Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tecnologa y Conocimiento
ISSN: 1690-7515
revistaenlace@gmail.com
Universidad del Zulia
Venezuela
Freitas, Vidalina De
Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar
Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento, vol. 6, nm. 1, enero-abril,
2009, pp. 43-55
Universidad del Zulia
Maracaibo, Venezuela
Resumen
Este trabajo se propone conocer las fortalezas y debilidades a las que pudieran estar sometidos los activos de
informacin que estn en custodia en la Direccin de Servicios Telemticos (DST) de la Universidad Simn Bolvar
ubicada en Caracas, Venezuela, con el fin de sugerir estrategias que minimicen la ocurrencia de posibles amenazas
que en la mayora de los casos explotan las vulnerabilidades organizacionales. Basado en una metodologa de estudio
de caso, este estudio permiti recoger informacin detallada usando una variedad de sistemas de recoleccin de da-
tos, como entrevistas semi-estructuradas, estructuradas y en profundidad, revisin bibliogrfica y arqueo de fuentes.
Igualmente, se realizaron visitas a las instalaciones de la direccin evaluada y se revisaron aspectos de seguridad fsica
previstos en las Normas ISO-27001:2007. Se concluye que cada uno de los elementos en custodia de la DST es de suma
importancia para la Universidad Simn Bolvar, por lo que se sugiere la aplicacin de algunos controles establecidos
en las normas ISO, para cada uno de dichos activos.
Palabras clave: ISO-27001:2007, seguridad de la informacin, anlisis y evaluacin de riesgo, activos de
informacin
Ingeniero en Computacin. Magster en Ingeniera de Sistemas. Especialista en telecomunicaciones. Profesora con categora de
1
43
Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar
Vidalina De Freitas
Nowadays, organizations, with all their technological advances and complex information processes, face
many threats that, in most cases, exploit their vulnerabilities. The Simn Bolvar University, located in Caracas,
doesnt escape from this reality. The objective of this work is knowing the strengths and weaknesses to which they
may be subject information assets that are in custody at the Directorate of Telematics Services (DST) of the Simn
Bolvar University, in order to suggest strategies to minimize the occurrence of possible events. This methodology
uses a case study that allows you to gather detailed information with a variety of systems for collecting data for a
given period. Among the data collection methods are used semi-structured, structured and in-depth review of the
literature and archaeological sources. Similarly, visits were made to the facilities and reviewed aspects of physical
security under the ISO-27001: 2007. The conclusion is that each element in the custody of the DST is of paramount
importance to the University, are thus suggested implementing some controls in the ISO, for each of those assets.
Key words: ISO-27001:2007, Information Security, Analysis and Assessment of Risks, Asset Information
44
Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento
Ao 6: No. 1, Enero-Abril 2009, pp. 43-55
mismo se intenta minimizar el costo global de la los servidores la Direccin de Ingeniera e Infor-
ejecucin de dichos procesos como las prdidas de macin (DII), los servidores de correo, los Servi-
los recursos asignados a su funcionamiento. dores de DNS, Pgina Web (Sede del Litoral), los
servidores de Internet e Intranet. Como se puede
De all que sea necesario que los responsa-
observar todos estos activos son de suma impor-
bles de la seguridad de la informacin en las orga-
tancia para el desenvolvimiento de sus operacio-
nizaciones, tomen conciencia de su papel y deban
nes.
contrastar los riesgos a los que estn sometida sus
activos. La evaluacin, anlisis y tratamiento del De all su importancia de analizar y evaluar
riesgo permiten llevar el nivel de riesgo de los ac- los riesgos a los cuales stos pueden estar someti-
tivos de la organizacin a valores aceptables (Pes- dos, para de esa manera poder gestionarlos y mi-
solani, 2007). nimizar sus posibles efectos.
Los problemas asociados a la seguridad en
Metodologa utilizada
redes alcanzan a todo tipo de organizacin. En par-
ticular, a las universidades que manejan grandes
Este estudio se plantea como la continua-
volmenes de informacin que por su variedad e
cin de un trabajo el cual buscaba evaluar la segu-
importancia la hacen blanco de posibles ataques.
ridad de la informacin a la luz de los controles de
En estas instituciones, adems se forman perso-
la ISO 17799:2005 (De Freitas, 2007).
nas con habilidades que, mal dirigidas, pueden
representar una amenaza todava mayor. La expe- En el presente artculo, se busca evaluar los
riencia nos demuestra que la Universidad Simn riesgos a los cuales pueden estar sometidos los ac-
Bolvar no escapa de esta realidad. tivos de informacin que se encuentran en custo-
dia en la DST. El desarrollo del mismo se llev a
La universidad Simn Bolvar es una insti- cabo tres fases: la primera consisti en una inves-
tucin pblica de educacin superior, ubicada en tigacin documental; la segunda en una investiga-
Caracas, Estado Miranda, Venezuela. Cuenta ac- cin de campo y la tercera la conform el anlisis,
tualmente con una poblacin estudiantil de aproxi- evaluacin y tratamiento del riesgo de los activos
madamente 6789 estudiantes de pre y postgrado, en custodia de la DST. Siempre en el contexto de
con 424 profesores de planta y 848 empleados. un estudio de caso.
La Direccin de Servicios Telemticos Es una investigacin documental ya que
(DST) es el ente que resguarda o tiene a su cus- permite el estudio de problemas con el propsito
todia los servidores de las distintas instancias que de ampliar y profundizar el conocimiento de su
manejan dichos volmenes de datos. Es decir, tie- naturaleza, con apoyo, principalmente, en traba-
nen a su custodia los servidores de la Direccin de jos previos, informacin y datos divulgados por
Administracin y Control de Estudios (DACE), los medios impresos, audiovisuales o electrnicos
servidores de Finanzas, los servidores de Nmina, [UPEL, p.15].
45
Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar
Vidalina De Freitas
46
Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento
Ao 6: No. 1, Enero-Abril 2009, pp. 43-55
47
Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar
Vidalina De Freitas
48
Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento
Ao 6: No. 1, Enero-Abril 2009, pp. 43-55
49
Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar
Vidalina De Freitas
Gestin de la Seguridad de la Informacin (SGSI) c) Valoracin del riesgo de los activos: por
en concordancia con la clusula 4.2.1 de la nor- ltimo, se llev a cabo la valoracin del riesgo de
ma. los activos.
La evaluacin de riesgo es el proceso de Para el clculo del campo total, se dio un va-
comparar los riesgos estimados contra los criterios lor numrico de de 5 para el trmino Alto, 4 para el
de riesgo establecidos o dados, para determinar el trmino Medio y 3 para el Bajo. El valor del campo
grado de importancia del riesgo. total se obtiene de la suma de los campos posi-
ble Explotacin de Vulnerabilidad, ms el campo
El objetivo de esta evaluacin es la de iden-
Valor Activo ms el campo Posible Ocurrencia
tificar y evaluar los riesgos. Los riesgos son calcu-
dividido entre tres, el valor obtenido se retorna al
lados por una combinacin de valores de activos y
trmino cualitativo.
niveles de requerimientos de seguridad.
Siguiendo la metodologa, se concluye que
El riesgo se evala contemplando tres ele- todos los activos de informacin que se encuen-
mentos bsicos: tran en la DST son activos de informacin consi-
Estimado del valor de los activos de riesgo derados de Alto riesgo, con los cuales habra que
Probabilidad de ocurrencia del riesgo identificar (tomando en cuenta el Anexo A de las
normas ISO 27001:2007 o de la ISO 17799:2005)
Valoracin del riesgo de los activos sus respectivos controles.
a) Estimado del valor de los activos de En la Tabla 1 se puede observar el vacia-
riesgos: este punto es fundamental para evaluar do del anlisis y evaluacin de riesgo realizado. La
el riesgo. El objetivo es determinar el dao eco- gestin de riesgo permitir evaluar un plan de se-
nmico que el riesgo pudiera causar a los activos guridad que, implantado y operado, satisfaga los
evaluados. Esto se llev a cabo dndole un valor objetivos propuestos con el nivel de riesgo que sea
monetario a cada activo de acuerdo al valor de re- aceptado por la direccin (Sema Group, 2006).
ferencia en el mercado y de su importancia para la
Universidad. Se estableci un estimado del valor Tratamiento de riesgo
de los activos con los integrantes de la DST.
b) Probabilidad de ocurrencia del riesgo: El tratamiento de riesgo se define, como el
se llev a cabo reuniones con el jefe del Departa- conjunto de decisiones tomadas con cada activo
mento de Servicios de Red con el fin de visualizar de informacin. El ISO/IEC Guide 73:2002, lo
por cada activo sus impactos, amenazas y posibili- conceptualiza como el proceso de seleccin e im-
dad de ocurrencia, as como las vulnerabilidades y plementacin de medidas para modificar el ries-
su posibilidad de ser explotadas, determinndose go. Las medidas de tratamiento del riesgo pue-
la posibilidad de ocurrencia del riesgo por cada ac- den contemplar acciones como: evitar, optimizar,
tivo de informacin perteneciente a la DST. transferir o retener el riesgo.
50
Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento
Ao 6: No. 1, Enero-Abril 2009, pp. 43-55
Tabla 1
Realizacin del Anlisis y Evaluacin de Riesgo
51
Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar
Vidalina De Freitas
Tabla 2
Enunciado de aplicabilidad
52
Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento
Ao 6: No. 1, Enero-Abril 2009, pp. 43-55
Tabla 2
Enunciado de aplicabilidad (Continuacin)
53
Anlisis y evaluacin del riesgo de la informacin: caso de estudio Universidad Simn Bolvar
Vidalina De Freitas
El encargado de la DST est en conocimien- Hiles, A. (2004) Business Continuity Best Practices.
Rothsein Associates. Inc.
to de la importancia que tienen los activos adscri-
tos a su dependencia, por lo que pone un esfuerzo ISO/IEC Guide 73:2002. Risk management - Vocabu-
por preservarlos. lary - Guidelines for use in standards.
ISO/IEC ISO 17799:2005. (2005). Information
Los activos que estn bajo la custodia en la Technology - Security Techniques - Information
DST, pertenecen a instancias que manejan datos Security Management Systems Requirements
crticos para la Universidad, de all la importancia Specification. Recuperado el 15 de Julio del
de preservarlos. 2008 en http://17799.com
Para escogencia de los controles se debe ISO/IEC ISO 27001:2007. (2007). Information
Technology - Security Techniques - Information
justifican con base a las conclusiones obtenidas
Security Management Systems Requirements
del anlisis, evaluacin y tratamiento del riesgo a Specification. Recuperado el 9 de marzo de 2008
los cuales se someten los activos de informacin. en http://iso27000.es
54
Enl@ce: Revista Venezolana de Informacin, Tecnologa y Conocimiento
Ao 6: No. 1, Enero-Abril 2009, pp. 43-55
Peltier, T. (2001). Information Security Risk Analysis. Sema Group (2006). MAP-Magerit Versin 2,
Auerbach. London. Metodologa de Anlisis y Gestin de Riesgos
Pessolani, P. (2007). Evaluacin de Riesgo en las de los Sistemas de Informacin. Secretara del
Tecnologas de Informacin y Comunicaciones Consejo Superior de Administracin Electrnica.
orientada a Organismos Pblicos. Ponencia Ministerio de Administraciones Pblicas.
presentada en el IV Congreso Iberoamericano Madrid. Espaa.
de Seguridad de la Informacin. Mar del Plata. UPEL Universidad Pedaggica Experimental Liberta-
Argentina. Pp. 245-259. dor. (2003). Manual de Trabajos de Grado de
Especializacin y Maestra y Tesis Doctorales.
Fedupel. Caracas. Venezuela.
55