Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MXICO
FACULTAD DE INGENIERA
T E S I S
QUE PARA OBTENER EL TTULO DE:
INGENIERO EN COMPUTACIN
PRESENTAN:
Con todo mi cario y mi amor para las personas que hicieron todo en la vida para que yo
pudiera lograr mis sueos, por motivarme y darme la mano cuando senta que el camino
se terminaba, a ustedes por su paciencia y comprensin que prefirieron sacrificar su
tiempo para que yo pudiera cumplir con el mo, por su bondad y sacrificio que me
inspiraron a ser mejor para ustedes. Con todo mi cario est tesis se las dedico a ustedes:
Pap, Mam y Hermanos.
Juan Carlos
vi
Agradecimientos.
Le agradezco a Dios por acompaarme y guiarme a lo largo de mis estudios, por ser
fortaleza en los momentos de debilidad y por brindarme una vida llena de
aprendizajes, experiencias y sobre todo felicidad.
Le doy gracias a mis padres Elizabeth y Roberto por apoyarme en todo momento,
por los valores que me han inculcado y por haberme dado la oportunidad de tener
una excelente educacin en el transcurso de mi vida. Sobre todo por ser un excelente
ejemplo a seguir.
A mi hermana Claudia por ser parte importante de mi vida y representar la unidad
familiar.
A mi director de tesis, Ing. Heriberto Olgun Romo por su esfuerzo y dedicacin,
quien con sus conocimientos, su experiencia, su paciencia y su motivacin ha
logrado la realizacin de esta tesis. En especial un profundo reconocimiento por su
trayectoria como acadmico en la Facultad de Ingeniera, gracias por habernos
compartido sus conocimientos y sobre todo su amistad.
A mi Alma mater, la UNAM que me brind la oportunidad de formar parte de una
de las mejores universidades del mundo y la mejor en Latinoamrica. Estoy muy
orgullo de ser parte de esta gran familia.
A la Facultad de Ingeniera, la cual considero como una casa para m, la que me
dio una educacin de alta calidad y no solo me formo como ingeniero si no tambin
me hizo ser una mejor persona.
A mis sinodales Mtro. Juan Jos Carren Granados, M.I. Adolfo Milln Njera, M.I.
Norma Elva Chvez Rodrguez y Dra. Mara Del Pilar ngeles por tomarse la
molestia de revisar esta tesis y apoyarme en los trmites para el examen
profesional.
A mis compaeros de tesis: Esteban y Juan, por el apoyo.
Y finalmente quiero extender un sincero agradecimiento a Jenny Sotelo, Pamela
Flores e Irma Dionisio de Grupo Financiero Inbursa por su comprensin y apoyo de
permitirme terminar con los trmites para el examen profesional.
Son muchas las personas que han formado parte de mi vida profesional a las que me
encantara agradecerles su amistad, consejos, apoyo, nimo y compaa en todos los
momentos de mi vida. Algunas estn aqu conmigo y otras en mis recuerdos y en mi
corazn, sin importar en donde estn quiero darles las gracias por formar parte de
m y por todo lo que me han brindado, gracias.
Roberto Jalpilla
vii
viii
Agradecimientos.
A mi esposa, por su apoyo y amor incondicional; en todos los momentos
difciles que hemos pasado.
A todos aquellos que han aportado consciente o inconscientemente una
parte de ellos para mi formacin profesional, y crecimiento personal.
A nuestro director de tesis, Ing. Heriberto Olgun Romo; por toda
su experiencia volcada en este trabajo.
A Roberto y Juan Carlos, por su amistad y apoyo.
Gracias a todos ellos, porque este es el resultado de su esfuerzo, amor y
dedicacin; pero sobre todo agradezco a mis padres por ser un ejemplo a
seguir. Por mostrarme el camino correcto, y forzarme a seguirlo, haya o
no querido.
Finalmente a mi Alma Mater, la Universidad Nacional
Autnoma de Mxico, y todos los profesores de la Facultad de
Ingeniera por la formacin acadmica, que de ellos recib.
Esteban
ix
xi
Introduccin
El avance acelerado al que se han enfrentado diversas organizaciones est
estrechamente vinculado con el incremento en el uso de las tecnologas de
informacin, as como la evolucin en la forma de su utilizacin. Este progreso ha
permitido que las Tecnologas de Informacin se conviertan en una herramienta
trascendental para disear e implementar mejores y ms efectivos procesos,
generando oportunidades de crecimiento, as como la posibilidad de contar con
informacin veraz y oportuna para una eficaz toma de decisiones. Sin embargo, esto
conlleva a tener una dependencia en la informacin y en los sistemas que la
proporcionan.
Este tipo de dependencia trae consigo una serie de riesgos inherentes que las
organizaciones deben de enfrentar; a estas exposiciones se les conoce como riesgo
tecnolgico. Dicho riesgo es parte complementaria al riesgo operacional, el cual
mientras exista este entorno, su gestin desempear un papel crtico y esencial
dentro de las operaciones como factor de control estratgico.
La seguridad de la informacin es un concepto que se encuentra cada vez ms
inmerso en nuestra sociedad, principalmente en el uso extenso que le damos a la
tecnologa de las computadoras. En la vida diaria, trabajamos con computadoras,
atendemos a clases o curso en lnea, compramos todo tipo de mercancas en
Internet, conversamos con familiares y amigos en todo el mundo a travs de la red,
con nuestra laptops revisamos correos desde cualquier lugar con red mvil; de igual
forma mediante telfonos inteligentes, revisamos el estado de nuestra cuenta
bancaria a travs de aplicaciones mviles, monitoreamos nuestro ejercicio fsico
mediante sensores y aplicaciones que se conectan a Internet, pudiendo compartir
esta informacin de manera inmediata con una comunidad de cientos de miles de
personas, y as podemos continuar ad infinitum.
Con los ejemplos indicados es fcil darse cuenta que la tecnologa nos permite ser
ms productivos y estar en contacto con mayor nmero de personas, adems de
acceder, con unos cuantos clicks, a una gran cantidad de informacin que antes
no hubiese sido posible; sin embargo, todo esto ocasiona un tipo diferente de riesgo
que no se tena con anterioridad. Por ejemplo, si nuestra cuenta bancaria es
manipulada por un atacante ciberntico, las consecuencias pueden ser funestas
para nosotros; de inmediato podemos quedarnos sin fondos, al ser stos
transferidos a otra cuenta o a otro banco sin nuestro conocimiento, lo que adems
del dao personal, significa la prdida de millones de dlares para el banco, al
enfrentarse a demandas legales y sufrir daos en su reputacin, todo esto a causa
de un posible error en la configuracin de sus sistemas de informacin, que pudieron
permitir el ingreso de atacantes a las bases de datos que contienen informacin
confidencial. Con mayor frecuencia estas noticias son comentadas en los medios
de comunicacin, lo que no suceda hace 30 aos cuando eran prcticamente
inexistentes, debido a la tecnologa de la poca y la cantidad reducida de gente que
la usaba.
xiii
xiv
xv
NDICE
AGRADECIMIENTOS ........................................................................................................ v
INTRODUCCIN .. xiii
CAPTULO 1.
ANTECEDENTES ..
1.1.
Evolucin de las Tecnologas de Informacin
1.2.
Tipos de tecnologa
1.2.1. Tecnologa aplicable ..
1.2.2. Tecnologa necesaria
1.2.3. Tecnologa deseada
1.3.
Necesidad del control de Tecnologas de Informacin ....
1.4.
La realidad de la gestin de riesgos en Tecnologas de Informacin ...
1.5.
El anlisis y la evaluacin de los riesgos ...
1
3
4
4
4
5
5
6
6
CAPTULO 2.
MARCO TERICO: RIESGOS EN TECNOLOGAS DE INFORMACIN ...
2.1.
Fundamentacin terica
2.2.
Clasificacin de riesgos .
2.2.1. Riesgo de negocio ..
2.2.2. Riesgo inherente
2.2.3. Riesgo de control
2.2.4.
Riesgo estratgico .
2.2.5.
Riesgo operativo
2.2.6.
Riesgo financiero ...
2.2.7.
Riesgo de cumplimiento
2.2.8.
Riesgo de tecnologa .
2.2.9.
Riesgo profesional .
2.3.
Tipos de causas de riesgos ..
2.4.
Riesgos en Tecnologas de Informacin
2.4.1. Concepto de riesgos ..
2.4.2. Valoracin del riesgo ..
2.4.3. Identificacin del riesgo .
2.5.
Anlisis de riesgos ..
2.5.1. Definicin de alcance .
2.5.2. Identificacin de activos .
2.5.3. Identificacin de amenazas ...
2.5.4. Probabilidad de ocurrencia
2.5.5. Identificacin de vulnerabilidades
2.5.6. Posible explotacin de vulnerabilidades .
11
13
13
14
14
14
14
14
14
14
15
15
15
16
16
16
16
17
18
18
20
21
21
22
xvii
2.6.
2.6.1.
2.6.2.
2.6.3.
2.6.3.1.
2.6.3.2.
2.6.4.
28
CAPTULO 3.
3.1.
3.2.
3.2.1.
3.2.2.
3.3.
3.4.
3.4.1.
3.4.2.
3.5.
3.5.1.
3.5.2.
3.5.3.
3.5.4.
3.5.5.
23
23
24
25
25
26
CAPTULO 4.
TRATAMIENTO DE RIESGOS EN TECNOLOGAS DE INFORMACIN .
4.1.
Normas y estndares internacionales .
4.1.1. COBIT ..
4.1.2. ISO 27000
4.2.
Revisin de controles de seguridad existentes .
4.3.
Polticas y procedimientos .
4.4.
Tratamiento de riesgos en Tecnologas de Informacin
4.5.1. Aceptar el riesgo .
4.5.2. Reducir o controlar el riesgo .
4.5.3. Evitar el riesgo
4.5.4. Transferir el riesgo ..
xviii
31
33
33
34
36
37
38
38
38
39
40
40
40
41
41
43
45
45
49
51
53
55
55
56
57
57
CAPTULO 5.
xix
61
62
62
62
64
64
64
65
65
65
65
65
68
69
70
71
71
71
71
72
74
74
74
74
75
76
76
76
77
77
77
77
77
78
78
78
79
xx
79
80
80
80
80
81
81
81
81
82
82
83
83
84
84
84
84
85
85
85
88
88
88
89
89
90
90
91
93
93
94
94
95
95
98
98
98
99
99
100
100
100
100
100
101
101
101
101
102
102
103
103
103
Conclusiones .
Apndice .
Glosario ...
Bibliografa .
105
111
117
143
xxi
CAPTULO 1
ANTECEDENTES
CAPTULO 1
ANTECEDENTES
1.1. Evolucin de las tecnologas de informacin
Los adelantos en el campo de las Tecnologas de Informacin en los ltimos 30 aos,
han cambiado extraordinariamente la manera en cmo trabajan las personas, de tal
forma que han permitido automatizar de forma gradual las tareas que anteriormente
eran realizadas tediosamente por operadores u oficinistas. La velocidad de esta
evolucin en pocos aos ha producido adems de beneficios, modificaciones en la
forma y tiempo de trabajo en las organizaciones.
La necesidad de informacin es tan antigua como el ser humano, pero no es hasta
mediados del siglo XIX cuando se muestran los reales avances tecnolgicos. La historia
nos muestra desde el singular sistema de comunicacin que empleaba antorchas sobre
torres distantes; la transmisin de smbolos y letras del alfabeto griego cerca del siglo
300 a.c., hoy en da con la creacin de la computadora y posterior-mente la aparicin de
Internet se ampli el acceso a la informacin permitiendo la comunicacin casi
instantnea con todo el mundo.
As mismo la introduccin de las nuevas tecnologas en los negocios y en el hogar han
cambiado la organizacin y el funcionamiento de todo tipo de empresas e instituciones,
proporcionando mejores mtodos de bsqueda y acceso a la informacin, adems de
herramientas para el ptimo manejo de recursos.
Sin embargo debido al constante cambio e innovacin, algunas tecnologas se hacen
rpidamente obsoletas, por lo que obliga a las organizaciones a adquirir tecnologa
que se ajuste a sus estrategias, infraestructura y procesos de negocio.
Es por eso que las Tecnologas de Informacin han obtenido una relevancia estratgica,
debido a que cambian la forma en que operan las organizaciones.
Hoy en da la integracin de la computacin, las telecomunicaciones y las tcnicas
para el procesamiento de datos son los principales protagonistas para el desarrollo
informtico, los principales factores para esto son:
La microelectrnica por el avance en la velocidad y capacidad de procesamiento
en las computadoras.
Las telecomunicaciones en el amplio desarrollo de las redes con alcance local y
global.
El desarrollo de programas y aplicaciones para los usuarios, provocando un
ambiente amigable con el uso de tcnicas multimedia.
Durante mucho tiempo, la funcin de la informtica en las empresas fue considerada como
parte de las herramientas operativas con las que contaba la organizacin, pero hoy en da
las Tecnologas de Informacin son consideradas como reas de oportunidad para lograr
objetivos y ventajas en el desarrollo de los negocios, ya que se han convertido en el
corazn de las operaciones de cualquier organizacin, desde sistemas transaccionales
que ayudan en las operaciones diarias hasta las aplicaciones que contribuyen a tomar
decisiones gerenciales definiendo el rumbo de la organizacin.
Actualmente las organizaciones que tengan la informacin precisa en el momento que
sus ejecutivos la requieran, contarn con un elemento muy importante para la toma de
decisiones, lo que les permitir contar con una ventaja competitiva respecto a sus
competidores.
ANTECEDENTES
Podemos afirmar que las tecnologas necesarias en la empresa, son aquellas que
contribuirn al mximo en el logro de los objetivos estratgicos del negocio.
1.2.3. Tecnologa deseada
El utilizar una nueva tecnologa implica cambios, ya que en muchas ocasiones no
ser posible hacer lo mismo que antes y de la misma manera, slo que se utilizar
una tecnologa diferente. Debemos estar conscientes de los cambios que el uso de
nuevas herramientas implica. Tener en cuenta las caractersticas de la tecnologa
que estamos usando y de la nueva, volviendo a considerar el funcionamiento para
que el Sistema de Informacin proporcione los resultados deseados.
Por lo tanto, el uso de las nuevas tecnologas a menudo no es deseado por parte del
personal, que deben sacrificar las viejas formas de hacer las cosas para aceptar los
cambios que stas traen consigo. Los empleados debern estar dispuestos al
cambio, interesarse en aprender y querer trabajar con las nuevas tecnologas. Es
importante el papel del lder para crear las condiciones idneas para que esto suceda.
ANTECEDENTES
Valor
Probabilidad
Definicin
Improbable
Remoto
Ocasional
Moderado
Frecuente
Constante
Tabla 1.1.
Anlisis de riesgos
Definicin alcance
Identificacin de activos
Tasacin de activos
Identificacin de amenazas
Probabilidad de ocurrencia
Identificacin de vulnerabilidades
Posible explotacin de
vulnerabilidades
Evaluacin de riesgos
Definicin alcance
Identificacin de activos
Tasacin de activos
Grado de
Aseguramiento
Tratamiento de riesgos
Revisin de controles de
seguridad existentes
Identificacin de nuevos
controles de seguridad
Polticas y procedimientos
Implementacin y
reduccin del riesgos
Aceptacin del riesgo
Figura 1.1.
ANTECEDENTES
Una metodologa recomienda que para llevar a cabo una evaluacin de riesgos, se
defina primero el alcance del proyecto y con base en ello, identificar todos los activos
de informacin. stos deben ser tasados para identificar su impacto en la organizacin,
estipulando qu activos estn bajo riesgo y con base en ello; poder tomar decisiones
en relacin a qu riesgos aceptar la organizacin y qu controles sern implantados
para mitigarlo.
A la organizacin le corresponder revisar los controles implantados a intervalos de
tiempo regular, para asegurar su ajuste, eficacia y que de esta forma se controlen los
niveles de riesgos aceptados y el estado del riesgo residual (es el riesgo que queda
despus del tratamiento del mismo).
CAPTULO 2
MARCO TERICO:
RIESGOS EN
TECNOLOGAS
DE INFORMACIN
CAPTULO 2
MARCO TERICO:
RIESGOS EN TECNOLOGAS DE INFORMACIN
2.1. Fundamentacin terica
Conceptos de riesgo:
Riesgo se refiere a la incertidumbre o probabilidad de que ocurra o se realice un
evento, el cual puede ser previsto; en este sentido podemos decir que el riesgo es la
contingencia de un dao.
Jos Salvador Snchez define el riesgo como cualquier elemento potencial que puede
provocar resultados no satisfactorios en el desarrollo de un proyecto.
Riesgo es tambin toda aquella eventualidad que imposibilita el cumplimiento de un
objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de
incumplimiento o exceso del objetivo planeado. As definido, un riesgo conlleva a dos
tipos de consecuencias: ganancias o prdidas.
2.2.8.
Riesgo de tecnologa
Temblores
Inundaciones
Tornados
Huracanes
Tormentas elctricas
Erupciones volcnicas
Las causas de riesgo originadas por el hombre, son entre otras, las siguientes:
Incendios
Explosiones
Accidentes laborales
Daos mal intencionados
Sabotaje
Robo
Fraude
Las causas de riesgo internas, se derivan a partir de las mismas empresas. Son ms
frecuentes las causas internas de riesgo que las externas.
Entre las causas de riesgo internas tenemos bsicamente:
15
RIESGO
DESCRIPCIN
Posibilidad de ocurrencia
de aquella situacin que
pueda entorpecer el
normal desarrollo de las
funciones de la entidad y
le impidan el logro de sus
objetivos.
Se
refiere
a
las
caractersticas generales
o las formas en que se
observa o manifiesta el
riesgo identificado.
Tabla 2.1.
POSIBLES
CONSECUENCIAS
Corresponde a los posibles
efectos ocasionados por el
riesgo, los cuales se
pueden traducir en daos
de tipo econmico, social,
o administrativo, entre
otros.
Un mapa de riesgos
Identificacin de activos
d. Funcionalidades de la organizacin:
Objetivos y misin de la organizacin
Bienes y servicios producidos
Personal, usuarios y destinatarios de los bienes o servicios producidos
e. Otros activos no relacionados con los niveles anteriores:
Credibilidad: tica, jurdica, etc., o buena imagen de una persona jurdica
o fsica.
Conocimiento acumulado.
Independencia de criterio de actuacin.
Integridad de las personas, etc.
Adems de identificar e inventariar los activos en cada uno de los anteriores niveles,
deberemos fijar el estado de seguridad de cada activo en funcin de los siguientes
atributos (tomando en cuenta un punto de vista cuantitativo):
Valuacin de costosSe basa en el valor del activo para ser reemplazado.
Valuacin del mercado- Se toma el valor del activo en el mercado.
Valuacin del ingreso- Tasa el valor del activo en el ingreso esperado de dicho
activo.
El atributo tendr los niveles: bajo, normal, alto o crtico, en funcin del nivel
requerido.
Confidencialidad de la informacin del activo.
Libre, sin restricciones en su difusin.
Restringida, con restricciones normales.
Protegida, con restricciones altas.
Confidencial, no de difusin por su carcter crtico.
Integridad del activo. Facilidad mayor o menor de reobtener el activo con
calidad suficiente.
Bajo, si se puede reemplazar fcilmente con un activo de igual
calidad.
Normal, si se puede reemplazar con un activo de calidad semejante
con una molestia razonable.
Alto, si la calidad necesaria es difcil y costosa de reconstruir.
Crtico, si no puede volver a obtenerse una calidad semejante.
Disponibilidad del activo. Tiempo mximo de carencia del activo sin que
las consecuencias o impactos sean graves para la organizacin.
Menos de una hora, considerado como fcilmente recuperable.
Hasta un da laborable, contando para la recuperacin con ayuda
telefnica de especialistas externos o de reposicin con existencia local.
Hasta una semana, contando para la recuperacin con ayuda presencial
de especialistas externos.
Ms de una semana, considerado como interrupcin catastrfica.
19
20
Definicin
La amenaza es altamente motivada
suficientemente capaz de llevarse a cabo.
Media - alta = 4
Media = 3
La amenaza es posible.
Media baja = 2
Baja = 1
es
Oficial de seguridad
Dueos de procesos.
Gerente del rea.
Comit de seguridad.
Dueos de activos.
Coordinador del plan de contingencias.
Al respecto, debe notarse que si bien la valoracin del riesgo contenida en una
matriz de riesgos es mayormente de tipo cualitativo, tambin se utiliza un
soporte cuantitativo basado en una estimacin de eventos ocurridos en el
pasado, con lo que se obtiene una mejor aproximacin a la probabilidad de
ocurrencia del evento.
La valoracin consiste en asignar a los riesgos calificaciones dentro de un
rango, que podra ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media
(3), moderada (4) o alta (5)), dependiendo de la combinacin entre impacto y
probabilidad. En la siguiente grfica 2.1., se puede observar un ejemplo de
esquema de valorizacin de riesgo en funcin de la probabilidad e impacto de
tipo numrico con escala:
26
El mapa de riesgos 2.2. es uno de los medios que permite identificar factores
de riesgos y cuantificacin de frecuencias e impactos a travs de un consenso
de grupos de trabajo, entrevistas, cuestionarios y evaluaciones
independientes, aprovechando la estadstica disponible por incidencias o por
lo contrario la experiencia de los responsables de cada rea funcional, de
apoyo y soporte. Se clasifican los riesgos de la organizacin determinando un
punto de partida para desarrollar un marco completo para la administracin del
riesgo tecnolgico. Cada cuadrante localizado en el mapa permite visualizar el
nivel de exposicin que se tiene por cada uno de los riesgos.
2.2.
Mapa de riesgos
Frecuencia
Extremo
Alto
Medio
Moderado
Bajo
Descripcin
Indica que el riesgo tiene una gran probabilidad
de ocurrencia y un impacto crtico para la
organizacin en caso de materializarse.
Indica que el riesgo tiene una alta probabilidad
de ocurrencia y un fuerte impacto para la
organizacin en caso de materializarse.
Indica que el riesgo tiene una probabilidad de
ocurrencia media e impacto significativo para
la organizacin en caso de materializarse.
Indica que el riesgo tiene cierta probabilidad de
ocurrencia e impacto considerable para la
organizacin en caso de materializarse.
Indica que el riesgo tiene una mnima
probabilidad de ocurrencia e impacto menor
para la organizacin en caso de materializarse.
27
Al clasificar los riesgos a los que est expuesta la organizacin por frecuencia
e impacto se tiene como resultado el mapa de riesgos con un listado de riesgos
absolutos bajo un enfoque cualitativo.
2.6.4. El mtodo RIIOT (Review, Interview, Inspect, Observe and Test) para la
recoleccin de datos.
El mtodo RIIOT es otra de las tcnicas usadas en la evaluacin de riesgos, en este
caso para la fase de recoleccin de datos, la cual es el corazn del proceso de la
evaluacin de riesgos de seguridad; involucra volmenes de datos, un enorme
nmero de actividades y muchas horas de esfuerzo. La fase de recoleccin de datos
es tal vez la fase de mayor labor de los procesos de evaluacin de riesgos de
seguridad y cubre todos los controles de seguridad de la organizacin, dentro de los
lmites del proyecto. A pesar de la complejidad de esta fase en la evaluacin de los
riesgos de seguridad de la informacin, pocas herramientas o mtodos han sido
desarrollados para que asistan en la planeacin, desempeo y coordinacin de
estas actividades.
La revisin, entrevistas, inspeccin, observacin y prueba del mtodo RIIOT, aborda
al problema de recolectar informacin en una amplia variedad de controles, usando
un nmero grande de herramientas y tcnicas. Algunas de las cuales se
desarrollarn en el captulo 5.
El mtodo RIIOT considera cinco procesos para recolectar los datos, los cuales
pueden ser aplicados a las reas tcnicas, administrativas y fsicas de la
organizacin, estos procesos son:
Revisar documentacin. Los miembros del equipo de evaluacin de
riesgos revisan la documentacin que definen las reglas, configuraciones,
planos, arquitecturas y otros elementos de control de seguridad. Todos los
documentos disponibles y relevantes deben ser revisados, pueden incluir
polticas, procedimientos, mapas de red, planos de centro de cmputos,
bitcoras de respaldos y presentaciones de concientizacin de seguridad.
Entrevistas a personal clave. Los miembros del equipo de evaluacin de
riesgos en sus entrevistas al personal clave, determinan la habilidad de
dicho personal para realizar sus tareas tal como debe estar definido en
las polticas de la empresa evaluada-, su comportamiento en tareas no
establecidas en dichas polticas y su manera de aplicarlas, as como las
observaciones que tengan con los actuales controles de seguridad.
Inspeccin de controles de seguridad. Los miembros del equipo de
evaluacin de riesgos inspeccionan los controles especficos de seguridad
implementados, tales como el registro de visitantes, archivos de
configuracin, detectores de humo y el manejo de respuesta a incidentes.
Estos controles pueden ser inspeccionados contra los estndares de la
industria, con listados de verificacin de puntos a revisar (checklists) de
vulnerabilidades comunes o utilizando la experiencia y el juicio.
28
29
CAPTULO 3
METODOLOGAS DE
EVALUACIN DE
RIESGOS EN
TECNOLOGAS DE
INFORMACIN
CAPTULO 3
METODOLOGAS DE EVALUACIN DE RIESGOS EN
TECNOLOGAS DE INFORMACIN
3.1. Introduccin
La Informtica ha sido tradicionalmente una materia compleja en todos sus aspectos,
por lo que se hace necesaria la utilizacin de metodologas en cada doctrina que la
componen, desde su diseo de ingeniera hasta la auditora de los sistemas de
informacin.
Las metodologas usadas por un profesional dicen mucho de su forma de entender su
trabajo y estn directamente relacionadas con su experiencia profesional, acumulada
como parte del comportamiento humano de prueba y error.
La evaluacin de riesgos en tecnologas de informacin es el proceso de comparar el
nivel de riesgo encontrado durante el anlisis de los mismos, contra el criterio de
riesgo establecido previamente y decidir el tratamiento que se dar a stos.
El anlisis de riesgos y los criterios contra los cuales stos son comparados en la
valoracin, deben ser considerados sobre la misma base. As, evaluaciones
cualitativas incluyen la comparacin de un nivel cualitativo de riesgo contra criterios
cualitativos y evaluaciones cuantitativas involucran la comparacin de niveles
estimados de riesgo contra criterios que pueden ser expresados con nmeros
especficos, tales como fatalidad, frecuencia o valores monetarios.
El resultado de una evaluacin de riesgos para cualquier criterio, es una lista
priorizada de riesgos para definir posteriormente acciones de tratamiento a cada uno
de ellos.
36
Una vez definidos los controles, las herramientas de control y los recursos
humanos necesarios, se procede a implantarlos en forma de acciones
especficas.
Terminado el proceso de implantacin de acciones habr que documentar los
procedimientos nuevos y revisar los cambios efectuados. Los procedimientos
resultantes sern:
Procedimientos propios de control de la actividad informtica (control
interno informtico).
Procedimientos de distintas reas de usuarios de la informtica.
Procedimientos de reas informticas.
Procedimientos de control que relacionan las diferentes reas de
informtica, control interno informtico y el rea informtica, los usuarios
informticos y el rea de control no informtico.
El anlisis de riesgo.
La valoracin de activos.
Anlisis de vulnerabilidad.
Evaluacin de riesgos de seguridad.
39
Metodologa OCTAVE
40
El mtodo FRAP consiste de tres pasos, los cuales estn diseados para ser
completados en 10 das. ste es un mtodo cualitativo, que se auxilia de plantillas
y listas de verificacin (checklist).
3.5.4.
NSA IAM
41
CAPTULO 4
TRATAMIENTO DE
RIESGOS EN
TECNOLOGAS DE
INFORMACIN
CAPTULO 4
TRATAMIENTO DE RIESGOS EN TECNOLOGAS DE
INFORMACIN
4.1. Normas y estndares internacionales
Dados los continuos cambios en las Tecnologas de Informacin, en este
captulo se menciona el tratamiento de riesgos y algunas normativas que se
han desarrollado conforme han ido evolucionado stas.
Estas normativas constituyen el fundamento para el avance en el desarrollo
de los controles en las reas de TI, gestionando la seguridad de la informacin
utilizable en cualquier tipo de organizacin, ya sea pblica o privada, grande o
pequea.
Las organizaciones necesitan un conjunto estructurado, sistemtico,
coherente y completo de normas a seguir, a fin de identificar los riesgos a los
que estn sometidas para as tomar medidas adecuadas y proporcionadas de
una correcta gestin de seguridad.
4.1.1. COBIT
COBIT (Control OBjectives for Information and related Technology | Objetivos
de Control para tecnologa de la informacin y relacionada) es el modelo para
el gobierno de las Tecnologas de Informacin, desarrollado por la Asociacin
de Auditora y Control de Sistemas de Informacin (Information Systems Audit
and Control Association, ISACA) y el Instituto de Gobierno de TI (IT
Governance Institute, ITGI). La ltima versin de este modelo es la 5.0.
COBIT4 tiene 34 objetivos a nivel alto, que cubren 215 objetivos de control
clasificados en los siguientes cuatro dominios:
Planear y Organizar
Adquirir e Implementar
Entregar y Dar Soporte
Monitorear y Evaluar
COBIT4 tiene 34 objetivos a nivel alto, que cubren 215 objetivos de control
clasificados en cuatro dominios, stos, con sus objetivos de alto nivel se
muestran a continuacin:
Planear y Organizar
Adquirir e Implementar
Monitorear y Evaluar
46
47
49
50
51
52
Ponderacin
4
3
2
1
0
Descripcin
Los procedimientos y medidas de control estn
formalizados y siempre son utilizados, aplicados,
medidos y monitoreados. Adems de ser
optimizados peridicamente.
Los procedimientos y medidas de control estn
formalizados y siempre son utilizados, aplicados,
medidos y monitoreados.
Los procedimientos y medidas de control estn
formalizados y siempre son utilizados y aplicados.
Los procedimientos o medidas de control no
estn formalizados y no siempre son utilizados o
aplicados.
Se tiene conciencia sobre la necesidad de contar
con procedimientos o medidas de control.
No se cuenta con polticas o procedimientos.
Tabla 4.1.
Ponderacin de controles.
53
56
57
CAPTULO 5
UNA METODOLOGA
DE ANLISIS Y
EVALUACIN
DE RIESGOS EN
TECNOLOGAS DE
INFORMACIN
CAPTULO 5
UNA METODOLOGA DE ANLISIS Y EVALUACIN
DE RIESGOS EN TECNOLOGAS DE INFORMACIN
5.1. La necesidad de una evaluacin de riesgos de seguridad en TI.
Actualmente, las organizaciones dependen en su totalidad de tener la informacin exacta
en el momento preciso; las compaas que no son capaces de alcanzar esto, estn en
peligro de extincin, porque con el paso de los aos, la informacin se ha convertido en
el elemento de mayor importancia para la toma de decisiones. Y es aqu donde radica la
prioridad de desarrollar nuevas tecnologas que permitan tener la informacin requerida
y oportuna para ser utilizada. Sin embargo, la mayora de las empresas han fallado al no
aprovechar el ambiente existente e implementar ideas innovadoras para mejorar el papel
que juegan las tecnologas de informacin dentro de sus organizaciones
La informacin contenida en los sistemas de cada empresa debe ser protegida y
preservada, para ello es necesario hacer un estudio real de las amenazas y de las formas
en que las mismas pueden ser reducidas. Por esta razn, el presente captulo tiene como
meta el definir una metodologa que cubra los aspectos fundamentales que se deben
considerar en el anlisis, evaluacin y administracin de riesgos de Tecnologas de
Informacin en todas las empresas.
Una evaluacin de riesgos toma muchos nombres y puede variar conforme a los trminos
del mtodo utilizado, dependiendo el rigor con el que es realizado y el alcance de dicha
evaluacin, pero el objetivo principal es siempre el mismo: evaluar los riesgos de
seguridad que ponen en peligro los activos de informacin de la organizacin. La
informacin obtenida por esta evaluacin es usada para determinar de qu manera
atenuar los riesgos de seguridad encontrados y preservar de la mejor forma el objetivo
de la organizacin.
Los beneficios que presenta una evaluacin de riesgos de seguridad en Tecnologas de
Informacin son los siguientes:
Definicin de la situacin actual. Una evaluacin de riesgos proporciona a la
organizacin el estado actual de la proteccin de sus activos de informacin, que
servir como base para iniciar trabajos adicionales a fin de proteger dichos activos.
En esta evaluacin, el trabajo del administrador de seguridad de la informacin y el
grupo de operaciones de seguridad sern revisados por un grupo externo, el cual
tendr como objetivo el determinar la precisin del programa de seguridad y hacer
ver las reas de mejora.
Revisiones peridicas. El programa de seguridad de informacin diseado de la
manera ms cuidadosa, requiere de revisiones peridicas. Estas revisiones proveen
un porcentaje de la efectividad del programa ya implementado dentro de la
compaa y dan la informacin necesaria para ajustarlo a las cambiantes amenazas
a las que est expuesta la organizacin.
63
64
65
66
Dirigido a quien deba tomar las decisiones. El reporte final debe cubrir
diferentes puntos de vista y niveles de experiencia, por lo que debe ser escrito
pensando en todos los involucrados, es recomendable cuidar los siguientes
aspectos:
68
Resumen ejecutivo. Debe ser escrito para los involucrados que necesitan
saber lo ms relevante, ser corto y directo, adems de contestar a la
pregunta: Cules son los riesgos de seguridad en mi administracin y
que se debera hacer al respecto?
69
71
Para el propsito de ste trabajo, los activos de una organizacin son los recursos
a travs de los cuales la organizacin genera valor. Estos pueden incluir: hardware,
software, sistemas, servicios, documentos, propiedades personales, gente,
secretos industriales, formulas, y cualquier otro elemento del proceso del negocio;
para una organizacin, no siempre es fcil definir qu es un activo y qu no lo es,
por ello, consideramos como activos tangibles e intangibles a los siguientes:
Activos tangibles. Son aquellos que se pueden tocar, como el hardware (o
equipo), sistemas, redes, interconexiones, telecomunicaciones, cableado,
mobiliario, registros de auditora, libros, documentos, efectivo y software. Sin
embargo, el activo nmero uno, siempre lo sern las personas (empleados,
proveedores, clientes, invitados, visitantes y otros). Estos activos son los que
pueden ser ms fcilmente listados, pues son visibles e inclusive
contabilizados dentro de registros de auditora.
Activos intangibles. Son aquellos que no se pueden tocar, tales como la
seguridad y salud de los empleados, datos, privacidad del empleado y del
cliente, imagen y reputacin de la organizacin. Dichos activos son difciles de
listar o enumerar, pues no son visibles o contables en registros.
5.4.5.4. Identificacin de los lmites en los sistemas de informacin.
Es importante considerar los lmites en sistemas de informacin, ya que son el punto
de partida para iniciar con la evaluacin de seguridad; se considera que un sistema
de informacin es cualquier proceso o grupo de procesos relacionados,
generalmente dentro de un mismo sistema operativo. Estos comprenden los
procesos, comunicaciones, almacenamiento y recursos necesarios para que el
sistema de informacin opere.
Por lo tanto cada sistema de informacin a ser evaluado, debe tener identificados
de manera explcita sus lmites fsicos y lgicos.
Lmites fsicos. Consisten en identificar el entorno material en el que se llevar
a cabo la evaluacin de seguridad.
Los elementos por considerar dentro de los lmites fsicos de un sistema son:
72
Estaciones de trabajo
Servidores
Equipo de redes
Equipo especial
Cableado
Perifricos (repetidores, estaciones de microondas, etc.)
Edificios
Pisos dentro de los edificios o habitaciones individuales.
Una vez que se han identificado los lmites de los sistemas de informacin a ser
evaluados, puede ser ms sencillo acotar el alcance del proyecto de evaluacin.
Debe tomarse en cuenta que un sistema sin lmites, no puede ser evaluado.
Las nicas razones por las que no se debera incluir algn sistema de informacin
dentro de los lmites fsicos de la evaluacin, seran que estos se encuentren dentro
de los siguientes casos:
73
La descripcin del proceso utilizado debe ser breve y clara, incluyendo la metodologa
empleada, dando al patrocinador del proyecto la confianza de que se utiliz la
metodologa adecuada y una gua para entender los resultados.
74
75
Por lo tanto es recomendable que el grupo deba asegurarse de tener el permiso del
dueo de todos los sistemas que necesitan con objeto de tener acceso para hacer
pruebas de los sistemas.
5.5.4.3. Alcance de los permisos obtenidos.
Se recomienda que paulatinamente las organizaciones otorguen permisos para
acceder a sus sistemas. Los permisos para las pruebas de seguridad slo debern
ser otorgados para sistemas definidos y en horarios determinados, exclusivamente
para un propsito especfico. La forma de los permisos para acceder a los sistemas
que se incluyen en las pruebas deber indicar las direcciones IP y el nmero telefnico
cuando se emplee war dialing o ingeniera social.
Por ltimo, es conveniente que el tipo de prueba, est descrito en los formatos. Por
ejemplo, pruebas de vulnerabilidad, pruebas de penetracin, ingeniera social, war
dialing, entre otros.
5.5.4.4. Tipo de cuentas de acceso requeridas para las pruebas.
El grupo de evaluacin de seguridad debe especificar al patrocinador el nmero y
tipo de cuentas de acceso que se requerirn. Las cuentas requeridas para cualquier
evaluacin de seguridad dependen de los procesos que se usarn por el grupo de
evaluacin y de los permisos que se requieran para ejecutar dichos procesos.
5.5.5 Entender la misin del negocio
Antes de analizar y dar a conocer los riesgos de la organizacin, es necesario que el
equipo de evaluacin de seguridad tenga una comprensin bsica de: la misin
corporativa, la estructura, los negocios y los objetivos de la empresa, con objeto de
identificar los activos de la misma, sus riesgos potenciales y el impacto de stos sobre
sus activos.
5.5.5.1. Informacin necesaria de la misin del negocio.
Es recomendable que el equipo de evaluacin investigue informacin pblica y
disponible de la organizacin, en su sitio Web, informes anuales y comunicados de
prensa, antes de iniciar la evaluacin; con el propsito de comprender mejor la
misin empresarial de dicha organizacin.
5.5.6 Identificacin de sistemas crticos
Los sistemas de informacin identificados en el alcance de la evaluacin, deben ser
considerados de manera independiente, ya que estos tendrn: activos, funciones,
datos, procedimientos, controles y propietarios de datos nicos, adems de identificar
su criticidad, ya que es un aspecto nico.
77
La ltima fase para identificar los sistemas crticos, es precisar cada sistema
de informacin por: aplicacin, principales aplicaciones y de soporte general.
Aplicacin. Usan la informacin para satisfacer un conjunto especfico de
necesidades de los usuarios.
Principales aplicaciones. Requieren una atencin especial por el riesgo o
dao, en caso de una perdida, mal uso, acceso no autorizado o alteracin
de la informacin en la aplicacin.
Soporte general. Son un conjunto interconectado de recursos de informacin
con el mismo control de gestin para su funcionalidad.
78
DATOS SENSIBLES
DATOS DEL
CLIENTE /
INFORMACIN DE
SALUD PRIVADA
DATOS PBLICOS
DESCRIPCIN
Son los datos que contienen
informacin de tipo confidencial, como
puede ser la informacin personal de los
empleados,
informacin
de
configuracin de los controles de
seguridad y la informacin de la
propiedad de la empresa
Son los datos que contienen
informacin privada de la salud de los
empleados o la informacin no pblica
de algn cliente de una entidad
financiera
Es la informacin que se encuentra
publica, por ejemplo, en el sitio Web
de la empresa
Tabla 5.1.
EJEMPLOS
Aplicaciones que
usan los empleados,
contraseas de las
cuentas, etc.
Registros mdicos,
informacin de
seguro social,
estados de cuenta,
informes de crdito,
etc.
Sitio Web,
informacin de
marketing, etc.
Tipos de datos.
79
80
81
83
5.7.1.3 Humedad.
Los ambientes de alta humedad pueden incrementar el riesgo de corrosin en
equipos que pueden ser sensibles a ello. La baja humedad incrementa la posibilidad
de generacin de esttica y descargas. Estas pueden daar o resetear equipos de
cmputo sensibles.
Para ello las medidas de seguridad, deben incluir:
Humidificadores/Deshumidificadores. Es un componente que se instala en
el sistema que maneja el aire acondicionado y sirve para aadir o quitar la
humedad al aire.
Alarmas de humedad.
Registros de humedad. En caso de existir tambin deben ser revisados,
mnimo 90 das previos a la evaluacin.
5.7.1.4. Incendio.
El dao provocado por un incendio puede ser limitado o evitado si los controles del
edificio son capaces de realizar una deteccin temprana del fuego, para esto se
debe considerar que la organizacin tenga instalados los siguientes controles:
Detectores de humo.
Alarmas contra incendio.
5.7.1.5
En este punto es recomendable realizar un anlisis del peligro que el hombre pueda
causar a las instalaciones de la organizacin, ya que pudiera ser ocasionado por el
personal que labore dentro o ajeno a ella.
5.7.1.5.1. Revisin al personal.
Se recomienda la revisin al personal antes de que se incorpore a la
organizacin, dicha revisin pueden tomar en cuenta: pruebas de identidad,
antecedentes, penales, ciudadana, referencias, y cumplimiento de obligaciones
civiles como el servicio militar.
Se podrn establecer las siguientes medidas fsicas:
Barreras fsicas. Deben ser usadas para controlar, limitar o excluir el
acceso a las instalaciones fsicas
Puertas. Con objeto de mejorar la efectividad de las puertas, debern
tomarse en cuenta las siguientes medidas:
84
REAS
FSICAS Y
TIPO
AMENAZAS
Infraestructura,
Potencia o
(oficinas,
energa
almacenes,
talleres, etc.) elctrica
Condiciones
ambientales
Calefaccin
Humedad
Incendio
86
Exposicin al
fuego
ECHOS
Potencia
inconsistente
CONTRAMEDIDA(S)
Supresor de sobrevoltaje
Inundacin
Otros
desastres
naturales
Proteccin
del empleo
Proteccin de
instalaciones
Dao a personas
Detectores de humo
Daos a los activos Detectores de calor
Detectores de humo
Ubicacin del detector de
incendios
Alarma de
Dao a personas
Paneles de control
incendios
Daos a los activos Alarmas audibles
Alarma visibles
Alarmas auxiliar
Estacin central
Estaciones remotas
Extincin de
Daos a personas Gas inerte
incendios
Dao a los activos Gas inerte, agua
Espuma
Arena limpia
Daos por
Daos a personas Desage libre de obstculos
inundacin
Dao a los activos Bolsas de arena para proteger
entradas
Exponerse a la Daos a personas Bombas de agua para extraccin
inundacin
Dao a los activos Pisos elevados seguros
Exposicin a
elementos
naturales
Daos a personas
Revisiones al
personal
Barreras o
muros
de proteccin
o puertas de
seguridad
Poner en peligro a
los empleados
Edificios seguros
Puertas seguras
Cerraduras seguras
Barreras vehiculares
87
Poner en peligro a
los empleados
Deteccin de
intrusos
Entrada no
autorizada
Activos fsicos
Poner en peligro a
los empleados
Entrada no
Autorizada de
objetos
Extraccin
no autorizada de la
propiedad
Alumbrado fijo
Alumbrado en espera
Alumbrado mvil
Alumbrado de emergencia
Sensores de movimiento
Mantener un registro de
personas
Videocmaras de seguridad
Sensores internos de movimiento
Circuito cerrado de televisin
Prohibir el acceso de objetos extraos
89
90
5.8.5. Uso del mtodo RIIOT (Review, Interview, Inspect, Observe and Test) para la
recoleccin de datos tcnicos.
La aplicacin del mtodo RIIOT al rea tcnica incluye cinco puntos.
Revisin de documentos tcnicos. Consiste en la revisin de documentos de
los controles de seguridad tcnicos, los cuales la mayor parte sern manuales
y diagramas, el resto de las revisiones incluirn los mapas de red y
declaraciones de polticas tcnicas, entre otros.
Entrevista al personal tcnico. Consiste en entrevistar al personal tcnico para
entender los controles tcnicos empleados, as como la estructura de la red,
etc. Dentro del rea de controles tcnicos, el equipo de seguridad tomar las
entrevistas como informacin complementaria, siendo las pruebas e
inspecciones la principal fuente de informacin.
Inspeccin de los controles de seguridad tcnicos. La inspeccin consiste en
la revisin de los aspectos de los controles de seguridad, por ejemplo las
configuraciones o arreglos; as mismo, de la informacin recopilada, se verifica
la identificacin de vulnerabilidades y se documentan los resultados.
Observar el comportamiento del personal tcnico. El proceso de recopilacin
de datos a travs de la observacin del comportamiento del personal tcnico
debe ser sutil, ya que este proceso es pasivo y depende del personal tcnico;
el ser consistentes con las polticas de la organizacin, los procedimientos, el
mantenimiento y el uso correcto de la tecnologa determina la eficacia de los
controles tcnicos.
Prueba de los controles tcnicos de seguridad. Es el proceso de poner a
prueba los controles tcnicos de acuerdo a las funciones de seguridad
previstas. Estas pruebas permiten tener una excelente visin de la eficacia de
dichos controles. Los controles tcnicos aptos para estas pruebas incluyen:
los registros de auditora, sistemas anti-virus, directivas automatizadas de
contraseas, VPN (Virtual private network) , Firewall (cortafuegos), IDS
(Intrusion detection system), entre otros.
Un miembro del equipo de evaluacin de seguridad es eficaz, cuando tiene una
comprensin bsica de las amenazas y contramedidas dentro del rea de seguridad
tcnica, algunas de las amenazas ms frecuentes se analizan en la siguiente tabla 5.3.
Las amenazas tcnicas incluyen la divulgacin, modificacin, denegacin de servicio
y otras amenazas que afectan a los activos de la organizacin.
91
Las contramedidas tcnicas son controles lgicos que pueden reducir estas amenazas
a travs de la prevencin, deteccin o correccin.En este inciso 5.8. Recoleccin de
datos tcnicos, en la tabla 5.3., se han descrito las amenazas generales de seguridad
tcnica y sus contramedidas, as como un proceso de informacin en cuanto a la
adecuacin de los mecanismos de seguridad tcnica.
REAS
TCNICAS Y
AMENAZAS
Control de
informacin
TIPO
ECHOS
Informacin
Divulgacin
sensible / critica Modificacin
Continuidad
del negocio
Cuentas de
usuario
Divulgacin
Modificacin
Planes de
contingencia
Divulgacin
Falta de
disponibilidad
Divulgacin
Desestabilizacin
Fraudes
Programa de
respuesta a
incidentes
Divulgacin
Desestabilizacin
Fraudes
Ataques al sistema
Falta de
disponibilidad
92
CONTRAMEDIDA(S)
Definir una poltica de seguridad
Registros de auditora
No instalar programas sin
autorizacin
Tecnologas de monitoreo
Controles de acceso a los
equipos (privilegios de acceso)
Listas de comprobacin
Cifrado de datos
Sistema antivirus
No compartir contraseas
Poltica de contrasea robusta
Realizacin de mantenimiento
preventivo (proteccin de
identidad)
Tecnologas de respaldo para
seguridad de datos
RAID
La estrategia de continuidad del
negocio
Anlisis del impacto comercial
Plan de recuperacin de
Desastres (DRP)
Pruebas de DRP y mantenimiento
Plan y procedimientos de
respuesta a incidentes
Capacitacin de respuesta
a incidentes
Controles de acceso lgico
Herramientas de rastreo de
vulnerabilidades
Eliminar servicios innecesarios
Sistema de Deteccin de Intrusos
(IDS)
Anti-virus y anti-spam
Arquitectura
Datos
94
95
Estructura
de la
organizacin
Personal
Alta direccin
Control de
informacin
Informacin
sensible
Cuentas de
usuario
CONTRAMEDIDA(S)
Amenaza
Vulnerabilidad
Objetivo de la
vulnerabilidad
Poltica violada
Activo expuesto
Un
competidor
Uso de la
ingeniera social
Oficinas de
venta
Revelar
informacin
interna
Lista de activos
clave
Un hacker
Explotacin de
vulnerabilidades
conocidas
En algn
protocolo de
autenticacin
remoto
Ingresar sin
autorizacin
Un intruso
Puede
introducirse sin
autorizacin
Al site de
telefona
Autenticacin
remota de
servidores
Espiar
Conversaciones
conversaciones
confidenciales
telefnicas
99
103
CONCLUSIONES
Conclusiones
En Mxico existe una carencia y deficiencia en la difusin, capacitacin y fomento de la
seguridad informtica, desde la organizacin misma hasta los empleados. Esto tiene como
consecuencia estar en desventaja frente a los riesgos ms comunes, concentrndose
especialmente en los virus y hackers, dejando en segundo trmino la planeacin de la
seguridad, las polticas y procedimientos, la capacitacin y educacin, la disponibilidad de
los sistemas; as como, las auditoras y evaluaciones de riesgos.
Hoy en da las organizaciones son conscientes de la necesidad de identificar los riesgos
asociados a TI, pero tambin es un hecho que al tener esta preocupacin y no aplicar una
metodologa adecuada para cada negocio, es decir; entendiendo su cultura organizacional,
sus procesos, sus operaciones crticas, es imposible lograr que estas metodologas
alcancen el propsito de minimizar los riesgos.
Es por esta razn que adems de conocer estndares, normas y regulaciones, es
recomendable llevar a cabo una metodologa de anlisis y evaluacin de riesgos que
identifique claramente las directrices estratgicas para mitigar, aceptar, reducir o transferir
dichos riesgos.
Proteger los activos ms valiosos de las empresas o instituciones, frente a posibles amenazas
permanentes en el medio, es un gran desafo. Este inters crece an ms cuando la informacin
cobra importancia para sobrevivir frente a la competencia y permanecer en el mercado.
Habiendo establecido un panorama de la problemtica de los riesgos en Tecnologas de
Informacin, hemos realizado una revisin de las guas y estndares internacionales de ms
uso, tales como: COBIT, ISO 27001, MAAGTICSI (Nacional), etc. De stas y otras fuentes
de apoyo hemos extrado y analizado los elementos ms tiles referentes a un anlisis y
evaluacin de riesgos en Tecnologas de Informacin, observando que algunas de las
metodologas encontradas enfatizan ms en el aspecto tcnico, mientras que otras ms en
el aspecto de la gestin y algunas otras con un equilibrio entre ambos aspectos.
Finalmente se ha desarrollado una metodologa de anlisis y evaluacin de riesgos en
Tecnologas de Informacin, con el propsito de cubrir con los objetivos de seguridad de las
empresas o instituciones; as como en la capacitacin a personas y equipos para que
participen efectivamente en cualquier esfuerzo de evaluacin de riesgos de seguridad.
Dicha metodologa contempla seis etapas fundamentales
1.
2.
3.
4.
5.
6.
108
CONCLUSIONES
109
APNDICE
APNDICE
Mediciones de riesgo.
Una vez identificados los riesgos, el siguiente paso es decidir cmo catalogarlos. Todas las
organizaciones tienen presupuestos limitados por lo que no pueden responder a cada riesgo
potencial. Este anlisis de riesgos permite a las organizaciones decidir cuales requieren
mayor atencin. Es conveniente no prestar atencin y recursos para mitigar riesgos que
posiblemente no ocurran y que el dao sera mnimo si ocurriesen. En cambio, debemos
mitigar los riesgos que son probables de su ocurrencia y que pudieran causar un mayor
dao.
Las organizaciones usan dos tipos de anlisis de riesgos, estos son:
Anlisis cualitativo de riesgo.
Anlisis cuantitativo de riesgo.
Anlisis cualitativo de riesgo.
Este tipo de anlisis utiliza calificaciones relativas para determinar respuestas a los riesgos
y maneja la probabilidad de riesgos e impacto de los mismos. La probabilidad de riesgo es
importante porque mide qu tan factible es que ocurra un riesgo. Cuando se usa este tipo
de evaluacin se expresa la probabilidad de riesgos con medidas relativas, de la siguiente
manera:
Por supuesto que un riesgo con probabilidad alta requiere de mayor atencin que uno con
probabilidad baja. Otra manera de enfocar este tipo de evaluacin es mediante el impacto
del riesgo; esto es, el riesgo se mide por la afectacin a la organizacin o al proyecto. El
rango de calificaciones es de bajo (despreciable) a alto (sustancial); es obvio que un impacto
alto requiere de mayor atencin que uno bajo.
El anterior tratamiento de riesgos, puede o no ser aplicable a cualquier organizacin. El
anlisis de riesgo cualitativo prioriza los riesgos para realizar una planeacin enfocada y un
anlisis ms detallado de los mismos y as poder abordarlos
Anlisis cuantitativo de riesgos
El anlisis cuantitativo de riesgos es otro mtodo de anlisis; utiliza frmulas matemticas y
nmeros con objeto de calificar la severidad de los riesgos. El enfoque cuantitativo procura
cuantificar la magnitud del riesgo, su probabilidad, identifica los riesgos de alto impacto y
desarrolla planes basados en los riesgos.
Este mtodo se enfoca principalmente en cuantificar los riesgos ms altos, dado que no es
prctico para aquellos de bajo impacto o poca probabilidad de ocurrencia.
El anlisis cuantitativo presenta los siguientes pasos a seguir:
1. Calcular la exposicin al riesgo.
a. Asignar valor a cada recurso (activo).
b. Determinar el porcentaje de prdida para cada posible amenaza. Este valor es
el factor de exposicin (FE) para la amenaza, en funcin al recurso.
2. Calcular, para una sola vez, la prdida para la ocurrencia de una amenaza,
llamada Prdida nica Esperada (PUE) usando la siguiente frmula:
RECURSO
Edificio
Servidor de
archivos
Datos
confidenciales
Conexin a
Internet del
E-business
114
TAO
PEA
Incendio
0.20
$84,000.00
$50,000.00
$25,000.00
0.20
$5,000.00
Robo
0.70
$126,000.00
$15,000.00
12.00
$180,000.00
0.50
1.00
$15,000.00
APNDICE
APNDICE
115
GLOSARIO
GLOSARIO
TRMINO
adware
anlisis de
riesgos
archivo en
suspenso
auditora
comprensiva
autoridad de
certificacin (CA)
backbone
base de datos
jerrquica
BIA
calidad del
software
120
GLOSARIO
call center
cambios de
alcance (scope
creep)
caso de negocio
(business case)
CCTA
121
CCTV
CEO
CGI
CISA
CLM
CMM
COBIT
cold-site
completitud
122
GLOSARIO
concisin
concrecin
conectividad
conmutacin de
mensajes
conmutacin de
paquetes
consistencia
Contramedida
Representa la accin para prevenir una amenaza.
Las contramedidas que deben implementarse no solamente son
soluciones tcnicas, sino tambin reflejan la capacitacin y la toma
de conciencia por parte del usuario, adems son reglas claramente
definidas.
Contrasea
contrato de no
revelacin (NDA)
controles de
edicin
core business
core processes
COSO
CRAMM
Criptografa
124
GLOSARIO
criptosistema
(cifrosistema) de
llave pblica
CRM
CSCMP
CTI
Checksums/
suma de
verificacin o
suma de chequeo
Data Warehouse,
(DW)
(Almacn de datos). Es un conjunto de datos integrados, no transaccionales, no voltiles, orientados a un tema especfico, variables en el
tiempo y que se utilizan para el apoyo al proceso de toma de
decisiones.
Data Warehousing Almacn de datos o proceso mediante el cual las empresas extraen
(DW)
sentido y significado a sus datos a travs del uso de un DW.
derechos de
acceso
directrices
diseo (layout)
del archivo
DRP
DSS
126
GLOSARIO
e-commerce
EEPROM
o EPROM
eficiencia
EIS
ergonmico
ERP
escalabilidad
estructura de
datos
Son las relaciones entre los archivos en una base de datos y entre
los elementos de datos dentro de cada archivo.
ETL
exactitud
extensibilidad
FAA
FATI
FDDI
FEC
fiabilidad
Firewall
Firmware
flexibilidad
FRAP
128
GLOSARIO
FTP
GPS
GS
GUI
Hacker
Hackers de
sombrero negro
Hackers de
sombrero blanco
129
Hackers de
sombrero gris
Hacker
Script kiddies
Hardware
Help desk
heurstico
Holstico
HTML
HTTP
HTTPS
HVCA
130
GLOSARIO
IAM
IDS
IEC
IEEE
ignicin
Ocurre cuando el calor que emite una reaccin llega a ser suficiente
como para sostener la reaccin qumica.
Informe COSO
Ingeniera Social
integridad
interoperabilidad
IP
ISACA
ISO
ITGI
ITIL
KBS
KPI
LSSI
MAAGTICSI
mainframe
132
GLOSARIO
Mark Zuckerberg
(Filntropo de
USA)
MDDC
MDP
Metadata
Microelectrnica
migracin
minera de datos
mdem
NSA
OCTAVE
OLAP
ONG
Organizaciones no gubernamentales
OSI
outsoucer
outsourcing
out-tasking
Parametrizacin
PCS
134
GLOSARIO
Phishing
plataformas de
servidor
Plugins
Portabilidad
PRIMA
procesos en lnea
PyME
RAID
reingeniera
repositorio
135
reusabilidad
reutilizacin
Reversibilidad
RIIOT
ROM
SCSI
SEI
sello temporal
service bureau
136
GLOSARIO
servidores de
aplicaciones
servidores de
audio/video
servidores de
correo
(Mail Servers) Casi tan ubicuos y cruciales como los servidores Web,
los servidores de correo mueven y almacenan el correo electrnico
a travs de las redes corporativas (va LAN y WAN) y de Internet.
servidores de
chat
servidores de fax
servidores de
listas
servidores de
noticias
servidores FTP
servidores
groupware
servidores IRC
137
servidores Proxy
servidores Telnet
servidores Web
SFI
SGBD
SGML
138
GLOSARIO
SGSI
SI
Sistema(s) de Informacin.
SIE
SLA
SNMP
software
SQA
SRM
139
SSH
SSID
SSL
stakeholder
STP
supply chain
TI
Tecnologa(s) de Informacin
TIC
TMN
transaccional
140
GLOSARIO
TSL
UNAM
URL
USB
UTP
v.g.
VLSI
141
VPN
War dialing o
demon dialing
Web
142
GLOSARIO
WEP
Wireless
WS
143
BIBLIOGRAFA
BIBLIOGRAFA
Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn
Bolvar, Vidalina De Freitas, versin impresa ISSN 1690-7515, Enlace v.6 n.1 Maracaibo
abr. 2009.
Analytical Methods for Risk Management, Paul R. Garvey, CRC Press, 2009.
Artculo, Gestin de riesgos TI. Como implantar las mejores prcticas, Luis Fuertes,
Marketing Manager de Symantec.
Auditora en entidades de salud. Beltrn Pardo, Lus Carlos. Universidad Nacional de
Colombia,http://www.virtual.unal.edu.co/cursos/economicas/91337/. Licencia: Creative
Commons BY-NC-ND.
Comparte este artculo!,
http://www.estrategiamagazine.com/tecnologia/sistema-deinformacion-y-tecnologia-de-la-informacion-ciencia-tecnica-it-is-ti-ntic-que-es-unsistema-de-informacion-que-es-tecnologia-definicion-que-es-informatica-definicion/
(Consulta 13-11-2012).
Comparte este artculo!,
http://www.estrategiamagazine.com/tecnologia/sistema-deinformacion-y-tecnologia-de-la-informacion-ciencia-tecnica-it-is-ti-ntic-que-es-unsistema-de-informacion-que-es-tecnologia-definicion-que-es-informatica-definicion/
(Consulta 13-11-2012).
Contratos Informticos Julio Tllez Valdes, Primera edicin 1988. Universidad Nacional
Autnoma de Mxico, instituto de Investigaciones Jurdicas, C.U, 04510, Mxico, D.F.
Cox, LA Jr.: 'Qu hay de malo con matrices de riesgo?', Anlisis de Riesgos, vol. 28, No.
2, 2008, doi : 10.1111/j.1539-6924.2008.01030.x
Del libro Estrategia y sistemas de informacin Andreu-Ricard-Valor, Editoral McGrawHill
Departamento Administrativo de la Funcin Pblica, Departamento Administrativo de la
Funcin Pblica, Repblica de Colombia, Bogot, D.C., junio de 2004 Segunda Edicin
En prevencin de riesgos de Chile, Editorial SIGWEB, 2010.
Direccin, organizacin y administracin de centros de tecnologa de informacin
Coautores: Heriberto Olgun Romo. Editorial: Facultad de Ingeniera, UNAM, 2 Edicin
Noviembre 2007
Estrategia competitiva, Michael E. Porter, Editorial Continental S.A. Mxico 1997
Fundamentals of Enterprise Risk Management, John J. Hampton, AMACOM, 2009.
Gestin estratgica de seguridad en la empresa, GMV et al. Edicin Anetcom. 2010.
BIBLIOGRAFA
147