datos de
6 2000,00 5,15 10 4,90 0,25 0,25 10,25
cliente
Sistema de
informació
7 2000,00 5,15 10 4,90 0,25 0,25 10,25
n actual
Foxpro
Sistema
operativo
8 1866,67 4,81 8 3,92 0,89 0,71 8,71
Windows
xp/w7
Sistema de
9 2333,33 6,01 10 4,90 1,11 1,11 11,11
BD
10 Laptops 1633,33 4,21 8 3,92 0,28 0,23 8,23
Cámaras
11 de 1000,00 2,58 5 2,45 0,12 0,06 5,06
vigilancia
12 Servidor 1600,00 4,12 10 4,90 -0,78 -0,78 9,22
Trabajador
13 1500,00 3,86 9 4,41 -0,55 -0,49 8,51
es internos
Proveedor
14 1400,00 3,61 7 3,43 0,17 0,12 7,12
es
Gerencia
15 2100,00 5,41 10 4,90 0,51 0,51 10,51
General
Cableado
16 Estructura 1333,33 3,43 9 4,41 -0,98 -0,88 8,12
do
17 Servidor 1666,67 4,29 10 4,90 -0,61 -0,61 9,39
Tecnologia
18 1866,67 4,81 7 3,43 1,38 0,96 7,96
s WIFI
tarjeta de
19 1633,33 4,21 10 4,90 -0,70 -0,70 9,30
memoria
Computad
20 1400,00 3,61 8 3,92 -0,32 -0,25 7,75
oras
Disco
21 1666,67 4,29 10 4,90 -0,61 -0,61 9,39
duros
22 Impresoras 500,00 1,29 3 1,47 -0,18 -0,05 2,95
23 Teléfonos 600,00 1,55 3 1,47 0,07 0,02 3,02
24 Radios 666,67 1,72 4 1,96 -0,24 -0,10 3,90
25 Oficinas 1333,33 3,43 8 3,92 -0,49 -0,39 7,61
26 Datacenter 1333,33 3,43 10 4,90 -1,47 -1,47 8,53
38833,33 100,00 204,00 100,00 0,00 -0,74 203,26

Listado de activos por orden de Importancia Ideal

IMPORTANCIA
N ACTIVO
IDEAL

9 Sistema de BD 11,11
15 Gerencia General 10,51
7 Sistema de información actual Foxpro 10,25
6 Datos de cliente 10,25
17 Servidor 9,39
21 Disco duros 9,39
19 tarjeta de memoria 9,30
12 Servidor 9,22
8 Sistema operativo Windows xp/w7 8,71
3 Servicios de agua y electricidad 8,57
26 Datacenter 8,53
13 Trabajadores internos 8,51
10 Laptops 8,23
16 Cableado Estructurado 8,12
18 Tecnologias WIFI 7,96
20 Computadoras 7,75
25 Oficinas 7,61
4 Datos de proveedores 7,48
1 Servicio de internet 7,12
5 Datos de trabajadores 7,12
 14 Proveedores 7,12
2 Servicio de mantenimiento 6,09
11 Cámaras de vigilancia 5,06
24 Radios 3,90
23 Teléfonos 3,02
22 Impresoras 2,95
TOTAL 203,26

Valores Máximos, Mínimos y Reales

Se muestran los valores máximos y mínimos de vulnerabilidad que pueden obtener los
activos cuando las probabilidades son llevadas a puntos extremos. Este cálculo es
necesario para compararlos con los valores relevados que figuran en la tercera
columna. Estos cálculos se realizan sin tener en cuenta la influencia de la importancia,
es decir se representan exclusivamente las debilidades de cada activo, con las medidas
de seguridad que actualmente existen en la institución.

Máximo Mínimo Real

Activos (( 3 3 3
% (( 1 1 1 )) % (( 1 2 3 )) %
))
1 Servicio de internet 300 3,85 100 3,85 150,00 0,03
2 servicio de mantenimiento 300 3,85 100 3,85 180,00 0,04
3 Servicios de agua y electricidad 300 3,85 100 3,85 166,67 0,04
4 Datos de proveedores 300 3,85 100 3,85 166,67 0,04
5 Datos de trabajadores 300 3,85 100 3,85 166,67 0,04
6 Datos de CLIENTE 300 3,85 100 3,85 133,33 0,03
Sistema de información actual:
7 300 3,85 100 3,85 133,33 0,03
FOXPRO
Sistema Operativo Windows
8 300 3,85 100 3,85 133,33 0,03
xp/w7
9 Sistema de BD 300 3,85 100 3,85 133,33 0,03
10 Laptops 300 3,85 100 3,85 190,00 0,04
11 Cámaras de vigilancia 300 3,85 100 3,85 166,67 0,04
12 Servidor 300 3,85 100 3,85 166,67 0,04
13 Trabajadores internos 300 3,85 100 3,85 200,00 0,05
14 Proveedores 300 3,85 100 3,85 100,00 0,02
15 Gerencia General 300 3,85 100 3,85 200,00 0,05
16 Cableado Estructurado 300 3,85 100 3,85 166,67 0,04
17 Servidor 300 3,85 100 3,85 166,67 0,04
18 Tecnologías WIFI 300 3,85 100 3,85 233,33 0,05
19 tarjeta de memoria 300 3,85 100 3,85 166,67 0,04
20 Computadoras 300 3,85 100 3,85 200,00 0,05
21 Disco duros 300 3,85 100 3,85 133,33 0,03
22 Impresoras 300 3,85 100 3,85 233,33 0,05
23 Teléfonos 300 3,85 100 3,85 266,67 0,06
24 Radios 300 3,85 100 3,85 166,67 0,04
25 Oficinas 300 3,85 100 3,85 166,67 0,04
26 Datacenter 300 3,85 100 3,85 133,33 0,03
7800 100 2600 100 4420,00 1,00

Porcentajes de Vulnerabilidades Descubiertas

Como consecuencia del cuadro anterior, se puede calcular que el porcentaje de

vulnerabilidades descubiertas la MUNICIPALIDAD DE SAYÁN es del 56.66% (4420
puntos), considerando el nivel máximo de riesgos como el 100% (7800 puntos), y
sabiendo que el porcentaje mínimo es de 33.3% (2600 puntos). Por esto podemos
concluir que la MUNICIPALIDAD DE SAYÁN debería reducir en 23.33% el
porcentaje de vulnerabilidades descubiertas, para así conseguir el nivel mínimo de
riesgos posible.

Porcentaje de vulnerabilidades descubiertas: 56.66%

Porcentaje de vulnerabilidad mínimo: 33.33%
Desviación: 23.33%