Академический Документы
Профессиональный Документы
Культура Документы
Autoras
A.S.S. Carina Isabel Cabrol
A.S. Silvina Lorena Cabrol
Diciembre de 2011
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Agradecimientos
A nuestros familiares por los estímulos para lograr este objetivo y por tolerar
nuestras ausencias.
A Cristian…simplemente.
2
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Índice General
AGRADECIMIENTOS ........................................................................................................................ 2
ÍNDICE GENERAL ............................................................................................................................. 3
ÍNDICE DE GRÁFICAS ..................................................................................................................... 5
ÍNDICE DE TABLAS .......................................................................................................................... 6
INTRODUCCIÓN: .............................................................................................................................. 8
DESCRIPCIÓN DE LA PROBLEMÁTICA ...................................................................................... 10
CAPÍTULO I – SEGURIDAD DE LA INFORMACIÓN..................................................................... 12
1. ¿Qué es la seguridad de la Información? ............................................................................ 12
2. Pilares de Seguridad de la información................................................................................ 13
3. Sistema de Gestión de Seguridad de la Información ........................................................... 14
CAPÍTULO II - ANÁLISIS Y GESTIÓN DE RIESGOS .................................................................... 15
1. ¿Qué es el riesgo? ............................................................................................................... 15
2. Elementos principales del riesgo.......................................................................................... 16
3. Consideración del riesgo ...................................................................................................... 21
4. Análisis de riesgos................................................................................................................ 23
5. Métodos de análisis de riesgos ............................................................................................ 27
6. Gestión de riesgos................................................................................................................ 28
7. Evaluación de riesgos y evaluación de costos ..................................................................... 30
CAPÍTULO III - METODOLOGÍAS DE ANÁLISIS Y GESTIÓN DE RIESGOS .............................. 33
1. MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
33
2. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) ..................... 35
3. CRAMM - CCTA Risk Analysis and Method Management .................................................. 36
4. NIST SP 800-30 GUIA DE ANÁLISIS Y GESTION DE RIESGOS PARA SISTEMAS DE
TECNOLOGÍAS DE LA INFORMACIÓN ..................................................................................... 38
5. Metodología Microsoft .......................................................................................................... 40
6. ISO/IEC 27005 - 2008: Gestión de riesgos .......................................................................... 41
7. ISO 31000: 2009 Risk management- Principles and guidelines – International Organization
for Standarization ......................................................................................................................... 42
8. Síntesis comparativa entre Metodologías ........................................................................... 44
CAPÍTULO IV – NORMATIVA DE APLICACIÓN NACIONAL Y REGIONAL................................ 46
1. Legislación Nacional............................................................................................................. 46
2. Legislación Regional. ........................................................................................................... 54
CAPITULO V – PROPUESTA METODOLÓGICA Y DESARROLLO PRÁCTICO DE ANÁLISIS
DE RIESGOS ................................................................................................................................... 57
1. Propuesta Metodológica ....................................................................................................... 57
2. Caso de estudio: Desarrollo Práctico de Análisis de Riesgo ............................................... 60
CONCLUSIONES............................................................................................................................. 91
3
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
BIBLIOGRAFÍA................................................................................................................................ 93
GLOSARIO ...................................................................................................................................... 95
ANEXOS .......................................................................................................................................... 99
ANEXO I: Caso de estudio ......................................................................................................... 100
ANEXO Il – Puntos relevados para el análisis de riesgo ........................................................... 108
ANEXO IIl: Tesis y Normativa de aplicación: Nacional y Regional ............................................ 110
4
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Índice de Gráficas
5
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Índice de Tablas
7
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Introducción:
Objetivos generales
• Desarrollar un análisis para estimar la magnitud de los riesgos a los que está
expuesta la información en una Organización Gubernamental.
• Elaborar y proponer un plan de acciones para reducir la mayoría de estos riesgos
y para gestionar los riesgos residuales.
8
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Objetivos específicos
9
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Descripción de la Problemática
El continuo avance de las TICs genera en las organizaciones, tanto públicas como
privadas, que presentan cierto nivel de sistematización numerosas situaciones prácticas
y circunstancias de riesgo en la manipulación y tratamiento de la información.
Para poder tomar medidas de seguridad se debe conocer qué es lo que se tiene
que proteger, por lo cual se debe estar al tanto de los puntos débiles con los que cuenta
la organización y pueden poner en peligro la información que opera. Esto constituye la
piedra angular para el desarrollo de una política de seguridad de la información, mediante
la cual se especifiquen procedimientos, reglas y buenas prácticas que determinen el
modo en que los activos y recursos son gestionados y protegidos.
11
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Razón suficiente para que se brinde principal importancia a todos los aspectos
relacionados con la seguridad de la información. La propagación de virus, códigos
malignos y su rápida distribución a través de redes (como Internet) así como otros
ataques e incidentes de seguridad que se producen reiteradamente han contribuido a
despertar mayor interés por esta cuestión.
12
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
13
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Personas Tecnología
• Sensibilización y formación
• Obligaciones y responsabilidades del • Selección, instalación, configuración y
personal actualización de soluciones hard y soft.
• Control y supervisión • Estandarización de productos.
• Colectivos a considerar: directivos, • Desarrollo seguro de aplicaciones
administradores, programadores,
usuarios, personal externo
S. G. S. I
2 GOMEZ VIEITES, Álvaro; “Enciclopedia de la seguridad Informática”; Alfa Omega Ra-Ma; México 2007;
ISBN: 978-970-15-1266-1; págs. 18- 20
3
Op. Cit, pág. 19.
14
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
1. ¿Qué es el riesgo?
Activos
“…Activo: Recurso, producto, proceso, dato, todo aquello que tenga un valor para
el objetivo de la organización…”4
• Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que
se necesitan para poder gestionar dichos datos.
• Las aplicaciones informáticas (software) que permiten manejar los datos.
• Los equipos informáticos (hardware) que permiten hospedar datos, aplicaciones
y servicios.
• Los soportes de información que son dispositivos de almacenamiento de datos.
• El equipamiento auxiliar que complementa el material informático.
• Las redes de comunicaciones que permiten intercambiar datos.
• Las instalaciones que acogen equipos informáticos y de comunicaciones.
• Las personas que explotan u operan todos los elementos anteriormente citados.
Valoración
Los activos interesan por su valor. Es decir, para poder determinar la protección a
brindar a un activo se debe conocer el valor del mismo en la organización o la relación del
activo con los objetivos de esta organización.
4
Segu-info.com.ar – Introducción a ISO 27000 y Gobernabilidad en IT
16
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
La valoración de los activos puede ser cuantitativa (con una cantidad numérica) o
cualitativa (en alguna escala de niveles). Los criterios más importantes a respetar son:
Amenazas:
5
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Método v10b; pág.
103
17
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Una vez determinado que una amenaza puede perjudicar a un activo, hay que
estimar cuán vulnerable es el activo.
Vulnerabilidad
18
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Salvaguardas o Contramedidas
• es teóricamente idónea
• está perfectamente desplegada, configurada y mantenida
• se emplea siempre
• existen procedimientos claros de uso normal y en caso de incidencias
• los usuarios están formados y concienciados
• existen controles que avisan de posibles fallos
Entre una eficacia del 0% para aquellas que están de adorno y el 100% para
aquellas que son perfectas, se estimará un grado de eficacia real en cada caso concreto.
19
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Impacto
Impacto residual
Riesgo residual
El impacto y riesgo residual son una medida del estado presente, entre la
inseguridad potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen
impacto y riesgo a valores despreciables. Son una métrica de carencias.
6
Op. Cit. Pág. 109.
20
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
21
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Tipos de salvaguardas
Tanto las medidas preventivas como las de emergencia admiten una cierta
degradación de los activos por lo que habrá que disponer por último de medidas de
recuperación que devuelvan el valor perdido por los activos.
Es de sentido común intentar actuar de forma preventiva para que las cosas no
puedan ocurrir o no puedan causar mucho daño; pero no siempre es posible y hay que
estar preparados para que ocurran. Lo que de ninguna manera puede pasar es que un
ataque pase inadvertido: hay que detectarlo, registrarlo y reaccionar primero con medidas
de emergencia (que paren y limiten el incidente) y después con medidas de continuidad y
recuperación para regresar a donde se debe estar.
22
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
4. Análisis de riesgos
Este análisis tiene como objetivo identificar los riesgos, mediante la definición de
sus elementos, y lograr establecer el riesgo total y residual, en términos cuantitativos y/o
cualitativos. Realizar este análisis es indispensable para lograr administrar
adecuadamente los mismos.
23
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
24
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Análisis de Modelo
riesgos de valor
Mapa de Gestión de
Salvaguardas
riesgos riesgos
Auditoría
Evaluación
de seguridad
Resultados
de
evaluación
Certificación Registro
Acreditación
Las auditorías pueden ser internas o externas y pueden ser requeridas por la ley,
por la propia dirección o por otras entidades relacionadas a la organización que ven su
propio nivel de riesgo ligado.
8
Op. Cit., pág. 12
25
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
26
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
El análisis de riesgo es un proceso que forma parte de un plan para hacer frente a
los problemas de seguridad e intentar minimizar los efectos que esos problemas pueden
acarrear. Este proceso hace referencia a tres cuestiones básicas de la seguridad:
Al usar este método se asignan números reales positivos ($,%) a los elementos
del análisis de riesgo y a las contramedidas.
Este método es mucho más sencillo e intuitivo que el anterior, ya que ahora no
entran en juego probabilidades exactas sino simplemente una estimación de pérdidas
potenciales. Para ello se interrelacionan los elementos: amenazas, vulnerabilidades,
impacto y las salvaguardas. Con éstos se puede obtener un indicador cualitativo del nivel
de riesgo asociado a un activo determinado dentro de la organización, visto como la
probabilidad de que una amenaza se materialice sobre un activo y produzca determinado
impacto.
En comparación…
27
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Impacto y riesgo residual pueden ser cualitativos hasta que aparecen grandes
inversiones y hay que determinar su racionalidad económica: ¿qué es lo que interesa
más? En este punto se necesitan números.
6. Gestión de riesgos
Selección de salvaguardas
Toda amenaza debe ser enfrentada profesionalmente, lo que quiere decir que hay
que:
No debe interpretarse que hay que llevar a cabo todos y cada uno de los puntos
para cada amenaza, sino que en la práctica lo dicho se traduce en desarrollar una
política, unas normas y unos procedimientos junto con el despliegue de una serie de
28
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
salvaguardas y controles y luego verificar que todas y cada una de las amenazas tienen
una respuesta adecuada.
Para una mayor eficacia, la gestión del riesgo en una organización debe tener en
cuenta los siguientes principios:
29
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
9
ISO 31000:2009 - Risk management – Principles and guidelines
10
Segu-Info: Seguridad de la Información – Artículo: Evaluación de riesgos
(http://www.segu-info.com.ar/politicas/riesgos.htm)
30
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Con ayuda del análisis de riesgos y teniendo en cuenta las respuestas a las
preguntas presentadas anteriormente se puede saber qué recursos vale la pena proteger,
y justifican el costo de la inversión.
CR > CP: Si atacar el bien es más caro de lo que valen, al atacante le conviene
más obtenerlo de otra forma menos costosa.
CP > CS: El costo de los bienes protegidos debe ser mayor que el costo de la
protección. Se debe tratar de valorar los costos en que se puede incurrir en el peor de los
casos diferenciando el costo de las medidas de seguridad adoptadas. Se debe poner
especial cuidado para no incurrir en el error de no considerar costos, muchas veces,
ocultos (costos derivados).
Al evaluar los bienes y los costos derivadas de sus pérdidas se debe tener en
cuenta los siguientes conceptos:
31
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Punto de Equilibrio: Una vez evaluados los riesgos y los costos en los que se
está dispuesto a incurrir y decidido el nivel de seguridad a adoptar, podrá obtenerse un
punto de equilibrio entres estas magnitudes.
11
Segu-Info: Seguridad de la Información – Artículo: Evaluación de costos. (http://www.segu-
info.com.ar/politicas/costos.htm)
32
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Objetivos de Magerit12:
Directos:
1. concienciar a los responsables de los sistemas de información de la existencia de
riesgos y de la necesidad de detenerlos a tiempo;
2. ofrecer un método sistemático para analizar tales riesgos;
3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.
Indirectos:
1. preparar a la Organización para procesos de evaluación, auditoría, certificación o
acreditación, según corresponda en cada caso
12
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
Método v10b; página 6.
33
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
Valor
Causan cierta
Degradación
Impacto
Con una cierta
Frecuencia
Riesgo
13
Op. Cit; pág. 16.
34
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
OCTAVE Allegro: definida para el análisis de riesgos con mayor enfoque en los
activos de información.
Principios Atributos
Metodología auto-dirigida Equipo de análisis
Capacidades del equipo de Análisis
Medidas adaptables Catálogo de prácticas
Perfil de amenazas genérico
Catálogo de vulnerabilidades
Proceso definido Actividades de evaluación definidas
Documentación de los resultados de la
evaluación
Alcance de la evaluación
Proceso Continuo Pasos próximos
Catálogos de prácticas
Visión de futuro Enfoque en riesgos
Enfoque en reducido número de riesgos Alcance de las evaluaciones
Actividades enfocadas
Gestión integrada Aspectos organizativos y tecnológicos
Participación de negocio y de áreas
tecnológicas
Participación de la alta dirección
Comunicación abierta Enfoque colaborativo
Perspectiva Global Aspectos organizativos y tecnológicos
Participación de negocios y de áreas
tecnológicas
Equipo de trabajo Equipo de análisis
Capacidades del equipo de análisis
Participación de negocios y de áreas de
tecnológicas
Enfoque colaborativo
35
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
El Proceso OCTAVE cuenta con tres fases las cuales pueden resumirse en el
siguiente esquema:
Activos
Fase 3: Estrategia y desarrollo
Preparación Amenazas
del plan
Prácticas actuales Componentes clave
Vulnerabilidades técnicas
Componentes clave
Vulnerabilidades técnicas
Es una metodología creada en 1987 por la Central Agency of Data Processing and
Telecommunications del Gobierno del Reino Unido.
36
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
VULNERABILIDADES
ANÁLISIS
CONTRAMEDIDAS
IMPLANTACIÓN GESTIÓN
AUDITORÍA
37
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
La propuesta Nist SP 800 – 30, publicada en julio del 2002, ofrece un proceso
para el análisis de riesgo y otro para la gestión de riesgos. En los siguientes esquemas se
presentan cada uno de estos procesos con los pasos que incluye cada uno, sus entradas
y sus salidas:
Paso 7:
Determinación del riesgo Riesgos y niveles de riesgos
Paso 8:
Recomendación de controles Controles recomendados
Paso 9:
Informes de valoración de riesgos
Documentación de resultados
38
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Paso 2:
Evaluación de opciones de controles
Informe de evaluación de recomentados: Lista de posibles
riesgos Viabilidad controles
Eficacia
Paso 3:
Análisis costo beneficio
Impacto de la implantación Análisis costo beneficios
Impacto de la no implantación
Costos asociados
Paso 4:
Controles seleccionados
Selección de controles
Paso 5:
Listado de responsables
Asignación de responsabilidades
Paso 6:
Plan de implantación de
Desarrollo del Plan de Implantación de
salvaguardas
salvaguardas
Paso 7:
Implantación de controles seleccionados
Riesgos y niveles de riesgos
Acciones priorizadas
Controles recomendados
Riesgos residuales
Controles seleccionados
Responsables
Fecha de inicio
Fecha objetivo de finalización
Requerimientos de mantenimiento
39
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
5. Metodología Microsoft
Microsoft publica en el año 2004 su primera guía normativa centrada por completo
en la administración de riesgos de seguridad. Basada en las experiencias propias de
Microsoft y en las de sus clientes, esta guía ha sido probada y revisada por sus clientes,
socios y revisores técnicos durante su desarrollo.
• Hacer que los clientes adopten una postura de seguridad proactiva y liberarlos de
un proceso reactivo y frustrante.
• Ayudar a los clientes a mitigar de forma eficaz los riesgos de mayor envergadura
en sus entornos en vez de aplicar recursos escasos a todos los riesgos posibles.
Esta guía emplea estándares del sector para ofrecer un modelo híbrido. Es un
proceso de cuatro fases que busca el equilibrio entre el costo y la efectividad.
40
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
El enfoque está estructurado en tres elementos claves para una efectiva gestión
de riesgos:
1. Crea Valor.
2. Está integrada en los
procesos de una Compromiso de
organización. la Dirección
3. Forma parte de la toma
de decisiones.
4. Trata explícitamente la
incertidumbre.
Diseño de la
5. Es sistemática,
estructura de
estructurada, y
soporte
adecuada.
6. Está basada en la mejor
información disponible.
7. Está hecha a medida.
Mejora continua Implantación
8. Tiene en cuenta
de la estructura de la gestión
factores humanos y
del riesgo
culturales.
9. Es transparente e
inclusiva.
te a
en m
Gráfica Nº 12 “A” - Relación entre Principios, estructura de soporte y Proceso de gestión de riegos ISO
31000 - http://www.avantium.es/index.php?option=com_content&view=article&id=88&Itemid=21
42
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Establecer el contexto
Evaluación de riesgos
Comunicación Seguimiento
y consulta Analizar los riesgos
y revisión
Gráfica Nº 12 “B” - Relación entre Principios, estructura de soporte y Proceso de gestión de riegos ISO
31000 - http://www.avantium.es/index.php?option=com_content&view=article&id=88&Itemid=21
43
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Ministerio de
MAGERIT Administracio- España 2006 X X X X
nes Públicas
Universidad de
Estados
OCTAVE Carnegie 2001 X X X X X
Unidos
Mellon
CCTA Central
Computing
Reino
CRAMM and 2003 X X X X
Unido
Comunication
Agency
NIST –
National
Estados
NIST Institute of 2002 X X X X
Unidos
Standards and
Technology
Microsoft Estados
MICROSOFT 2004 X X X X
Corporation Unidos
ISO –
International Interna-
ISO 27005 Organization cional 2008 X X X X X
for (Suiza)
Standarization
ISO –
International Interna-
ISO 31000 Organization cional 2009 X X X X
for (Suiza)
Standarization
44
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Otras Metodologías:
• Calpana CRISAM
• ENISA Regulation
• Threat and Risk Assessment Working Guide from The Government of Canada
Security Policy.
45
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Al igual que en toda organización los procesos que se ejecutan deben estar
basados en normativas y reglamentaciones desarrolladas con el objetivo de evitar riegos
o arbitrariedades.
1. Legislación Nacional
Introducción:
“El delito informático implica actividades criminales que los países han tratado de
encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes,
falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso
de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las
computadoras lo que ha creado la necesidad de regulación por parte del derecho…”14
14
www.segu-info.com.ar/legislacion/ - Artículo: “Legislación y delitos informáticos- La información y el delito”
46
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Objetivo:
— Titular de los datos: Toda persona física o persona de existencia ideal con
domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del
tratamiento al que se refiere la presente ley.
48
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Los archivos, registros, bases y bancos de datos que contengan datos de carácter
personal deberán adoptar las medidas de seguridad calificadas como de Nivel Básico
que a continuación se detallan:
10. Procedimiento que garantice una adecuada Gestión de los Soportes que
contengan datos de carácter personal (identificación del tipo de información que
contienen, almacenamiento en lugares de acceso restringidos, inventarios,
autorización para su salida fuera del local en que están ubicados, destrucción de
la información en desuso).
Los archivos, registros, bases y bancos de datos de las empresas privadas que
desarrollen actividades de prestación de servicios públicos, así como los archivos,
registros, bases y bancos de datos pertenecientes a entidades que cumplan una función
pública y/o privada que deban guardar secreto de la información personal por expresa
disposición legal, además de las medidas de seguridad de nivel Básico, deberán adoptar
las siguientes:
50
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Los archivos, registros, bases y bancos de datos que contengan datos personales,
definidos como “datos sensibles”, con la excepción que se señalará más abajo, además
de las medidas de seguridad de nivel Básico y Medio, deberán adoptar las que a
continuación se detallan:
51
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Requerimiento de firma.
En esta ley se establece que cuando la ley requiera una firma manuscrita, esa
exigencia también quede satisfecha por una firma digital. Este principio es aplicable a los
casos en que la ley establece la obligación de firmar o prescribe consecuencias para su
ausencia.
Presunción de autoría. Se presume, salvo prueba en contrario, que toda firma digital
pertenece al titular del certificado digital que permite la verificación de dicha firma.
Validez. Una firma digital es válida si cumple con los siguientes requisitos:
a) Haber sido creada durante el período de vigencia del certificado digital válido del
firmante;
b) Ser debidamente verificada por la referencia a los datos de verificación de firma digital
indicados en dicho certificado según el procedimiento de verificación correspondiente;
a) Estándares tecnológicos;
53
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
2. Legislación Regional.
15
Nota: Ley 24.156, Artículo 8º, Inciso a) Administración Nacional, conformada por la Administración
Central y los Organismos Descentralizados, comprendiendo en estos últimos a las Instituciones de
Seguridad Social; Inciso c) Entes Públicos excluidos expresamente dela Administración Nacional, que abarca
a cualquier organismo estatal no empresarial, con autarquía financiera, personalidad jurídica y patrimonio
propio, donde el estado nacional tenga control mayoritario del patrimonio o de la formación de las
decisiones, incluyendo aquellas entidades públicas no estatales donde el Estado nacional tenga el control
de las decisiones.
54
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Asimismo, y entre otros puntos a observar sobre esta ley, se determinan pautas
para la ejecución del presupuesto y de contrataciones.
Título I: bajo este título se establecen los mecanismos para llevar a cabo todo tipo de
trámite y representaciones, movimiento de expedientes, notificaciones, vistas y traslados,
foliado, resoluciones administrativas, entre otros.
Título II: en los apartados incluidos bajo este título se definen los distintos recursos a
tener en cuenta, por ejemplo: Recurso de revocatoria, recurso de aclaratoria, o Recurso
de apelación jerárquica.
Este estatuto regula lo relativo a las relaciones de trabajo entre el Municipio y los
empleados y obreros municipales como así también sus derechos y obligaciones.
Asimismo, se presenta el artículo 17º, el cual establece las prohibiciones a las que
está sujeto el personal municipal:
55
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
56
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
1. Propuesta Metodológica
Introducción:
58
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
59
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
2. Valoración de activos
60
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
3. Identificar Amenazas
Las amenazas identificadas para cada uno de los activos determinados, luego del
relevamiento, se muestran en los siguientes listados
1) Base de datos.
a) Copia no autorizada de un medio de datos
b) Errores de software y/ o hardware
c) Falla de base de datos
d) Falta de espacio de almacenamiento
e) Mala configuración del Schedule de backups
f) Perdida de backups
g) Perdida de datos en tránsito
h) Falla o deterioro en el medio de almacenamiento externo
i) Robo
j) Sabotaje
k) Virus
l) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
2) Hardware general
a) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
b) Deterioro o mal uso de un componente
c) Factores ambientales, catástrofes
d) Limite de vida útil
e) Mal mantenimiento
f) Robo
61
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
3) Hardware especifico
a) Deterioro o mal uso de un componente
b) Factores ambientales, catástrofes
c) Limite de vida útil
d) Mal mantenimiento
e) Robo
f) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
4) Software general
a) Accesos no autorizados (borrado, modificación, robo, etc).
b) Aplicaciones sin licencia
c) Falta de documentación de aplicaciones
d) Error de configuración
e) Falla de compatibilidad
f) Falla del sistema operativo
g) Software desactualizado
h) Virus
i) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
5) Software específico
a) Accesos no autorizados (borrado, modificación, robo, etc).
b) Aplicaciones sin licencia
c) Falta de documentación de aplicaciones
d) Error de configuración
e) Falla del sistema operativo
f) Software desactualizado
g) Virus
h) Corte de servicio eléctrico, UPS sin baterías o inestabilidad de voltaje
10) Usuarios
a) Acceso no autorizado
b) Condiciones de trabajo adversas
c) Desvinculación del personal
d) Falta de control de sesión de usuario abierta
e) Restricciones inexistentes en las tareas o procesos que realizan los usuarios
11) Insumos
a) Factores ambientales (humedad, luz y polvo). Catástrofes
b) Límite de vida útil
c) Recursos escasos
d) Uso descontrolado de recursos
e) Robo
f) Documentación inadecuada
En esta instancia se presentan las amenazas posibles para cada uno de los
activos listados, la degradación que afectaría al activo en caso de manifestarse y la
frecuencia con la que puede ocurrir. Se utilizan las siguientes escalas de valores para
analizar el grado de incidencia al activo en estudio. A saber:
63
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Base de Datos
Hardware general
Hardware especifico
Software general
64
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Falla de compatibilidad 2 1
Falla del sistema operativo 4 1/10
Software desactualizado 3 100
Virus 3 100
Corte de servicio eléctrico, UPS sin baterías o
2 10
inestabilidad de voltaje
Software específico
Usuarios
Insumos
Datos de usuarios
66
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Virus 2 1
Modificación descontrolada de datos compartidos 4 1
Corte de servicio eléctrico, UPS sin baterías o
2 10
inestabilidad de voltaje
Base de Datos
Tabla Nº 8.1: Base de datos: Estimación del Impacto de cada amenaza determinada
(I=VA xD)
Valor del activo (VA) 10
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Copia no autorizada de un medio de datos 3 1/10 30
Errores de software y/ o hardware 3 1 30
Falla de base de datos 4 1/10 40
Falta de espacio de almacenamiento 4 1 40
Mala configuración del Schedule de
3 1 30
backups
Perdida de backups 3 1/10 30
Perdida de datos en tránsito 3 1 30
Falla o deterioro en el medio de
3 1 30
almacenamiento externo
Robo 4 1/10 40
Sabotaje 4 1/10 40
Virus 3 10 30
Corte de servicio eléctrico, UPS sin
4 10 40
baterías o inestabilidad de voltaje
Impacto total: 410
Hardware general
Tabla Nº 8.2: Hardware general: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 4
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Corte de servicio eléctrico, UPS sin
2 10 8
baterías o inestabilidad de voltaje
Deterioro o mal uso de un componente 3 10 12
Factores ambientales, catástrofes 2 1 8
Limite de vida útil 2 10 8
Mal mantenimiento 3 10 12
Robo 4 1/10 16
Impacto total: 64
67
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Hardware especifico
Tabla Nº 8.3: Hardware específico: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 6
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Deterioro o mal uso de un componente 3 1 18
Factores ambientales, catástrofes 2 1/10 12
Limite de vida útil 2 10 12
Mal mantenimiento 3 10 18
Corte de servicio eléctrico, UPS sin baterías
2 10 12
o inestabilidad de voltaje
Robo 4 1/10 24
Impacto total: 96
Software general
Tabla Nº 8.4: Software general. Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 9
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Accesos no autorizados (borrado,
4 1 36
modificación, robo, etc).
Aplicaciones sin licencia 2 100 18
Falta de documentación de aplicaciones 2 100 18
Error de configuración 3 10 27
Falla de compatibilidad 2 1 18
Falla del sistema operativo 4 1/10 36
Software desactualizado 3 100 27
Corte de servicio eléctrico, UPS sin baterías
2 10 18
o inestabilidad de voltaje
Virus 3 100 27
Impacto total: 225
Software específico
Tabla Nº 8.5: Software específico: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 10
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Accesos no autorizados (borrado, 4 10
40
modificación, robo, etc).
Aplicaciones sin licencia 2 1 20
Falta de documentación de aplicaciones 3 100 30
Error de configuración 3 10 30
Falla del sistema operativo 4 1/10 40
Software desactualizado 3 10 30
Corte de servicio eléctrico, UPS sin
3 10 30
baterías o inestabilidad de voltaje
Virus 3 100 30
Impacto total: 250
68
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Tabla Nº 8.6: Datos: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 8
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Corte de servicio eléctrico, UPS sin baterías 4 10 32
o inestabilidad de voltaje
Copia no autorizada 3 1/10 24
Falla en medios externos 4 1/10 32
Perdida de datos en tránsito 3 1/10 24
Sabotaje 4 1/10 32
Virus 3 1 24
Impacto total: 168
Tabla Nº 8.7: Documentación física: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 8
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Factores ambientales, catástrofes 4 1/10 32
Acceso no autorizado a datos de 3 1
24
documentación
Manipulación no autorizada o inadecuada 3 10 24
Robo 4 1/10 32
Desvinculación del personal a cargo de dicha 2 1/10
16
documentación.
Deterioro involuntario de documentación 3 1/10 24
Impacto total: 152
Tabla Nº 8.8: Red: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 8
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Mal uso del servicio de email 3 1 24
Mal estado del cableado y dispositivos 4 10 32
Falta de control y documentación de
4 10 32
configuraciones
Corte de servicio eléctrico, UPS sin baterías
4 10 32
o inestabilidad de voltaje
Falta de servicio de internet 4 100 32
Impacto total: 152
Tabla Nº 8.9: Copias de seguridad: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 9
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Rotulación inadecuada de backups o 2 1/10 18
69
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
inexistente
Resguardos inapropiados o soportes en mal
4 1 36
estado, o no controlados
Incumplimiento de la periodicidad en el
3 10 27
resguardo de la información
Lugar incorrecto de conservación de
2 10 18
soportes de backups.
Errores de software. 3 1 27
Falta de espacio de almacenamiento. 3 1/10 27
Sabotaje 3 1/10 27
Virus 2 1 18
Impacto total: 198
Usuarios
Tabla Nº 8.10: Usuarios: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 7
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Acceso no autorizado 2 10 14
Condiciones de trabajo adversas 2 1/10 14
Desvinculación del personal 3 1/10 21
Falta de control de sesión de usuario abierta 3 1 21
Restricciones inexistentes en las tareas o
3 1/10 21
procesos que realizan los usuarios
Impacto total: 91
Insumos
Tabla Nº 8.11: Insumos: Estimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 3
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Factores ambientales (humedad, luz y
3 1 9
polvo). Catástrofes
Límite de vida útil 4 1 12
Recursos escasos 2 10 6
Uso descontrolado de recursos 2 10 6
Robo 3 1/10 9
Documentación inadecuada 2 1 6
Impacto total: 48
Datos de usuarios
Tabla Nº 8.12: Datos de usuariosEstimación del Impacto de cada amenaza determinada (I=VA xD)
Valor del activo (VA) 6
Degradación Frecuencia
Amenaza Impacto (I)
(D) (F)
Falta de espacio de almacenamiento 3 1/10 18
Perdida de backup o inexistencia 3 1 18
Robo 2 1/10 12
Sabotaje 3 1/10 18
Virus 2 1 12
70
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
De igual forma que en el paso anterior, en esta instancia se debe estimar el riesgo
de cada activo teniendo en cuenta los valores obtenidos de Impacto, así como el valor
establecido para la frecuencia con la que se estima pueden materializarse las amenazas
previstas.
Base de Datos
Tabla Nº 9.1: Base de datos: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Copia no autorizada de un medio de datos 1/10 30 3
Errores de software y/ o hardware 1 30 30
Falla de base de datos 1/10 40 4
Falta de espacio de almacenamiento 1 40 40
Mala configuración del Schedule de backups 1 30 30
Perdida de backups 1/10 30 3
Perdida de datos en tránsito 1 30 30
Falla o deterioro en el medio de
1 30 30
almacenamiento externo
Robo 1/10 40 4
Sabotaje 1/10 40 4
Virus 10 30 300
Corte de servicio eléctrico, UPS sin baterías
4 40 160
o inestabilidad de voltaje
Riesgo total: 638
Hardware general
Tabla Nº 9.2: Hardware general: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Corte de servicio eléctrico, UPS sin baterías o
10 8 80
inestabilidad de voltaje
Deterioro o mal uso de un componente 10 12 120
Factores ambientales, catástrofes 1 8 8
Limite de vida útil 10 8 80
Mal mantenimiento 10 12 120
Robo 1/10 16 1,6
Riesgo total: 409,6
71
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Hardware especifico
Tabla Nº 9.3: Hardware específico: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Deterioro o mal uso de un componente 1 18 18
Factores ambientales, catástrofes 1/10 12 1,2
Limite de vida útil 10 12 120
Mal mantenimiento 10 18 180
Corte de servicio eléctrico, UPS sin baterías o
10 12 120
inestabilidad de voltaje
Robo 1/10 24 2,4
Riesgo total: 441,6
Software general
Tabla Nº 9.4: Software general: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Accesos no autorizados (borrado,
1 36 36
modificación, robo, etc).
Aplicaciones sin licencia 100 18 1800
Falta de documentación de aplicaciones 100 18 1800
Error de configuración 10 27 270
Falla de compatibilidad 1 18 18
Falla del sistema operativo 1/10 36 3,6
Software desactualizado 100 27 2700
Corte de servicio eléctrico, UPS sin baterías o
10 18 180
inestabilidad de voltaje
Virus 100 27 2700
Riesgo total: 9507,6
Software específico
Tabla Nº 9.5: Software específico: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Accesos no autorizados (borrado,
10 40 400
modificación, robo, etc).
Aplicaciones sin licencia 1 20 20
Falta de documentación de aplicaciones 100 30 3000
Error de configuración 10 30 300
Falla del sistema operativo 1/10 40 4
Software desactualizado 10 30 300
Corte de servicio eléctrico, UPS sin baterías o
10 30 300
inestabilidad de voltaje
Virus 100 30 3000
Riesgo total: 7324
Tabla Nº 9.6: Datos: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Corte de servicio eléctrico, UPS sin baterías o 10 32 320
inestabilidad de voltaje
Copia no autorizada 1/10 24 2,4
72
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Tabla Nº 9.7: Documentación física: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Factores ambientales, catástrofes 1/10 32 3,2
Acceso no autorizado a datos de
1 24 24
documentación
Manipulación no autorizada o inadecuada 10 24 240
Robo 1/10 32 3,2
Desvinculación del personal a cargo de dicha
1/10 16 1,6
documentación.
Deterioro involuntario de documentación 1/10 24 2,4
Riesgo total: 274,4
Tabla Nº 9.8: Red: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Mal uso del servicio de email 1 24 24
Mal estado del cableado y dispositivos 10 32 320
Falta de control y documentación de 10
32 320
configuraciones
Corte de servicio eléctrico, UPS sin baterías o 10
32 320
inestabilidad de voltaje
Falta de servicio de internet 100 32 3200
Riesgo total: 4184
Tabla Nº 9.9: Copias de seguridad. Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Rotulación inadecuada de backups o
1/10 18 1,8
inexistente
Resguardos inapropiados o soportes en mal
1 36 36
estado, o no controlados
Incumplimiento de la periodicidad en el
10 27 270
resguardo de la información
Lugar incorrecto de conservación de soportes
10 18 180
de backups.
Errores de software. 1 27 27
Falta de espacio de almacenamiento. 1/10 27 2,7
Sabotaje 1/10 27 2,7
Virus 1 18 18
Riesgo total: 538,2
73
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Usuarios
Tabla Nº 9.10: Usuarios: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Acceso no autorizado 10 14 140
Condiciones de trabajo adversas 1/10 14 1,4
Desvinculación del personal 1/10 21 2,1
Falta de control de sesión de usuario abierta 1 21 21
Restricciones inexistentes en las tareas o
1/10 21 2,1
procesos que realizan los usuarios
Riesgo total: 166,6
Insumos
Tabla Nº 9.11: Insumos: Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Factores ambientales (humedad, luz y polvo).
1 9 9
Catástrofes
Límite de vida útil 1 12 12
Recursos escasos 10 6 60
Uso descontrolado de recursos 10 6 60
Robo 1/10 9 0,9
Documentación inadecuada 1 6 6
Riesgo total: 147,9
Datos de usuarios
Tabla Nº 9.12: Datos de usuarios. Estimación del Riesgo por cada amenaza determinada (R=F x I)
Amenaza Frecuencia (F) Impacto (I) Riesgo (R)
Falta de espacio de almacenamiento 1/10 18 1,8
Perdida de backup o inexistencia 1 18 18
Robo 1/10 12 1,2
Sabotaje 1/10 18 1,8
Virus 1 12 12
Corte de servicio eléctrico, UPS sin baterías o
10 12 120
inestabilidad de voltaje
Modificación descontrolada de datos
1 24 24
compartidos
Riesgo total: 178,8
74
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Se dice que es el riesgo máximo debido a que los cálculos realizados fueron
pensados ante la posibilidad que cada una de las amenazas se materialice, es decir sin
tener en cuenta ninguna salvaguarda.
75
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
En este paso se presentan las salvaguardas que actualmente se aplican como medidas de seguridad para preservar los activos, y se
realizan los cálculos para determinar el impacto y el riesgo.
Es oportuno indicar que, así como en los cálculos anteriores, se asignan a degradación (D) y frecuencia (F) valores cualitativos
basados en la clasificación presentada en las Tabla Nºs 3 y 4, para los próximos cálculos también se tiene en cuenta dicha clasificación.
Base de Datos
Tabla Nº 11.1: Base de datos: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 10
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Copia no autorizada de un medio de Acceso restringido al lugar
1 1/10 10 1
datos Control de usuarios mediante contraseñas
Copia de seguridad diaria y semanal
Errores de software y /o hardware Controles mensual de configuraciones y técnico 2 1 20 20
Control de temperatura del servidor
Falla de base de datos Copia de seguridad diaria y semanal
2 1/10 20 2
Controles mensual de configuraciones
Capacidad del medio de almacenamiento de la base
Falta de espacio de almacenamiento de datos muy amplio, de acuerdo al volumen de 2 1 20 20
información que se almacena
Mala configuración del Schedule de
Controles mensuales de configuración 2 1 20 20
backups
Perdida de backups No se tienen contramedidas previstas 3 1/10 30 3
Perdida de datos en tránsito No se tienen contramedidas previstas 4 1 40 40
Alerta prevista en el sistema cuando no se realiza el
Falla o deterioro en el medio de pasaje de datos.
1 1 10 10
almacenamiento externo Control interno por el personal autorizado
Control de funcionamiento técnico mensual
Acceso restringido al lugar
Robo 2 1/10 20 2
Control de usuarios mediante contraseñas
76
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Hardware general
Tabla Nº 11.2: Hardware general: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 4
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Corte de servicio eléctrico, UPS sin Algunos componentes hardware poseen UPS
2 10 8 80
baterías o inestabilidad de voltaje controlado diariamente.
Manuales de componentes disponibles a todos los
Deterioro o mal uso de un
usuarios 2 10 8 80
componente
Controles técnicos mensual
Ventilación, adecuada en las instalaciones
Factores ambientales, catástrofes Equipamiento asegurado 1 1 4 4
Extintores de incendios
Limite de vida útil Insumos de respaldo 2 10 8 80
Mal mantenimiento Control técnico mensual y según requerimiento 1 10 4 40
Control de acceso restringido
Robo Alarmas de seguridad 2 1/10 8 0,8
Equipamiento asegurado por robo (no por hurto)
Totales 40 284,8
77
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Hardware especifico
Tabla Nº 11.3: Hardware específico: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 6
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Manuales de componentes disponibles a todos los
Deterioro o mal uso de un componente usuarios 1 1 6 6
Controles técnicos mensual
Ventilación, adecuada en las instalaciones
Factores ambientales, catástrofes Equipamiento asegurado 1 1/10 6 0,6
Extintores de incendios
Limite de vida útil Insumos de respaldo 2 10 12 120
Mal mantenimiento Control técnico mensual y según requerimiento 1 10 6 60
Control de acceso restringido
Alarmas de seguridad
Robo 2 1/10 12 1,2
Equipamiento asegurado por robo (no por hurto)
Resguardo en lugar seguro (bajo llave)
Corte de servicio eléctrico, UPS sin Algunos componentes hardware poseen UPS
2 10 12 120
baterías o inestabilidad de voltaje controlado diariamente.
Total: 54 307,8
Software general
Tabla Nº 11.4: Software general: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 9
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Accesos no autorizados (borrado,
Controles físicos de accesos a las instalaciones 3 1 27 27
modificación, robo, etc).
Aplicaciones sin licencia No se aplican contramedidas 2 100 18 1800
Falta de documentación de aplicaciones No se aplican contramedidas 2 100 18 1800
78
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Software específico
Tabla Nº 11.5: Software específico: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 10
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Controles físicos de accesos a las instalaciones.
Accesos no autorizados (borrado,
Acceso restringido mediante usuarios y 2 10 20 200
modificación, robo, etc).
contraseñas
Aplicaciones sin licencia Licencia registrada y actualizada mensualmente 1 1 10 10
Acceso a documentación según requerimiento,
Falta de documentación de aplicaciones existencia de manuales de funcionamiento en la 1 100 10 1000
institución
Control mensual y según requerimiento, por el
Error de configuración 1 10 10 100
servicio técnico encargado
Control mensual y según requerimiento, por el
Falla del sistema operativo 2 1/10 20 2
servicio técnico encargado
Software desactualizado El servicio técnico realiza, cuando corresponde, 1 10 10 100
79
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
actualizaciones necesarias
Virus Herramienta de antivirus y firewall 2 100 20 2000
Corte de servicio eléctrico, UPS sin Algunos equipos poseen UPS controlado
2 10 20 200
baterías o inestabilidad de voltaje diariamente.
Total 120 3612
Tabla Nº 11.6: Datos: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 8
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Corte de servicio eléctrico, UPS sin
No se posen contramedidas 4 10 32 320
baterías o inestabilidad de voltaje
Acceso restringido a las instalaciones y a las
Copia no autorizada 1 1/10 8 0,8
terminales de trabajo mediante contraseña
Control interno por el personal autorizado
Falla en medios externos 2 1/10 16 1,6
Control de funcionamiento técnico mensual
Perdida de datos en tránsito No se implementan contramedidas 3 1/10 24 2,4
Acceso restringido al lugar
Sabotaje Control de usuarios mediante contraseñas 2 1/10 16 1,6
Acceso no autorizado a datos por la red
Virus Herramientas de antivirus y firewall 2 1 16 16
Total 112 342,4
Tabla Nº 11.7: Documentación física: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 8
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Factores ambientales, catástrofes Mobiliario específico para resguardo de 2 1/10 16 1,6
80
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
documentación
Extintores de incendios
Acceso no autorizado a datos de documentación Controles de acceso a las instalaciones 2 1 16 16
Solo el personal pertinente puede acceder a
Manipulación no autorizada o inadecuada 1 10 8 80
cierta documentación
Control de acceso restringido
Robo Alarmas de seguridad 1 1/10 8 0,8
Resguardo en lugar seguro (bajo llave)
Desvinculación del personal a cargo de dicha Aplicación de las obligaciones del empleado
1 1/10 8 0,8
documentación. (Estatuto Municipal)
Deterioro involuntario de documentación No existen contramedidas previstas 3 1/10 24 2,4
Total 80 101,6
Tabla Nº 11.8: Red: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 8
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Capacitación a los usuarios sobre el correcto
Mal uso del servicio de email 1 1 8 8
uso del email
Control y mantenimiento mensual y según
Mal estado del cableado y dispositivos 1 10 8 80
requerimiento, a cargo del servicio técnico
Falta de control y documentación de Control y mantenimiento mensual y según
1 10 8 80
configuraciones requerimiento, a cargo del servicio técnico
Falta de servicio de internet No existen contramedidas previstas 4 100 32 3200
Corte de servicio eléctrico, UPS sin baterías o
No existen contramedidas previstas 4 10 32 320
inestabilidad de voltaje
Total 88 3688
81
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Tabla Nº 11.9: Copias de seguridad: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 9
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Rotulación inadecuada de backups o inexistente Verificación de rotulado para diferenciar cada
1 1/10 9 0,9
medio de dato como único
Resguardos inapropiados o soportes en mal Control de lo almacenado luego de haberlo
3 1 27 27
estado, o no controlados realizado
Personal autorizado por el personal técnico
Incumplimiento de la periodicidad en el resguardo
para realizar el backup semanal. 1 10 9 90
de la información
Resguardo automático del sistema integral.
Lugar incorrecto de conservación de soportes de No existe contramedida prevista
2 10 18 180
backups.
Copia de seguridad diaria y semanal
Errores de software y /o hardware Controles mensual de configuraciones y 1 1 9 9
técnico
Disco externo: sobre dimensionado de
acuerdo al volumen de información que se
Falta de espacio de almacenamiento. maneja. 1 1/10 9 0,9
Los backup semanales se realizan en DVD
(mucha capacidad)
Sabotaje Acceso restringido al lugar 2 1/10 18 1,8
Virus Herramientas de antivirus y firewall 1 1 9 9
Total: 108 318,6
82
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Usuarios
Tabla Nº 11.10: Usuarios: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 7
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Control de acceso a datos en las aplicaciones
Acceso no autorizado definidos por el perfil del usuario y mediante 2 10 14 140
contraseña
Instalaciones y mobiliario adecuado para el
Condiciones de trabajo adversas 1 1/10 7 0,7
trabajo administrativo
Aplicación de las obligaciones del empleado y
Desvinculación del personal 2 1/10 14 1,4
su desvinculación (Estatuto Municipal)
Falta de control de sesión de usuario abierta Control de acceso a las oficinas 2 1 14 14
Restricciones inexistentes en las tareas o Perfiles de usuarios definidos en el sistema
1 1/10 7 0,7
procesos que realizan los usuarios integral
Total 56 156,8
Insumos
Tabla Nº 11.11: Insumos: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 3
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Ubicación en lugares apropiados y aislados
Factores ambientales (humedad, luz y polvo). de humedad y polvo
1 1 3 3
Catástrofes Extintores de incendio ubicados
reglamentariamente
Límite de vida útil Insumos de respaldo 2 1 6 6
Recursos escasos Insumos de respaldo 1 10 3 30
Administración contralada de recursos por el
Uso descontrolado de recursos 1 10 3 30
personal encargado
Administración controlada de recursos por el
Robo 1 1/10 3 0,3
personal encargado
83
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Datos de usuarios
Tabla Nº 11.12: Datos de usuarios: Cálculo de Impacto (I) y Riesgo (R) considerando contramedidas actuales (C)
VALOR DEL ACTIVO (VA): 6
Amenaza Contramedidas Actuales (C) (D) (F) (I) (R)
Falta de espacio de almacenamiento Capacidad de Almacenamiento
1 1/10 6 0,6
sobredimensionada en todas los equipos.
Perdida de backup o inexistencia No se tienen contramedidas previstas 3 1 18 18
Control de acceso restringido
Robo 1 1/10 6 0,6
Alarmas de seguridad
Sabotaje Acceso restringido al lugar 1 1/10 6 0,6
Virus Herramientas de antivirus y firewall 1 1 6 6
Modificación descontrolada de datos compartidos Inexistencia de datos compartidos 1 1 6 6
Corte de servicio eléctrico, UPS sin baterías o
No existen contramedidas previstas 2 10 12 120
inestabilidad de voltaje
Total: 60 151,8
84
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Tabla Nº 12: Comparativa del Riesgo Máximo (RM) y Riesgo Actual (RA)
Riesgo
Valor del Riesgo
Activos Maximo
Activo (VA) Actual (RA)
(RM)
Bases de datos 10 638 420
Hardware general: Impresoras, teclado, mouse,
monitor, Fotocopiadoras, ups, estabilizadores
4 409,6 284,8
Hardware específico (tickeadora, lectora de código
de barra, cámaras fotográficas, filmadoras)
6 441,6 307,8
Software general: Aplicaciones, sistemas operativos 9 9507,6 8318,7
Software específico: sistema integral, programas
fuentes
10 7324 3612
Datos: en tránsito, datos de configuración, datos en
medios externos
8 355,2 342,4
Documentación: Expedientes, Archivos físicos
(ficheros); Documentación de programas, de 8 274,4 101,6
procedimientos administrativos y manuales
Red (intranet e internet) 8 4184 3688
Copias de seguridad (Backups) 9 538,2 318,6
Usuarios 7 166,6 156,8
Insumos: cartuchos, pendrive, cd, dvd, formularios,
papel, toner
3 147,9 72,3
Datos de usuarios 6 178,6 151,8
Totales 24165,7 17774,8
Como se puede observar, según los valores presentados, el riesgo actual, para la
mayoría de los activos, disminuyo considerablemente mientras que en otros el valor no se
alteró significativamente.
85
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
26%
Riesgo Residual
Riesgo Cubierto
74%
Propuestas.
Como bien se ha presentado en el desarrollo del análisis de riesgo, así como
también se lo describe en el Informe del relevamiento incluido en el Anexo I, la entidad
cuenta con medidas de seguridad que permiten, en cierta manera reducir los riesgos de
la información.
86
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Las copias de seguridad deben incluir los datos de las bases de datos del sistema
integral, así como los datos generados por los usuarios y los software específicos. Estas
copias deberán efectuarse, en medios de almacenamiento portátiles (DVD, u otros),
diariamente, al finalizar la jornada laboral administrativa.
Las mismas deben generarse en dos (2) copias las cuales, en primera instancia,
deberán ser controladas, correctamente etiquetadas de acuerdo a criterios acordados con
el servicio técnico, y resguardadas en distintos lugares. En caso de ser considerado
propicio, se debería contar con una caja fuerte externa al edificio municipal (por ejemplo,
en el Banco), para prevenir pérdidas de backups por incidentes de índole catastróficos
como incendios, derrumbes, inundaciones
87
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
88
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
se debe tener en cuenta que no están pensadas para organizaciones o empresas en las
que generalmente existen redes de trabajo internas.
En relación al buen estado y mantenimiento del servidor, el cual cuenta con UPS,
controlador de temperatura y se encuentra resguardado de factores ambientales que
puedan afectar su funcionamiento. Se propone aislarlo totalmente, de manera que por
ninguna circunstancia, ajena a las tareas relacionadas con el mismo, esté expuesto a
89
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
amenazas no previstas. Pudiendo contar con acceso restringido totalmente para aquellas
personas que no estén a cargo de actividades tales como copia de seguridad y controles
de UPS, temperatura, configuraciones.
Es meritorio mencionar que se han creado normas y leyes para el ámbito nacional
relacionadas con políticas de seguridad, y es importante, orientar los recursos de la
organización en función de la implementación de éstas, ya que ofrecen pautas dirigidas al
aseguramiento de la información que se genera y administra, así como la tecnología que
la soporta.
90
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Conclusiones
Al formar parte de una sociedad toda persona interactúa por alguna u otra razón
con una entidad pública, y en algunas ocasiones, sin preguntarse cómo se genera o se
asegura la información que en ella se administra.
En el camino y esfuerzo por alcanzar los objetivos del presente trabajo se logró
interiorizar sobre bases legales en materia de seguridad de la información, así como de la
aplicabilidad de otras herramientas y normativas, que en el ámbito internacional y en
nuestro país se han desarrollado en los últimos tiempos, para el control y gestión de
riesgos de la información.
Al estudiar y profundizar en las distintas metodologías que existen hoy en día para
poner en marcha, tanto un análisis de riesgos como la posterior gestión de los mismos,
se logró establecer una metodología apropiada para las características de los organismos
públicos de similares propiedades que la organización en estudio, incorporando en la
misma recomendaciones a tener en cuenta para reducir el riesgo de la información.
En tal sentido se vislumbra que los riesgos no pueden cubrirse en su totalidad por
medidas de seguridad, pero si se debe contar con herramientas que permitan actuar con
91
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
rapidez frente a las amenazas, y las vulnerabilidades que provocan, debido al constante
cambio de las mismas.
Se puede afirmar que en todo organismo, ya sea público o privado, el día a día
obliga a contar con recursos destinados a incluir una política de seguridad de la
información, que se adecue a las actividad cotidianas de la organización, logrando de
esta manera instaurar en los protagonistas la importancia que se merece. La clave para
alcanzar la efectividad de dicha política es la comunicación con los usuarios y su vínculo
con ese logro.
92
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
BIBLIOGRAFÍA
• Libros
• Carlos Sabino: “Como hacer una tesis”, Lumen, Buenos Aires 1994
• Tesis:
• Internet:
93
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
94
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
GLOSARIO
Activo: Cualquier elemento valioso o necesario para que la Organización cumpla sus
objetivos.
Análisis de riesgos: Proceso sistemático para estimar la magnitud de los riesgos a que
está expuesta una Organización.
Correo electrónico: aplicación que permite enviar mensajes a otros usuarios, también
denominado E-Mail.
95
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Eficacia: Propiedad de que se cumplen todos los objetivos de la entidad definidos para
un determinado elemento.
Estado de riesgo: Caracterización de los activos por su riesgo residual; es decir lo que
puede pasar tomando en consideración las salvaguardas desplegadas.
Estatuto: Reglamento, ordenanza o conjunto de normas legales por las que se regula el
funcionamiento de una entidad.
96
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Municipio: es una entidad administrativa que puede agrupar una sola localidad o varias,
pudiendo hacer referencia a una ciudad, pueblo o aldea.
Organización: son sistemas sociales diseñados para lograr metas y objetivos por medio
de los recursos humanos.
Riesgo: Grado de exposición a que una amenaza se materialice sobre uno o más activos
causando daños o perjuicios a la Organización.
97
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Virus: programa informático que tiene por objeto alterar el normal funcionamiento de la
computadora, sin el permiso o el conocimiento del usuario.
Vulnerabilidad: Debilidad de un recurso de información que puede ser explotada por una
amenaza para causar un daño a un sistema o a la Organización.
98
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
ANEXOS
99
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Presentación de la Entidad
100
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Presidencia Junta
de Fomento
Secretaría General
de Gobierno
Mesa
de
Mantenimient Obras
o y Servicios Pública
Estructura Edilicia:
El Municipio de XXX cuenta con un edificio, de dos plantas, donde se desarrollan
las tareas administrativas y de gestión de gobierno.
102
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
103
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
104
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
• Tesorería: realiza las cobranzas y pagos relacionados con los servicios que
ofrece el municipio, así como aquellos relacionados con la Dirección de Rentas
provincial.
105
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
El servicio de Internet que poseen es satelital (mediante antena), brindada por una
empresa de la localidad de Paraná, BM Soluciones.
El resguardo de la información de la base de datos del sistema se realiza
automáticamente, proceso previsto en el sistema integral. El mismo es almacenado en un
disco rígido externo, una vez al día, y mensualmente la información contenida en este
último es transferida a dispositivos de almacenamiento portátiles (DVD), los cuales son
etiquetados y resguardados en la misma institución.
Se considera importante mencionar que el servidor cuenta con un visor que
permite controlar y regularizar la temperatura del mismo.
Hardware disponible:
Cuenta con
19 terminales de trabajo, y un servidor
16 impresoras, 2 tickeadoras, 1 fotocopiadora
1 cámara digital, 1 laminador
3 UPS y 17 estabilizadores de energía
Datos de usuarios
Los datos de los usuarios son almacenados en sus respectivas terminales de
trabajo, ellos mismos deben realizar el resguardo de dicha documentación. Ya que los
backup que se realizan son para sistema integral de administración.
106
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
Usuarios (empleados)
Los usuarios poseen una tarjeta para marcar el horario de entrada y de salida.
Una vez que se desvincula de la entidad dicha tarjeta es eliminada para dar lugar en caso
de un nuevo puesto de trabajo.
Los usuarios encargados de la administración deben seguir los pasos del estatuto
municipal para realizar los trámites administrativos.
107
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
1) Instalaciones:
a) Plantas y tareas desarrolladas en las mismas
b) Ventilación e iluminación de las oficinas
c) Seguridad física de las instalaciones
i) Alarmas de seguridad
ii) Cámaras de seguridad
iii) Personal de seguridad o vigilancia
iv) Salidas de emergencias
v) Controles de accesos físicos
vi) Detección y extinción de incendios
vii) Fuentes de energía eléctrica alternativa
2) Hardware
a) Características del servidor
i) Cantidad de memoria
ii) Capacidad de disco
iii) Placa de red
iv) Switch
v) UPS o estabilizador
vi) Dispositivos varios: fotocopiadoras, cámaras filmadoras y fotográficas,
tickeadoras, lectora de código de barra, laminadora, etc
b) Características de las terminales de trabajo
i) Cantidad
ii) Características del mobiliario que la soporta
c) Impresoras y gestión de impresión
d) Internet
i) Tipo de conexión
ii) Antivirus
e) Backup
i) Disco espejo
ii) Dispositivos de backups
iii) Lugar de almacenamiento
iv) Periodicidad
v) Documentación
3) Software
a) Software del servidor: sistema operativo, aplicaciones, motor de base de datos
b) Características del software integral
i) Backups automáticos
ii) Identificación de usuarios
iii) Registro de acciones sobre la base de datos
iv) Tareas incluidas
c) Gestión de virus
d) Aplicaciones bases en cada oficina
e) Gestión de red
108
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
109
Análisis de riesgo de la Información.
Importancia del control de riesgos en entidades públicas
110