Auditoria de Sistemas Tesis - JRTF - Capitulo4

CAPÍTULO 4
ANÁLISIS DE RIESGOS DE SEGURIDAD

DE LA INFORMACIÓN EN LA DIGESTYC
4.1 DESCRIPCIÓN GENERAL
La seguridad informática es la capacidad de las redes o de los sistemas de

información para resistir, con un determinado nivel de confianza, los accidentes o
acciones ilícitas o malintencionadas que comprometan la disponibilidad,
autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen
accesibles.
Sin embargo, tal como se ha mencionado antes, cualquier organización de

negocios o no, está expuesta a fallos en la seguridad de su información, y existe
siempre una amenaza latente de que un evento o acción afecte a la organización
en su capacidad de alcanzar sus objetivos o realizar sus estrategias. Esto es lo
que identificamos como riesgo.
El Consejo Superior de Administración Electrónica de España, en la

documentación de la metodología MAGERIT10 especifica una definición mas
formal de riesgo: “Estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos [de información] causando daños o perjuicios
a la organización”.
El riesgo indica lo que le podría pasar a los activos si no se protegieran

adecuadamente. Es importante saber qué características son de interés en cada
activo, así como saber en qué medida estas características están en peligro.
10
Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT). Tomo I :
Método. Ministerio de Administraciones Públicas, Madrid 2006.
63
Esto se logra mediante un análisis de riesgos, el cual es un proceso sistemático
para estimar la magnitud de los riesgos a que está expuesta una organización.
Realizar un análisis de riesgos es laborioso y costoso. Levantar un mapa de
activos y valorarlos requiere la colaboración de muchos perfiles dentro de la
organización, desde los niveles de gerencia hasta los técnicos. Y no solo hay que
involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio
entre todos pues, si importante es cuantificar los riesgos, más importante aún es
relativizarlos. Y esto es así porque típicamente en un análisis de riesgos aparecen
multitud de datos. La única forma de afrontar la complejidad es centrarse en lo
más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o
incluso despreciable. Por eso, si los datos no están bien ordenados en términos
relativos, su interpretación es imposible.
El análisis de riesgos es una tarea mayor que requiere esfuerzo y coordinación.

Por tanto debe ser planificada y justificada. En particular, en este estudio, las
tareas relacionadas con el análisis de riesgos han sido probablemente las que
más tiempo nos han requerido.
Finalmente, se debe tener bien claro que un análisis de riesgos es recomendable

en cualquier organización que dependa de los sistemas de información y
comunicaciones para el cumplimiento de su misión. En particular en cualquier
entorno donde se practique la tramitación electrónica de bienes y servicios, sea en
contexto público o privado. El análisis de riesgos permite tomar decisiones de
inversión en tecnología, desde la adquisición de equipos de producción hasta el
despliegue de un centro alternativo para asegurar la continuidad de la actividad,
pasando por las decisiones de adquisición de salvaguardas técnicas y de
selección y capacitación del personal.
4.2 ELEMENTOS Y TAREAS QUE CONFORMAN EL ANÁLISIS
Existen dos elementos sobre los cuales esta fundamentado el análisis de riesgos:
64
 Activos, que son los elementos del sistema de información (o
estrechamente relacionados con este) que aportan valor a la organización.
 Amenazas, que son situaciones que les pueden pasar a los activos
causando un perjuicio a la organización.
Con estos elementos se puede estimar:

 Los impactos: lo que podría pasar
 Los riesgos: lo que probablemente pase
El análisis de riesgos es una aproximación metódica para determinar el riesgo

siguiendo unos pasos pautados:
1. Determinar los activos relevantes para la organización, su interrelación y su
valor, en el sentido de qué perjuicio (coste) supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos.
3. Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza.
4. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materialización) de la amenaza.
La siguiente figura ilustra en forma gráfica este proceso:
Fig. 4.1: Elementos del análisis de riesgos
65
4.3 IDENTIFICACIÓN DE ACTIVOS
Se denominan activos a los recursos del sistema de información o relacionados

con éste, necesarios para que la organización funcione correctamente y alcance
los objetivos propuestos por su dirección.
El activo esencial es la información que maneja el sistema; o sea los datos. Y

alrededor de estos datos se pueden identificar otros activos relevantes
La organización internacional ISACA11 (Asociación para el control y auditoría de

sistemas de información, por sus siglas en inglés) en su metodología COBIT
(Objetivos de Control para las Tecnologías de Información) se refiere a los activos
de información como recursos de tecnologías de información. En este estudio se
ha usado el modelo de identificación de activos que COBIT propone, aunque vale
la pena mencionar que las tipificaciones de activos de otros modelos de
estándares o recomendaciones internacionales no varían mucho. En general, las
categorías de los activos, tampoco deberían ser muy rígidas, pues deben permitir
que una organización adopte las categorías que sean más adecuadas para su
infraestructura de sistemas en particular.
Los recursos de TI identificados en COBIT se pueden definir como sigue:
 La información son los datos en todas sus formas de entrada, procesados

y generados por los sistemas de información, en cualquier forma en que
son utilizados por el negocio.
 Las aplicaciones incluyen tanto sistemas de usuario automatizados como
procedimientos manuales que procesan información.
 La infraestructura: es la tecnología y las instalaciones (hardware, sistemas
operativos, sistemas de administración de base de datos, redes,
11
ISACA es una organización ampliamente reconocida en los campos de seguridad informática y de la
gestión de los recursos de información. Con más de 65.000 miembros en todo el mundo, esta organización se
caracteriza por su diversidad. Los miembros viven y trabajan en más de 140 países y cubren una variedad de
puestos profesionales relacionados con Tecnologías de información.
66
multimedia, etc., así como el sitio donde se encuentran y el ambiente que
los soporta) que permiten el procesamiento de las aplicaciones.
 Soportes de información: Incluye los recursos necesarios para alojar y dar
soporte a los sistemas de información, dicho de otra forma son los medios
de almacenamiento de datos.
 Las personas: son el personal requerido para planear, organizar, adquirir,
implementar, entregar, soportar, monitorear y evaluar los sistemas y los
servicios de información. Estas pueden ser internas, por outsourcing o
contratadas, de acuerdo a como se requieran.
La tipificación de los activos es tanto una información documental de interés como

un criterio de identificación de amenazas potenciales y salvaguardas apropiadas a
la naturaleza del activo.
La relación que sigue clasifica los activos dentro de una jerarquía, determinando
para cada uno un código que refleja su posición jerárquica, un nombre y una breve
descripción de las características que recoge cada categoría. Nótese que la
pertenencia de un activo a un tipo no es excluyente de su pertenencia a otro tipo;
es decir, un activo puede ser simultáneamente de varios tipos.
[D] Datos / Información

Elementos de información que, de forma singular o agrupados, representan el
conocimiento que se tiene de algo. Los datos son el corazón que permite a una
organización prestar sus servicios. Son en cierto sentido un activo abstracto que
será almacenado en equipos o soportes de información (normalmente agrupado
en forma de bases de datos) o será transferido de un lugar a otro por los medios
de transmisión de datos.
Es habitual que en un análisis de riesgos e impactos, el usuario se limite a valorar
los datos, siendo los demás activos sirvientes que deben cuidar y proteger los
datos que se les encomiendan.
67
[SW] Aplicaciones (software)
Con múltiples denominaciones (programas, aplicativos, desarrollos, etc.) este
categoría se refiere a tareas que han sido automatizadas para su desempeño por
un equipo informático. Las aplicaciones gestionan, analizan y transforman los
datos permitiendo la explotación de la información para la prestación de los
servicios.
No preocupa en este apartado el denominado “código fuente” o programas que
serán datos de interés comercial, a valorar y proteger como tales. Dicho código
aparecería como datos.
[HW] Equipos informáticos (hardware)

Se refiere a la infraestructura tecnológica, bienes materiales, físicos, destinados a
soportar directa o indirectamente los servicios que presta la organización, siendo
pues depositarios temporales o permanentes de los datos, soporte de ejecución
de las aplicaciones informáticas o responsables del procesado o la transmisión de
datos. Se incluye aquí también al equipamiento auxiliar informático, como es el
caso de sistemas de generación de alimentación ininterrumpida (UPS), sistemas
de cableado eléctrico y de redes de datos, etc.
[SI] Soportes de información

En esta categoría se consideran dispositivos físicos que permiten almacenar
información de forma permanente o, al menos, durante largos períodos de tiempo.
[P] Personal
En este epígrafe aparecen las personas relacionadas con los sistemas de
información, como por ejemplo: usuarios externos, usuarios internos, operadores,
administradores de sistemas, administradores de comunicaciones,
administradores de bases de datos, desarrolladores, proveedores, etc.
68
4.3.1 Descripción del proceso de identificación de activos
Realización de entrevistas e inspecciones físicas.
Para proceder a iniciar el inventario de activos de información fue necesario

realizar varias visitas a la institución, durante el período del 13 al 27 de abril de
XXXX. Se coordinaron las visitas con la jefatura de la división de sistemas; quien
designo personal del área de informática, para proporcionar el soporte necesario.
La primera locación de la institución donde se realizó la identificación de activos
fue la División de sistemas. Para recolectar los datos se entrevistaron los
encargados de las diferentes divisiones dentro de la división de informática. Estas
personas son los responsables de los activos que fueron inventariados dentro de
la división de sistemas.
Como es de esperarse, se determinó que es en la división de sistemas donde se

encuentra la mayor parte del equipo y herramientas de software de más alta
criticidad, particularmente los servidores, bases de datos y las aplicaciones
alojadas en estos equipos. Aquí que es donde se acumula la información que
proviene de las personas de campo para ser utilizada en distintas formas para
efectos de estadísticos y la distribución de estas a las distintas instituciones que
de uno u otra forma analizan los informes finales.
Posteriormente se visitó el área de la dirección y sub dirección; y luego la división

administrativa, para ello se contó con la asesoría del jefe de esta sección. Aquí se
encuentran las áreas de Finanzas, Recursos Humanos, Colecturía, Pagaduría,
Publicaciones e Impresiones, Servicios Generales de Mantenimiento, y Almacén.
Se entrevistó inicialmente al jefe de la división de precios, esta es una de las áreas

que de acuerdo a nuestro análisis es de suma importancia en la parte operativa,
ya que es aquí en donde se procesan las estadísticas sobre un listado de
productos predeterminados, si han tenido alzas o bajas en precios.
69
Para continuar, se realizó en la división de estadísticas sociales el inventario
correspondiente, y las entrevistas al responsable de esta área, que también de
acuerdo a nuestro estudio ha sido considerada como otra de las divisiones con
mayor importancia en cuanto a los procesos de información que tiene bajo su
responsabilidad.
Por último se realizaron las entrevistas correspondientes en la división de censos y

encuestas económicas con parte del personal y con el jefe de esta división. Esta
división también es de mucha importancia por los datos que mes a mes se
procesan. Cabe mencionar que esta sección no tiene ninguna relación al proyecto
que actualmente se están realizando con las encuestas de población y vivienda.
El resultado de todas estas entrevistas y jornadas de inspección ha sido

sintetizado en las tablas de inventarios de activos que se presentan en el siguiente
apartado.
70
4.3.2 Tablas de inventario de activos
División o Departamento: División de Sistemas - Informática
DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD

Controlador de Dominio,
Servidor DELL (Windows 2003 Server, SW, HW, SI alto
Active Directory).
Proxy Server, Seguridad
Servidor DELL Internet (Windows 2003 SW, HW, SI medio
Sever, ISA Server)
Web Server
IIS)
SQL Server
MS SQL Server 2005)
Correo
MS Exchange )
File Server
Servidor DELL SW, HW, SI alto
(Windows 2003 Server)
Back Up Server
Servidor DELL SW, HW, SI alto
(Windows 2003 Server)
Concentrador de VPN’s
Servidor DELL SW, HW, SI medio
ISA Server
FW Cisco Pix Firewall HW alto
Modem ASCOM V. 35/ Conexión a Internet
HW medio
Router 1600 Cisco (pertenece al proveedor)
Switch Cisco/ Linksys
LAN de servidores HW alto
SW 2024
LAN Estaciones de trabajo
SW DELL HW alto
de Informática
Transceivers (5) Interconexión Red de Fibra
HW alto
Convertidores IO/ETL (Red de Campus)
Bracket Patch Panel
LAN de informática HW
(24)
UPS PowerWare (2)
Protección Servidores HW alto
9125 2.2 KVA
UPS Smart Central (3)
Protección Comunicación HW
1 KVA Alto
71
Jefatura Soporte
PC soporte (1) SW, HW alto
(Monitoreo)
PC Soporte Técnico (2) Soporte Técnico SW, HW medio
Computadoras 6 Programadores D alto
Computadora 1 secretaria D medio
Computadoras 2- jefaturas D alto
Cisco Linksys Switch 24
LAN Soporte Técnico HW medio
Puertos
Uso de Presentaciones y
Laptop y Cañon HW bajo
Varios
Aplicaciones (.NET)
internas alojadas en Div. Censos y Enc. Econ SW alto
SQL SERVER
Base de Datos, SQL
SQL Server D alto
Producción
Aplicación Precios
(FOX) alojada en FILE Div. Precios SW alto
SERVER
Base de Datos
Precios(FOX)
Div. Precios D alto
Alojada en FILE
SERVER.
Base de Datos ISSA
Div. Estadist. Sociales D alto
(FILE SERVER)
Base de Datos CSPRO
Div. Estadist. Sociales D alto
(FILE SERVER)
Aplicación Activo Fijo y
base de Datos Div. Administrativa SW alto
(SQL SERVER)
Base de Datos, SQL
SQL Server D alto
Test/Desarrollo
72
División o Departamento: División de Sistemas – Captura de Datos

7 Computadoras Digitación SW, HW, SI bajo
1 Computadora Depuración SW, HW, SI bajo
1 Computadora Muestra SW, HW, SI bajo
1 Computadora Jefatura SW, HW, SI bajo
5 Computadoras Digitalización SW, HW, SI bajo
1 Computadora Terminal Patrones Diseño SW, HW, SI bajo
Hub 16 puertos INTEL LAN SW, HW, SI bajo
Protección Equipo de
HW bajo
8 UPS, CDP 0.5 KVA Cómputo
Impresor Láser en Red,
Impresiones Varias HW bajo
Lexmark
Impresor viñetas para
Imp. Térmicas TSC 2 HW bajo
encuestas (externo) 2
Scanner Spectrum Alta Digitalización y HW bajo
Velocidad Captura de Datos
División o Departamento: Dirección Administrativa

1 Impresor, 2
Finanzas SW, HW, SI medio
computadoras UPS
4 Impresores, 3
Colecturía SW, HW, SI bajo
computadoras UPS
1 Impresor, 2
Pagaduría SW, HW, SI bajo
computadoras UPS
2 Impresores, 2
Publicaciones e Impresiones SW, HW, SI bajo
computadoras UPS
Servicios Generales
2 Impresores, 2
Mantenimiento, Transporte, SW, HW, SI bajo
computadoras UPS
Ordenanza
1 Impresor, 2
Almacén( papelería y útiles) SW, HW, SI bajo
computadoras UPS
1 impresor de Area, 3
Contabilidad SW, HW, SI medio
computadoras UPS
3 Impresores de Area, 2 Jefatura de la División
SW, HW, SI medio
computadoras UPS Administrativa
73
División o Departamento: Dirección y Sub-dirección

1 Impresor, 1-PC- 1 UPS Uso de subdirector SW, HW, SI alto
1 Impresor, 1PC- 1 UPS Tareas secretariales SW, HW, SI alto
1 Laptop Uso del director SW, HW, SI alto
División o Departamento: División de Precios.

1 Impresor p/todos
matricial p/ boletas Procesamiento de
SW, HW, SI bajo
( exclusivo), Información
3 computadoras + UPS
Procesos de Controles
1 Computadora + UPS SW, HW, SI bajo
Control de Calidad
Captura de Datos
3 Computadoras +UPS Reciben Datos de SW, HW, SI bajo
Encuestas en la Calle
Para Secretaria y
2 Computadoras SW, HW, SI medio
Jefatura
División o Departamento: División de Estadísticas Sociales.

1 Switch 12 Puertos
Red y equipamiento
Cisco SW2024, 1 HW medio
auxiliar.
Regulador de Voltaje
7 Computadoras, 6
Digitadores HW, SW, SI bajo
Reguladores de voltaje
1 Cultural, 3 Áreas
5 Computadoras SW, HW, SI bajo
Vitales, 1 Programador
5 Computadoras, Análisis y digitalización
SW, HW, SI bajo
3 Reguladores de Ingresos y Gastos
1 Fotocopiadora Xerox,
Encuestas de Hogares HW bajo
1 Impresor Canon
Metodología
74
8 computadoras, 5
reguladores de voltaje Encuestas de Hogares SW, HW, SI bajo
6 fijas, 2 impresores Metodología
Área de Campo 4
6 computadoras Metodología, 2
SW, HW, SI bajo
administrativos, 2
Área de Campo
para Levantamiento, y
5 Pc, 4 UPS, 1
recopilación de SW, HW, SI Bajo
Impresor Lasser hp 1320
encuestas
Socioeconómicas
División o Departamento: Dirección Censos y Encuestas Económicas.
DESCRIPCION FINALIDAD LOCALIZACION CRITICIDAD

Área de Campo 1,
1 Computadora Critica y Codificación, HW, SW, SI Bajo
Control de Calidad
Área de Campo 1
1 Switch 8 puertos
Critica y Codificación, HW Medio
SRW 2024,
Control de Calidad
Área de Campo 1
Encuestas Humanas,
5 computadoras, 2 UPS Bajo
Sistemas de Cuentas HW, SW, SI
Nacionales
1 Switch 24 puertos
Medio
Nortel networks HW
Área de Campo 2
Unidad de Encuestas
9 Pc´s, 2 impresores y 7 (Critica y
Bajo
reguladores Reportes de HW, SW, SI
supervisores)
1 Switch 14 Puertos, HW
Área de Campo 2 Medio
Super Stack 3Com
1 Switch 24 puertos
DELL 5324 Power HW
Metodología Medio
Conect,
1 UPS
75
Elaboración de Boletas,
Manuales Instructivos,
1 Impresor, 7 UPS, y 10
Generación de HW, SW, SI Bajo
computadoras
Información,
Generación de Gráficas
Metodología
1 Laptop encuestas Económicas HW, SW, SI Medio
exclusivamente
1 Impresor OKI B6300 Uso general Bajo
HW
Metodología 2
3 Computadoras, 3 UPS HW, SW, SI Bajo
Análisis, Muestreo
Metodología Proyectos.
1 Switch 24 puertos
(Soporta Solvencias,
Nortel Networks cat 5 e, HW Medio
colectaría y encuestas
1 Switch centre Com 724
económicas)
Solvencias, para
7 cpu, 5 UPS HW, SW, SI Bajo
matrículas de comercio
4.4 IDENTIFICACIÓN DE AMENAZAS
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada
activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a los activos en cuestión y causar un daño.
Hay accidentes naturales (terremotos, inundaciones, etc.) y desastres industriales
(contaminación, fallos eléctricos) ante los cuales el sistema de información es
víctima pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay
amenazas causadas por las personas, bien errores, bien ataques intencionados.
Junto con las amenazas trataremos también las vulnerabilidades de los sistemas.
Existe una relación muy estrecha entre amenazas y vulnerabilidades como
factores propiciadores de los riesgos. Como ya se explico previamente, en el
capítulo 1 de este trabajo, amenaza se refiere a un peligro latente o un factor de
riesgo externo de un sistema o de un sujeto expuesto, en cambio, la
vulnerabilidad se entiende, en general, como un factor de riesgo interno que
76
determina la factibilidad de que el sujeto o sistema expuesto sea afectado por el
fenómeno que caracteriza la amenaza
En este estudio se ha realizado un proceso de revisión de amenazas típicas de

sistemas de información, basándonos en el catálogo de amenazas propuesto por
MAGERIT12 y partir de ellas se han examinado las vulnerabilidades que puedan
existir a nivel de la organización, y que generan un aumento en la probabilidad de
que la amenaza se materialice en los activos expuestos.
4.4.1 Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus

dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que
estimar cuán vulnerable es el activo, en dos sentidos:
 Degradación: cuán perjudicado resultaría el activo
 Frecuencia: cada cuánto se materializa la amenaza
La degradación mide el daño causado por un incidente en el supuesto de que

ocurriera. La degradación se suele caracterizar como una fracción del valor del
activo y así aparecen expresiones como que un activo se ha visto “totalmente
degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no
son intencionales, probablemente baste conocer la fracción físicamente
perjudicada de un activo para calcular la pérdida proporcional de valor que se
pierde. Pero cuando la amenaza es intencional, no se puede pensar en
proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma
selectiva.
12
MAGERIT v 2.0: Metodología de Administración y Gestión de riesgos en Tecnologías de Información.
“Tomo II : Catalogo de Elementos”. Ministerio de Administraciones Públicas, Madrid, 2006.
77
La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede
ser de terribles consecuencias pero de muy improbable materialización; mientras
que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente
como para acabar acumulando un daño considerable. La frecuencia se modela
como una tasa anual de ocurrencia, siendo valores típicos:
Muy frecuente a diario

Frecuente mensualmente
Normal una vez al año
Poco frecuente cada varios años
78
4.4.2 Tablas de amenazas y vulnerabilidades
Se presenta a continuación un catálogo de amenazas posibles sobre los activos

de un sistema de información. Para cada amenaza se presenta un cuadro como el
siguiente:
[código] Título descriptivo de la amenaza

Tipos de activos: Dimensiones13 :
 que se pueden ver afectados 1. de seguridad que se pueden ver
por este tipo de amenaza afectadas por este tipo de amenaza,
ordenadas de más a menos relevante
Descripción:
Complementaria o más detallada de la amenaza. Lo que le puede ocurrir a los
activos del tipo indicado con las consecuencias indicadas
Por otro lado, las amenazas han sido agrupadas según la naturaleza de sus
causas, siendo estas las siguientes:
 Desastres Naturales.
 De origen Industriales.
 Errores no Intencionados.
 Ataques Deliberados.
13
No debe olvidarse que este estudio esta enfocado a la identificación de riesgos que atentan contra la
disponibilidad, por lo tanto nos limitaremos a mencionar todas las dimensiones de la seguridad que pueden
verse comprometidas ante una amenaza en particular, pero al momento de priorizar los riesgos, nos
centraremos únicamente en un enfoque que priorice los impactos sobre la dimensiones de la disponibilidad.
Ciertas amenazas que no comprometen el estado de disponibilidad de los activos de información tampoco han
sido tomadas en cuenta en este estudio.
79
4.4.2.1 Amenazas relacionadas con desastres naturales [N]
Sucesos que pueden ocurrir sin intervención de los seres humanos como causa
directa o indirecta.
A-N.1 : FUEGO
Tipos de Activos Dimensiones
 Hardware, equipos informáticos 1. Disponibilidad
 Datos e Información 2. Trazabilidad de los servicios
 Soporte de Información 3. Trazabilidad de los datos
 Software (Aplicaciones)
 Personal
Descripción
Incendios: posibilidad de que el fuego acabe con recursos del sistema
Vulnerabilidades detectadas relacionadas a esta amenaza:
 No existen sensores de humo o alarma contra incendios

 No existen suficientes extintores de incendios, o no están distribuidos en los
sitios claves de manejo de información.
 No hay procedimientos de emergencia ante un incendio.
 Existen materiales inflamables cerca de los sitios críticos de manejo de
información.
 Hay paredes de concreto pero también hay paredes de material inflamables
tales como madera o plywood.
80
A-N.2 : DAÑOS POR AGUA
Descripción
Inundaciones: posibilidad de que el agua acabe con recursos del sistema.
 Las locaciones donde se ubican activos de información son susceptible a

filtraciones de agua, incluyendo aquellas donde están activos críticos.
 Podrían generarse problemas debido a las instalaciones de fontanería que
no son las mas adecuadas. Los baños están junto al cuarto de servidores.
 No existe un sistema de drenaje de emergencia.
Atenuantes de las Vulnerabilidades:
 Se han tomado algunas contramedidas para evitar que el agua llegue hasta
los centros de cómputo, como por ejemplo ubicar equipos críticos en
plataformas para elevar la altura a la que están situados los servidores.
81
A-N.3 : DESASTRES NATURALES
 Personal
Descripción
Otros incidentes que se producen sin intervención humana: rayo, tormenta
eléctrica, terremoto, ciclones, avalancha, deslaves o derrumbes, etc.
Se excluyen desastres específicos tales como incendios e inundaciones.
 Aunque se ha instalado recientemente un pararrayos con su

correspondiente aterrizado, este no se cumple la normativa de punto único
de conexión del sistema de tierras, lo que constituye una tierra aislada.
Según el Código de Electricidad (NEC)14 esto no ofrece la protección
adecuada y constituye un riesgo para equipos electrónicos sensibles.
 No existen planes de emergencia a nivel del personal sobre que hacer en
casos de desastre, como por ejemplo un terremoto.
 No se cuenta con un sitio alterno de operación o al menos un sitio diferente
(separado geográficamente) donde se almacenen copias de respaldo
(backups) de la información y las aplicaciones de misión critica de la
organización.
14
2005 NEC :Nacional Electrical Code Handbook.
82
 El edificio no es anti-sísmico, pero su estructura ha probado ser resistente a
Sismos.
 No existen reportes de daños estructurales provocados por sismos
anteriores.
 No se evidencian paredes agrietadas de las cuales se sospeche que
puedan representar peligros.
 No existen condiciones que lo hagan susceptibles a deslaves, avalanchas,
erupciones volcánicas.
4.4.2.2 Amenazas de origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad

humana de tipo industrial. Estas amenazas pueden darse de forma accidental o
deliberada.
A-I.1 : FUEGO
 Personal
Descripción
Incendio: posibilidad de que el fuego acabe con los recursos del sistema.
 No existen sensores de humo o alarma contra incendios
83
 No existen suficientes extintores de incendios, o no están distribuidos en los
sitios claves de manejo de información.
 No hay procedimientos de emergencia ante un incendio.
 Existen materiales inflamables cerca de los sitios críticos de manejo de
información.
 Hay paredes de concreto pero también hay paredes de material inflamables
tales como madera o plywood.
 Las instalaciones eléctricas no tienen un mantenimiento adecuado. No hay
una certificación que avale si estas son 100% seguras. Sin embargo,
tampoco se han registrado mayores incidentes relacionados con cortos
circuitos en instalaciones eléctricas.
 Las ducterías eléctricas y de datos usan poliductos, el cual es un material
altamente inflamable.
 No existen extintores adecuados de polvo químico especiales para fuego
eléctrico y equipos electrónicos en el centro de cómputo.
 No se tiene certeza sobre si se les proporciona el adecuado mantenimiento
a los extintores que existen.
A-I.2 : DAÑOS POR AGUA

Descripción
Inundaciones: posibilidad de que el agua acabe con recursos del sistema.
84
 Podrían generarse problemas debido a las instalaciones de fontanería que

no son las más adecuadas. Los baños están junto al cuarto de servidores.
 No existe un sistema de drenaje de emergencia.
A-I.3: DESASTRES INDUSTRIALES

 Personal
Descripción
Otros desastres debidos a la actividad humana: explosiones, derrumbes,
contaminación química, sobrecarga eléctrica, fluctuaciones eléctricas, ...
accidentes de tráfico, etc.
 No hay materiales que puedan producir explosiones.

 Si hay problemas de suministro eléctrico. Problemas de calidad de energía.
 Se dan problemas de fluctuaciones de energía. Picos de voltaje. Problemas
de picos transitorios que afectan los equipos informáticos. Existen
antecedentes de daños a equipos por esta causa.
 La mayoría de UPS que se tienen no ofrecen la adecuada protección
contra problemas de calidad de energía.
 Existe un UPS de gran capacidad que aun no ha sido conectado.
 Uso de regletas corrientes sin protección.
85
 Las acometidas de datos o eléctricas son susceptibles a daños por
accidentes de tráfico en los postes de los tendidos eléctricos. También son
susceptibles a robo de cables.
 Si se cuentan con algunos UPS que tienen este tipo de protección pero son
únicamente para los servidores críticos. También se cuenta con un
regulador de voltaje que protege un circuito donde se conectan equipos de
misión crítica.
A-I.4: CONTAMINACIÓN MECÁNICA O DE AMBIENTE.

Descripción
Vibraciones, polvo, suciedad
 Problemas de excesivo polvo sobre los equipos. En ocasiones el viento

levanta las losas del cielo falso y debido a eso cae bastante polvo.
 Esta situación ocurre en los sitios del centro de cómputo y en casi todas las
demás oficinas donde hay equipos informáticos.
86
A-I.5: INTERFERENCIA ELECTROMAGNETICA
 Soporte de Información 2. Trazabilidad de los servicios
(medios electrónicos) 3. Trazabilidad de los datos
Descripción
Interferencias de radio, campos magnéticos, luz ultravioleta
 Las redes inalámbricas tienen cierto nivel de protección de acceso y

encripción de datos usando protocolo WEP, aunque se conoce que este
puede ser fácilmente descifrado, lo cual podrá comprometer la
disponibilidad.
 Fuera de ello, se considera que no existen mayores incidentes al respecto
que demuestren vulnerabilidades en este punto.
 Existen servicios de redes inalámbricas en la institución pero funcionan
adecuadamente y no interfieren en la operación normal.
A-I.6: AVERÍAS DE ORIGEN FÍSICO O LÓGICO

 Software (Aplicaciones) 2. Trazabilidad de los servicios
 Datos e Información 3. Trazabilidad de los datos
 Soporte de Información
Descripción
Fallos en los equipos y/o fallos en los programas. Puede ser debida a un
defecto de origen u ocurrida durante el funcionamiento del sistema.
En sistemas de propósito específico, a veces es difícil saber si el origen del
87
fallo es físico o lógico; pero para las consecuencias que se derivan, esta
distinción no suele ser relevante.
 No existe una infraestructura formal de back up, aunque se pueden usar

equipos del stock de partes de Informática para cubrir algún equipo que se
haya dañado.
 Los equipos de misión crítica gozan de alta confiabilidad en su

funcionamiento. No hay mayores incidentes que hagan constatar fallas de
origen lógico o físico.
 Las PC´s de uso general si pueden presentar fallas, pero estas son
corregidas a través de la garantía del fabricante o por el departamento de
soporte interno.
 Otros equipos en general no han presentado mayores problemas en cuanto
a fallas por defectos de fabricación o mala calidad. Las fallas
experimentadas generalmente son producidas por factores externos como
el suministro eléctrico.
 Las computadoras son de fabricantes reconocidos, de buena calidad y con
garantía.
88
A-I.7: CORTE DEL SUMINISTRO ELÉCTRICO
(electrónicos)
Descripción
Cese de la alimentación eléctrica.
 No todos los equipos informáticos son alimentados mediante UPS, pero si

todos los equipos que son considerados de misión critica (Servidores,
dispositivos de comunicaciones, etc.)
 Ya se compro una planta eléctrica. Pero esta no ha sido instalada aun.
Tampoco existe una planificación conocida que diga cuando se realizará
esta Instalación para saber cuando estará en servicio.
 Cortes de energía prolongados (más de veinte minutos) requerirán que los
equipos de misión crítica de la institución sean apagados. No existirá
disponibilidad de los servicios de información en la institución durante el
lapso que dure el corte de energía.
 La red interna de suministro eléctrico no esta bien identificada y tampoco
tiene el mantenimiento óptimo para garantizar la seguridad de estas
instalaciones. Los sistemas eléctricos podrían ser susceptibles a cortos
circuitos que podrían provocar la interrupción del suministro total o parcial,
debido a la quema de fusibles de protección, o la apertura de un circuito de
protección térmica.
89
A-I.8: CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD
 Soporte de Información 2. Trazabilidad de los servicio
3. Trazabilidad de los datos
Descripción
Deficiencias en la climatización de los locales, excediendo los márgenes de
trabajo de los equipos: excesivo calor, excesivo frío, exceso de humedad, etc.
 Los aires acondicionados de la sala de equipos críticos no tienen el

mantenimiento adecuado. Presentan problemas de goteo constante y
excesivo en sus bandejas de drenaje.
 Los aires acondicionados de misión crítica no son del tipo llamado “aires
acondicionados de precisión”, los cuales son los equipos idoneos para el
enfriamiento de cuartos de equipos. Los equipos actuales, no tienen control
sobre la humedad relativa del ambiente, lo cual podría resultar en daños en
tarjetas electrónicas.
Atenuantes de las vulnerabilidades:
 El funcionamiento de los aires en cuanto a regulación de temperatura es

aceptable. La capacidad de enfriamiento esta bien.
A-I.9: FALLO DE SERVICIOS DE COMUNICACIONES

 Hardware (equipos de 1. Disponibilidad
comunicaciones)
 Software (Aplicaciones en Red)
90
Descripción
Cese de la capacidad de transmitir datos de un sitio a otro. Típicamente se
debe a la destrucción física de los medios físicos de transporte o a la
detención de los centros de conmutación, ya sea por destrucción, detención o
simple incapacidad para atender al tráfico presente.
 Existe siempre la posibilidad de que estos servicios fallen debido a

diferentes causas, por lo general debido a causas imputables a los
proveedores de servicio. Estas fallas pueden ser por problemas en los
equipos o por problemas en los medios de transmisión.
 No existe infraestructura de comunicaciones alterna o de respaldo, de modo
que pueda suplir los servicios de comunicaciones en caso de que los
servicios principales de comunicaciones falle.
 El nivel de servicio de los proveedores de comunicaciones ha resultado ser

bastante bueno. Las incidencias en cortes de estos servicios es mínima. En
promedio un corte mensual, tiene una duración promedio aproximada de 20
minutos.
 El servicio de comunicación es únicamente de conexión a Internet y en
cierta medida NO se considera el servicio de conexión a INTERNET como
de misión critica y puede estar fuera lapsos mayores de tiempo (Este lapso
será determinado cuando se estudie el nivel residual de riesgo que será
aceptable para la organización).
 Si se publica el sitio web de la institución a través de esta vía, pero una
interrupción de este servicio podría estar entre los riesgos aceptables por la
institución, hasta un tiempo máximo que determine la institución.
91
 En los servicios de comunicación de la red interna, existe un tramo de fibra
que ha presentado mal funcionamiento, se presume que esta defectuoso.
Ha sido reemplazado por Cable de cobre UTP, con lo que se ha
solucionado el problema.
 Las capacidades de los equipos de comunicación internos (Switches y
Routers) cumplen adecuadamente con los requerimientos y la demanda de
tráfico de la Institución.
A-I.10: INTERRUPCIÓN DE OTROS SERVICIOS Y

SUMINISTROS ESENCIALES
 Hardware, equipos auxiliares 1. Disponibilidad
Descripción
Otros servicios o recursos de los que depende la operación de los equipos; por
ejemplo, papel para las impresoras, toner, refrigerante,

 No se considera que existan vulnerabilidades para a este tipo de
amenazas.
A-I.11: DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN

 Soporte de Información 1. Disponibilidad
2. Trazabilidad de los servicios
Descripción
Como consecuencia del paso del tiempo.
92
 No hay una ubicación adecuada para almacenar y resguardar soportes de

información (medios magnéticos, medios ópticos, documentos en papel)
 Los backups se hacen en medios ópticos (DVD’s y CD’s)
 Documentos en papel no se convierten a otro medio (no se digitalizan).
Estos documentos son susceptibles a los daños que pueda sufrir el papel
como consecuencia de un proceso de archivado inadecuado o daños
provocados por el paso del tiempo.
 Se pretende que en un futuro los documentos en papel puedan

digitalizarse, pero no se especifica cuando será realizado esto.
4.4.2.3 Amenazas debido a errores y fallos no intencionados
Fallos no intencionales causados por las personas. La numeración no es

consecutiva, sino que está alineada con los ataques deliberados, muchas veces
de naturaleza similar a los errores no intencionados, difiriendo únicamente en el
propósito del sujeto.
A-E.1: ERRORES DE LOS USUARIOS.

 Datos e Información 1. Disponibilidad
 Software (Aplicaciones) 2. Integridad.
Descripción
Equivocaciones de las personas cuando usan los servicios, datos, etc.
93
 La capacitación que se da a los usuarios nuevos puede en algunos casos

no ser muy extensa y completa, lo cual podría generar cierto nivel de
inexperiencia y desconocimiento de las aplicaciones.
 Resulta imposible predecir el comportamiento de los usuarios y la
incidencia de errores provocados por estos. Siempre existe la posibilidad de
que se comentan errores al introducir datos o manipular información, pero
se estima que estos pueden ser detectados rápidamente, y se valora que
esto no es un factor que compromete la seguridad del sistema debido a que
ya existen controles que buscan prevenir y corregir errores de esta
naturaleza. Estos son detallados a continuación.
 Los usuarios con mas de un año en sus puestos, conocen bien el sistema.
El porcentaje de rotación de personal en la institución es relativamente bajo.
 Los sistemas tienen control de calidad para verificar la no existencia de
errores o inconsistencias en la generación de los datos
 Se considera mínima la posibilidad de que un error de usuario normal
atente contra la disponibilidad del sistema.
 Los usuarios normales no tienen posibilidad de borrar datos
accidentalmente.
 Existen mecanismos de control que evitan que los usuarios manipulen la
información más allá de lo que están autorizados a realizar.
94
A-E.2: ERRORES DEL ADMINISTRADOR
 Datos e Información 2. Integridad
 Software (Aplicaciones) 3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
6. Trazabilidad del servicio
Descripción
Equivocaciones de personas con responsabilidades de instalación,
administración y operación.
 Si se tiene bien delimitados el grupo de administradores y sub-

administradores. En cada división se han delegado personas responsables
con permisos de administración sobre sus propios sistemas. Esto no
constituye una vulnerabilidad siempre y cuando estas personas estén
debidamente capacitadas, y se compruebe que efectivamente el diseño del
sistema de directorio restringe adecuadamente los permisos de cada
responsable solo a los equipos que les corresponde
 Se hacen backups o copias de respaldo antes de ejecutar cambios o
manipular los sistemas, pero esto queda a discreción de quien ejecutará los
cambios, no es una política obligatoria.
 El grupo de administradores globales pertenecen a informática y están
delimitadas sus funciones y derechos de administración sobre los sistemas,
sin embargo una sola persona maneja la administración de los equipos más
críticos, lo cual podría ser un problema en caso de ausencia de esa
95
persona, por otro lado los demás administradores no están familiarizados
con esos sistemas.
 No se manejan bitácoras de logs o cambios en los sistemas.
 Implementaciones de cambios, aplicaciones nuevas, equipos nuevos o

cambio de equipos críticos, se prueban en un ambiente aislado de forma de
no interferir con el ambiente de producción.
A-E.3: ERRORES DE MONITORIZACIÓN

 Datos e Información 1. Trazabilidad del servicio
 Software (Aplicaciones) 2. Trazabilidad de los datos
Descripción
Inadecuado registro de actividades: falta de registros, registros incompletos,
registros incorrectamente fechados, registros incorrectamente atribuidos, etc.
 No existe ninguna monitorización de logs. Los logs generados por algunos

sistemas como servidores, controlador de dominio, equipos de seguridad y
comunicaciones están disponibles (según la forma de admón. propia de
cada equipo) pero no son monitoreados constantemente, sin embargo, el
administrador manifiesta que podrían ser usados en caso de un problema.
 No existe registro automatizado de cambios o manipulaciones en los
sistemas. Si se tiene un registro manual de cambios, pero es una bitácora
en archivo de texto que se digita en forma manual. Este archivo esta
expuesto a quedar desactualizado si no se digita la información de los
96
sucesos, conforme van ocurriendo. También podría ser borrado o accesado
por personas no autorizadas.
 No se ha implementado algún sistema de notificación automática o de
alarmas según la magnitud del incidente reportado a partir de los logs.
 No existen políticas de almacenamiento de los logs reportados por el
sistema. No se tienen directrices sobre si estos deben ser reciclados o
almacenados, y cuanto tiempo deben almacenarse en caso de que se
hiciera esto último.
 Las auditorias de software son hechas por la corte de cuentas pero no
contemplan auditorias de los logs de mantenimiento de los equipos y
servicios. Tampoco realiza esta función ninguna otra entidad, externa o
interna en la institución.
Atenuantes a las Vulnerabilidades:
 Existe monitorización de la disponibilidad en red de los servidores y los

equipos de comunicación.
A-E.4: ERRORES DE CONFIGURACIÓN

Descripción
Introducción de datos de configuración erróneos.
Prácticamente todos los activos dependen de su configuración y ésta de la
diligencia del administrador: privilegios de acceso, flujos de actividades,
registro de actividad, enrutamiento, etc.
97
 No se tiene documentación del funcionamiento y configuración de las

aplicaciones de producción desarrolladas internamente, aunque ya se tiene
en proyecto la realización de esta.
 No existe documentación de las aplicaciones de software que usa la
organización, especialmente de las que han sido desarrolladas
internamente en la organización. En el caso de aplicaciones comerciales o
de licencia abierta, en la mayoría de los casos no se tiene a la mano, pero
el administrador afirma que podría conseguirse fácilmente.
 No existe una documentación de las configuraciones del directorio de
usuarios (Active Directory) o de otros servicios esenciales para la
organización.
Atenuantes a las vulnerabilidades:
 Documentación de inventario de activos de información es realizada en

coordinación con el departamento de activo fijo de la institución (Div.
Administrativa) El software también esta incluido en estos inventarios pues
se considera como parte de activo fijo.
 Los equipos, servicios y aplicaciones son implementados por el personal de

informática que conoce y administra adecuadamente el entorno de
configuración de la empresa.
 Se tiene debidamente documentado la base de configuraciones de las
redes de comunicaciones de los equipos.
 Si se tiene un control propio por parte de informática de la base de datos de
configuraciones de los equipos. Este control es un archivo de Excel en la
máquina del administrador.
98
A-E.7: DEFICIENCIAS EN LA ORGANIZACIÓN
 Personal 1. Disponibilidad
Descripción
Cuando no está claro quién tiene que hacer exactamente qué y cuándo,
incluyendo tomar medidas sobre los activos o informar a la jerarquía de
gestión. Se puede caer en acciones descoordinadas, errores por omisión, etc.
 El administrador principal de la plataforma sostiene que no existen mayores

problemas respecto a esta amenaza. Sin embargo, en la inspección se ha
apreciado que no existe planes de contingencia de ningún tipo en caso de
situaciones catastróficas. Debido a esto puede suponerse que es muy
probable que en situaciones de emergencia, no se tengan claras las
acciones que deban tomarse a fin de proteger y salvaguardar la integridad
de las personas, minimizar los impactos sobre los activos de información y
lograr la recuperación de los sistemas y servicios en el menor tiempo
posible. Este estudio pretende justamente corregir esta situación.
 No se ha podido tener acceso al documento de políticas de seguridad de la
institución que debiera establecer las directivas principales de la
organización sobre las cuales se fundamenta la administración y el uso de
los recursos de información, a fin de garantizar que dicha información
mantenga su condición de segura. Los responsables de informática de la
institución manifiestan que si existe este documento, pero debido a que se
ha solicitado varias veces y no se nos ha proporcionado, puede presumirse
que talvez este ha sido extraviado o no se dispone en forma inmediata de
él.
99
 Por otro lado, los usuarios no conocen el contenido de este documento, por
lo que se presume que tampoco tengan claras cuales sean las
disposiciones de la institución en materia de seguridad.
A-E.8: DIFUSION DE SOFTWARE DAÑINO

 Software (Aplicaciones) 1. Disponibilidad
2. Integridad
3. Confidencialidad
Descripción
propagación en forma no intencionada de virus, espías (spyware), gusanos,
troyanos, bombas lógicas, etc.
 No se realizan pruebas controladas del funcionamiento efectivo de los

equipos de seguridad como por ejemplo el servidor de antivirus, aunque el
funcionamiento del servidor constata que este es efectivo puesto que ha
demostrado detener virus.
 Ya han sucedido problemas de infección masiva en equipos causados por
virus, pero después de la instalación del servidor de AV esto no se ha
vuelto a presentar.
 No se cuenta con una solución que filtre el contenido de paquetes de
Internet para evitar que se ejecuten en forma no autorizada códigos
100
maliciosos a través de paginas web en las que los usuarios naveguen sin
darse cuenta que pueden ser objetos de un incidente de seguridad.
 No se cuenta con mecanismos de control que evite que los usuarios
puedan navegar a través de sitios web que sean potencialmente peligrosos.
El firewall con el que se cuenta no es capaz de filtrar a este nivel.
 No hay controles sobre el uso de dispositivos de almacenamiento portátil
(memorias USB, discos flexibles, discos duros externos, etc), o sobre los
puertos de conexión de los mismos en las computadoras y servidores.
Atenuantes a las Vulnerabilidades:
 AV en todas las máquinas. Hay un servidor centralizado que despliega las

actualizaciones de AV.
 El servidor del AV monitorea a los dispositivos cliente y reporta
debidamente actividades que puedan generar incidentes de seguridad a
nivel de software y hardware. Equipos infectados etc.
 El servidor tiene las políticas configuradas para que tome decisiones y
acciones cuando encuentra problemas de Virus o similares.
 Las máquinas son activadas con el FW de Windows, y este no puede ser
desactivado por los usuarios.
 Se contempla dentro de las políticas de seguridad en la institución que esta
prohibido instalar software no autorizado por Informática. Esta política es
cumplida en forma obligatoria a nivel de sistema operativo y mediante
permisos del sistema de directorio de usuarios, de modo que los usuarios
no tienen privilegios para instalar software no autorizado
 Se instalan de forma automática los parches de seguridad requeridos por
los sistemas operativos de las estaciones de trabajo y de los servidores.
Esto se hace a través de una herramienta de software instalada en un
servidor que baja las actualizaciones del Internet y las aplica a todos los
equipos que han sido configurados en el entorno de la red de la institución.
101
A-E.9: ERRORES DE ENRUTAMIENTO
Descripción
Envío de información a través de un sistema o una red usando,
accidentalmente, una ruta incorrecta que lleve la información donde o por
donde no es debido; puede tratarse de mensajes entre personas, entre
procesos o entre unos y otros.
Es particularmente destacable el caso de que el error de enrutamiento
suponga un error de entrega, acabando la información en manos de quien no
se espera.
 No se dispone de herramientas de análisis de tráfico en la red que permitan

detectar errores en la entrega de paquetes de datos a través de las redes
de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen
paquetes de información hacia receptores diferentes que no sean los
legítimos destinatarios de los servicios de comunicaciones.
 No existen registros o logs de confirmaciones y entregas, así como de
tráfico entrante y saliente que permita corroborar el funcionamiento correcto
de la red o detectar alguna anomalía que pueda darse en el entorno de
esta.
102
A-E.10: DESTRUCCIÓN DE LA INFORMACIÓN
Descripción
Pérdida accidental de información.
Esta amenaza sólo se identifica sobre datos en general, pues cuando la
información está en algún soporte (medio) de información específico, hay
amenazas específicas que aplican.
 Se tiene como práctica frecuente la realización de copias de backup de los

datos de las aplicaciones criticas que residen en servidores, así como de
los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas
copias se realizan en medios ópticos (DVD’s) y no se cuenta con un
adecuado almacenamiento de estos medios, estos son susceptibles a
extravío, sustracción o deterioro.
(backups) de la información y las aplicaciones de misión crítica de la
organización.
 No se realizan copias de respaldo en forma regular y periódica de los
archivos y documentos de los usuarios que aunque no son críticos, si se
consideran necesarios para la gestión de las operaciones de la
organización. Varios procesos son realizados utilizando hojas de cálculo
elaboradas en Excel, cuyos formatos genéricos no son respaldados para su
debida protección. De la misma forma, otros archivos, documentos o
aplicaciones que pueden ser considerados importantes para propósitos
103
administrativos u operacionales y que residen en las computadoras de los
usuarios.
 Cuando se realizaran cambios en las estaciones de trabajo de los usuarios

y se estima que estos cambios podrían alterar en algún modo el
funcionamiento normal de estos equipos, se realiza un respaldo preventivo
de la información pertinente a las operaciones de la institución. Estos
respaldos son efectuados por personal de soporte técnico, debidamente
capacitado para estas tareas.
A-E.11: VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE)

3. Disponibilidad
Descripción
Defectos en el código que dan pie a una operación defectuosa sin intención
por parte del usuario, pero con consecuencias sobre la integridad de los datos
o la capacidad misma de operar.
 No se han efectuado auditorias de configuración y vulnerabilidad de los

programas para comprobar si estos son susceptibles a manipulación
104
externa o interna, y si existen vulnerabilidades inherentes al código de las
aplicaciones desarrolladas o a las transacciones que se efectúan en las
bases de datos.
 Debido a que no se cuenta con documentación sobre las la costrucción de
las aplicaciones desarrolladas internamente, no se puede establecer con
certeza si estas carecen de errores en sus procedimientos de validación de
entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa
un sistema no sea comprobada adecuadamente de forma que una
vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.
 En un ambiente aislado de desarrollo y pruebas, se realizan procesos de

control de calidad para comprobar que los programas funcionan
adecuadamente antes de que estos sean implementados en el directorio de
programas de gestión y producción de la institución.
 Se aplican regularmente todos los parches recomendados por los
fabricantes a todos los servidores y se tiene especial cuidado con el
servidor que aloja el manejador de las bases de datos (MS-SQL). Las
aplicaciones de estos parches es controlada por una aplicación creada por
Microsoft especialmente para propósitos de corrección de vulnerabilidades
mediante la aplicación de los parches correctivos.
A-E.12: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE

PROGRAMAS (SOFTWARE)
 Software (Aplicaciones) 1. Integridad
2. Disponibilidad
105
Descripción
Defectos en los procedimientos o controles de actualización del código que
permiten que sigan utilizándose programas con defectos conocidos y
reparados (a través de parches) por el fabricante.
 Existe un servicio que aplica en forma automática las actualizaciones y

parches que Microsoft, el fabricante de los sistemas operativos y de las
aplicaciones de base de datos y desarrollo utilizadas en la institución,
publica para corregir vulnerabilidades conocidas en sus sistemas. Sin
embargo es de sobra que algunos parches pueden malograr la
funcionalidad de los servicios que corren en la plataforma tecnológica, en
forma temporal, ya sea por un error generado en la actualización, o
simplemente porque el parche altero las condiciones de funcionamiento del
sistema, sin que hubiera forma de prever esta situación. Debido a ello es
altamente recomendable que se prueben los parches antes de aplicarse en
equipos críticos, pero esto no siempre se realiza en los sistemas de la
DIGESTYC.
A-E.13: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS

(HARDWARE)
 Hardware (equipos 1. Disponibilidad
informaticos)
Descripción
Defectos en los procedimientos o controles de actualización de los equipos
que permiten que sigan utilizándose más allá del tiempo nominal de uso.
106
No se pudieron establecer vulnerabilidades asociadas a esta amenaza. Según el

administrador de sistemas de la institución, no se han dado incidentes debido a
situaciones como las que plantea esta amenaza, los equipos son reemplazados
cunado corresponde y el personal de soporte técnico tiene la capacidad y
experiencia necesaria para realizar esto sin interferir en las operaciones críticas de
la organización.
A-E.14: CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS

 Hardware (equipos 1. Disponibilidad
informáticos y de
comunicaciones)
Descripción
La carencia de recursos suficientes provoca la caída del sistema cuando la
carga de trabajo es desmesurada.
 No se monitorea a través de sesiones de protocolo SNMP (Protocolo de

Red para Administración simple) el estado y el uso de los recursos de
información como por ejemplo, monsumo de memoria y CPU, ancho de
banda, estadísticas históricas de funcionamiento, estado de las baterías de
emergencia (en el caso de UPS’s), etc.
107
A-E.15: INDISPONIBILIDAD DEL PERSONAL
Descripción
Ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden
público, desastres, o causas de fuerza mayor.
 Se considera que existe personal que tiene funciones administrativas sobre

la operación de los sistemas de información cuya presencia en la institución
es crítica debido al dominio y experiencia que tienen sobre los sistemas, y
no ha sido posible efectuar una transferencia de conocimiento a mas
personal del departamento de informática para que puedan asumir los
mismos roles en caso de ausencia o indisponibilidad del personal.
 No existen manuales detallados sobre los procedimientos que deben
realizarse para efectuar tareas administrativas o resolución de problemas
frecuentes que tengan que ver con el mantenimiento y configuración de los
sistemas y servicios de información críticos para la institución.
 Si se llegara a ejecutar cambios en el personal de administración de la
plataforma tecnológica, sería un problema la comprensión de las
configuraciones actuales de los diferentes sistemas y servicios de
información de la institución, debido a la ausencia de documentación sobre
las configuraciones.
108
4.4.2.4 Amenazas a causa de ataques intencionados
Fallos deliberados causados por las personas. La numeración no es consecutiva

para coordinarla con los errores no intencionados, muchas veces de naturaleza
similar a los ataques deliberados, difiriendo únicamente en el propósito del sujeto.
A-A.4: MANIPULACIÓN DE LA CONFIGURACIÓN

y de comunicaciones 2. Integridad
 Datos e Información 3. Confidencialidad
 Software (Aplicaciones) 4. Autenticidad del servicio
Descripción
Prácticamente todos los activos dependen de su configuración y ésta de la
diligencia del administrador: privilegios de acceso, flujos de actividades,
registro de actividad, enrutamiento, etc.
 No existen sistemas de detección y prevención de intrusos en la institución

(IPS / IDS) que pudiera detectar movimientos o patrones de conducta
anormales en el entorno de la red, orientados a alterar la configuración de
los sistemas de información.
 No existen sistemas de monitorización en línea que detecten y generen
alarmas y notificaciones automáticas a los administradores de red si se
ejecutan cambios o alteraciones en la configuración que pudieran afectar el
funcionamiento normal de los sistemas.
 No se han implementado a nivel de las políticas de seguridad el uso de
contraseñas fuertes y el cambio obligatorio de estas en forma periódica.
109
Tampoco se han implementado técnicas que permitan que el sistema de
directorio de la red, (Active Directory) u otros servicios, obliguen a los
usuarios a implementar las directivas de seguridad referente al uso de
contraseñas seguras.
 No existe documentación alguna sobre las configuraciones de los equipos.
Tampoco se lleva una administración sobre los cambios de las
configuraciones y registros de los mismos en bitácoras o bases de
configuraciones que dejen constancia de las acciones realizadas y de las
razones del porque se han hecho los cambios.
 Existe un equipo de firewall, configurado para bloquear conexiones no

autorizadas desde fuera de la red. Asimismo, este dispositivo también
restringe las conexiones salientes (hacia el Internet) solo a los usuarios
autorizados, sin embargo este no se ha auditado para confirmar que la
configuración de seguridad implantada sea la mas adecuada y efectiva.
 El grupo de administradores de la plataforma tecnológica de la
institución esta compuesto únicamente por dos personas, quienes son
los únicos que tienen acceso a cambiar las configuraciones de los
equipos. Estas personas son consientes de las implicaciones de
seguridad que tendría la divulgación de las contraseñas o mal uso de los
privilegios de administración.
A-A.5 : SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO

3. Confidencialidad
110
Descripción
Cuando un atacante consigue hacerse pasar por un usuario autorizado,
disfruta de los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas ajenas
a la organización o por personal contratado temporalmente.
 No hay restricciones sobre la cantidad de sesiones que un usuario puede

iniciar. Tampoco existen restricciones sobre las estaciones de trabajo sobre
las cuales los usuarios pueden iniciar sesión, aun a pesar de que de
manera física, cada usuario tiene asignado un puesto de trabajo y una
estación de trabajo.
 No se han implementado a nivel de las políticas de seguridad el uso de
contraseñas fuertes y el cambio obligatorio de estas en forma periódica.
Tampoco se han implementado técnicas que permitan que el sistema de
directorio de la red, (Active Directory) u otros servicios, obliguen a los
usuarios a implementar las directivas de seguridad referente al uso de
contraseñas seguras.
 No existe dentro de la administración de usuarios, directivas o políticas que
deshabilite a los usuarios que por diversas razones se ausenten de sus
puestos de trabajo en periodos temporales relativamente largos, como por
ejemplo cuando algún usuario esta de vacaciones.
 El proceso para dar de alta y de baja a los usuarios, cuando entran a formar
parte de la organización o cuando dejan de trabajar en la misma, no es
automático. Hasta que se reciben las notificaciones de recursos humanos,
el administrador del dominio tomas las acciones correspondientes para
actualizar el directorio, lo cual podría generar ciertos espacios de riesgo
sobre uso inautorizado de los recursos de información.
111
A-A.6: ABUSO DE PRIVILEGIOS DE ACCESO
3. Confidencialidad
Descripción
Cada usuario disfruta de un nivel de privilegios para un determinado propósito;
cuando un usuario abusa de su nivel de privilegios para realizar tareas que no
son de su competencia, existe una amenaza de seguridad.
 No existen procedimientos de revisión periódica de los derechos y permisos

efectivos de los usuarios, para comprobar si debido a un cambio de
configuración, o a una acción errónea o indebida se le han concedido a un
usuario o grupo de usuarios más derechos y permisos de los que le
corresponden.
 No existen sistemas de control de tráfico en red que monitoreen el
comportamiento de los usuarios y las aplicaciones que están en uso por
parte de estos.
 No existen sistemas de monitorización en línea que detecten y generen
alarmas y notificaciones automáticas a los administradores de red si se
ejecutan cambios o alteraciones en la configuración que pudieran afectar el
funcionamiento normal de los sistemas.
 No existen mecanismos de control que detecten y prevengan posibles
abusos de privilegios en las aplicaciones o en el manejo de la información
en los entornos operativos de la institución.
 No se implementa el cifrado de datos que sean considerados como
confidenciales o altamente criticos.
112
 Existen mecanismos de seguridad implementados a nivel de permisos de

usuarios en el sistema de directorio (Active Directory) que restringe los
accesos a los recursos según los niveles autorizados. No se han registrado
incidentes que pongan en evidencia que esos mecanismos no funcionan.
A-A.7 : USO NO PREVISTO

 Soportes de información
Descripción
Utilización de los recursos del sistema para fines no previstos, típicamente de
interés personal: juegos, consultas personales en internet, bases de datos
personales, programas personales, almacenamiento de datos personales, etc.
 No existen herramientas de control de contenido o monitorización de tráfico

para el uso de Internet u otros servicios de la infraestructura de red y los
sistemas de información. El firewall únicamente deniega la conexión a los
no autorizados y concede el acceso a Internet a los usuarios que si están
autorizados y, pero sin filtrar en ningún modo a que sitios de internet se
conectan.
 No se disponen de mecanismos de administración centralizada para
monitorear la actividad de los equipos de los usuarios y garantizar que no
se usen los recursos de estos equipos para fines no previstos. Tampoco se
implementan inventarios automatizados de software y hardware para
113
comprobar que no se hayan instalado componentes adicionales y no
autorizados a los equipos de los usuarios.
 Las restricciones propias del sistema de directorio (Active Directory)

combinadas con otras restricciones de seguridad de los equipos no
permiten la instalación de software en los equipos por parte de los usuarios
no autorizados para tal fin.
 Es mínima o nula la incidencia de uso de recursos para fines no previstos
de equipos y sistemas de misión critica (servidores de aplicación, base de
datos, etc)
 Los mayores problemas referentes a este punto se dan con el uso de
Internet, el cual no se considera estrictamente como un servicio critico.
A-A.8: DIFUSIÓN DE SOFTWARE DAÑINO

2. Integridad
3. Confidencialidad
Descripción
Propagación intencionada de virus, espías (spyware), gusanos, troyanos,
bombas lógicas, etc.
114
 Los equipos y dispositivos de la Institución están debidamente protegidos
con software antivirus, software anti-spyware y firewall de escritorio. Sin
embargo no existe mecanismos de control y de prevención automática
contra la conexión a la red (autorizada o no) de equipos externos a la
institución, como por ejemplo equipos porttiles, computadoras personales
de los empleados, etc. Se pudo constatar que en caso de proyectos
especiales, se instalan computadoras que pertenecen a otras instancias
gubernamentales, las cuales puede que no tengan todas las medidas de
seguridad pertinentes para evitar la realización de esta amenaza.
 No hay controles sobre el uso de dispositivos de almacenamiento portátil
(memorias USB, discos flexibles, discos duros externos, etc), o sobre los
puertos de conexión de los mismos en las computadoras y servidores.
 No se realizan pruebas controladas del funcionamiento efectivo de los
equipos de seguridad como por ejemplo el servidor de Antivirus, aunque el
funcionamiento del servidor constata que este es efectivo puesto que ha
demostrado detener virus.
 Ya han sucedido problemas de infección masiva en equipos causados por
Virus, pero después de la instalación del servidor de AV esto no se ha
vuelto a presentar.
 AV en todas las maquinas. Hay un servidor centralizado que despliega las

actualizaciones de AV.
 El servidor del AV monitorea a los dispositivos cliente y reporta
debidamente actividades que puedan generar incidentes de seguridad a
nivel de software y hardware. Equipos infectados etc.
 El servidor tiene las políticas configuradas para que tome decisiones y
acciones cuando encuentra problemas de virus o similares.
115
 Las máquinas son activadas con el FW de Windows, y este además no
puede ser desactivado por los usuarios.
 Existe un documento de definición de políticas de seguridad en la institución
que contempla no instalar software no autorizado por informática, esta
política es cumplida en forma obligatoria a nivel de sistema operativo y
mediante permisos del sistema de directorio de usuarios, de modo que los
usuarios no tienen privilegios para instalar software no autorizado
 Se instalan de forma automática los parches de seguridad requeridos por
los sistemas operativos de las estaciones de trabajo y de los servidores.
Esto se hace a través de una herramienta de software instalada en un
servidor que baja las actualizaciones del internet y las aplica a todos los
equipos que han sido configurados en el entorno de la red de la institución.
A-A.9 : RE-ENRUTAMIENTO DE MENSAJES

 Hardware, equipos de 2. Integridad
comunicaciones 3. Confidencialidad
Descripción
Envío de información a un destino incorrecto a través de un sistema o una red,
que llevan la información a donde o por donde no es debido; puede tratarse de
mensajes entre personas, entre procesos o entre unos y otros.
Un atacante puede forzar un mensaje para circular a través de un nodo
determinado de la red donde puede ser interceptado. Es particularmente
destacable el caso de que el ataque de enrutamiento lleve a una entrega
fraudulenta, acabando la información en manos de quien no debe.
116
 No se dispone de herramientas de análisis de tráfico en la red que permitan

detectar errores en la entrega de paquetes de datos a través de las redes
de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen
paquetes de información hacia receptores diferentes que no sean los
legítimos destinatarios de los servicios de comunicaciones.
 No existen registros o logs de confirmaciones y entregas, así como de
tráfico entrante y saliente que permita corroborar el funcionamiento correcto
de la red o detectar alguna anomalía que pueda darse en el entorno de
esta.
A-A.10: DESTRUCCIÓN DE LA INFORMACIÓN

Descripción
Eliminación intencional de información, con ánimo de obtener un beneficio o
causar un perjuicio. Esta amenaza sólo se identifica sobre datos en general,
pues cuando la información está en algún soporte informático, hay amenazas
específicas.
 Se tiene como práctica frecuente la realización de copias de backup de los

datos de las aplicaciones criticas que residen en servidores, así como de
los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas
copias se realizan en medios ópticos (DVD’s) y no se cuenta con un
adecuado almacenamiento de estos medios, estos son susceptibles a
extravio, sustracción o deterioro.
117
(backups) de la información y las aplicaciones de misión critica de la
organización.
 No se realizan copias de respaldo en forma regular y periódica de los
archivos y documentos de los usuarios que aunque no son críticos, si se
consideran necesarios para la gestión de las operaciones de la
organización. Varios procesos son realizados utilizando hojas de cálculo
elaboradas en Excel, cuyos formatos genéricos no son respaldados para su
debida protección. De la misma forma, otros archivos, documentos o
aplicaciones que pueden ser considerados importantes para propósitos
administrativos u operacionales y que residen en las computadoras de los
usuarios.
 Cuando se realizaran cambios en las estaciones de trabajo de los usuarios

y se estima que estos cambios podrían alterar en algún modo el
funcionamiento normal de estos equipos, se realiza un respaldo preventivo
de la información pertinente a las operaciones de la institución. Estos
respaldos son efectuados por personal de soporte técnico, debidamente
capacitado para estas tareas.
A-A.11: MANIPULACIÓN DE PROGRAMAS

2. Integridad
3. Confidencialidad
118
Descripción
Alteración intencionada del funcionamiento de los programas, persiguiendo un
beneficio indirecto cuando una persona autorizada lo utiliza.
 No se han efectuado auditorias de configuración y vulnerabilidad de los

programas para comprobar si estos son susceptibles a manipulación
externa o interna, y si existen vulnerabilidades inherentes al código de las
aplicaciones desarrolladas o a las transacciones que se efectúan en las
bases de datos.
 No se han efectuado auditorias de integridad y vulnerabilidad de la base de
datos de gestión principal es Microsoft SQL. Existen vulnerabilidades
reportadas por el fabricante, así como técnicas de ataque dirigidas al
manejador de las bases de datos que podrían en algún momento generar
problemas de seguridad al permitir la creación, lectura, actualización o
borrado de datos disponibles en las aplicaciones y en formas arbitrarias. En
el peor de los casos, se puede comprometer completamente la base de
datos y los sistemas del entorno. Por ello deben efectuarse pruebas
especializadas para determinar si el manejador de las bases de datos esta
debidamente asegurado para minimizar estos riesgos15.
 Debido a que no se cuenta con documentación sobre las la costrucción de
las aplicaciones desarrolladas internamente, no se puede establecer con
certeza si estas carecen de errores en sus procedimientos de validación de
entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa
un sistema no sea comprobada adecuadamente de forma que una
vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.
15
En el capitulo de Recomendaciones se ampliara este punto y se detallaran algunas recomendaciones básicas
a tomar en cuenta para asegurar el sistema de manejo de bases de datos.
119
 Se aplican regularmente todos los parches recomendados por los

fabricantes a todos los servidores y se tiene especial cuidado con el
servidor que aloja el manejador de las bases de datos (MS-SQL). Las
aplicaciones de estos parches es controlada por una aplicación creada por
Microsoft especialmente para propósitos de corrección de vulnerabilidades
mediante la aplicación de los parches correctivos.
A-A.14: DENEGACIÓN DE SERVICIO

2. Integridad
3. Confidencialidad
Descripción
Propagación intencionada de virus, espías (spyware), gusanos, troyanos,
bombas lógicas, etc.
 No se han efectuado pruebas controladas de penetración intrusiva o de

conexiones no autorizadas a los servidores (desde el exterior o desde el
interior de la red) utilizando técnicas como por ejemplo escaneo de puertos
abiertos, verificación de servicios innecesarios activos, pruebas de captura
de contraseñas mediante keyloggers, o de adivinación de contraseñas
debiles, para comprobar si existen problemas que podrían comprometer la
120
seguridad de la institución y especialmente la disponibilidad de los servicios
de información si se llegaran a efectuar ataques de denegación de servicio.
 No existen sistemas de detección y prevención de intrusos en la institución
(IPS / IDS) que pudiera detectar movimientos o patrones de conducta
anormales en el entorno de la red, orientados a alterar el funcionamiento
normal de los servicios de información.
A-A.15: ROBO
 Hardware, equipos en general 1. Disponibilidad
 Soporte de Información
Descripción
La sustracción de equipamiento provoca directamente la carencia de un medio
para prestar los servicios, es decir una indisponibilidad. El robo puede afectar
a todo tipo de equipamiento, siendo el robo de equipos y el robo de soportes
de información los más habituales.
El robo puede realizarlo personal interno, personas ajenas a la organización o
personas contratadas de forma temporal, lo que establece diferentes grados
de facilidad para acceder al objeto sustraído y diferentes consecuencias.
En el caso de equipos que hospedan datos, además se puede sufrir una fuga
de información.
 Los controles y mecanismos de seguridad física orientados a prevenir el

robo de activos de información en la institución son mínimos. En las
locaciones donde se encuentran equipos críticos no existen los adecuados
mecanismos de control de acceso físico que permitan el paso solo al
121
personal estrictamente autorizado, ni tampoco hay un monitoreo
automatizado de estos accesos.
 No se cuentan con sistemas de alarmas contra robo o intrusos para horas
nocturnas, ni siquiera en la locación de la división de informática que es
donde se encuentran los equipos de misión critica para las operaciones de
la institución.
 No se lleva un control minucioso de los sitios permitidos a los que pueden
tener acceso los visitantes, personal externo, contratistas y demás
personas ajenas a la institución. Después de ser identificados en la portería
por el personal de seguridad, los visitantes pueden transitar libremente por
todas las instalaciones de la institución. No se chequean entradas y salidas
de equipos para comprobar si pudieran ser o no de la institución.
 No se cuentan con sistemas de circuito cerrado por televisión para
monitorear la actividad tanto del personal de la institución, como de
personas ajenas a esta.
 Los documentos de identificación de los empleados no llevan fotografía
que facilite la comprobación de la identidad de alguien en forma inmediata,
ni la autenticidad de dicha identificación. En el caso de los visitantes, las
tarjetas de visitantes no son de un color diferente a las identificaciones de
los empleados, y no difieren en mucho de estas, salvo por el hecho que
llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.
 Se cuenta con una compañía de seguridad contratada que supervisa el

perímetro de las instalaciones de la institución. También controlan la
identificación y acceso del personal y de los visitantes, aunque con las
limitantes citadas anteriormente. La compañía se encarga de la vigilancia
en horas nocturnas al interior de la institución.
122
 Las locaciones donde hay equipo informático se dejan cerradas con llave,
sin embargo existe vulnerabilidad para acceder a estas locaciones por las
ventanas o por el techo.
 En horas y días hábiles, los empleados de la institución podrían darse
cuenta si alguien externo a la institución tiene un comportamiento
sospechoso, o intenta sustraer algún equipo u activo de información
propiedad de la institución. Esto podría ser reportado inmediatamente a los
agentes de seguridad para que intervengan a fin de evitar el incidente.
 Todos los equipos y sistemas de informática de la institución están
debidamente inventariados por el departamento de activo fijo de la división
administrativa. Los equipos son identificados mediante un código con el que
son referenciados en el inventario de activo fijo.
A-A.16: ATAQUE DESTRUCTIVO

 Soportes de información
Descripción
Vandalismo, terrorismo, acción militar, etc. Esta amenaza puede ser
perpetrada por personal interno, por personas ajenas a la Organización o por
personas contratadas de forma temporal.

 Los controles y mecanismos de seguridad física orientados a prevenir
ataques de esta naturaleza en la institución son mínimos. En las locaciones
donde se encuentran equipos críticos no existen los adecuados
mecanismos de control de acceso físico que permitan el paso solo al
personal estrictamente autorizado, ni tampoco hay un monitoreo
automatizado de estos accesos.
123
 No se cuentan con sistemas de alarmas contra robo o intrusos para horas
nocturnas, ni siquiera en la locación de la división de informática que es
donde se encuentran los equipos de misión crítica para las operaciones de
la institución.
 No se lleva un control minucioso de los sitios permitidos a los que pueden
tener acceso los visitantes, personal externo, contratistas y demás
personas ajenas a la institución. Después de ser identificados en la portería
por el personal de seguridad, los visitantes pueden transitar libremente por
todas las instalaciones de la institución. No se chequean entradas y salidas
de equipos para comprobar si pudieran ser o no de la institución.
 No se cuentan con sistemas de circuito cerrado por televisión para
monitorear la actividad tanto del personal de la institución, como de
personas ajenas a esta.
 Los documentos de identificación de los empleados no llevan fotografía
que facilite la comprobación de la identidad de alguien en forma inmediata,
ni la autenticidad de dicha identificación. En el caso de los visitantes, las
tarjetas de visitantes no son de un color diferente a las identificaciones de
los empleados, y no difieren en mucho de estas, salvo por el hecho que
llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.

 Se cuenta con una compañía de seguridad contratada que supervisa el
perímetro de las instalaciones de la institución. También controlan la
identificación y acceso del personal y de los visitantes, aunque con las
limitantes citadas anteriormente. La compañía se encarga de la vigilancia
en horas nocturnas al interior de la institución.
 Las locaciones donde hay equipo informático se dejan cerradas con llave,
sin embargo existe vulnerabilidad para acceder a estas locaciones por las
ventanas o por el techo.
124
 En horas y días hábiles, los empleados de la institución podrían darse
cuenta si alguien externo a la institución tiene un comportamiento
sospechoso. Esto podría ser reportado inmediatamente a los agentes de
seguridad para que intervengan a fin de evitar cualquier incidente.
A-A.17: Ocupación Enemiga

 Soportes de información 2. Confidencialidad
Descripción
Cuando los locales han sido invadidos y se carece de control sobre los propios
medios de trabajo.
Debido a que el país no se encuentra en una situación de guerra directa contra

algún otro país o alguna fuerza armada opositora al gobierno legalmente instituido,
no se consideran vulnerabilidades respecto a esta amenaza, por lo que la
probabilidad de existencia de riesgos respecto a este punto se considera mínima.
A-A.18: INDISPONIBILIDAD DEL PERSONAL

Descripción
Ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral,
bajas no justificadas, bloqueo de los accesos, etc.
125
 Se considera que existe personal que tiene funciones administrativas sobre

la operación de los sistemas de información cuya presencia en la institución
es crítica debido al dominio y experiencia que tienen sobre los sistemas, y
no ha sido posible efectuar una transferencia de conocimiento a mas
personal del departamento de informática para que puedan asumir los
mismos roles en caso de ausencia o indisponibilidad del personal.
 No existen manuales detallados sobre los procedimientos que deben
realizarse para efectuar tareas administrativas o resolución de problemas
frecuentes que tengan que ver con el mantenimiento y configuración de los
sistemas y servicios de información críticos para la institución.
 Si se llegara a ejecutar cambios en el personal de administración de la
plataforma tecnológica, sería un problema la comprensión de las
configuraciones actuales de los diferentes sistemas y servicios de
información de la institución, debido a la ausencia de documentación sobre
las configuraciones.
A-A.19: INGENIERIA SOCIAL

2. Integridad
3. Confidencialidad
Descripción
Abuso de la buena fe de las personas para que realicen actividades que
interesan a un tercero.
126
El personal en general, no conoce las políticas de seguridad de la Ia institución, ni

han sido sensibilizados sobre la importancia de la información y de la preservación
de la seguridad de la misma para la realización de las operaciones en la
organización. Esta vulnerabilidad podría dar lugar a que se obtuvieran datos o
información importante que incluso podría causar la realización de otras amenazas
e incidentes de seguridad de proporciones mayores.
127
4.4.2.5 Correlación entre las amenazas por errores no intencionados y los
ataques deliberados
Numero Error Ataque

1 Error de los usuarios
2 Errores del administrador
3 Errores de monitorización (logs)
4 Errores de configuración Manipulación de la configuración
Suplantación de la identidad del
5
usuario
6 Abuso de privilegios de acceso
7 Deficiencias en la Organización Uso no Previsto
8 Difusión de software dañino Difusión de software dañino
9 Errores de re-enrutamiento Re-enrutamiento de mensajes
10 Destrucción de información Destrucción de información
Vulnerabilidades de los
11 Manipulación de los Programas
programas (software)
Errores de mantenimiento /
12 actualización de programas
(software)
Errores de mantenimiento /
13 actualización de equipos
(hardware)
Caída del sistema por
14 Denegación de servicios
agotamiento de recursos
15 Robo
16 Ataque destructivo
17 Ocupación Enemiga
18 Indisponibilidad del Personal Indisponibilidad del Personal
19 Ingeniería Social
128
4.5 ANÁLISIS DE RIESGOS E IMPACTOS
Una vez que se tienen definidos las amenazas a las que están expuestos los
activos de información en la institución, así como las vulnerabilidades internas que
los recursos de información poseen, ya sea por las condiciones de su entorno, o
por deficiencias en la administración, se puede determinar cuales son los riesgos a
los cuales se enfrenta la institución en materia de seguridad de la información, y
que eventualmente, en caso de materializarse, podrían constituir un desastre
informático.
En el análisis de riesgos, la preocupación está relacionada con tres simples

preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál es la probabilidad
de que suceda? Los datos presentados en este apartado pueden ser de gran
ayuda a los responsables de la institución para valorar las acciones a tomar para
la prevención y mitigación de riesgos, a fin de evitar en lo posible, los desastres.
Para la evaluación de los riesgos es posible usar métodos muy variados en

composición y complejidad, pero para todos ellos es necesario realizar un
diagnóstico de la situación.
Un método comúnmente utilizado es el siguiente diagrama:
Fig. 4.2: Probabilidad vs. Impacto para evaluar riesgos.
129
Es necesario para determinar el índice de exposición a riesgos, determinar la
probabilidad que existe de que un riesgo se materialice, así como el impacto que
esta eventualidad causaría en las operaciones de la organización.
Teniendo el diagrama anterior como referencia se procedió a diseñar una matriz

de riesgos e impactos donde se sintetizan los activos de la institución, agrupados
en categorías de activos, y sus criticidades. Estos grupos de activos han sido
evaluados contra la posibilidad de que cada una de las amenazas pertinentes,
listadas anteriormente, puedan materializarse.
Los valores de probabilidad asignados a cada amenaza, fueron asignados por el

equipo que ha elaborado esta tesis y han sido razonados sobre todo, a partir de
las vulnerabilidades que fueron detectadas, así como también del historial de
eventos que se han dado en la institución y que nos fueron manifestados en las
entrevistas realizadas.
Por otro lado, los valores de criticidad e impactos asociados a cada activo fueron
dados por el personal de la institución que fue entrevistado, siendo ellos los más
idóneos para determinar la importancia de sus activos de información.
La matriz de impactos esta basada en la siguiente tabla de referencia:
Rango de Impacto
BAJA MED ALTA
impacto Alto Alto

Moderado impacto Impacto
Criticidad Bajo Impacto Alto
Activo Impacto Moderado Impacto
Bajo Bajo Impacto
Impacto Impacto moderado
Bajo Medio Alto
Rango Vulnerabilidad
130
Con esta matriz se puede determinar el rango de impacto causado por una
amenaza que afecte a un determinado activo, según su criticidad y las
vulnerabilidades presentes.
A partir de los rangos de impacto determinados anteriormente, se procede a
evaluarlos contra los valores de probabilidad determinados para cada amenaza y
se relacionan según esta nueva tabla de referencia.
Tasa de Nivel de Riesgo
BAJO MED ALTO Riesgo

Impacto Moderado Alto Riesgo Alto Riesgo
(de la tabla Bajo Riesgo
de Impacto Riesgo Moderado Alto Riesgo
anterior)
Bajo Bajo Riesgo
Riesgo Riesgo Moderado
Bajo Medio Alto
Valor de Probabilidad
Los valores de probabilidad vienen dados según la tabla de referencia que se

muestra a continuación:
Referencia de Valores de Probabilidad

Calificación Descripción
Bastante probable. Varios eventos
ALTA
en un año
Probable, al menos un evento en un
MEDIA
año
Poco probable. Al menos un evento
BAJA
cada cinco años.
A continuación se presenta el informe general de riesgos informáticos de la

DIGESTYC, sintetizado en una matriz que nos muestra los niveles de exposición a
los riesgos.
131
Nuevamente se hace énfasis en que el objeto de este trabajo es la formulación de
un plan de recuperación de desastres, en el cual, básicamente se define como
reaccionar ante un desastre. Sin embargo a partir de la información mostrada en
el informe de riesgos, la institución debe hacer esfuerzos adicionales en el campo
de la prevención, para que además de contar con un plan de recuperación de
desastres, puedan ampliar su gestión a los campos de prevención y mitigación de
riesgos, a fin de prevenir hasta donde sea posible, el desastre.
132
CATALOGO COMPLETO DE AMENAZAS ANALIZADAS
CODIGO DESCRIPCION
A-N.1 FUEGO
A-N.2 DAÑOS POR AGUA
A-N.3 DESASTRES NATURALES
A-I.1 FUEGO
A-I.2 DAÑOS POR AGUA
A-I.3 DESASTRES INDUSTRIALES
A-I.4 CONTAMINACIÓN MECÁNICA O DE AMBIENTE.
A-1.5 INTERFERENCIA ELECTROMAGNETICA
A-I.6 AVERÍAS DE ORIGEN FÍSICO O LÓGICO
A-I.7 CORTE DEL SUMINISTRO ELÉCTRICO
A-1.8 CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD
A-I.9 FALLO DE SERVICIOS DE COMUNICACIONES
A-I.10 INTERRUPCIÓN DE OTROS SERVICIOS Y SUMINISTROS ESENCIALES
A-I.11 DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN
A-E.1 ERRORES DE LOS USUARIOS.
A-E.2 ERRORES DEL ADMINISTRADOR
A-E.3 ERRORES DE MONITORIZACIÓN
A-E.4 ERRORES DE CONFIGURACIÓN
A-E.7 DEFICIENCIAS EN LA ORGANIZACIÓN
A-E.8 DIFUSION DE SOFTWARE DAÑINO
A-E.9 ERRORES DE ENRUTAMIENTO
A-E.10 DESTRUCCIÓN DE LA INFORMACIÓN
A-E.11 VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE)
A-E.12 ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE)
A-E.13 ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE)
A-E.14 CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS
A-E.18 INDISPONIBILIDAD DEL PERSONAL
A-A.4 MANIPULACIÓN DE LA CONFIGURACIÓN
A-A.5 SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO
A-A.6 ABUSO DE PRIVILEGIOS DE ACCESO
A-A.7 USO NO PREVISTO
A-A.8 DIFUSIÓN DE SOFTWARE DAÑINO
A-A.9 RE-ENRUTAMIENTO DE MENSAJES
A-A.10 DESTRUCCIÓN DE LA INFORMACIÓN
A-A.11 MANIPULACIÓN DE PROGRAMAS
A-A.14 DENEGACIÓN DE SERVICIO
A-A.15 ROBO
A-A.16 ATAQUE DESTRUCTIVO
A-A.17 OCUPACIÓN ENEMIGA
A-A.18 INDISPONIBILIDAD DEL PERSONAL
A-A.19 INGENIERIA SOCIAL
133
MATRIZ DE RIESGOS DE SEGURIDAD INFORMÁTICA EN LA DIGESTYC
Activos Exposure
Resumen
Rango de Rango
Criticidad (Alta, Probabilidad Nivel de
Nombre Tipo Amenaza Vulnerab Impacto
Media, Baja) (A,M,B) Riesgo
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 A A B M
A-N.2 M A B M
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A M A
A-I.3 B M B B
A-I.4 B M M M
A-1.5 B M B B
A-I.6 B M B B
A-I.7 A A A A
A-1.8 M A M A
GRUPO DE SERVIDORES
A-I.9 B M M M
CRITICIDAD ALTA
A-I.11 M A B M
(Controlador de dominio, SQL SW, HW,SI A
A-E.2 B M B B
Server, Web, Mail Server, A-E.3 M A B M
Backup)
A-E.4 M A M A
A-E.8 B M M M
A-E.11 M A B M
A-E.12 B M B B
A-E.13 N/A FALSO B FALSO
A-E.14 M A M A
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M A B M
A-A.7 M A B M
A-A.8 B M A A
134
A-A.11 M A B M
A-A.14 M A B M
A-A.15 A A M A
A-A.16 A A B M
A-A.17 N/A FALSO B FALSO
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.2 M A M A
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A B M
A-I.3 B M B B
A-I.4 B M M M
A-1.5 B M B B
Grupo de equipos auxiliares y A-I.6 B M B B
de comunicaciones. A-I.7 A A A A
Criticidad Alta HW A
A-1.8 M A M A
(UPS de servidores, Firewall,
Conmutadores principales) A-I.9 B M B B
A-I.10 N/A FALSO N/A FALSO
A-E.2 B M B B
A-E.3 M A B M
A-E.4 M A M A
A-E.9 B M B B
A-E.14 M A M A
A-A.4 A A B M
135
A-A.5 A A B M
A-A.6 M A B M
A-A.7 M A B M
A-A.9 B M B B
A-A.14 M A B M
A-A.15 A A M A
A-A.16 A A B M
A-A.17 N/A FALSO N/A FALSO
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.2 M A B M
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A M A
A-I.3 B M B B
APLICACIONES CRÍTICAS A-I.6 B M B B

(Aplic. .NET internas, A-I.9 B M B B
Aplicaciones de Precios, Aplic. SW A A-I.11 M A B M
Activo fijo, Aplic. CSPRO e A-E.1 B M M M
ISSA) A-E.2 B M B B
A-E.3 M A B M
A-E.4 M A M A
A-E.8 B M M M
A-E.9 B M B B
A-E.11 M A B M
A-E.12 B M M M
136
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M A B M
A-A.7 M A B M
A-A.8 B M A A
A-A.9 B M B B
A-A.11 M A B M
A-A.14 M A B M
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.2 M A B M
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A M A
A-I.3 B M B B
A-I.4 B M M M
BASES DE DATOS (SQL, A-I.6 B M B B
FOX, CSPRO, ISSA Y SQL D A A-I.7 A A A A
para pruebas y desarrollo) A-E.1 B M M M
A-E.2 B M B B
A-E.3 M A B M
A-E.4 M A M A
A-E.10 M A M A
A-E.11 M A B M
A-A.4 A A B M
A-A.10 M A M A
137
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.2 M A B M
A-N.3 M A B M
A-I.1 M A B M
A-I.2 M A M A
A-I.3 B M B B
A-I.4 B M M M
A-1.5 B M B B
A-I.6 B M B B
A-I.7 A A A A
A-1.8 M A M A
Computadoras de criticidad A-I.9 B M M M
HW, SW,
alta en div. sistemas y en las A A-I.11 M A B M
SI
oficinas de Dirección. A-E.2 B M B B
A-E.3 M A B M
A-E.4 M A M A
A-E.8 B M M M
A-E.11 M A B M
A-E.12 B M B B
A-E.14 M A M A
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M A B M
A-A.7 M A M A
138
A-A.8 M A A A
A-A.11 M A B M
A-A.14 M A B M
A-A.15 A A M A
A-A.16 A A B M
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M M B B
A-N.2 M M B B
A-N.3 M M B B
A-I.1 M M B B
A-I.2 M M M M
A-I.3 B B B B
A-I.4 B B M B
A-1.5 B B B B
Grupo de servidores de A-I.6 B B B B
HW, SW,
criticidad media : Proxy y M A-I.7 A A A A
SI
VPNServer A-1.8 M M M M
A-I.9 B B M B
A-I.11 M M B B
A-E.2 B B B B
A-E.3 M M B B
A-E.4 M M M M
A-E.8 B B M B
A-E.11 M M B B
A-E.12 B B B B
139
A-E.14 M M M M
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M M B B
A-A.7 M M M M
A-A.8 M M A A
A-A.11 M M B B
A-A.14 M M B B
A-A.15 A A B M
A-A.16 A A B M
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M M B B
A-N.2 M M B B
A-N.3 M M B B
A-I.1 M M B B
A-I.2 M M B B
Equipos comunicaciones A-I.3 B B B B
definidos con criticidad media HW M A-I.4 B B M B
(en general) A-1.5 B B B B
A-I.6 B B B B
A-I.7 A A A A
A-1.8 M M M M
A-I.9 B B B B
A-I.10 N/A FALSO N/A FALSO
140
A-E.2 B B B B
A-E.3 M M B B
A-E.4 M M M M
A-E.9 B B B B
A-E.14 M M M M
A-A.4 A A B M
A-A.5 A A B M
A-A.6 M M B B
A-A.7 M M B B
A-A.9 B B B B
A-A.14 M M B B
A-A.15 A A M A
A-A.16 A A B M
A-A.17 N/A FALSO N/A FALSO
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M M B B
A-N.2 M M B B
A-N.3 M M B B
A-I.1 M M B B
Grupo de computadoras de A-I.2 M M M M
HW, SW,
criticidad media de todas las M
SI A-I.3 B B B B
divisiones.
A-I.4 B B M B
A-1.5 B B B B
A-I.6 B B B B
A-I.7 A A A A
141
A-1.8 M M M M
A-I.9 B B M B
A-I.11 M M B B
A-E.2 B B B B
A-E.3 M M B B
A-E.4 M M M M
A-E.8 B B M B
A-E.11 M M B B
A-E.12 B B B B
A-E.14 M M M M
A-A.4 A A B M
A-A.5 A A M A
A-A.6 M M B B
A-A.7 M M M M
A-A.8 M M A A
A-A.11 M M B B
A-A.14 M M B B
A-A.15 A A M A
A-A.16 A A B M
142
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
(A, M, B) (A,M,B)
(A,M,B)
Grupo de computadoras de HW, SW, B A-N.1 M B B B
criticidad baja de todas las SI A-N.2 M B B B
divisiones. A-N.3 M B B B
A-I.1 M B B B
A-I.2 M B M B
A-I.3 B B B B
A-I.4 B B M B
A-1.5 B B B B
A-I.6 B B B B
A-I.7 A M A A
A-1.8 M B M B
A-I.9 B B M B
A-I.11 M B B B
A-E.2 B B B B
A-E.3 M B B B
A-E.4 M B M B
A-E.8 B B M B
A-E.11 M B B B
A-E.12 B B B B
A-E.14 M B M B
A-A.4 A M B B
A-A.5 A M M M
A-A.6 M B B B
A-A.7 M B M B
143
A-A.8 M B A M
A-A.11 M B B B
A-A.14 M B B B
A-A.15 A M M M
A-A.16 A M B B
ACTIVOS EXPOSICIÓN
Resumen
Rango de Rango
(A, M, B) (A,M,B)
(A,M,B)
A-N.1 M A B M
A-N.3 M A B M
Personal crítico para el manejo A-I.1 A
M B M
de la información
P A A-I.3 B M B B
(administradores, A-E.18 A
M M A
desarrolladores, etc.) A-A.18 A
M B M
A-A.19 B M B B
144

Auditoria de Sistemas Tesis - JRTF - Capitulo4

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria de Sistemas Tesis - JRTF - Capitulo4

Uploaded by

Copyright:

Available Formats

CAPÍTULO 4

ANÁLISIS DE RIESGOS DE SEGURIDAD

4.1 DESCRIPCIÓN GENERAL

La seguridad informática es la capacidad de las redes o de los sistemas de

Sin embargo, tal como se ha mencionado antes, cualquier organización de

El Consejo Superior de Administración Electrónica de España, en la

El riesgo indica lo que le podría pasar a los activos si no se protegieran

El análisis de riesgos es una tarea mayor que requiere esfuerzo y coordinación.

Finalmente, se debe tener bien claro que un análisis de riesgos es recomendable

4.2 ELEMENTOS Y TAREAS QUE CONFORMAN EL ANÁLISIS

Con estos elementos se puede estimar:

El análisis de riesgos es una aproximación metódica para determinar el riesgo

La siguiente figura ilustra en forma gráfica este proceso:

Fig. 4.1: Elementos del análisis de riesgos

Se denominan activos a los recursos del sistema de información o relacionados

El activo esencial es la información que maneja el sistema; o sea los datos. Y

La organización internacional ISACA11 (Asociación para el control y auditoría de

Los recursos de TI identificados en COBIT se pueden definir como sigue:

 La información son los datos en todas sus formas de entrada, procesados

La tipificación de los activos es tanto una información documental de interés como

[D] Datos / Información

[HW] Equipos informáticos (hardware)

[SI] Soportes de información

Realización de entrevistas e inspecciones físicas.

Para proceder a iniciar el inventario de activos de información fue necesario

Como es de esperarse, se determinó que es en la división de sistemas donde se

Posteriormente se visitó el área de la dirección y sub dirección; y luego la división

Se entrevistó inicialmente al jefe de la división de precios, esta es una de las áreas

Por último se realizaron las entrevistas correspondientes en la división de censos y

El resultado de todas estas entrevistas y jornadas de inspección ha sido

División o Departamento: División de Sistemas - Informática

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD

División o Departamento: Dirección Administrativa

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD

1 Impresor, 1PC- 1 UPS Tareas secretariales SW, HW, SI alto

1 Laptop Uso del director SW, HW, SI alto

División o Departamento: División de Precios.

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD

División o Departamento: División de Estadísticas Sociales.

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD

División o Departamento: Dirección Censos y Encuestas Económicas.

DESCRIPCION FINALIDAD LOCALIZACION CRITICIDAD

4.4 IDENTIFICACIÓN DE AMENAZAS

En este estudio se ha realizado un proceso de revisión de amenazas típicas de

4.4.1 Valoración de las amenazas

Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus

La degradación mide el daño causado por un incidente en el supuesto de que

Muy frecuente a diario

Se presenta a continuación un catálogo de amenazas posibles sobre los activos

[código] Título descriptivo de la amenaza

Vulnerabilidades detectadas relacionadas a esta amenaza:

 No existen sensores de humo o alarma contra incendios

Vulnerabilidades detectadas relacionadas a esta amenaza:

 Las locaciones donde se ubican activos de información son susceptible a

Atenuantes de las Vulnerabilidades:

Vulnerabilidades detectadas relacionadas a esta amenaza:

 Aunque se ha instalado recientemente un pararrayos con su

Atenuantes de las Vulnerabilidades:

4.4.2.2 Amenazas de origen industrial

Sucesos que pueden ocurrir de forma accidental, derivados de la actividad

Vulnerabilidades detectadas relacionadas a esta amenaza: