Documentos de Académico
Documentos de Profesional
Documentos de Cultura
UNIVERSIDAD DE NARIÑO
FACULTAD DE INGENIERÍA
2016
Análisis De Vulnerabilidades
Contaminación
I4 Los racks no cuentan con aisladores.
electromagnética
Emanaciones
I11 Los racks no cuentan con aisladores.
electromagnéticas
Vulnerabilidades de los No existe un procedimiento para llevar a cabo las pruebas de los
E20
programas programas antes de ponerlos en funcionamiento
Alteración accidental de la Se obtiene fácil acceso a la BIOS, lo que ocasiona que otras
E15
información personas puedan modificar la configuración
E19 Fugas de información Falta de interés por aplicar las políticas de seguridad
configuración [D.log]
I8 Fuego
control de un PC intervenido.
N1 Fuego
No poseen extintor en al oficina de Proceso de Gestión TIC
Errores del los No existe un manual para el uso de las diferentes aplicaciones
E1
usuarios
Difusión de software
A6 destinados para los usuarios y la falta de asesoría puede causar
Ataques
dañino
daños
Errores del los No existe un manual para el uso de las diferentes aplicaciones
E1
usuarios
Difusión de software
A6 destinados para los usuarios y la falta de asesoría puede causar
Ataques
dañino
daños
Activo Impresoras
Administrador Soporte Técnico
Tipo activo Hardware
Desastres Condiciones de los locales donde los recursos son fácilmente afectados por
N*
naturales desastres
la configuración
Tabla 10. Vulnerabilidades Escáner
Activo Escáner
Administrador Soporte Técnico
Tipo activo Hardware
Desastres Condiciones locales donde los recursos son fácilmente afectados por
N*
naturales desastres
A25 Robo
Ataques
ESTIMACIÓN DEL IMPACTO
Mediante el uso de tablas de doble entrada, en donde:
Impacto = Valor del activo x Degradación
Servidor
Muy
PGT-02 Dell 1 HW Confidencial Sensible Muy Alta 5
Alto
PowerEdge
T430
Soporte
PGT-01 1 P Uso Interno Normal Muy Alta Alto 4
Técnico
Valor del
Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Código
fuente Portal
Muy
PGT-03 Web de la D Confidencial Sensible Muy Alta 5
Gobernación Alto
de Nariño,
Portales.
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Portal Web
de la
PGT-04 1 SI Uso Público Sensible Muy Alta Alto 4
Gobernación
de Nariño
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del
Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Servidor
PGT-05 Vacunas- 1 HW Confidencial Sensible Alta Muy Alto 5
Proliant ML
110
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Servidor
Muy
PGT-06 Mail - Dell 1 HW Confidencial Sensible Alta 5
PowerEdge Alto
R810
Para el caso de Servidor Mail - Dell PowerEdge R810 con nivel Muy Alto y un
porcentaje estimado de degradación de 90% - 100%, puesto que al ser de tipo
Hardware, las principales amenazas que recaen sobre esta clase de activos
son desastres naturales, desastres industriales y robo; que lo afectarían
considerablemente o afectarían a Proceso de Gestión TIC considerablemente.
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Correo Muy
PGT-07 Electrónico S Uso Interno Sensible Alta 5
Alto
institucional
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Base de
datos Correo Muy
PGT-08 D Confidencial Sensible Alta 5
Electrónico Alto
Institucional
Para el caso de Base de datos Correo Electrónico Institucional con nivel Muy
Alto y un porcentaje estimado de degradación de 90% - 100%, puesto que al
ser de tipo Datos/Información, ataques intencionados, errores fallos no
intencionados, fugas de información; que lo afectarían considerablemente o
afectarían a Proceso de Gestión TIC considerablemente.
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Servidor
Conferencias-
Muy
PGT-09 Dell 1 HW Confidencial Sensible Alta 5
Alto
PowerEdge
2850
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Servidor
Muy
PGT-10 Encuestas- 1 HW Confidencial Sensible Alta 5
HP ProLian Alto
tML 110
Para el caso de Servidor Encuestas-HP ProLian tML 110 con nivel Muy Alto y
un porcentaje estimado de degradación de 90% - 100%, puesto que al ser de
tipo Hardware, las principales amenazas que recaen sobre esta clase de
activos son desastres naturales, desastres industriales y robo; que lo afectarían
considerablemente o afectarían a Proceso de Gestión TIC considerablemente.
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Computadores
PGT-13 10 HW Uso Interno Sensible Alta Alto 4
de Escritorio
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del
Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
Computadores
PGT-14 5 HW Uso Interno Sensible Alta Alto 4
Portátiles
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Valor del
Alto 2 3 5
activo Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
.
Tabla 23. Valor del activo
CLASIFICACION INFORMACION VALORACION
TIPO DEL ACTIVO
ID ACTIVO CANT
ACTIVO
Confidencialidad Integridad Disponibilidad Nivel Valor
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Alto 2 3 5
Valor del
activo
Medio 1 2 3
Bajo 1 1 2
Muy Bajo 1 1 1
IMPACTO Degradación
1% 50% 100%
Muy Alto 3 5 8
Alto 2 3 5
Valor del Medio 1 2 3
activo
Bajo 1 1 2
Muy Bajo 1 1 1
Frecuencia
Tipo ID Amenaza Exposición / Vulnerabilidad (F)
Desastres naturales
Contaminación
I4 Los racks no cuentan con aisladores. Muy baja 2
electromagnética
Emanaciones
I11 Los racks no cuentan con aisladores. Baja 3
electromagnéticas
A23 Manipulación de equipos Falta de controles para el ingreso a la sala de servidores Baja 3
E19 Fugas de información Falta de interés por aplicar las políticas de seguridad Muy baja 2
A11 Acceso no autorizado Las contraseñas son muy pocas inseguras Muy baja 2
un PC intervenido.
N1 Fuego Baja 3
No poseen extintor en al oficina de Proceso de Gestión TIC
temperatura o
humedad
Difusión de software
A6 están destinados para los usuarios y la falta de asesoría Baja 3
dañino
puede causar daños
Suplantación de la No se han implementado normativas para el uso de
A11 Baja 3
identidad del usuario contraseñas fuertes para el acceso a los servicios
temperatura o
humedad
inte
A6 Muy baja 2
Ata
os
Difusión de software
s
la configuración
Tabla 34. Impacto y frecuencia Escáner
Riesgo Actual
Exposición /
Tipo ID Amenaza 3.91 Intolerable
Vulnerabilidad
Frecuencia R NR
(F)
No existe sistema de alarma
contra incendios. Muy
N1 Fuego 2 16 4 Extremo
posee un solo extintor en la baja
Desastres naturales
sala de servidores
No se utilizan paneles de
obturación para el cableado.
No existe sistema de alarma
de control de temperatura y
humedad.
No existen planos,
I* Desastres industriales esquemas, avisos que Media 4 32 4 Extremo
indiquen que hay una fuente
de energía y señales de estas
mismas.
El sistema eléctrico de la
unidad no cuenta con
protección contra
electrocución por contacto
directo o indirecto en las
áreas de trabajo.
En la sala de servidores no
se realiza una limpieza
I3 Contaminación mecánica periódica en cuanto a Baja 3 24 4 Extremo
contaminación por polvo y/o
suciedad.
En la sala de servidores no
se realiza una limpieza
Avería de origen físico o
I5 periódica en cuanto a Baja 3 24 4 Extremo
lógico
contaminación por polvo y/o
suciedad.
Funcionamiento no confiable
de las UPS.
No se utilizan paneles de
obturación para el cableado.
No existen planos,
esquemas, avisos que
indiquen que hay una fuente
de energía y señales de estas
mismas.
El sistema eléctrico de la
Corte del suministro Muy
I6 unidad no cuenta con 2 16 4 Extremo
eléctrico baja
protección contra
electrocución por contacto
directo o indirecto en las
áreas de trabajo.
No cuentan con un sistema
de protección contra rayos.
No existen la suficiente
Muy
E25 Perdida de equipos cámaras de seguridad en la 2 16 4 Extremo
baja
organización
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Riesgo Actual
Exposición / 3 Intolerable
Tipo ID Amenaza
Vulnerabilidad
Frecuencia (F) R NR
Un error del
administrador puede
conllevar a la
disponibilidad de las
E2 Errores del administrador Media 4 12 3 Intolerable
aplicaciones los
servicios que ellos
soportan se vera
seriamente afectado
Hay poca
capacitación para los
E8 Difusión de software dañino empleados que Baja 3 9 3 Intolerable
manejan software de
la organización
Errores y fallos no intencionados
o No existe un
protocolo para la
y un procedimiento
de mantenimiento
No existe medidas
de control esta
información puede
E19 Fugas de información Baja 3 9 3 Intolerable
ser modificada o
usada para
beneficios propios
No existe un
procedimiento para
llevar a cabo las
Vulnerabilidades de los
E20 pruebas de los Media 4 12 3 Intolerable
programas
programas antes de
ponerlos en
funcionamiento
No se han
implementado
normativas para el
Suplantación de la identidad
A5 uso de contraseñas Baja 3 9 3 Intolerable
del usuario
fuertes para el
acceso a los
servicios
No existe un
procedimiento para
A8 Difusión de software dañino Baja 3 9 3 Intolerable
la actualización de
software
Falta de controles,
esta falla permite
desplegar en el
navegador datos no
confiables
proporcionados por
usuarios,
generalmente
inyectando código
[Re-] encaminamiento de
A9 javascript malicioso. Baja 3 9 3 Intolerable
mensajes
Estos datos pueden
secuestrar tu sitio
web, permitiendo
Ataques intencionados
Falta de controles,
afectara
directamente la
dimensión de
integridad en un
nivel mu alto, porque
de presentarse
ataques de
modificación de
información se va a
ver alterados los
Modificación deliberada de
A15 datos almacenados, Media 4 12 3 Intolerable
la información
causando un caos
informático y
arrojando datos
erróneos a la hora
de las consultas
transacciones en
cada uno de los
procesos
normalizados dentro
de las labores de la
organización
No existe un control
para la información
A18 Destrucción de información Media 4 12 3 Intolerable
importante, seria mu
grave destruir
información
importante de la
organización
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Riesgo Actual
Frecuencia
R NR
(F)
organización
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Riesgo Actual
Exposición / 4 Extremo
Tipo ID Amenaza
Vulnerabilidad
Frecuencia
R NR
(F)
E2 Media 4 32 4 Extremo
administrador por software de protección y
reparación de virus
A4 configuración 2 16 4 Extremo
baja
[D.log]
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Riesgo Actual
4 Extremo
Exposición /
Tipo ID Amenaza
Vulnerabilidad
Frecuencia
R NR
(F)
incendios.
I8 Fuego Muy baja 2 16 4 Extremo
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Riesgo Actual
Frecuencia R NR
(F)
Corte del suministro No existe una fuente alterna de corriente
I6 Muy baja 2 16 4 Extremo
eléctrico eléctrica
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Riesgo Actual
A6 Baja 3 9 3 Intolerable
software dañino usuarios y la falta de asesoría puede
causar daños
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Por último, con ayuda de la función promedio se obtiene el Nivel de Riesgo
total del activo de información, que para los Computadores de Escritorio es de
3, es decir, intolerable y por lo tanto se requiere de atención inmediata y
monitoreo permanente.
Tabla 42. Estimación del Riesgo Computadores Portátiles
Riesgo Actual
Frecuencia R NR
(F)
No existe sistema de alarma contra
incendios.
N1 Fuego Baja 3 9 3 Intolerable
No poseen extintor en al oficina de
Proceso de Gestión TIC
Desastres naturales
A6 Baja 3 9 3 Intolerable
software dañino usuarios y la falta de asesoría puede
causar daños
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Por último, con ayuda de la función promedio se obtiene el Nivel de Riesgo
total del activo de información, que para los Computadores Portátiles es de 3,
es decir, intolerable y por lo tanto se requiere de atención inmediata y
monitoreo permanente.
Tabla 43. Estimación del Riesgo Impresoras
Riesgo Actual
1.4 Aceptable
Tipo ID Amenaza Exposición / Vulnerabilidad
Frecuencia
R NR
(F)
N2 Raro 1 1 1 Aceptable
agua
I2 Raro 1 1 1 Aceptable
agua
configuración
El valor NR (Nivel de Riesgo) obedece al Mapa de Riesgos:
4 4 8 12 20 32
Probabilidad 3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Riesgo Actual
Tipo ID Amenaza 1.33 Aceptable
Exposición /Vulnerabilidad
Frecuencia R NR
(F)
N1 Fuego Falta de protección contra fuego Muy baja 2 2 1 Aceptable
Desastres
naturales
I2 Raro 1 1 1 Aceptable
agua
4 4 8 12 20 32
Probabilidad
3 3 6 9 15 24
2 2 4 6 10 16
1 1 2 3 5 8
1 2 3 5 8
Impacto
Nivel de Riesgo
4 Extremo
3 Intolerable
2 Tolerable
1 Aceptable
Nivel de
ISO/IEC 27001 - ISO/IEC 27002 Pregunta y/o forma de verificación Descripción estado actual
madurez
A5 20
Dirigir y dar soporte a la gestión de la seguridad de la información de
acuerdo con los requisitos institucionales, leyes y reglamentos
pertinentes.
A.11.4.7 Control de
1 Repetible 40
encaminamiento en la red.
A.11.5.1 Procedimientos de
1 Definido 60
conexión de terminales.
A.11.5.2 Identificación y
1 Definido 60
autenticación de usuario.
A.13.2.1 Identificación de
responsabilidades y 1 Inicial 20
procedimientos.
Gestión de incidentes y mejoras en la
20
A.13.2.2 Evaluación de incidentes seguridad de información
1 Inicial 20
en seguridad.
A5Politica de seguridad
de la informacion
100
A6Organizacion de la
A15 Cumplimiento
seguridad de la
90
regulatorio 80
70
informacion
60
A14 Gestion de 50
A7Gestion de activos de
continuidad de 20% informacion(AI)
40
20% 28,33%
20
10
A13 Gestion de
0
cableado de energía y de
I1 Fuego (Clase C) recomendados Muy baja 2 16 4 Extremo Raro 1 3 2 Tolerable
telecomunicaciones que transporten
para incendios en lugares
datos o soporten servicios de
donde se encuentren
información contra posibles
equipos eléctricos.
interceptaciones o daños.
9.2.4 - Se deberían mantener
adecuadamente los equipos para
garantizar su continua
disponibilidad e integridad.
No se utilizan paneles de
obturación para el cableado.
No existe sistema de alarma
de control de temperatura y
humedad.
No existen planos,
esquemas, avisos que
Desastres
I* indiquen que hay una fuente Media 4 32 4 Extremo
industriales
de energía y señales de
estas mismas.
El sistema eléctrico de la
unidad no cuenta con
protección contra
electrocución por contacto
directo o indirecto en las
áreas de trabajo.
En la sala de servidores no
se realiza una limpieza
Contaminació
I3 periódica en cuanto a Baja 3 24 4 Extremo
n mecánica
contaminación por polvo y/o
suciedad.
Contaminació
n Los racks no cuentan con
I4 Muy baja 2 16 4 Extremo
electromagnét aisladores.
ica
En la sala de servidores no
Avería de se realiza una limpieza
I5 origen físico o periódica en cuanto a Baja 3 24 4 Extremo
lógico contaminación por polvo y/o
suciedad.
Funcionamiento no confiable
de las UPS.
No se utilizan paneles de
obturación para el cableado.
No existen planos,
Corte del esquemas, avisos que
I6 suministro indiquen que hay una fuente Muy baja 2 16 4 Extremo
eléctrico de energía y señales de
estas mismas.
El sistema eléctrico de la
unidad no cuenta con
protección contra
electrocución por contacto
directo o indirecto en las
áreas de trabajo.
No cuentan con un sistema
de protección contra rayos.
Condiciones
inadecuadas No existe sistema de alarma
I7 de de control de temperatura y Baja 3 24 4 Extremo
temperatura o humedad.
humedad
Emanaciones
Los racks no cuentan con
I11 electromagnét Baja 3 24 4 Extremo
aisladores.
icas
Falta de recursos
Caídas del
necesarios.
sistema por
E24 Baja 3 24 4 Extremo
agotamiento
Falta de planes de
de recursos
continuidad del negocio
No existen la suficiente
Perdida de
E25 cámaras de seguridad en la Muy baja 2 16 4 Extremo
equipos
organización
Como medida de control de
acceso a la sala de
servidores en la puerta no se
cuenta con un control
biométrico, sino con una
cerradura de llave la cual no
garantiza un control de
quienes tienen los privilegios
de entrar al sitio, ni manera
de identificarlos.