nl@ ce: Revista Venezolana de Informacion, ‘Como citar el articulo (Normas APA):
Teenoloyia y Conocimiento De Freitas, V. (2009). Anilisis y evaluacion del riesgo de fa
188: 1690-7515 informacién: caso de estudio Universidad Simin Bo-
Depasito egal pp 20040220 livar. Bnl@ce: Revista Venezolana de Informacién,
:nero-Abril 2009, pp 49-55 Teenologta y Conacimiento, 6 (2) 43-55
Anilisis y evaluacién del riesgo de la informacién: caso de
estudio Universidad Sim6n Bolivar
Vidatina De Freitas’
Resumen
Este trabajo se propone conocer la fortalezas y debilidades a las que pudieran estar sometidas los activos de
informacion que estén en custodia en la Direecién de Servicios Teleméticos (DST) de la Universidad Simon Bolivar
ubicada en Caracas, Venezuela, con el fin de sugerir estrategias que minimicen la ocurrencia de posibles amenazas
‘que en la mayoria de los casos explotan las vulnerabilidades organizacionales, Basado en una metodologfa de estudio
de caso, este estudio permitié recoger informacién detallada usando una variedad de sistemas de recoleceién de da-
tos, como entrevistas semi-estructuradas, estructuradas y en profundidad, revision bibliogréfiea y arqueo de fuentes.
Igualmente, se realizaron visitas alas instalaciones dela diveccion evaluada y se revisaron aspectos de seguridad fisica
previstos en las Normas ISO-27001:2007. Se concluye que cada uno de los elementos en custodia de la DST es de suma
‘mportancia para la Universidad Simén Bolivar, por lo que se sugiere la aplicacién de algunos controles establecidos
cen las normas TSO, para eada uno de dichos activos.
Palabras clave: [80-27001:2007, seguridad de la informaci6n, andlisis y evaluacion de riesgo, activos de
informacion
Resid: 26-06-08 Aceptado: 17-11-08
Ingeniero en Computacién. Magister en Ingenieria de Sistemas. Especalista en telecomunicaciones, Profesor con categoria de
‘Agregada en la Universidad Simon Bolivar, Venezuela, Correa electronica: vreitas@usb.ve
Anditss y evaluacin del riesgo de ta informacién: caso de esto Universidad Simin Bolivar
Vidalina De Freitas
Analysis and Risk Assessment of Information: Case Study
Universidad Simon Bolivar
Abstract
Nowadays, organizations, with all their technologieal advances and complex information processes, face
‘many threats that, in most cases, exploit their vulnerabilities. The Simén Bolivar University, located in Caracas,
doesn't escape from this reality. The objective of this work is knowing the strengths and weaknesses to which they
may be subject information assets that are in custody at the Directorate of Telematics Services (DST) of the Simén
Bolivar University, in order to suggest strategies to minimize the occurrence of possible events. This methodology
uses a ease study that allows you to gather detailed information with a variety of systems for collecting data for a
given period. Among the data collection methods are used semi-structured, structured and in-depth review of the
literature and archaeological sources. Similarly, visits were made to the facilities and reviewed aspects of physical
security under the IS0-27001: 2007. The conclusion is that each element in the custody of the DST is of paramount
importance to the University, are thus suggested implementing some controls in the ISO, for each of those assets.
Key words: IS0-27001:2007, Information Security, Analysis and Assessment of Risks, Asset Information
Introduceién
El avance tecnolégico ha traido consigo un
reto mayor para quienes se dedican al combate de
programa con caracteristicas maliciosas, la difu-
sion de nuevas téenicas y metodologias de ataques
yamenazas informaticas cada ver mas sofisticadas
Yeficaces. No es un secreto la cantidad de recursos
que invierten las organizaciones para evitar intru-
siones y manipulaciones que pongan en riesgo,
desde la integridad de la data hasta las operacio-
nes propias dela entidad.
Hoy en dia, las organizaciones son més
dependientes de sus redes informaticas y un pro-
blema que las afecte, por pequefio que sea, puede
Megar a comprometer la continuidad de las ope-
44
raciones, situacién que inevitablemente se traduce
en pérdida econémica, retraso en las operaciones
yeerisis de confianza por parte de los usuarios.
Aunado alo anterior se encuentra la ausen-
cia de una adecuada politica de seguridad de las
redes. Este es un problema que est presente por
€1 s6lo hecho de subestimarse las fallas que a ni-
vel interno se producen, considerando sobre todo
que la propia complejidad de la red es una dificul-
tad para la deteccién y correccién de miltiples y
variados problemas de seguridad que van siendo
detectados.
Para Sema Goup (2006), el objeto 0 prop6-
sito de la seguridad de la informacién eonsiste en
‘mantener la continuidad de los procesos organiza-
cionales que soportan los activos a resguardar. Asi
Enl@ce: Revista Venezolana de Informacién, Tecnologia y Conocimiento
“Afia 6: No. Enero-Abril 2009, BP. 43-55
mismo se intenta minimizar el costo global de la
ejecucién de dichos procesos como las pérdidas de
los recursos asignados a su funcionamiento,
De alli que sea necesario que los responsa-
bles de la seguridad de la informacién en las orga-
nizaciones, tomen conciencia de su papel y deban
contrastar los riesgos a los que estan sometida sus
activos. La evaluacién, anélisis y tratamiento del
riesgo permiten llevar el nivel de riesgo de los ae-
tivos de la organizacién a valores aceptables (Pes-
solani, 2007)
Los problemas asociados a la seguridad en
redes aleanzan a todo tipo de organizacién. En par-
ticular, a las universidades que manejan grandes
volimenes de informacién que por su variedad e
importaneia la hacen blanco de posibles ataques.
En estas instituciones, ademas se forman perso-
rnas con habilidades que, mal dirigidas, pueden
representar una amenaza todavia mayor. La expe-
riencia nos demuestra que la Universidad Simon
Bolivar no escapa de esta realidad.
La universidad Simén Bolivar es una insti=
tucién pibliea de educacién superior, ubicada en
Caracas, Estado Miranda, Venezuela. Cuenta ac-
‘tualmente con una poblacion estudiantil deaproxi=
madamente 6789 estudiantes de pre y postgrado,
con 424 profesores de planta y 848 empleados.
La Direccién de Servicios Teleméticos
(DST) es el ente que resguarda o tiene a su cus-
todia los servidores de las distintas instaneias que
manejan dichos volimenes de datos. Es decir, tie-
nen a su custodia los servidores de la Direceién de
Administraci6n y Control de Estudios (DACE), los
servidores de Finanzas, los servidores de Nomina,
los servidores la Direccién de Ingenieria ¢ Infor
‘macién (DID, los servidores de correo, los Servi-
dores de DNS, Pigina Web (Sede del Litoral), los
servidores de Internet ¢ Intranet. Como se puede
observar todos estos activos son de suma impor-
tancia para el desenvolvimiento de sus operacio-
nes.
De alli su importancia de analizar y evaluar
Jos riesgos a los cuales éstos pueden estar someti-
dos, para de esa manera poder gestionarlos y mi-
nimizar sus posibles efectos.
Metodologia utilizada
Este estudio se plantea como la continua-
cin de un trabajo el cual buscaba evaluar la segu-
ridad de la informacién a la luz de los eontrotes de
1a 180 17799:2005 (De Freitas, 2007).
En el presente articulo, se busca evaluar los
riesgos a los cuales pueden estar sometidos los ac-
tivos de informacién que se encuentran en custo-
dia en la DST. El desarrollo del mismo se llevé a
cabo tres fases: la primera consistié en una inves-
tigaci6n documental; la segunda en una investiga-
cidn de campo y la tercera la conformé el andlisis,
evaluacién y tratamiento del riesgo de los activos
en custodia de la DST. Siempre en el contexto de
un estudio de caso,
Es una investigacién documental ya que
permite el estudio de problemas con el propésito
de ampliar y profundizar el conocimiento de su.
naturaleza, con apoyo, principalmente, en traba-
jos previos, informacion y datos divulgados por
‘medios impresos, audiovisuales 0 electrénicos
(UPEL, ps}
45
Anditss y evaluacin del riesgo de a informacién: caso de estuio Universidad Sian Bova
Vidalina De Freitas
Es una investigacién de campo porque en
ella se comienza haciendo un andlisis sistematico
de los problemas con el propésito de describirlos,
interpretarlos, entender su naturaleza y factores
constituyentes, explicar sus posibles causas y efee-
tos, y/o predecir su ocurrencia, haciendo uso de
los métodos caracteristicos de cualquiera de los
paradigmas o enfoques de investigacién conocidos
en desarrollo [UPEL, p. 14]
La poblacién estuvo conformada por el per~
sonal que labora en la DST.
Se llevé a cabo el levantamiento de infor-
maci6n a través de entrevistas en profundidad
semi-estructuradas, se aplicaron cuestionarios y
se realizaron visitas guiadas a las instalaciones.
Una ver obtenido los datos e informacion
de los diferentes entes involucrados y eorroborado
con la visita a las distintas instalaciones de la Uni-
versidad Simén Bolivar, se procedié a la revisién,
andlisis ¢ interpretacién de los mismos. Para ello.
se emplearon métricas cuantitativas, pero en la
‘mayoria se realiz6 usando la métrica cvalitativa.
Evaluaci6n del Riesgo
Conocer el riesgo a los que estén someti-
dos los activos es imprescindible para poder ges-
tionarios, y por ello han surgido una multitud de
guias informales, aproximaciones metédicas y he-
rramientas de soporte las cuales buscan objetivar
cl anilisis para saber cwén seguros (o inseguros)
estin dichos activos y no llamarse a engafio (MA-
GERIT, 2005).
46
El riesgo es definido como la probabilidad
que una amenaza pueda explotar una vulnerabili-
dad en particular (Peltier, 2001).
Entre las miiltiples metodologias y estnda-
res que han surgido para manejar la seguridad se
pueden mencionar: 180 27001:2005, SEE_CMM,
Cobit, ITIL, ISM3, entre otros. Sin embargo, se
requiere incorporar los cambios necesarios para
que se ajusten a los requerimientos particulares
de cada empresa,
En los actuales momentos la norma ISO
27001:2007, presenta un compendio que propor-
ciona una base comin para la elaboracion de re-
slas, un método de gestion eficaz de la seguridad
y permite establecer informes de confianza en las,
‘transacciones y las relaciones entre empresas.
La norma ha sido publicada en dos partes:
» ISO/IEC 27002:2007: Cédigo de buenas préc-
ticas para la Gestion de la seguridad de la infor-
# ISO/IEC 27001:2007 - BS 7799 Parte 2: Especi-
ficaciones relativas a la gestion de la seguridad
de la informacion
Lo relacionado con la gestién del riesgo
es una parte esencial del ISO 27001:2007. En el
Anexo A de esta norma se propone una tabla deta-
Ilada de los controles (Alexander, 2007), controles
que deben ser seleccionados en base a los resulta-
dos de la evaluacién del riesgo y a las decisiones
tomadas concernientes al tratamiento de dicho
riesgo.
La gestion del riesgo, generalmente, con
templa el célculo del riesgo, la apreciacién de su
5
“Afio 6: No. Enero-Abril 2009, PP. 43-55
impacto en el negocio y la probabilidad de ocu-
rrencia (Hiles, 2004). Luego se derivan pasos para
reducir la frecuencia a un nivel considerado acep-
table.
Si la empresa no conoce sobre el riesgo que
corren sus activos de informacién, dificilmente
llegar a estar preparada para evitar su posible
‘ocurrencia, de alli la importancia de conocerlo y
crear controles para disminuir o eliminar su posi-
ble ocurrencia.
La ISO 27001:2007 recomienda para llevar
cabo una gestion de riesgo, que se defina primero
el alcance del estindar en la empresa, y con base
en ello, identificar todos los activos de informa-
ci6n. Los activos de informacion deben ser tasa-
dos para identificar su impacto en la organizacién.
Luego se debe realizar un anilisis para determinar
‘qué activos estén bajo riesgo. Es en ese momento
que se deben tomar decisiones en relacién a qué
riesgos aceptaré la organizacion y qué controles
serdn implantados para mitigar el riesgo (Alberts y
Dorofee, 2003). A la gerencia le corresponde revi-
sar los controles implantados a intervalos de tiem-
po regular para asegurar su adecuacion y eficacia.
Se le exige a la gerencia que controle los niveles,
de riesgos aceptados y el estado del riesgo residual
(que es el riesgo que queda después del tratamien-
to del riesgo).
El objetivo final de la evaluacion de riesgos
es realizar un céleulo de las amenazas a los activos
de informacién, con vistas a seleccionar los con-
{roles ISO 27002:2007 0 ISO 17799:2005 adecua~
dos para mitigar ese riesgo,
Después de revisar los diferentes métodos,
metodologias y herramientas existentes, se propo-
ce: Revista Venezolana de Informacién, Teenologia y Conocimiento
ne el esquema que se puede observar en la Figura
4 para llevar a cabo el mencionado andlisis y eva-
Iuar su riesgo.
Figura 1
Esquema del Andlisis y Evaluacién
de Riesgo
‘eli el Ane
Anilisis de Riesgo
etic de Avo
Tsai de As
detain de Ane
Frstabied de Oommen]
detain deVries
Pec placa de
Valerie
ft -
Evaluacin del Riesgo
dod Varden
ites Rese
rabid de Osmo
elie
You might also like
- Her Body and Other Parties: StoriesFrom EverandHer Body and Other Parties: StoriesRating: 4 out of 5 stars4/5 (821)
- The Sympathizer: A Novel (Pulitzer Prize for Fiction)From EverandThe Sympathizer: A Novel (Pulitzer Prize for Fiction)Rating: 4.5 out of 5 stars4.5/5 (122)
- Devil in the Grove: Thurgood Marshall, the Groveland Boys, and the Dawn of a New AmericaFrom EverandDevil in the Grove: Thurgood Marshall, the Groveland Boys, and the Dawn of a New AmericaRating: 4.5 out of 5 stars4.5/5 (266)
- Team of Rivals: The Political Genius of Abraham LincolnFrom EverandTeam of Rivals: The Political Genius of Abraham LincolnRating: 4.5 out of 5 stars4.5/5 (234)
- A Heartbreaking Work Of Staggering Genius: A Memoir Based on a True StoryFrom EverandA Heartbreaking Work Of Staggering Genius: A Memoir Based on a True StoryRating: 3.5 out of 5 stars3.5/5 (231)
- Hidden Figures: The American Dream and the Untold Story of the Black Women Mathematicians Who Helped Win the Space RaceFrom EverandHidden Figures: The American Dream and the Untold Story of the Black Women Mathematicians Who Helped Win the Space RaceRating: 4 out of 5 stars4/5 (897)
- The Unwinding: An Inner History of the New AmericaFrom EverandThe Unwinding: An Inner History of the New AmericaRating: 4 out of 5 stars4/5 (45)
- The Yellow House: A Memoir (2019 National Book Award Winner)From EverandThe Yellow House: A Memoir (2019 National Book Award Winner)Rating: 4 out of 5 stars4/5 (98)
- The Emperor of All Maladies: A Biography of CancerFrom EverandThe Emperor of All Maladies: A Biography of CancerRating: 4.5 out of 5 stars4.5/5 (271)
- The World Is Flat 3.0: A Brief History of the Twenty-first CenturyFrom EverandThe World Is Flat 3.0: A Brief History of the Twenty-first CenturyRating: 3.5 out of 5 stars3.5/5 (2259)
- Shoe Dog: A Memoir by the Creator of NikeFrom EverandShoe Dog: A Memoir by the Creator of NikeRating: 4.5 out of 5 stars4.5/5 (537)
- The Little Book of Hygge: Danish Secrets to Happy LivingFrom EverandThe Little Book of Hygge: Danish Secrets to Happy LivingRating: 3.5 out of 5 stars3.5/5 (401)
- Grit: The Power of Passion and PerseveranceFrom EverandGrit: The Power of Passion and PerseveranceRating: 4 out of 5 stars4/5 (590)
- Elon Musk: Tesla, SpaceX, and the Quest for a Fantastic FutureFrom EverandElon Musk: Tesla, SpaceX, and the Quest for a Fantastic FutureRating: 4.5 out of 5 stars4.5/5 (474)
- On Fire: The (Burning) Case for a Green New DealFrom EverandOn Fire: The (Burning) Case for a Green New DealRating: 4 out of 5 stars4/5 (74)
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeFrom EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeRating: 4 out of 5 stars4/5 (5807)
- The Hard Thing About Hard Things: Building a Business When There Are No Easy AnswersFrom EverandThe Hard Thing About Hard Things: Building a Business When There Are No Easy AnswersRating: 4.5 out of 5 stars4.5/5 (345)
- The Gifts of Imperfection: Let Go of Who You Think You're Supposed to Be and Embrace Who You AreFrom EverandThe Gifts of Imperfection: Let Go of Who You Think You're Supposed to Be and Embrace Who You AreRating: 4 out of 5 stars4/5 (1091)
- Never Split the Difference: Negotiating As If Your Life Depended On ItFrom EverandNever Split the Difference: Negotiating As If Your Life Depended On ItRating: 4.5 out of 5 stars4.5/5 (842)
