GUA PARA EL LEVANTAMIENTO DE INFORMACIN

Una parte integral de la evaluacin de la seguridad informtica de las organizaciones es comp

informacin con un alcance suficiente que le permita al equipo consultor determinar el tamao, la co
reas usuarias que dependen de ellas para alcanzar los objetivos del negocio.

Tambin es necesario entender la estructura organizacional y los procesos del negocio que se apoya

La presente gua tiene por objetivo recoger la informacin relevante para el estudio de seguridad d
sobre los sistemas de informacin, que a su vez, se soportan en la plataforma tecnolgica de las E
concierne a:
Servidores sobre los que funcionan
Sistemas operacionales, bases de datos y tecnologas de desarrollo
Servicios que presta
Impacto de las fallas de las aplicaciones en la operacin de la Empresa
Propietarios y usuarios de las aplicaciones
Principales transacciones que realizan
Esquema lgico de conexin.

La gua se encuentra organizada en las siguientes secciones: Presentacin, Informacin Gener

Informacin, Aplicaciones, Servidores y Arquitectura de Red.

ANTAMIENTO DE INFORMACIN

ica de las organizaciones es comprender el ambiente de sus sistemas de

consultor determinar el tamao, la complejidad de los sistemas y el nmero de
os del negocio.

os procesos del negocio que se apoyan sobre los sistemas de informacin.

vante para el estudio de seguridad de procesos de negocio que se soportan

en la plataforma tecnolgica de las Empresas. La informacin que se solicita

de desarrollo

n de la Empresa

es: Presentacin, Informacin General, Procesos de Negocio, Sistemas de

RECOLECCIN DE INFORMACIN
CODIGO

FGT-08-06

VERSION

REVISO

D.C.

APROBO

D.C.

FECHA

07/01/05

PAGINA

INFORMACION DE DISPOSITIVOS Y SERVIDORES

*Ninguno (0)
*Baja (1)
*Limitada (2)
*Moderada (3)
*Significante (4)
*Extensivo (5)

(4)
(3)
(2)
(1)
(0)

Extremo 0 2 horas
Alto
2 4 horas
Moderad 4 8 horas
Bajo
8 12horas
12
24
Insignifi horas
24

48
horas
48

72
horas
Ms de 72 horas

Cdigo de Proyecto

Fecha

SISTEMA DE INFORMACIN /
APLICACIN QUE SOPORTA

TIPO:

RESPONSABLE
NOMBRE DEL
DISPOSITIVO /
SERVIDOR
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

UBICACIN LGICA

Contrato de
Mantenimien DIRECCION IP
to y Soporte

SISTEMA OPERACIONAL

SERVICIOS QUE PRESTA / PUERTO

0 2 horas
2 4 horas
4 8 horas
8 12horas
12
24
horas
Ms de 24 horas

Ms de 72 horas

D.C.

REVISO

RECOLECCIN DE INFORMACIN

D.C.

APROBO

07/01/05

FECHA
FGT-08-06

CODIGO

VERSION

PAGINA

INFORMACIN ANLISIS DE RIESGOS

Cdigo de Proyecto

SISTEMA DE
INFORMACIN /
APLICACIN:

557-9

Funcional

RESPONSABLE /
AREA:

DDS

3/3/2009

Capacitacin, Puesta en Produccion, Entrega de Codigo Fuente

TIPO:

Proceso de Negocio

Fecha

Oscar Peralta

Nombre Activo de
Informacin

Tipo de Activo

Capacitacin

Funcional

REQUERIMIENTOS DE SEGURIDAD
Confidencialidad

Integridad

Disponibilidad

Uso Interno

Normal

De 8 a 24 horas

N
o
R
e
p
u
di
a
ci

Amenazas al Proceso

Riesgos del Proceso

Impacto

Probabilidad

Fallas de hardware

R3. Perdida de Productividad

de empleados

R4. Prdida de credibilidad,

competitividad o imagen de
la entidad

M+

R3. Perdida de Productividad

de empleados

R4. Prdida de credibilidad,

competitividad o imagen de
la entidad

M+

Fallas de software

DDS

DDS

Puesta en Produccin

Entrega de C.F

Funcional

Funcional

Uso Interno

Reservada

Normal

Normal

De 8 a 24 horas

De 8 a 24 horas

Fallas de software

R8. Interrupcin del servicio

M+

Fallas de hardware

R8. Interrupcin del servicio

M+

Errores humanos/operacin

R1. Alteracin /Prdida

/Fuga de informacin

M+

R3. Perdida de Productividad

de empleados

R8. Interrupcin del servicio

M+

R3. Perdida de Productividad

de empleados

M-

Fallas de software

Fallas de hardware

R4. Prdida de credibilidad,

competitividad o imagen de
la entidad

M-

R3. Perdida de Productividad

de empleados

M-

R4. Prdida de credibilidad,

competitividad o imagen de
la entidad

M-

D.C.

D.C.

07/01/05

1
2
3
4
5

6
7

8
9

10
11
Observaciones

Control

Efectividad

12
13

Internamente ASD

Estaciones de trabajo

CONTRATOS DE SOPORTE Y
MANTENIMIENTO Y VISITAS DE MTO.
PREVENTIVO/CORRECTIVO
ACUERDOS CON PROVEEDORES DE
TECNOLOGA / SERVICIOS
ESPECIALIZADOS
REDUNDANCIA DE EQUIPOS
Sitio Alterno
Capacitacin local

ALERTAS DE PROCESO
POLITICAS DE RESPALDO DE LA
INFORMACION
Manual de Instalacion/Operacin
MONITOREO DE LOGS: ESTADO Y
ACTIVIDAD DEL SISTEMA.
REDUNDANCIA DE EQUIPOS

Si
90%

14

No
Si
No
Si

90%
90%

No

Si

15

90%

No
No
Si

90%

16

17

Procedimiento no
documentado

BUENAS PRCTICAS PARA LA

ADMINISTRACIN Y OPERACIN DE TI
(MOF, ITIL, ETC, COBIT)
EVALUACIN CONSTANTE DE VERSIONES
Y TECNOLOGAS SOPORTADAS
ALERTAS DE PROCESO
POLITICAS DE RESPALDO DE LA
INFORMACION
Manual de Instalacion/Operacin
MONITOREO DE LOGS: ESTADO Y
ACTIVIDAD DEL SISTEMA.
REDUNDANCIA DE EQUIPOS

CONTRATOS DE SOPORTE Y
Internamente lo hace ASD MANTENIMIENTO Y VISITAS DE MTO.
PREVENTIVO/CORRECTIVO
ACUERDOS CON PROVEEDORES DE
TECNOLOGA / SERVICIOS
ESPECIALIZADOS
REDUNDANCIA DE EQUIPOS
Sitio Alterno
BUENAS PRCTICAS PARA LA
ADMINISTRACIN Y OPERACIN DE TI
(MOF, ITIL, ETC, COBIT)
EVALUACIN CONSTANTE DE VERSIONES
Y TECNOLOGAS SOPORTADAS
ALERTAS DE PROCESO
POLITICAS DE RESPALDO DE LA
INFORMACION
Manual de Instalacion/Operacin
MONITOREO DE LOGS: ESTADO Y
ACTIVIDAD DEL SISTEMA.

No sabe

Si

80%

No
No
Si

95%

No
No
SI

Si

70%

90%

Si
No
Si

70%

80%

No
No
Si

95%

No
No

ANS CON RESPONSABILIDADES

CLARAMENTE DEFINIDAS E INDICADORES
No
DE GESTIN PARA EVALUAR
CUMPLIMIENTO
DOCUMENTACIN DE LAS FUNCIONES Y
OPERACIN DEL SISTEMA
MEDICIONES DE DESEMPEO (CAPACITY
PLANNING)
PUBLICACION NORMAS Y
PROCEDIMIENTOS
ROTACIN DE FUNCIONES
SEGREGACIN DE FUNCIONES

18

No

Si

19
60%

No
SI
No
No

20
21

80%

En estacion de trabajo

En estacion de trabajo

BUENAS PRCTICAS PARA LA

ADMINISTRACIN Y OPERACIN DE TI
(MOF, ITIL, ETC, COBIT)

Si

POLITICAS DE RESPALDO DE LA
INFORMACION

Si

90%

Copia local de respaldo

Si

90%

REDUNDANCIA DE EQUIPOS

Si

50%

BUENAS PRCTICAS PARA LA

ADMINISTRACIN Y OPERACIN DE TI
(MOF, ITIL, ETC, COBIT)
POLITICAS DE RESPALDO DE LA
INFORMACION
Copia local de respaldo

Si
Si
Si

80%

80%
90%
90%

Confidencialidad

Integridad
Calificacion

Calificacion
Pblica

Explicacin
Cualquier informacin no clasificada se considera como
pblica. La informacin no catalogada y por tanto pblica,
ser aquella cuya divulgacin no afecte a la Empresa en
trminos de prdida de imagen y/o econmica.

Uso Interno

Informacin que sin ser reservada ni restringida, debe

Normal
mantenerse dentro de la Empresa y no debe estar disponible
externamente, excepto para terceros involucrados en el
tema. En el caso de terceros, debern comprometerse a no
divulgar dicha informacin.
Informacin sensible, interna a reas o proyectos a los que
Alta
deben tener acceso controlado otros grupos pero no toda la
empresa debido a que se pueda poner en riesgo la
seguridad e intereses de la compaa, de sus clientes o
asociados y empleados.
Informacin de alta sensibilidad que debe ser protegida por Crtica
su relevancia sobre decisiones estratgicas, impacto
financiero, oportunidad de negocio, potencial de fraude o
requisitos legales.
Riesgo (Impacto)

Restringida

Reservada

Amenazas
Fallas de software

R1. Alteracin /Prdida /Fuga de informacin

Fallas de hardware

R2. Informacin para la toma de decisiones errada o

inoportuna
R3. Perdida de Productividad de empleados

Fallas telecomunicaciones
Deterioro de equipos
Obsolescencia tecnolgica
No disponibilidad o lentitud del sistema o los
equipos

R4. Prdida de credibilidad, competitividad o imagen de la

entidad
R5. Sanciones econmicas o legales (RL)
R6. Fraude / Robo

Acceso lgico no autorizado

R7. Costos excesivos

Acceso fsico no autorizado

R8. Interrupcin del servicio

Actos malintencionados

R9. Ingresos deficientes

R10. Dao- Prdida de activos

Errores humanos/operacin

Accidentes laborales
Dependencia de funcionarios crticos
Dependencia de terceras partes

Espionaje

Intrusiones al sistema

Virus/malware

Baja

Explicacin
Si tras el dao se puede reemplazar
fcilmente y ofrecer la misma
calidad / datos de carcter no
personal.

Disponibilidad
Calificacion

Explicacin

De 0 a 2 horas

Se puede estar sin el activo en funcionamiento

mximo 2 horas al cabo de las cuales se
comienzan a materializar riesgos financieros y
operativos.

Si tras el dao se puede reemplazar y De 2 a 4 horas

ofrecer una calidad semejante con
una molestia razonable.

Se puede estar sin el activo en funcionamiento

mximo 4 horas al cabo de las cuales se
comienzan a materializar riesgos financieros y
operativos.

Si la calidad necesaria se puede

reconstruir de forma difcil y costosa.

De 4 a 8 horas

Se puede estar sin el activo en funcionamiento

mximo 8 horas al cabo de las cuales se
comienzan a materializar riesgos financieros y
operativos.

Si no puede volver a obtenerse una

calidad semejante a la original.

De 8 a 24
horas

Se puede estar sin el activo en funcionamiento

mximo 1 dal cabo del cual se comienzan a
materializar riesgos financieros y operativos.

De 1 a 3 Das

Se puede estar sin el activo en funcionamiento

mximo 3 das al cabo de los cuales se comienzan
Hasta 1
Se puede estar sin el activo en funcionamiento
a materializar riesgos financieros y operativos.
semana
semana
cual se comienzan
Se puede1 estar
sin al
el cabo
activode
enlafuncionamiento
Hasta 2 semana mximo
a materializar
riesgos
financieros
y operativos.
semanas
cabo de
cual
se
Se puede2 estar
sin elalactivo
en lo
funcionamiento
Hasta 4 semana mximo
comienzan
a
materializar
riesgos
financieros
mximo
semanas
cabo de
cuales se y
Se puede4 estar
sin elalactivo
en los
funcionamiento
Mayor 1 mes
operativos.
comienzan
a
materializar
riesgos
financieros
ms de 1 mes al cabo del cual se comienzan y
a
operativos.
materializar riesgos financieros y operativos.

La probabilidad de que una vulnerabilidad pueda ser explotada por una

fuente de amenaza se puede describir como Alta, Mayor, posible, no
esperado y remoto. La tabla 5 describe estos niveles.

Algunos impactos se pueden medir cuantitativamente en prdidas de ingresos, costo de reparaciones o nivel de esfuerzo
imagen, la vergenza pblica no se puede cuantificar.

Probabilidad de ocurrencia de la amenaza

A
M+

100%
75%

M
MB

Impacto de la am

Casi cierto
Muy probable

A
M+

5
4

50%
25%

Posible
Improbable

M
M-

3
2

10%

Rara vez

Fallas en suministro de servicios pblicos (energa,

agua, gas, etc.)

Causas ambientales (temperatura o humedad

extrema)

Incendio

Asonada/Conmocin civil/terrorismo

Causas naturales (terremoto, inundacin, huracn,

tormenta electrica, etc.)

No Repudiacin
Calificacion

edir cuantitativamente en prdidas de ingresos, costo de reparaciones o nivel de esfuerzo requerido para corregir problemas causados por un evento inesperado. Otros impactos como el dao de
o se puede cuantificar.

Impacto de la amenaza
Muy Alto. La explotacin de la vulnerabilidad puede resultar en: (1) Altos costos por prdida de activos o recursos
tangibles (2) Violencia significativa, dao o impedimento del logro de los objetivos de la organizacin, reputacin o
intereses (3) Prdida de vidas humanas o daos serios a la salud.
Alto. Prdida financiera significativa, amenaza con perdida de imagen de la Organizacin
Medio. La explotacin de la vulnerabilidad puede resultar en: (1) Costos por perdidas de activos o recursos tangibles (2)
Violencia, dao o impedimento del logro de los objetivos de la organizacin, reputacin o intereses (3) Daos serios a la
salud humana.
Bajo. No afecta prdida de ingresos o imagen considerablemente.
Menor. La explotacin de la vulnerabilidad puede resultar en: (1) Daos menores a los activos o recursos tangibles o (2)
afectacin mnima de la misin, objetivos o intereses de la organizacin.

Explicacin

No Requiere

No Requiere control de no repudiacin

Baja

Con Mecanismos de Firma Digital con Claves Simtricas

Media baja

Con Mecanismos de Firma Digital con Claves Asimtricas

Media

Con Certificados de PKI no registradas como Entidad Certific

Media Alta

Con Certificados de Entidad Certificadora Cerrada

Alta

Con Certificados de Entidad Certificadoira Abierta - Certicamar