Professional Documents
Culture Documents
10
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT). Tomo I :
Método. Ministerio de Administraciones Públicas, Madrid 2006.
63
Esto se logra mediante un análisis de riesgos, el cual es un proceso sistemático
para estimar la magnitud de los riesgos a que está expuesta una organización.
Realizar un análisis de riesgos es laborioso y costoso. Levantar un mapa de
activos y valorarlos requiere la colaboración de muchos perfiles dentro de la
organización, desde los niveles de gerencia hasta los técnicos. Y no solo hay que
involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio
entre todos pues, si importante es cuantificar los riesgos, más importante aún es
relativizarlos. Y esto es así porque típicamente en un análisis de riesgos aparecen
multitud de datos. La única forma de afrontar la complejidad es centrarse en lo
más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o
incluso despreciable. Por eso, si los datos no están bien ordenados en términos
relativos, su interpretación es imposible.
Existen dos elementos sobre los cuales esta fundamentado el análisis de riesgos:
64
Activos, que son los elementos del sistema de información (o
estrechamente relacionados con este) que aportan valor a la organización.
Amenazas, que son situaciones que les pueden pasar a los activos
causando un perjuicio a la organización.
65
4.3 IDENTIFICACIÓN DE ACTIVOS
11
ISACA es una organización ampliamente reconocida en los campos de seguridad informática y de la
gestión de los recursos de información. Con más de 65.000 miembros en todo el mundo, esta organización se
caracteriza por su diversidad. Los miembros viven y trabajan en más de 140 países y cubren una variedad de
puestos profesionales relacionados con Tecnologías de información.
66
multimedia, etc., así como el sitio donde se encuentran y el ambiente que
los soporta) que permiten el procesamiento de las aplicaciones.
Soportes de información: Incluye los recursos necesarios para alojar y dar
soporte a los sistemas de información, dicho de otra forma son los medios
de almacenamiento de datos.
Las personas: son el personal requerido para planear, organizar, adquirir,
implementar, entregar, soportar, monitorear y evaluar los sistemas y los
servicios de información. Estas pueden ser internas, por outsourcing o
contratadas, de acuerdo a como se requieran.
La relación que sigue clasifica los activos dentro de una jerarquía, determinando
para cada uno un código que refleja su posición jerárquica, un nombre y una breve
descripción de las características que recoge cada categoría. Nótese que la
pertenencia de un activo a un tipo no es excluyente de su pertenencia a otro tipo;
es decir, un activo puede ser simultáneamente de varios tipos.
67
[SW] Aplicaciones (software)
Con múltiples denominaciones (programas, aplicativos, desarrollos, etc.) este
categoría se refiere a tareas que han sido automatizadas para su desempeño por
un equipo informático. Las aplicaciones gestionan, analizan y transforman los
datos permitiendo la explotación de la información para la prestación de los
servicios.
No preocupa en este apartado el denominado “código fuente” o programas que
serán datos de interés comercial, a valorar y proteger como tales. Dicho código
aparecería como datos.
[P] Personal
En este epígrafe aparecen las personas relacionadas con los sistemas de
información, como por ejemplo: usuarios externos, usuarios internos, operadores,
administradores de sistemas, administradores de comunicaciones,
administradores de bases de datos, desarrolladores, proveedores, etc.
68
4.3.1 Descripción del proceso de identificación de activos
69
Para continuar, se realizó en la división de estadísticas sociales el inventario
correspondiente, y las entrevistas al responsable de esta área, que también de
acuerdo a nuestro estudio ha sido considerada como otra de las divisiones con
mayor importancia en cuanto a los procesos de información que tiene bajo su
responsabilidad.
70
4.3.2 Tablas de inventario de activos
71
Jefatura Soporte
PC soporte (1) SW, HW alto
(Monitoreo)
PC Soporte Técnico (2) Soporte Técnico SW, HW medio
Computadoras 6 Programadores D alto
Computadora 1 secretaria D medio
Computadoras 2- jefaturas D alto
Cisco Linksys Switch 24
LAN Soporte Técnico HW medio
Puertos
Uso de Presentaciones y
Laptop y Cañon HW bajo
Varios
Aplicaciones (.NET)
internas alojadas en Div. Censos y Enc. Econ SW alto
SQL SERVER
Base de Datos, SQL
SQL Server D alto
Producción
Aplicación Precios
(FOX) alojada en FILE Div. Precios SW alto
SERVER
Base de Datos
Precios(FOX)
Div. Precios D alto
Alojada en FILE
SERVER.
Base de Datos ISSA
Div. Estadist. Sociales D alto
(FILE SERVER)
Base de Datos CSPRO
Div. Estadist. Sociales D alto
(FILE SERVER)
Aplicación Activo Fijo y
base de Datos Div. Administrativa SW alto
(SQL SERVER)
Base de Datos, SQL
SQL Server D alto
Test/Desarrollo
72
División o Departamento: División de Sistemas – Captura de Datos
73
División o Departamento: Dirección y Sub-dirección
74
8 computadoras, 5
reguladores de voltaje Encuestas de Hogares SW, HW, SI bajo
6 fijas, 2 impresores Metodología
Área de Campo 4
6 computadoras Metodología, 2
SW, HW, SI bajo
administrativos, 2
Área de Campo
para Levantamiento, y
5 Pc, 4 UPS, 1
recopilación de SW, HW, SI Bajo
Impresor Lasser hp 1320
encuestas
Socioeconómicas
1 Switch 14 Puertos, HW
Área de Campo 2 Medio
Super Stack 3Com
1 Switch 24 puertos
DELL 5324 Power HW
Metodología Medio
Conect,
1 UPS
75
Elaboración de Boletas,
Manuales Instructivos,
1 Impresor, 7 UPS, y 10
Generación de HW, SW, SI Bajo
computadoras
Información,
Generación de Gráficas
Metodología
1 Laptop encuestas Económicas HW, SW, SI Medio
exclusivamente
1 Impresor OKI B6300 Uso general Bajo
HW
Metodología 2
3 Computadoras, 3 UPS HW, SW, SI Bajo
Análisis, Muestreo
Metodología Proyectos.
1 Switch 24 puertos
(Soporta Solvencias,
Nortel Networks cat 5 e, HW Medio
colectaría y encuestas
1 Switch centre Com 724
económicas)
Solvencias, para
7 cpu, 5 UPS HW, SW, SI Bajo
matrículas de comercio
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada
activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a los activos en cuestión y causar un daño.
Hay accidentes naturales (terremotos, inundaciones, etc.) y desastres industriales
(contaminación, fallos eléctricos) ante los cuales el sistema de información es
víctima pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay
amenazas causadas por las personas, bien errores, bien ataques intencionados.
Junto con las amenazas trataremos también las vulnerabilidades de los sistemas.
Existe una relación muy estrecha entre amenazas y vulnerabilidades como
factores propiciadores de los riesgos. Como ya se explico previamente, en el
capítulo 1 de este trabajo, amenaza se refiere a un peligro latente o un factor de
riesgo externo de un sistema o de un sujeto expuesto, en cambio, la
vulnerabilidad se entiende, en general, como un factor de riesgo interno que
76
determina la factibilidad de que el sujeto o sistema expuesto sea afectado por el
fenómeno que caracteriza la amenaza
Una vez determinado que una amenaza puede perjudicar a un activo, hay que
estimar cuán vulnerable es el activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el activo
Frecuencia: cada cuánto se materializa la amenaza
12
MAGERIT v 2.0: Metodología de Administración y Gestión de riesgos en Tecnologías de Información.
“Tomo II : Catalogo de Elementos”. Ministerio de Administraciones Públicas, Madrid, 2006.
77
La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede
ser de terribles consecuencias pero de muy improbable materialización; mientras
que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente
como para acabar acumulando un daño considerable. La frecuencia se modela
como una tasa anual de ocurrencia, siendo valores típicos:
78
4.4.2 Tablas de amenazas y vulnerabilidades
Por otro lado, las amenazas han sido agrupadas según la naturaleza de sus
causas, siendo estas las siguientes:
Desastres Naturales.
De origen Industriales.
Errores no Intencionados.
Ataques Deliberados.
13
No debe olvidarse que este estudio esta enfocado a la identificación de riesgos que atentan contra la
disponibilidad, por lo tanto nos limitaremos a mencionar todas las dimensiones de la seguridad que pueden
verse comprometidas ante una amenaza en particular, pero al momento de priorizar los riesgos, nos
centraremos únicamente en un enfoque que priorice los impactos sobre la dimensiones de la disponibilidad.
Ciertas amenazas que no comprometen el estado de disponibilidad de los activos de información tampoco han
sido tomadas en cuenta en este estudio.
79
4.4.2.1 Amenazas relacionadas con desastres naturales [N]
Sucesos que pueden ocurrir sin intervención de los seres humanos como causa
directa o indirecta.
A-N.1 : FUEGO
Tipos de Activos Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información 2. Trazabilidad de los servicios
Soporte de Información 3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción
Incendios: posibilidad de que el fuego acabe con recursos del sistema
80
A-N.2 : DAÑOS POR AGUA
Tipos de Activos Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información 2. Trazabilidad de los servicios
Soporte de Información 3. Trazabilidad de los datos
Software (Aplicaciones)
Descripción
Inundaciones: posibilidad de que el agua acabe con recursos del sistema.
Se han tomado algunas contramedidas para evitar que el agua llegue hasta
los centros de cómputo, como por ejemplo ubicar equipos críticos en
plataformas para elevar la altura a la que están situados los servidores.
81
A-N.3 : DESASTRES NATURALES
Tipos de Activos Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información 2. Trazabilidad de los servicios
Soporte de Información 3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción
Otros incidentes que se producen sin intervención humana: rayo, tormenta
eléctrica, terremoto, ciclones, avalancha, deslaves o derrumbes, etc.
Se excluyen desastres específicos tales como incendios e inundaciones.
14
2005 NEC :Nacional Electrical Code Handbook.
82
El edificio no es anti-sísmico, pero su estructura ha probado ser resistente a
Sismos.
No existen reportes de daños estructurales provocados por sismos
anteriores.
No se evidencian paredes agrietadas de las cuales se sospeche que
puedan representar peligros.
No existen condiciones que lo hagan susceptibles a deslaves, avalanchas,
erupciones volcánicas.
A-I.1 : FUEGO
Tipos de Activos Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información 2. Trazabilidad de los servicios
Soporte de Información 3. Trazabilidad de los datos
Software (Aplicaciones)
Personal
Descripción
Incendio: posibilidad de que el fuego acabe con los recursos del sistema.
83
No existen suficientes extintores de incendios, o no están distribuidos en los
sitios claves de manejo de información.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios críticos de manejo de
información.
Hay paredes de concreto pero también hay paredes de material inflamables
tales como madera o plywood.
Las instalaciones eléctricas no tienen un mantenimiento adecuado. No hay
una certificación que avale si estas son 100% seguras. Sin embargo,
tampoco se han registrado mayores incidentes relacionados con cortos
circuitos en instalaciones eléctricas.
Las ducterías eléctricas y de datos usan poliductos, el cual es un material
altamente inflamable.
No existen extintores adecuados de polvo químico especiales para fuego
eléctrico y equipos electrónicos en el centro de cómputo.
No se tiene certeza sobre si se les proporciona el adecuado mantenimiento
a los extintores que existen.
84
Vulnerabilidades detectadas relacionadas a esta amenaza:
Software (Aplicaciones)
Personal
Descripción
Otros desastres debidos a la actividad humana: explosiones, derrumbes,
contaminación química, sobrecarga eléctrica, fluctuaciones eléctricas, ...
accidentes de tráfico, etc.
85
Las acometidas de datos o eléctricas son susceptibles a daños por
accidentes de tráfico en los postes de los tendidos eléctricos. También son
susceptibles a robo de cables.
Si se cuentan con algunos UPS que tienen este tipo de protección pero son
únicamente para los servidores críticos. También se cuenta con un
regulador de voltaje que protege un circuito donde se conectan equipos de
misión crítica.
86
A-I.5: INTERFERENCIA ELECTROMAGNETICA
Tipos de Activos Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Soporte de Información 2. Trazabilidad de los servicios
(medios electrónicos) 3. Trazabilidad de los datos
Descripción
Interferencias de radio, campos magnéticos, luz ultravioleta
87
fallo es físico o lógico; pero para las consecuencias que se derivan, esta
distinción no suele ser relevante.
88
A-I.7: CORTE DEL SUMINISTRO ELÉCTRICO
Tipos de Activos Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información 2. Trazabilidad de los servicios
Soporte de Información 3. Trazabilidad de los datos
(electrónicos)
Descripción
Cese de la alimentación eléctrica.
89
A-I.8: CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD
Tipos de Activos Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Soporte de Información 2. Trazabilidad de los servicio
3. Trazabilidad de los datos
Descripción
Deficiencias en la climatización de los locales, excediendo los márgenes de
trabajo de los equipos: excesivo calor, excesivo frío, exceso de humedad, etc.
90
Descripción
Cese de la capacidad de transmitir datos de un sitio a otro. Típicamente se
debe a la destrucción física de los medios físicos de transporte o a la
detención de los centros de conmutación, ya sea por destrucción, detención o
simple incapacidad para atender al tráfico presente.
91
En los servicios de comunicación de la red interna, existe un tramo de fibra
que ha presentado mal funcionamiento, se presume que esta defectuoso.
Ha sido reemplazado por Cable de cobre UTP, con lo que se ha
solucionado el problema.
Las capacidades de los equipos de comunicación internos (Switches y
Routers) cumplen adecuadamente con los requerimientos y la demanda de
tráfico de la Institución.
Descripción
Otros servicios o recursos de los que depende la operación de los equipos; por
ejemplo, papel para las impresoras, toner, refrigerante,
92
Vulnerabilidades detectadas relacionadas a esta amenaza:
93
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los usuarios con mas de un año en sus puestos, conocen bien el sistema.
El porcentaje de rotación de personal en la institución es relativamente bajo.
Los sistemas tienen control de calidad para verificar la no existencia de
errores o inconsistencias en la generación de los datos
Se considera mínima la posibilidad de que un error de usuario normal
atente contra la disponibilidad del sistema.
Los usuarios normales no tienen posibilidad de borrar datos
accidentalmente.
Existen mecanismos de control que evitan que los usuarios manipulen la
información más allá de lo que están autorizados a realizar.
94
A-E.2: ERRORES DEL ADMINISTRADOR
Tipos de Activos Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Datos e Información 2. Integridad
Software (Aplicaciones) 3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
6. Trazabilidad del servicio
7. Trazabilidad de los datos
Descripción
Equivocaciones de personas con responsabilidades de instalación,
administración y operación.
95
persona, por otro lado los demás administradores no están familiarizados
con esos sistemas.
No se manejan bitácoras de logs o cambios en los sistemas.
96
sucesos, conforme van ocurriendo. También podría ser borrado o accesado
por personas no autorizadas.
No se ha implementado algún sistema de notificación automática o de
alarmas según la magnitud del incidente reportado a partir de los logs.
No existen políticas de almacenamiento de los logs reportados por el
sistema. No se tienen directrices sobre si estos deben ser reciclados o
almacenados, y cuanto tiempo deben almacenarse en caso de que se
hiciera esto último.
Las auditorias de software son hechas por la corte de cuentas pero no
contemplan auditorias de los logs de mantenimiento de los equipos y
servicios. Tampoco realiza esta función ninguna otra entidad, externa o
interna en la institución.
97
Vulnerabilidades detectadas relacionadas a esta amenaza:
98
A-E.7: DEFICIENCIAS EN LA ORGANIZACIÓN
Tipos de Activos Dimensiones
Personal 1. Disponibilidad
Descripción
Cuando no está claro quién tiene que hacer exactamente qué y cuándo,
incluyendo tomar medidas sobre los activos o informar a la jerarquía de
gestión. Se puede caer en acciones descoordinadas, errores por omisión, etc.
99
Por otro lado, los usuarios no conocen el contenido de este documento, por
lo que se presume que tampoco tengan claras cuales sean las
disposiciones de la institución en materia de seguridad.
100
maliciosos a través de paginas web en las que los usuarios naveguen sin
darse cuenta que pueden ser objetos de un incidente de seguridad.
No se cuenta con mecanismos de control que evite que los usuarios
puedan navegar a través de sitios web que sean potencialmente peligrosos.
El firewall con el que se cuenta no es capaz de filtrar a este nivel.
No hay controles sobre el uso de dispositivos de almacenamiento portátil
(memorias USB, discos flexibles, discos duros externos, etc), o sobre los
puertos de conexión de los mismos en las computadoras y servidores.
101
A-E.9: ERRORES DE ENRUTAMIENTO
Tipos de Activos Dimensiones
Datos e Información 1. Integridad
Software (Aplicaciones) 2. Confidencialidad
3. Autenticidad del servicio
4. Autenticidad de los datos
Descripción
Envío de información a través de un sistema o una red usando,
accidentalmente, una ruta incorrecta que lleve la información donde o por
donde no es debido; puede tratarse de mensajes entre personas, entre
procesos o entre unos y otros.
Es particularmente destacable el caso de que el error de enrutamiento
suponga un error de entrega, acabando la información en manos de quien no
se espera.
102
A-E.10: DESTRUCCIÓN DE LA INFORMACIÓN
Tipos de Activos Dimensiones
Datos e Información 1. Disponibilidad
Descripción
Pérdida accidental de información.
Esta amenaza sólo se identifica sobre datos en general, pues cuando la
información está en algún soporte (medio) de información específico, hay
amenazas específicas que aplican.
103
administrativos u operacionales y que residen en las computadoras de los
usuarios.
Descripción
Defectos en el código que dan pie a una operación defectuosa sin intención
por parte del usuario, pero con consecuencias sobre la integridad de los datos
o la capacidad misma de operar.
104
externa o interna, y si existen vulnerabilidades inherentes al código de las
aplicaciones desarrolladas o a las transacciones que se efectúan en las
bases de datos.
Debido a que no se cuenta con documentación sobre las la costrucción de
las aplicaciones desarrolladas internamente, no se puede establecer con
certeza si estas carecen de errores en sus procedimientos de validación de
entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa
un sistema no sea comprobada adecuadamente de forma que una
vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.
105
Descripción
Defectos en los procedimientos o controles de actualización del código que
permiten que sigan utilizándose programas con defectos conocidos y
reparados (a través de parches) por el fabricante.
106
Vulnerabilidades detectadas relacionadas a esta amenaza:
107
A-E.15: INDISPONIBILIDAD DEL PERSONAL
Tipos de Activos Dimensiones
Personal 1. Disponibilidad
Descripción
Ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden
público, desastres, o causas de fuerza mayor.
108
4.4.2.4 Amenazas a causa de ataques intencionados
109
Tampoco se han implementado técnicas que permitan que el sistema de
directorio de la red, (Active Directory) u otros servicios, obliguen a los
usuarios a implementar las directivas de seguridad referente al uso de
contraseñas seguras.
No existe documentación alguna sobre las configuraciones de los equipos.
Tampoco se lleva una administración sobre los cambios de las
configuraciones y registros de los mismos en bitácoras o bases de
configuraciones que dejen constancia de las acciones realizadas y de las
razones del porque se han hecho los cambios.
110
Descripción
Cuando un atacante consigue hacerse pasar por un usuario autorizado,
disfruta de los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas ajenas
a la organización o por personal contratado temporalmente.
111
A-A.6: ABUSO DE PRIVILEGIOS DE ACCESO
Tipos de Activos Dimensiones
Hardware, equipos informáticos 1. Disponibilidad
Software (Aplicaciones) 2. Integridad
3. Confidencialidad
Descripción
Cada usuario disfruta de un nivel de privilegios para un determinado propósito;
cuando un usuario abusa de su nivel de privilegios para realizar tareas que no
son de su competencia, existe una amenaza de seguridad.
112
Atenuantes de las vulnerabilidades:
113
comprobar que no se hayan instalado componentes adicionales y no
autorizados a los equipos de los usuarios.
114
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los equipos y dispositivos de la Institución están debidamente protegidos
con software antivirus, software anti-spyware y firewall de escritorio. Sin
embargo no existe mecanismos de control y de prevención automática
contra la conexión a la red (autorizada o no) de equipos externos a la
institución, como por ejemplo equipos porttiles, computadoras personales
de los empleados, etc. Se pudo constatar que en caso de proyectos
especiales, se instalan computadoras que pertenecen a otras instancias
gubernamentales, las cuales puede que no tengan todas las medidas de
seguridad pertinentes para evitar la realización de esta amenaza.
No hay controles sobre el uso de dispositivos de almacenamiento portátil
(memorias USB, discos flexibles, discos duros externos, etc), o sobre los
puertos de conexión de los mismos en las computadoras y servidores.
No se realizan pruebas controladas del funcionamiento efectivo de los
equipos de seguridad como por ejemplo el servidor de Antivirus, aunque el
funcionamiento del servidor constata que este es efectivo puesto que ha
demostrado detener virus.
Ya han sucedido problemas de infección masiva en equipos causados por
Virus, pero después de la instalación del servidor de AV esto no se ha
vuelto a presentar.
115
Las máquinas son activadas con el FW de Windows, y este además no
puede ser desactivado por los usuarios.
Existe un documento de definición de políticas de seguridad en la institución
que contempla no instalar software no autorizado por informática, esta
política es cumplida en forma obligatoria a nivel de sistema operativo y
mediante permisos del sistema de directorio de usuarios, de modo que los
usuarios no tienen privilegios para instalar software no autorizado
Se instalan de forma automática los parches de seguridad requeridos por
los sistemas operativos de las estaciones de trabajo y de los servidores.
Esto se hace a través de una herramienta de software instalada en un
servidor que baja las actualizaciones del internet y las aplica a todos los
equipos que han sido configurados en el entorno de la red de la institución.
Descripción
Envío de información a un destino incorrecto a través de un sistema o una red,
que llevan la información a donde o por donde no es debido; puede tratarse de
mensajes entre personas, entre procesos o entre unos y otros.
Un atacante puede forzar un mensaje para circular a través de un nodo
determinado de la red donde puede ser interceptado. Es particularmente
destacable el caso de que el ataque de enrutamiento lleve a una entrega
fraudulenta, acabando la información en manos de quien no debe.
116
Vulnerabilidades detectadas relacionadas a esta amenaza:
Descripción
Eliminación intencional de información, con ánimo de obtener un beneficio o
causar un perjuicio. Esta amenaza sólo se identifica sobre datos en general,
pues cuando la información está en algún soporte informático, hay amenazas
específicas.
117
No se cuenta con un sitio alterno de operación o al menos un sitio diferente
(separado geográficamente) donde se almacenen copias de respaldo
(backups) de la información y las aplicaciones de misión critica de la
organización.
No se realizan copias de respaldo en forma regular y periódica de los
archivos y documentos de los usuarios que aunque no son críticos, si se
consideran necesarios para la gestión de las operaciones de la
organización. Varios procesos son realizados utilizando hojas de cálculo
elaboradas en Excel, cuyos formatos genéricos no son respaldados para su
debida protección. De la misma forma, otros archivos, documentos o
aplicaciones que pueden ser considerados importantes para propósitos
administrativos u operacionales y que residen en las computadoras de los
usuarios.
118
6. Trazabilidad del servicio
7. Trazabilidad de los datos
Descripción
Alteración intencionada del funcionamiento de los programas, persiguiendo un
beneficio indirecto cuando una persona autorizada lo utiliza.
15
En el capitulo de Recomendaciones se ampliara este punto y se detallaran algunas recomendaciones básicas
a tomar en cuenta para asegurar el sistema de manejo de bases de datos.
119
Atenuantes de las Vulnerabilidades:
120
seguridad de la institución y especialmente la disponibilidad de los servicios
de información si se llegaran a efectuar ataques de denegación de servicio.
No existen sistemas de detección y prevención de intrusos en la institución
(IPS / IDS) que pudiera detectar movimientos o patrones de conducta
anormales en el entorno de la red, orientados a alterar el funcionamiento
normal de los servicios de información.
A-A.15: ROBO
Tipos de Activos Dimensiones
Hardware, equipos en general 1. Disponibilidad
Soporte de Información
Descripción
La sustracción de equipamiento provoca directamente la carencia de un medio
para prestar los servicios, es decir una indisponibilidad. El robo puede afectar
a todo tipo de equipamiento, siendo el robo de equipos y el robo de soportes
de información los más habituales.
El robo puede realizarlo personal interno, personas ajenas a la organización o
personas contratadas de forma temporal, lo que establece diferentes grados
de facilidad para acceder al objeto sustraído y diferentes consecuencias.
En el caso de equipos que hospedan datos, además se puede sufrir una fuga
de información.
121
personal estrictamente autorizado, ni tampoco hay un monitoreo
automatizado de estos accesos.
No se cuentan con sistemas de alarmas contra robo o intrusos para horas
nocturnas, ni siquiera en la locación de la división de informática que es
donde se encuentran los equipos de misión critica para las operaciones de
la institución.
No se lleva un control minucioso de los sitios permitidos a los que pueden
tener acceso los visitantes, personal externo, contratistas y demás
personas ajenas a la institución. Después de ser identificados en la portería
por el personal de seguridad, los visitantes pueden transitar libremente por
todas las instalaciones de la institución. No se chequean entradas y salidas
de equipos para comprobar si pudieran ser o no de la institución.
No se cuentan con sistemas de circuito cerrado por televisión para
monitorear la actividad tanto del personal de la institución, como de
personas ajenas a esta.
Los documentos de identificación de los empleados no llevan fotografía
que facilite la comprobación de la identidad de alguien en forma inmediata,
ni la autenticidad de dicha identificación. En el caso de los visitantes, las
tarjetas de visitantes no son de un color diferente a las identificaciones de
los empleados, y no difieren en mucho de estas, salvo por el hecho que
llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.
122
Las locaciones donde hay equipo informático se dejan cerradas con llave,
sin embargo existe vulnerabilidad para acceder a estas locaciones por las
ventanas o por el techo.
En horas y días hábiles, los empleados de la institución podrían darse
cuenta si alguien externo a la institución tiene un comportamiento
sospechoso, o intenta sustraer algún equipo u activo de información
propiedad de la institución. Esto podría ser reportado inmediatamente a los
agentes de seguridad para que intervengan a fin de evitar el incidente.
Todos los equipos y sistemas de informática de la institución están
debidamente inventariados por el departamento de activo fijo de la división
administrativa. Los equipos son identificados mediante un código con el que
son referenciados en el inventario de activo fijo.
Descripción
Vandalismo, terrorismo, acción militar, etc. Esta amenaza puede ser
perpetrada por personal interno, por personas ajenas a la Organización o por
personas contratadas de forma temporal.
123
No se cuentan con sistemas de alarmas contra robo o intrusos para horas
nocturnas, ni siquiera en la locación de la división de informática que es
donde se encuentran los equipos de misión crítica para las operaciones de
la institución.
No se lleva un control minucioso de los sitios permitidos a los que pueden
tener acceso los visitantes, personal externo, contratistas y demás
personas ajenas a la institución. Después de ser identificados en la portería
por el personal de seguridad, los visitantes pueden transitar libremente por
todas las instalaciones de la institución. No se chequean entradas y salidas
de equipos para comprobar si pudieran ser o no de la institución.
No se cuentan con sistemas de circuito cerrado por televisión para
monitorear la actividad tanto del personal de la institución, como de
personas ajenas a esta.
Los documentos de identificación de los empleados no llevan fotografía
que facilite la comprobación de la identidad de alguien en forma inmediata,
ni la autenticidad de dicha identificación. En el caso de los visitantes, las
tarjetas de visitantes no son de un color diferente a las identificaciones de
los empleados, y no difieren en mucho de estas, salvo por el hecho que
llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.
124
En horas y días hábiles, los empleados de la institución podrían darse
cuenta si alguien externo a la institución tiene un comportamiento
sospechoso. Esto podría ser reportado inmediatamente a los agentes de
seguridad para que intervengan a fin de evitar cualquier incidente.
Descripción
Cuando los locales han sido invadidos y se carece de control sobre los propios
medios de trabajo.
Descripción
Ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral,
bajas no justificadas, bloqueo de los accesos, etc.
125
Vulnerabilidades detectadas relacionadas a esta amenaza:
Descripción
Abuso de la buena fe de las personas para que realicen actividades que
interesan a un tercero.
126
Vulnerabilidades detectadas relacionadas a esta amenaza:
127
4.4.2.5 Correlación entre las amenazas por errores no intencionados y los
ataques deliberados
128
4.5 ANÁLISIS DE RIESGOS E IMPACTOS
Una vez que se tienen definidos las amenazas a las que están expuestos los
activos de información en la institución, así como las vulnerabilidades internas que
los recursos de información poseen, ya sea por las condiciones de su entorno, o
por deficiencias en la administración, se puede determinar cuales son los riesgos a
los cuales se enfrenta la institución en materia de seguridad de la información, y
que eventualmente, en caso de materializarse, podrían constituir un desastre
informático.
129
Es necesario para determinar el índice de exposición a riesgos, determinar la
probabilidad que existe de que un riesgo se materialice, así como el impacto que
esta eventualidad causaría en las operaciones de la organización.
Por otro lado, los valores de criticidad e impactos asociados a cada activo fueron
dados por el personal de la institución que fue entrevistado, siendo ellos los más
idóneos para determinar la importancia de sus activos de información.
Rango de Impacto
BAJA MED ALTA
130
Con esta matriz se puede determinar el rango de impacto causado por una
amenaza que afecte a un determinado activo, según su criticidad y las
vulnerabilidades presentes.
A partir de los rangos de impacto determinados anteriormente, se procede a
evaluarlos contra los valores de probabilidad determinados para cada amenaza y
se relacionan según esta nueva tabla de referencia.
131
Nuevamente se hace énfasis en que el objeto de este trabajo es la formulación de
un plan de recuperación de desastres, en el cual, básicamente se define como
reaccionar ante un desastre. Sin embargo a partir de la información mostrada en
el informe de riesgos, la institución debe hacer esfuerzos adicionales en el campo
de la prevención, para que además de contar con un plan de recuperación de
desastres, puedan ampliar su gestión a los campos de prevención y mitigación de
riesgos, a fin de prevenir hasta donde sea posible, el desastre.
132
CATALOGO COMPLETO DE AMENAZAS ANALIZADAS
CODIGO DESCRIPCION
A-N.1 FUEGO
A-N.2 DAÑOS POR AGUA
A-N.3 DESASTRES NATURALES
A-I.1 FUEGO
A-I.2 DAÑOS POR AGUA
A-I.3 DESASTRES INDUSTRIALES
A-I.4 CONTAMINACIÓN MECÁNICA O DE AMBIENTE.
A-1.5 INTERFERENCIA ELECTROMAGNETICA
A-I.6 AVERÍAS DE ORIGEN FÍSICO O LÓGICO
A-I.7 CORTE DEL SUMINISTRO ELÉCTRICO
A-1.8 CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD
A-I.9 FALLO DE SERVICIOS DE COMUNICACIONES
A-I.10 INTERRUPCIÓN DE OTROS SERVICIOS Y SUMINISTROS ESENCIALES
A-I.11 DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN
A-E.1 ERRORES DE LOS USUARIOS.
A-E.2 ERRORES DEL ADMINISTRADOR
A-E.3 ERRORES DE MONITORIZACIÓN
A-E.4 ERRORES DE CONFIGURACIÓN
A-E.7 DEFICIENCIAS EN LA ORGANIZACIÓN
A-E.8 DIFUSION DE SOFTWARE DAÑINO
A-E.9 ERRORES DE ENRUTAMIENTO
A-E.10 DESTRUCCIÓN DE LA INFORMACIÓN
A-E.11 VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE)
A-E.12 ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE)
A-E.13 ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE)
A-E.14 CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS
A-E.18 INDISPONIBILIDAD DEL PERSONAL
A-A.4 MANIPULACIÓN DE LA CONFIGURACIÓN
A-A.5 SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO
A-A.6 ABUSO DE PRIVILEGIOS DE ACCESO
A-A.7 USO NO PREVISTO
A-A.8 DIFUSIÓN DE SOFTWARE DAÑINO
A-A.9 RE-ENRUTAMIENTO DE MENSAJES
A-A.10 DESTRUCCIÓN DE LA INFORMACIÓN
A-A.11 MANIPULACIÓN DE PROGRAMAS
A-A.14 DENEGACIÓN DE SERVICIO
A-A.15 ROBO
A-A.16 ATAQUE DESTRUCTIVO
A-A.17 OCUPACIÓN ENEMIGA
A-A.18 INDISPONIBILIDAD DEL PERSONAL
A-A.19 INGENIERIA SOCIAL
133
MATRIZ DE RIESGOS DE SEGURIDAD INFORMÁTICA EN LA DIGESTYC
Activos Exposure
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 A A B M
A-N.2 M A B M
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A M A
A-I.3 B M B B
A-I.4 B M M M
A-1.5 B M B B
A-I.6 B M B B
A-I.7 A A A A
A-1.8 M A M A
GRUPO DE SERVIDORES
A-I.9 B M M M
CRITICIDAD ALTA
A-I.11 M A B M
(Controlador de dominio, SQL SW, HW,SI A
A-E.2 B M B B
Server, Web, Mail Server, A-E.3 M A B M
Backup)
A-E.4 M A M A
A-E.8 B M M M
A-E.11 M A B M
A-E.12 B M B B
A-E.13 N/A FALSO B FALSO
A-E.14 M A M A
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M A B M
A-A.7 M A B M
A-A.8 B M A A
134
A-A.11 M A B M
A-A.14 M A B M
A-A.15 A A M A
A-A.16 A A B M
A-A.17 N/A FALSO B FALSO
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.2 M A M A
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A B M
A-I.3 B M B B
A-I.4 B M M M
A-1.5 B M B B
Grupo de equipos auxiliares y A-I.6 B M B B
de comunicaciones. A-I.7 A A A A
Criticidad Alta HW A
A-1.8 M A M A
(UPS de servidores, Firewall,
Conmutadores principales) A-I.9 B M B B
A-I.10 N/A FALSO N/A FALSO
A-E.2 B M B B
A-E.3 M A B M
A-E.4 M A M A
A-E.9 B M B B
A-E.13 N/A FALSO B FALSO
A-E.14 M A M A
A-A.4 A A B M
135
A-A.5 A A B M
A-A.6 M A B M
A-A.7 M A B M
A-A.9 B M B B
A-A.14 M A B M
A-A.15 A A M A
A-A.16 A A B M
A-A.17 N/A FALSO N/A FALSO
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.2 M A B M
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A M A
A-I.3 B M B B
136
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M A B M
A-A.7 M A B M
A-A.8 B M A A
A-A.9 B M B B
A-A.11 M A B M
A-A.14 M A B M
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.2 M A B M
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A M A
A-I.3 B M B B
A-I.4 B M M M
BASES DE DATOS (SQL, A-I.6 B M B B
FOX, CSPRO, ISSA Y SQL D A A-I.7 A A A A
para pruebas y desarrollo) A-E.1 B M M M
A-E.2 B M B B
A-E.3 M A B M
A-E.4 M A M A
A-E.10 M A M A
A-E.11 M A B M
A-A.4 A A B M
A-A.10 M A M A
137
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.2 M A B M
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A M A
A-I.3 B M B B
A-I.4 B M M M
A-1.5 B M B B
A-I.6 B M B B
A-I.7 A A A A
A-1.8 M A M A
Computadoras de criticidad A-I.9 B M M M
HW, SW,
alta en div. sistemas y en las A A-I.11 M A B M
SI
oficinas de Dirección. A-E.2 B M B B
A-E.3 M A B M
A-E.4 M A M A
A-E.8 B M M M
A-E.11 M A B M
A-E.12 B M B B
A-E.13 N/A FALSO B FALSO
A-E.14 M A M A
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M A B M
A-A.7 M A M A
138
A-A.8 M A A A
A-A.11 M A B M
A-A.14 M A B M
A-A.15 A A M A
A-A.16 A A B M
A-A.17 N/A FALSO B FALSO
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M M B B
A-N.2 M M B B
A-N.3 M M B B
A-I.1 M M B B
A-I.2 M M M M
A-I.3 B B B B
A-I.4 B B M B
A-1.5 B B B B
Grupo de servidores de A-I.6 B B B B
HW, SW,
criticidad media : Proxy y M A-I.7 A A A A
SI
VPNServer A-1.8 M M M M
A-I.9 B B M B
A-I.11 M M B B
A-E.2 B B B B
A-E.3 M M B B
A-E.4 M M M M
A-E.8 B B M B
A-E.11 M M B B
A-E.12 B B B B
139
A-E.13 N/A FALSO B FALSO
A-E.14 M M M M
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M M B B
A-A.7 M M M M
A-A.8 M M A A
A-A.11 M M B B
A-A.14 M M B B
A-A.15 A A B M
A-A.16 A A B M
A-A.17 N/A FALSO B FALSO
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M M B B
A-N.2 M M B B
A-N.3 M M B B
A-I.1 M M B B
A-I.2 M M B B
Equipos comunicaciones A-I.3 B B B B
definidos con criticidad media HW M A-I.4 B B M B
(en general) A-1.5 B B B B
A-I.6 B B B B
A-I.7 A A A A
A-1.8 M M M M
A-I.9 B B B B
A-I.10 N/A FALSO N/A FALSO
140
A-E.2 B B B B
A-E.3 M M B B
A-E.4 M M M M
A-E.9 B B B B
A-E.13 N/A FALSO B FALSO
A-E.14 M M M M
A-A.4 A A B M
A-A.5 A A B M
A-A.6 M M B B
A-A.7 M M B B
A-A.9 B B B B
A-A.14 M M B B
A-A.15 A A M A
A-A.16 A A B M
A-A.17 N/A FALSO N/A FALSO
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M M B B
A-N.2 M M B B
A-N.3 M M B B
A-I.1 M M B B
Grupo de computadoras de A-I.2 M M M M
HW, SW,
criticidad media de todas las M
SI A-I.3 B B B B
divisiones.
A-I.4 B B M B
A-1.5 B B B B
A-I.6 B B B B
A-I.7 A A A A
141
A-1.8 M M M M
A-I.9 B B M B
A-I.11 M M B B
A-E.2 B B B B
A-E.3 M M B B
A-E.4 M M M M
A-E.8 B B M B
A-E.11 M M B B
A-E.12 B B B B
A-E.13 N/A FALSO B FALSO
A-E.14 M M M M
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M M B B
A-A.7 M M M M
A-A.8 M M A A
A-A.11 M M B B
A-A.14 M M B B
A-A.15 A A M A
A-A.16 A A B M
A-A.17 N/A FALSO B FALSO
142
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
Grupo de computadoras de HW, SW, B A-N.1 M B B B
criticidad baja de todas las SI A-N.2 M B B B
divisiones. A-N.3 M B B B
A-I.1 M B B B
A-I.2 M B M B
A-I.3 B B B B
A-I.4 B B M B
A-1.5 B B B B
A-I.6 B B B B
A-I.7 A M A A
A-1.8 M B M B
A-I.9 B B M B
A-I.11 M B B B
A-E.2 B B B B
A-E.3 M B B B
A-E.4 M B M B
A-E.8 B B M B
A-E.11 M B B B
A-E.12 B B B B
A-E.13 N/A FALSO B FALSO
A-E.14 M B M B
A-A.4 A M B B
A-A.5 A M M M
A-A.6 M B B B
A-A.7 M B M B
143
A-A.8 M B A M
A-A.11 M B B B
A-A.14 M B B B
A-A.15 A M M M
A-A.16 A M B B
A-A.17 N/A FALSO B FALSO
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.3 M A B M
Personal crítico para el manejo A-I.1 A
M B M
de la información
P A A-I.3 B M B B
(administradores, A-E.18 A
M M A
desarrolladores, etc.) A-A.18 A
M B M
A-A.19 B M B B
144