Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SISTEMAS - DIGESI
2010
Fecha
Descripcin
20/07/2010
Versin original
1.0
Hecho por:
Revisado
por:
Aprobado por:
INDICE
Pag
I.-
II.-
III.-
INTRODUCCION
1.1
1.2
1.3
1.4
6
6
6
6
Objetivo
Poltica
Finalidad
Alcance
IDENTIFICACION DE RIESGOS
2.1
2.2
2.3
2.4
7
7
8
8
Activos a proteger
Anlisis de amenazas
Anlisis de Vulnerabilidad
Polticas para controlar riesgos
Factores de Riesgo
3.1.1
3.1.2
3.1.3
3.1.4
IV.-
11
CUANTIFICACION DE RIESGOS
4.1 Probabilidad de ocurrencia
4.2 Vulnerabilidad e Impacto
4.3 Nivel de Riesgo
11
11
11
11
11
13
13
13
13
V.-
CONCLUSIONES
15
VI.-
ANEXOS
16
ANEXO
ANEXO
ANEXO
ANEXO
I .- INTRODUCCIN
A travs del tiempo las Tecnologas de la Informacin y Comunicaciones se han establecido
como un elemento fundamental de las operaciones del DIGESI. Actualmente los servicios
como acceso a Internet, correo electrnico, intranet, bases de datos, impresin y
almacenamiento de archivos y las comunicaciones, son crticos para el trabajo del personal
y marcha adecuada de toda la institucin. Esta dependencia se incrementar con el
desarrollo de aplicativos de Sistemas de Informacin y el desarrollo de la tecnologa
informacin y Comunicaciones (TICs).
El Anlisis de Riesgo se refiere a la estimacin de daos, prdidas y consecuencias que
pueden ocasionarse a raz de uno o varios escenarios de desastre, y trata de determinar la
probabilidad de ocurrencia y la magnitud de los daos por fenmenos naturales extremos
Un Anlisis de Riesgos es un procedimiento de ayuda a la decisin. Sus resultados
constituyen una gua para que la organizacin pueda tomar decisiones sobre si es necesario
implantar nuevos mecanismos de seguridad y que controles o procesos de seguridad sern
los ms adecuados.
Ante la permanente posibilidad de ocurrencia de eventos, tanto naturales como provocados
por el hombre, que daen o interrumpan los servicios informticos, se debe establecer
medidas de prevencin y procedimientos de recuperacin que reduzcan al mnimo la
interrupcin.
El nivel de riesgo al que est sometido DIGESI o cualquier organizacin nunca puede
erradicarse totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y
mecanismos que es preciso dedicar para minimizar estos riesgos y un cierto nivel de
confianza que se puede considerar suficiente (nivel de riesgo aceptable).
En el marco de gestin de los riesgos que afronta DIGESI, se procedi a identificar los
riesgos de DIGESI, creando una lista y categorizndolos en funcin al juicio de los
profesionales del ETS.
Posteriormente se paso a cuantificar el riesgo. Es decir a travs de contestar a preguntas
tales como: Cunto suma la prdida si esta ocurre? Es posible que la empresa absorba la
prdida sin problemas? Cul es el costo de proteccin? Cul es la posibilidad de que
ocurra?
As mismo se estableci una poltica para prevenir riesgos y dar cierto margen de seguridad
(Polticas Informticas de DIGESI), igualmente se cuenta con un plan o un mecanismo para
reducir el riesgo (Procedimientos y Plan de Contingencias).
Objetivo
Gestionar el riesgo sobre la Plan
posibilidad de ocurrencia de siniestro de hardware, software,
informacin y de los equipos perifricos y hacerlo de conocimiento de todos los
involucrados.
PLANIFICACION
1.2
Poltica
MANTENIMIENTO
IMPLEMENTACION
Gerencia y Sistemas a Nivel Nacional, pero antes que nada DIGESI
tiene una poltica de
gestionar el riesgo (Mitigndolo, Asumiendo y Transfiriendo).
MEJORA
Y OPERACION
1.3
FINALIDAD
Establecer los procedimientos que permitan gestionar el riesgo de siniestro de
cualquier ndole
1.4
Alcance
Check
MONITOREO Y
***
El ciclo PDCA, tambin conocido como "Crculo de Deming" (de Edwards Deming), es una
estrategia de mejora continua de la calidad en cuatro pasos, basada en un concepto ideado
por Walter A. Shewhart. Tambin se denomina espiral de mejora continua. Es muy utilizado
por los SGSI.
Las siglas PDCA son el acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar,
Actuar).
Humanas
Maliciosas
Externas
Internas
No Maliciosas
Empleados No
Capacitados
Incendios
Inundaciones
Terremotos
Activos
Hardware
GENERAN
Vulnerabilidades
Equipos de Usuarios
Impresoras
Base Datos
IMPACTO
Documentacin (Manuales,RIESGOS
Licencias, Contratos)
IMPLICA
Comunicaciones
Relacin de Amenazas-Activos-Vulnerabilidades-Impacto-Riesgo
Equipos de Comunicaciones
Central Telefnica
Mobiliario de apoyo
Ejemplos:
Errores
Tecnologa no probada.
III--
3.1
Factores importantes
de Riesgo
proyectos
3.1.1
Madurez Nivel 3
Son factores no controlables como sismos que ocurren por efecto de la
Proceso Definido y documentado. Existe un procedimiento documentado
naturaleza.
que establece
cuando y como se debe realizar la evaluacin del riesgo TI.
La gestin de los riesgos sigue estrictamente un proceso definido y
Se da (FSE)
formacin al personal sobre la gestin de los
3.1.2 documentado.
Factores de Servicios
riesgos. Existe una estructura organizativa responsable de la
Se deben a fallas en los servicios, tales como electricidad (incendios), agua
identificacin y gestin de los riesgos.
potable, desage (inundacin), Internet (corte).
Madurez Nivel 4
Medido y Gestionado. No slo existen procedimientos de identificacin y
3.1.3 Factores de Sistemas (FSI)
gestin del riesgo, si no que se efectan medidas y se controlan resultados.
Madurez
incluyendo software base,
antivirus,Nivel
etc. 5
Optimizacin.
Existen procedimientos documentados, se efectan medidas, se realizan
3.1.4 Factores de Recursos Humanos (FHR)
acciones
de mejora y optimizacin de los procesos de identificacin y
Sonlos
debido
a fallas
gestin de
riesgos
TI. humanas, susceptibles de preverse.
3.2
Modelo
deconocidos
madurez los
para
la gestin
y evaluacin
dedecidir
los riesgos
TI .
Una vez
riesgos,
la organizacin
puede
que medidas
tomar
Fuente
: COBIT
. serie de factores (costes de la implantacin de controles que
dependiendo
de una
reduzcan
los riesgos
vs. Costes
derivados
deMadurez
las consecuencias
de la materializacin
DIGESI
trata
de ubicarse
en el
Nivel de
3.
de estos riesgos.
CODIGO
RIESGO IDENTIFICADO
RI01
RI02
RI03
SISMO
RI04
INCENDIO
RI05
RI06
INUNDACIN
RI07
RI08
RI09
RI10
RI11
FALLA DE BACKUP
RI12
FALLA EN SOFTWARE
IV.- CUANTIFICACION DE
RIESGOS
4.1 Probabilidad de ocurrencia (Amenaza)
La probabilidad de ocurrencia del evento a analizar se ha cuantificado con un valor
de 0 a 1. Donde es cero es nulo o sea tenemos la certeza que no va ha ocurrir y 1
es la seguridad de ocurrencia del evento.
4.2 Vulnerabilidad e Impacto
Una vulnerabilidad es todo aquella circunstancia o caracterstica de un activo que
permite la consecucin de ataques que comprometen la confidenciabilidad,
integridad o disponibilidad de ese mismo activo o de otros activos de la
organizacin.
La Vulnerabilidad ante un desastre dado es la capacidad de respuesta ante el
fenmeno, es decir, que un objeto sea vulnerable a un fenmeno determinado es,
en primera instancia, que sea susceptible de sufrir daos por la accin de este
fenmeno; ahora bien, si se entiende como objeto cualquier objetivo social o
econmico, entonces la vulnerabilidad estar en dependencia de las caractersticas
especficas del fenmeno, as como del objeto cuya vulnerabilidad se desee
evaluar. La vulnerabilidad no es esttica, sino un proceso dinmico en dependencia
de las condiciones tanto naturales como sociales.
Ejemplo : Falta de conocimiento del usuario, Falta de funcionalidad de la
seguridad, Configuracin inadecuada del cortafuegos, Eleccin deficiente de
contraseas, Tecnologa no probada, Transmisin por comunicaciones no
protegidas, inexistencia de sistema contra incendio.
Impacto se define como la magnitud de las consecuencias que tiene para el
negocio el hecho de que uno o varios de los activos hayan visto comprometidos su
confidenciabilidad, integridad o disponibilidad debido a que una o varias amenazas
hayan explotado las vulnerabilidades de estos u otros activos. Al estimar un
determinado nivel de impacto es necesario considerar la criticidad de los activos
afectados.
El impacto se ha cuantificado el impacto en una escala de 1 al 5, donde 5 el
mximo impacto considerados para un sismo o un corte de energa elctrica.
4.3 Nivel de Riesgo
(Amenaza * Vulnerabilidad)
CDIGO
Factor de Riesgo
Factor /
Falla ***
Probabilidad de
Ocurrencia
(Amenaza)
Impacto
(Vulnerabilidad)
Nivel de Riesgo
=f(Amenaza *
Vulnerabilidad)
RI01
CORTE DE ENERGA
ELCTRICA
FNA
0,2
RI02
CORTE DE LNEA DE
TRANSMISIN DE
INTERNET
FNA
0,2
RI03
SISMO
FNA
0,2
RI04
INCENDIO
FNA
0,2
0,8
RI05
FALLA DE EQUIPOS
(Hardware)
FSE
0,4
1,6
FSI
0,3
0,9
FSI
0,4
1,2
RI06
RI07
INUNDACIN
ATAQUE INFORMATICO
EXTERNO(Virus-hackers)
RI08
ATAQUE INFORMATICO
INTERNO (NegligenciaTrabajadores descontentos) FRH
0,6
1,8
RI09
ERRORES HUMANOSACCESOS NO
AUTORIZADOS O NO
APROPIADOS
FRH
0,4
0,8
RI10
FRH
0,4
0,8
RI11
FALLA DE BACKUP
FSE
0,2
RI12
FALLA EN SOFTWARE
FSI
Cuantificacin de Riesgo DIGESI
0,2
0,4
V.- CONCLUSIONES
Este trabajo es parte de un estudio integral que se desarrollo en
coordinacin con los tcnicos del DIGESI en base a lo que se denomina
juicio de expertos. Es susceptible a adiciones o nuevas versiones, pero su
importancia radica que es el punto de partida para nuevas versiones.
La mayor vulnerabilidad de DIGESI viene Ataque informtico Interno
(Negligencia o trabajadores descontentos), que puede ser por un robo
(robo de laptop por ejemplo, o perdida de un Mouse, o hacer publico
alguna informacin confidencial). Por ello es indispensable la capacitacin
y puesta en vigencia de las Polticas informticas.
As mismo en segundo nivel de vulnerabilidad est la falla de equipos
(hardware) que por su antigedad y obsolescencia podra ser susceptible
de fallas.
Resulta indispensable verificar constantemente el estado de los seguros
de los activos informticos, que estn al da y que incluyan a todos los que
deben estar.
VI.- ANEXOS
ANEXO I
ANALISIS DE RIESGOS
ANEXO II
REPORTES DE ACTIVOS
INFORMATICOS
ANEXO III
Planificacin de Continuidad de
Operaciones
ANEXO IV
GLOSARIO DE TERMINOS
Amenaza(s) .-Peligro latente asociado con la probable ocurrencia de fenmenos fsicos
cuya existencia, intensidad o recurrencia se relacionan con procesos de degradacin
ambiental o de intervencin humana en los ecosistemas naturales. Ejemplos de stos
pueden encontrarse en inundaciones y o incendios.
Es un evento o incidente provocado por una entidad hostil a DIGESI (humana, natural o
artificial ) que aprovecha una o varias vulnerabilidades de un activo con el fin de agredir
la confidenciabilidad, integridad o disponibilidad de ese mismo activo o de otros activos
de la organizacin ( se dice que la amenaza explota la vulnerabilidad del activo).
Las amenazas pueden ser externas o internas a la organizacin y pueden deliberadas o
accidentales (por ejemplo un desastre natural o negligencia sin intencin de dao por
parte de personal de la organizacin).
Ejemplo: Errores- Dao intencional /Ataque, Robo, Falla de equipo/software, Desastre
natural.
Vulnerabilidad.- Condiciones determinadas por factores o procesos fsicos, sociales,
econmicos, y ambientales, que aumentan la susceptibilidad de la institucin al impacto
de amenazas.
Una vulnerabilidad es todo aquella circunstancia o caracterstica de un activo que
permite la consecucin de ataques que comprometen la confidenciabilidad, integridad o
disponibilidad de ese mismo activo o de otros activos de la organizacin.
La Vulnerabilidad ante un desastre dado es la capacidad de respuesta ante el fenmeno,
es decir, que un objeto sea vulnerable a un fenmeno determinado es, en primera
instancia, que sea susceptible de sufrir daos por la accin de este fenmeno; ahora
bien, si se entiende como objeto cualquier objetivo social o econmico, entonces la
vulnerabilidad estar en dependencia de las caractersticas especficas del fenmeno, as
como del objeto cuya vulnerabilidad se desee evaluar. La vulnerabilidad no es esttica,
sino un proceso dinmico en dependencia de las condiciones tanto naturales como
sociales.
Ejemplo : Falta de conocimiento del usuario, Falta de funcionalidad de la seguridad,
Configuracin inadecuada del cortafuegos, Eleccin deficiente de contraseas,
Tecnologa no probada, Transmisin por comunicaciones no protegidas, inexistencia de
sistema contra incendio.