You are on page 1of 189

PREMIER MINISTRE Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes dinformation Sous-direction des oprations

Bureau conseil

Expression des Besoins et Identification des Objectifs de Scurit

EBIOS
SECCIN 4 HERRAMIENTAS PARA LA APRECIACION DE LOS RIESGOS SSI

Versin 2 5 de febrero de 2004

51 boulevard de La Tour-Maubourg - 75700 PARIS 07 SP - Tl 01 71 75 84 15 - Fax 01 71 75 84 00

Este documento ha sido realizado por la oficina de consultora de la DCSSI (SGDN / DCSSI / SDO / OCS) en colaboracin con el Club EBIOS Rogamos nos haga llegar sus comentarios y sugerencias a la siguiente direccin (ver formulario de recogida de comentarios que se encuentra al final del compendio): Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes d'information Sous-direction des oprations Bureau Conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP ebios.dcssi@sgdn.pm.gouv.fr

Histrico de las modificaciones


Versin Motivo de la modificacin Situaci n

02/1997 Publicacin de la gua para la expresin de las necesidades e identificacin Validado de los objetivos de seguridad (EBIOS). (1.1) Validado 23/01/2004 Revisin general: por el - Explicaciones y armonizacin con las normas internacionales de Club seguridad y gestin de los riesgos. EBIOS - Identificacin del referencial reglamentario respecto al conjunto de restricciones que deben tenerse en cuenta. - Integracin de los conceptos de hiptesis y normas de seguridad (ISO/IEC 15408) - Transferencia de la seleccin de elementos fundamentales al estudio del sistema correspondiente. - Perfeccionamiento de la elaboracin de la escala de necesidades: los valores que representan los lmites aceptables para el organismo con relacin a impactos personalizados. - Integracin de la determinacin de las necesidades por elemento en la siguiente actividad. - Integracin de la determinacin del modo de explotacin en las hiptesis. Adaptacin de los conceptos a la ISO/IEC 15408: se estudia el origen de las amenazas, es decir, los mtodos de ataque y elementos peligrosos, as como sus caractersticas, que pueden incluir un tipo (natural, humano, ambiental), una causa (accidental, deliberada, , recursos disponibles, pericia, motivacin), un potencial de ataque. - Identificacin de los mtodos de ataque no considerados. - Formalizacin de las amenazas, segn la orientacin de la ISO/IEC 15408 (elemento peligroso, ataque y bien, en forma de entidades), antes de la confrontacin con las necesidades de seguridad. - Modificacin de la confrontacin de las amenazas con las necesidades, que permite identificar los riesgos. - Identificacin de los riesgos no considerados. - Integracin de la determinacin de los objetivos de seguridad mnimos en las actividades de formalizacin de los objetivos de seguridad, y determinacin de los requerimientos funcionales. - Modificacin de la determinacin de los objetivos de seguridad, que toma en cuenta las hiptesis, las normas de la poltica de seguridad, las restricciones, el referencial reglamentario y los riesgos. - Incorporacin de la determinacin de los niveles de seguridad, que permite determinar el nivel de los objetivos de seguridad (especialmente en funcin de los potenciales de ataque) y elegir un nivel de aseguramiento. - Incorporacin de la determinacin de los requerimientos de seguridad funcionales, que permite determinar los requerimientos funcionales que cubren los objetivos de seguridad y presentar esta cobertura. - Incorporacin de la identificacin de los requerimientos de seguridad del aseguramiento, que permiten determinar los eventuales requerimientos de aseguramiento.Mejoras formales, ajustes y correcciones menores (gramtica, ortografa, redaccin, presentaciones, coherencia...) 05/02/2004 Publicacin de la versin 2 de la gua EBIOS Validado

ndice
SECCIN 1 INTRODUCCIN (documento aparte) SECCIN 2 PROCEDIMIENTO (documento aparte) SECCIN 3 TCNICAS (documento aparte) SECCIN 4 HERRAMIENTAS PARA LA APRECIACIN DE LOS RIESGOS SSI 1 2 INTRODUCCIN....................................................................................................................................... 6 TIPOS Y SUBTIPOS DE ENTIDADES.................................................................................................... 7 2.1 2.1.1 2.1.2 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.3 2.3.1 2.3.2 2.3.3 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.5 2.5.1 2.5.2 2.6 2.6.1 2.6.2 2.6.3 2.6.4 2.7 2.7.1 2.7.2 2.7.3 2.7.4 2.7.5 3 MAT : HARDWARE .............................................................................................................................. 7 MAT_ACT : Soporte de procesamiento de datos (activo) .................................................. 7 MAT_PAS : Soporte de datos (pasivo) .................................................................................. 8 LOG : SOFTWARE.............................................................................................................................. 10 LOG_APP : Aplicacin profesional....................................................................................... 10 LOG_OS : Sistema operativo ................................................................................................ 11 LOG_SRV : Software de servicio, mantenimiento o gestin............................................. 11 LOG_STD : Paquete de programas o software estndar ................................................. 11 RES : RED .......................................................................................................................................... 13 RES_INF : Medios y soportes ............................................................................................... 13 RES_REL : Repetidor pasivo o activo .................................................................................. 13 RES_INT : Interfaz de comunicacin ................................................................................... 13 PER : PERSONAL ............................................................................................................................... 15 PER_DEC : Nivel de toma de decisiones............................................................................ 15 PER_UTI : Usuarios ............................................................................................................... 15 PER_EXP : Operador del sistema Mantenimiento.......................................................... 15 PER_DEV : Desarrollador...................................................................................................... 16 PHY : ESTABLECIMIENTO .................................................................................................................. 17 PHY_LIE : Lugares................................................................................................................. 17 PHY_SRV : Servicio esencial ................................................................................................ 18 ORG : ORGANIZACIN ....................................................................................................................... 20 ORG_DEP : Organizacin de la cual depende el organismo........................................... 20 ORG_GEN : Organizacin del organismo ........................................................................... 20 ORG_PRO : Organizacin de un proyecto o sistema........................................................ 20 ORG_EXT : Subcontratistas - Proveedores - Industriales ................................................ 21 SYS : SISTEMA .................................................................................................................................. 22 SYS_INT : Dispositivo de acceso a Internet........................................................................ 22 SYS_MES : Correo electrnico .............................................................................................. 22 SYS_ITR : Intranet.................................................................................................................... 22 SYS_ANU : Directorio de la empresa ................................................................................... 23 SYS_WEB : Portal externo ..................................................................................................... 23

METODOS DE ATAQUE Y ELEMENTOS PELIGROSOS GENERICOS ...................................... 24 TEMA 1 SINIESTROS FISICOS .......................................................................................................................... 26 TEMA 2 HECHOS NATURALES ........................................................................................................................ 29 TEMA 3 PERDIDA DE SERVICIOS ESENCIALES ................................................................................................. 32 TEMA 4 PERTURBACIONES PROVOCADAS POR LAS RADIACIONES................................................................... 34 TEMA 5 COMPROMISO DE LOS DATOS ............................................................................................................ 36 TEMA 6 FALLAS TECNICAS ............................................................................................................................. 42 TEMA 7 ACCIONES ILCITAS ........................................................................................................................... 45 TEMA 8 COMPROMISO DE LAS FUNCIONES ..................................................................................................... 48

VULNERABILIDADES GENERICAS................................................................................................... 51

4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15 4.16 4.17 4.18 4.19 4.20 4.21 4.22 4.23 4.24 4.25 4.26 4.27 4.28 4.29 4.30 4.31 4.32 4.33 4.34 4.35 4.36 4.37 4.38 4.39 4.40 4.41 4.42

INCENDIO........................................................................................................................................ 51 PERJUICIOS OCASIONADOS POR EL AGUA......................................................................... 54 CONTAMINACIN.......................................................................................................................... 57 SINIESTRO MAYOR ...................................................................................................................... 59 DESTRUCCIN DE HARDWARE O DE SOPORTES ............................................................. 61 FENMENO CLIMTICO.............................................................................................................. 64 FENMENO SSMICO................................................................................................................... 66 FENMENO DE ORIGEN VOLCNICO..................................................................................... 68 FENMENO METEOROLGICO................................................................................................ 70 INUNDACIN .................................................................................................................................. 72 FALLAS EN LA CLIMATIZACIN ................................................................................................ 74 PRDIDA DE SUMINISTRO DE ENERGA ............................................................................... 76 PRDIDA DE LOS MEDIOS DE TELECOMUNICACIN ........................................................ 78 EMISIONES ELECTROMAGNTICAS ....................................................................................... 80 RADIACIONES TRMICAS .......................................................................................................... 82 IMPULSOS ELECTROMAGNTICOS ........................................................................................ 84 INTERCEPTACIN DE SEALES PARSITAS COMPROMETEDORAS ........................... 86 ESPIONAJE A DISTANCIA ........................................................................................................... 89 ESCUCHA PASIVA ........................................................................................................................ 92 ROBO DE SOPORTES O DOCUMENTOS ................................................................................ 96 ROBO DE HARDWARE................................................................................................................. 99 RECUPERACIN DE SOPORTES RECICLADOS O DESECHADOS................................ 102 DIVULGACIN .............................................................................................................................. 105 INFORMACIN SIN GARANTA DEL ORIGEN ...................................................................... 109 SABOTAJE DEL HARDWARE.................................................................................................... 113 ALTERACIN DE PROGRAMAS .............................................................................................. 116 GEOLOCALIZACIN ................................................................................................................... 122 AVERA DEL HARDWARE.......................................................................................................... 124 FALLA DE FUNCIONAMIENTO DEL HARDWARE ................................................................ 127 SATURACIN DEL SISTEMA INFORMTICO ....................................................................... 130 FALLA DE FUNCIONAMIENTO DEL SOFTWARE................................................................. 134 PERJUICIO A LA MANTENIBILIDAD DEL SISTEMA DE INFORMACIN......................... 138 USO ILCITO DEL HARDWARE................................................................................................. 144 COPIA ILEGAL DE SOFTWARE................................................................................................ 148 USO DE SOFTWARE FALSIFICADO O COPIADO................................................................ 152 ALTERACIN DE DATOS........................................................................................................... 155 TRATAMIENTO ILCITO DE LOS DATOS ............................................................................... 161 ERROR DE USO........................................................................................................................... 165 ABUSO DE DERECHO................................................................................................................ 170 USURPACIN DE DERECHO ................................................................................................... 174 NEGACIN DE ACCIONES........................................................................................................ 180 DAO A LA DISPONIBILIDAD DEL PERSONAL.................................................................... 185

FORMULARIO DE RECOGIDA DE COMENTARIOS ............................................................................. 188

SECCIN 5 HERRAMIENTAS PARA EL TRATAMIENTO DE LOS RIESGOS SSI (DOCUMENTO APARTE)

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

1 Introduccin
El mtodo EBIOS1 est formado por cinco secciones complementarias. Seccin 1 Introduccin Esta seccin presenta el contexto, el inters y el posicionamiento del procedimiento EBIOS. Contiene tambin una bibliografa, un glosario y acrnimos. Seccin 2 Procedimiento Esta seccin explica el desarrollo de las actividades del mtodo. Seccin 3 Tcnicas Esta seccin propone medios para realizar las actividades del mtodo. Ser conveniente adaptar estas tcnicas a las necesidades y prcticas del organismo. Seccin 4 Herramientas para la apreciacin de los riesgos SSI Esta seccin constituye la primera parte de la base de conocimientos del mtodo EBIOS (tipos de entidades, mtodos de ataques, vulnerabilidades). Seccin 5 Herramientas para el tratamiento de los riesgos SSI Esta seccin constituye la segunda parte de la base de conocimientos del mtodo EBIOS (objetivos de seguridad, requerimientos de seguridad, cuadros de determinacin de los objetivos y requerimientos de seguridad funcionales). El presente documento constituye la cuarta seccin del mtodo. Presenta: - una tipologa de los tipos y subtipos de entidades, - una tipologa de los mtodos de ataque que se describen en funcin de los elementos peligrosos que pueden utilizarlos, - una base de vulnerabilidades organizada por mtodo de ataque que incluye una lista de los tipos y subtipos de entidades involucrados.

EBIOS es una marca registrada de la Secretara General de Defensa Nacional de Francia. Pgina 6 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

2 Tipos y subtipos de entidades


2.1 MAT : Hardware
MAT: Hardware Tipo Descripcin MAT: Hardware Descripcin: ------------------El tipo hardware est constituido por el conjunto de los elementos fsicos de un sistema informtico.

2.1.1
Tipo

MAT_ACT : Soporte de procesamiento de datos (activo)


MAT_ACT: Soporte de procesamiento de datos (activo) Descripcin: ------------------Equipo informtico de tratamiento automtico de datos que incluye los circuitos necesarios para su funcionamiento autnomo. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------MAT: Hardware El tipo hardware est formado por el conjunto de los elementos fsicos de un sistema informtico.

MAT_ACT: Soporte de procesamiento de datos (activo) Descripcin

MAT_ACT.1: Hardware porttil Tipo Descripcin MAT_ACT.1: Hardware porttil Descripcin: ------------------Hardware informtico diseado para poder ser transportado manualmente con el fin de utilizarlo en lugares diferentes. Ejemplos: ------------------Microordenador porttil, PDA. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------MAT: Hardware El tipo hardware est formado por el conjunto de los elementos fsicos de un sistema informtico. MAT_ACT: Soporte de tratamiento de datos (activo) Equipo informtico de tratamiento automtico de datos que incluye los circuitos necesarios para su funcionamiento autnomo. MAT_ACT.2: Hardware fijo Tipo Descripcin MAT_ACT.2: Hardware fijo Descripcin: ------------------Hardware informtico que pertenece al organismo o que es utilizado en los locales del organismo. Ejemplos : ------------------Servidor, microordenador utilizado como estacin de trabajo.

Pgina 7 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos y subtipos de entidades afiliadas: ------------------------------------------------------MAT: Hardware El tipo hardware est formado por el conjunto de los elementos fsicos de un sistema informtico. MAT_ACT: Soporte de procesamiento de datos (activo) Equipo informtico de tratamiento automtico de datos que incluye los circuitos necesarios para su funcionamiento autnomo. MAT_ACT.3: Perifrico de procesamiento Tipo Descripcin MAT_ACT.3: Perifrico de procesamiento Descripcin: ------------------Hardware conectado a un ordenador mediante un puerto de comunicacin (serie, paralelo, USB...) para la recepcin, la transmisin o la emisin de datos. Ejemplos: ------------------Impresora, reproductor de discos extrable. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------MAT: Hardware El tipo hardware est formado por el conjunto de los elementos fsicos de un sistema informtico. MAT_ACT: Soporte de procesamiento de datos (activo) Equipo informtico de tratamiento automtico de datos que incluye los circuitos necesarios para su funcionamiento autnomo.

2.1.2
Tipo

MAT_PAS : Soporte de datos (pasivo)


MAT_PAS: Soporte de datos (pasivo) Descripcin: ------------------Se trata de soportes de almacenamiento de datos o de funciones. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------MAT: Hardware El tipo hardware est formado por el conjunto de los elementos fsicos de un sistema informtico.

MAT_PAS: Soporte de datos (pasivo) Descripcin

MAT_PAS.1: Soporte electrnico Tipo Descripcin MAT_PAS.1: Soporte electrnico Descripcin: ------------------Soporte informtico conectado a un ordenador o a una red informtica para el almacenamiento de datos. Susceptible de almacenar un gran volumen de datos sin modificar su pequeo tamao. Se utiliza a partir de equipo informtico estndar. Ejemplos: ------------------Disquete, CD-ROM, cartucho para respaldo de datos, disco duro extrable, llave de memoria, cinta magntica. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------MAT: Hardware El tipo hardware est formado por el conjunto de los elementos fsicos de un Pgina 8 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 sistema informtico. MAT_PAS: Soporte de datos (pasivo) Se trata de soportes de almacenamiento de datos o de funciones. MAT_PAS.2: Otros soportes Tipo Descripcin MAT_PAS.2: Otros soportes Descripcin: ------------------Soporte esttico no electrnico que contiene datos. Ejemplos: ------------------Papel, diapositiva, transparencia, documentacin, fax. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------MAT: Hardware El tipo hardware est formado por el conjunto de los elementos fsicos de un sistema informtico. MAT_PAS: Soporte de datos (pasivo) Se trata de soportes de almacenamiento de datos o de funciones.

Pgina 9 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

2.2 LOG : Software


LOG: Software Tipo Descripcin LOG: Software Descripcin: ------------------El tipo software est formado por el conjunto de programas que intervienen en el funcionamiento de un conjunto de procesos de tratamiento de la informacin.

2.2.1
Tipo

LOG_APP : Aplicacin profesional


LOG_APP: Aplicacin profesional Tipos y subtipos de entidades afiliadas: ------------------------------------------------------------LOG: Software El tipo software est formado por el conjunto de programas que intervienen en el funcionamiento de un conjunto de procesos de tratamiento de la informacin.

LOG_APP: Aplicacin profesional Descripcin

LOG_APP.1: Aplicacin profesional estndar Tipo Descripcin LOG_APP.1: Aplicacin profesional estndar Descripcin: ------------------Se trata de programas disponibles en el mercado cuya finalidad es brindar directamente a los usuarios los servicios y funciones que esperan recibir de su sistema de informacin en el marco de su profesin. Los mbitos de aplicacin son mltiples y, por definicin, ilimitados. Ejemplos: ------------------Software de contabilidad, software controlador de mquina herramienta, software de atencin al cliente, software de gestin de conocimientos tcnicos del personal, software de procedimientos administrativos remotos... Tipos y subtipos de entidades afiliadas: -----------------------------------------------------------LOG: Software El tipo software est formado por el conjunto de programas que intervienen en el funcionamiento de un conjunto de procesos de tratamiento de la informacin. LOG_APP: Aplicacin profesional LOG_APP.2 : Aplicacin profesional especfica Tipo Descripcin LOG_APP.2 : Aplicacin profesional especfica Descripcin : Se trata de desarrollos especficos (lo que influye especialmente en los aspectos de soporte, mantenimiento, evoluciones) cuya finalidad es brindar directamente a los usuarios, los servicios y funciones que esperan recibir de su sistema de informacin en el marco de su profesin. Los mbitos de aplicacin son mltiples y, por definicin, ilimitados. Ejemplos : Gestin de facturacin a clientes de un prestador de servicios de telecomunicacin, aplicacin de seguimiento en tiempo real de lanzamientos de cohetes. Tipos y subtipos de entidades afiliadas : LOG : Software Pgina 10 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 El tipo software est formado por el conjunto de programas que intervienen en el funcionamiento de un conjunto de procesos de tratamiento de la informacin. LOG_APP : Aplicacin profesional

2.2.2
Tipo

LOG_OS : Sistema operativo


LOG_OS : Sistema operativo Descripcin : Esta denominacin comprende todos los programas de un ordenador que constituyen la base operativa sobre la cual se ejecutarn todos los otros programas (servicios o aplicaciones). Incluye un ncleo y funciones o servicios bsicos. Dependiendo de su arquitectura, un sistema operativo puede ser monoltico o puede estar formado por un microncleo y un conjunto de mdulos del sistema. El sistema operativo abarca principalmente todos los servicios de gestin del hardware (CPU, memoria, discos, perifricos e interfaces redes), los servicios de gestin de tareas o procesos y los servicios de gestin de usuarios y de sus derechos. Ejemplos: GCOS, MVS, Solaris, Linux, Windows 95, Windows 2000, Windows XP, PalmOS, WCX, MacOS. Tipos y subtipos de entidades afiliadas : LOG : Software El tipo software est formado por el conjunto de programas que intervienen en el funcionamiento de un conjunto de procesos de tratamiento de la informacin.

LOG_OS : Sistema operativo Descripcin

2.2.3
Tipo

LOG_SRV : Software de servicio, mantenimiento o gestin


LOG_SRV : Software de servicio, mantenimiento o gestin Descripcin : Software que se caracteriza por el hecho de que completa los servicios del sistema operativo y que no est al servicio directo de los usuarios o de las aplicaciones (aunque a menudo es esencial o an indispensable para el funcionamiento global del SI). Ejemplos: GCOS, MVS, Solaris, Linux, Windows 95, Windows 2000, Windows XP, PalmOS, WCX, MacOS. Tipos y subtipos de entidades afiliadas : LOG : Software El tipo software est formado por el conjunto de programas que intervienen en el funcionamiento de un conjunto de procesos de tratamiento de la informacin.

LOG_SRV : Software de servicio, mantenimiento o gestin Descripcin

2.2.4
Tipo

LOG_STD : Paquete de programas o software estndar


LOG_STD : Paquete de programas o software estndar Descripcin : El software estndar o paquete de programas es un producto comercializado como tal (y no como desarrollo nico o especfico) con soporte, versin y mantenimiento. Presta un servicio genrico a los usuarios y a las aplicaciones pero no es personalizado o especfico como la aplicacin Pgina 11 de 189

LOG_STD : Paquete de programas o software estndar Descripcin

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 profesional. Ejemplos : Software de gestin de base de datos, software de correo electrnico, software de colaboracin, software de directorio, software de tipo servidor web(Oracle, DB2, IIS, Apache, Lotus Notes, Exchange, OpenLDAP). Tipos y subtipos de entidades afiliadas : LOG : Software El tipo software est formado por el conjunto de programas que intervienen en el funcionamiento de un conjunto de procesos de tratamiento de la informacin.

Pgina 12 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

2.3 RES : Red


RES: Red Tipo Descripcin RES: Red Descripcin: El tipo red est formado por el conjunto de dispositivos de telecomunicacin que permiten la interconexin de varios ordenadores o componentes de un sistema de informacin fsicamente alejados.

2.3.1
Tipo

RES_INF : Medios y soportes


RES_INF : Medios y soportes Descripcin : Los medios o soportes de comunicacin y telecomunicacin pueden caracterizarse principalmente por las caractersticas fsicas y tcnicas del soporte (punto a punto, difusin) y por los protocolos de comunicacin (enlace o red capas 2 y 3 del modelo OSI de 7 capas). Ejemplos : RTC, Ethernet, GigabitEthernet, cable, fibra, ADSL sobre par de cobre, WiFi 802.11, BlueTooth, FireWire. Tipos y subtipos de entidades afiliadas : RES : Red El tipo red est formado por el conjunto de dispositivos de telecomunicacin que permiten la interconexin de varios ordenadores o componentes de un sistema de informacin fsicamente alejados.

RES_INF : Medios y soportes Descripcin

2.3.2
Tipo

RES_REL : Repetidor pasivo o activo


RES_REL : Repetidor pasivo o activo Descripcin : Este subtipo abarca todos los dispositivos que no son terminaciones lgicas de las comunicaciones (visin SI) sino intermediarios o repetidores. Dichos repetidores incluyen hardware pero tambin software especfico. Se caracterizan por los protocolos de comunicacin red- soportados. A menudo abarcan, adems del simple repetidor, funciones y servicios de encaminamiento (punto de conmutacin de las comunicaciones) y/o filtrado (filtros en los enrutadores). Frecuentemente se administran en forma remota y a veces son capaces de generar trazas (registros). Ejemplos : Puente, enrutador, concentrador, switch, conmutador automtico. Tipos y subtipos de entidades afiliadas : RES : Red El tipo red est formado por el conjunto de dispositivos de telecomunicacin que permiten la interconexin de varios ordenadores o componentes de un sistema de informacin fsicamente alejados.

RES_REL : Repetidor pasivo o activo Descripcin

2.3.3
Tipo

RES_INT : Interfaz de comunicacin


RES_INT : Interfaz de comunicacin Pgina 13 de 189

RES_INT : Interfaz de comunicacin

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Descripcin Descripcin : Las interfaces de comunicacin de las unidades de tratamiento. Estn vinculadas con la red, pero se caracterizan por los medios de comunicacin y por los protocolos soportados, por las eventuales funciones y capacidades de filtrado, de generacin de registros o de alertas y por la posibilidad y la necesidad de administracin en forma remota. Ejemplos : Adaptador WiFi, GPRS, Ethernet. Tipos y subtipos de entidades afiliadas : RES : Red El tipo red est formado por el conjunto de dispositivos de telecomunicacin que permiten la interconexin de varios ordenadores o componentes de un sistema de informacin fsicamente alejados.

Pgina 14 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

2.4 PER : Personal


PER: Personal Tipo Descripcin PER: Personal Descripcin : El tipo personal est formado por el conjunto de grupos de individuos vinculados con el sistema de informacin.

2.4.1
Tipo

PER_DEC : Nivel de toma de decisiones


PER_DEC : Nivel de toma de decisiones Descripcin : Son los propietarios de los elementos esenciales (informacin y funciones) y los responsables jerrquicos en el seno de la organizacin o en el marco de un proyecto especfico. Ejemplos : Direccin general, jefe de proyecto. Tipos y subtipos de entidades afiliadas : PER : Personal El tipo personal est formado por el conjunto de grupos de individuos vinculados con el sistema de informacin.

PER_DEC : Nivel de toma de decisiones Descripcin

2.4.2
Tipo

PER_UTI : Usuarios
PER_UTI: Usuarios Descripcin : Es el personal que manipula elementos delicados en el marco de su actividad y que tiene una responsabilidad particular en ese tema. Puede disponer de privilegios particulares de acceso al sistema de informacin para cumplir con sus tareas cotidianas. Ejemplos : Direccin de Recursos Humanos, Direccin Financiera, gestor de riesgos. Tipos y subtipos de entidades afiliadas : PER : Personal El tipo personal est formado por el conjunto de grupos de individuos vinculados con el sistema de informacin.

PER_UTI: Usuarios Descripcin

2.4.3
Tipo

PER_EXP : Operador del sistema Mantenimiento


PER_EXP: Operador del sistema Mantenimiento Descripcin: Es el personal encargado del funcionamiento y del mantenimiento del sistema de informacin. Dispone de privilegios particulares de acceso al sistema de informacin para asegurar sus tareas cotidianas. Ejemplos : Administrador del sistema, administrador de la base de datos, operador de respaldo de datos, servicio de asistencia tcnica, desarrollador de aplicaciones, agentes de seguridad. Pgina 15 de 189

PER_EXP: Operador del sistema Mantenimiento Descripcin

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos y subtipos de entidades afiliadas : PER : Personal El tipo personal est formado por el conjunto de grupos de individuos vinculados con el sistema de informacin.

2.4.4
Tipo

PER_DEV : Desarrollador
PER_DEV: Desarrollador Descripcin : Es el personal encargado del desarrollo de las aplicaciones en el organismo. Accede a una parte del sistema de informacin con privilegios avanzados pero no acta sobre los datos de produccin. Ejemplos : Desarrolladores de aplicaciones profesionales. Tipos y subtipos de entidades afiliadas : PER : Personal El tipo personal est formado por el conjunto de grupos de individuos vinculados con el sistema de informacin.

PER_DEV: Desarrollador Descripcin

Pgina 16 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

2.5 PHY : Establecimiento


PHY: Standort Tipo Descripcin PHY: Establecimiento Descripcin: ------------------El tipo establecimiento est formado por el conjunto de lugares que contienen todo o parte del sistema y los medios fsicos necesarios para su funcionamiento.

2.5.1
Tipo

PHY_LIE : Lugares
PHY_LIE: Lugares Descripcin : Permetros, barreras fsicas.

PHY_LIE: Lugares Descripcin

PHY_LIE.1 : Entorno externo Tipo Descripcin PHY_LIE.1 : Entorno externo Descripcin : Se trata de todos los lugares en los cuales los medios de seguridad del organismo no pueden ser aplicados. Ejemplos : Domicilio del personal, instalaciones de otro organismo, entorno externo al establecimiento (zona urbana, zona de riesgo). Tipos y subtipos de entidades afiliadas : PHY : Establecimiento El tipo establecimiento est formado por el conjunto de lugares que contienen todo o parte del sistema y los medios fsicos necesarios para su funcionamiento. PHY_LIE : Lugares Permetros, barreras fsicas. PHY_LIE.2: Locales Tipo Descripcin PHY_LIE.2: Locales Descripcin: ------------------Dicho lugar est delimitado por el permetro del organismo directamente en contacto con el exterior. Puede tratarse de un permetro de proteccin fsica que se obtiene creando barreras fsicas o medios de vigilancia en torno a los edificios. Ejemplos: ------------------Establecimientos, edificios. Tipos y subtipos de entidades afiliadas: -----------------------------------------------------------PHY: Establecimiento El tipo establecimiento est formado por el conjunto de lugares que contienen todo o parte del sistema y los medios fsicos necesarios para su funcionamiento. PHY_LIE: Lugares Permetros, barreras fsicas.

Pgina 17 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_LIE.3: Zona Tipo Descripcin PHY_LIE.3: Zona Descripcin : Se trata de un permetro de proteccin fsica que propone un cercado de las instalaciones en el organismo. Se obtiene creando barreras fsicas en torno a infraestructuras de tratamiento de la informacin del organismo. Ejemplos : Oficinas, zona de acceso reservado, zona protegida. Tipos y subtipos de entidades afiliadas : PHY : Establecimiento El tipo establecimiento est formado por el conjunto de lugares que contienen todo o parte del sistema y los medios fsicos necesarios para su funcionamiento. PHY_LIE : Lugares Permetros, barreras fsicas.

2.5.2
Tipo

PHY_SRV : Servicio esencial


PHY_SRV: Servicio esencial Descripcin: Conjunto de servicios necesarios para el funcionamiento del hardware en el organismo. Tipos y subtipos de entidades afiliadas: PHY: Establecimiento El tipo establecimiento est formado por el conjunto de lugares que contienen todo o parte del sistema y los medios fsicos necesarios para su funcionamiento.

PHY_SRV: Servicio esencial Descripcin

PHY_SRV.1 : Comunicacin Tipo Descripcin PHY_SRV.1 : Comunicacin Descripcin : Servicios y equipo de telecomunicaciones brindados por un prestador. Ejemplos : Lnea telefnica, centralita, redes telefnicas internas. Tipos y subtipos de entidades afiliadas : PHY : Establecimiento El tipo establecimiento est formado por el conjunto de lugares que contienen todo o parte del sistema y los medios fsicos necesarios para su funcionamiento. PHY_SRV: Servicio esencial Conjunto de servicios necesarios para el funcionamiento del hardware en el organismo. PHY_SRV.2: Energa Tipo Descripcin PHY_SRV.2: Energa Descripcin: ------------------Servicios y medios (fuentes de energa y cableado) necesarios para la alimentacin elctrica del hardware y los perifricos. Ejemplos: ------------------Lneas de baja tensin, inversor, entrada de la red elctrica. Pgina 18 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos y subtipos de entidades afiliadas: ------------------------------------------------------PHY: Establecimiento El tipo establecimiento est formado por el conjunto de lugares que contienen todo o parte del sistema y los medios fsicos necesarios para su funcionamiento. PHY_SRV: Servicio esencial Conjunto de servicios necesarios para el funcionamiento del hardware en el organismo. PHY_SRV.3: Refrigeracin - Contaminacin Tipo Descripcin PHY_SRV.3: Refrigeracin - Contaminacin Descripcin: ------------------Servicios y medios (material, tubera) para refrigeracin y purificacin del aire. Ejemplos: ------------------Tubera de agua helada, sistemas de aire acondicionado. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------PHY: Establecimiento El tipo establecimiento est formado por el conjunto de lugares que contienen todo o parte del sistema y los medios fsicos necesarios para su funcionamiento. PHY_SRV: Servicio esencial Conjunto de servicios necesarios para el funcionamiento del hardware en el organismo.

Pgina 19 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

2.6 ORG : Organizacin


ORG: Organizacin Tipo Descripcin ORG: Organizacin Descripcin: ------------------El tipo organizacin describe el marco organizacional, formado por todas las estructuras de personal afectadas a una tarea y los procedimientos que regulan dichas estructuras.

2.6.1
Tipo

ORG_DEP : Organizacin de la cual depende el organismo


ORG_DEP: Organizacin de la cual depende el organismo Descripcin: ------------------Se trata de organizaciones de las cuales depende el organismo estudiado, ya sea que est jurdicamente vinculado con ellas o que sea externo a las mismas. El organismo estudiado est restringido, en trminos de reglamentacin, en cuanto a las decisiones, acciones o envo de informes. Ejemplos: ------------------Institucin de tutela, sede de un organismo, Tribunal de Cuentas. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------ORG El tipo organizacin describe el marco organizacional, formado por todas las estructuras de personal afectadas a una tarea y los procedimientos que regulan dichas estructuras.

ORG_DEP: Organizacin de la cual depende el organismo Descripcin

2.6.2
Tipo

ORG_GEN : Organizacin del organismo


ORG_GEN: Organizacin del organismo Descripcin: ------------------Se trata de las distintas ramas del organismo subordinadas a su direccin, incluyendo sus actividades transversales. Ejemplos: ---------------Direccin de Recursos Humanos, Direccin Informtica, Direccin de Compras, Direcciones Profesionales, Departamento de Seguridad de los Edificios, Departamento de Lucha Contra Incendios, Direccin de Auditoras. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------ORG El tipo organizacin describe el marco organizacional, formado por todas las estructuras de personal afectadas a una tarea y los procedimientos que regulan dichas estructuras.

ORG_GEN: Organizacin del organismo Descripcin

2.6.3
Tipo

ORG_PRO : Organizacin de un proyecto o sistema


ORG_PRO: Organizacin de un proyecto o sistema Pgina 20 de 189

ORG_PRO: Organizacin de un proyecto o sistema

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Descripcin Descripcin: ------------------Se trata de la organizacin implementada para un proyecto o un servicio particular. Ejemplos: ------------------Organizacin del proyecto de desarrollo de una nueva aplicacin, proyecto de migracin del sistema de informacin. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------ORG El tipo organizacin describe el marco organizacional, formado por todas las estructuras de personal afectadas a una tarea y los procedimientos que regulan dichas estructuras.

2.6.4
Tipo

ORG_EXT : Subcontratistas - Proveedores - Industriales


ORG_EXT: Subcontratistas - Proveedores - Industriales Descripcin: ------------------Organizacin que brinda al organismo un servicio o recursos y que est vinculada a ste por contrato. Ejemplos: ------------------Empresa de gestin informtica externalizada, empresa de externalizacin, empresa consultara. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------------ORG El tipo organizacin describe el marco organizacional, formado por toda la estructura del personal afectado a una tarea y los procedimientos que regulan dicha estructura.

ORG_EXT: Subcontratistas - Proveedores - Industriales Descripcin

Pgina 21 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

2.7 SYS : Sistema


SYS: Sistema Tipo Descripcin SYS: Sistema Descripcin: ------------------El tipo sistema est formado por el conjunto de instalaciones especficas vinculadas con las tecnologas de la informacin, con un objetivo particular y un entorno operativo. Est compuesto por diversas entidades que pertenecen a los otros tipos arriba descritos.

2.7.1
Tipo

SYS_INT : Dispositivo de acceso a Internet


SYS_INT: Dispositivo de acceso a Internet Descripcin: ------------------Dispositivo que realiza la interconexin entre la red del organismo y la red Internet y que ofrece los servicios de acceso desde o hacia Internet. Ejemplos: ------------------Dispositivo de filtrado, DMZ, pasarelas. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------SYS: Sistema El tipo sistema est formado por el conjunto de instalaciones especficas vinculadas con las tecnologas de la informacin, con un objetivo particular y un entorno operativo. Est compuesto por diversas entidades que pertenecen a los otros tipos arriba descritos.

SYS_INT: Dispositivo de acceso a Internet Descripcin

2.7.2
Tipo

SYS_MES : Correo electrnico


SYS_MES: Correo electrnico Descripcin: ------------------Dispositivo que permite, a los usuarios habilitados, el ingreso, la consulta diferida y la transmisin de documentos informticos o de mensajes electrnicos, a partir de ordenadores conectados en red. Ejemplos: ------------------Correo electrnico interno, correo electrnico va web. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------------SYS: Sistema El tipo sistema est formado por el conjunto de instalaciones especficas vinculadas con las tecnologas de la informacin, con un objetivo particular y un entorno operativo. Est compuesto por diversas entidades que pertenecen a los otros tipos arriba descritos.

SYS_MES: Correo electrnico Descripcin

2.7.3
Tipo

SYS_ITR : Intranet
SYS_ITR: Intranet Pgina 22 de 189

SYS_ITR: Intranet

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Descripcin Descripcin: ------------------Datos y servicios informticos compartidos y privados, que utilizan los protocolos y tecnologas de comunicacin (por ejemplo, tecnologa de Internet). Ejemplos: ------------------Servicio de informacin interna. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------SYS: Sistema El tipo sistema est formado por el conjunto de instalaciones especficas vinculadas con las tecnologas de la informacin, con un objetivo particular y un entorno operativo. Est compuesto por diversas entidades que pertenecen a los otros tipos arriba descritos.

2.7.4
Tipo

SYS_ANU : Directorio de la empresa


SYS_ANU: Directorio de la empresa Descripcin: ------------------Dispositivo de gestin y de acceso a una base de datos que describe al personal de la empresa y sus caractersticas. Ejemplos: ------------------Gestin de los derechos sobre las aplicaciones. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------SYS: Sistema El tipo sistema est formado por el conjunto de instalaciones especficas vinculadas con las tecnologas de la informacin, con un objetivo particular y un entorno operativo. Est compuesto por diversas entidades que pertenecen a los otros tipos arriba descritos.

SYS_ANU: Directorio de la empresa Descripcin

2.7.5
Tipo

SYS_WEB : Portal externo


SYS_WEB: Portal externo Descripcin: ------------------Un portal externo es un punto de acceso que encontrar o utilizar un usuario cuando busque informacin o un servicio del organismo. Los portales brindan un gran abanico de recursos y de servicios. Ejemplos: ------------------Portal de informacin, portal para teleactividades, sitio de comercio electrnico. Tipos y subtipos de entidades afiliadas: ------------------------------------------------------SYS: Sistema El tipo sistema est formado por el conjunto de instalaciones especficas vinculadas con las tecnologas de la informacin, con un objetivo particular y un entorno operativo. Est compuesto por diversas entidades que pertenecen a los otros tipos arriba descritos.

SYS_WEB: Portal externo Descripcin

Pgina 23 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

3 Mtodos de ataque y elementos peligrosos genricos


El siguiente cuadro presenta los mtodos de ataque con sus principales alcances sobre los criterios de seguridad. Los mtodos de ataque se clasifican en funcin de un tema representativo (sin embargo, estos mtodos podran encontrarse al mismo tiempo en varios temas diferentes). Mtodos de ataque 1 - Siniestros fsicos 01 - INCENDIO 02 - PERJUICIOS OCASIONADOS POR EL AGUA 03 - CONTAMINACIN 04 - SINIESTRO MAYOR 05 - DESTRUCCIN DE HARDWARE O DE SOPORTES 2 - Hechos naturales 06 - FENMENO CLIMTICO 07 - FENMENO SSMICO 08 - FENMENO DE ORIGEN VOLCNICO 09 - FENMENO METEOROLGICO 10 - INUNDACIN 3 - Prdida de servicios esenciales 11- FALLAS EN LA CLIMATIZACIN 12 - PRDIDA DE SUMINISTRO DE ENERGA 13 PRDIDA DE TELECOMUNICACIN LOS MEDIOS DE X X X X X X X X X X X X X X X X X X X X X X X Confidencialidad Disponibilidad Integridad

4 - Perturbaciones provocadas por las radiaciones 14 - EMISIONES ELECTROMAGNTICAS 15- RADIACIONES TRMICAS 16 - IMPULSOS ELECTROMAGNTICOS 5 - Compromiso de los datos 17 - INTERCEPTACIN DE SEALES PARSITAS COMPROMETEDORAS 18 - ESPIONAJE A DISTANCIA 19 - ESCUCHA PASIVA 20 - ROBO DE SOPORTES O DOCUMENTOS 21 - ROBO DE HARDWARE 22 RECUPERACIN DE RECICLADOS O DESECHADOS 23 - DIVULGACIN 24 - INFORMACIN SIN GARANTA DEL ORIGEN 25 - SABOTAJE DEL HARDWARE 26 - ALTERACIN DE PROGRAMAS 27 - GEOLOCALIZACIN 6 - Fallas tcnicas 28 - AVERA DEL HARDWARE 29 - FALLA HARDWARE DE FUNCIONAMIENTO DEL X X Pgina 24 de 189 X X X X X SOPORTES X X X X X X X X X X X X X X X X X X

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 30 - SATURACIN DEL SISTEMA INFORMTICO 31 - FALLA SOFTWARE DE FUNCIONAMIENTO DEL X X X X

32 - PERJUICIO A LA MANTENIBILIDAD DEL SISTEMA DE INFORMACIN 7 - Acciones ilcitas 33 - USO ILCITO DEL HARDWARE 34 - COPIA ILEGAL DE SOFTWARE 35 - USO DE SOFTWARE FALSIFICADO O COPIADO 36 - ALTERACIN DE DATOS 37 - TRATAMIENTO ILCITO DE LOS DATOS 8 - Compromiso de las funciones 38 - ERROR DE USO 39 - ABUSO DE DERECHO 40 - USURPACIN DE DERECHO 41 - NEGACIN DE ACCIONES 42 - DAO A LA DISPONIBILIDAD DEL PERSONAL X X X X X X X

X X

X X X X

X X X X

Los mtodos de ataque se describen en funcin de los elementos peligrosos que pueden utilizarlos.

Pgina 25 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

Tema 1 Siniestros fsicos


01 - INCENDIO Descripcin Tipo -------Natural - Humano - Ambiental. Causa accidental -----------------------------Concentracin de materiales inflamables o explosivos en un ambiente cerrado, que se prenden fuego debido a un hecho externo o un accidente interno. Ejemplos --------------Rayo, incendio de una papelera, cortocircuito. Causa deliberada ---------------------------Terroristas, vndalos que acceden a los bienes para provocar directa o indirectamente (bombas incendiarias, alteracin de los dispositivos de ventilacin el incendio) del material inflamable o explosivo. Ejemplos --------------Huelguista que accede a los locales del organismo (por ejemplo, a travs de las ventanas de la sala informtica) para dejar all un dispositivo incendiario. Tipo de consecuencias -----------------------------------Destruccin del bien. Atentado contra la seguridad de las personas. Prdidas financieras. Perturbacin del funcionamiento interno. Criterios afectados Integridad Disponibilidad

02 - PERJUICIOS OCASIONADOS POR EL AGUA Descripcin Tipo -------Natural - Humano - Ambiental. Causa accidental -----------------------------Inundacin que se debe a una prdida o una ruptura de la tubera. Ejemplos --------------Prdidas de los equipos de aire acondicionado, prdida que proviene del bao situado en el piso superior, mangueras contra incendios que se ha dejado abiertas. Causa deliberada ------------------------Terroristas, vndalos que acceden al bien para provocar la inundacin de los locales del organismo. Ejemplos --------------Ruptura deliberada de la tubera, activacin de sistemas de extincin o simplemente, materiales mojados. Pgina 26 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipo de consecuencias -----------------------------------Destruccin o falta de disponibilidad temporaria de un bien. Prdidas financieras. Alteracin del funcionamiento interno. Criterios afectados Integridad Disponibilidad

03 - CONTAMINACIN Descripcin Tipo -------Natural - Humano - Ambiental. Causa accidental -----------------------------Presencia de polvo, vapor, gases corrosivos o txicos en el aire. Ejemplos ---------------Gases de escape en una zona de intensa circulacin. Causa deliberada ---------------------------Contaminacin voluntaria del aire que altera el funcionamiento de los equipos de aire acondicionado o colocacin de un foco de contaminacin dentro de los locales. Ejemplos --------------Acceso malicioso y colocacin, en los conductos de aireacin, de calefaccin o de aire acondicionado, de un producto contaminante. Tipo de consecuencias -----------------------------------Destruccin de un bien. Atentado contra la seguridad de las personas. Disponibilidad de personal operativo. Criterios afectados Integridad Disponibilidad

04 - SINIESTRO MAYOR Descripcin Tipo -------Natural - Ambiental. Causa accidental -----------------------------Hecho externo o siniestro vinculado con el entorno natural o industrial cercano a los bienes y que puede afectarlos fsicamente en forma muy importante. Ejemplos --------------Explosin de establecimientos industriales situados en las cercanas, derrumbes de terreno, maremotos, cadas de aeronaves, mviles daados o destruidos como consecuencia de una colisin. Causa deliberada ------------------------Hecho externo o siniestro vinculado con una accin de vandalismo o de terrorismo cercana a los bienes y que puede afectarlos fsicamente en forma Pgina 27 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 muy importante. Ejemplos --------------Explosin de establecimientos industriales situados en las cercanas, derrumbes de terreno, cadas de aeronaves, mviles daados o destruidos como consecuencia de una colisin. Tipo de consecuencias -----------------------------------Destruccin de un bien. Atentado contra la seguridad de las personas. Prdidas financieras. Interrupcin del funcionamiento. Criterios afectados Integridad Disponibilidad

05 - DESTRUCCIN DE HARDWARE O DE SOPORTES Descripcin Tipo -------Humano. Causa accidental -----------------------------Negligencia o hecho accidental que provoca la destruccin de un hardware o de un soporte. Ejemplos --------------Negligencia en la que se ha incurrido durante el transporte del hardware. Almacenamiento de soportes de archivo en malas condiciones ambientales. Daos causados por un animal. Derrame de alimentos o de bebidas sobre el hardware. Causa deliberada ------------------------Persona que accede al hardware y que provoca su destruccin. Ejemplos --------------Destruccin de una mquina y de sus copias de seguridad (cartucho). Tipo de consecuencias -----------------------------------Prdida de datos. Prdidas financieras vinculadas con el valor del equipo destruido. Falta de disponibilidad del equipo. Criterios afectados Integridad Disponibilidad

Pgina 28 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

Tema 2 Hechos naturales


06 - FENMENO CLIMTICO Descripcin Tipo -------Natural. Causa accidental -----------------------------Condiciones climticas particulares (cerca de los lmites de funcionamiento del hardware). Ejemplos --------------Establecimiento ubicado en una zona geogrficamente sensible con condiciones extremas de calor, fro, humedad, viento y sequa. Tipo de consecuencias -----------------------------------Destruccin de un bien o interrupcin temporaria de su funcionamiento. Criterios afectados Integridad Disponibilidad

07 - FENMENO SSMICO Descripcin Tipo -------Natural. Causa accidental -----------------------------Sacudida ssmica o temblor que provoca vibraciones extremas o desencadena una catstrofe (maremoto). Ejemplos --------------Establecimiento que aloja el sistema de informacin situado en una zona geogrfica ocurren frecuentes movimientos ssmicos. Tipo de consecuencias -----------------------------------Destruccin de un bien. Atentado contra la seguridad de las personas. Criterios afectados Integridad Disponibilidad

08 - FENMENO DE ORIGEN VOLCNICO Descripcin Tipo -------Natural. Causa accidental -----------------------------Erupcin volcnica que provoca vibraciones o desencadena otra catstrofe (maremoto). Ejemplos --------------Establecimiento que aloja el sistema de informacin situado en una zona geogrfica considerada como volcnica (fenmeno intermitente, los perodos de Pgina 29 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 actividad volcnica alternan con perodos de calma que pueden ser muy largos). Tipo de consecuencias -----------------------------------Destruccin de un bien. Atentado contra la seguridad de las personas. Criterios afectados Integridad Disponibilidad

09 - FENMENO METEOROLGICO Descripcin Tipo -------Natural - Humano. Causa accidental -----------------------------Perturbacin atmosfrica puntual que ocasiona condiciones climticas extremas. Ejemplos ---------------Temporales, huracanes, ciclones, granizo, rayos, avalanchas. Causa deliberada -------------------------Un saboteador accede a los dispositivos de proteccin contra rayos. Ejemplos --------------Desconexin de la descarga a tierra, cortocircuito en los descargadores de sobretensin, desplazamiento de los dispositivos. Tipo de consecuencias -----------------------------------Destruccin de un bien. Atentado contra la seguridad de las personas. Criterios afectados 10 - INUNDACIN Descripcin Tipo -------Natural. Causa accidental -----------------------------Ro, corriente o napa subterrnea que provoca una inundacin de los terrenos cercanos en forma peridica o excepcionalmente. Ejemplos ---------------El establecimiento puede estar situado en una zona anegadiza y sufrir inundaciones debido a la cercana de un ro, o bien sufrir las consecuencias de dicha inundacin an encontrndose alejado (derrumbe del terreno). Tipo de consecuencias -----------------------------------Destruccin de un bien. Atentado contra la seguridad de las personas. Prdidas financieras. Criterios afectados Integridad Pgina 30 de 189 Integridad Disponibilidad

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Disponibilidad

Pgina 31 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

Tema 3 Prdida de servicios esenciales


11- FALLAS EN LA CLIMATIZACIN Descripcin Tipo -------Humano - Ambiental. Causa accidental -----------------------------Un desperfecto, una interrupcin o la insuficiencia del servicio de climatizacin pueden acarrear interrupciones de servicio, fallas de funcionamiento o incluso averas de los bienes que requieren refrigeracin y ventilacin. Ejemplos --------------Falta de mantenimiento de los equipos de aire acondicionado, dimensionamiento inadecuado de dicho equipamiento, interrupcin del suministro de agua por parte del proveedor. Causa deliberada -------------------------Una persona puede sabotear los elementos necesarios para el buen funcionamiento del dispositivo de climatizacin (interrupcin del aprovisionamiento de agua o de energa elctrica, destruccin del dispositivo). Ejemplos --------------Interrupcin de la climatizacin, interrupcin del aprovisionamiento de agua. Tipo de consecuencias -----------------------------------Alteracin de bienes. Criterios afectados Disponibilidad

12 - PRDIDA DE SUMINISTRO DE ENERGA Descripcin Tipo -------Humano - Ambiental. Causa accidental -----------------------------Corte, interrupcin o dimensionamiento inadecuado del suministro de energa de los bienes que proporcionados por el proveedor del servicio o de los dispositivos internos de distribucin. Ejemplos --------------Interrupcin del servicio de la empresa proveedora de electricidad por huelgas, inconvenientes tcnicos, trabajos en curso. Problemas o dimensionamiento inadecuado de la central elctrica interna o de la red elctrica auxiliar cuando existen dichas instalaciones. Conexin no prevista de equipos de gran potencia a la red auxiliar, lo que provoca una insuficiencia de los equipos de emergencia. Problemas de mantenimiento o envejecimiento de las bateras del inversor. Corte accidental de cables internos o externos. Interrupcin del aprovisionamiento de agua (problema del proveedor, anomala interna como, por ejemplo, alguna negligencia). Causa deliberada ------------------------Pgina 32 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Sabotaje o perturbacin de la instalacin elctrica por parte de una persona que accede a los dispositivos (entrada de lnea, transformador de baja tensin, inversor...). Ejemplos --------------Corte voluntario de los cables de la instalacin del proveedor de energa elctrica, interrupcin voluntaria del aprovisionamiento de agua. Tipo de consecuencias -----------------------------------Interrupcin temporaria del servicio elctrico, del servicio de climatizacin. Criterios afectados Disponibilidad

13 - PRDIDA DE LOS MEDIOS DE TELECOMUNICACIN Descripcin Tipo -------Humano - Ambiental. Causa accidental -----------------------------Perturbacin, interrupcin o dimensionamiento inadecuado de los servicios de telecomunicacin (telfono, accesos a Internet, red Internet). Ejemplos --------------Huelgas, hecho exterior excepcional que provoca la saturacin de las comunicaciones. Causa deliberada ------------------------Sabotaje o perturbacin de la instalacin de servicios de telecomunicacin por parte de una persona que accede a los dispositivos de telecomunicaciones (cabecera de lnea, centralita, repartidor, cables externos...). Ejemplos --------------Corte voluntario de los cables de telecomunicacin, destruccin de una central de telecomunicacin externa, saturacin voluntaria del ancho de banda del proveedor. Tipo de consecuencias -----------------------------------Interrupcin de corta o larga duracin de los servicios de telecomunicacin. Prdidas financieras. Criterios afectados Disponibilidad

Pgina 33 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

Tema 4 Perturbaciones provocadas por las radiaciones


14 - EMISIONES ELECTROMAGNTICAS Descripcin Tipo -------Humano - Ambiental. Causa accidental -----------------------------Perturbaciones electromagnticas vinculadas con un equipo interno o externo. Ejemplos ---------------Radar, antena de radio, central elctrica, mquina de mecanizado. Causa deliberada ------------------------Persona que utiliza las seales parsitas emitidas para interferir o saturar las comunicaciones o para perturbar el funcionamiento de los aparatos. Ejemplos --------------Interferencia de comunicacin WiFi. Tipo de consecuencias -----------------------------------Alteracin de la visualizacin de los monitores catdicos, interferencia en las comunicaciones. Alteracin, perturbacin de funcionamiento. Criterios afectados Integridad Disponibilidad

15- RADIACIONES TRMICAS Descripcin Tipo -------Humano - Natural - Ambiental. Causa accidental -----------------------------Efecto trmico provocado por un siniestro o por condiciones meteorolgicas excepcionales. Ejemplos --------------Incendio de bosque que provoca que el hardware se encuentre en condiciones ambientales que exceden sus lmites de funcionamiento. Causa deliberada ------------------------Dispositivo que provoca un efecto trmico y que acarrea fallas en el funcionamiento del hardware o su destruccin. Ejemplos --------------Colocacin de desechos nucleares cerca del sistema de informacin, explosin termonuclear. Tipo de consecuencias -----------------------------------Falla de funcionamiento o destruccin del hardware. Pgina 34 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Atentado contra la seguridad de las personas. Prdidas financieras. Criterios afectados Integridad Disponibilidad

16 - IMPULSOS ELECTROMAGNTICOS Descripcin Tipo -------Ambiental. Causa accidental -----------------------------Siniestro que provoca un efecto electromagntico excepcional. Ejemplos --------------Accidente industrial cerca del establecimiento. Causa deliberada ------------------------Impulsos electromagnticos de origen nuclear. Ejemplos ---------------Bombas. Tipo de consecuencias -----------------------------------Destruccin del bien. Prdidas financieras. Criterios afectados Integridad Disponibilidad

Pgina 35 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

Tema 5 Compromiso de los datos


17 - INTERCEPTACIN DE SEALES PARSITAS COMPROMETEDORAS Descripcin Tipo -------Humano. Causa deliberada ------------------------Seales parsitas de origen electromagntico emitidas por el hardware (por conduccin a travs de los cables de suministro elctrico o de las conexiones a masa, o por emisin en espacios abiertos). La captura de dichas seales depende de la distancia existente hasta el equipo al que se apunta o de la posibilidad de conectarse al cableado o a cualquier otro conductor que pase cerca (fenmeno de acoplamiento). Ejemplos ---------------Espa o pirata que intercepta y registra seales electromagnticas con ayuda de sensores y de hardware electrnico a travs de las tuberas. Espa o pirata que intercepta o registra seales electromagnticas que provienen de la emisin de video de un puesto informtico. Tipo de consecuencias -----------------------------------Divulgacin de las comunicaciones o de los procesos. Criterios afectados Confidencialidad

18 - ESPIONAJE A DISTANCIA Descripcin Tipo -------Humano. Causa deliberada -------------------------Acciones del personal que pueden ser observadas en forma remota. Ejemplos --------------Observacin visual con o sin medio ptico, por ejemplo, observacin de un usuario que ingresa un cdigo o una contrasea en un teclado. Tipo de consecuencias -----------------------------------Intrusin. Usurpacin de identidad. Criterios afectados Integridad Confidencialidad Disponibilidad

19 - ESCUCHA PASIVA Descripcin Tipo -------Humano. Causa deliberada ------------------------Persona conectada a los equipos o a los soportes de comunicacin o ubicada dentro del permetro de alcance de la emisin de una comunicacin. Utiliza Pgina 36 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 algunos medios, que pueden ser costosos, para escuchar, copiar y analizar la informacin transmitida (voz o datos). Ejemplos --------------La interceptacin puede centrarse en seales de tipo hertziano o por canales. La interceptacin se realiza mediante sensores (por ejemplo, para el tipo hertziano, una antena). sta puede tener lugar en comunicaciones por infrarrojo. En el caso de un medio cableado, se puede utilizar un equipo ya conectado a la red (por ejemplo, estacin de trabajo situada en una red local), para almacenar y analizar los datos transmitidos (por ejemplo, datos que se intercambian con un servidor). Muchos aparatos comerciales facilitan los anlisis y permiten interpretar en tiempo real las tramas, cualesquiera sean los protocolos de comunicacin Tipo de consecuencias -----------------------------------Divulgacin de la informacin que circula en un soporte de comunicacin. Criterios afectados Confidencialidad

20 - ROBO DE SOPORTES O DOCUMENTOS Descripcin Tipo -------Humano. Causa deliberada ------------------------Persona perteneciente o ajena al organismo que accede al soporte digital o a documentos en papel con el fin de robar y aprovechar los datos que all se encuentran. Ejemplos --------------Robo de disquetes, CD-ROM, cartuchos, cintas de respaldo. Robo de documentacin, notas, planos, informes. Robo de impresiones dejadas momentneamente en impresoras ubicadas en ambientes compartidos. Bsqueda en papeleros, basureros dejados en la va pblica. Tipo de consecuencias -----------------------------------Divulgacin de informacin (patrimonio, contrasea). Criterios afectados Confidencialidad

21 - ROBO DE HARDWARE Descripcin Tipo -------Humano. Causa deliberada -------------------------Persona perteneciente o ajena al organismo que tiene acceso al hardware, ubicado en el organismo o fuera de l, con un objetivo de lucro o estratgico. Ejemplos ---------------Robo de microordenador porttil para revender el hardware, robo de un PDA (asistente personal digital) para utilizar su contenido. Tipo de consecuencias Pgina 37 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 -----------------------------------Falta de disponibilidad de datos y/o funciones (por ejemplo, equipo porttil dedicado para el mantenimiento). Divulgacin de datos almacenados por el equipo (por ejemplo: contrasea, parte del patrimonio de informacin). Prdidas financieras. Criterios afectados Confidencialidad Disponibilidad

22 - RECUPERACIN DE SOPORTES RECICLADOS O DESECHADOS Descripcin Tipo -------Humano Causa accidental -----------------------------Recuperacin de soportes electrnicos (discos duros, disquetes, cartuchos para respaldo, llaves USB, disquetes ZIP, discos duros extrables...) o papel (listados impresos, impresiones incompletas, mensajes...) destinados al reciclado y que contienen datos recuperables. Ejemplo -------------Reciclado de ordenadores cuyos discos duros no han sido formateados y que han sido destinados a otros usuarios del mismo organismo, de escuelas, de otros organismos. Reutilizacin de papeles como borradores dentro o fuera del organismo. Causa deliberada -------------------------Recuperacin de soportes electrnicos (discos duros, disquetes, cartuchos de respaldo, llaves USB, disquetes ZIP, discos duros extrables...) o papel (listados impresos, impresiones incompletas, mensajes...) destinados a la destruccin y que contienen datos recuperables. Ejemplo -------------Bsqueda en papeleros, basureros dejados en la va pblica. Tipo de consecuencias -----------------------------------Prdida de imagen de marca. Divulgacin de informacin. Criterios afectados 23 - DIVULGACIN Descripcin Tipo -------Humano. Causa accidental -----------------------------Persona perteneciente al organismo que, por negligencia, divulga informacin a otras personas dentro del organismo o a terceros que tienen necesidad de conocerla (generalmente, las consecuencias son ms importantes cuando la informacin se divulga fuera del organismo). Ejemplos --------------Error de destinatarios durante el envo de mensajes. Respuesta a peticiones sin verificar el origen de stas (pedido malicioso de Pgina 38 de 189 Confidencialidad

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 contraseas). Desconocimiento de las normas de difusin de la informacin que se aplican en el organismo. Negligencia cometida en la definicin de las normas de control de acceso a la informacin compartida. Incumplimiento de las normas elementales de discrecin (discusin o lectura de documentos en lugares pblicos). Causa deliberada ------------------------Persona que, concientemente, divulga informacin dentro del organismo o a terceros que no tienen necesidad de conocerla (generalmente, las consecuencias son ms importantes cuando la informacin se divulga fuera del organismo). Ejemplos --------------Persona que, por venganza, difunde informacin confidencial a travs de el correo electrnico. Persona que divulga informacin ya que considera que la posesin de informacin delicada le da cierto poder sobre los dems. Difusin de informacin a un tercero bajo presin de chantaje. Usufructo financiero de informacin industrial o comercial (espionaje industrial). Tipo de consecuencias -----------------------------------Violacin de la privacidad de los usuarios. Divulgacin del patrimonio de informacin. Prdidas financieras. Criterios afectados Confidencialidad

24 - INFORMACIN SIN GARANTA DEL ORIGEN Descripcin Tipo -------Humano. Causa accidental -----------------------------Recepcin y uso, en el sistema de informacin del organismo, de datos errneos o de hardware no adaptado que proviene de fuentes externas. Ejemplos --------------Informaciones que provienen de un foro de discusin. Descarga de actualizaciones en sitios de Internet que no pertenecen al editor correspondiente. Informacin recibida sin identificacin o autenticacin de su emisor, por ejemplo, recepcin de correo electrnico enviado con una identificacin genrica de una empresa (soporte@empresa.com). Causa deliberada ------------------------Persona que enva informacin falsa, destinada a ser incorporada al sistema de informacin, para desinformar al destinatario y daar la fiabilidad del sistema o la validez de sus datos. Ejemplos --------------Transmisin de bromas ("mensajes falsos en cadena") a travs del correo electrnico. Persona que enva datos hacindose pasar por la fuente legtima. Pgina 39 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipo de consecuencias -----------------------------------Alteracin de datos, incluso de procesos. Consumo intil de recursos humanos. Prdida de la imagen de marca. Criterios afectados Integridad Disponibilidad

25 - SABOTAJE DEL HARDWARE Descripcin Tipo -------Humano. Causa deliberada ------------------------Persona que accede a un soporte de comunicacin o a un equipo para colocar all un mecanismo de interceptacin o de destruccin. Ejemplos ---------------Insercin de una tarjeta en un microordenador durante el transporte de ste. Colocacin de un micrfono en un equipo. Desviacin de circuitos de comunicacin de voz o datos. Sabotaje de una funcin de un hardware de proteccin para inutilizarlo y llevar a cabo un ataque. Tipo de consecuencias -----------------------------------Divulgacin de informacin fuera del organismo. Destruccin del hardware durante un perodo crtico. Ineficacia de una funcin de proteccin. Criterios afectados Confidencialidad

26 - ALTERACIN DE PROGRAMAS Descripcin Tipo -------Humano - Ambiental. Causa accidental -----------------------------Accin involuntaria realizada con medios lgicos desde dentro o fuera del organismo y que provocan la alteracin o la destruccin de programas o datos, con el objetivo de alterar el buen funcionamiento del recurso o de ejecutar comandos en nombre de los usuarios y sin que stos se enteren. Ejemplos ---------------Usuario que conecta a la red un microordenador porttil infectado con un virus, introducido durante un intercambio con otro organismo. Usuario del sistema de informacin que recibe un gusano desde fuera del organismo y lo propaga, sin saberlo, dentro de ste. Causa deliberada -------------------------El agresor introduce un programa o determinados comandos para modificar el comportamiento de un software o agregar un servicio ilcito a un sistema operativo. Dicho elemento peligroso puede actuar durante las fases de diseo, preproduccin, fabricacin, uso, transporte o mantenimiento del sistema de informacin. Ejemplos Pgina 40 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 ---------------Persona que hace ejecutar a un usuario un programa que simula una accin lcita pero que contiene funciones escondidas capaces de afectar la poltica de seguridad (troyano). Bomba lgica que se agrega a un programa con el fin de insertar all un comando, asociada generalmente a algo que la desencadena (fecha, hecho contextual) y que ejecuta una accin ilcita. Tipo de consecuencias -----------------------------------Intrusin. Alteracin del funcionamiento. Destruccin de datos. Alteracin de programas. Criterios afectados Integridad Confidencialidad Disponibilidad

27 - GEOLOCALIZACIN Descripcin Tipo -------Humano. Causa deliberada ------------------------Persona que tiene acceso a medios que permiten localizar a un usuario del sistema de informacin. Ejemplos ---------------Acceso a los registros de entrada/salida. Acceso a los pedidos de pasajes. Utilizacin de antenas a las cuales se conectan los telfonos mviles cuando estn en funcionamiento, con el fin de localizar a una persona. Tipo de consecuencias -----------------------------------Uso de la informacin para llevar a cabo ataques orientados. Criterios afectados Confidencialidad

Pgina 41 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

Tema 6 Fallas tcnicas


28 - AVERA DEL HARDWARE Descripcin Tipo -------Humano - Natural. Causa accidental -----------------------------Hecho que provoca el fallo de un hardware. Ejemplos --------------Desgaste, envejecimiento, falta de mantenimiento o uso incorrecto (por ejemplo, dimensionamiento inadecuado, uso fuera de los lmites de funcionamiento) que provoca un funcionamiento no conforme. Tipo de consecuencias -----------------------------------Falta de disponibilidad de un equipo. Alteracin o prdida de datos. Criterios afectados Disponibilidad

29 - FALLA DE FUNCIONAMIENTO DEL HARDWARE Descripcin Tipo -------Humano / Natural. Causa accidental -----------------------------Hecho lgico o fsico que provoca fallas en el funcionamiento del hardware. Ejemplos --------------Incumplimiento de los procedimientos de calificacin de un equipo tras la realizacin de actualizaciones o modificaciones retroactivas. Degradacin involuntaria de un equipo. Uso del hardware en condiciones que exceden los lmites de funcionamiento propios del equipo (temperatura, humedad). Desgaste, envejecimiento del hardware. Tipo de consecuencias -----------------------------------Interrupcin del servicio de un equipo que, por efecto secundario, puede llevar a la falta de disponibilidad del sistema de informacin. Criterios afectados Disponibilidad

30 - SATURACIN DEL SISTEMA INFORMTICO Descripcin Tipo -------Humano. Causa accidental -----------------------------Recurso de tipo hardware, software o red, insuficiente para enfrentar las necesidades de los usuarios. Ejemplos ---------------Pgina 42 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Superacin de las capacidades de almacenamiento (por ejemplo: espacio para copias de seguridad, almacenamiento en buzones de correo electrnico, espacio de trabajo...), por ejemplo, saturacin de un buzn de correo electrnico durante la ausencia prolongada de su propietario. Saturacin vinculada con la enorme demanda de la mquina (mltiples peticiones que deben procesarse en forma simultnea). Dimensionamiento inadecuado de los equipos (inversores, canales de comunicacin...). Causa deliberada -------------------------Persona que simula una necesidad de recurso intenso provocando una interferencia intensa y continua del recurso. Ejemplos ---------------Ejecucin de una gran cantidad de comandos simultneos. Saturacin voluntaria de los espacios destinados al almacenamiento de las trazas de actividades de los sistemas o aplicaciones con miras a enmascarar la realizacin de operaciones ilcitas. Tipo de consecuencias -----------------------------------Interrupcin que provoca la falta de disponibilidad temporaria del servicio. Prdida de informacin. Criterios afectados Disponibilidad

31 - FALLA DE FUNCIONAMIENTO DEL SOFTWARE Descripcin Tipo -------Humano - Ambiental. Causa accidental -----------------------------Error de diseo, error de instalacin o negligencia durante una modificacin que provoca un fallo del software. Ejemplos ---------------Error de implementacin que acarrea un procesamiento inadecuado de los datos delimitados. Instalacin de software que provoca efectos de lmite. Incumplimiento de los procedimientos de instalacin o de gestin. Negligencia cometida durante las operaciones de mantenimiento. Tipo de consecuencias -----------------------------------Interrupcin de servicio. Alteracin de funcionamiento. Produccin de datos alterados. Criterios afectados Integridad Disponibilidad

32 - PERJUICIO A LA MANTENIBILIDAD DEL SISTEMA DE INFORMACIN Descripcin Tipo -------Humano - Ambiental. Causa accidental -----------------------------Falta de control del sistema que acarrea la imposibilidad de efectuar cualquier Pgina 43 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 modificacin retroactiva o evolucin, por ejemplo, para corregir una anomala, para responder a nuevas necesidades. Ejemplos ---------------Fallo provocado por los proveedores del hardware y del software. Fallos de terceras empresas de mantenimiento de software y hardware, interrupcin de contrato de prestacin de servicios que provoca una falta de capacidad tcnica o de medios para garantizar la evolucin del sistema. Numerosas modificaciones realizadas en el sistema hacen difcil, incluso imposible, su mantenimiento sin correr el riesgo de provocar efectos secundarios tras una modificacin. Causa deliberada ------------------------Persona que obstaculiza, o incluso imposibilita, cualquier actualizacin del sistema. Ejemplos ---------------Persona que, como venganza, no deja ninguna traza ni siquiera de ayuda para el mantenimiento del sistema (volvindolo poco transparente). Tipo de consecuencias -----------------------------------Interrupcin de servicio prolongada. Perjuicio a la seguridad de funcionamiento. Prdidas financieras vinculadas con el cambio de materiales o de proveedores. Criterios afectados Disponibilidad

Pgina 44 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

Tema 7 Acciones ilcitas


33 - USO ILCITO DEL HARDWARE Descripcin Tipo -------Humano. Causa deliberada -------------------------Persona perteneciente o ajena al organismo que tiene acceso al sistema de informacin y que utiliza uno de los servicios para introducirse en l y efectuar operaciones o robar informacin. Ejemplos ---------------Robo de datos de identificacin/autenticacin de un usuario autorizado a fin de arrogarse los derechos para evitar los controles de acceso. Ingreso a zonas protegidas a partir de un acceso autorizado utilizando una falla en los mecanismos de aplicacin para evitar los medios de proteccin. Examen y bsqueda de informacin en datos residuales en soportes electrnicos (fichero de memoria escondido, fragmentos de datos residuales en discos duros, respaldos del entorno de ejecucin -puntos de recuperacin en caso de incidente- que contienen informacin sobre el estado del sistema y pueden ser consultados por un atacante informado. Simulacin del comportamiento de una mquina para engaar a un usuario legtimo y apoderarse de su nombre y de su contrasea. Modificacin o destruccin voluntaria de datos Tipo de consecuencias -----------------------------------Intrusin en el sistema de informacin. Divulgacin de informacin. Criterios afectados Integridad Confidencialidad Disponibilidad

34 - COPIA ILEGAL DE SOFTWARE Descripcin Tipo -------Humano. Causa deliberada -------------------------Persona perteneciente al organismo que realiza copias ilegales "caseras" (llamadas tambin copias piratas) de paquetes de programas o de software. Ejemplos ---------------Copia de software del organismo con un fin ldico, de venganza (difusin va Internet) o lucrativo (venta). Tipo de consecuencias -----------------------------------Prdidas financieras. Dao a la imagen de marca.

Criterios afectados
Descripcin

Confidencialidad

35 - USO DE SOFTWARE FALSIFICADO O COPIADO Tipo Pgina 45 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 -------Humano - Ambiental. Causa accidental -----------------------------Prdida o destruccin de los elementos que prueban la compra de licencias o negligencia cometida en el desarrollo del software al no pagar los derechos correspondientes. Ejemplos ---------------Siniestro que provoca la destruccin de las pruebas de la compra. Imposibilidad de conformar un inventario de las licencias utilizadas. Causa deliberada -------------------------Persona perteneciente al organismo que utiliza un software copiado de manera ilcita. Ejemplos ---------------Copia de software sin licencia para realizar una tarea lcita en el organismo. Tipo de consecuencias -----------------------------------Incumplimiento de la legislacin. Dao a la imagen de marca. Criterios afectados Disponibilidad

36 - ALTERACIN DE DATOS Descripcin Tipo -------Humano. Causa deliberada -------------------------Persona que accede a los medios de comunicacin del sistema de informacin y altera el envo de datos (interceptacin, insercin, destruccin...) o requiere esos accesos hasta encontrar uno autorizado. Ejemplos ---------------Destruccin, insercin, modificacin de mensajes (modificacin de la informacin, reacomodacin de los datos dentro de los mensajes o en la respuesta de dichos mensajes). Rechazo de servicio (mensaje retrasado). Exploracin desde el interior de las direcciones IP hasta encontrar una direccin accesible del sistema de informacin. Tipo de consecuencias -----------------------------------Intrusin. Alteracin de las comunicaciones. Criterios afectados Integridad Confidencialidad

37 - TRATAMIENTO ILCITO DE LOS DATOS Descripcin Tipo -------Humano.

Pgina 46 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Causa deliberada -------------------------Persona que realiza un procesamiento de informacin no autorizado por la legislacin o reglamentacin. Exemples ---------------Constitucin y uso de fichero personal no declarado (gestin ilcita de trazas). Realizacin de operaciones prohibidas en ficheros personales declarados, como, por ejemplo, la comparacin de varios ficheros. Cifrado de datos con fines de confidencialidad utilizando claves largas sin autorizacin previa. Manipulacin ilcita de datos de un ordenador reciclado. Tipo de consecuencias -----------------------------------Violacin de la privacidad de los usuarios. Acciones legales y multas. Criterios afectados Confidencialidad

Pgina 47 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

Tema 8 Compromiso de las funciones


38 - ERROR DE USO Descripcin Tipo -------Humano. Causa accidental -----------------------------Persona que comete un error de manipulacin, de ingreso de datos o de uso del hardware o del software. Ejemplos --------------Prdida de datos como consecuencia de un error en las operaciones de respaldo. Incumplimiento de los procedimientos de instalacin o de mantenimiento. Ingreso de gran cantidad de datos cifrados mediante la consola. Negligencia cometida durante la configuracin de un software de proteccinn. Error en el ingreso de la direccin del destinatario de un correo electrnico. Tipo de consecuencias -----------------------------------Interrupcin de servicio. Alteracin de los datos. Falla de funcionamiento, prdida de la eficacia de los medios de proteccin, introduccin de fallas adicionales Divulgacin involuntaria de datos. Criterios afectados Integridad Confidencialidad Disponibilidad

39 - ABUSO DE DERECHO Descripcin Tipo -------Humano. Causa accidental -----------------------------Persona que posee permisos especiales (administrador de redes, personal informtico...) y que puede modificar las caractersticas de gestin de los recursos sin informar de ello a los usuarios. Ejemplos --------------Creacin de nuevos accesos a los sistemas sin tener en cuenta las necesidades de proteccin de los datos almacenados por los usuarios. Interrupcin del procedimiento de respaldo sin informar de ello a los usuarios. Modificacin de los parmetros de configuracin en servidores, provocando efectos secundarios y fallas de funcionamiento. Causa deliberada ------------------------Persona que accede al sistema para modificar, suprimir y agregar caractersticas de gestin o realizar cualquier otra operacin ilcita que sea posible gracias a la atribucin de dichos derechos. Ejemplos --------------Un administrador cambia las contraseas de los usuarios. Pgina 48 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Personal que realiza mantenimiento del SI modifica el comportamiento de los mecanismos de seguridad para acceder a informacin protegida. Supresin del registro de acontecimientos en los servidores de aplicacin. Tipo de consecuencias -----------------------------------Alteracin de funcionamiento. Divulgacin de informacin. Prdida de informacin. Criterios afectados Integridad Confidencialidad Disponibilidad

40 - USURPACIN DE DERECHO Descripcin Tipo -------Humano. Causa deliberada -------------------------Persona que se hace pasar por otra para utilizar dichos privilegios de acceso al sistema de informacin, desinformar al destinatario, realizar un fraude... Ejemplos ---------------Persona que se hace pasar por un usuario y solicita al administrador un nuevo acceso luego de la prdida de su contrasea. Persona que toma el lugar de un usuario utilizando una sesin que ste ha dejado abierta. Tipo de consecuencias -----------------------------------Intrusin. Criterios afectados Integridad Confidencialidad Disponibilidad

41 - NEGACIN DE ACCIONES Descripcin Tipo -------Humano. Causa deliberada -------------------------Una persona o una entidad niega su participacin en una comunicacin con un tercero o en la realizacin de una operacin. Ejemplos ---------------Persona que niega haber recibido o emitido un mensaje determinado, o que dice haber emitido (o recibido) un mensaje (fichero) diferente, o que pretende no haber realizado nunca determinada operacin. Tipo de consecuencias -----------------------------------Falta de pruebas. Criterios afectados Integridad

42 - DAO A LA DISPONIBILIDAD DEL PERSONAL Descripcin Tipo Pgina 49 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 -------Humano - Ambiental. Causa accidental -----------------------------Ausencia de personal calificado o autorizado como consecuencia de un inconveniente involuntario. Ejemplos ---------------Enfermedad, fallecimiento, huelga de transporte. Causa deliberada -------------------------Ausencia voluntaria de personal calificado o autorizado. Ejemplos --------------Huelgas, feriados no advertidos por el organismo. Tipo de consecuencias -----------------------------------Interrupcin, perturbacin del servicio. Criterios afectados Disponibilidad

Pgina 50 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4 Vulnerabilidades genericas
Las vulnerabilidades se organizan en funcin de los mtodos de ataque y presentan los tipos y subtipos de entidades involucrados. Los subtipos de entidades heredan las vulnerabilidades del tipo de entidad al que corresponden.

4.1 INCENDIO
Ejemplar nico de las licencias Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_APP.2: Aplicacin profesional especfica MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Aplicaciones nicas desarrolladas internamente Tipos de entidades

Falta de hardware de repuesto Tipos de entidades

Hardware que utiliza materiales inflamables (por ej.: impresoras de gran capacidad que ocasionan polvo) Tipos de entidades MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS.1: Soporte electrnico MAT_PAS.2: Otros soportes ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo

Falta de respaldo de los datos contenidos en los soportes Tipos de entidades Soportes originales Tipos de entidades Tipos de entidades Falta de cobertura de seguridad en caso de siniestro grave

No asistencia al establecimiento de los servicios de emergencia (bomberos) Tipos de entidades Tipos de entidades Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Ausencia de clusulas contractuales para el restablecimiento de las actividades, aplicables en caso de crisis declarada en el establecimiento del proveedor Tipos de entidades Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_GEN: Organizacin del organismo Ausencia de instrucciones de seguridad para el personal externo que trabaja dentro del organismo Falta de gestin de los informes de control de los equipos de emergencia Falta de informacin actualizada a la vista con las instrucciones para llamar a los servicios de emergencia Tipos de entidades ORG_GEN: Organizacin del organismo Ausencia de estructura para combatir los incendios (descripcin de los roles, responsabilidades) Pgina 51 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades ORG_GEN: Organizacin del organismo

Falta de seguimiento de los contratos de mantenimiento de los dispositivos de proteccin contra incendios Tipos de entidades Tipos de entidades Tipos de entidades ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.2: Locales PHY_LIE.2: Locales PHY_LIE.2: Locales Ausencia de una estructura de gestin de crisis Desconocimiento de las medidas de seguridad

Falta de pruebas para verificar los procedimientos de reaccin y de informacin en caso de siniestro Tipos de entidades

Falta de concienciacin sobre la proteccin de los dispositivos de seguridad Tipos de entidades Clima social conflictivo Tipos de entidades

Presencia de aberturas que dan a la va pblica (ventanas) Tipos de entidades

Antigedad de los locales Tipos de entidades Tipos de entidades Tipos de entidades Falta de control de acceso al establecimiento o a los locales de ste Falta de aislamiento antifuego Falta de consideracin, durante la fase de instalacin, de los riesgos contra incendios especficos de los equipos alojados Tipos de entidades PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_SRV.3: Refrigeracin - Contaminacin SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet Pgina 52 de 189

Ausencia o dimensionamiento inadecuado del dispositivo automtico de extincin de incendios Tipos de entidades

Falta de mantenimiento de los equipos de aire acondicionado Tipos de entidades Tipos de entidades VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 01 - INCENDIO

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 53 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.2 PERJUICIOS OCASIONADOS POR EL AGUA


Ejemplar nico de las licencias Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_APP.2: Aplicacin profesional especfica MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS.1: Soporte electrnico MAT_PAS.2: Otros soportes ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin ORG_DEP: Organizacin de la cual depende el organismo

Aplicaciones nicas desarrolladas internamente Tipos de entidades

Falta de hardware de repuesto Tipos de entidades

Falta de respaldo de los datos contenidos en los soportes Tipos de entidades Soportes originales Tipos de entidades Tipos de entidades Falta de cobertura de seguridad en caso de siniestro grave

Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Tipos de entidades Ausencia de clusulas contractuales aplicables en caso de crisis declarada del subcontratista o proveedor Tipos de entidades Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_GEN: Organizacin del organismo Ausencia de instrucciones de seguridad para el personal externo que trabaja dentro del organismo Falta de gestin de los informes de control de los equipos de emergencia Falta de informacin actualizada a la vista con las instrucciones para llamar a los servicios de emergencia Tipos de entidades ORG_GEN: Organizacin del organismo Falta de instrucciones de alerta, de reaccin, de informacin en caso de perjuicios ocasionados por el agua (Falta de identificacin de llaves de paso,...) Tipos de entidades Tipos de entidades Tipos de entidades ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema Falta de garanta de buen funcionamiento de los detectores de presencia de agua Falta de estructura de gestin de crisis Ausencia de pruebas para verificar los procedimientos de reaccin y de informacin en caso de siniestro Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Pgina 54 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Desconocimiento de las medidas de seguridad Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PHY_LIE.1: Entorno externo PHY_LIE.2: Locales PHY_LIE.2: Locales PHY_LIE.2: Locales PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_LIE.3: Zona PHY_LIE.3: Zona PHY_LIE.3: Zona PHY_LIE.3: Zona PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_LIE.3: Zona

Falta de concienciacin sobre la proteccin de los dispositivos de seguridad Tipos de entidades Clima social conflictivo Tipos de entidades

Establecimiento ubicado en una zona anegadiza Tipos de entidades Tipos de entidades Tipos de entidades Presencia aspersores Tipos de entidades Tipos de entidades Techos o aberturas no hermticas que dan al exterior Falta de control en los accesos fsicos a los locales Aberturas no hermticas que dan al exterior

Falta de identificacin clara de las llaves de paso del agua Tipos de entidades Acceso no protegido Tipos de entidades Tipos de entidades Aspersores Tipos de entidades Tipos de entidades Tubera de agua cerca de las terminales Tubera de agua cerca de los equipos

Falta de sumidero Tipos de entidades Acceso no protegido a los locales que alojan equipos de produccin o distribucin de los servicios esenciales Tipos de entidades PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.3: Refrigeracin - Contaminacin Pgina 55 de 189

Cableado colocado en el suelo Tipos de entidades

Antigedad de los conductos de refrigeracin Tipos de entidades Tipos de entidades Falta de mantenimiento de los equipos de aire acondicionado

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Falta de llave de paso del agua Tipos de entidades PHY_SRV.3: Refrigeracin - Contaminacin VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 02 - PERJUICIOS OCASIONADOS POR EL AGUA Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 56 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.3 CONTAMINACIN
Ejemplar nico de las licencias Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_APP.2: Aplicacin profesional especfica MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico ORG_DEP: Organizacin de la cual depende el organismo ORG_GEN: Organizacin del organismo

Aplicaciones nicas desarrolladas internamente Tipos de entidades

Soporte sensible a las condiciones de conservacin Tipos de entidades

Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Tipos de entidades Tipos de entidades Falta de seguimiento de los contratos de mantenimiento Falta de determinacin de las medidas que deben adoptarse en caso de interrupcin del servicio de climatizacin Tipos de entidades ORG_GEN: Organizacin del organismo Ausencia de pruebas para verificar los procedimientos de reaccin y de informacin en caso de siniestro Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PHY_LIE.2: Locales PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.3: Refrigeracin - Contaminacin

Desconocimiento de las medidas de seguridad Tipos de entidades

Falta de concienciacin sobre la proteccin de los equipos de seguridad Tipos de entidades Clima social conflictivo Tipos de entidades

Proximidad de fuentes de contaminacin (ruido, humo, vapor...) Tipos de entidades

Atmsfera contaminada (hangar, taller...) Tipos de entidades Tipos de entidades Tipos de entidades Falta de mantenimiento de los equipos de aire acondicionado Falta de hardware redundante correctamente dimensionado Antigedad de los filtros de climatizacin Pgina 57 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades Tipos de entidades PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.3: Refrigeracin - Contaminacin SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Acceso no protegido a los equipos VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 03 - CONTAMINACIN

Pgina 58 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.4 SINIESTRO MAYOR


Ejemplar nico de las licencias Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_APP.2: Aplicacin profesional especfica MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS.1: Soporte electrnico MAT_PAS.2: Otros soportes ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo

Aplicaciones nicas desarrolladas internamente Tipos de entidades

Falta de hardware de repuesto Tipos de entidades

Falta de respaldo de los datos contenidos en los soportes Tipos de entidades Soportes originales Tipos de entidades Tipos de entidades Tipos de entidades Falta de servicio de emergencia cercano al organismo Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Ausencia de clusulas contractuales aplicables en caso de crisis declarada de subcontratistas o proveedores Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales Falta de informacin actualizada a la vista con las instrucciones para llamar a los servicios de emergencia Tipos de entidades Tipos de entidades ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PHY_LIE.1: Entorno externo PHY_LIE.1: Entorno externo PHY_SRV: Servicio esencial Pgina 59 de 189 Falta de cobertura de seguridad en caso de siniestro grave

Falta de estructura de gestin de crisis Tipos de entidades

Desconocimiento de las medidas de seguridad Tipos de entidades

Falta de procedimientos de gestin de situaciones de emergencia Tipos de entidades

Posibilidades de destruccin causada por un hecho externo (colisiones, atentados) Tipos de entidades Tipos de entidades Tipos de entidades Proximidad de actividad industrial o establecimiento de riesgo Locales donde los riesgos de explosin/implosin no han sido tenidos en cuenta

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_LIE.2: Locales VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 04 - SINIESTRO MAYOR Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 60 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.5 DESTRUCCIN DE HARDWARE O DE SOPORTES


Ejemplar nico de las licencias Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_APP.2: Aplicacin profesional especfica MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico

Aplicaciones nicas desarrolladas internamente Tipos de entidades

Falta de hardware de repuesto Tipos de entidades

Fragilidad del hardware Tipos de entidades

Hardware accesible a otras personas que no sean los propietarios (ej.: ubicado en un lugar de paso) Tipos de entidades

Soporte accesible a otras personas que no sean los propietarios Tipos de entidades

Falta de procedimiento de archivado Tipos de entidades

Fragilidad de los soportes Tipos de entidades

Ausencia de medidas de conservacin de los archivos adaptadas a los plazos de conservacin (antigedad de las cintas magnticas, desgaste del CD-ROM) Tipos de entidades MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS.1: Soporte electrnico MAT_PAS.2: Otros soportes ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

Falta de respaldo de los datos contenidos en los soportes Tipos de entidades Soportes originales Tipos de entidades Tipos de entidades Tipos de entidades Falta de instrucciones para el personal externo que trabaja dentro del organismo Falta de cobertura de seguridad en caso de destruccin de hardware

Ausencia de normas para el uso y el almacenamiento de hardware y de soportes informticos (condiciones de proteccin durante el transporte de los mismos, prohibicin de fumar...) Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema Pgina 61 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 ORG_GEN: Organizacin del organismo Desconocimiento de las medidas de seguridad Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador

Clima social conflictivo Tipos de entidades

Falta de concienciacin sobre la proteccin fsica de los equipos Tipos de entidades

Falta de control de acceso al establecimiento o a los locales o posibilidad de ingresar por accesos indirectos Tipos de entidades PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE.3: Zona RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red RES_INF: Medios y soportes RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin

Acceso fsico no protegido a los locales donde hay hardware o soportes Tipos de entidades

Soportes accesibles a personas no autorizadas Tipos de entidades

Soportes bajo tierra no identificados Tipos de entidades Tipos de entidades Fragilidad de los equipos Tipos de entidades Equipo accesible a personas no autorizadas

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 05 - DESTRUCCIN DEL HARDWARE O DE SOPORTES Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares Pgina 62 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 63 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.6 FENMENO CLIMTICO


Condiciones de uso que exceden los lmites de funcionamiento del hardware Tipos de entidades MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo

Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Tipos de entidades Tipos de entidades Falta de servicio de emergencia cercano al organismo Ausencia de clusulas contractuales aplicables en caso de crisis declarada de subcontratistas o proveedores Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Ausencia de instrucciones (alerta, prevencin, reaccin...)

Desconocimiento de las medidas de seguridad Tipos de entidades

Ausencia de pruebas para verificar los procedimientos de reaccin y de informacin en caso de siniestro Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.3: Zona PHY_LIE.2: Locales

Falta de medios de ventilacin o de climatizacin en perodo estival excesivo calor Tipos de entidades

Falta de consideracin de las condiciones climticas para la construccin de los locales Tipos de entidades

Soporte o equipo no previsto para resistir a condiciones extremas (de humedad, de temperatura o de perturbaciones fsicas) Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo Pgina 64 de 189

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 06 - FENMENO CLIMTICO Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 65 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.7 FENMENO SSMICO


Hardware sensible a las vibraciones Tipos de entidades MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo

Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Tipos de entidades Tipos de entidades Falta de servicio de emergencia cercano al organismo Ausencia de clusulas contractuales aplicables en caso de crisis declarada de subcontratistas o proveedores Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Ausencia de instrucciones (alerta, prevencin, reaccin...)

Desconocimiento de las medidas de seguridad Tipos de entidades

Ausencia de pruebas para verificar los procedimientos de reaccin y de informacin en caso de siniestro Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PHY_LIE.2: Locales

Falta de consideracin de los riesgos ssmicos para la construccin de edificios Tipos de entidades Soporte o equipo no previsto para resistir a condiciones extremas (de humedad, de temperatura o de perturbaciones fsicas) Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales Pgina 66 de 189

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 07 - FENMENO SSMICO Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 67 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.8 FENMENO DE ORIGEN VOLCNICO


Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo Falta de servicio de emergencia cercano al organismo Ausencia de clusulas contractuales aplicables en caso de crisis declarada de subcontratistas o proveedores Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Falta de instrucciones (alerta, prevencin, reaccin...)

Desconocimiento de las medidas de seguridad Tipos de entidades

Ausencia de pruebas para verificar los procedimientos de reaccin y de informacin en caso de siniestro Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PHY_LIE.1: Entorno externo PHY_LIE.2: Locales

Establecimiento reputado como de riesgo Tipos de entidades Tipos de entidades Falta de consideracin de los riesgos ssmicos para la construccin de edificios Soporte o equipo no previsto para resistir a condiciones extremas (de humedad, de temperatura o de perturbaciones fsicas) Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 08 - FENMENO VOLCNICO Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo Pgina 68 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 69 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.9 FENMENO METEOROLGICO


Condiciones de uso que exceden los lmites de funcionamiento del hardware Tipos de entidades MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo

Falta de servicio de emergencia cercano al organismo Tipos de entidades Tipos de entidades Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Ausencia de clusulas contractuales aplicables en caso de crisis declarada de subcontratistas o proveedores Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Ausencia de instrucciones (alerta, prevencin, reaccin...)

Desconocimiento de las medidas de seguridad Tipos de entidades

Ausencia de pruebas para verificar los procedimientos de reaccin y de informacin en caso de siniestro Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones

Establecimiento que sufre peridicamente fenmenos meteorolgicos extremos (tempestades, huracanes, ciclones...) Tipos de entidades Tipos de entidades PHY_LIE.1: Entorno externo PHY_LIE.3: Zona PHY_LIE.2: Locales Ausencia de proteccin contra rayos

Soporte o equipo no previsto para resistir a condiciones extremas (de humedad, de temperatura o de perturbaciones fsicas) Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 09 - FENMENO METEOROLGICO Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema Pgina 70 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 71 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.10 INUNDACIN
Falta de servicio de emergencia cercano al organismo Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Ausencia de clusulas contractuales aplicables en caso de crisis declarada de subcontratistas o proveedores Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PHY_LIE.1: Entorno externo PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_LIE.2: Locales Ausencia de instrucciones (alerta, prevencin, reaccin...)

Establecimiento ubicado en una zona anegadiza Tipos de entidades Tipos de entidades Falta de proteccin contra crecidas

Soporte o equipo no previsto para resistir a condiciones extremas (de humedad, de temperatura o de perturbaciones fsicas) Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo Pgina 72 de 189

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 10 - INUNDACIN Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 73 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.11 FALLAS EN LA CLIMATIZACIN


Hardware que necesita climatizacin para funcionar Tipos de entidades MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico ORG_DEP: Organizacin de la cual depende el organismo

Archivos que requieren climatizacin para ser conservados Tipos de entidades

Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Tipos de entidades Ausencia de clusulas contractuales que traten sobre el plazo mximo de interrupcin admitido para el suministro de un servicio esencial Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales Ausencia de clusulas contractuales que traten sobre la reparacin del dao en caso de interrupcin del suministro de un servicio esencial Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Ausencia de instrucciones (alerta, prevencin, reaccin...)

Desconocimiento de las medidas de seguridad Tipos de entidades

Falta de revisin de las necesidades de climatizacin en caso de modificacin de los locales o de incorporacin de hardware Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades PHY_LIE.3: Zona PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.3: Refrigeracin - Contaminacin Dispositivo que depende de un proveedor de agua helada o de energa elctrica Dispositivo incorrectamente dimensionado en relacin con a las necesidades Falta de mantenimiento de los equipos de aire acondicionado Falta de hardware redundante correctamente dimensionado Acceso no protegido a los dispositivos de suministro de agua y energa elctrica VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 11 - FALLAS EN LA CLIMATIZACIN Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial Pgina 74 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 75 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.12 PRDIDA DE SUMINISTRO DE ENERGA


Hardware sensible a las perturbaciones elctricas (bajas de tensin, sobretensiones, microcortes) Tipos de entidades RES_REL: Repetidor pasivo o activo MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil ORG_DEP: Organizacin de la cual depende el organismo

Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Tipos de entidades Ausencia de clusulas contractuales que traten sobre la reparacin del dao en caso de interrupcin del suministro de un servicio esencial Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales Ausencia de clusulas contractuales que traten sobre el plazo mximo de interrupcin admitido para el suministro de un servicio esencial Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PHY_SRV.1: Comunicacin Ausencia de instrucciones (alerta, prevencin, reaccin...)

Desconocimiento de las medidas de seguridad Tipos de entidades

Falta de informacin sobre las condiciones de uso de los suministros de energa auxiliares Tipos de entidades Tipos de entidades Terminal de comunicacin que no dispone de alimentacin auxiliar Los locales que resguardan bateras cuya composicin es a base de cido no estn dedicados nicamente a eso y no estn aislados fsicamente del hardware con el cual estn conectadas Tipos de entidades Tipos de entidades PHY_SRV.2: Energa PHY_SRV.2: Energa Dimensionamiento inadecuado de los dispositivos de energa de emergencia (inversor, bateras...) Acceso fsico no protegido a los locales que alojan equipos de aprovisionamiento y distribucin elctrica Tipos de entidades PHY_SRV.2: Energa Los locales donde se conservan bateras cuya composicin es a base de cido no disponen de ventilacin mecnica y no estn acondicionados elctricamente a prueba de explosiones Tipos de entidades Tipos de entidades Tipos de entidades PHY_SRV.2: Energa PHY_SRV.2: Energa PHY_SRV.2: Energa Los diversos revestimientos de suelos o muros no son antiestticos El tablero general de baja tensin no es accesible No hay un puesto de transformacin de media tensin/baja tensin instalado en el establecimiento (con acceso controlado del proveedor) Tipos de entidades Tipos de entidades PHY_SRV.2: Energa PHY_SRV.2: Energa Falta de anlisis de la potencia energtica auxiliar, necesario en caso de incorporacin de hardware Las conexiones a masa y las conexiones a tierra no han sido realizadas conforme a la reglamentacin Pgina 76 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 vigente Tipos de entidades PHY_SRV.2: Energa VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 12 - PRDIDA DEL SUMINISTRO DE ENERGA Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 77 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.13 PRDIDA DE LOS MEDIOS DE TELECOMUNICACIN


Mantenimiento remoto de hardware utilizando medios de telecomunicacin Tipos de entidades RES_REL: Repetidor pasivo o activo MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil ORG_DEP: Organizacin de la cual depende el organismo

Ausencia de normas para la implantacin de los establecimientos que pertenecen al organismo Tipos de entidades Ausencia de clusulas contractuales que traten sobre el plazo mximo de interrupcin admitido para el suministro de un servicio esencial Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales Ausencia de clusulas contractuales que traten sobre la reparacin del dao en caso de interrupcin del suministro de un servicio esencial Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PHY_SRV.1: Comunicacin PHY_SRV.1: Comunicacin PHY_SRV.1: Comunicacin Ausencia de instrucciones (alerta, prevencin, reaccin...)

Desconocimiento de las medidas de seguridad Tipos de entidades

Falta de mantenimiento de las terminales y los equipos de distribucin Tipos de entidades Tipos de entidades Tipos de entidades Fallas de gestin de la red telefnica interna Funcionamiento incorrecto ya constatado en la provisin del servicio de telecomunicaciones Acceso fsico no protegido a los locales que alojan equipos de alimentacin y distribucin elctrica o medios de telecomunicacin Tipos de entidades PHY_SRV.2: Energa PHY_SRV.1: Comunicacin

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 13 - PRDIDA DE LOS MEDIOS DE TELECOMUNICACIN Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales Pgina 78 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 79 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.14 EMISIONES ELECTROMAGNTICAS


Hardware o soporte sensible a las emisiones electromagnticas o a las radiaciones trmicas Tipos de entidades Tipos de entidades Tipos de entidades MAT_ACT.2: Hardware fijo ORG_EXT: Subcontratistas - Proveedores - Industriales PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes Ausencia de clusula contractual referida a la compatibilidad electromagntica No se han considerado durante el diseo las emisiones electromagnticas o las radiaciones trmicas

Proximidad de una fuente de emisiones electromagnticas o radiaciones trmicas Tipos de entidades

Ninguna consideracin de los riesgos vinculados con la proximidad de una fuente electromagntica Tipos de entidades

Medios o soportes sensibles a las emisiones electromagnticas o a las radiaciones trmicas Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 14 - EMISIONES ELECTROMAGNTICAS Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes Pgina 80 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 81 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.15 RADIACIONES TRMICAS


Hardware o soporte sensible a las emisiones electromagnticas o a las radiaciones trmicas Tipos de entidades Tipos de entidades MAT_ACT.2: Hardware fijo PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes Proximidad de una fuente de emisiones electromagnticas o radiaciones trmicas

No se han considerado durante el diseo las emisiones electromagnticas o las radiaciones trmicas Tipos de entidades

Ninguna consideracin de los riesgos vinculados con la proximidad de una fuente electromagntica Tipos de entidades

Medios o soportes sensibles a las emisiones electromagnticas o a las radiaciones trmicas Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 15 - RADIACIONES TRMICAS Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento Pgina 82 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 83 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.16 IMPULSOS ELECTROMAGNTICOS


Hardware o soporte sensible a las emisiones electromagnticas o a las radiaciones trmicas Tipos de entidades Tipos de entidades MAT_ACT.2: Hardware fijo PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes EL MTODO DE ATAQUE 16 IMPULSOS Proximidad de una fuente de emisiones electromagnticas o radiaciones trmicas

No se han considerado durante el diseo las emisiones electromagnticas o las radiaciones trmicas Tipos de entidades

Ninguna consideracin de los riesgos vinculados con la proximidad de una fuente electromagntica Tipos de entidades

Medios o soportes sensibles a las emisiones electromagnticas o a las radiaciones trmicas Tipos de entidades

VULNERABILIDADES VINCULADAS CON ELECTROMAGNTICOS Tipos de entidades

SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento Pgina 84 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 85 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.17 INTERCEPTACIN COMPROMETEDORAS


Tipos de entidades

DE

SEALES

PARSITAS

Falta de consideracin de las normas de instalacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV.2: Energa PHY_SRV.1: Comunicacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo

Falta de consideracin de la zonificacin del hardware Tipos de entidades

Hardware susceptible de emitir seales parsitas comprometedoras Tipos de entidades

Los responsables no tienen contacto con los servicios de expertos o de vigilancia tecnolgica Tipos de entidades Tipos de entidades Ausencia de reglas que impongan el cumplimento de normas Ausencia de clusulas contractuales referentes a las medidas de seguridad que deben respetar los subcontratistas y los proveedores Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo Pgina 86 de 189 Falta de procedimiento de verificacin del hardware antes de su compra o luego de un mantenimiento Falta de control de la aplicacin de la poltica de seguridad Ausencia de una poltica de proteccin de la informacin La poltica de seguridad no se aplica

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Falta de realizacin de zonificacin TEMPEST Tipos de entidades PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PHY_LIE.2: Locales PHY_LIE.3: Zona PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes

Acceso pblico cerca de los edificios del organismo Tipos de entidades Tipos de entidades Tipos de entidades Sala situada cerca de la va pblica Soporte que facilita la captura de seales parsitas comprometedoras (cables elctricos, tuberas...)

Falta de proteccin de los accesos a los equipos Tipos de entidades

Medios y soportes susceptibles de emitir seales parsitas comprometedoras Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 17 - INTERCEPTACIN DE SEALES PARSITAS COMPROMETEDORAS Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar Pgina 87 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 88 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.18 ESPIONAJE A DISTANCIA


Falta de protector de pantalla en caso de inactividad Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Utilizacin de contraseas de acceso al sistema o a la aplicacin simples de observar (forma en un teclado, contrasea corta) Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Sin cambios o pocos cambios en la contrasea de acceso al sistema o a la aplicacin Tipos de entidades

Pantalla observable desde el exterior Tipos de entidades

Lectura de documentos delicados en lugares pblicos (observacin de documentos por parte de personas ajenas al organismo...) Tipos de entidades MAT_PAS.2: Otros soportes Ausencia de polticas de seguridad para la proteccin de la infraestructura de tratamiento de la informacin en los establecimientos del organismo Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo Ausencia de normas de proteccin para el intercambio de informacin de carcter confidencial Ausencia de clusulas contractuales referentes a las medidas de seguridad que deben respetar los subcontratistas y los proveedores Tipos de entidades Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema Pgina 89 de 189 La poltica de seguridad no se aplica Falta de identificacin de los bienes delicados

Las responsabilidades de seguridad en cuanto a la gestin de los permisos no han sido formalizadas Tipos de entidades Tipos de entidades Tipos de entidades Falta de control de la aplicacin de la poltica de seguridad Ausencia de una poltica de proteccin de la informacin

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Falta de identificacin de las necesidades de seguridad de un proyecto Tipos de entidades Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PHY_LIE.1: Entorno externo PHY_LIE.3: Zona PHY_LIE.3: Zona Desconocimiento de las medidas de seguridad

Escasa concienciacin sobre la proteccin de la informacin Tipos de entidades

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

Presencia de un lugar de observacin desde fuera del establecimiento Tipos de entidades Tipos de entidades Tipos de entidades Zona que dispone de una abertura que da a la va pblica Zona observable desde un lugar de paso VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 18 - ESPIONAJE A DISTANCIA Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) Pgina 90 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 91 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.19 ESCUCHA PASIVA


Falta de dispositivo de control de acceso en caso de inactividad Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software SYS_WEB: Portal externo SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet LOG_STD: Paquete de programas o software estndar LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_OS: Sistema operativo LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_OS: Sistema operativo LOG_SRV: Software de servicio, mantenimiento o gestin MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Posibilidad de agregar un software de escucha de tipo troyano Tipos de entidades

Falta de proteccin de los registros que recogen la traza de las actividades Tipos de entidades

Sin cambios o pocos cambios en la contrasea de acceso al sistema o a la aplicacin Tipos de entidades

Falta de proteccin contra el uso de privilegios avanzados Tipos de entidades Tipos de entidades Tipos de entidades Pocos cambios o ningn cambio en la contrasea de acceso al software de soporte de base Acceso lgico al hardware que permite la instalacin de un software de escucha

Hardware que dispone de una interfaz de comunicacin susceptible de escucha (infrarrojos, 802.11, Bluetooth...) Tipos de entidades MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Ausencia de polticas de seguridad para la proteccin de la infraestructura de tratamiento de la informacin en los establecimientos del organismo Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo Ausencia de normas de proteccin para el intercambio de informacin de carcter confidencial Ausencia de clusulas contractuales referentes a las medidas de seguridad que deben respetar los subcontratistas y los proveedores Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales Falta de control de la aplicacin de la poltica de seguridad Pgina 92 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_PRO: Organizacin de un proyecto o sistema

Falta de identificacin de los bienes delicados

Las responsabilidades de seguridad en cuanto a la gestin de los permisos no han sido formalizadas Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades La poltica de seguridad no se aplica Ausencia de una poltica de proteccin de la informacin Falta de identificacin de las necesidades de seguridad de un proyecto Falta de formacin sobre las medidas y herramientas de proteccin de las comunicaciones internas y con el exterior del organismo Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PHY_LIE.1: Entorno externo

Personal manipulable Tipos de entidades

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

Escasa concienciacin sobre la proteccin de la confidencialidad de los intercambios de informacin Tipos de entidades

Obtencin de un beneficio para la captacin de informacin Tipos de entidades

Posibilidad de captar las transmisiones desde fuera del establecimiento Tipos de entidades Falta de control de acceso al establecimiento o a los locales o posibilidad de ingresar por accesos indirectos Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_SRV.1: Comunicacin

Falta de proteccin de los accesos a las terminales de comunicacin Tipos de entidades Medios y soportes que poseen caractersticas que permiten la escucha pasiva (ej.: Ethernet, sistemas Pgina 93 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 de comunicacin sin cable) Tipos de entidades RES_INF: Medios y soportes Soporte o equipo de comunicacin fsicamente accesible que permite la instalacin de dispositivos de escucha Tipos de entidades Tipos de entidades Tipos de entidades RES_INF: Medios y soportes RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_ITR: Intranet SYS_ITR: Intranet SYS_ITR: Intranet SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin Pgina 94 de 189 Falta de autenticacin del hardware conectado a la red Acceso fsico o lgico a un repetidor que permita la instalacin de un dispositivo de escucha

Comunicacin que se efecta en modo Broadcast Tipos de entidades

Complejidad del encaminamiento entre las subredes Tipos de entidades Tipos de entidades Tipos de entidades Interfaz que dispone de una funcin que permite la escucha Circulacin de informacin sin cifrar

Falta de aislamiento de las redes de comunicacin Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Posibilidad de escuchar las comunicaciones con los servidores de autenticacin Posibilidad de escuchar las comunicaciones con los servidores de aplicacin Posibilidad de introducir en las instalaciones de los clientes un software de escucha Posibilidad de colocar un dispositivo de escucha lgica en las pasarelas de correo electrnico Lagunas en la gestin de los privilegios de acceso a las pasarelas de correo electrnico VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 19 - ESCUCHA PASIVA

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 95 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.20 ROBO DE SOPORTES O DOCUMENTOS


Aplicaciones nicas desarrolladas internamente Tipos de entidades Tipos de entidades LOG_APP.2: Aplicacin profesional especfica MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT.1: Hardware porttil MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT.1: Hardware porttil MAT_ACT.3: Perifrico de procesamiento MAT_ACT.3: Perifrico de procesamiento MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS.1: Soporte electrnico MAT_PAS.1: Soporte electrnico MAT_PAS.1: Soporte electrnico MAT_PAS.2: Otros soportes Falta de inventario del hardware

Hardware atractivo (valor mercantil, tecnolgico, estratgico) Tipos de entidades

Falta de proteccin del hardware contra robo (cable antirrobo) Tipos de entidades Tipos de entidades Disco duro fcilmente desmontable

Hardware de libre uso que puede ser utilizado por un grupo de personas Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Falta de proteccin de acceso a los equipos de respaldo de datos Presencia de impresora en los lugares de paso Los soportes son accesibles a todos

Transmisin de soportes mediante servicios postales (proveedores externos, correo interno,...) Tipos de entidades

Falta de proteccin del almacenamiento de los soportes Tipos de entidades

Falta de inventario de los soportes utilizados Tipos de entidades Tipos de entidades Tipos de entidades Soportes originales Tipos de entidades Ausencia de polticas de seguridad para la proteccin de la informacin aplicables en los establecimientos del organismo Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Ausencia de clusulas contractuales referentes a las medidas de seguridad que deben respetar los subcontratistas y los proveedores Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales Pgina 96 de 189 Falta de respaldo de los datos contenidos en los soportes Soportes fcilmente transportables (ej.: disco duro extrable, cartucho para respaldo de datos)

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Las responsabilidades de seguridad en cuanto a la clasificacin de la informacin no han sido formalizadas ni son conocidas por todos Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Personal manipulable Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_PRO: Organizacin de un proyecto o sistema La poltica de seguridad no se aplica Falta de estructura de gestin de los incidentes de seguridad Falta de identificacin de los bienes delicados Falta de control de los bienes delicados Falta de control de la aplicacin de la poltica de seguridad Falta de identificacin de las necesidades de seguridad de un proyecto Ausencia de una poltica de proteccin de la informacin

Incumplimiento de las normas vinculadas con el procesamiento de las informaciones Tipos de entidades

Falta de concienciacin sobre la proteccin de documentos de carcter confidencial que provoca una falta de cuidado Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PHY_LIE.1: Entorno externo

Obtencin de un beneficio para la divulgacin de informacin Tipos de entidades

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades Tipos de entidades Falta de compromiso individual para la proteccin de documentos de carcter confidencial

Soportes o documentos enviados o presentes fuera del establecimiento Tipos de entidades Falta de control de acceso al establecimiento o a los locales o posibilidad de ingresar por accesos Pgina 97 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 indirectos Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 20 - ROBO DE SOPORTES O DOCUMENTOS Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 98 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.21 ROBO DE HARDWARE


Falta de hardware de repuesto Tipos de entidades MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT.3: Perifrico de procesamiento MAT_ACT.1: Hardware porttil MAT_ACT.1: Hardware porttil MAT_ACT.3: Perifrico de procesamiento MAT_ACT.1: Hardware porttil MAT_ACT.1: Hardware porttil MAT_ACT.2: Hardware fijo

Falta de inventario del hardware Tipos de entidades

Hardware de libre uso que puede ser utilizado por un grupo de personas Tipos de entidades Tipos de entidades Hardware atractivo (valor mercantil, tecnolgico, estratgico)

Posible reventa del hardware (falta de marcado, utilizacin sin contrasea) Tipos de entidades Tipos de entidades Hardware fcilmente desmontable Ausencia de polticas de seguridad para la proteccin de la infraestructura de tratamiento de la informacin en los establecimientos del organismo Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Ausencia de clusulas contractuales referentes a las medidas de seguridad que deben respetar los subcontratistas y los proveedores Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento Pgina 99 de 189 Falta de estructura de gestin y tratamiento de los incidentes de seguridad vinculados con robos Falta de control de la aplicacin de la poltica de seguridad Ausencia de normas de control de las entradas/salidas del hardware del organismo Falta de identificacin de los bienes delicados Falta de identificacin de las necesidades de seguridad de un proyecto Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad

Escasa concienciacin sobre la proteccin del hardware fuera del organismo Tipos de entidades

Personal manipulable Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Incumplimiento de las normas de proteccin fsica aplicables a los equipos porttiles Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PHY_LIE.1: Entorno externo

Obtencin de un beneficio para la reventa de algn hardware Tipos de entidades

Uso de hardware fuera del organismo (domicilio del personal, otro organismo...) Tipos de entidades Falta de control de acceso al establecimiento o a los locales o posibilidad de ingresar por accesos indirectos Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware Pgina 100 de 189

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 21 - ROBO DE HARDWARE Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 101 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.22 RECUPERACIN DESECHADOS


Tipos de entidades

DE

SOPORTES

RECICLADOS

Presencia de datos residuales utilizados por el software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software MAT_PAS.1: Soporte electrnico MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo

Presencia de datos residuales sin que lo sepa el usuario, de hardware reasignado o desechado Tipos de entidades

Ausencia de medios para la destruccin de los soportes Tipos de entidades

Falta de identificacin de los bienes delicados Tipos de entidades

Falta de control de los bienes delicados Tipos de entidades

Falta de control de la aplicacin de la poltica de seguridad Tipos de entidades

Ausencia de poltica de proteccin de la informacin aplicable al reciclado y desecho Tipos de entidades

Ausencia de clusulas contractuales referentes a las medidas de seguridad que deben respetar los subcontratistas y los proveedores Tipos de entidades Personal manipulable Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_EXT: Subcontratistas - Proveedores - Industriales

Incumplimiento de las normas de destruccin de los soportes vinculadas con la clasificacin de la informacin Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal

Falta de informacin y de concienciacin sobre la remanencia de los datos informticos en los soportes Pgina 102 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PHY_LIE.1: Entorno externo PHY_LIE.2: Locales

Obtencin de un beneficio para la divulgacin de informacin Tipos de entidades

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

Presencia de soporte desechado fuera del establecimiento Tipos de entidades Tipos de entidades Presencia de un soporte desechado en lugares pblicos Presencia de un soporte desechado en zonas accesibles a personas que no tienen necesidad de conocer la informacin involucrada Tipos de entidades PHY_LIE.3: Zona VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 22 - RECUPERACIN DE SOPORTES RECICLADOS O DESECHADOS Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) Pgina 103 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 104 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.23 DIVULGACIN
Falta de verificacin de los accesos compartidos concedidos Tipos de entidades MAT_ACT.2: Hardware fijo LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software MAT_ACT.2: Hardware fijo LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Procedimientos de gestin de los privilegios de acceso demasiado complicados de ejecutar Tipos de entidades

Funciones de gestin de los derechos de acceso demasiado complicadas de utilizar y que pueden ser fuente de error Tipos de entidades Tipos de entidades Tipos de entidades MAT_ACT.2: Hardware fijo MAT_ACT.2: Hardware fijo MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico Presencia de una red de comunicacin con el exterior que permite el intercambio de informacin Soportes capaces de realizar intercambios de informacin de carcter delicado

Falta de estructura responsable de la definicin, la aplicacin y el control de los privilegios de acceso a la informacin Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo

Falta de identificacin de los bienes delicados Tipos de entidades

La poltica de seguridad no se aplica Tipos de entidades

Falta de compromiso personal de proteccin de la confidencialidad Tipos de entidades

Procedimientos de gestin y de aplicacin de los permisos demasiado complicados de ejecutar Tipos de entidades

Las responsabilidades de seguridad en cuanto a la clasificacin de la informacin no han sido formalizadas ni son conocidas por todos Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema Pgina 105 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo Falta de control de los bienes delicados Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_LIE.2: Locales RES_INF: Medios y soportes RES_INT: Interfaz de comunicacin Pgina 106 de 189

Ausencia de una poltica de proteccin de la informacin Tipos de entidades

Incumplimiento de las normas vinculadas con el procesamiento de la informacin Tipos de entidades

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

Personal manipulable Tipos de entidades

Falta concienciacin sobre la proteccin de la informacin delicada Tipos de entidades

Incumplimiento del deber de reserva Tipos de entidades

Obtencin de un beneficio para la divulgacin de informacin Tipos de entidades

Falta de control (inclusive de trazas) del intercambio con el exterior Tipos de entidades

Presencia de algn directorio compartido para almacenar informacin Tipos de entidades Tipos de entidades Ficheros de imputacin complejos o poco ergonmicos

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Interfaz estndar que permite el intercambio de informacin (ej.: interfaz Bluetooth que acepte todas las comunicaciones por defecto) Tipos de entidades Tipos de entidades Tipos de entidades RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_ANU: Directorio de la empresa SYS_INT: Dispositivo de acceso a Internet SYS_INT: Dispositivo de acceso a Internet Posibilidad de utilizar los recursos sin generar trazas Falta de notificacin de los usuarios

Complejidad del encaminamiento entre las subredes Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Falta de encaminamiento estricto entre las subredes Falta de filtrado y de registro en los repetidores de comunicacin entre redes El sistema est conectado a redes externas

Falta de control de acceso a los datos almacenados en el directorio Tipos de entidades Tipos de entidades Tipos de entidades Falta de registro de los accesos Falta de dispositivo de filtrado Falta de gestin o dificultad para gestionar los privilegios de acceso a la informacin compartida (definicin, implementacin, control) Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades SYS_ITR: Intranet SYS_ITR: Intranet SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_WEB: Portal externo SYS_WEB: Portal externo SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet Pgina 107 de 189 Falta de aislamiento entre las redes de comunicacin Ausencia de medidas que permitan evitar una negligencia durante el envo de informacin El sistema puede ser utilizado por todo el personal El sistema permite el intercambio de ficheros adjuntos Falta de proteccin antivirus eficaz y operativa Falta de gestin de los privilegios de acceso a los datos (posibilidad de alterar informacin pblica...) El sistema facilita la divulgacin de informacin fuera del organismo VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 23 - DIVULGACIN

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 108 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.24 INFORMACIN SIN GARANTA DEL ORIGEN


Recuperacin de software desde un medio no autenticado Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil ORG_DEP: Organizacin de la cual depende el organismo

Posibilidad de instalar correcciones, actualizaciones, parches, hotfixes... Tipos de entidades

Ausencia de un medio seguro de identificacin Tipos de entidades

Falta de conservacin de trazas de las actividades Tipos de entidades

Falta de medios que permitan garantizar la procedencia del hardware Tipos de entidades

Los responsables no tienen contacto con los servicios de expertos o de vigilancia tecnolgica Tipos de entidades Ausencia de polticas de seguridad para la proteccin de la informacin aplicables en los establecimientos del organismo Tipos de entidades Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Falta de medios que permitan garantizar la procedencia de los suministros Falta de control de la aplicacin de la poltica de seguridad

Ausencia de una poltica de conservacin y de anlisis de las trazas de las actividades Tipos de entidades

Falta de informacin referente a la divisin de responsabilidades y a los medios de garantizar la legitimidad de una peticin Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

Falta de organizacin que permita garantizar la identificacin de una persona dentro del organismo o en el marco de un proyecto Pgina 109 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

Falta de concienciacin sobre los riesgos de usurpacin de identidad (uso incorrecto de los medios que garantizan la autenticacin tales como las contraseas) Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_DEV: Desarrollador PER_DEV: Desarrollador RES_INF: Medios y soportes RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin

Credulidad Tipos de entidades

Desconocimiento de la importancia de la calificacin de la informacin Tipos de entidades

Personal manipulable Tipos de entidades

Clima social conflictivo Tipos de entidades

Obtencin de un beneficio gracias a la desinformacin Tipos de entidades

Falta de medios que permitan garantizar la autenticidad de los cdigos Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Desconocimiento de las medidas de seguridad Posibilidad de alterar una comunicacin Protocolo que no permite autenticar en forma segura al emisor de una comunicacin Posibilidad de utilizar los recursos sin generar trazas

Ficheros de imputacin complejos o poco ergonmicos Tipos de entidades

Los repetidores no identifican ni las fuentes ni los destinos (ejemplo de impacto: sistema vulnerable a los ataques basados en "spoofing") Tipos de entidades RES_REL: Repetidor pasivo o activo Posibilidad de usurpar la funcin del directorio Pgina 110 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades SYS_ANU: Directorio de la empresa SYS_ANU: Directorio de la empresa SYS_INT: Dispositivo de acceso a Internet SYS_WEB: Portal externo SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet

El sistema no permite identificar al autor de una modificacin El dispositivo permite acceder a datos que no han sido autenticados (ej.: menajes en cadena) El sistema no dispone de medios de conservacin del registro histrico de las actividades

El sistema permite el almacenamiento o la modificacin de informacin sin autenticacin de sus autores Tipos de entidades SYS_ITR: Intranet El sistema permite la emisin y la recepcin de informacin sin autenticacin de emisores ni destinatarios Tipos de entidades SYS_MES: Correo electrnico El sistema no dispone de filtros para impedir la recepcin de mensajes falsos en cadena procedentes del exterior Tipos de entidades Tipos de entidades Tipos de entidades SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_WEB: Portal externo El sistema permite retransmisiones de mensajes El sistema no permite la identificacin de la persona que emiti una peticin VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 24 - INFORMACIN SIN GARANTA DEL ORIGEN Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico Pgina 111 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 112 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.25 SABOTAJE DEL HARDWARE


Posibilidad de colocar otros elementos de hardware para almacenar, enviar o alterar informacin (ej.: capturador de teclado fsico) Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Ausencia de procedimiento para el control de las intervenciones de personal externo en los equipos del organismo Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Falta de control de la aplicacin de la poltica de seguridad

Ausencia de polticas de seguridad para la proteccin de la infraestructura de tratamiento de la informacin en los establecimientos del organismo Tipos de entidades Tipos de entidades Tipos de entidades ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Los responsables no tienen contacto con los servicios de expertos o de vigilancia tecnolgica Ausencia de procedimientos de calificacin operativa

Falta de control de los bienes delicados Tipos de entidades

Falta de identificacin de los bienes delicados Tipos de entidades

Ausencia de procedimientos de validacin de los componentes de hardware durante la entrega inicial o cuando se reincorporan tras un mantenimiento Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal

Software no probado lo suficiente dentro de los valores lmite especificados Tipos de entidades Personal manipulable Tipos de entidades

Falta de cuidado durante la intervencin de personal de mantenimiento en un puesto de trabajo o un servidor Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios Pgina 113 de 189

Escasa concienciacin sobre la proteccin del hardware fuera del organismo Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Obtencin de un beneficio gracias a la desinformacin Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PHY_LIE.1: Entorno externo

Uso de hardware fuera del organismo (domicilio del personal, otro organismo...) Tipos de entidades Falta de control de acceso al establecimiento o a los locales o posibilidad de ingresar por accesos indirectos Tipos de entidades PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_LIE.2: Locales RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red

Posibilidad de colocar una desviacin de circuito Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 25 - SABOTAJE DEL HARDWARE Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo Pgina 114 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 115 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.26 ALTERACIN DE PROGRAMAS


El enlace de mantenimiento remoto est permanentemente activado Tipos de entidades SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software SYS_WEB: Portal externo SYS_ANU: Directorio de la empresa LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar

Posibilidad de que existan funciones escondidas introducidas durante las fases de diseo y desarrollo Tipos de entidades

Posibilidad de modificar, de alterar el software Tipos de entidades

Falta de proteccin contra el uso de privilegios avanzados Tipos de entidades

Uso de programas no evaluados Tipos de entidades

Falta de implementacin de normas de seguridad de base aplicables al sistema operativo y al software Tipos de entidades SYS_MES: Correo electrnico LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar SYS_WEB: Portal externo LOG_OS: Sistema operativo LOG_OS: Sistema operativo Pgina 116 de 189

Posibilidad de crear o modificar comandos de sistemas Tipos de entidades

Recuperacin de software desde un medio no autenticado Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Posibilidad de gestionar el sistema en forma remota con herramientas de gestin no cifradas Tipos de entidades SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo SYS_MES: Correo electrnico LOG_OS: Sistema operativo LOG_OS: Sistema operativo SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo LOG_OS: Sistema operativo SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo LOG_OS: Sistema operativo RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Contraseas de conexin demasiado simples Tipos de entidades

Posibilidad de instalar correcciones, actualizaciones, parches, hotfixes... Tipos de entidades Tipos de entidades Posibilidad de gestionar el sistema en forma remota

Uso de un sistema operativo estndar que ya ha sufrido ataques lgicos Tipos de entidades Tipos de entidades Posibilidad de gestionar el sistema en forma remota desde cualquier puesto

Posibilidad de borrar, modificar o instalar nuevos programas Tipos de entidades Tipos de entidades El dispositivo SNMP est activado

El dispositivo SNMP est activado.: disquete, CD-ROM) Tipos de entidades

Falta de medios que permitan el control de inocuidad de los soportes cuando se ingresan al organismo Tipos de entidades MAT_PAS.1: Soporte electrnico Ausencia de polticas de seguridad para la proteccin de la infraestructura de tratamiento de la informacin en los establecimientos del organismo Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo Los responsables no tienen contacto con los servicios de expertos o de vigilancia tecnolgica Ausencia de procedimiento para el control de las intervenciones de personal externo en los equipos del organismo Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales Ausencia de clusulas contractuales referentes a la garanta de inocuidad de los suministros entregados por el subcontratista o proveedor Tipos de entidades Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Pgina 117 de 189 Ausencia de poltica global de lucha contra el cdigo malicioso Falta de identificacin de los bienes delicados

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Falta de control de la aplicacin de la poltica de seguridad Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema Falta de control de los bienes delicados Ausencia de poltica de proteccin de los puestos de trabajo Ausencia de una poltica de conservacin y de anlisis de las trazas de las actividades

Ausencia de medidas de control de los desarrollos Tipos de entidades Ausencia de medidas de proteccin de la integridad de los cdigos en las fases de diseo, puesta en servicio y gestin Tipos de entidades Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEV: Desarrollador PER_DEV: Desarrollador Uso de software sin garanta de su origen

Clima social conflictivo Tipos de entidades

Falta de concienciacin sobre la amenaza de los cdigos maliciosos Tipos de entidades

Desconocimiento de las reacciones reflejas necesarias en caso de deteccin de anomalas Tipos de entidades

Incumplimiento de las normas de actualizacin de los programas antivirus Tipos de entidades

Personal manipulable Tipos de entidades

Obtencin de un beneficio gracias a la alteracin del sistema informtico Tipos de entidades

Situacin conflictiva Tipos de entidades

Desconocimiento de las medidas de seguridad Tipos de entidades Tipos de entidades Falta de medios que permitan garantizar la autenticidad de los desarrollos Operador del sistema o personal de mantenimiento que dispone de privilegios extendidos Pgina 118 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades Tipos de entidades PER_EXP: Operador del sistema - Mantenimiento PER_EXP: Operador del sistema - Mantenimiento PHY_LIE.1: Entorno externo

Desconocimiento de los procedimientos en caso de deteccin de anomalas Uso de hardware fuera del organismo (domicilio del personal, otro organismo...) Falta de control de acceso al establecimiento o a los locales o posibilidad de ingresar por accesos indirectos Tipos de entidades PHY_SRV.1: Comunicacin PHY_LIE.3: Zona PHY_LIE.2: Locales RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin SYS_WEB: Portal externo SYS_ANU: Directorio de la empresa SYS_WEB: Portal externo SYS_ANU: Directorio de la empresa SYS_INT: Dispositivo de acceso a Internet SYS_INT: Dispositivo de acceso a Internet

La red facilita el uso de los recursos por parte de personas no autorizadas Tipos de entidades

Ficheros de imputacin complejos o poco ergonmicos Tipos de entidades

Posibilidad de agregar desviaciones lgicas Tipos de entidades

La red permite modificar los recursos del sistema o actuar sobre ellos Tipos de entidades

Posibilidad de agregar software adicional para almacenar, enviar o alterar (ej.: capturador de teclado) Tipos de entidades

Posibilidad de utilizar los recursos sin generar trazas Tipos de entidades

Posibilidad de modificar o cambiar aplicaciones Tipos de entidades

Posibilidad de borrar o modificar programas o ficheros de sistema Tipos de entidades

Falta de concienciacin sobre los riesgos generados por la descarga de software Tipos de entidades Tipos de entidades Falta de control antivirus en los intercambios de informacin El dispositivo permite gestionar el funcionamiento asncrono de ciertas partes o comandos del sistema operativo (ej.: componentes javascript que exploran el contenido del disco duro) Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades SYS_INT: Dispositivo de acceso a Internet SYS_ITR: Intranet SYS_ITR: Intranet SYS_MES: Correo electrnico Presencia de un dispositivo que permite modificar o instalar aplicaciones en forma remota Uso de un espacio de almacenamiento compartido Utilizacin de una versin obsoleta del servidor de correo electrnico Utilizacin de una lista de difusin que incluya gran parte del personal

Pgina 119 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico

Presencia de un protocolo que no dispone de funcin de autenticacin El correo electrnico permite el envo automtico de mensajes Falta de concienciacin sobre los riesgos provocados por la ejecucin de ficheros adjuntos El correo electrnico permite gestionar el funcionamiento asncrono de ciertas partes o comandos del sistema operativo (ej.: envo automtico de ficheros adjuntos) Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_WEB: Portal externo No se realiza ninguna verificacin de las aplicaciones antes de su instalacin El correo electrnico permite instalar actualizaciones de software (ej.: parches, antivirus...) Falta de medios de filtrado antivirus Posibilidad de instalar programas piratas VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 26 - ALTERACIN DE PROGRAMAS Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil Pgina 120 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 121 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.27 GEOLOCALIZACIN
Hardware localizable (ej.: triangulacin) Tipos de entidades MAT_ACT.1: Hardware porttil Ausencia de polticas de seguridad para la proteccin de la informacin aplicables en los establecimientos del organismo Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Ausencia de normas de proteccin de la confidencialidad de la informacin utilizada para localizar al personal (pedido de pasajes, registro de entrada/salida...) Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales Pgina 122 de 189

Desconocimiento de las medidas de seguridad Tipos de entidades

Falta de discrecin o de cuidado Tipos de entidades

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 27 - GEOLOCALIZACIN Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 123 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.28 AVERA DEL HARDWARE


Falta de funcin de diagnstico para la prevencin de fallos del hardware Tipos de entidades LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware RES_INF: Medios y soportes MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS.1: Soporte electrnico MAT_PAS.1: Soporte electrnico

Falta de proteccin contra perturbaciones elctricas Tipos de entidades

Malas condiciones de uso Tipos de entidades

Problemas de mantenimiento Tipos de entidades

Poca fiabilidad del hardware Tipos de entidades

Envejecimiento del hardware Tipos de entidades

Soporte no adaptado a la vida til de los datos que se van a archivar Tipos de entidades Tipos de entidades Malas condiciones de almacenamiento Falta de clusula referente a los plazos de intervencin y de reemplazo en caso de avera del hardware Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Pgina 124 de 189 Falta de estructura de seguimiento de los contratos de mantenimiento

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Falta de seguimiento de los contratos de mantenimiento y de soporte con los proveedores Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

Falta de informes sobre los fallos (cantidad, coste de los incidentes, duracin) Tipos de entidades

Ausencia de normas referentes a las condiciones de uso de las infraestructuras de tratamiento de la informacin (prohibicin de consumo de tabaco, de bebida, de alimentos) en los locales donde se conserva hardware informtico) Tipos de entidades Tipos de entidades ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Ausencia de plan de restablecimiento de las actividades esenciales del organismo

Falta de instrucciones de reacciones rpidas para la proteccin del hardware en caso de perjuicios ocasionados por el agua o por un incendio Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

Ausencia de estructura destinada al anlisis de la adecuacin de las capacidades de los equipos a las necesidades Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

Ausencia de normas referentes a las condiciones de uso de las infraestructuras de tratamiento de la informacin (prohibicin de consumo de tabaco, de bebida, de alimentos) en los locales donde se conserva hardware informtico) Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema Falta de implementacin de un seguimiento de los incidentes que permita prevenir eventuales fallos o saturaciones (esquemas orientativos) Tipos de entidades PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_UTI: Usuarios

Falta de envo de informes para un anlisis centralizado de los fallos Tipos de entidades Tipos de entidades Desconocimiento de las instrucciones de uso del hardware Falta de consideracin del entorno especfico que aumenta los riesgos de fallos (atmsfera sobrecalefaccionada, entorno industrial,...) Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin RES_INF: Medios y soportes RES_INF: Medios y soportes Pgina 125 de 189

Ausencia de control del buen funcionamiento de los recursos de emergencia Tipos de entidades

Desencadenamiento manual de la solucin de emergencia Tipos de entidades

Poca fiabilidad de los soportes Tipos de entidades Tipos de entidades Envejecimiento de los soportes de informacin

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 28 AVERA DEL HARDWARE Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 126 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.29 FALLA DE FUNCIONAMIENTO DEL HARDWARE


Falta de funcin de diagnstico para la prevencin de fallos del hardware Tipos de entidades LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware RES_INF: Medios y soportes MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS.1: Soporte electrnico MAT_PAS.1: Soporte electrnico

Falta de proteccin contra perturbaciones elctricas Tipos de entidades

Malas condiciones de uso Tipos de entidades

Poca fiabilidad del hardware Tipos de entidades

Posibilidad de incompatibilidad entre los distintos componentes del hardware Tipos de entidades

Soporte no adaptado a la vida til de los datos que se van a archivar Tipos de entidades Tipos de entidades Malas condiciones de almacenamiento Falta de un seguimiento de los incidentes que permita prevenir eventuales fallos o saturaciones (esquemas orientativos Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo Ausencia de reglas que impongan el cumplimento de normas Falta de clusula referente a los plazos de intervencin y de tratamiento en caso de falla de funcionamiento Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Pgina 127 de 189 Ausencia de informes sobre las fallas de funcionamiento

Ausencia de plan de restablecimiento de las actividades esenciales del organismo Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Ausencia de procedimientos de calificacin operativa Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

Ausencia de normas referentes al entorno de uso de las infraestructuras de tratamiento de la informacin (temperatura, higrometra...) Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

Ausencia de estructura destinada al anlisis de la adecuacin de las capacidades de los equipos a las necesidades Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

Falta de implementacin de un seguimiento de los incidentes que permita prevenir eventuales fallos o saturaciones (esquemas orientativos) Tipos de entidades PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_UTI: Usuarios

Desconocimiento de las instrucciones de uso del hardware Tipos de entidades Tipos de entidades Falta de envo de informes para un anlisis centralizado de los fallos Falta de consideracin del entorno especfico que aumenta los riesgos de fallos (atmsfera sobrecalefaccionada, entorno industrial,...) Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin RES_INF: Medios y soportes RES_INF: Medios y soportes

Ausencia de control del buen funcionamiento de los recursos de emergencia Tipos de entidades

Desencadenamiento manual de la solucin de emergencia Tipos de entidades

Envejecimiento de los soportes de informacin Tipos de entidades Tipos de entidades Posibilidad de incompatibilidad entre los soportes y otros componentes Medios y soportes que incorporan caractersticas tcnicas especficas de su localizacin (ej.: diferentes parmetros de configuracin ADSL entre Francia y el Reino Unido) Tipos de entidades Tipos de entidades Tipos de entidades RES_INF: Medios y soportes RES_INF: Medios y soportes RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes Poca fiabilidad de los soportes Problemas de mantenimiento

Interfaz que incorpora caractersticas tcnicas referidas al pas (ej.: conexiones telefnicas diferentes entre Francia y el reino Unido) Tipos de entidades Tipos de entidades RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo Pgina 128 de 189 Posibilidad de configurar, instalar o modificar en forma incorrecta los repetidores

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 RES_INT: Interfaz de comunicacin Envejecimiento del hardware Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin

Posibilidad de incompatibilidad entre los distintos recursos Tipos de entidades VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 29 - MAL FUNCIONAMIENTO DEL HARDWARE Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 129 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.30 SATURACIN DEL SISTEMA INFORMTICO


Falta de filtros que protejan al sistema contra saturaciones Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Consumo intil de recursos Tipos de entidades

Aplicacin que requiere recursos informticos que no se adaptan al hardware (ej.: falta de memoria RAM) Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Falta de consideracin, en la definicin de los requerimientos de un proyecto, de situaciones particulares que ponen al sistema en condiciones lmite Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Falta de calificacin de los desarrollos en un contexto representativo del uso Tipos de entidades

Dimensionamiento inadecuado de los recursos (ej.: falta de autonoma de una batera de ordenador porttil) Tipos de entidades MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware MAT_PAS.1: Soporte electrnico Pgina 130 de 189

Persistencia involuntaria de los datos en los soportes Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Ausencia de reglas que impongan el cumplimento de normas Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Falta de un seguimiento de los incidentes que permita prevenir eventuales fallos o saturaciones (esquemas orientativos) Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Falta de clusula contractual sobre la calidad de servicio de los sistemas que funcionan en condiciones lmite (intensa demanda del sistema, ingreso de datos no conformes, ingreso de datos en los lmites de funcionamiento) Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales Ausencia de una poltica de seguimiento del buen dimensionamiento de los equipos de la infraestructura de tratamiento de la informacin, incluidos los equipos de emergencia Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

Falta de instrucciones sobre el buen uso de los recursos informticos a fin de evitar comportamientos que conducen a la saturacin de los espacios de almacenamiento o de los recursos de tratamiento Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo

Falta de instrucciones referidas a los incidentes (deteccin, accin...) Tipos de entidades Falta de decisin de redimensionamiento que considere los significativos aumentos en el uso de los recursos informticos Tipos de entidades PER_DEC: Nivel de toma de decisiones Falta de implementacin de un seguimiento de los incidentes que permita prevenir eventuales fallos o saturaciones (esquemas orientativos) Tipos de entidades PER_EXP: Operador del sistema - Mantenimiento Falta de formacin sobre el correcto uso de las herramientas informticas (alteracin del sistema, instalacin de software incompatible...) Tipos de entidades Tipos de entidades PER_UTI: Usuarios PER_UTI: Usuarios Obtencin de un beneficio mediante la alteracin del sistema informtico Falta de concienciacin sobre las necesidades de economizar los recursos informticos del organismo (uso incorrecto de los espacios de almacenamiento...) Tipos de entidades PER_UTI: Usuarios Dimensionamiento inadecuado de los recursos de telecomunicacin, por ejemplo, como consecuencia del uso diario de recursos destinados a la solucin de emergencia Tipos de entidades Tipos de entidades PHY_SRV.1: Comunicacin PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa Dimensionamiento inadecuado de los recursos de emergencia

Posibilidad de que los repetidores sean sometidos a una gran demanda o una intensa interferencia (ej.: ataque de denegacin de servicio del tipo "smurf", "SYN flood"...) Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo

Posibilidad de configurar, instalar o modificar en forma incorrecta los repetidores Tipos de entidades

Dimensionamiento inadecuado (ej.: demasiados datos en relacin con el ancho mximo de banda) Tipos de entidades Dimensionamiento inadecuado de los recursos (ej.: demasiados usuarios en relacin con la capacidad mxima del directorio) Pgina 131 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades SYS_ANU: Directorio de la empresa SYS_WEB: Portal externo SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa

Posibilidad de someter el dispositivo a una enorme demanda que excede sus lmites

Acontecimiento puntual o perodo durante el cual se produce un aumento muy significativo del uso del sistema Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ANU: Directorio de la empresa

Dimensionamiento inadecuado de los recursos (ej.: demasiados usuarios en relacin con la cantidad de conexiones posible y el ancho de banda) Tipos de entidades Tipos de entidades SYS_INT: Dispositivo de acceso a Internet SYS_ITR: Intranet Falta de gestin de los derechos de escritura en los espacios de almacenamiento compartidos Dimensionamiento inadecuado de los recursos (ej.: espacio para almacenar o compartir ficheros demasiado limitado) Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades SYS_ITR: Intranet SYS_ITR: Intranet SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico Falta de aislamiento entre las redes de comunicacin Utilizacin de una lista de difusin interna accesible a todos Dimensionamiento inadecuado de los espacios de almacenamiento de los mensajes recibidos El correo electrnico permite la emisin automtica de mensajes Ausencia de proteccin contra spam Falta de limitacin del tamao de los ficheros adjuntos Uso incorrecto del servicio de correo electrnico por parte de los usuarios (utilizacin de los buzones de correo electrnico como espacio de archivado) Tipos de entidades Acceso pblico al portal Tipos de entidades Tipos de entidades SYS_WEB: Portal externo SYS_WEB: Portal externo Dimensionamiento inadecuado de los recursos (ej.: demasiadas conexiones simultneas) VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 30 - SATURACIN DEL SISTEMA INFORMTICO Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial Pgina 132 de 189 SYS_MES: Correo electrnico

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 133 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.31 FALLA DE FUNCIONAMIENTO DEL SOFTWARE


Posibles efectos secundarios vinculados con la actualizacin de un componente lgico Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo Pgina 134 de 189

Falta de conservacin de trazas de los procesamientos de informacin Tipos de entidades

Falta de formacin en el uso y mantenimiento del nuevo software Tipos de entidades

Falta de procedimiento de mantenimiento Tipos de entidades

Falta de procedimiento de calificacin antes de toda instalacin o actualizacin Tipos de entidades

Falta de procedimiento de sincronizacin de los relojes Tipos de entidades

Falta de envo de informes para un tratamiento centralizado de las fallas de funcionamiento Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software Posibilidad de configurar, instalar o modificar en forma incorrecta el sistema operativo Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Falta de informes de las operaciones de mantenimiento Tipos de entidades

Ausencia de gestin o error de gestin en la configuracin de los componentes lgicos (ej.: aplicacin de un parche de origen ingls no adaptado a una versin francesa) Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar SYS_MES: Correo electrnico LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo SYS_MES: Correo electrnico LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo ORG_DEP: Organizacin de la cual depende el organismo

Falta de documentacin actualizada Tipos de entidades

No se realiza ninguna verificacin de las aplicaciones antes de su instalacin Tipos de entidades

Uso de una versin obsoleta del sistema operativo o de las aplicaciones Tipos de entidades

Ausencia de reglas que impongan el cumplimento de normas Tipos de entidades Falta de un seguimiento de los incidentes que permita prevenir eventuales fallos o saturaciones (esquemas orientativos) Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_EXT: Subcontratistas - Proveedores - Industriales Ausencia de clusulas contractuales referentes a las condiciones de asistencia y servicio tcnico Ausencia de poltica que permita el aislamiento de los entornos de usuario a fin de evitar conceder derechos de modificacin de los sistemas y aplicaciones Tipos de entidades ORG_GEN: Organizacin del organismo Falta de instrucciones sobre el uso correcto de los recursos informticos a fin de evitar conductas Pgina 135 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 riesgosas Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo

Falta de instrucciones referidas a los incidentes (deteccin, accin...) Tipos de entidades Tipos de entidades Ausencia de plan de restablecimiento de las actividades esenciales del organismo

Falta de homogeneidad del parque informtico Tipos de entidades Software no probado lo suficiente (conjunto de juegos de prueba que no cubren la totalidad de las condiciones de funcionamiento intensa demanda del sistema, ingreso de datos no conformes, ingreso de datos en los lmites de funcionamiento) Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema Falta de un seguimiento de los incidentes que permita prevenir eventuales fallas de funcionamiento (esquemas orientativos) Tipos de entidades Falta de formacin Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades PER_DEV: Desarrollador PER_DEV: Desarrollador PER_EXP: Operador del sistema - Mantenimiento PER_EXP: Operador del sistema - Mantenimiento PER_EXP: Operador del sistema - Mantenimiento Ausencia de normas de seguridad durante los desarrollos Falta de formacin en el mantenimiento y uso de los nuevos equipos Dimensionamiento inadecuado de los recursos de gestin y mantenimiento Incumplimiento de los procedimientos de intervencin Falta de formacin sobre el correcto uso de las herramientas informticas (alteracin del sistema, instalacin de software incompatible...) Tipos de entidades Tipos de entidades PER_UTI: Usuarios RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin Posibilidad de configurar, instalar o modificar en forma incorrecta los repetidores PER_DEC: Nivel de toma de decisiones

Gestin incorrecta de las versiones y configuraciones de los pilotos Tipos de entidades Tipos de entidades Efectos secundarios de las interfaces (problemas de compatibilidad entre protocolos...) Posibilidad de que el dispositivo est sometido a peticiones o datos mal formados (ej.: buffer overflow, denegacin de servicio en el servidor LDAP) Tipos de entidades SYS_ITR: Intranet SYS_ANU: Directorio de la empresa SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS_INT: Dispositivo de acceso a Internet Pgina 136 de 189

Incumplimiento de los procedimientos de instalacin o de mantenimiento Tipos de entidades

Posibilidad de someter el dispositivo a una gran demanda que excede sus lmites Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Incompatibilidad de software (ej.: efecto secundario de un software antivirus que filtre los mensajes...) Tipos de entidades SYS_MES: Correo electrnico Posibilidad de que el dispositivo est sometido a peticiones o datos mal formados (ej.: buffer overflow, denegacin de servicio en el servidor SMTP, POP3, IMAP) Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_MES: Correo electrnico

Utilizacin de una versin obsoleta del servidor de correo electrnico Tipos de entidades VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 31 FALLA DE FUNCIONAMIENTO DEL SOFTWARE Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 137 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.32 PERJUICIO A INFORMACIN


Tipos de entidades

LA

MANTENIBILIDAD

DEL

SISTEMA

DE

No se realiza ninguna verificacin de las aplicaciones antes de su instalacin LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional Pgina 138 de 189

Falta de procedimiento de emergencia Tipos de entidades

Falta de procedimiento de vuelta atrs en caso de anomala durante una modificacin Tipos de entidades

Falta de procedimiento de mantenimiento Tipos de entidades

Falta de documentacin actualizada Tipos de entidades

Falta de informes de las operaciones de mantenimiento Tipos de entidades

Falta de conservacin de las trazas de los procesos y modificaciones Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software Software especfico Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Falta de formacin en el uso y mantenimiento del nuevo software Tipos de entidades

Software obsoleto Tipos de entidades

Software de configuracin no escalable Tipos de entidades

Falta de medios para una asistencia tcnica accesible desde fuera del organismo o desde un pas con importante diferencia horaria Tipos de entidades MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin MAT_ACT: Soporte de procesamiento de datos (activo) Pgina 139 de 189

Hardware de configuracin no escalable Tipos de entidades

Hardware obsoleto Tipos de entidades

Hardware especfico Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil Modificacin de los equipos, del software o de los procedimientos de respaldo de datos sin tener en cuenta anteriores respaldos o archivos Tipos de entidades Soporte obsoleto Tipos de entidades MAT_PAS.1: Soporte electrnico Prdida o gestin incorrecta de los documentos originales (contratos de asistencia tcnica, licencias...) Tipos de entidades MAT_PAS.2: Otros soportes Ausencia de polticas de seguridad para la proteccin de la infraestructura de tratamiento de la informacin en los establecimientos del organismo Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Falta de clusula contractual que asegure el restablecimiento de la actividad (en caso de cese de la actividad, en caso de quiebra del proveedor,...) Tipos de entidades Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Falta de garanta referida a la continuidad del organismo Falta de seguimiento de los contratos de mantenimiento y de soporte con los proveedores MAT_PAS.1: Soporte electrnico

Falta de instrucciones referidas a los incidentes (deteccin, accin...) Tipos de entidades

Falta de manual de aseguramiento de la calidad Tipos de entidades

Falta de estructura de proteccin de la documentacin y de los medios de mantenimiento de los sistemas Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_DEC: Nivel de toma de decisiones PER_DEC: Nivel de toma de decisiones

Ausencia de plan de restablecimiento de las actividades esenciales del organismo Tipos de entidades

Falta de procedimientos de gestin de la configuracin de los sistemas Tipos de entidades

Falta de aplicacin de normas o estndares durante el desarrollo del sistema de informacin Tipos de entidades

Falta de plan de formacin en el mantenimiento de los nuevos sistemas Tipos de entidades

Eleccin de tecnologa sin garanta de actualizacin permanente Tipos de entidades Tipos de entidades Bajo presupuesto asignado al mantenimiento Existencia de componentes obsoletos en la infraestructura de tratamiento de la informacin (desarrollo en lenguajes ms utilizados...) Pgina 140 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEV: Desarrollador PER_DEV: Desarrollador

Incumplimiento de las normas de calidad

Ausencia de estndares o de normas Tipos de entidades Tipos de entidades Incumplimiento de las normas de calidad Falta de formacin sobre el correcto uso de las herramientas informticas (alteracin del sistema, instalacin de software incompatible...) Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes RES_INF: Medios y soportes RES_INF: Medios y soportes RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo Pgina 141 de 189

Uso de software o de desarrollos fuera de las normas y estndares del organismo Tipos de entidades

Problemas de mantenimiento Tipos de entidades

Falta de plano del cableado Tipos de entidades Tipos de entidades Tipos de entidades El mantenimiento o la gestin de los equipos requiere la disponibilidad de los soportes de red El mantenimiento o la gestin del sistema se realiza por intermedio de la red

Falta de plazos mximos de garanta para los soportes de comunicacin Tipos de entidades

Uso de una versin obsoleta del sistema operativo o de las aplicaciones Tipos de entidades

Utilizacin de una versin obsoleta del servidor de correo electrnico Tipos de entidades

Uso de un sistema obsoleto Tipos de entidades

Uso de un sistema no estandarizado Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema Falta de cumplimiento de procedimientos de instalacin y mantenimiento (especificaciones de configuracin y parmetros) Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema

Falta de medios de soporte internos Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 32 - SATURACIN DEL SISTEMA DE INFORMACIN Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin Pgina 142 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 143 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.33 USO ILCITO DEL HARDWARE


Falta de gestin de licencia, de dispositivo de registro y de activacin Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_OS: Sistema operativo MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Posibilidad de utilizar un acceso oculto (puerta falsa) o un troyano en el sistema operativo Tipos de entidades

Uso compartido de una identificacin de conexin Tipos de entidades

Los recursos compartidos facilitan el uso del sistema por parte de personas no autorizadas Tipos de entidades Tipos de entidades El hardware est conectado a redes externas

El hardware utilizado permite un uso diferente del previsto (desarrollo de software no destinado al organismo...) Tipos de entidades MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico

Los soportes son accesibles a todos Tipos de entidades

Falta de definicin referida a las responsabilidades de seguridad de los sistemas de informacin en el reglamento interno Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Ausencia de polticas de seguridad para la proteccin de la infraestructura de tratamiento de la informacin en los establecimientos del organismo Tipos de entidades Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales Los responsables no tienen contacto con los servicios de expertos o de vigilancia tecnolgica Falta de concienciacin del personal sobre el riesgo de ser sancionado

Ausencia de clusulas contractuales referidas al uso del material informtico

Pgina 144 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_DEV: Desarrollador PER_DEV: Desarrollador PER_EXP: Operador del sistema - Mantenimiento

Falta de instrucciones referidas al uso del material informtico

Posibilidad de utilizar los recursos del organismo sin control (hardware de libre uso...) Tipos de entidades Tipos de entidades Falta de procedimiento de control

La poltica de seguridad no se aplica Tipos de entidades Tipos de entidades Ausencia de gua informtica que especifique los requerimientos de uso

Desconocimiento de las medidas de seguridad Tipos de entidades

Falta de concienciacin sobre los riesgos de sanciones Tipos de entidades

Derechos otorgados fuera de la legtima necesidad Tipos de entidades Obtencin de un beneficio Tipos de entidades

Incumplimiento de la gua informtica que especifica los requerimientos de uso Tipos de entidades

Falta de control de las necesidades materiales para desarrollar una aplicacin Tipos de entidades Tipos de entidades Tipos de entidades Ausencia de normas morales o ticas Falta de gestin del parque de hardware Falta de procedimientos de control de los permisos del personal que accede al establecimiento o a los locales Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales

Falta de procedimientos de control de la identidad de toda persona que ingrese en los diferentes locales o zonas Tipos de entidades PHY_LIE.3: Zona Pgina 145 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_LIE.2: Locales Falta de registro del ingreso de personas Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_SRV.1: Comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema

Falta de proteccin de las lneas y equipos de comunicacin Tipos de entidades Tipos de entidades Los equipos permiten utilizar los recursos del sistema desde el exterior del organismo

Los equipos son accesibles a todos Tipos de entidades

Los equipos estn conectado a redes externas Tipos de entidades

Los equipos utilizados permiten usos diferentes de los previstos Tipos de entidades

El dispositivo utilizado permite usos diferentes de los previstos Tipos de entidades

Falta de auditoras o de supervisin de los accesos (particularmente, inventario de los accesos usados con el exterior del organismo y tipologa de los flujos) Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema Pgina 146 de 189

Ausencia de normas de acceso Tipos de entidades

El hardware est conectado a redes externas Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 El dispositivo es accesible a todos Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 33 - USO ILCITO DEL HARDWARE Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 147 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.34 COPIA ILEGAL DE SOFTWARE


Falta de gestin de los privilegios asociados a los perfiles (administradores, usuarios, invitados...) Tipos de entidades MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_OS: Sistema operativo LOG_OS: Sistema operativo MAT_ACT.1: Hardware porttil MAT_ACT.2: Hardware fijo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin

Falta de gestin de licencia, de dispositivo de registro y de activacin Tipos de entidades

Software atractivo para el "pblico en general" Tipos de entidades

Posibilidad de copiar fcilmente software o paquetes de programas Tipos de entidades

Posibilidad de copiar fcilmente las versiones de los sistemas operativos propietarios Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Sistema operativo atractivo para el "pblico en general" Hardware que permite el registro de datos en soportes (disquete, ZIP, grabadora de CD/DVD) Hardware que permite el registro de datos en soportes (disquete, ZIP, grabadora de CD-ROM/DVD) Desinformacin sobre las leyes y los reglamentos que se aplican al tratamiento de la informacin

Falta de definicin referida a las responsabilidades de seguridad de los sistemas de informacin en el reglamento interno Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo Ausencia de una poltica de control de las licencias impuesta a los establecimientos del organismo Ausencia de clusulas contractuales sobre el uso de copias ilegales de software

Pgina 148 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEC: Nivel de toma de decisiones

Ausencia de gua informtica que especifique los requerimientos de uso Falta de concienciacin del personal sobre el riesgo de ser sancionado

Falta de concienciacin o de informacin sobre la legislacin referida a los derechos de autor Tipos de entidades

Falta de procedimiento de control Tipos de entidades

La poltica de seguridad no se aplica Tipos de entidades Tipos de entidades Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad

Desconocimiento de las medidas de seguridad Tipos de entidades

Obtencin de un beneficio Tipos de entidades

Incumplimiento de la gua informtica que especifica los requerimientos de uso Tipos de entidades

Falta de concienciacin sobre los riesgos de sanciones Tipos de entidades

Falta de procedimientos de control de la identidad de toda persona que ingrese en los diferentes locales o zonas Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales

Falta de procedimientos de control de los permisos del personal que accede al establecimiento o a los locales Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.3: Zona PHY_LIE.2: Locales

Falta de registro del ingreso de personas Tipos de entidades

No se realiza ninguna verificacin del origen de las aplicaciones antes de su instalacin Pgina 149 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema

El dispositivo de acceso permite el almacenamiento de software Tipos de entidades

El dispositivo de acceso permite la descarga de software Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 34 - COPIA ILEGAL DE SOFTWARE Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin Pgina 150 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 151 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.35 USO DE SOFTWARE FALSIFICADO O COPIADO


Falta de gestin de licencia, de dispositivo de registro y de activacin Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar

Posibilidad de copiar fcilmente software o paquetes de programas Tipos de entidades

Software atractivo para el "pblico en general" Tipos de entidades

Posibilidad de que los sistemas funcionen con sistemas operativos copiados en forma ilcita o falsificados Tipos de entidades LOG_OS: Sistema operativo Falta de definicin referida a las responsabilidades de seguridad de los sistemas de informacin en el reglamento interno Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo Ausencia de una poltica de control de las licencias impuesta a los establecimientos del organismo Ausencia de clusulas contractuales sobre la identificacin y la verificacin del origen del software Falta de concienciacin o de informacin sobre la legislacin referida a los derechos de autor

Falta de control de certificacin de los productos Tipos de entidades Tipos de entidades Tipos de entidades Falta de control del origen de los productos Ausencia de gua informtica que especifique los requerimientos de uso La poltica de seguridad no hace referencia a la notificacin de las obligaciones y responsabilidades de cada uno en materia civil, penal y reglamentaria Tipos de entidades ORG_GEN: Organizacin del organismo Falta de definicin de privilegios que limiten la posibilidad de realizar instalaciones en las estaciones de trabajo Tipos de entidades Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Pgina 152 de 189 Falta de concienciacin del personal sobre el riesgo de ser sancionado

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Incumplimiento de la gua informtica que especifica los requerimientos de uso Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_DEV: Desarrollador PER_DEV: Desarrollador

Desconocimiento de las medidas de seguridad Tipos de entidades

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

Ninguna certificacin de los productos Tipos de entidades Tipos de entidades Ningn procedimiento de evaluacin de los productos Falta de procedimiento y medios de verificacin del origen del software (firma del cdigo, del binario...) Tipos de entidades Tipos de entidades PER_DEV: Desarrollador PHY_LIE.3: Zona PHY_LIE.2: Locales Falta de registro del ingreso de personas

Falta de procedimientos de control de los permisos del personal que accede al establecimiento o a los locales Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales

Falta de procedimientos de control de la identidad de toda persona que ingrese en los diferentes locales o zonas Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico Pgina 153 de 189

No se realiza ninguna verificacin del origen de las aplicaciones antes de su instalacin Tipos de entidades

El dispositivo de acceso permite el almacenamiento de software Tipos de entidades

El dispositivo de acceso permite la descarga de software Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 35 - USO DE SOFTWARE FALSIFICADO O COPIADO Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 154 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.36 ALTERACIN DE DATOS


Falta de control de la integridad de los datos Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar SYS_MES: Correo electrnico LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar

Falta de procedimiento y de dispositivo de autorizacin para la modificacin de datos Tipos de entidades

El enlace de mantenimiento remoto est permanentemente activado Tipos de entidades

Falta de restriccin en los puntos de ingreso del software Tipos de entidades

No se realiza ninguna verificacin de las aplicaciones antes de su instalacin Tipos de entidades

Falta de implementacin de normas de seguridad de base aplicables al sistema operativo y al software Tipos de entidades SYS_MES: Correo electrnico LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar Pgina 155 de 189

El software permite acceder a datos (contenido del disco duro, base de datos...) Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Posibilidad de gestionar el sistema en forma remota desde cualquier puesto Tipos de entidades SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo LOG_OS: Sistema operativo SYS_MES: Correo electrnico LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Posibilidad de gestionar el sistema en forma remota con herramientas de gestin no cifradas Tipos de entidades

El sistema operativo permite acceder a datos (base de datos...) Tipos de entidades Tipos de entidades Contraseas de conexin demasiado simples

No se realiza ninguna verificacin del sistema operativo antes de su instalacin Tipos de entidades Tipos de entidades Tipos de entidades Los recursos compartidos facilitan el uso del sistema por parte de personas no autorizadas Posibilidad de gestionar el sistema en forma remota

El dispositivo SNMP est activado Tipos de entidades

Ausencia de normas de proteccin de datos Tipos de entidades

El hardware puede ser inicializado por cualquier persona a partir de un perifrico (ej.: disquete, CDROM) Tipos de entidades Hardware obsoleto Tipos de entidades MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT.2: Hardware fijo MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT.3: Perifrico de procesamiento MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Falta de redundancia o procedimiento de respaldo de datos Tipos de entidades Desgaste de los soportes Tipos de entidades

Falta de medios de proteccin y control de la integridad de los datos Tipos de entidades

Ausencia de normas y de procedimientos sobre la autorizacin del personal Pgina 156 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo

Ausencia de una poltica de gestin y de control de las autorizaciones impuesta a los establecimientos del organismo Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Ausencia de una poltica de proteccin de la informacin impuesta a los establecimientos del organismo Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Falta de definicin referida a las responsabilidades de seguridad de los sistemas de informacin en el reglamento interno Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales Ausencia de una poltica de permisos de acceso a la informacin

Falta de seguridad de los accesos al SI (pasarelas, deteccin de intrusos, supervisin de los acontecimientos de seguridad,...) Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento Pgina 157 de 189

Ausencia de clusulas contractuales referidas a la proteccin del material informtico Tipos de entidades Tipos de entidades Falta de control de la aplicacin de la poltica de seguridad

Falta de instrucciones referidas al uso del material informtico Tipos de entidades

Falta de prevencin y de deteccin de virus y otros programas maliciosos Tipos de entidades

Falta de control de acceso a la informacin Tipos de entidades Tipos de entidades Falta de plan de formacin sobre los problemas de seguridad

Falta de procedimientos de control de los disquetes provenientes de fuera del organismo Tipos de entidades

Ausencia de gua informtica que especifique los requerimientos de uso Tipos de entidades

Incumplimiento de la gua informtica que especifica los requerimientos de uso Tipos de entidades

Falta de proteccin y clasificacin de la informacin Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Falta de concienciacin del personal sobre el riesgo de ser sancionado Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal

Desconocimiento de las medidas de seguridad Tipos de entidades

Personal manipulable Tipos de entidades

Situacin conflictiva entre personas Tipos de entidades

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

Falta de procedimientos de control de la identidad de toda persona que ingrese en los diferentes locales o zonas Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales

Falta de procedimientos de control de los permisos del personal que accede al establecimiento o a los locales Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_SRV.1: Comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red RES_INF: Medios y soportes

Falta de registro del ingreso de personas Tipos de entidades

Falta de proteccin de las lneas y equipos de comunicacin Tipos de entidades Tipos de entidades Falta de proteccin fsica y lgica (aislamiento...)

Posibilidad de actuar sobre los datos enviados utilizando los medios de comunicacin Tipos de entidades

Pgina 158 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 La red permite modificar los recursos del sistema o actuar sobre ellos Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_ANU: Directorio de la empresa SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet

La red facilita el uso de los recursos por parte de personas no autorizadas Tipos de entidades

Falta de dispositivo slido de control de acceso Tipos de entidades Tipos de entidades Falta de procedimiento respaldo de datos

El dispositivo permite borrar, modificar o instalar programas en forma remota Tipos de entidades

El dispositivo permite introducir programas hostiles tales como troyanos, virus, gusanos, bombas lgicas... Tipos de entidades SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet

El dispositivo permite gestionar el funcionamiento asncrono de ciertas partes o comandos del sistema operativo (ej.: componentes javascript que exploran el contenido del disco duro) Tipos de entidades SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ITR: Intranet

Falta de aislamiento entre las redes de comunicacin Tipos de entidades El correo electrnico permite gestionar el funcionamiento asncrono de ciertas partes o comandos del sistema operativo (ej.: envo automtico de ficheros adjuntos) Tipos de entidades Tipos de entidades Tipos de entidades SYS_MES: Correo electrnico SYS_WEB: Portal externo SYS_WEB: Portal externo Falta de auditoras o de supervisin de los accesos Ausencia de normas de acceso VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 36 - ALTERACIN DE LOS DATOS Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo Pgina 159 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 160 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.37 TRATAMIENTO ILCITO DE LOS DATOS


Software que puede ser utilizado por todos (ej.: falta de contrasea requerida para la gestin remota de un puesto) Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_STD: Paquete de programas o software estndar LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar

Falta de dispositivo de cifrado Tipos de entidades

Posibilidad de utilizar un acceso oculto (puerta falsa) o un troyano en el sistema operativo Tipos de entidades

Posibilidad de inicializar varios sistemas operativos en la misma mquina (ej.: acceso a las particiones NTFS va Linux) Tipos de entidades Tipos de entidades Falta de proteccin fsica Tipos de entidades Tipos de entidades MAT_ACT.3: Perifrico de procesamiento MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS.1: Soporte electrnico MAT_PAS.1: Soporte electrnico ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Pgina 161 de 189 Falta de medio de identificacin de la sensibilidad de los datos que contienen los soportes LOG_OS: Sistema operativo LOG_SRV: Software de servicio, mantenimiento o gestin Posibilidad de utilizar un acceso oculto (puerta falsa) o un troyano en el sistema operativo

Los soportes son accesibles a todos Tipos de entidades

Soportes atractivos (valor mercantil, tecnolgico, estratgico) Tipos de entidades

Soportes mviles o fcilmente transportables (ej.: disquete, ZIP, disco duro extrable) Tipos de entidades

Falta de medio de cifrado Tipos de entidades Tipos de entidades Tipos de entidades Falta de procedimiento y medio de destruccin Desinformacin sobre las leyes y los reglamentos que se aplican al tratamiento de la informacin

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 ORG_DEP: Organizacin de la cual depende el organismo Los responsables no tienen contacto con los servicios de expertos o de vigilancia tecnolgica Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Falta de definicin referida a las responsabilidades de seguridad de los sistemas de informacin en el reglamento interno Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Ausencia de una poltica de proteccin de la informacin impuesta a los establecimientos del organismo Tipos de entidades Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo Ausencia de clusula contractual de confidencialidad Falta de dispositivo de control y de sancin

Falta de instrucciones referidas a los incidentes (deteccin, accin...) Tipos de entidades

Falta de control de acceso a la informacin Tipos de entidades Tipos de entidades Falta de concienciacin sobre las responsabilidades individuales Falta de designacin de un responsable de la proteccin de datos e informaciones vinculadas con los individuos Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo

La poltica de seguridad no se aplica, particularmente en lo que se refiere al tratamiento de los datos personales Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_PRO: Organizacin de un proyecto o sistema PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Falta de concienciacin del personal Falta de proteccin y de auditoras de acceso a los datos delicados Falta de concienciacin del personal sobre el riesgo de ser sancionado

Falta de formacin que especifique las condiciones de uso lcito de la informacin Tipos de entidades

Falta de proteccin y clasificacin de la informacin Tipos de entidades

Pgina 162 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Desconocimiento de las medidas de seguridad Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS_MES: Correo electrnico SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa

Presencia de un acceso de escucha ilcito Tipos de entidades

Falta de identificacin de los niveles de proteccin de los sistemas Tipos de entidades

Falta de control del contenido Tipos de entidades

Falta de auditoras o de supervisin de los accesos Tipos de entidades

Falta de gestin de autorizacin de los accesos Tipos de entidades

El dispositivo facilita la divulgacin de informacin fuera del organismo Tipos de entidades

El dispositivo est conectado a redes externas Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 37 - TRATAMIENTO ILCITO DE LOS DATOS Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares Pgina 163 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 164 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.38 ERROR DE USO


Falta de documentacin explcita sobre las aplicaciones Tipos de entidades LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_INT: Interfaz de comunicacin MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet Pgina 165 de 189

Conocimientos tcnicos insuficientes del usuario Tipos de entidades

Falta de procedimientos de prueba y de recepcin conforme a las especificaciones Tipos de entidades

Falta de validacin de los datos de entrada (de ingreso) Tipos de entidades

Falta de responsabilidad Tipos de entidades

Aplicacin de uso complejo Tipos de entidades

Falta de asistencia al usuario accesible Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar Uso no intuitivo del software Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Software de uso complejo Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo Conocimientos tcnicos insuficientes Falta de asistencia accesible Falta de formacin en el uso y mantenimiento del nuevo software

Hardware de uso complejo o poco ergonmico Tipos de entidades

Malas condiciones de uso Tipos de entidades

Posibilidad de que cierto hardware provoque perjuicios al personal usuario (trabajo frente a un monitor, ondas...) Tipos de entidades MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil

Falta de etiquetado de los soportes Pgina 166 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS.1: Soporte electrnico ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_DEC: Nivel de toma de decisiones PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador Pgina 167 de 189

Soportes de uso complejo o poco ergonmico Tipos de entidades Tipos de entidades Tipos de entidades Falta de un control de los procesos crticos por parte del organismo central Falta de doble control de los procesos crticos

Falta de formacin referida al hardware o software utilizado Tipos de entidades

Desconocimiento de las responsabilidades Tipos de entidades Tipos de entidades Tipos de entidades Falta de formalizacin de las responsabilidades conocidas por todos Condiciones de trabajo desfavorables

Falta de profesionalismo Tipos de entidades

Incumplimiento de las instrucciones Tipos de entidades

Personal usuario que ha recibido poca formacin o formacin de mala calidad Tipos de entidades

Existen operaciones muy delicadas que slo debe poder realizar una sola persona Tipos de entidades Tipos de entidades Falta de documentacin sobre el uso de las aplicaciones existentes

Falta de motivacin para los trabajos vinculados con el ingreso de datos Tipos de entidades

Personal poco acostumbrado al ingreso de datos Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Entorno de trabajo desfavorable (locales demasiado pequeos, falta de espacio para ubicar los elementos de trabajo...) Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_SRV.1: Comunicacin PHY_SRV.1: Comunicacin PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes RES_INF: Medios y soportes

Falta de etiquetado de los cables o falta de plano del cableado Tipos de entidades Tipos de entidades Tipos de entidades Espacio insuficiente en los locales tcnicos Falta de procedimiento de uso

Falta de etiquetado y de esquema de diseo actualizado Tipos de entidades Falta de plano del cableado Tipos de entidades Interfaz que incorpora caractersticas tcnicas referidas al pas (ej.: conexiones telefnicas diferentes entre Francia y el Reino Unido) Tipos de entidades RES_INT: Interfaz de comunicacin Medios y soportes que incorporan caractersticas tcnicas especficas de su localizacin (ej.: diferentes parmetros de configuracin ADSL entre Francia y el Reino Unido) Tipos de entidades Tipos de entidades RES_REL: Repetidor pasivo o activo SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales Pgina 168 de 189 Falta de medidas de proteccin (slo lectura...)

Falta de herramientas de supervisin Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 38 - ERROR DE USO Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 169 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.39 ABUSO DE DERECHO


Ausencia de una poltica de auditoras Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo

Falta de respaldo de los registros de acontecimientos Tipos de entidades

Falta de registro de los acontecimientos Tipos de entidades

Ficheros de imputacin complejos o poco ergonmicos Tipos de entidades

Contraseas de conexin demasiado simples Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Posibilidad de gestionar el sistema en forma remota con herramientas de gestin no cifradas La base de contraseas del sistema operativo puede descifrarse fcilmente El dispositivo SNMP est activado Posibilidad de que el sistema operativo est sometido a peticiones o datos mal formados (ej.: buffer overflow) Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_OS: Sistema operativo LOG_OS: Sistema operativo

El enlace de mantenimiento remoto est permanentemente activado Tipos de entidades Posibilidad de gestionar el sistema en forma remota Pgina 170 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo

Los logs o registros del sistema operativo pueden ser modificados por todos Los recursos compartidos facilitan el uso del sistema por parte de personas no autorizadas El sistema operativo es accesible y puede ser utilizado por todos (ej.: conexin a la cuenta "invitado") El sistema operativo no actualiza los registros o los acontecimientos del sistema El sistema operativo permite realizar conexiones annimas El sistema operativo permite abrir una sesin sin ingresar la contrasea Posibilidad de gestionar el sistema en forma remota desde cualquier puesto Uso de una versin obsoleta del sistema operativo o de las aplicaciones Las contraseas ingresadas para acceder al sistema operativo pueden descifrarse fcilmente Posibilidad de inicializar varios sistemas operativos en la misma mquina (ej.: acceso a las particiones NTFS va Linux) Tipos de entidades LOG_OS: Sistema operativo Software que puede ser utilizado por todos (ej.: falta de contrasea requerida para la gestin remota de un puesto) Tipos de entidades Falta de proteccin fsica Tipos de entidades MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS.2: Otros soportes LOG_SRV: Software de servicio, mantenimiento o gestin

Falta de dispositivo slido de control de acceso Tipos de entidades

Falta de auditoras de los procedimientos de control de acceso fsico Tipos de entidades Ausencia de una poltica de gestin y de control de las autorizaciones impuesta a los establecimientos del organismo Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo Falta de definicin referida a las responsabilidades de seguridad de los sistemas de informacin en el reglamento interno Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Pgina 171 de 189 Los responsables no tienen contacto con los servicios de expertos o de vigilancia tecnolgica Ausencia de clusulas contractuales que limiten las responsabilidades de ambas partes Falta de definicin del derecho de conocer la informacin

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Falta de dispositivo de control y de sancin Tipos de entidades Tipos de entidades ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Falta de un reglamento que defina los derechos

Las atribuciones de los usuarios no estn claramente definidas Tipos de entidades Tipos de entidades Tipos de entidades Falta de control de las atribuciones de los derechos de los usuarios Preeminencia de la categora de personal

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

Existen operaciones muy delicadas que slo debe poder realizar una sola persona Tipos de entidades

Obtencin de un beneficio Tipos de entidades

Para el personal, no est definida la nocin de derecho Tipos de entidades

Falta de procedimientos de control de los permisos del personal que accede al establecimiento o a los locales Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales RES_INF: Medios y soportes SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo Pgina 172 de 189

Falta de proteccin fsica y lgica Tipos de entidades Tipos de entidades No se aplica el principio del menor privilegio

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 RES_INT: Interfaz de comunicacin Posibilidad de utilizar los recursos sin generar trazas Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

El dispositivo es accesible a todos Tipos de entidades

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 39 - ABUSO DE DERECHO Tipos de entidades

Pgina 173 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.40 USURPACIN DE DERECHO


Ausencia de una poltica de auditoras Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo SYS_MES: Correo electrnico LOG_OS: Sistema operativo RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin Pgina 174 de 189

Falta de respaldo de los registros de acontecimientos Tipos de entidades

Falta de registro de los acontecimientos Tipos de entidades

Los logs o registros del sistema operativo pueden ser modificados por todos Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades El sistema operativo permite abrir una sesin sin ingresar la contrasea El sistema operativo permite realizar conexiones annimas El sistema operativo no actualiza los registros o los acontecimientos del sistema El sistema operativo es accesible y puede ser utilizado por todos (ej.: conexin a la cuenta "invitado") Los recursos compartidos facilitan el uso del sistema por parte de personas no autorizadas La base de contraseas del sistema operativo puede descifrarse fcilmente El dispositivo SNMP est activado

Ficheros de imputacin complejos o poco ergonmicos Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 LOG_OS: Sistema operativo Posibilidad de gestionar el sistema en forma remota con herramientas de gestin no cifradas Tipos de entidades SYS_MES: Correo electrnico LOG_OS: Sistema operativo SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo SYS_MES: Correo electrnico RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin LOG_OS: Sistema operativo LOG_OS: Sistema operativo SYS_MES: Correo electrnico LOG_OS: Sistema operativo SYS_MES: Correo electrnico LOG_OS: Sistema operativo

Posibilidad de gestionar el sistema en forma remota Tipos de entidades

El enlace de mantenimiento remoto est permanentemente activado Tipos de entidades

Las contraseas ingresadas para acceder al sistema operativo pueden descifrarse fcilmente Tipos de entidades Tipos de entidades Contraseas de conexin demasiado simples

Uso de una versin obsoleta del sistema operativo o de las aplicaciones Tipos de entidades

Posibilidad de que el sistema operativo est sometido a peticiones o datos mal formados (ej.: buffer overflow) Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_OS: Sistema operativo

Posibilidad de inicializar varios sistemas operativos en la misma mquina (ej.: acceso a las particiones NTFS va Linux) Tipos de entidades Tipos de entidades LOG_OS: Sistema operativo SYS_MES: Correo electrnico LOG_OS: Sistema operativo Posibilidad de gestionar el sistema en forma remota desde cualquier puesto

Software que puede ser utilizado por todos (ej.: falta de contrasea requerida para la gestin remota de un puesto) Tipos de entidades Tipos de entidades LOG_SRV: Software de servicio, mantenimiento o gestin MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil RES_REL: Repetidor pasivo o activo MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT.3: Perifrico de procesamiento MAT_PAS.1: Soporte electrnico MAT_PAS.2: Otros soportes El hardware est conectado a redes externas

Falta de dispositivo slido de control de acceso Tipos de entidades

Falta de aislamiento de los equipos Tipos de entidades Tipos de entidades Tipos de entidades Falta de proteccin de los soportes Falta de auditoras de los procedimientos de control de acceso fsico Los responsables no tienen contacto con los servicios de expertos o de vigilancia tecnolgica Pgina 175 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo

Ausencia de normas y de procedimientos sobre la autorizacin del personal Falta de concienciacin sobre los riesgos de sanciones Falta de definicin referida a las responsabilidades de seguridad de los sistemas de informacin en el reglamento interno Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones Pgina 176 de 189 Falta de procedimiento de control

Posibilidad de utilizar los recursos del organismo sin control (hardware de libre uso...) Tipos de entidades

Falta de proteccin de los espacios dedicados a intercambiar o a compartir informacin Tipos de entidades Tipos de entidades Falta de procedimiento de autorizacin del personal

Ausencia de un clima de confianza entre los individuos Tipos de entidades

Las responsabilidades de seguridad en cuanto a la gestin de los permisos no han sido formalizadas Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Organizacin no adaptada Tipos de entidades Falta de comunicacin y de informacin de los procedimientos de autorizacin del personal Falta de procedimiento de envo de informe en caso de deteccin de anomalas La poltica de seguridad no se aplica

Derechos otorgados fuera de la legtima necesidad Tipos de entidades

Situacin conflictiva entre personas Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PER: Personal Ausencia de normas morales o ticas Tipos de entidades PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal

Obtencin de un beneficio Tipos de entidades

Existen operaciones muy delicadas que slo debe poder realizar una sola persona Tipos de entidades

Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad Tipos de entidades

Misiones poco adaptadas al personal Tipos de entidades

Falta de procedimientos de control de los permisos del personal que accede al establecimiento o a los locales Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes RES_INF: Medios y soportes RES_INF: Medios y soportes RES_INF: Medios y soportes RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes

Falta de proteccin fsica y lgica (aislamiento...) Tipos de entidades

Falta de aislamiento de la red Tipos de entidades

Las interfaces estn conectadas a redes externas Tipos de entidades Tipos de entidades Tipos de entidades Falta de proteccin fsica Tipos de entidades Los soportes y los medios estn conectados a redes externas Posibilidad de modificar caractersticas tcnicas (ej.: direccin MAC de una tarjeta Ethernet)

La red permite modificar los recursos del sistema o actuar sobre ellos Pgina 177 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin

Presencia de un protocolo que no dispone de funcin de autenticacin Tipos de entidades

Las interfaces son accesibles a todos Tipos de entidades Tipos de entidades La red facilita el uso de los recursos por parte de personas no autorizadas

Los repetidores no identifican ni las fuentes ni los destinos (ejemplo de impacto: sistema vulnerable a los ataques basados en "spoofing") Tipos de entidades Tipos de entidades RES_REL: Repetidor pasivo o activo SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS_MES: Correo electrnico SYS_MES: Correo electrnico SYS_MES: Correo electrnico El dispositivo es accesible a todos

Posibilidad de que el dispositivo est sometido a peticiones o datos mal formados (ej.: buffer overflow) Tipos de entidades

No se realiza ningn control de las aplicaciones antes de su instalacin Tipos de entidades Tipos de entidades Tipos de entidades Se puede acceder al dispositivo de correo electrnico desde Internet Utilizacin de una versin obsoleta del servidor de correo electrnico VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 40 - USURPACIN DE DERECHO Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal Pgina 178 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 179 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.41 NEGACIN DE ACCIONES


Ausencia de una poltica de auditoras Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo

Falta de respaldo de los registros de acontecimientos Tipos de entidades

Falta de registro de los acontecimientos Tipos de entidades

El sistema operativo no actualiza los registros o los acontecimientos del sistema Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades El dispositivo SNMP est activado Posibilidad de gestionar el sistema en forma remota con herramientas de gestin no cifradas Ficheros de imputacin complejos o poco ergonmicos

Contraseas de conexin demasiado simples Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Las contraseas ingresadas para acceder al sistema operativo pueden descifrarse fcilmente La base de contraseas del sistema operativo puede descifrarse fcilmente El sistema operativo permite realizar conexiones annimas Posibilidad de que el sistema operativo est sometido a peticiones o datos mal formados (ej.: buffer Pgina 180 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 overflow) Tipos de entidades LOG_STD: Paquete de programas o software estndar LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo

Posibilidad de gestionar el sistema en forma remota desde cualquier puesto Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Uso de una versin obsoleta del sistema operativo o de las aplicaciones El sistema operativo es accesible y puede ser utilizado por todos (ej.: conexin a la cuenta "invitado") Posibilidad de gestionar el sistema en forma remota Los logs o registros del sistema operativo pueden ser modificados por todos Posibilidad de inicializar varios sistemas operativos en la misma mquina (ej.: acceso a las particiones NTFS va Linux) Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo LOG_OS: Sistema operativo El sistema operativo permite abrir una sesin sin ingresar la contrasea El enlace de mantenimiento remoto est permanentemente activado Los recursos compartidos facilitan el uso del sistema por parte de personas no autorizadas Software que puede ser utilizado por todos (ej.: falta de contrasea requerida para la gestin remota de un puesto) Tipos de entidades Tipos de entidades LOG_SRV: Software de servicio, mantenimiento o gestin RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_PAS.2: Otros soportes PER_UTI: Usuarios PER_DEC: Nivel de toma de decisiones ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo Pgina 181 de 189 Falta de dispositivo de trazas y de auditora

El hardware es accesible y puede ser utilizado por todos Tipos de entidades

Los soportes son accesibles a todos Tipos de entidades

Falta de procedimiento de acceso a la informacin clasificada Tipos de entidades Tipos de entidades Cambio de poltica o de estrategia de organizacin

Falta de definicin de las responsabilidades Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 ORG_DEP: Organizacin de la cual depende el organismo Falta de definicin referida a las responsabilidades de seguridad de los sistemas de informacin en el reglamento interno Tipos de entidades Tipos de entidades ORG_DEP: Organizacin de la cual depende el organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_DEP: Organizacin de la cual depende el organismo Falta de procedimientos disciplinarios

Presencia de un inters poltico-econmico Tipos de entidades Tipos de entidades Ausencia de una poltica global de gestin y de archivado de las trazas y otros elementos de prueba Falta de clusula contractual referida a la definicin de los procedimientos de comunicacin e intercambio de informacin Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_PRO: Organizacin de un proyecto o sistema PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal PER_UTI: Usuarios PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios Pgina 182 de 189 Falta de control mutuo de cdigos Presencia de clusula de multa o sancin desmesurada o no adaptada al contexto Ausencia de un mecanismo de seguimiento de actividad, de registros de acontecimientos y de alertas

Posibilidad de utilizar los recursos del organismo sin control (hardware de libre uso...) Tipos de entidades

Falta de estructura jerrquica y procedimientos de informes Tipos de entidades Tipos de entidades Tipos de entidades Ausencia de funciones de auditora separadas de las funciones de seguimiento Falta de apoyo por parte de la direccin a la aplicacin de la poltica de seguridad

Obtencin de un beneficio Tipos de entidades

Falta de confianza en la organizacin Tipos de entidades

No se conoce la responsabilidad de cada uno Tipos de entidades

Situacin conflictiva entre personas Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones Falta de registro histrico de las entradas y salidas de personas Tipos de entidades PHY_LIE.3: Zona PHY_LIE.2: Locales RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes RES_INF: Medios y soportes

Los repetidores son accesibles a todos Tipos de entidades

El soporte de comunicacin permite utilizar los servicios del sistema desde el exterior del organismo Tipos de entidades Los soportes y medios son accesibles a todos y estn activos por defecto (ej.: conjunto de conectores RJ45 fijos) Tipos de entidades Tipos de entidades RES_INF: Medios y soportes RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin RES_INT: Interfaz de comunicacin SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema La red facilita el uso de los recursos por parte de personas no autorizadas

El protocolo no permite la identificacin segura del emisor Tipos de entidades Tipos de entidades La red permite modificar los recursos del sistema o actuar sobre ellos

El protocolo no permite el envo de acuses de recibo Tipos de entidades Tipos de entidades Tipos de entidades Posibilidad de utilizar los recursos sin generar trazas El dispositivo de acceso no registra las trazas provenientes de su uso

El acceso al dispositivo de trazas no est protegido Tipos de entidades

El dispositivo es accesible a todos (ej.: dispositivo que no autentica las estaciones de trabajo de clientes ni los usuarios) Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet Pgina 183 de 189

El dispositivo est conectado a redes externas Tipos de entidades

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 41 - NEGACIN DE ACCIONES Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 184 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

4.42 DAO A LA DISPONIBILIDAD DEL PERSONAL


Posibilidad de que cierto hardware provoque perjuicios al personal usuario (trabajo frente a un monitor, ondas...) Tipos de entidades MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico ORG_DEP: Organizacin de la cual depende el organismo

Falta de procedimiento de archivado Tipos de entidades

Presencia de un clima social desfavorable Tipos de entidades Presencia de un conflicto poltico-econmico entre el pas de origen de la organizacin y el pas que la acoge Tipos de entidades ORG_GEN: Organizacin del organismo ORG_DEP: Organizacin de la cual depende el organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo PER_UTI: Usuarios ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo

Falta de clusulas o procedimientos de transferencia de los conocimientos Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Falta de continuidad financiera o tecnolgica del organismo Falta de clusula de continuidad de provisin del servicio Falta de elementos para la proteccin del personal Presencia de una epidemia viral local Falta de procedimientos de transferencia de conocimientos

Presencia, en la organizacin, de un clima social desfavorable para la actividad Tipos de entidades Falta de plan de concienciacin y de formacin sobre los procedimientos de contingencia para las actividades profesionales Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_GEN: Organizacin del organismo ORG_PRO: Organizacin de un proyecto o sistema ORG_PRO: Organizacin de un proyecto o sistema ORG_PRO: Organizacin de un proyecto o sistema

Falta de procesos de gestin de la continuidad de las actividades profesionales del organismo Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Subdimensionamiento de la organizacin Falta de suplentes del personal estratgico Falta de estructura redundante de las funciones delicadas Falta de procesos de gestin de la continuidad de las actividades profesionales del equipo de proyecto Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema Pgina 185 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Ausencia de base documental de las normas y procedimientos Tipos de entidades Tipos de entidades Tipos de entidades ORG_PRO: Organizacin de un proyecto o sistema PER_DEC: Nivel de toma de decisiones PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_EXP: Operador del sistema - Mantenimiento PER_DEV: Desarrollador PER_UTI: Usuarios PHY_LIE.1: Entorno externo PHY_LIE.2: Locales PHY_LIE.2: Locales Falta de disponibilidad provocada por una actitud competitiva Falta de disponibilidad por causa de enfermedad

Falta de disponibilidad debida al ausentismo Tipos de entidades

Falta de disponibilidad provocada (agresin fsica, toma de rehenes...) Tipos de entidades

Problemas sociales Tipos de entidades Clima social conflictivo Tipos de entidades Tipos de entidades Tipos de entidades Tipos de entidades Clima social complicado que puede provocar huelgas de transporte Personal especializado alojado en locales remotos Personal que reside lejos de los locales del organismo Posibilidad de consecuencias nocivas para el personal usuario (transmisin por va hertziana, ondas...) Tipos de entidades RES_REL: Repetidor pasivo o activo RES_INF: Medios y soportes

VULNERABILIDADES VINCULADAS CON EL MTODO DE ATAQUE 42 - PERJUICIOS A LA DISPONIBILIDAD DEL PERSONAL Tipos de entidades SYS_WEB: Portal externo SYS_MES: Correo electrnico SYS_ITR: Intranet SYS_INT: Dispositivo de acceso a Internet SYS_ANU: Directorio de la empresa SYS: Sistema RES_REL: Repetidor pasivo o activo RES_INT: Interfaz de comunicacin RES_INF: Medios y soportes RES: Red PHY_SRV: Servicio esencial PHY_SRV.3: Refrigeracin - Contaminacin PHY_SRV.2: Energa PHY_SRV.1: Comunicacin PHY_LIE: Lugares PHY_LIE.3: Zona PHY_LIE.2: Locales PHY_LIE.1: Entorno externo PER_UTI: Usuarios PER_EXP: Operador del sistema - Mantenimiento Pgina 186 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 PER_DEV: Desarrollador PER_DEC: Nivel de toma de decisiones PER: Personal ORG_PRO: Organizacin de un proyecto o sistema ORG_GEN: Organizacin del organismo ORG_EXT: Subcontratistas - Proveedores - Industriales ORG_DEP: Organizacin de la cual depende el organismo ORG: Organizacin MAT_PAS: Soporte de datos (pasivo) MAT_PAS.2: Otros soportes MAT_PAS.1: Soporte electrnico MAT_ACT: Soporte de procesamiento de datos (activo) MAT_ACT.3: Perifrico de procesamiento MAT_ACT.2: Hardware fijo MAT_ACT.1: Hardware porttil MAT: Hardware LOG_STD: Paquete de programas o software estndar LOG_SRV: Software de servicio, mantenimiento o gestin LOG_OS: Sistema operativo LOG_APP: Aplicacin profesional LOG_APP.2: Aplicacin profesional especfica LOG_APP.1: Aplicacin profesional estndar LOG: Software

Pgina 187 de 189

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004

Formulario de recogida de comentarios


Este formulario puede enviarse a la siguiente direccin: Secrtariat gnral de la dfense nationale Direction centrale de la scurit des systmes d'information Sous-direction des oprations Bureau conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP conseil.dcssi@sgdn.pm.gouv.fr Identificacin del aporte Nombre y organismo (facultativo): ............................................................................................................ Direccin de correo electrnico: ................................................................................................................ Fecha: ........................................................................................................................................................ Observaciones generales sobre este documento El documento responde a sus necesidades? En caso afirmativo: Piensa que puede mejorarse su contenido? En caso afirmativo: Qu otros temas hubiera deseado que tratramos? ................................................................................................................. ................................................................................................................. Qu partes del documento le parecen intiles o inadecuadas? ................................................................................................................. ................................................................................................................. Piensa que puede mejorarse su formato? En caso afirmativo: En qu aspecto podramos mejorarlo? - legibilidad, comprensin - presentacin - otro Indique sus preferencias en cuanto al formato: ................................................................................................................. ................................................................................................................. En caso negativo: Indique el aspecto que no le resulta conveniente y defina lo que le hubiera resultado conveniente: .......................................................................................................................................... .......................................................................................................................................... Qu otros temas deseara que se trataran? .......................................................................................................................................... .......................................................................................................................................... Si No Si No Si No

SGDN / DCSSI / SDO / BCS EBIOS v2 Seccin 4 Herramientas (Apreciacin) 5 de febrero de 2004 Observaciones especficas sobre este documento Puede formular comentarios detallados utilizando el siguiente cuadro. "N" indica un nmero de orden. El "tipo" est compuesto por dos letras: La primera letra indica la categora de la observacin: - O Error de ortografa o de gramtica - E Falta de explicaciones o de aclaracin en un punto existente Texto incompleto o faltante - I - R Error La segunda letra indica su carcter: - m menor Mayor - M La "referencia" indica la ubicacin precisa en el texto (nmero de prrafo, lnea...). El "enunciado de la observacin" permite formalizar el comentario. La "solucin propuesta" permite presentar la forma de resolver el reto enunciado. N 1 Tipo Referencia Enunciado de la observacin Solucin propuesta

Gracias por su colaboracin