INDICE

I. Categorización de Componentes 3
II. Identificación o Inventario de Activos 4
Identificación del Personal 4
Identificación de Procedimientos 5
Identificación de Datos 5
Identificación de Software 6
Identificación de Hardware 6
III. Categorización de Activos 7
IV. Asignación de Impactos 7
V. Identificación de Amenazas a los Activos Categorizados 8
VI. Identificación de Vulnerabilidades 9
VII. Evaluación de Riesgos 11
VIII. Control de Riesgos 11
IX. Cálculo de SLE, ARO y ALE 13
El presente trabajo trata de un estudio de Análisis de Riesgos para el Sistema
Integral de Administración Financiera SIAF del Municipio de Ate Vitarte.

I. CATEGORIZACIÓN DE COMPONENTES:
Los activos de la organización los vamos a categorizar de la siguiente forma:

Componentes Componentes del CDSS y de gestión de riesgos

Tradicionales
Personas Empleado Gerentes, subgerentes, jefes de área, asistentes, auxiliares
No empleados Proveedores
Procedimientos Procedimientos • Registrar presupuesto
• Transmitir presupuesto
• Registrar expediente (adquisiciones, compras)
• Transmitir expediente
• Calcular planillas
• Registrar pagos de impuestos
• Tramitar documentos
Datos Información Transmisión: presupuesto, expedientes
Procesamiento: datos del expediente, pagos de impuestos
Almacenamiento: historial de expedientes, historial de
pagos de contribuyentes, balance contable.
Software Software Aplicaciones:
• Sistema Integral de Administración Financiera
SIAF v. 4.9.5
• Sistema de Rentas
• Sistema de Trámite Documentario
• Sistema de Catastro
• Microsoft Office 2000
Sistema Operativo:
• Windows 98 (clientes)
• Windows XP (clientes)
• Windows 2003 (servidores)
• Linux kernel 2.4 (Servidor Proxy)
Componentes de Seguridad:
• Hacker Antivirus 5.9
• Firewall Linux 2.0rc10
Hardware Sistemas, • 200 PCs Pentium 4 (toda la red municipal)
dispositivos • 7 Servidores:
periféricos • 1 de dominio
• 3 de producción
• 1 de correo
• 1 Proxy
• 1 Web
• 1 UPS
• Dispositivo de Seguridad Informática:---

Componentes • Red inalámbrica (desde Salamanca hasta Huaycán)

de Red • Routers
• Switchs
• Hubs

II. IDENTIFICACIÓN O INVENTARIO DE ACTIVOS

Una vez identificadas las categorías Personas (PE), Procedimientos (PR), Datos (DA),
Software (SW) y Hardware (HW), procedemos a realizar un inventario de los principales
activos de información de la organización.

1) IDENTIFICACIÓN DEL PERSONAL (PE)

Cargo Funciones Supervisor Nivel Habilidades

Autorización especiales
1 Gerente de Elaborar plan Gerente General Confidencial Coordinación con
Planificación presupuestal demás gerencias

2 Gerente de Ejecutar y Gerente General Confidencial Toma de

Administración controlar el decisiones
presupuesto
aprobado
3 Subgerente de Registrar las Gerente de Interno Supervisión y
Contabilidad adquisiciones y Administración Control
compras.
4 Subgerente de Elaborar los Gerente de Interno Empatía,
personal cuadros de Administración cordialidad
planillas de los
trabajadores
5 Subgerente de Proveer del Gerente de Interno Orden, firmeza
Abastecimiento material Administración
logístico a las
demás áreas
6 Subgerente de Realizar los Gerente de Interno Amabilidad,
Tesorería pagos de Administración tolerancia
planillas y
proveedores
7 Subgerente de Monitorear las Gerente de Interno ---
Servicios tareas de Administración
 generales limpieza y
seguridad
8 Subgerente de Apoyar en la Gerente de Interno Orden,
presupuesto elaboración del Planificación honestidad
plan
presupuestal
9 Asistente de Apoyar en el Subgerente de Interno Compromiso
Contabilidad registro de las Contabilidad
adquisiciones y
comprar

2) IDENTIFICACIÓN DE PROCEDIMIENTOS (PR)

Descripción Propósito Relacionado Almacén para Almacén para

previsto con: referencia actualización
1 Registrar presupuesto Ingresar el SIAF BD SIAF BD SIAF
plan
presupuestal
2 Transmitir presupuesto Solicitar la SIAF BD SIAF BD SIAF
aprobación del
plan
presupuestal
3 Registrar expediente Crear nuevo SIAF BD SIAF BD SIAF
expediente
4 Transmitir expediente Solicitar SIAF BD SIAF BD SIAF
aprobación del
expediente
5 Calcular planillas Pagar al Sistema de BD Planillas BD Planillas
personal Planillas
6 Consultar estado de cuenta Ver pagos Sistema de BD Rentas BD Rentas
contribuyente realizados y Rentas
pendientes
7 Registrar pagos de impuestos Ingresar pagos Sistema de BD Rentas BD Rentas
de los Rentas
contribuyentes
8 Tramitar documentos Canalizar Sistema de BD Trámite BD Trámite
solicitudes de Trámite Documentario Documentario
la comunidad Documentario
9 Actualizar expediente Recibir SIAF BD SIAF BD SIAF
aprobación del
MEF

3) IDENTIFICACIÓN DE DATOS (DA)

Nombre Clasificación Dueño Estructura ¿Es Ubicación Proced.

(*) (**) Online? respaldo
1 Presupuesto Confidencial Gerente Secuencial Si BD SIAF PR1,PR2
Planificación
2 Expediente Interno Subgerente Contab. Secuencial Si BD SIAF PR3,PR4
3 Impuestos Público Gerente Rentas Relacional Si BD PR6,PR7
Rentas
4 Sueldos y Confidencial Subgerente de Relacional Si BD PR5
 salarios Personal Planillas
5 Solicitudes de Interno Subgerente Trámite Secuencial Si BD T. PR8
documentos Documentario Document
6 Datos del Interno Subgerencia de Relacional Si BD PR6,PR7
contribuyente Rentas Rentas
7 Balance Público Gerencia General Secuencial Si BD SIAF PR9
Contable

(*) Clasificación de los datos:

• Confidencial: Plan presupuestal, Sueldos y salarios.
• Interno: Adquisiciones, compras, datos del contribuyente, solicitud de
documentos.
• Público: Tasas, impuestos, balance contable.
(**) La estructura es Secuencial o Relacional

4) IDENTIFICACIÓN DE SOFTWARE (SW)

Nombre Versión Ubicación física Ubicación lógica

1 Sistema Integral de 4.9.5 Servidor 1 de Disco D:
Administración producción Directorio de
Financiera SIAF aplicaciones
2 Sistema de Rentas 1.5 Servidor 2 de Disco D:
producción Directorio de
aplicaciones
Sistema de Trámite 2.3 Servidor 2 de Disco D:
Documentario producción Directorio de
aplicaciones
3 Sistema de Catastro 1.0 Servidor 2 de Disco D:
producción Directorio de
aplicaciones
4 Microsoft Office 2000 Clientes Unidad C
5 Microsoft Windows 98 Clientes Unidad C
6 Microsoft Windows XP Clientes Unidad C
7 Microsoft Windows 2003 Servidores Unidad D
8 Hacker Antivirus 5.9 Clientes Disco D
9 Linux Kernel 2.4 Servidor Proxy Disco E

5) IDENTIFICACIÓN DE HARDWARE (HW)

Tipo de IP address MAC address

Ubicación Número Fabricante
elemento de Serie
1 PCs 192.168.1.10 00:0E:F1:66:G4:A2 Palacio DFE 530 Microsoft
0 Municipal TX
2 Servidor de 192.168.1.10 00:0C:E5:45:C2:D8 Sala de DFE 530 IBM
Dominio 0 Servidores TX
3 Servidor 192.168.1.110 00:0F:E5:45:C2:D8 Sala de DFE 530 IBM
PRD 1 Servidores TX
4 Servidor 192.168.1.12 00:0D:88:52:39:A2 Sala de DFE 530 IBM
 PRD 2 0 Servidores TX
5 Servidor 192.168.1.13 00:0A:E4:44:55:E3 Sala de DFE 530 IBM
PRD 3 0 Servidores TX
6 Servidor de 192.168.1.14 00:0G:E9:21:D1:I4 Sala de DFE 530 IBM
Correo 0 Servidores TX
7 Servidor 192.168.1.15 00:0B:C8:54:D6:E7 Sala de DFE 530 IBM
Proxy 0 Servidores TX
8 Servidor 192.168.1.16 00:0C:E5:40:C1:F9 Sala de DFE 530 IBM
Web 0 Servidores TX
10 Router 192.168.1.1 00:a0:o5:90:ea:38 Sala de Prestige Zyxel
Servidores 645R-
A1
ADSL
Router
11 Switch 192.168.2.4 00:a0:o5:90:ea:38 Sala de Prestige Zyxel
Servidores 160R-B1
Switch
12 Hub 192.168.2.5 00:a0:o5:90:ea:38 Sala de Prestige Zyxel
Servidores 475J-X3
Hub

III. CATEGORIZACIÓN DE ACTIVOS

De todos los activos vistos, analizaremos los relacionados con el Sistema Integral de
Administración Financiera SIAF, y el impacto que tendrían sobre la rentabilidad en caso se
lograse concretar las amenazas.

Nombre del Sistema: SIAF

Fecha de Evaluación: Junio 2006.
Evaluado por: Pérez Sánchez, Walter Yván
Rivera Pérez, Christian Enrique

Activos de Información Clasificación de datos Impacto a Rentabilidad

Información transmitida, procesada y almacenada
DA1: Presupuesto Confidencial Alto
DA2: Expediente Interno Alto
DA4: Sueldos y salarios Confidencial Medio
DA5: Solicitudes de Interno Medio
documentos
DA6: Datos del Interno Alto
contribuyente
DA7: Balance contable Público Medio
SW1: SIAF Interno Alto
HW1: Router Público Alto

IV. ASIGNACIÓN DE IMPACTOS

Activo de Información Criterio 1: Criterio 2: Criterio 3: Puntaje
Impacto a Impacto a Impacto en Ponderado
Ingreso rentabilidad imagen
pública
Peso de criterio(1-100) 30 50 20
Debe totalizar 100
DA1: Presupuesto 0.6 0.8 0.6 70
DA2: Expediente 1 1 1 100
DA4: Sueldos y 0.4 0.8 0.4 60
salarios
DA5: Solicitudes de 0.4 1.0 0.8 82
documentos
DA6: Datos del 0.5 0.8 0.9 77
contribuyente
DA7: Balance General 0.1 0.7 0.5 48
SW1: SIAF 0.4 0.9 0.8 77
HW1: Router 0.4 1.0 0.8 68

V. IDENTIFICACIÓN DE AMENAZAS A LOS ACTIVOS

CATEGORIZADOS
En la siguiente tabla se muestran las amenazas que podrían presentar cada activo
categorizado.

Código Amenazas
AM1 Actos de Falla o error humano
AM2 Desviación en calidad de servicio
AM3 Compromisos a propiedad intelectual
AM4 Actos deliberados de Espionaje y Traspase
AM5 Actos deliberados de Extorsión de información
AM6 Actos deliberados de Vandalismo o Sabotaje
AM7 Actos deliberados de robo
AM8 Ataques deliberados al software
AM9 Fuerzas de la naturaleza
AM10 Fallas o errores Técnicos de Hardware
AM11 Fallas o errores Técnicos de Software
AM12 Obsolescencia Tecnológicas

AM1 AM2 AM3 AM4 AM5 AM6 AM7 AM8 AM9 AM10 AM11 AM12
DA1 X X
DA2 X X X X
DA4 X X X X
DA5 X X
DA6 X X X X X X X X X X
DA7 X X X X X X X X X X
SW1 X X X X X X X X X
HW1 X X X X X X X X X

VI. IDENTIFICACIÓN DE VULNERABILIDADES

Veamos que vulnerabilidades específicas podrían presentar cada activo categorizado, por lo
menos para los de mayor impacto

Para el Activo Software SIAF (SW1)

Amenaza Vulnerabilidades
AM1 Los empleados pueden equivocarse al ingresar datos
AM2 Técnico puede equivocarse en configuración de parches y
actualización del SW
AM3 El modelo de Gestión es de vital importancia para la organización,
estaría en un plagio por parte de un mal empleado
AM4 Activo de información tiene valor importante para la organización
y puede ser comprometido
AM5 Pueden ocurrir fallas de energía eléctrica y el UPS no funciona.
AM6 El sistema SIAF esta expuesto libremente al personal de la
oposición política.
AM7 Activo de la información tiene un valor vital para la organización y
puede ser comprometido
AM8 Software puede fallar y causar la caída y/o discontinuidad del
negocio
AM9 Todos los activos de información son sujetos a estos tipos de
desastres.
AM10 Hardware donde es aplicado el SIAF puede fallar.
AM11 Software puede fallar y causar la caída y/o discontinuidad del
negocio
AM12 -

Para el Activo Router (HW1)

Amenaza Vulnerabilidades
AM1 Personal de soporte puede causar caída si comete errores de
configuración
AM2 Pueden haber cortes de energía eléctrica o inestabilidad de voltaje
AM3 Pérdida significativa para la gestión del negocio
AM4 No presenta mayor relevancia
AM5 -
AM6 -
AM7 Se cuenta con acceso restringido a la sala de servidores
AM8 Rastreo a IP pueden revelar información sensitiva
AM9 Incendios, terremotos, inundaciones pueden dañar el equipo
AM10 Algunos puertos del router pueden colgarse por la gran cantidad de
transacciones,
AM11 Software puede fallar inesperadamente.
AM12 Se debe actualizar constantemente el modelo, caso contrario se
quedaría sin soporte.

Para el Activo Expediente (DA2)

Amenaza Vulnerabilidades
AM1 Empleados pueden cometer errores al manipular datos de la
organización que se va ha transferir al MEF
AM2 Fallas energéticas pueden afectar los datos en proceso de
transferencia, reparar el UPS debe ser analizado.
AM3 Los datos correctos de la organización son prescinbles para el
negocio, la pérdida de los mismo pueden conllevar a un
desequilibrio en el Balance General
AM4 Falta de un control de acceso al sistema puede comprometer la
confidencialidad de los mismos, por parte de malos trabajadores.
AM5 Activo de información tiene un valor importante para la
organización y puede ser comprometido.
AM6 El sabotaje y vandalismo puede ser realizado tanto en el SW como
el HW comprometiendo la integridad de los datos de la
organización
AM7 Activo de información tiene un valor importante para la
organización y puede ser comprometido.
AM8 -
AM9 Incendios, terremotos, inundaciones pueden ocurrir, dañando la
integridad de los datos de la organización
AM10 -
AM11 Software puede comprometer la integridad de los datos si ocurre
alguna falla
AM12 -

 Lista de activos de información con sus vulnerabilidades más importantes.

Activo de Información Vulnerabilidad

Software SIAF V1: Técnico puede equivocarse en configuración de parches y
actualización del SW
V2: Pueden ocurrir fallas de energía eléctrica y el UPS no
funciona.
V3: Software puede fallar y causar la caída y/o discontinuidad del
negocio
Router V4: Algunos puertos del router pueden colgarse por la gran
cantidad de transacciones
 V5: Software puede fallar inesperadamente.
V6: Pueden haber cortes de energía eléctrica o inestabilidad de
voltaje
Datos de Expediente V7: Fallas energéticas pueden afectar los datos en proceso de
transferencia
V8: Falta de un control de acceso al sistema puede comprometer
la confidencialidad de los mismos, por parte de malos
trabajadores.
V9: Empleados pueden cometer errores al manipular datos de la
organización que se va ha transferir al MEF

VII. EVALUACIÓN DE RIESGOS

 Calculo de Riesgos

riesgo = impacto ∗ ( probab.vu ln erabilidad ) ∗ (1 − (%riesgo _ controlado) + (%incertidumbre))

Donde:
(% certeza) = 1-(% incertidumbre)

Vulnerabilidad Impacto Probabilidad % % Riesgo

(0 - 100) Vulnerabilidad controlado certeza %

V1 72 0.444 0 10% 60.7392

V2 72 0.2 0 25% 25.2
V3 72 0.35 0 30% 42.84
V4 80 0.1 0 10% 15.2
V5 80 0.18 0 20% 25.92
V6 80 0.2 0 50% 24
V7 100 0.28 0 40% 44.8
V8 100 0.32 0 10% 60.8
V9 100 0.2 0 25% 35
certeza, de las asunciones y datos.

VIII. CONTROL DE RIESGOS

 Estrategia Eludir, evitar

 Evaluar diariamente si se cumplen los procedimientos de acuerdo al manual.

 Educar a los trabajadores (porqué tengo que hacer algo)
 Estrategia Mitigar:

V2: Pueden ocurrir fallas de energía eléctrica y el UPS no funciona.

1. Plan de Respuesta a incidentes – IRP

Empezar a trabajar con el UPS o generador Eléctrico
2. Plan de recuperación de desastre – DRP
Si el tiempo se prolonga, cerrar los aplicativos y llamar a los proveedores del servicio
energético.
3. Plan de continuidad del negocio – BCP
Realizar los procedimientos de factura y presupuesto en forma manual mientras se
soluciona el problema

V3: Software puede fallar y causar la caída y/o discontinuidad del negocio

1. Plan de Respuesta a incidentes – IRP

Cerrar la aplicación SIAF y reiniciarlo
2. Plan de recuperación de desastre – DRP
Reiniciar la PC y volver a cargar el aplicativo
3. Plan de continuidad del negocio – BCP
Verificar el estado de los expedientes

V5: Software puede fallar inesperadamente.

1. Plan de Respuesta a incidentes – IRP

Cerrar la aplicación SIAF y reiniciarlo
2. Plan de recuperación de desastre – DRP
Reiniciar la PC, volver a cargar el aplicativo y buscar posibles errores físicos y lógicos
del hardware
3. Plan de continuidad del negocio – BCP
Verificar el estado de los expedientes y la integridad de los datos

V6: Pueden haber cortes de energía eléctrica o inestabilidad de voltaje

1. Plan de Respuesta a incidentes – IRP

Empezar a trabajar con el UPS
2. Plan de recuperación de desastre – DRP
Si el tiempo se prolonga, cerrar los aplicativos y llamar a los proveedores del servicio
energético.
3. Plan de continuidad del negocio – BCP
Realizar los procedimientos de factura y presupuesto en forma manual mientras se
soluciona el problema

V7: Fallas energéticas pueden afectar los datos en proceso de transferencia

1. Plan de Respuesta a incidentes – IRP

Verificar que disco duro no esté dañada físicamente ni lógicamente.
2. Plan de recuperación de desastre – DRP
Reiniciar el(los) computador y volver a ejecutar el aplicativo SIAF, verificar la
integridad de los datos, caso contrario restaura la base de datos del aplicativo.
3. Plan de continuidad del negocio – BCP
 Utilizar un UPS como alternativa o generador de corriente

V8: Falta de un control de acceso al sistema puede comprometer la confidencialidad de

los mismos, por parte de malos trabajadores.

1. Plan de Respuesta a incidentes – IRP

Detectar al mal empleado, y hacer uso del reglamento a este empleado
2. Plan de recuperación de desastre – DRP
Cambiar contraseña, cifrar información, restringir acceso para mantener el uso no
autorizado a la información de la organización
3. Plan de continuidad del negocio – BCP
Concienciar a los empleados sobre los riesgos que acarrea la mala manipulación de los
datos.

V9: Empleados pueden cometer errores al manipular datos de la organización que se va

ha transferir al MEF
4. Plan de Respuesta a incidentes – IRP
Detectar al mal empleado, y hacer uso del reglamento a este empleado
5. Plan de recuperación de desastre – DRP
Cambiar contraseña, cifrar información, restringir acceso para mantener el uso no
autorizado a la información de la organización
6. Plan de continuidad del negocio – BCP
Concienciar a los empleados sobre los riesgos que acarrea la mala manipulación de los
datos.

IX. CALCULO DE SLE, ARO Y ALE

ALE = SLE*ARO

Costo por Frecuencia( Pérdida anual

Vulnerabilidad Frecuencia anual ARO
incidente SLE ANUAL) esperada ALE
V1 400 4 4 1600
V2 200 1 1 200
V3 1000 12 12 12000
V4 250 1 1 250
V5 300 12 12 3600
V6 200 1 1 200
V7 400 0.5 0.5 200
V8 800 12 12 9600
V9 1000 6 6 6000