Está en la página 1de 88

Escuela de Ciencia y Tecnologa

Facultad de Ingeniera
DESARROLLO DE REDES IV.

METODOLOGIA DE ANALISIS DE RIESGO DE LA EMPRESA LA

CASA DE LAS BATERIAS S.A DE C.V

Catedrtico: Ing. Rodrigo Torres

INTEGRANTES:
Arvalo Bernal, Oscar William

25-0610-2002

Escalante Solrzano, Katia Elizabeth

25-3394-2003

Guevara Ruano, Nancy Elizabeth

25-0592-2003

Jimnez Hernndez, Miguel ngel

25-3405-2002

Montoya Lpez, Ana Beatriz

25-2382-2003

Orellana Melndez, Jos Hernn

25-1005-1999

Seccin : 01

San Salvador, 21 de Mayo del 2009

Anlisis de Riesgo de la Seguridad Informtica.

INDICE.
Pagina
Introduccin
Objetivos

Marco Terico

Determinacin de la probabilidad

11

Identificacin de las vulnerabilidades

11

Identificacin de amenazas

12

Limitantes del anlisis de riesgo

13

Priorizacin de riesgos

14

Planteamiento del Problema

15

Descripcin de la empresa

15

Misin

15

Visin

15

Polticas

16

Organigrama de la empresa

16

Organizacin interna de la empresa

17

Planteamiento del problema

17

Descripcin de la metodologa utilizada.

18

Anlisis de Riesgo

18

Paso 1: Activos

19

Tipos de Activos a determinar

20

Dependencias

20

Dimensiones de Valoracin

21

Valoracin

23

Anlisis de Riesgo de la Seguridad Informtica.

Paso 2: Amenazas

23

Tipos de Amenazas a determinar

23

Valoracin de las amenazas

24

Paso 3: Determinacin del impacto.

25

Paso 4: Determinacin del riesgo

26

Desarrollo de la Metodologa

27

Entrevistas

27

Tablas de inventario de activos

32

Tablas de Amenazas y Vulnerabilidades

35

Anlisis de riesgos e impactos

43

Conclusiones

44

Glosario

46

Bibliografa

48

Anlisis de Riesgo de la Seguridad Informtica.

INTRODUCCI N
En el presente trabajo se ha realizado la documentacin sobre una
consultora de seguridad
en la empresa LA CASA DE LAS BATERIAS S.A DE C.V. La cual se encuentra
ubicada en el lugar (parte de la direccin) siendo el principal rubro (actividad a
la que se dedica).
Para llevar a cabo la investigacin se hizo uso de diferentes tcnicas
de recoleccin de
informacin como entrevistas a encargados del rea de informtica para
determinar diversos
factores que intervienen como vulnerabilidades, amenazas, entre otros. En
la

seguridad

de

la empresa antes mencionada se ha desarrollado la

Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin,


en este informe detallamos tanto

informacin

general

como especfica sobre lo que se refiere esta metodologa llamada Magerit,


elaborado por el Ministerio espaol de Administraciones Pblicas, Dado su
carcter abierto que tambin se utiliza fuera de la Administracin.
En la primera parte del Marco Terico se incluye fundamentos tericos
sobre diferentes conceptos como lo son riesgo, vulnerabilidades, amenazas
entre otros conceptos tericos que son de mucha importancia para el
desarrollo de esta consultora adems para determinar qu factores estn
afectando de forma directa o indirecta en la empresa para lograr tener una
calidad en la seguridad tanto fsica como seguridad lgica para lograr cumplir
con los objetivos de la seguridad entre los cuales cuenta con confidencialidad,
integridad y disponibilidad.
En la segunda parte se da una explicacin de forma breve pero
detallada sobre el
planteamiento del problema entre la cual se incluyen aspectos fundamentales
sobre la explicacin de la organizacin de la empresa, la situacin actual de la
empresa, tipo de rubro a la cual se dedica la empresa, as como tambin la
rea de negocio procesos de la organizacin adems se incluye parte de los
problemas de seguridad los cuales han sido verificados por parte del grupo
de consultores como planteados por la empresa.

En la tercera parte se da a conocer de forma detallada la


documentacin tcnica de la
metodologa a seguir para el desarrollo de la consultora con la diferencia que
en esta parte se da a conocer de forma ms explcita con

la cual se

pretende entre otros aspectos hacer que los responsables de los sistemas de
informacin tanto de la existencia de riesgos y de la necesidad de

Anlisis de Riesgo de la Seguridad Informtica.

Tratar a tiempo. Dichos inconvenientes para lograr obtener una certificacin


o una acreditacin segn sea el caso.
Esta metodologa se basa en tres libros los cuales estn detallados de
forma especfica sus
principales funciones as como las normativas ISO de las cuales se basan o
se rigen. Tambin
planteamos el anlisis de riesgos que desarrollaremos el cual nos permite
determinar qu tiene la Organizacin y estimar lo que podra pasar de forma
metdicamente.
As

como

los

Elementos

que

intervienen

como

son

los

Activos,

elementos del sistema de informacin que aportan valor a la organizacin, las


Amenazas que son cosas que perjudican a la organizacin; para evitar estos
inconvenientes hay que tomar medidas para salvaguardar dichos activos con
el desarrollo de este podremos determinar elementos para medir el riesgo por
el cual se est enfrentando o se pueda enfrentar as como tambin el impacto
que podra suceder si se dieran dichos inconvenientes para esto determinamos
una serie de pasos los cuales se llevaran a cabo
determinacin

del

anlisis

de

riesgos

en

la

para

una

implementacin

correcta
de

la

metodologa.
La cual se desarrolla en la cuarta parte segn lo que se ha presentado
en por parte de la
empresa para la cual se est desarrollando esta consultora en la cual ya se
identificaron parte de los riesgos y vulnerabilidades descubiertos por parte del
grupo de consultores y estn detallados en esta parte del documento.
Adems se ha brinda una parte de las conclusiones que se han tomado
aunque estas de
forma general ya que se espera realizarlo de forma especfica para la
culminacin de esta consultora la cual est siendo desarrollada hasta el
momento y ser culminada hasta el prximo avance.

Anlisis de Riesgo de la Seguridad Informtica.

OBJETIVOS
Objetivo General:
Desarrollar una consultora de seguridad en la empresa LA CASA DE LAS
BATERIAS, S.A DE C.V para determinar diversos factores que intervienen

para lograr mejorar la seguridad de la informacin en la organizacin.

Objetivos Espe cficos:

Conocer de forma detallada la metodologa que se implementara para


realizar una correcta
consultora de seguridad a la empresa.
Implementar de forma correcta y eficiente la Metodologa de Anlisis y
Gestin de Riesgos
de los Sistemas de Informacin, Magerit la cual ser desarrollada por
parte del grupo de
consultores de seguridad.
Realizar un planteamiento de anlisis de Riesgos de seguridad con
miras a identificar
vulnerabilidades as como tambin los riesgos potenciales y polticas de la
empresa
Brindar un informe detallado en el cual se brindaran soluciones
especficas para aplacar con
los riesgos o amenazas con el fin de minimizar los ataques a los que
enfrenta la empresa.
Formular en base al anlisis de riesgos de quien se debe proteger los
activos de la empresa
ya sean estos usuarios inexpertos como atacantes externos, adems de
las aplicaciones a las

cuales se debe tener usos restringidos considerados como


fundamentales para la
organizacin.

Anlisis de Riesgo de la Seguridad Informtica.

1.0 MARCO TEORICO


El concepto de riesgo est presente en la totalidad de las actividades
que realiza el ser humano, por lo que antes de implementar cualquier
mecanismo de seguridad (software, hardware, poltica, etc.) en las Tecnologas
de la Informacin, es necesario conocer la prioridad de aplicacin y que tipo de
medida podemos aplicar. El anlisis de riesgos es el primer paso de la
seguridad informtica.
Riesgo: es un evento, el cual es incierto y tiene un impacto negativo.
Tambin se puede definir como la posibilidad de sufrir un dao por la
exposicin a un peligro y peligro: es la fuente del riesgo y se refiere a una
substancia o a una accin que puede causar dao. Las metodologas de
anlisis de riesgos existentes describen sus etapas en forma terica, se
presentan pocos ejemplos o es necesario una herramienta para realizarlo, cuyo
costo normalmente es elevado.
Por lo anterior es necesario establecer una metodologa cualitativa prctica para
realizar un anlisis de riesgos a las reas de TI, estableciendo cmo puede
ejecutarse el anlisis.
Anlisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar
los riesgos.
El primer paso del anlisis es identificar los activos a proteger o evaluar.
La evaluacin de riesgos involucra comparar el nivel de riesgo detectado
durante el proceso de anlisis con criterios de riesgo establecidos previamente.
La funcin de la evaluacin consiste en ayudar a alcanzar un nivel
razonable de consenso en torno a los objetivos en cuestin, y asegurar un nivel
mnimo que permita desarrollar indicadores operacionales a partir de los cuales
medir y evaluar.
Los resultados obtenidos del anlisis, van a permitir aplicar alguno de los
mtodos para el tratamiento de los riesgos, que involucra identificar el conjunto
de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para
este tratamiento y ejecutarlos.
Dentro del tema de anlisis de riesgo se ven reflejados cinco elementos
muy importantes dentro del concepto estos son los siguientes: probabilidad,
amenazas, vulnerabilidades, activos e impactos.
Probabilid
ad
Vulnerabilida
des

Amenazas
Activos

Impactos

Anlisis de Riesgo de la Seguridad Informtica.

PROBABILIDAD:
establecer
la
probabilidad
de
ocurrencia
puede
realizarse de manera cuantitativa o cualitativa, pero siempre considerando
que la medida no debe contemplar la existencia de ninguna accin
paliativa, o sea, debe considerarse en cada caso qu posibilidades
existen que la amenaza se presente independientemente del hecho que sea
o no contrarrestada.
Existen amenazas, como por ejemplo incendios, para las cuales
hay informacin suficiente (series histricas, compaas de seguros y
otros datos) para establecer con razonable objetividad su probabilidad
de ocurrencia. Otras amenazas presentan mayor dificultad en establecer
cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado a
datos; dnde se hacen estimaciones sobre la base de experiencias.
AMENAZAS: las amenazas siempre existen y son aquellas acciones que
pueden ocasionar consecuencias negativas en la operativa de la
empresa. Comnmente se indican como amenazas a las fallas, a los
ingresos no autorizados, a los virus, uso inadecuado de software,
los desastresambientales
como
terremotos
o
inundaciones, accesos
no autorizados, facilidad de acceso a las
instalaciones, etc.
Las amenazas pueden ser de carcter fsico o lgico, como ser una
inundacin en el primer caso, o un acceso no autorizado a una base de datos en
el segundo caso.
VULNERABILIDADES: son ciertas condiciones inherentes a los activos o
presentes en su entorno que facilitan que las amenazas se materialicen llevan
a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes
es que las amenazas logran materializarse, o sea, las amenazas siempre
estn presentes, pero sin la identificacin de una vulnerabilidad no podrn
ocasionar ningn impacto.
Estas vulnerabilidades son de naturaleza variada. A modo de
ejemplo se citan las siguientes: falta
de
conocimiento
del
usuario,
tecnologa inadecuadamente
probada (testeada), transmisin por redes pblicas, etc.
Una vulnerabilidad comn es contar con antivirus no actualizado, la
cual permitir al virus actuar y ocasionar daos. Si el antivirus estuviese
actualizado la amenaza (virus) si bien potencialmente seguira existiendo no
podra materializarse.
ACTIVOS: Los activos a reconocer son aquellos relacionados con
sistemas de informacin. Ejemplos tpicos son los datos, el hardware, el
software, servicios, documentos, edificios y recursos humanos.

IMPACTOS: las consecuencias de la ocurrencia de las distintas


amenazas son siempre negativas. Las prdidas generadas pueden ser
financieras, no financieras, de corto plazo o de largo plazo.
8

Anlisis de Riesgo de la Seguridad Informtica.

Se puede establecer que las ms comunes son: la prdida directa de


dinero, la prdida de confianza, la reduccin de la eficiencia y la prdida de
oportunidades de negocio. Otras no tan comunes, felizmente, son la prdida de
vidas humanas, afectacin del medio ambiente, etc.
Las amenazas se pueden convertir en realidad a travs de fallas de
seguridad, que conocemos como vulnerabilidades y que deben ser eliminadas
al mximo para que el ambiente que se desea proteger est libre de riesgos de
incidentes de seguridad.
Por lo tanto, la relacin entre amenaza-incidente-impacto, es la condicin
principal a tomar en cuenta en el momento de priorizar acciones de seguridad
para la correccin de los activos que se desean proteger y deben ser siempre
considerados cuando se realiza un anlisis de riesgos. A continuacin
presentamos un esquema de la relacin que existe en los elementos
antes mencionados.

Aprovechan las vulnerabilidades encontradas en nuestros sistemas y que se


convierten en:

Que originan

Incidentes

Los impactos pueden ser


desastrosos, segn
su
amplitud y gravedad.

Son los hechos que deben ser


evitados
en
una
organizacin, puesto que causan
impacto a los negocios.
En virtud de la accin de un
agente o condicin natural, que
son las amenazas en s
mismas, los incidentes generan
una serie de problemas que
pueden
afectar
los
principios de
la
seguridad de la informacin.

Sin importar el tipo de


incidente, lo importante es
evaluar el impacto que
puede causar en los
diferentes
activos
de
la
empresa.

Anlisis de Riesgo de la Seguridad de la Informacin

El activo ms importante que se posee es la informacin y, por


lo tanto, deben existir tcnicas que la aseguren, ms all de la
seguridad fsica que se establezca sobre los equipos en los cuales se
almacena. Estas tcnicas las brinda la seguridad lgica que consiste
en la aplicacin de barreras y procedimientos que resguardan el
acceso a los datos y slo permiten acceder a ellos a las personas
autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informtica que dicta:
"lo que no est permitido debe estar prohibido" y sta debe ser la
meta perseguida.
Los medios para conseguirlo son:
1. Restringir el acceso (de personas de la organizacin y de las
que no lo son) a los programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no
puedan modificar los programas ni los archivos que no
correspondan (sin una supervisin minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas
correctos en/y/por el procedimiento elegido.
4. Asegurar que la informacin transmitida sea la misma que
reciba el destinatario al cual se ha enviado y que no le llegue a
otro.
5. Asegurar que existan sistemas y pasos de emergencia
alternativos de transmisin entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarqua
informtica, con claves distintas y permisos bien establecidos,
en todos y cada uno de los sistemas o aplicaciones
empleadas.
7. Actualizar constantemente las contraseas de accesos a
los sistemas de cmputo.
Una vez que la programacin y el funcionamiento de un
dispositivo de almacenamiento (o transmisin) de la informacin
se consideran seguras, todava deben ser tenidos en cuenta las
circunstancias "no informticas" que pueden afectar a los datos, las
cuales son a menudo imprevisibles o inevitables, de modo que la
nica proteccin posible es la redundancia (en el caso de los datos)
y la descentralizacin -por ejemplo mediante estructura de redes- (en
el caso de las comunicaciones).
Estos fenmenos pueden ser causados por:

El usuario: causa del mayor problema ligado a la seguridad


de un sistema informtico (porque no le importa, no se da
cuenta o a propsito).
Programas maliciosos: programas destinados a perjudicar o a
hacer un uso ilcito de los recursos del sistema. Es instalado
(por inatencin o maldad) en el ordenador abriendo una puerta
a intrusos o bien modificando los datos. Estos

10

Anlisis de Riesgo de la Seguridad de la Informacin

programas pueden ser un virus informtico, un gusano


informtico, un troyano, una bomba lgica o un programa espa
o Spyware.
Un intruso: persona que consigue acceder a los datos o
programas de los cuales no tiene acceso permitido (cracker,
defacer, script kiddie o Script boy, viruxer, etc.).
Un siniestro (robo, incendio, por agua): una mala
manipulacin o una mal intencin derivan a la prdida del
material o de los archivos.
El personal interno de Sistemas. La competencia del poder
que llevan a disociaciones entre los sectores y soluciones
incompatibles para la seguridad informtica.

1.1 Determinacin de la probabilidad.


Con el fin de derivar una probabilidad o una estimacin de la
ocurrencia de un evento, los siguientes factores deben ser tomados
en cuenta:

Fuente de la amenaza y su
capacidad. Naturaleza de la
vulnerabilidad.
La probabilidad que una vulnerabilidad potencial pueda ser explotada
por una fuente de amenaza la podemos clasificar en alta, media-alta,
media, media-baja y baja.

1.2 Identificacin de Vulnerabilidades.


Para la identificacin de vulnerabilidades sobre la plataforma
de tecnologa, se utilizan herramientas como listas de verificacin
y herramientas de software que determinan vulnerabilidades a nivel
del sistema operativo y firewall:
Seguridad Fsica.
Monitoreo
ambiental
Control de
acceso
Desastres
naturales
Control de
incendios

Inundaciones
Seguridad en las conexiones a Internet.
Polticas en el
Firewall VPN
Deteccin de intrusos
Seguridad en la infraestructura de comunicaciones.
Routers
11

Anlisis de Riesgo de la Seguridad de la Informacin

Switch
es
Firewa
ll Hubs
RAS
Seguridad en Sistema Operacionales (Unix, Windows)
Correo Electrnico
Seguridad en las aplicaciones Crticas
Se define las aplicaciones que son crticas para la organizacin y
por cada una de ellas se obtendr una matriz de riesgo. Es
importante considerar que las aplicaciones estn soportadas
por: Sistemas operativos, hardware servidor, redes LAN y WAN, y
el Centro de cmputo.

1.3 Identificacin de A menazas.


Una vez conocemos los recursos que debemos proteger y de
identificar las vulnerabilidades es hora de identificar de igual
manera las amenazas que se ciernen contra ellos. Una
vulnerabilidad es cualquier situacin que pueda desembocar en un
problema de seguridad, y una amenaza es la accin especfica que
aprovecha una vulnerabilidad para crear un problema de seguridad;
entre ambas existe una estrecha relacin:
sin
vulnerabilidades
no hay amenazas, y sin
amenazas
no
hay vulnerabilidades.
Se suelen dividir las amenazas que existen sobre los sistemas
informticos en tres grandes grupos, en funcin del mbito o la forma
en que se pueden producir:
Desastres del entorno.
Dentro de este grupo se incluyen todos los posibles problemas
relacionados con la ubicacin del entorno de trabajo informtico o de
la propia organizacin, as como con las personas que de una u otra
forma estn relacionadas con el mismo. Por ejemplo, se han de tener
en cuenta desastres naturales (terremotos, inundaciones...),
desastres producidos por elementos cercanos, como los cortes de
fluido
elctrico,
y
peligros relacionados con operadores,
programadores o usuarios del sistema.
Amenazas en el sistema.
Bajo esta denominacin se contemplan todas las vulnerabilidades

de los equipos y su software que pueden acarrear amenazas a la


seguridad, como fallos en el sistema operativo, medidas de
proteccin que ste ofrece, fallos en los programas, copias de
seguridad.

12

Anlisis de Riesgo de la Seguridad de la Informacin

Amenazas en la red.
Cada da es menos comn que una mquina trabaje aislada de
todas las dems; se tiende a comunicar equipos mediante redes
locales, intranets o la propia Internet, y esta interconexin acarrea
nuevas - y peligrosas - amenazas a la seguridad de los equipos,
peligros que hasta el momento de la conexin no se suelen tener en
cuenta. Por ejemplo, es necesario analizar aspectos relativos al
cifrado de los datos en trnsito por la red, a proteger una red local
del resto de internet, o a instalar sistemas de autenticacin de
usuarios remotos que necesitan acceder a ciertos recursos internos a
la organizacin (como un investigador que conecta desde su casa
a travs de un mdem).
No siempre hemos de contemplar a las amenazas como actos
intencionados contra nuestro sistema: muchos de los problemas
pueden ser ocasionados por accidentes, desde un operador que
derrama una taza de caf sobre una terminal hasta un usuario que
tropieza con el cable de alimentacin de un servidor y lo
desconecta de la lnea elctrica, pasando por temas como el
borrado accidental de datos o los errores de programacin; decir
`no lo hice a propsito' no ayuda nada en estos casos. Por
supuesto, tampoco tenemos que reducirnos a los accesos no
autorizados al sistema: un usuario de nuestras mquinas puede
intentar conseguir privilegios que no le corresponden, una persona
externa a la organizacin puede lanzar un ataque de negacin de
servicio contra la misma sin necesidad de conocer ni siquiera un
login y una contrasea, etc.

1.4 Limitantes del anlisis de riesgo.


En general, a pesar de que se han desarrollado muchas
soluciones a los problemas de la seguridad en los sistemas de
informacin, la apreciacin general es que la inseguridad es un
problema que no ha sido resuelto. La perspectiva parece poco
optimista, principalmente debido a que los atacantes han pasado de
ser aficionados en busca de notoriedad a criminales en busca de
lucro.
Posiblemente una de las principales razones por las cuales los
problemas de seguridad informtica no han sido resueltos es la
aparicin frecuente de nuevas amenazas. Como un ejemplo de esto
es la evolucin del malware: los virus altamente nocivos y de amplia
difusin han dado lugar a botnets furtivos, de difcil deteccin y
dirigidos a objetivos especficos.
Precisamente una de las debilidades de las metodologas de
anlisis de riesgo es que parten de una visin esttica de las
amenazas as como de los controles requeridos para disminuir los
riesgos. El ciclo de vida establecido para las arquitecturas de

seguridad informtico suele ser demasiado extenso ante un


entorno en cambio constante.

13

Anlisis de Riesgo de la Seguridad de la Informacin

Los cambios en los riesgos que debe considerar una organizacin tienen dos
orgenes:
a) El surgimiento de nuevas amenazas.
b) La adopcin de nuevas tecnologas que da origen a riesgos no
previstos.
Todo sistema de informacin evoluciona, debido a la integracin
de hardware y software con caractersticas nuevas y ms atractivas
para los usuarios, as como al desarrollo de nuevas funcionalidades.
Estos cambios abren la posibilidad de riesgos imprevistos y tambin
pueden crear vulnerabilidades donde antes no existan.

1.5 Priorizacin De R iesgos.


En este paso de la estimacin de riesgos, se estiman su
prioridad de forma que se tenga forma de centrar el esfuerzo para
desarrollar la gestin de riesgos. Cuando se realiza la priorizacin
(elementos de alto riesgo y pequeos riesgos), estos ltimos no
deben ser de gran preocupacin, pues lo verdaderamente crtico se
puede dejar en un segundo plano.
Sin importar cual sea el proceso que se siga, el anlisis de riesgos
comprende los siguientes pasos:
1. Definir los activos informticos a analizar.
2. Identificar las amenazas que pueden comprometer la
seguridad de los activos. 3. Determinar la probabilidad de
ocurrencia de las amenazas.
4. Determinar el impacto de las amenaza, con el objeto de
establecer una priorizacin de las mismas.
5. Recomendar controles que disminuyan la probabilidad
de los riesgos. 6. Documentar el proceso.
Cuando ya hemos realizado este anlisis no tenemos ms que
presentar nuestras cuentas a los responsables de la organizacin (o
adecuarlas al presupuesto que un departamento destina a materias
de seguridad), siempre teniendo en cuenta que el gasto de proteger
un recurso ante una amenaza ha de ser inferior al gasto que se
producira si la amenaza se convirtiera en realidad. Hemos de tener
siempre presente que los riesgos se pueden minimizar, pero nunca
eliminarlos completamente, por lo que
ser recomendable
planificar no slo la prevencin ante un problema sino tambin la
recuperacin si el mismo se produce; se suele hablar de medidas
proactivas (aquellas que se toman para prevenir un problema) y
medidas reactivas (aquellas que se toman cuando el dao se
produce, para minimizar sus efectos).

14

Anlisis de Riesgo de la Seguridad de la Informacin

2.0 Planteamiento Del Problema.


Por que hoy en da muchas de las empresas se encuentran
vulnerables a diferentes tipos de amenazas tanto informticas como
fsicas?
El presente proyecto tiene como finalidad Desarrollar e
implementar un anlisis de riesgo de la seguridad informtica de la
empresa LA CASA DE LAS BATERIAS, S.A DE C.V

2.1 Descripcin de la Empresa.


La empresa LA CASA DE LAS
BATERIAS, S.A DE C.V se encuentra
ubicada en la Zona de San Salvador,
es una mediana empresa que se
dedican al COMERCIO DE
BATERIAS Y ACCESORIOS, La Casa
de las Bateras fue fundada
en
1973
en Panam,
inicia operaciones en El
Salvador en el 2008, con una variedad
de productos para satisfacer las
necesidades energticas de este
mercado. Cuentan con 2 Sucursales
en El Salvador (1 en San Salvador y
otra en San Miguel).
2 en Costa Rica y 13 en Panam. La oferta que ellos ofrecen est
respaldada por importantes marcas brindando a sus clientes
productos de excelente calidad con el servicio, la atencin y el
asesoramiento tcnico que ellos requieren.

2.1.1 Misin.
Suplir la demanda de nuestros clientes en Panam y
Centroamrica a travs del suministro oportuno de productos y
servicios en el rea de Bateras con todo el respaldo tcnico
requerido para garantizar su satisfaccin.

2.1.2 Visin.
Ser la empresa lder en el sector de las bateras en
Centroamrica y Panam, ofreciendo productos y servicios de alta

calidad.

15

Anlisis de Riesgo de la Seguridad de la Informacin

2.1.3 Polticas.
Nuestro compromiso con nuestros clientes es brindar un servicio integral:
A nuestros clientes de distribucin les brindaremos el respaldo
requerido para la venta de nuestros productos.
A nuestros clientes les brindamos asesora tcnica y un
servicio integral en la revisin, venta e instalacin de todo tipo
de Bateras en nuestras instalaciones y en servicio a domicilio.
En ambos casos, con un personal altamente capacitado y a un
precio competitivo, cumpliendo y superando sus expectativas,
mejorando continuamente el control de nuestros procesos por
medio de un eficaz Sistema de Gestin de la Calidad para
beneficio de la empresa, los clientes y colaboradores

2.1.4 Organigrama de la Emp resa.

Auditor Externo

16

Anlisis de Riesgo de la Seguridad de la Informacin

2.1.4 Organizacin Interna de la Emp resa.


Cuentan con aproximadamente con 30 empleados divididos en 4
departamentos.
Poseen un equipo informtico distribuido de la siguiente manera:
10 computadoras aproximadamente 3 en cada departamento.
5 impresoras 1 en cada departamento
5 Puntos de red
2 Fax y Fotocopiadora (multifuncin)
3 Scanner
1 mdems

2.2 Planteamiento del problema.


Esta empresa ha ido presentando la siguiente problemtica, ya
que hasta este momento no haban contado con anlisis de
riesgo, para poder evaluar que tan vulnerable estn sus equipos a
las diferentes amenazas.
Como tambin de no contar con un sistema de proteccin
para sus equipos informticos entre estos podemos mencionar (falta
de ups, como tambin no cuentan con antivirus, ni mucho menos
firewall).
Por otra parte se observo que el acceso a la informacin esta
vulnerable ya que no se cuenta con una seguridad para permitir el
acceso al equipo donde se encuentra la informacin importante.
De continuar esta problemtica la empresa corre riesgos de que
todo su equipo se queme ya que no cuentan con un regulador de
voltaje, al mismo tiempo que la informacin se pierda debido a que
no existe las medidas de seguridad que se deben de implementar
para la informacin importante, y un robo de informacin por la
competencia, o por parte de empleados que manejen los recursos,
entre otros riesgos que se presentaran mas adelante.
Para ms o menos contribuir a la solucin de este problema se
propone aplicar la metodologa MAGERIT, a esta empresa para
contrarrestar algunos de los problemas antes mencionados.

17

Anlisis de Riesgo de la Seguridad de la Informacin

2.3 DESCRIPCIN DE L A METODOLOGA UTILIZADA.

MAGERIT versin 2. Metodologa de Anlisis y Gestin de


Riesgos de los Sistemas de Informacin
Magerit es una metodologa de Anlisis y Gestin de Riesgos de
los Sistemas de Informacin elaborada por el Consejo Superior de
Administracin Electrnica de Espaa para minimizar los riesgos de
la implantacin y uso de las Tecnologas de la Informacin,
enfocada a las Administraciones Pblicas. Actualmente est en su
versin 2.
El Consejo Superior de Administracin Electrnica ha
elaborado Magerit y promueve su utilizacin como respuesta a la
percepcin de que la Administracin depende de forma creciente de
las tecnologas de la informacin para el cumplimiento de su misin.
La razn de ser de Magerit est directamente relacionada con la
generalizacin del uso de los medios electrnicos, informticos y
telemticos, que supone unos beneficios evidentes para los
ciudadanos; pero tambin da lugar a ciertos riesgos que deben
minimizarse con medidas de seguridad que generen confianza.

Hemos utilizado esta metodologa, y la hemos adaptado a


nuestras necesidades de trabajo para realizar un anlisis de riesgos
que sirva como diagnostico fiel a la empresa en estudio, para
determinar su situacin actual con respect a la seguridad
informtica.

2.1 Anlisis de Riesgos


El anlisis de riesgos es una aproximacin metdica para
determinar el riesgo siguiendo unos pasos pautados:
1. Determinar los activos relevantes para la Organizacin, su
interrelacin y su valor, en el sentido de qu perjuicio (coste)
supondra su degradacin.
2. Determinar a qu amenazas estn expuestos aquellos activos
3. Estimar el impacto, definido como el dao sobre el activo
derivado de la materializacin de la amenaza.
4. Estimar el riesgo, definido como el impacto ponderado

con la tasa de ocurrencia (o expectativa de materializacin)


de la amenaza.

18

Anlisis de Riesgo de la Seguridad de la Informacin

La siguiente figura recoge el anlisis de riesgos, cuyos


pasos se detallan en las siguientes secciones:

Paso 1: Activos
El activo esencial es la informacin que maneja el sistema; o sea los
datos. Y alrededor de estos datos se pueden identificar otros activos
relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y
los servicios que se necesitan para poder gestionar dichos
datos.

Las aplicaciones informticas (software) que permiten manejar los


datos.
Los equipos informticos (hardware) y que permiten
hospedar datos, aplicaciones y servicios.
Los soportes de informacin que son dispositivos de almacenamiento
de datos.
El equipamiento auxiliar que complementa el material informtico.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informticos y de
comunicaciones.
Las personas que explotan u operan todos los elementos
anteriormente citados.
19

Anlisis de Riesgo de la Seguridad de la Informacin

Tipos de activos a determinar:


[D] Datos / Informacin
Los datos son el corazn que permite a una organizacin prestar sus
servicios. Son en cierto sentido un activo abstracto que ser
almacenado en equipos o soportes de informacin (normalmente
agrupado en forma de bases de datos) o ser transferido de un lugar
a otro por los medios de transmisin de datos.
[SW] Aplicaciones (software)
Se refiere a tareas que han sido automatizadas para su
desempeo por un equipo informtico. Las aplicaciones gestionan,
analizan y transforman los datos permitiendo la explotacin de la
informacin para la prestacin de los servicio.
[HW] Equipos informticos (hardware)
Bienes materiales, fsicos, destinados a soportar directa o
indirectamente los servicios que presta la organizacin, siendo pues
depositarios temporales o permanentes de los datos soporte de
ejecucin de las aplicaciones informticas o responsables del
procesado o la transmisin de datos.
[SI] Soportes de informacin
Se consideran dispositivos fsicos que permiten almacenar
informacin de forma permanente o, al menos, durante largos
periodos de tiempo.
[AUX] Equipamiento auxiliar
Se consideran otros equipos que sirven de soporte a los sistemas de
informacin, sin estar directamente relacionados con datos.

Dependencias
Aparece como importante el concepto de dependencias entre
activos o la medida en que un activo superior se vera afectado por
un incidente de seguridad en un activo inferior.
Se dice que un activo superior depende de otro activo
inferior cuando la materializacin de una amenaza en el activo
inferior tiene como consecuencia un perjuicio sobre el activo
superior. Informalmente puede interpretarse que los activos
inferiores son los pilares en los que se apoya la seguridad de los
activos superiores.

20

Anlisis de Riesgo de la Seguridad de la Informacin

Con frecuencia se puede estructurar el conjunto de activos en capas,


donde las capas superiores dependen de las inferiores, para
nuestro caso de estudio los niveles de dependencia son:
Capa 1:
El sistema de informacin propiamente dicho
Equipos informticos (hardware)
Aplicaciones (software)
Comunicaciones
Soportes de informacin: discos, cintas, etc.
Equipamiento Auxiliar
Capa 2:
La informacin
Datos
Meta-datos: estructuras, ndices, claves de cifra, etc.

Dimensiones de valoracin
Las dimensiones se utilizan para valorar las consecuencias de la
materializacin de una amenaza.
La valoracin que recibe un activo en una cierta dimensin es la
medida del perjuicio para la organizacin si el activo se ve daado en
dicha dimensin.
[D] Disponibilidad
Aseguramiento de que los usuarios autorizados tienen acceso cuando
lo requieran a la informacin y sus activos asociados.
Qu importancia tendra que el activo no estuviera disponible?
Un activo tiene un gran valor desde el punto de vista de
disponibilidad cuando si una amenaza afectara a su disponibilidad, las
consecuencias seran graves.
[I] Integridad de los datos
Garanta de la exactitud y completitud de la informacin y los
mtodos de su procesamiento.

21

Anlisis de Riesgo de la Seguridad de la Informacin

Qu importancia tendra que los datos fueran modificados fuera de control?


Los datos reciben una alta valoracin desde el punto de vista de
integridad cuando su alteracin, voluntaria o intencionada, causara
graves daos a la organizacin.

[C] confidencialidad de los datos


Aseguramiento de que la informacin es accesible slo para
aquellos autorizados a tener acceso.
Qu importancia tendra que el dato fuera conocido por personas no
autorizadas?
Los datos reciben una alta valoracin desde el punto de vista de
confidencialidad cuando su revelacin causara graves daos a la
organizacin.

[A_S] autenticidad de los usuarios del servicio


Aseguramiento de la identidad u origen.
Qu importancia tendra que quien accede al servicio no sea
realmente quien se cree?
La autenticidad de los usuarios de un servicio es lo contrario de la
oportunidad de fraude o uso no autorizado de un servicio.

[A_D] autenticidad del origen de los datos


Aseguramiento de la identidad u origen.
Qu importancia tendra que los datos no fueran realmente
imputables a quien se cree?
Los datos reciben una elevada valoracin desde el punto de vista de
autenticidad del origen cuando un defecto de imputacin causara
graves quebrantos a la organizacin. Tpicamente, se habilita la
oportunidad de repudio.

22

Anlisis de Riesgo de la Seguridad de la Informacin

VALORACIN
La valoracin puede ser cuantitativa (con una cantidad
numrica) o cualitativa (en alguna escala de niveles). Los
criterios ms importantes a respetar son:
Homogeneidad:
Es importante poder comparar valores aunque sean de diferentes
dimensiones a fin de poder combinar valores propios y valores
acumulados, as como poder determinar si es ms grave el dao en
una dimensin o en otra.
Relatividad:
Es importante poder relativizar el valor de un activo en comparacin con
otros activos.
Se ha elegido una escala detallada de tres valores:
Importancia del Activo
Valor
3

Criterio
Alto

De gran importancia a la
organizacin
Medio De importancia a la organizacin

Bajo

De menor importancia a la
organizacin

Paso 2: Amen azas


El siguiente paso consiste en determinar las amenazas que
pueden afectar a cada activo. Las amenazas son cosas que
ocurren. Y, de todo lo que puede ocurrir, interesa lo que puede
pasarle a nuestros activos y causar un dao.

Tipos de amenazas a determin ar:


[N] Desastres naturales
Sucesos que pueden ocurrir sin intervencin de los seres humanos
como causa directa o indirecta.
[I] De origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la
actividad humana de tipo industrial.

Estas amenazas pueden darse de forma accidental o deliberada.


23

Anlisis de Riesgo de la Seguridad de la Informacin

[A] Ataques intencionados


Fallos deliberados causados por las personas.
La numeracin no es consecutiva para coordinarla con los errores
no intencionados, muchas veces de naturaleza similar a los ataques
deliberados, difiriendo nicamente en el propsito del sujeto.
Para cada amenaza se presenta un cuadro como el siguiente:
[cdigo] Ttulo descriptivo de la amenaza
Tipos de activos:

Dimensiones:

Que se pueden ver afectados por


este

1. De seguridad
que se
pueden ver afectadas por
este
tipo
de
amenaza,
ordenadas de ms a menos

tipo de amenazas
Descripcin:

Complementaria o ms detallada de la amenaza: lo que le puede


ocurrir a activos del tipo indicado con las consecuencias indicadas.

Valoracin de las amenazas.


Cuando un activo es vctima de una amenaza, no se ve
afectado en todas sus dimensiones, ni en la misma cuanta. Una
vez determinado que una amenaza puede perjudicar a un activo, hay
que estimar cun vulnerable es el activo, en dos sentidos:
Degradacin: cun perjudicado resultara el activo
Frecuencia: cada cunto se materializa la amenaza
La degradacin mide el dao causado por un incidente en el
supuesto de que ocurriera.
Dao causado por la amenaza
Valor

Criterio

Alto

Dao grave

Medio Dao importante

Bajo

Dao menor

24

Anlisis de Riesgo de la Seguridad de la Informacin

La frecuencia pone en perspectiva aquella degradacin, pues una


amenaza puede ser de terribles consecuencias pero de muy
improbable materializacin; mientras que otra amenaza puede ser de
muy bajas consecuencias, pero tan frecuente como para acabar
acumulando un dao considerable.
Frecuencia con que sucede la amenaza.
Valor

Criterio

Alto

Bastante Frecuente

Medio Frecuente

Bajo

Poco Frecuente

Paso 3: Determinacin del impacto


Se denomina impacto a la medida del dao sobre el activo
derivado de la materializacin de una amenaza. Conociendo el
valor de los activos (en varias dimensiones) y la degradacin que
causan las amenazas, es directo derivar el impacto que estas
tendran sobre el sistema.
Clasificacin del Impacto
Valor

Criterio

Alto

Alto impacto

Medio Impacto moderado

Bajo

Bajo impacto

Se puede calcular el impacto en base a tablas sencillas de doble entrada:


DEGRADACION

IMPACTO

VALOR

25

Anlisis de Riesgo de la Seguridad de la Informacin

Aquellos activos que reciban una calificacin de impacto alto (A)


deberan ser objeto de atencin inmediata.

Paso 4: Determin acin del riesgo


Se denomina riesgo a la medida del dao probable sobre un
sistema. Conociendo el impacto de las amenazas sobre los activos,
es directo derivar el riesgo sin ms que tener en cuenta la
frecuencia de ocurrencia. El riesgo crece con el impacto y con la
frecuencia.
Clasificacin del Riesgo
Valor

Criterio

Alto

Alto riesgo

Medio Riesgo moderado

Bajo

Bajo riesgo

Pudiendo combinarse impacto y frecuencia en una tabla para calcular el


riesgo:

FRECUENCIA

RIESGO

IMPACTO

Aquellos activos que reciban una calificacin de riesgo alto (A)


deberan ser objeto de atencin inmediata. Los que reciban una
calificacin de riesgo alto, deberan ser objeto de planificacin
inmediata de salvaguardas.

26

Anlisis de Riesgo de la Seguridad de la Informacin

DESARROLLO DE LA METODOLOGIA.
Paso 1: Activos.
Descripcin del proceso de identificacin de activos.
Entrevistas.
Se realizaron dos entrevistas que se desarrollaron a dos tipos de personas
diferentes:
1. A un encargado del departamento de Recursos Humanos que nos
brindo
informacin general de la empresa, y algunos datos bsicos de la
misma.
2. La segunda entrevista se realizo a una persona encargada del
departamento de contabilidad que cuenta con un acceso a toda
la informacin de la empresa, y los activos que esta empresa
posee.
Universidad Tecnolgica de El SalvadorFacultad de Ciencia y
TecnologaEscuela de InformticaCtedra de Redes

Empresa:
Nombre:
Cargo:

Objetivo: Conocer especficamente la infraestructura de hardware y


software de la empresa, para identificar las diferentes vulnerabilidades y
amenazas de la empresa, y as brindndoles un anlisis de riesgo efectivo.
Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la
empresa para que esta cumpla con los requisitos y expectativas que la

empresa necesita, solicitamos su colaboracin para el llenado de la


siguiente encuesta contestando las siguientes preguntas. De ante mano
muchas gracias por su colaboracin.
1. Cul es el rubro de la Empresa?
___________________________________________________________________
___________________________________________________________________
2. Con cuantos departamentos cuenta la empresa?
___________________________________________________________________
___________________________________________________________________

27

Anlisis de Riesgo de la Seguridad de la Informacin

3. Con cuantas computadoras cuenta cada departamento?


___________________________________________________________________
___________________________________________________________________

4. Cuenta con un servidor de Internet y de datos la empresa?


___________________________________________________________________
___________________________________________________________________

5. Tienen un departamento encargado de la administracin del servidor,


o este trabajo lo realiza una persona especfica.
___________________________________________________________________
___________________________________________________________________

6. Estos departamentos tienen acceso a Internet?


___________________________________________________________________
___________________________________________________________________

7. Qu usuarios son los que tienen acceso a Internet?


___________________________________________________________________
___________________________________________________________________

8. Han implementado anteriormente algn sistema de prevencin de


riesgos para la empresa?
___________________________________________________________________
___________________________________________________________________
9. Qu tan frecuentemente lo han implementado?
___________________________________________________________________
___________________________________________________________________
10. Estara usted de acuerdo que como grupo de consultores le
brindemos una metodologa de anlisis de riesgo.
___________________________________________________________________

28

Anlisis de Riesgo de la Seguridad de la Informacin

Universidad Tecnolgica de El SalvadorFacultad de Ciencia y


TecnologaEscuela de InformticaCtedra de Redes

Empresa:
Nombre:
Cargo:

Objetivo: Conocer especficamente la infraestructura de hardware y


software de la empresa, para identificar las diferentes vulnerabilidades y
amenazas de la empresa, y as brindndoles un anlisis de riesgo efectivo.
Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la
empresa para que esta cumpla con los requisitos y expectativas que la
empresa necesita, solicitamos su colaboracin para el llenado de la
siguiente encuesta contestando las siguientes preguntas. De ante mano
muchas gracias por su colaboracin.
1. El rea de informtica cuenta con un lugar seguro para el
almacenamiento de los datos fsicamente?
___________________________________________________________________
___________________________________________________________________

2. Los equipos de cmputo cuentan con un sistema de


alimentacin elctrica?
___________________________________________________________________
___________________________________________________________________
De que tipo?
___________________________________________________________________
___________________________________________________________________

3. El sistema de cmputo cuenta con un cableado seguro?


___________________________________________________________________
___________________________________________________________________

29

Anlisis de Riesgo de la Seguridad de la Informacin

4. Con que tipo de hardware cuenta la empresa?


___________________________________________________________________
___________________________________________________________________

5. Qu tipo de servidor tienen?


___________________________________________________________________
___________________________________________________________________

6. Cules son los servicios de Internet a los que tienen acceso los
usuarios?
___________________________________________________________________
___________________________________________________________________

7. Qu horas son hbiles para acceder a estos servicios?


___________________________________________________________________
___________________________________________________________________

8. Con que tipo de aplicaciones cuenta el equipo?


___________________________________________________________________
___________________________________________________________________

9. Con que sistema operativo cuneta el equipo?


___________________________________________________________________
___________________________________________________________________

10. Qu departamentos cuentan con ese sistema operativo?


___________________________________________________________________
___________________________________________________________________
11. Estos equipos de cmputo poseen antivirus?
___________________________________________________________________
___________________________________________________________________

30

Anlisis de Riesgo de la Seguridad de la Informacin

12. Qu antivirus utilizan. Se encuentran registrados con alguna


licencia?
___________________________________________________________________
___________________________________________________________________

13. El antivirus que utilizan actualmente cumple con los


requerimientos de la empresa.
___________________________________________________________________
___________________________________________________________________

14. Utilizan en el servidor algn tipo de firewall?


___________________________________________________________________
___________________________________________________________________

15. Las personas que accedan al equipo de cmputo entran con


alguna contrasea.
___________________________________________________________________
___________________________________________________________________

16. Las aplicaciones consideradas fundamentales cuentan con algn


tipo de contrasea o usuarios especficos?
___________________________________________________________________
___________________________________________________________________

31

Anlisis de Riesgo de la Seguridad de la Informacin

Identificacin de Activos.
Tablas de inventario de activos
Departamento: Mercadeo
No

Descripci
n

Computadoras
Dell,

Finalidad
Control de
precios,

Categor
a
HW, SW, SI

Criticidad
Alto

Promociones,
publicidad

Impresora
Canon,

Publicaciones e

HW

medio

impresiones

para todo el
departamento

Departamento: Ventas
No

Descripci
n

Finalidad

Categor
a

Criticida
d

Computadoras

Control de Ventas,

HW, SW, SI

Alto

HW, SW, SI

Alto

Dell

clientes,
proveedores,
cotizaciones

Computadora
Dell

Impresora
Panasonic,
para
todo el

Para las cajeras


Reportes ventas,
precios

HW

medio

HW

bajo

e impresiones
varias

departamento
1

Scanner para
todo el
departamento

Captura de datos,
informes de ventas
y
cotizaciones

32

Anlisis de Riesgo de la Seguridad de la Informacin

Departamento: Contabilidad
No

Descripci
n

Computadoras

Finalidad
Finanzas

Categor
a

Criticida
d

HW, SW, SI

Alto

Dell,
1

Impresora HP

Impresiones varias
del

HW

medio

HW

bajo

HW

medio

departamento
1

Scanner para
todo el
departamento

Fax y
Fotocopiadora
(multifuncin),
Panasonic

Reportes y
cotizaciones,
de acuerdo al
departamento.
Para transacciones
y
datos e informes
generales de la
empresa
uso general.

Departamento: Recursos Humanos.


No

Descripci
n

Finalidad

Categor
a

Criticida
d

Computadoras

Informacin de los

HW, SW, SI

Alto

Dell.
1

Impresora
Panasonic,
para

empleados

Impresiones varias
del
departamento

todo el
departamento

33

HW

medio

Anlisis de Riesgo de la Seguridad de la Informacin

Departamento: Gerencia General


No

Descripci
n

Finalidad

Computadoras

Uso del Gerente

Categor
a

Criticida
d

HW, SW,
SI

Alto

HW

medio

HW

bajo

HW

medio

HW

medio

Dell.
1

Impresora HP. Uso Exclusivo del


Gerente

Scanner

Modem
speedtoucher

Fax y

Uso del Gerente


(Conexin a
Internet)
pertenece al
proveedor
Uso del Gerente

Fotocopiadora

34

Anlisis de Riesgo de la Seguridad de la Informacin

Identificacin de Amenazas
Tablas de amenazas y vulnerabilidades

Desastres Naturales [Des N]

Vulnerabilidades detectadas relacionadas a esta amenaza:


No existen sensores de humo o alarma contra incendios
No existen suficientes extintores de incendios, o no estn
distribuidos en los sitios claves de manejo de informacin.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios crticos
de manejo de informacin.
Hay paredes de concreto pero tambin hay paredes de
material inflamables tales como madera o plywood.

[DesN.2] Daos por agua


Tipos de activos:

Dimensiones:

[HW] Equipos Informticos


(hardware)

[Dis] Disponibilidad

[SI] Soportes de Informacin

Descripcin:
Inundaciones: Posibilidad de que el agua dae por completo los
recursos del sistema.
35

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:


Existe la posibilidad de que haya filtracin de agua en la poca
de invierno en los lugares donde se encuentra equipo
informtico.

Amenazas de or igen industrial [Indus.]

Vulnerabilidades detectadas relacionadas a esta amenaza:

No cuentan aun con una planta elctrica para este tipo de


emergencias. No todos los equipos informticos son
alimentados mediante UPS.
Cortes de energa prolongados (ms de veinte minutos)
requerirn que los equipos de misin crtica de la
institucin sean apagados. No existir disponibilidad de
los servicios de informacin en la institucin durante el
lapso que dure el corte de energa.
Los sistemas elctricos podran ser susceptibles a cortos
circuitos que podran provocar la interrupcin del suministro
total o parcial.
El corte de energa podra dejar sin trabajar al personal de la
empresa.

[Indus.2] Condiciones Inadecuadas de Temperatura

Tipos de activos:

Dimensiones:

[HW] Equipos Informticos


(hardware)

[Dis] Disponibilidad

[SI] Soportes de Informacin


[EAUX] Equipamiento Auxiliar
Descripcin: Deficiencias en la climatizacin de los locales,
excediendo los mrgenes de trabajo de los equipos: excesivo calor.

36

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:

No existe un mecanismo de aire acondicionado para toda la


empresa. Presentan un ambiente en la mayora de
departamentos con calor, excediendo la temperatura de las
maquinas.

Vulnerabilidades detectadas relacionadas a esta amenaza:


No hay una ubicacin adecuada para almacenar y
resguardar soportes de informacin (medios magnticos,
medios pticos, documentos en papel) Los backups se hacen
en medios pticos (DVDs y CDs)
Documentos en papel no se convierten a otro medio (no
se digitalizan). Estos documentos son susceptibles a los
daos que pueda sufrir el papel como consecuencia de un
proceso de archivado inadecuado o daos provocados por
el paso del tiempo.

Amenazas a Causa de Ataques Intencionados [A_Int.]


[A_Int.1] Manipulacin de la Configuracin

Tipos de activos:

Dimensiones:

[D] Datos / informacin

1. [I] Integridad

[SW] Aplicaciones (software)

2. [C] Confidencialidad

[HW] Equipos informticos


(hardware)

3. [A_S] Autenticidad del servicio


4. [A_D] Autenticidad de los datos
7. [D] Disponibilidad

Descripcin: Prcticamente todos los activos dependen de su


configuracin y sta de la diligencia del administrador: privilegios de
acceso, flujos de actividades, registro de actividad, encaminamiento,
etc.

37

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:


No existe un sistema para deteccin de intrusos dentro
de la red de informacin.
No mantienen un sistema de monitoreo constante en el
cual detecten notificaciones automticas a quienes
administran la red.
Nunca han implementado un nivel de polticas de seguridad
como el uso de contraseas, y el cambio constante de estas.
No mantienen un sistema de Active Directory u otros servicios.

[A_Int.2] Suplantacin de la Identidad del Usuario


Tipos de activos:

Dimensiones:

[SW] Aplicaciones (software)

1. [C] Confidencialidad
2. [A_S] Autenticidad del servicio
3. [A_D] Autenticidad de los datos
4. [I] Integridad

Descripcin:
Cuando un atacante consigue hacerse pasar por un usuario
autorizado, disfruta de los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por
personas ajenas a la Organizacin o por personal contratado
temporalmente.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay restricciones sobre la cantidad de sesiones que un
usuario puede iniciar.
Tampoco existen restricciones sobre las estaciones de
trabajo sobre las cuales los usuarios pueden iniciar sesin,
aun a pesar de que de manera fsica, cada usuario tiene
asignado un puesto de trabajo y una estacin de trabajo.
No se han implementado a nivel de las polticas de

seguridad el uso de contraseas fuertes y el cambio


obligatorio de estas en forma peridica.

38

Anlisis de Riesgo de la Seguridad de la Informacin

No existe dentro de la administracin de usuarios, directivas


o polticas que deshabilite a los usuarios que por diversas
razones se ausenten de sus puestos de trabajo en periodos
temporales relativamente largos, como por ejemplo cuando
algn usuario est de vacaciones.
El proceso para dar de alta y de baja a los usuarios, cuando
entran a formar parte de la organizacin o cuando dejan
de trabajar en la misma, no es automtico. Hasta que se
reciben las notificaciones de recursos humanos, el
administrador
del
dominio
tomas
las
acciones
correspondientes para actualizar el directorio, lo cual
podra generar ciertos espacios de riesgo sobre uso
inautorizado de los recursos de informacin.

[A_Int.3] Abuso de Privilegios de Acceso


Tipos de activos:

Dimensiones:

[SW] Aplicaciones (software)

1. [C] Confidencialidad

[HW] Equipos Informticos


(hardware)
Descripcin:

2. [I] Integridad

Cada usuario disfruta de un nivel de privilegios para un


determinado propsito; cuando un usuario abusa de su nivel de
privilegios para realizar tareas que no son de su competencia, hay
problemas.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen procedimientos de revisin peridica de los
derechos y permisos efectivos de los usuarios, para
comprobar si debido a un cambio de configuracin, o a
una accin errnea o indebida se le han concedido a un
usuario o grupo de usuarios ms derechos y permisos
de los que le corresponden.

No existen sistemas de monitorizacin en lnea que


detecten y generen alarmas y notificaciones automticas a
los administradores de red si se ejecutan cambios o
alteraciones en la configuracin que pudieran afectar el
funcionamiento normal de los sistemas.
No existen mecanismos de control que detecten y
prevengan posibles abusos de privilegios en las aplicaciones.

39

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:


No existen herramientas de control de contenido o
monitorizacin de trfico para el uso de Internet u otros
servicios de la infraestructura de red y los sistemas de
informacin.
Tampoco se implementan inventarios automatizados de
software y hardware para comprobar que no se hayan
instalado componentes adicionales y no autorizados a los
equipos de los usuarios.

[A_Int.5] Difusin de software daino


Tipos de activos:

Dimensiones:

[SW] Aplicaciones (software)

1. [Dis] Disponibilidad
2. [I] Integridad
3. [C] Confidencialidad
4. [A_S] Autenticidad del Servicio
5. [A_D] Autenticidad de los Datos

Descripcin:
Propagacin intencionada de virus, espas (spyware), gusanos,
troyanos, bombas lgicas, etc.

40

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:


Los equipos de computo tienen un software de antivirus
en el cual esta actualizado y bajo licencia.
No existen controles de las conexiones a red dentro de la empresa.
Por medio de que no tienen control en la red se
conectan equipos personales en los cuales se puede infectar
de virus peligrosos la red.
No mantienen un control para el uso de memorias USB,
discos duros externos, etc.

[A_Int.6] Destruccin de la informacin


Tipos de activos:

Dimensiones:

[D] Datos / Informacin

[Dis] Disponibilidad

Descripcin:
Eliminacin intencional de informacin, con nimo de obtener un
beneficio o causar un perjuicio.

Vulnerabilidades detectadas relacionadas a esta amenaza:


Hacen frecuentemente la realizacin de backup por medio
de DVDs y CDs de los datos.
No se cuenta con un cuidado exclusivo del almacenamiento
de datos por medio pticos.
No se cuenta con una oficina, en la cual se pueda guardar la
informacin de los backups y las aplicaciones fundamentales
de la empresa.

[A_Int.7] Denegacin de Servicio

Tipos de activos:

Dimensiones:

[HW] Equipos Informticos


(hardware)
Descripcin:

[Dis] Disponibilidad

La carencia de recursos suficientes provoca la cada del sistema


cuando la carga de trabajo es desmesurada.

41

Anlisis de Riesgo de la Seguridad de la Informacin

Vulnerabilidades detectadas relacionadas a esta amenaza:


No existen sistemas de deteccin y prevencin de intrusos
en la institucin (IPS / IDS) que pudiera detectar
movimientos o patrones de conducta anormales en el
entorno de la red, orientados a alterar el funcionamiento
normal de los servicios de informacin.

[A_Int.8] Robo
Tipos de activos:

Dimensiones:

[HW] Equipos Informticos


(hardware)

1. [Dis] Disponibilidad
2. [C] Confidencialidad

[SI] Soportes de Informacin


[EAUX] Equipamiento Auxiliar
Descripcin:
La sustraccin de informacin empresarial se puede dar mediante el
robo que pueda hacer personal interno no personal ajeno a la
compaa.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los controles y mecanismos de seguridad fsica orientados
a prevenir el robo de activos de informacin en la institucin
son mnimos.
No se cuentan con sistemas de alarmas contra robo o
intrusos para horas nocturnas, ni siquiera en la locacin de
la divisin de informtica que es donde se encuentran los
equipos de misin critica para las operaciones de la
empresa.
Los documentos de identificacin de los empleados no llevan
fotografa que facilite la comprobacin de la identidad de
alguien en forma inmediata, ni la autenticidad de dicha
identificacin.
En el caso de los visitantes, las tarjetas de visitantes no
son de un color diferente a las identificaciones de los
empleados, y no difieren en mucho de estas, salvo por el
hecho que llevan el texto que dice visitante, pero

pueden fcilmente ser confundidas.

42

Anlisis de Riesgo de la Seguridad de la Informacin

ANLISIS DE RIESGO S E IMPACTOS


Catalogo Completo de Amenazas Analizadas

Cdigo

Descripcin

[DesN.1]

Fuego

[DesN.2]

Daos por Agua

[Indus.1]

Corte del Suministro Elctrico

[Indus.2]

Condiciones Inadecuadas de temperatura

[Indus.3]

Degradacin de los Soportes de Almacenamiento de la


Informacin

[A_Int.1]

Manipulacin de la Configuracin

[A_Int.2]

Suplantacin de la Identidad del Usuario

[A_Int.3]

Abuso de Privilegios de Acceso

[A_Int.4]

Uso no Previsto

[A_Int.5]

Difusin de Software Daino

[A_Int.6]

Destruccin la Informacin

[A_Int.7]

Denegacin de Servicio

[A_Int.8]

Robo

43

Anlisis de Riesgo de la Seguridad de la Informacin

CONCLUSIO NES
Entre las conclusiones que se dan en base al desarrollo del presente
trabajo se
han determinado diferentes amenazas a las cuales se ven afectada
la empresa estn las naturales como lo son el fuego es decir
peligro a incendios que puedan causar estragos o incluso acabar
con los recurso de sistemas de informacin con los cuales cuentan
equipos informticos entendindose por esto hardware debido a que
se han identificado diferentes vulnerabilidades con las que se ve
relacionada esta amenaza siendo las principales que no existen
suficientes extintores de incendios tambin de no contar

con

sensores de humo o alarmas de incendios adems el personal no


cuenta con un mtodo o procedimientos a seguir ante un siniestro de
esta naturaleza.
Otra amenaza que se ha identificado de origen industrial es la de no
contar con
suministro elctrico optimo que la empresa necesita debido a
que existe la vulnerabilidades de no contar todos los equipos
informticos son alimentados elctricamente por un UPS. Vindose
afectados cuando un corte de energa elctrica se d ya que no
existir disponibilidad de los servicios de informacin durante este
problema se d o dure el corte de energa adems de presentarse el
riesgo de que los sistemas elctricos podran ser susceptibles a
cortos circuitos que podran provocar la interrupcin del suministro
total o parcial, debido a la quema de fusibles de proteccin entre
otros.
La amenaza la cual fue muy evidente notar consista en que
podan haber
ataques

intencionados

como

robo

de

informacin

entre

las

vulnerabilidades que se tomaron en cuenta era que no existen


sistemas de deteccin y prevencin de intrusos en la institucin que
pudiera detectar movimientos o patrones de conducta anormales en
el entorno de la red, orientados a alterar la configuracin de los

sistemas de informacin. No se han implementado a nivel de las


polticas de seguridad el uso de contraseas.

44

Anlisis de Riesgo de la Seguridad de la Informacin

Adems de Destruccin la informacin por parte intencional del


personal con
nimo de obtener un beneficio o causar un perjuicio.
Esta amenaza slo se identifica sobre datos en general, pues
cuando la informacin est en algn soporte informtico, hay
amenazas especficas.
Estas son las principales amenazas a las que la empresa se ve
afectada de acuerdo a las vulnerabilidades que se han observado por
parte del grupo de consultores entre otras que se han dado a conocer
por parte de la empresa.
Las cuales se esperan ser solventadas de acuerdo a las
recomendaciones que se presenten a medida se desarrolle esta
metodologa que se est siguiendo y las cuales sern presentadas en
el siguiente avance de este documento.

45

Anlisis de Riesgo de la Seguridad de la Informacin

GLOSARIO.

Activos: Los recursos del sistema de informacin o


relacionados con ste, necesarios para que la Organizacin
funcione correctamente y alcance los objetivos propuestos por su
direccin.
Autenticidad: (de quin hace uso de los datos o servicios), que
no haya duda de quin se hace responsable de una informacin o
prestacin de un servicio, tanto a fin de confiar en l como de
poder perseguir posteriormente los incumplimientos o errores.
Contra la autenticidad se dan suplantaciones y engaos que
buscan realizar un fraude. La autenticidad es la base para poder
luchar contra el repudio y, como tal, fundamenta el comercio
electrnico o la administracin electrnica, permitiendo confiar
sin papeles ni presencia fsica.
Anlisis de riesgos: proceso sistemtico para estimar la
magnitud de los riesgos a que est expuesta una Organizacin.
Amenazas: las amenazas siempre existen y son aquellas
acciones que pueden ocasionar consecuencias
negativas en
la operativa de
la empresa.
Comnmente
se
indican como amenazas a las fallas, a los ingresos no
autorizados, a
los virus,
uso inadecuado
de software,
los
desastres ambientales como
terremotos
o
inundaciones, accesos
no autorizados, facilidad de acceso a las
instalaciones, etc.
Botnet: es un trmino que hace referencia a una coleccin de
software robots, o bots, que se ejecutan de manera autnoma.
Confidencialidad: Caracterstica de la informacin por la que la
misma slo puede ser revelada a los usuarios autorizados.
Disponibilidad: disposicin de los servicios a ser usados cuando
sea necesario. La carencia de disponibilidad supone una
interrupcin del servicio. La disponibilidad afecta directamente a
la productividad de las organizaciones.
Gestin de riesgos: seleccin e implantacin de
salvaguardas para conocer, prevenir, impedir, reducir o controlar
los riesgos identificados.

46

Anlisis de Riesgo de la Seguridad de la Informacin

Integridad: mantenimiento de las caractersticas de completitud


y correccin de los datos. Contra la integridad, la informacin
puede aparecer manipulada, corrupta o incompleta. La integridad
afecta directamente al correcto desempeo de las funciones de
una Organizacin.
Impactos: las consecuencias de la ocurrencia de las
distintas amenazas son siempre negativas. Las prdidas
generadas pueden ser financieras, no financieras, de corto plazo o
de largo plazo.
Malware informtico: es el trmino para el cdigo
malicioso diseado para molestar o destruir un sistema
informtico.
Magerit: es una metodologa de Anlisis y Gestin de Riesgos
de los Sistemas de Informacin elaborada por el Consejo Superior
de Administracin Electrnica para minimizar los riesgos de la
implantacin y uso de las Tecnologas de la Informacin, enfocada
a las Administraciones Pblicas
Probabilidad: prediccin calculada de la ocurrencia de un
accidente en un cierto periodo de tiempo.
Riesgo: estimacin del grado de exposicin a que una
amenaza se materialice sobre uno o ms activos causando daos
o perjuicios a la Organizacin.
Seguridad: es la capacidad de las redes o de los sistemas de
informacin para resistir, con un determinado nivel de confianza,
los accidentes o acciones ilcitas o malintencionadas que
comprometan la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de
los servicios que dichas redes y sistemas ofrecen o hacen
accesibles.
Virus informtico: es un programa de ordenador que
puede infectar otros programas modificndolos, para incluir una
copia de si mismo tambin Programa que se duplica a s mismo
en un sistema informtico incorporndose a otros programas
que son utilizados por varios sistemas.
Vulnerabilidades: son ciertas condiciones inherentes a los
activos o presentes en su entorno que facilitan que las amenazas

se materialicen llevan a esos activos a ser vulnerables. Mediante


el uso de las debilidades existentes es que las amenazas
logran materializarse, o sea, las amenazas siempre estn
presentes, pero sin la identificacin de una vulnerabilidad no
podrn ocasionar ningn impacto.
47

Anlisis de Riesgo de la Seguridad de la Informacin

BIBLIOGRAFIA.

Enlaces bibliogrficos.
Web del Ministerio de Administraciones
Pblicas.
Consejo
Superior
de Informtica:
www.map.es/csi/csi.htm
Las Siete Guas Metodolgicas:
www.map.es/csi/herramientas/GuiasMagerit.exe
Herramienta MAGERIT:
www.map.es/csi/herramientas/HerramientaMagerit.exe
Foro MAGERIT:
http://foro.map.es/
URLS.
http://www.csi.map.es/csi/pg5m20.htm
http://www.enisa.europa.eu/rmra/methods_tools/m_magerit.html

48