Gestion de Riesgos PDF

UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

INGENIERO EN INFORMÁTICA
PROYECTO FIN DE CARRERA
ANÁLISIS Y GESTIÓN DE RIESGOS DEL

SERVICIO IMAT DEL SISTEMA DE
INFORMACIÓN DE I.C.A.I.
AUTOR: Eduardo Ferrero Recaséns
MADRID, Junio de 2006

Autorizada la entrega del proyecto del alumno:
Eduardo Ferrero Recaséns
EL DIRECTOR DEL PROYECTO
Ramón Arias Ruiz de Somavia
Fdo.:……………………………… Fecha: ……/……/……
VºBº del Coordinador de Proyectos
Mario Castro Ponce
Fdo.:……………………………… Fecha: ……/……/……

Índice
ÍNDICE
Resumen .................................................................................................... 10
Definición del problema........................................................................... 17
Gestión de la Seguridad............................................................................................21
Objetivos, estrategias y políticas de seguridad....................................................... 24
Análisis y Gestión de Riegos.................................................................................. 24
Implantación del Plan de Seguridad ....................................................................... 30
Acreditación............................................................................................................ 30
Seguimiento ............................................................................................................ 30
Concienciación de la seguridad .............................................................................. 31
Alcance del proyecto ................................................................................................33
Introducción a iMat ................................................................................................ 34
MAGERIT ................................................................................................ 36
Introducción a MAGERIT........................................................................................37
Objetivos de Magerit .............................................................................................. 38
El análisis y gestión de riesgos en su contexto....................................................... 39
Realización del análisis y gestión de riesgos............................................................41
Análisis de Riesgos................................................................................................. 42
Gestión de Riesgos ................................................................................................. 54
Fases de un análisis y gestión de riesgos..................................................................58
Planificación ........................................................................................................... 58
Análisis de riesgos .................................................................................................. 61
Gestión de riesgos................................................................................................... 63
EAR............................................................................................................ 67
Introducción..............................................................................................................68
PILAR..................................................................................................................... 68
3
Índice
Especificaciones .......................................................................................................68
Análisis cualitativo ................................................................................................. 70
Análisis cuantitativo ............................................................................................... 70
Presentación del AGR en EAR.................................................................................71
iMat............................................................................................................ 75
Desarrollo y funcionamiento ....................................................................................76
Arquitectura en tres capas....................................................................................... 77
Funcionamiento ...................................................................................................... 81
Servidores .................................................................................................................82
Datos / Información ..................................................................................................86
Seguridad de la información.....................................................................................88
Aplicaciones asociadas a iMat..................................................................................90
Interfaz de iMat con el usuario .................................................................................90
Posibles riesgos ........................................................................................................96
Análisis y Gestión de Riesgos en iMat.................................................... 98
P1: Planificación.......................................................................................................99
A1.1: Estudio de oportunidad................................................................................. 99
A1.2: Determinación del alcance del proyecto..................................................... 103
A1.3: Planificación del proyecto .......................................................................... 117
A1.3: Lanzamiento del proyecto .......................................................................... 120
P2: Análisis de Riesgos ..........................................................................................124
A2.1: Caracterización de activos .......................................................................... 125
A2.2: Caracterización de las amenazas ................................................................ 138
A2.3: Caracterización de las Salvaguardas........................................................... 141
A2.4: Estimación del estado de riesgo.................................................................. 150
P3: Gestión de Riesgos ...........................................................................................163
4
Índice
Actividad A3.1: Toma de decisiones.................................................................... 164
Actividad A3.2: Plan de seguridad ....................................................................... 171
Actividad A3.3: Ejecución del plan...................................................................... 175
Calificación según la ISO/IEC 17799:2005 ...........................................................182
Clasificación según la CSNC .................................................................................184
Clasificación según la RD994 ................................................................................186
Conclusión............................................................................................... 187
Anexos...................................................................................................... 190
Amenazas................................................................................................................191
Definiciones y Acrónimos ......................................................................................194
Modelo de Valor.....................................................................................................200
Mapa de Riesgos.....................................................................................................226
Evaluación de Salvaguardas ...................................................................................265
Estado de Riesgo ....................................................................................................288
Informe de Insuficiencias (50%) ............................................................................326
Calificación [17799_2005] ISO/IEC 17799:2005..................................................335
Calificación [csnc] Criterios de seguridad, normalización y conservación............341
Calificación [rd994] Reglamento de medidas de seguridad...................................353
Bibliografía.............................................................................................. 356
5
Índice
INDICE DE FIGURAS
Figura 1. Gestión de la Seguridad de TI......................................................................... 23
Figura 2. Gestión de la Seguridad de TI......................................................................... 31
Figura 3. Metodología MAGERIT ................................................................................ 33
Figura 4. Análisis y Gestión de Riesgos en su Contexto................................................ 39
Figura 5.Submodelo de Procesos visto desde el Submodelo de elementos ................... 53
Figura 6. Relación entre los Componentes del Modelo MAGERIT .............................. 57
Figura 7. Ciclo de vida de un Análisis y Gestión de riesgos .......................................... 58
Figura 8. Ciclo de vida detallado de un Análisis y Gestión de riesgos .......................... 66
Figura 9. EAR. Pantalla principal................................................................................... 72
Figura 10. EAR. Etapas de Magerit................................................................................ 73
Figura 11. EAR. Informes contemplados y calificaciones evaluadas: ........................... 74
Figura 12. Arquitectura en tres capas ............................................................................. 79
Figura 13. Arquitectura en tres capas detallada.............................................................. 80
Figura 14. Esquema en tres capas de UPCO .................................................................. 80
Figura 15. iMat, Validación............................................................................................ 91
Figura 16. iMat, Validación aceptada............................................................................. 91
Figura 17. iMat, información del plan de estudios de la carrera. ................................... 92
Figura 18.iMat, información para el alumno en relación a las restricciones.................. 92
Figura 19. iMat, Selección de asignaturas por parte del alumno................................... 93
Figura 20. iMat, Presentación por parte de iMat de las asignaturas seleccionadas........ 93
Figura 21. iMat, solicitud de información adicional. ..................................................... 94
Figura 22. iMat, Presentación final de la matrícula........................................................ 95
Figura 23. iMat, matrícula aceptada. .............................................................................. 95
Figura 24. Representación empleada en los diagramas de proceso.............................. 107
Figura 25. Impresión de matrícula a través de iMatBecarios ....................................... 108
6
Índice
Figura 26. Procesos de Matriculación realizado por un alumno .................................. 109
Figura 27. Modificación de la matrícula ...................................................................... 110
Figura 28. Diagrama de contexto ................................................................................. 112
Figura 29. Diagrama conceptual................................................................................... 113
Figura 30. Autenticación .............................................................................................. 114
Figura 31. Procesado de matrícula ............................................................................... 115
Figura 32Sistema de matriculación Becarios ............................................................... 115
Figura 33 Sistema de matriculación escuelas ............................................................... 116
Figura 34. Sistema SG .................................................................................................. 116
Figura 35. Dependencia entre activos [MAÑA06]....................................................... 129
Figura 36. Dependencia entre activos........................................................................... 131
Figura 37. Impacto acumulado potencial y residual en servicios, aplicaciones,

información y personal relacionados con iMat............................................................. 153
Figura 38. Impacto acumulado potencial y residual en BBDD, equipamiento y locales

relacionados con iMat................................................................................................... 153
Figura 39. Impacto acumulado potencial y residual en iMatBecarios. ........................ 154
Figura 40. Análisis y Gestión de Riesgos sin amenazas implantadas .......................... 160
Figura 41. Riesgos potenciales y residuales en iMat teniendo en cuenta las salvaguardas
actuales. ........................................................................................................................ 161
Figura 42. Riesgos potenciales y residuales en iMatBecarios teniendo en cuenta las

salvaguardas actuales.................................................................................................... 162
Figura 43. Inserción de salvaguardas con el fin de obtener un impacto y riesgo residual
asumible para la dirección ............................................................................................ 171
Figura 44. Impacto acumulado potencial y residual en cada una de las fases (Servicios,
datos, aplicaciones)....................................................................................................... 175
Figura 45. Impacto acumulado potencial y residual en cada de las fases (BBDD, parte
del equipamiento). ........................................................................................................ 176
7
Índice
Figura 46. Impacto acumulado potencial y residual en cada una de las fases (parte del
equipamiento, locales y personal) ................................................................................ 176
Figura 47. Riesgos acumulados potenciales y residuales en cada una de las fases
(Servicios, datos y aplicaciones). ................................................................................. 177
Figura 48. Riesgos acumulados potenciales y residuales en cada una de las fases
(BBDD y parte del equipamiento)................................................................................ 178
Figura 49. Riesgos acumulados potenciales y residuales en cada una de las fases (parte
del equipamiento, locales y personal)........................................................................... 179
Figura 50. Impacto repercutido en cada una de las fases. ............................................ 180
Figura 51. Riesgo repercutido en cada una de las fases. .............................................. 181
Figura 52. Calificación de la seguridad según la ISO/IEC 17799:2005....................... 182
Figura 53. Presentación de la calificación ISO/IEC 17799:2005 en EAR ................... 183
Figura 54. Calificación según la CSNC ....................................................................... 184
Figura 55. Presentación de la CSCN en EAR. ............................................................. 185
Figura 56. Clasificación según la RD994..................................................................... 186
Figura 57. Presentación de la RD994 en EAR. ............................................................ 186
ÍNDICE DE TABLAS
Tabla 1. Restricciones................................................................................................... 107
Tabla 2. Posibles activos a considerar en un AGR....................................................... 125
Tabla 3. Valoración cualitativa, escala a seguir en el AGR iMat................................. 133
Tabla 4. Valoración propia de los activos. ................................................................... 135
Tabla 5. Valoración acumulada de los activos ............................................................. 137
Tabla 6. Resumen de la eficacia de las salvaguardas agrupadas por tipos................... 143
Tabla 7. Marco de gestión. Salvaguardas. .................................................................... 144
Tabla 8. Seguridad física. Salvaguardas....................................................................... 145
Tabla 9.Comunicaciones. Salvaguardas. ...................................................................... 146
8
Índice
Tabla 10. Datos/Información. Salvaguardas................................................................. 146
Tabla 11. Aplicaciones informáticas (SW). Salvaguardas. .......................................... 147
Tabla 12. Equipos informáticos (HW). Salvaguardas. ................................................. 147
Tabla 13. Personal. Salvaguardas. ................................................................................ 148
Tabla 14. Elementos auxiliares. Salvaguardas. ............................................................ 148
Tabla 15. Servicios. Salvaguardas................................................................................ 149
Tabla 16. Impacto potencial muy alto .......................................................................... 151
Tabla 17. impacto potencial alto................................................................................... 152
Tabla 18. Impacto potencial medio y bajo ................................................................... 152
9
Resumen
10
Resumen
La importancia que los sistemas de información han tomado en las organizaciones,

llegando éstas a depender de éstos, ha provocado que la atención crezca en torno a los
sistemas TI1. Los sistemas de información se crean y diseñan a partir de las necesidades
de negocio de las empresas/instituciones, de sus estrategias de negocio. Por este motivo
la consecución de los objetivos de la organización dependen en gran medida de sus
sistemas de información. Esto hace imprescindible tener que garantizar el
funcionamiento y la seguridad de los sistemas de información en las organizaciones.
En este proyecto se pretende concienciar al lector de la importancia de asegurar

convenientemente los sistemas TI y analizar los riesgos que éstos corren. Para ello se ha
de explicar que es un análisis y gestión de riesgos, las formas que hay de realizarlo y lo
que se pretende con él. Una vez explicadas las distintas formas de hacer un AGR2 se va
a explicar uno en concreto: MAGERIT (Metodología para el Análisis y Gestión de
Riesgos de los Sistemas de Información), metodología creada por el Ministerio de
Administraciones Públicas. MAGERIT ofrece un método estructurado y sistemático
para la realización de un AGR, ayudando al analista a contemplar todos los aspectos
relevantes en un AGR.
Los objetivos que se pretenden alcanzar con Magerit son:
• Directos:
Concienciar a los responsables de los sistemas de información de la

existencia de riesgos y de la necesidad de atajarlos a tiempo.
Ofrecer un método sistemático para analizar tales riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener los

riesgos bajo control.
• Indirectos:
Preparar a la organización para procesos de evaluación, auditoria,

certificación o acreditación, según corresponda en cada caso.
Dar uniformidad a los informes.
1
TI, Tecnologías de la Información
2
AGR, Análisis y Gestión de Riesgos
11
Resumen
Para que la explicación de un AGR sea completa se va a analizar un sistema de

información siguiendo todos los pasos descritos por Magerit, explicando lo que se
pretende en cada uno de ellos y desarrollando el ejemplo de forma clara y explícita.
El sistema de información que se va a analizar es el sistema de matriculación de la

Universidad Pontificia de Comillas (iMat). iMat ha sido desarrollado por el STIC
(Servicio de Sistemas y tecnologías de la Información y Comunicación).Dicho sistema
de información tiene una gran importancia para la organización (la Universidad
Pontificia de Comillas) debido a que todos los alumnos de primer y segundo ciclo la
pueden emplear para realizar sus matrículas. Es interesante el dato: de los,
aproximadamente 7500 alumnos potenciales de primer y segundo ciclo, 7000 de ellos
realizan sus matrícula a través de iMat. La importancia que tiene iMat la universidad es
enorme según se puede concluir de la información mostrada, siendo uno de los pilares
en su estrategia de negocio y una fuente potencial para captar nuevos alumnos
(clientes).
La gran ventaja de utilizar MAGERIT es la existencia de herramientas informáticas

hechas para el análisis y gestión de riesgos mediante esta metodología. Una de estas
herramientas es EAR, la cual se va a emplear para analizar iMat. La gran ventaja de
EAR es que integra la consecución de todos los objetivos a alcanzar según MAGERIT.
EAR3 es una herramienta informática que soporta el análisis y gestión de riesgos de un

sistema de información siguiendo la metodología Magerit. Dicha herramienta está
estructurada de tal forma que todas las fases de Magerit tienen su relación en la misma.
Contempla la planificación del análisis, el análisis, la evaluación del impacto y el riesgo
de los activos del sistema, la gestión de los planes de seguridad que se requieran, etc.
No hay que olvidar que vivimos en la sociedad de la tecnología y el conocimiento, o lo

que es lo mismo: la sociedad de la información; donde garantizar su seguridad y la de
los sistemas que la emplean es un aspecto fundamental en las organizaciones, estando
dentro de sus presupuestos lograr este objetivo. Para que un sistema de información sea
considerado como un sistema seguro ha de cumplir las propiedades de seguridad que se
requieren en un sistema de información: confidencialidad, integridad y disponibilidad.
3
Entorno de Análisis de Riesgos
12
Resumen
A estas propiedades, también llamadas dimensiones de la seguridad, se pueden añadir la

autenticidad y la trazabilidad.
Una organización que pierda su información no vale nada, una organización que falle a
la hora de dar sus servicios pierde valor, pierde oportunidades de negocio y credibilidad:
pierde imagen.
En resumen, a lo largo del proyecto se pretende dar a conocer como analizar y gestionar
los riesgos de un sistema de información de forma efectiva mediante un método
estructurado y específico como es Magerit, ayudándose de un herramienta informática
que sigue dicha metodología (EAR); se pretende lograr que el lector tome conciencia de
la importancia de los sistemas de información en una organización y porque su
seguridad es tan importante. Además de todo lo mencionado cabe destacar la
importancia que este tema está adquiriendo en las organizaciones, siendo un tema
fundamental a la hora de elaborar el presupuesto anual.
13
Abstract
ABSTRACT
The importance that have taken information systems in organisations, even at times
becoming dependant on them, have caused an rise in the attention payed in information
technology systems. Information systems are created and designed based on the
business/enterprise’s necessities, and business strategies. Due to this, the
accomplishment of the enterprise’s goals, depend in great measure on their information
systems. This makes guaranteeing the correct operation and security in information
systems essential.
This project is meant make the reader aware of the importance of assuring conveniently
the information technology systems and also the importance of analyzing the
corresponding risks. In order to do this it is ought to explain that it is an analysis and
management of risks, the methods that we have to do it, and the purpose of it. Once we
have explained the different methods of doing one AMR (Analysis and Management of
Risk) we will proceed to explain one in concrete: MAGERIT (methodology for the
analysis and management of risks for information systems), created by the public
administration Ministry. MAGERIT offers an structured and systematic method for the
achievement of an AMR helping the analyzer to contemplate all the relevant aspects in
an AMR.
The objectives to achieve with Magerit are:
Directs:
Make the responsible people for information systems aware of the

existence of risks and the necessity of finding them in time.
Offer a systematic method for analysing these risks.
Help to discover and to plan the required measures to prevent and

maintain risks under control
Indirect:
Prepare the organisation for evaluation, auditing, certification, or

accreditation procedures, according to each case.
Give uniformity to the reports.
14
Abstract
In order to the explanation of an AMR to be complete we are going to analyze one

information system following the steps described by Margerit. Explaining the purpose
of each one of them and develop a clear and specific example.
The information system that we will analyze is the Pontifica of Comillas University
enrolment (iMat). iMat has been developed by STIC (Systems and information
communication technologies services).This information system has a great importance
for the organisation (Pontifica of Comillas University) due to that all alumni of the first
and second cycle are able to use to enrol themselves in the university each academic
year. The data is interesting: out of the, approximately 7500 potential alumni of first and
second cycle, 7000 of them make their enrolment through iMat. The importance of
iMat for the university is being one of their basic assets in their business strategy and a
principal source of getting new alumni. (Clients)
The great advantage of using Magerit is the existence of computer tools made for the
analysis and management of risks. One of these tools is EAR4, which is going to be
used to accomplish all the objectives of Magerit.
EAR is a computer tool that stands the analysis and management of risks of an
information system according to Magerit methodology. The above-mentioned tool is
structured so that all the stages of Magerit are related with it. It contemplates the
plannification of the analysis, the analysis itself, the impact evaluation and the risk of
the system assets, the management of the security plans required, etc.
We must not forget that we live in the society of the technology and knowledge, or what
is the same the society of information; where guaranteeing its security and the one of
the systems used in it, is a fundamental aspect in organisations, this being inside their
proposed objectives. For information systems to be considered secure they must fulfil
the proprieties of an information system: confidentiality, integrity, and availability. To
these proprieties also called security dimensions we can add authenticity and
Trazability.
An organisation that loses it information it is not worth a thing, an organisation that fails
when giving it services, it loses value, business opportunities and credibility: it loses
image.
4
Entorno de Análisis de Riesgos (Risk Analisis Background).
15
Abstract
Summarising, during this project we pretend to show how to analyze and manage the
risks of an information system effectively, by means of a structured and specific method
as is Magerit helped by a computer tool that follows that methodology, EAR. It is
pretended to make the reader aware of the importance of the information systems in an
organisation and why the importance of its security. Apart from everything else
mentioned we should highlight the rise in the importance in organisations, becoming a
fundamental issue when elaborating the annual budget.
16
Definición del problema
La protección de los sistemas de TI5, o de los sistemas de información y

comunicaciones, ha pasado a ser un objetivo crítico por la importancia que la
información que manejan tiene en la consecución de los objetivos de las diferentes
organizaciones.
Se puede definir, en primera instancia, que la seguridad tiene como finalidad la

protección de los bienes, o también llamados activos y recursos, de una organización.
En relación con un sistema de información estos bienes serán el hardware, el software y
los datos o información; todos ellos en base a asegurar el correcto funcionamiento dado
por los servicios del sistema de información.. Por consiguiente, la seguridad de las
redes y de la información se puede definir como la capacidad de las redes o de los
sistemas de información de resistir con un determinado nivel de confianza, los
accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad,
autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de
los servicios que dichas redes y sistemas ofrecen o hacen accesibles [ARIA05].
Los objetivos o dimensiones de la seguridad, los cuales se han de intentar salvaguardar

en todo sistema son cuatro [ARIA05]:
• Confidencialidad o que la información llegue solamente a las personas

autorizadas: propiedad por la que la información es revelada exclusivamente
a los usuarios, entidades o procesos autorizados, en la forma y tiempo
determinada. Contra la confidencialidad o secreto nos encontramos con
fugas y filtraciones de información y accesos no autorizados. La
confidencialidad es una propiedad de difícil recuperación, pudiendo minar la
confianza de los demás en la organización que no es diligente en el
mantenimiento del secreto, y pudiendo suponer el incumplimiento de normas
y regulaciones respecto del cuidado de los datos.
• Integridad o mantenimiento de las características de completitud y

corrección de servicios o datos: propiedad por la que la información
solamente puede ser creada, modificada o borrada por usuarios, entidades o
procesos autorizados. Contra la integridad podemos encontrarnos
5
TI: Tecnologías de la información.
18
información manipulada, corrupta o incompleta. La integridad afecta

directamente al correcto desempeño de las funciones de la organización.
• Disponibilidad o disposición de ser usados cuando sea necesario: propiedad

por la que la información debe de estar accesible o utilizable en el momento,
lugar y forma que lo requieran los usuarios, entidades o procesos
autorizados. La carencia de disponibilidad supone la interrupción del
servicio. La disponibilidad afecta directamente a la productividad de las
organizaciones.
• Autenticidad (del origen de los datos): Que haya duda de quien se hace
responsable de una información o prestación de un servicio, tanto a fin de
confiar en él como de poder perseguir posteriormente los incumplimientos o
errores. Contra la autenticidad nos encontramos con suplantaciones y
engaños que buscan realizar un fraude. La autenticidad es la posibilidad de
luchar contra el repudio y, como tal, se convierte en una dimensión básica
para fundamentar el llamado comercio electrónico o la administración
electrónica, permitiendo confiar sin papeles ni presencia física.
Adicionalmente se puede tener en cuenta una dimensión más como es la trazabilidad.

Esta dimensión cobra especial importancia al hablar de comercio electrónico o
administración electrónica; siendo fundamental para poder prestar el servicio y
perseguir los fallos
Con objeto de conseguir la protección adecuada en un sistema de información es

necesario implantar un conjunto proporcionado de medidas de seguridad, tanto técnicas
como organizativas, que permitan la creación de un entorno seguro para los datos, la
información, las aplicaciones y los sistemas que sustentan a todos. Las cuatro
dimensiones pueden ser requeridas o no dependiendo de cada caso. Cuando se requieren
es necesario poner recursos y esfuerzo para conseguirlas. A racionalizar este esfuerzo se
dedican las metodologías de análisis y gestión de riesgos que comienzan con una
definición:
Riesgo: estimación del grado de exposición a que una amenaza se materialice

sobre uno o más activos causando daños o perjuicios a la organización. El riesgo
se puede considerar como una función de probabilidad de que una vulnerabilidad
del sistema afecta a la autenticación o a la disponibilidad, autenticidad,
19
integración o confidencialidad de los datos procesados o transferidos y la

gravedad de esa incidencia, resultante de la utilización intencionada o no
intencionada de esa vulnerabilidad [ARIA05].
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.

Es importante saber qué características son de interés en cada activo, así como saber en
qué medida estas características están en peligro, es decir, analizar el sistema (análisis
de riesgos). Una vez analizado el sistema y conocer los riesgos que tiene cada activo, así
como la posibilidad que existe de que ocurra hay que tomar las decisiones adecuadas
(gestión de riesgos) para evitar que ocurra o asumir que ocurra.
La seguridad es un concepto relativo ya que no es posible conseguirla de forma plena

porque siempre existirán unos riesgos residuales por muy cuantiosas que sean las
inversiones en seguridad, pero teniendo en cuenta que a mayores riesgos, mayores
deberán ser las medidas de seguridad a adoptar, lo que se conoce como principio de
proporcionalidad. Así, el riesgos es una combinación de las amenazas (entendidas como
la capacidad potencial para producir un compromiso o pérdida de activos o
información) a los que está expuesto, sus vulnerabilidades (entendidas como la
debilidad o falta de control que pueda permitir o facilitar la actuación de una amenaza)
y el valor del activo.
Todos los servicios, medidas y mecanismos de seguridad han de estar orientados a

conseguir los objetivos de seguridad descritos. Para ello se establece lo que denomina
Gestión de la Seguridad.
20
Definición del problema Gestión de la Seguridad de TI
Gestión de la Seguridad
Como ya se ha mencionado anteriormente la seguridad de la información tiene como
finalidad la protección de los bienes, o también llamados activos y recursos, de una
organización. En relación con un sistema de información estos bienes serán el hardware,
el software y los datos o información. Para lograr esto se han de cubrir las cuatro
dimensiones (objetivos) de la seguridad de la información:
• Confidencialidad
• Integridad
• Disponibilidad
• Autenticidad
• Trazabilidad
Depende del sistema las dimensiones que hay que considerar. No siempre es necesario
tener en cuenta todas ellas. Sin embargo las tres primeras siempre suelen estar
consideradas.
Las organizaciones dependen crecientemente de la información para el desarrollo de sus

actividades. Así, la pérdida de confidencialidad, integridad, disponibilidad y/o
autenticidad de su información y/o servicios puede tener para ellas un impacto negativo.
En consecuencia, es necesario proteger la información y gestionar la seguridad de los
sistemas de TI dentro de las organizaciones. Este requisito de proteger la información es
particularmente importante, dado que numerosas organizaciones están conectadas a
redes de sistemas de TI interna y externamente.
La gestión de la seguridad de TI es el proceso para alcanzar y mantener niveles

apropiados de autenticidad, confidencialidad, integridad y disponibilidad. Las funciones
de gestión de la seguridad de TI incluyen6 [UNE01]:
• Determinación de los objetivos, estrategias y políticas organizativas de la

seguridad de TI.
• Determinación de los requisitos organizativos de la seguridad de TI.
6
UNE 71501-1:2001IN
21
• Identificación y análisis de amenazas de activos de la organización (análisis de

riesgos).
• Especificación de las salvaguardas apropiadas (gestión de riesgos).
• Seguimiento de la implantación y operación de las salvaguardas apropiadas.
• Desarrollo e implantación de un plan de concienciación en la seguridad.
• Detección y reacción ante incidentes.
22
Objetivos, estrategias y políticas de seguridad
Objetivos y estrategias de seguridad de TI
Política de seguridad de TI de la organización
Opciones en la estrategia de análisis y gestión de riesgos
Análisis de
Enfoque de Enfoque Enfoque de
riesgos
mínimos informal combinado
detallado
Enfoque combinado
Análisis de riesgos de alto nivel
Análisis de
Enfoque de
Riesgos
mínimos
Detallado
Selección de Salvaguardas
Aceptación de Riesgos
Política de Seguridad del Sistema
Plan de la Seguridad
Implantación del Plan de Seguridad

Implantación de Concienciación Formación en
salvaguardas de la seguridad seguridad
Acreditación del Sistema
Seguimiento
Comprobación
del cumplimiento de Supervisión
los requisitos y control
de seguridad
Mantenimiento
Gestión de la
Tratamiento
configuración.
de incidencias
Gestión de cambios
Figura 1. Gestión de la Seguridad de TI7
7
UNE 71501-3: 2001: Tecnología de la Información (TI). Guía para la gestión de la seguridad de TI.
Parte 3: Técnicas para la gestión de la seguridad de TI.
23
Objetivos, estrategias y políticas de seguridad
Como base para una seguridad efectiva de TI, se deben formular objetivos, estrategias y
políticas generales de seguridad de la organización. Estos proporcionan soporte a la
actividad de la organización y aseguran la consistencia entre todas las salvaguardas. Los
objetivos identifican lo que se debe lograr, las estrategias, cómo conseguir estos
objetivos, y las políticas, lo que debe hacerse.
Los objetivos, estrategias y políticas se pueden desarrollar jerárquicamente desde el

nivel más alto hasta el nivel operativo de la organización. Así mismo dichos niveles han
de guardar una relación consistente que permita relacionarlos de forma clara.
Lo primero a realizar es la definición concreta del sistema y el alcance que este posee, la
importancia que tiene para la organización. Un vez establecido dicho alcance se han de
estudiar y plantear los objetivos y estrategias que se van a adoptar para la seguridad del
sistema de TI. Valiéndose de los objetivos y estrategias acordadas se obtienen una serie
de políticas de seguridad de TI para la organización.
La política de seguridad de la organización consta de los principios y directrices de

seguridad de la organización como un todo. La política de seguridad de TI debe reflejar
los principios y directrices de seguridad esenciales aplicables a la política de seguridad
de la organización y al uso general de los sistemas de TI dentro de la misma. La política
de seguridad de un sistema de TI concreto debe reflejar los principios y directrices
expresados en la política de seguridad de TI de la organización. Debería contener los
requisitos particulares de la seguridad y de las salvaguardas que deben implantarse y de
cómo usarlas correctamente para garantizar la seguridad adecuada. En todos los casos es
importante que el enfoque adoptado sea coherente con las necesidades debidas a la
actividad de la organización.
Análisis y Gestión de Riegos
El primer paso, descrito anteriormente, sirve para comenzar con el análisis y gestión de
riesgos. El análisis y gestión de riesgos es uno de los elementos claves de todo proceso
de gestión de la seguridad informática. Se identifican dos procesos:
1. El análisis de riesgo, que permite la identificación de las amenazas que acechan

a los distintos activos del sistema para determinar la vulnerabilidad del mismo
ante esas amenazas y para estimar el impacto que una seguridad insuficiente
24
puede tener para la organización conociendo, por tanto, el riesgo que corre
[ARIA05].
Conlleva el análisis de los activos, amenazas y vulnerabilidades valorándose los

riesgos en términos de impacto potencial que podría ser causado por la pérdida
de confidencialidad, integridad y disponibilidad de la información y recursos del
sistema.
2. La gestión de riesgos, que, basándose en el análisis de riesgos, permite

seleccionar las medidas o salvaguardas de seguridad adecuadas para conocer,
prevenir, impedir, reducir o controlar los riesgos identificados y así reducir al
mínimo su potencialidad o sus posibles impactos [ARIAS05].
El análisis de riesgos de un sistema de información tiene por objeto identificar los

riesgos, las amenazas y vulnerabilidades existentes en un sistema de información
determinando su magnitud, mostrando la situación de la seguridad presente en una
organización respecto al procesado, transmisión y almacenamiento de la información, y
como consecuencia reuniendo los hecho básicos necesarios para seleccionar las
contramedidas y los procedimientos adecuados para minimizar las amenazas y las
vulnerabilidades al/del sistema.
Un riesgo de seguridad se puede definir como la probabilidad de que una vulnerabilidad

de un sistema o red sea explotada por una amenaza, comprometiendo de esta forma al
sistema o su información. Debido al carácter cambiante de las amenazas, un análisis de
riesgos debe ser actualizado periódicamente. Todo sistema de información tiene unos
riesgos inherentes al mismo.
El análisis de riesgos permite establecer los riesgos que existen y, a partir de ahí,
establecer los requisitos de seguridad necesarios para prevenir una determinada
situación, contener su efecto, o simplemente reconocer que existe un riesgo potencial de
pérdida de datos. Por ello el análisis de riesgos es necesario y recomendable en todo
sistema o red, ayudando a identificarlos así como en la toma de decisiones a adoptar
para eliminar el riesgo, minimizarlo o asumirlo, pero con el conocimiento de su
existencia, riegos e impacto.
25
Estrategias para el análisis y gestión de riesgos
El análisis y gestión de riesgos se puede realizar de diversas formas, dependiendo del

enfoque que se quiera tomar [UNE01].
1. Enfoque básico
El enfoque básico en la realización del análisis y gestión de riesgos implica la selección

de un conjunto de salvaguardas que permita alcanzar un nivel básico de protección para
todos los sistemas. Para la selección de estas salvaguardas existen documentos (normas
nacionales e internacionales, recomendaciones…) o códigos de buenas prácticas como,
por ejemplo, la norma ISO/IEC TR 17799, que presentan conjuntos de salvaguardas de
carácter normalizado o básico.
Este enfoque posee una serie de ventajas como:
• No es necesario asignar recursos para un análisis y gestión de riesgos

detallado, y el tiempo y esfuerzo empleado en seleccionar las
salvaguardas se reduce.
• El mismo conjunto de salvaguardas de nivel básico o con pequeñas

modificaciones puede adaptarse a muchos sistemas sin un gran esfuerzo.
Las desventajas de esta opción son:
• Si el listón que señala el nivel básico es demasiado alto, puede darse una
seguridad demasiado restrictiva o demasiado costosa para algunos
sistemas; por otra parte, si el listón es demasiado bajo, puede darse una
seguridad insuficiente para algunos sistemas.
• Puede haber dificultades derivadas de cambios importantes que afecten a

la gestión de la seguridad. Por ejemplo, si el sistema es actualizado,
puede haber dificultades qa la hora de valorar si las salvaguardas de nivel
básico originales son suficientes.
2. Enfoque informal
El enfoque informal implica la realización de un análisis y gestión de riesgos informal y

pragmático, en todos los sentidos, de los sistemas. No se basa en métodos estructurados,
sino que aprovecha el conocimiento y experiencia de expertos, tanto internos a la
organización como externos si no se tiene una gran experiencia.
26
Esta opción tiene como ventaja que:
• No se requiere el aprendizaje de habilidades adicionales para hacer este tipo de

análisis. Puede ser adecuado en pequeñas organizaciones.
Sin embargo posee varias desventajas:
• Sin un enfoque estructurado, aumenta la posibilidad de pasar por alto algunos

riesgos, así como áreas potencialmente problemáticas.
• Debido a su carácter informal, los resultados pueden venir influenciados por

perspectivas subjetivas y por prejuicios del analista.
• La selección de las salvaguardas no se encuentra argumentada o razonada; por lo

tanto, los gastos en las mismas pueden ser difíciles de justificar.
• Pasado un tiempo sin que hayan realizado revisiones periódicas puede ser difícil
gestionar los cambios con impacto importante en la seguridad.
3. Análisis y gestión de riesgos detallado
Esta opción implica la realización del análisis y gestión de riesgos mediante la

identificación y valoración de los activos, la evaluación de las amenazas y de las
vulnerabilidades de los activos frente a las amenazas, estimación de los posibles
impactos y la valoración de los riesgos en base a lo anterior.
Esta opción soporta la identificación, selección y adopción de salvaguardas en base a los

riesgos identificados y la reducción de los mismos a un nivel aceptable definido por la
dirección. Suele ser un proceso costoso tanto en tiempo como en recursos de personal y
debería realizarse utilizando metodologías formales y a ser posible apoyadas por
aplicaciones software.
Por consiguiente, las ventajas que nos encontramos al aplicar este enfoque son:
• Se identifica un nivel de seguridad acorde con las necesidades de seguridad de

cada sistema. Cada sistema posee un estudio propio y que se ajusta al mismo.
• La gestión de los cambios con impacto importante en la seguridad se beneficiará

de la información adicional obtenida a partir del análisis y gestión de riesgos
detallado.
La mayor desventaja de esta opción es:
27
• Requiere una considerable cantidad de tiempo, esfuerzo y pericia para lograr

resultados visibles.
4. Enfoque combinado
Esta opción para la ejecución del análisis y gestión de riesgos consiste en identificar
primeramente aquellos sistemas que están expuestos a un alto riesgo o que son críticos
en relación a la actividad de la empresa, mediante un análisis y gestión de riesgos
realizado a alto nivel, clasificando así a los sistemas en dos grupos: los que requieren un
análisis y gestión de riesgos detallado para conseguir la protección adecuada y los que
sólo necesitan la protección a nivel básico.
Las ventajas de este enfoque son:
• Un enfoque de alto nivel para recoger la información necesaria antes de

comprometer recursos significativos facilita la aceptación del plan análisis y
gestión de riesgos.
• Debe ser posible configurar a nivel estratégico una visión del plan de seguridad
de la organización, que puede utilizarse como soporte a la planificación.
• Los recursos pueden invertirse donde vayan a ser más beneficiosos, y de forma
que los sistemas de alto riesgo puedan ser tratados antes.
La desventaja con la que nos encontramos en esta opción es:
• Si el análisis y gestión de riesgos a alto nivel produce resultados erróneos,

algunos sistema en los que se necesita un análisis y gestión de riesgos detallado
podrían no ser completados.
En la mayoría de los casos esta opción ofrece el enfoque más eficaz en términos de
costes y es la opción de análisis y gestión de riesgos más recomendable para la mayoría
de las organizaciones.
Selección de Salvaguardas
Una vez identificadas las amenazas, vulnerabilidades, riegos, etc. Se pasa a la selección
de salvaguardas. Las salvaguardas son procedimientos o dispositivos físicos o lógicos
que pueden proteger contra una amenaza, reducir la vulnerabilidad, limitar el impacto
de un incidente no deseado y facilitar la recuperación. Las salvaguardadas no son
independientes unas de otras y frecuentemente funcionan conjuntamente. La seguridad
28
efectiva requiere con frecuencia una combinación de salvaguardas para proporcionar

niveles adecuados de seguridad. El proceso de selección debe tener en cuenta las
interdependencias entre salvaguardas; así también debe verificarse que no quedan
lagunas. Dichas lagunas hacen posible la burla de las salvaguardas existentes y permiten
que amenazas accidentales puedan materializarse y causar daños.
Cualquiera de las opciones presentadas en el apartado anterior proporcionan

recomendaciones suficientes para reducir los riesgos en la seguridad a un nivel
aceptable, aunque de los cuatro enfoques, en la mayoría de los casos, la opción del
Enfoque combinado es la más eficaz en términos de costes y suele ser la opción de
análisis y gestión de riesgos más recomendable para la mayoría de las organizaciones.
Las salvaguardas seleccionadas permiten conocer, prevenir, impedir, reducir, controlar,

corregir y recuperarse de incidentes no deseados. No suelen ser independientes unas de
otras y frecuentemente funcionan conjuntamente necesitando una gestión que asegure
de forma eficaz y sin ocasionar gastos indebidos tanto de gestión como de uso.
Su implantación puede estar ligada a un plan de concienciación en la seguridad, a una

gestión de cambios y a una gestión de la configuración.
Aceptación de Riesgos
Tras la implantación de las salvaguardas seleccionadas, siempre existe un riesgo

residual. Esto es debido a que no puede haber ningún sistema absolutamente seguro
(principio fundamental de la seguridad de la información) y a que ciertos activos pueden
haberse dejado sin protección intencionadamente porque se asume un bajo riesgo o por
los altos costes de la salvaguarda con relación al valor estimado del activo a proteger
[UNE01].
El primer paso del proceso de aceptación de riesgos es revisar las salvaguardas

seleccionadas e identificar y valorar todos los riesgos residuales pasando,
posteriormente, a clasificar los riesgos residuales en aceptables o inaceptables para la
organización [UNE01].
Es obvio, que los riesgos inaceptables no pueden tolerarse y, por tanto, deberán
considerarse salvaguardas adicionales para bajar el riesgo residual a un nivel aceptable.
29
Implantación del Plan de Seguridad
Una vez hecho el Análisis y Gestión de Riesgos se han implantar las decisiones
acordadas. Para ello se pondrán en práctica los planes de concienciación y formación de
personal, se deberán implantar las salvaguardas según los plazos establecidos, etc. A
todo esto es a lo que se le denomina implantación del Plan de Seguridad [MAGE05].
Acreditación
Muchos análisis y gestión de riesgos tienen como finalidad lograr certificaciones de

seguridad del un producto o sistema; estar preparado para una posible auditoria de
seguridad o evaluar el sistema [MAGE05].
Seguimiento
Al igual que todo estudio, la gestión de la seguridad nunca termina. Una vez hecho el
análisis y gestión de riesgos y la implantación del plan de seguridad se ha de llevar un
continuo mantenimiento del sistema de información. Se ha comprobar que se ha
cumplido todo lo establecido, llevar una supervisión, estar preparado a posibles cambios
o a nuevos análisis a realizar. Se da por hecho que también se evalúa en este
seguimiento continuo que todas las incidencias que pueden pasar, y que han sido
identificadas en el estudio, tienen un tratamiento correcto. Para ello se suele realizar lo
que se denomina plan de continuidad o contingencias (dependiendo del alcance del
Plan: continuidad suele ir más dirigido a la continuidad de los procesos y funciones de
negocio de una organización, mientras que contingencia suele ir más encaminada a la
continuidad o solución de problemas en sistemas de información) [MAGE05].
Todas las salvaguardas requieren un mantenimiento para asegurar que están

funcionando correctamente y que lo continuarán haciendo de una manera predecible y
adecuada. La obsolescencia de las salvaguardas debe ser puesta de manifiesto por
acciones planificadas más que por un descubrimiento casual. Además, la verificación de
la conformidad con los requisitos de seguridad, la verificación del entorno operativo, la
revisión de eventos y la gestión de incidentes también son necesarias para asegurar la
continuidad en la seguridad [MAGE05].
30
Política de Aspectos
Seguridad de TI organizativos
Análisis y Gestión de Riesgos
Implantación de
Salvaguardas
Seguimiento
Figura 2. Gestión de la Seguridad de TI8
La gestión de la seguridad es una acción permanente, cíclica y recurrente (es decir, que
se ha de reemprender continuamente debido a cambios en el sistema y en su entorno)
que a su vez comprende otros procesos. La implantación de salvaguardas se realiza
llevando a cabo los planes de seguridad establecidos y acordados previamente.
Concienciación de la seguridad
La concienciación es un elemento esencial para la seguridad efectiva. La ausencia de
concienciación, junto con las malas costumbres en materia de seguridad por parte del
personal de la organización, puede reducir significativamente la efectividad de las
salvaguardas. Con el fin de asegurar que existe un nivel de concienciación en la
seguridad adecuado, es importante establecer y mantener un plan efectivo de
concienciación en la seguridad. El propósito de este plan de concienciación en la
seguridad es explicar a los diversos actores [MAGE05]:
- los objetivos, estrategias y políticas de seguridad, y
8
UNE 71501-1: 2001: Tecnología de la Información (TI). Guía para la gestión de la Seguridad de TI.
Parte 1: Conceptos y modelos para la seguridad de TI
31
- la necesidad de seguridad y sus funciones y responsabilidades asociadas.
Un plan de concienciación en la seguridad debería implantarse a todos los niveles de la

organización desde la alta dirección hasta las personas encargadas de las actividades
diarias. Un factor crítico es que la dirección sea consciente de la necesidad de la
seguridad. El objeto de un plan de concienciación es convencer de que existen riesgos
significativos para los sistemas de TI y que la pérdida, modificación no autorizada y
revelación de información, podrían tener importantes consecuencias para la
organización y su personal.
32
Alcance del proyecto
El proyecto se va centrar en el estudio del Análisis y Gestión de Riesgos, sin
profundizar más en el resto de partes de la Gestión de la Seguridad. En el Análisis y
Gestión de Riesgos se van a abarcar las cuatro actividades contenidas en el mismo. Los
pasos a seguir se pueden resumir en los siguientes puntos9:
1. Determinar los activos relevantes para la organización.
2. Determinar a que amenazas están expuestos.
3. Determinar que salvaguardas hay expuestas y cuan eficaces son frente al riesgo.
4. Estimar el impacto.
5. Estimar el riesgo.
6. Selección de salvaguardas.
Figura 3. Metodología MAGERIT
Para ello se va usar la Metodología MAGERIT versión 2 (Metodología de Análisis y

Gestión de Riesgos de los Sistemas de Información, creada) creada por el Ministerio de
9
Los conceptos que aparecen en los pasos pautados a seguir se definen en la parte de MAGERIT. En
dicha parte se pueden encontrar los conceptos y los pasos explicados de forma detallada.
33
Administraciones Públicas. Así mismo se a contar con una herramienta de software
basada en la metodología MAGERIT y que trabaja contra listas de seguridad como la
ISO 17799/2002, norma que se va aplicar en el proyecto para seleccionar las
salvaguardas de seguridad en el ejemplo concreto en apoyo del proyecto. Dicha
herramienta será PILAR (Procedimiento Informático-Lógico para el Análisis de
Riesgos) o EAR (Entorno de Análisis de Riesgos), aún por determinar. Dichas
herramientas son la misma; la diferencia se encuentra en la primera es de uso privado
para el CNI y los ministerios, mientras que la segunda se encuentra disponible para uso
comercial. EAR está basada en PILAR, la cual ha sido financiada por el Centro
Nacional de Inteligencia (CNI), establecidos sus requisitos por el Centro Criptológico
Nacional (CNN) y supervisado su desarrollo por el CCN, y la Fábrica Nacional de
Moneda y Timbre, entre otras instituciones.
Lo primero que se va a hacer es explicar MAGERIT, los pasos que sigue, la

nomenclatura adoptada, etc. Una vez explicada la metodología se va a aplicar a un
ejemplo concreto apoyándose en una herramienta informática que a su vez usa dicha
metodología como base para realizar el análisis y la gestión de riesgos. De este modo se
pretende poner a disposición del lector como realizar un análisis y gestión de riesgos de
forma eficiente, eficaz y correcta.
El ejemplo sobre el que se va a hacer el análisis y gestión de riesgos está basado en el

sistema de matriculación de la Universidad Pontificia de Comillas (iMat). Sobre este
sistema es sobre el que los alumnos proceden a realizar anualmente su matrícula,
modificarla o borrarla. Dicho sistema es un sistema montado sobre el sistema de
información de la universidad, por lo que se puede considerar un sistema de
información autónomo. Se cree que este sistema es apropiado y bastante ilustrativo para
poder comprender un análisis y gestión de riesgos.
Introducción a iMat
iMat, sistema de matriculación de la Universidad Pontificia de Comillas, es una

aplicación basada en la estructura de 3 capas, acceso a datos, lógica de negocio y
presentación claramente diferenciadas. La presentación se hace en páginas ASP, la
lógica de negocios se encuentra encapsulada en unos componentes en COM+
desarrollados con Visual Basic mientras que el acceso a datos se realiza con otros
componentes en COM+ que actúan contra una base de datos SQL Server 2000.
34
Por otro lado, los 3 servidores Web IIS 6.0 que mantienen la Web de Comillas están
balanceados por hardware de tal forma que en función de la carga de uno u otro se le
redirige al usuario al que menos lo este.
El servidor de datos y el de componentes Se sitúan detrás de un firewall, así como el

acceso a los datos se hace a través del usuario que levanta, que esta configurado en
COM+, de tal forma que únicamente un usuario de dominio específico tiene acceso a
los datos.
Por otro lado, el sistema de Matriculación funciona, básicamente, del siguiente modo:
en función del alumno validado con su clave y contraseña se estudia su expediente y las
normas que establecen al respecto cada facultad o escuela, una vez comparado su
expediente contra estas normas al alumno se le categoriza de tal forma que lleva
implícita la oferta de asignaturas de la que puede matricularse. Una vez presentada la
oferta de asignaturas, el alumno podrá seleccionar de entre ellas las que considere y se
le comprueba que está dentro de los intervalos de créditos establecidos.
35
MAGERIT
36
MAGERIT Introducción
Introducción a MAGERIT
La CSAE1 ha elaborado y promueve MAGERIT2 como respuesta a la percepción de la
Administración (y en general toda la sociedad) depende de forma creciente de las
tecnologías de la información para la consecución de sus objetivos de servicio. La razón
de ser de Magerit está directamente relacionada con la generalización del uso de los
medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes
para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con
medidas de seguridad que generen confianza en el uso de tales medios. El análisis de
riesgos se ha consolidado como paso necesario para la gestión de la seguridad. Así se
recoge claramente en las guías de la OCDE3 que, en su principio 6 dice:
6. Evaluación del riesgo. Los participantes deben llevar a cabo evaluaciones de

riesgo.
Conocer los riesgos al que están sometidos los sistemas de información con los que se
trabaja es imprescindible para poder gestionarlos y por este motivo existen multitud de
guías informales para la realización del análisis y gestión de riesgos, aproximaciones
metódicas y herramientas de soporte. Todas estás guías (informales, metódicas) buscan
poder evaluar cuanto de seguros (o inseguros) están los sistemas de información, para
evitar llevarse a engaño. Una aproximación metódica no dejar lugar a la improvisación,
como es el caso de Magerit, no depende de la arbitrariedad del analista. El asunto no es
tanto conocer la ausencia de incidentes como la confianza en que están bajo control: se
sabe qué puede pasar y se sabe que hacer cuando pasa.
1
CSAE: Consejo Superior de Administración Electrónica.
2
MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. La
información mostrada en este capítulo ha sido obtenida de dicha metodología, elaborada por el Ministerio
de Administraciones Públicas. Por este motivo no se van a exponer referencias a esta metodología a lo
largo del capítulo.
3
Guías de la OCDE para la seguridad de los sistemas de información y redes. Hacia una cultura de
seguridad. 2002.
37
Objetivos de Magerit
Directos:
1. concienciar a los responsables de los sistemas de información de la existencia de

riesgos y de la necesidad de atajarlos a tiempo.
2. ofrecer un método sistemático para analizar tales riesgos.
3. ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos
bajo control
Indirectos:
1. preparar a la Organización para procesos de evaluación, auditoria, certificación o

acreditación
A su vez se ha buscado dar uniformidad a los informes que recogen los hallazgos y las
conclusiones de un proyecto de análisis y gestión de riesgos.
Modelo de valor
Caracterización del valor que representan los activos para la Organización así
como de las dependencias entre los diferentes activos.
Mapa de riesgos
Relación de las amenazas a las que están expuestos los activos.
Evaluación de Salvaguardas
Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que

afrontan.
Estado de riesgo
Caracterización de los activos por su riesgo residual; es decir, por lo que puede
pasar teniendo en cuenta las salvaguardas desplegadas.
Informe de insuficiencias
Ausencia o debilidad de las salvaguardas que aparecen como oportunas para

reducir los riesgos sobre un sistema.
Plan de seguridad
38
Conjunto de programas de seguridad que permiten materializar las decisiones de

gestión de riesgos.
El análisis y gestión de riesgos en su contexto
Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que encajan
en la actividad continua de gestión de la seguridad.
El análisis de riesgos permite determinar como es, cuanto vale y como de protegidos se
encuentran los activos. En coordinación con los objetivos, estrategia y política de la
Organización, las actividades de gestión de riesgos permiten elaborar un plan de
seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de
riesgo que es aceptable para la Dirección.
Análisis y Objetivos,
Gestión de estrategia y
riesgos política
Planificación Organización
Implantación Concienciación
de y formación
salvaguardas
Gestión de Incidencias y
configuración recuperación
y cambios
Figura 4. Análisis y Gestión de Riesgos en su Contexto
La implantación de los controles de seguridad requiere una organización gestionada y la

participación informada de todo el personal que trabaja con el sistema de información.
Este esquema de trabajo debe ser repetitivo pues los sistema de información raramente
con inmutables; más bien se encuentran sometidos a evolución continua tanto propia
(nuevos activos) como del entorno (nuevas amenazas), lo que exige una revisión
periódica en la que se aprende de la experiencia y se adapta al nuevo contexto. Por este
motivo la concienciación y formación del personal es un elemento muy importante a la
hora de llevar a cabo una política de gestión de seguridad. La colaboración activa de las
personas involucradas en el sistema de información es vital para su posterior éxito. Para
39
ello se ha de crear lo que se llama una “cultura de seguridad” en la cual estén

implicados todos los niveles de la empresa desde la alta dirección hasta el más bajo
nivel.
El análisis de riesgos proporciona un modelo del sistema en términos de activos,

amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con
fundamento. La gestión de riesgos es la estructuración de as acciones de seguridad para
satisfacer las necesidades detectadas por el análisis.
Incidencias y recuperación
Es importante crear una cultura de responsabilidad, asociada a la cultura de seguridad,

donde los problemas potenciales, detectados por los que están cercanos a los activos
afectados, puedan ser canalizados hacia los puntos de decisión. De esta forma el sistema
de salvaguardas responderá a la realidad.
Cuando se produce una incidencia, el tiempo empieza a correr contra el sistema: sus
supervivencia depende de la presteza y corrección de las actividades de reporte y
reacción. La madurez de la organización se refleja en la pulcritud y realismo de su
modelo de valor y, consecuentemente, en la idoneidad de las salvaguardas de todo tipo,
desde medidas técnicas hasta una óptima organización.
40
Realización del análisis y gestión de riesgos1
Este capítulo expone de forma conceptual en qué consiste el análisis de riesgos y todo
aquello derivado de su gestión, lo qué se busca en cada momento y qué conclusiones se
derivan.
Hay dos grandes tareas a realizar:
Análisis de riesgos, que permite determinar qué tiene la Organización y estimar lo que
podría pasar.
Elementos:
1. activos, que no son sino los elementos del sistema de información (o

estrechamente relacionados con este) que aportan valor a la Organización
2. amenazas, que no son sino cosas que les pueden pasar a los activos causando un
perjuicio a la Organización
3. salvaguardas (o contra medidas), que no son sino elementos de defensa

desplegados para que aquellas amenazas no causen [tanto] daño.
Con estos elementos se puede estimar:
1. el impacto: lo que podría pasar
2. el riesgo2: lo que probablemente pase
El análisis de riesgos permite analizar estos elementos de forma metódica para llegar a
conclusiones con fundamento.
Gestión de riesgos, que permite organizar la defensa concienzuda y prudente,

defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las
emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones;
como nada es perfecto, se dice que el riesgo se reduce a un nivel residual que la
Dirección asume.
1
MAGERIT versión 2. Método – Parte 2.
2
El riesgo se definió de forma detallada en la introducción del proyecto.
41
Informalmente, se puede decir que la gestión de la seguridad de un sistema de
información es la gestión de sus riesgos y que el análisis permite racionalizar dicha
gestión.
Análisis de Riesgos
El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo

unos pasos pautados3:
1. determinar los activos relevantes para la Organización, su interrelación y su

valor, en el sentido de qué perjuicio (coste) supondría su degradación.
2. determinar a qué amenazas están expuestos aquellos activos.
3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al

riesgo.
4. estimar el impacto, definido como el daño sobre el activo derivado de la

materialización de la amenaza.
5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia

(o expectación de materialización) de la amenaza.
Con el objeto de organizar la presentación, se tratan primero los pasos 1, 2, 4 y 5,

obviando el paso 3, de forma que las estimaciones de impacto y riesgo sean
“potenciales”: caso de que no hubiera salvaguarda alguna desplegada. Una vez obtenido
este escenario teórico, se incorporan las salvaguardas del paso 3, derivando
estimaciones realistas de impacto y riesgo.
Paso 1: Activos
Se denominan activos los recursos del sistema de información o relacionados con

éste, necesarios para que la Organización funcione correctamente y alcance los
objetivos propuestos por su dirección.
El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor
de estos datos se pueden identificar otros activos relevantes:
3
Se muestran cinco de los seis puntos mostrados en el alcance del proyecto. El sexto punto pertenece a la
gestión del riesgo.
42
• Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que
se necesitan para poder gestionar dichos datos.
• Las aplicaciones informáticas (software) que permiten manejar los datos.
• Los equipos informáticos (hardware) y que permiten hospedar datos,

aplicaciones y servicios.
• Los soportes de información que son dispositivos de almacenamiento de datos.
• El equipamiento auxiliar que complementa el material informático.
• Las redes de comunicaciones que permiten intercambiar datos.
• Las instalaciones que acogen equipos informáticos y de comunicaciones.
• Las personas que explotan u operan todos los elementos anteriormente citados.
No todos los activos poseen la misma importancia y por ello las salvaguardas varían
dependiendo de la importancia de los mismos. Por ejemplo, hay datos regulados por ley
y otros que no; datos de carácter confidencial o de acceso reservado.
Dependencias
Los datos y los servicios suelen ser los activos más importantes; pero dichos activos
dependen a su vez de otros activos más prosaicos como pueden ser los equipos, las
comunicaciones o las frecuentemente olvidadas personas que los utilizan. Esto es el
motivo de la aparición del concepto llamado “dependencias entre activos” o la medida
en que un activo superior se vería afectado por un incidente de seguridad en un activo
inferior.
Se dice que un “activo superior” depende de otro “activo inferior” cuando las
necesidades de seguridad del superior se reflejan en las necesidades de seguridad del
inferior. O, dicho en otras palabras, cuando la materialización de una amenaza en el
activo inferior tiene como consecuencia un perjuicio sobre el activo superior.
Aunque en cada caso hay que adaptarse a la Organización objeto del análisis, con
frecuencia se puede estructurar el conjunto de activos en capas, donde las capas
superiores dependen de las inferiores:
• capa 1: el entorno
o equipamiento y suministros: energía, climatización, comunicaciones
43
o personal: de dirección, de operación, de desarrollo, etc.
o otros: edificios, mobiliario, etc.
• capa 2: el sistema de información
o equipos informáticos (hardware)
o aplicaciones (software)
o comunicaciones
o soportes de información: discos, cintas, etc.
• capa 3: la información
o datos
o meta-datos: estructuras, índices, claves de cifra, etc.
• capa 4: las funciones de la Organización, que justifican la existencia del

sistema de información y le dan finalidad
o objetivos y misión
o bienes y servicios producidos
• capa 5: otros activos
o credibilidad o buena imagen
La importancia de garantizar la seguridad de las capas superiores hace necesario

comenzar la seguridad desde las capas inferiores para evitar un riesgo sobre las capas
superiores.
Valoración de activos
Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay
que intentar averiguar y proteger. El valor de un activo puede ser propio o acumulado.
Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de
los activos que se apoyan en ellos. Se dice que el valor nuclear suele estar en la
información (o datos) que el sistema maneja. Las dependencias entre activos permiten
relacionar los demás activos con datos y servicios.
En un árbol de dependencias, donde los activos superiores dependen de los inferiores, es

imprescindible valorar los activos superiores, los que son importantes por sí mismos.
44
Automáticamente este valor se acumula en los inferiores, lo que no es óbice para que
también puedan merecer, adicionalmente, su valoración propia.
La valoración es la determinación del coste que supondría salir de una incidencia que
destrozara el activo.
La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en
alguna escala de niveles). Los criterios más importantes a respetar son:
• la homogeneidad: es importante poder comparar valores aunque sean de

diferentes dimensiones a fin de poder combinar valores propios y valores
acumulados, así como poder determinar si es más grave el daño en una
dimensión o en otra,
• la relatividad: es importante poder relativizar el valor de un activo en

comparación con otros activos.
Todos estos criterios se satisfacen con valoraciones económicas (coste dinerario

requerido para “curar” el activo) y es frecuente la tentación de ponerle precio a todo. Si
se consigue, excelente. Incluso es fácil ponerle precio a los aspectos más tangibles
(equipamiento, horas de trabajo, etc.); pero al entrar en valoraciones más abstractas
(intangibles como la credibilidad de la Organización) la valoración económica exacta
puede ser escurridiza y motivo de agrias disputas entre expertos.
Dimensiones
De un activo puede interesar calibrar diferentes dimensiones4:
• Autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha

hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario)
y de los datos (autenticidad de quien accede a los datos para escribir o,
simplemente, consultar)
• Confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta

valoración es típica de datos.
4
Las dimensiones de la seguridad se encuentran explicadas en la Introducción.
45
• Integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta
valoración es típica de los datos, que pueden estar manipulados, ser total o
parcialmente falsos o, incluso, faltar datos.
• Disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta

valoración es típica de los servicios.
En sistemas dedicados a la administración electrónica o al comercio electrónico, el

conocimiento de los actores es fundamental para poder prestar el servicio correctamente
y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos
activos, además de la autenticidad, interesa calibrar la:
• la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le
presta tal servicio? O sea, ¿quién hace qué y cuándo?
• la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede
a qué datos y qué hace con ellos?
Casi todas las dimensiones mencionadas anteriormente permiten una valoración simple,
cualitativa o cuantitativa. Pero hay una excepción, la disponibilidad.
No es lo mismo interrumpir un servicio una hora o un día o un mes. Puede que una hora
de detención sea irrelevante, mientras que un día sin servicio causa un daño moderado;
pero un mes detenido suponga la terminación de la actividad. Por ello hay que saber
valorar que es lo que interesa evitar de forma que se ahorren esfuerzos (no sólo
económicos) para interrupciones de disponibilidad irrelevantes pasando directamente a
evaluar los relevantes.
Paso 2: Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo.
Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que
puede pasarle a nuestros activos y causar un daño.
Hay accidentes naturales (terremotos, inundaciones,...) y desastres industriales

(contaminación, fallos eléctricos,...) ante los cuales el sistema de información es víctima
pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay amenazas causadas
por las personas, bien errores, bien ataques intencionados.
46
No todas las amenazas afectan a todos los activos, sino que hay una cierta relación entre
el tipo de activo y lo que le podría ocurrir.
Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus

dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar
cuán vulnerable es el activo, en dos sentidos:
• Degradación: cuán perjudicado resultaría el activo
• Frecuencia: cada cuánto se materializa la amenaza
La degradación mide el daño causado por un incidente en el supuesto de que ocurriera.

La degradación se suele caracterizar como una fracción del valor del activo y así
aparecen expresiones como que un activo se ha visto “totalmente degradado”, o
“degradado en una pequeña fracción”. Cuando las amenazas no son intencionales,
probablemente baste conocer la fracción físicamente perjudicada de un activo para
calcular la pérdida proporcional de valor que se pierde. Pero cuando la amenaza es
intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede
causar muchísimo daño de forma selectiva.
La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede ser de
terribles consecuencias pero de muy improbable materialización; mientras que otra
amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar
acumulando un daño considerable.
La frecuencia se modela como una tasa anual de ocurrencia, siendo valores típicos
100 Muy frecuente A diario
10 Frecuente Mensualmente
1 Normal Una vez al año
1/10 Poco frecuente Cada varios años
47
Paso 4: Determinación del impacto
Se denomina impacto a la medida del daño sobre el activo derivado de la

materialización de una amenaza. Conociendo el valor de los activos (en varias
dimensiones) y la degradación que causan las amenazas, es directo derivar el impacto
que estas tendrían sobre el sistema. La única consideración que queda hacer es relativa a
las dependencias entre activos. Es frecuente que el valor del sistema de información se
centre en los servicios que presta y los datos que maneja, al tiempo que las amenazas
suelen materializarse en los medios.
Impacto acumulado
Es el calculado sobre un activo teniendo en cuenta
• su valor acumulado (el propio mas el acumulado de los activos que dependen
de él)
• las amenazas a que está expuesto.
El impacto acumulado se calcula para cada activo, por cada amenaza y en cada
dimensión de valoración, siendo una función del valor acumulado y de la degradación
causada.
El impacto es tanto mayor cuanto mayor es el valor propio o acumulado sobre un

activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema
de información, permite determinar las salvaguardas de que hay que dotar a los medios
de trabajo: protección de los equipos, copias de respaldo, etc.
Impacto repercutido
• su valor propio
• las amenazas a que están expuestos los activos de los que depende.
El impacto repercutido se calcula para cada activo, por cada amenaza y en cada
dimensión de valoración, siendo una función del valor propio y de la degradación
causada.
48
El impacto es tanto mayor cuanto mayor es el valor propio de un activo.
El impacto es tanto mayor cuanto mayor sea la degradación del activo atacado.
El impacto es tanto mayor cuanto mayor sea la dependencia del activo atacado.
El impacto repercutido, al calcularse sobre los activos que tienen valor propio, permite
determinar las consecuencias de las incidencias técnicas sobre la misión del sistema de
información. Es pues una presentación gerencial que ayuda a tomar una de las
decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de riesgo.
Agregación de valores de impacto
Los párrafos anteriores determinan el impacto que sobre un activo tendría una amenaza
en una cierta dimensión. Estos impactos singulares pueden agregarse bajo ciertas
condiciones:
• puede agregarse el impacto repercutido sobre diferentes activos,
• puede agregarse el impacto acumulado sobre activos que no sean dependientes

entre sí, ni dependan de ningún activo superior común,
• no debe agregarse el impacto acumulado sobre activos que no sean

independientes, pues ello supondría sobre ponderar el impacto al incluir varias
veces el valor acumulado de activos superiores,
• puede agregarse el impacto de diferentes amenazas sobre un mismo activo,

aunque conviene considerar en qué medida las diferentes amenazas son
independientes y pueden ser concurrentes,
• puede agregarse el impacto de una amenaza en diferentes dimensiones.
Paso 5: Determinación del riesgo
Se denomina riesgo5 a la medida del daño probable sobre un sistema. Conociendo el

impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener
en cuenta la frecuencia de ocurrencia.
El riesgo crece con el impacto y con la frecuencia.
5
El riesgo se encuentra definido de un modo más técnico en la introducción.
49
Riesgo acumulado
• el impacto acumulado sobre un activo debido a una amenaza y
• la frecuencia de la amenaza
El riesgo acumulado se calcula para cada activo, por cada amenaza y en cada dimensión
de valoración, siendo una función del valor acumulado, la degradación causada y la
frecuencia de la amenaza.
El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de
información, permite determinar las salvaguardas de que hay que dotar a los medios de
trabajo: protección de los equipos, copias de respaldo, etc.
Riesgo repercutido
• el impacto repercutido sobre un activo debido a una amenaza y
• la frecuencia de la amenaza
El riesgo repercutido se calcula para cada activo, por cada amenaza y en cada dimensión
de valoración, siendo una función del valor propio, la degradación causada y la
frecuencia de la amenaza.
El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite
determinar las consecuencias de las incidencias técnicas sobre la misión del sistema de
información. Es pues una presentación gerencial que ayuda a tomar una de las
decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de riesgo.
Agregación de riesgos
Los párrafos anteriores determinan el riesgo que sobre un activo tendría una amenaza en
una cierta dimensión. Estos riesgos singulares pueden agregarse bajo ciertas
condiciones:
• puede agregarse el riesgo repercutido sobre diferentes activos,
• puede agregarse el riesgo acumulado sobre activos que no sean dependientes

entre sí, ni dependan de ningún activo superior común,
50
• no debe agregarse el riesgo acumulado sobre activos que no sean
independientes, pues ello supondría sobre ponderar el riesgo al incluir varias
veces el valor acumulado de activos superiores,
• puede agregarse el riesgo de diferentes amenazas sobre un mismo activo, aunque

conviene considerar en qué medida las diferentes amenazas son independientes y
pueden ser concurrentes,
• puede agregarse el riesgo de una amenaza en diferentes dimensiones
Paso 3: Salvaguardas
En los pasos anteriores no se han tomado en consideración las salvaguardas

desplegadas. Se miden, por tanto, los impactos y riesgos a que estarían expuestos los
activos si no se protegieran en absoluto. En la práctica no es frecuente encontrar
sistemas desprotegidos: las medidas citadas indican lo que ocurriría si se retiraran las
salvaguardas presentes.
Se definen las salvaguardas o contra medidas como aquellos procedimientos o

mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjuran
simplemente organizándose adecuadamente, otras requieren elementos técnicos
(programas o equipos), otras necesitan seguridad física y, por último, está la política de
personal.
Las salvaguardas entran en el cálculo del riesgo de dos formas:
Reduciendo la frecuencia de las amenazas.
Llamadas salvaguardas preventivas. Una salvaguarda preventiva ideal mitiga

completamente la amenaza.
Limitando el daño causado.
Hay salvaguardas que directamente limitan la posible degradación, mientras que

otras permiten detectar inmediatamente el ataque para frenar que la degradación
avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación
del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la
amenaza se materializa; pero las consecuencias se limitan.
Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al

riesgo que pretenden conjurar.
51
Revisión del paso 4: Impacto residual
Si se han hecho todos los deberes a la perfección, el impacto residual debe ser
despreciable. Si hay deberes a medio hacer (normas imprecisas, procedimientos
incompletos, salvaguardas inadecuadas o insuficientes, o controles que no controlan)
entonces se dice que el sistema permanece sometido a un impacto residual.
El cálculo del impacto residual es sencillo. Como no han cambiado los activos, ni sus
dependencias, sino solamente la magnitud de la degradación, se repiten los cálculos de
impacto con este nuevo nivel de degradación.
La magnitud de la degradación tomando en cuenta la eficacia de las salvaguardas, es la

proporción que resta entre la eficacia perfecta y la eficacia real.
El impacto residual puede calcularse acumulado sobre los activos inferiores, o

repercutido sobre los activos superiores.
6
Dicha figura ya ha sido expuesta anteriormente, por ello la numeración corresponde con la primera vez
que apareció.
52
Revisión del paso 5: Riesgo residual
Si se han hecho todos los deberes a la perfección, el riesgo residual debe ser
despreciable. Si hay deberes a medio hacer (normas imprecisas, procedimientos
incompletos, salvaguardas inadecuadas o insuficientes, o controles que no controlan)
entonces se dice que el sistema permanece sometido a un riesgo residual.
El cálculo del riesgo residual es sencillo. Como no han cambiado los activos, ni sus
dependencias, sino solamente la magnitud de la degradación y la frecuencia de las
amenazas, se repiten los cálculos de riesgo usando el impacto residual y la nueva tasa de
ocurrencia.
La magnitud de la degradación se toma en consideración en el cálculo del impacto

residual. La magnitud de la frecuencia tomando en cuenta la eficacia de las
salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia real.
El riesgo residual puede calcularse acumulado sobre los activos inferiores, o repercutido
sobre los activos superiores.
Figura 5.Submodelo de Procesos visto desde el Submodelo de elementos
Con el dibujo mostrado arriba se pretende ilustrar la relación entre los diversos pasos.
La parte puesta en rojo es aquella que se realiza al añadir las salvaguardas precisas, las
cuales se deciden en la gestión de riesgos que se explica a continuación.
53
Gestión de Riesgos
El análisis de riesgos determina impactos y riesgos. Los impactos recogen daños

absolutos, independientemente de que sea más o menos probable que se dé la
circunstancia. En cambio el riesgo pondera la probabilidad de que ocurra. El impacto
refleja el daño posible, mientras que el riesgo refleja el daño probable.
Si el impacto y el riesgo residuales son despreciables, se ha terminado. Si no, hay que

hacer algo.
La interpretación de los valores de impacto y riesgo residuales
Impacto y riesgo residual son una medida del estado presente, entre la inseguridad
potencial (sin salvaguarda alguna) y las medidas adecuadas que reducen impacto y
riesgo a valores despreciables. Son pues una métrica de carencias.
Los párrafos siguientes se refieren conjuntamente a impacto y riesgo.
Si el valor residual es igual al valor potencial, las salvaguardas existentes no valen para
nada, típicamente no porque no haya nada hecho, sino porque hay elementos
fundamentales sin hacer.
Si el valor residual es despreciable, ya está. Esto no quiere decir descuidar la guardia;

pero si afrontar el día con cierta confianza.
Mientras el valor residual sea más que despreciable, hay una cierta exposición.
Es importante entender que un valor residual es sólo un número. Para su correcta

interpretación debe venir acompañado de la relación de lo que se debería hacer y no se
ha hecho. Los responsables de la toma de decisiones deberán prestar cuidadosa atención
a esta relación de tareas pendientes, que se denomina Informe de Insuficiencias.
Selección de salvaguardas
Las amenazas hay que conjurarlas, por principio y mientras no se justifique lo contrario.
Hay que planificar el conjunto de salvaguardas pertinentes para atajar tanto el impacto
como el riesgo, reduciendo bien la degradación del activo (minimizando el daño), bien
reduciendo la frecuencia de la amenaza (minimizando sus oportunidades).
Toda amenaza debe ser conjurada profesionalmente, lo que quiere decir que hay que:
54
1. establecer una política de la Organización al respecto; o sea, unas directrices
generales de quién es responsable de cada cosa.
2. establecer una norma; o sea, unos objetivos a satisfacer para poder decir con
propiedad que la amenaza ha sido conjurada
3. establecer unos procedimientos; o sea, instrucciones paso a paso de qué hay que
hacer
4. desplegar salvaguardas técnicas que efectivamente se enfrenten a las amenazas

con capacidad para conjurarlas
5. desplegar controles que permitan saber que todo lo anterior está funcionando
según lo previsto
A este conjunto de elementos se le encasilla habitualmente bajo el nombre de Sistema

de Gestión de la Seguridad de la Información (SGSI), aunque se está gestionando tanto
como actuando.
El párrafo anterior puede llamar a engaño si el lector interpreta que hay que llevar a
cabo todos y cada uno de los puntos para cada amenaza. No. En la práctica lo dicho se
traduce en desarrollar una política, unas normas y unos procedimientos junto con el
despliegue de una serie de salvaguardas y controles y, ahora sí, verificar que todas y
cada una de las amenazas tienen una respuesta adecuada. Para ello existen las políticas
de seguridad desarrolladas por la Organización, que ayudan a establecer las
salvaguardas adecuadas.
Tipos de salvaguardas
Un sistema debe considerar prioritariamente las salvaguardas de tipo preventivo que

buscan que la amenaza no ocurra o su daño sea despreciable. Es decir, impedir
incidentes o ataques.
En la práctica, no todo es previsible, ni todo lo previsible es económicamente razonable

atajarlo en sus orígenes. Tanto para enfrentar lo desconocido como para protegerse de
aquello a lo que se permanece expuesto, es necesario disponer de elementos que
detecten el inicio de un incidente y permitan reaccionar con presteza impidiendo que se
convierta en un desastre.
Tanto las medidas preventivas como las de emergencia admiten una cierta degradación
de los activos por lo que habrá que disponer por último de medidas de recuperación que
55
devuelvan el valor perdido por los activos. Es de sentido común intentar actuar de forma
preventiva para que las cosas no puedan ocurrir o no puedan causar mucho daño; pero
no siempre es posible y hay que estar preparados para que ocurran. Lo que no debe ser
de ninguna manera es que un ataque pase inadvertido: hay que detectarlo, registrarlo y
reaccionar primero con un plan de emergencia (que pare y limite el incidente) y después
con un plan de continuidad y recuperación para regresar a donde se debe estar.
Hay que recordar que conviene llegar a un cierto equilibrio entre
• salvaguardas técnicas: en aplicaciones, equipos y comunicaciones
• salvaguardas físicas: protegiendo el entorno de trabajo de las personas y los

equipos
• medidas de organización: de prevención y gestión de las incidencias
• política de personal: que, a fin de cuentas, es el eslabón imprescindible y más

delicado: política de contratación, formación permanente, Organización de
reporte de incidencias, plan de reacción y medidas disciplinarias.
Una protección absoluta puede se imposibles por múltiples razones como son el coste,
las dificultad técnica, los límites legales, etc. Lo que no es aceptable es del
desconocimiento de una posible amenaza.
56
ACTIVO AMENAZA
frecuencia de
materialización
IMPACTO VULNERABILIDAD
RIESGO
reduce reduce
decisión
FUNCIÓN/SERVICIO
“curativo” “preventivo”
MECANISMOS DE
SALVAGUARDA
Figura 6. Relación entre los Componentes del Modelo MAGERIT
57
Fases de un análisis y gestión de riesgos
En el la Realización del análisis y gestión de riesgos se han expuesto de forma
conceptual los pasos a seguir en un análisis y gestión de riesgos. Ahora se van a explicar
los pasos formales a la hora de presentar dicho análisis1.
Un documento de análisis y gestión de riesgos ha de estar dividido en tres fases:
• Planificación.
• Análisis de riesgos.
• Gestión de riesgos.
Muchas veces la gestión de riesgos lleva consigo nuevos análisis de riesgos debidos a
las decisiones tomadas y los proyectos de seguridad surgidos.
P1: Planificación P2: Análisis de riesgos
P3: Gestión de Riesgos
Figura 7. Ciclo de vida de un Análisis y Gestión de riesgos2
Planificación
La planificación tiene como objetivo principal el marco general de referencia para todo
el proyecto.
Como objetivos complementarios se pueden identificar los siguientes:
• Motivar, concienciar e involucrar a la Dirección o Gerencia de la Organización.
1
Al usarse la metodología Magerit la forma de estructurar un documento de análisis y gestión de riesgos
sobre un sistema se expone en “Magerit Versión 2. Método – Parte 3 (Estructuración del proyecto)”. Lo
que se explica a continuación es un resumen de dicha parte de la documentación oficial que se puede
encontrar en el Ministerio de Administraciones Públicas.
2
MAGERIT Versión 2. Método. 3.2 Desarrollo del proyecto.
58
• Razonar la oportunidad de realizar un proyecto AGR.
• Afirmar y dar a conocer la voluntad de su realización por parte de la Dirección.
• Definir los objetivos y el dominio (ámbito) a abarcar en el proyecto.
• Crear las condiciones humanas y materiales para el buen desarrollo del proyecto.
Este proceso se desarrolla por medio de las siguientes actividades y tareas:
Actividad A1.1: Estudio de oportunidad
Se fundamenta la oportunidad de la realización, ahora, del proyecto AGR,

enmarcándolo en el desarrollo de las demás actividades de la Organización.
El resultado de esta actividad es el informe denominado “preliminar”.
Tareas:
Tarea T1.1.1: Determinar la oportunidad
Actividad A1.2: Determinación del alcance del proyecto
Se definen los objetivos finales del proyecto, su dominio y sus límites. Se realiza una
primera identificación del entorno y de las restricciones generales a considerar. Y por
último se estima el coste que va a suponer.
El resultado de esta actividad es un perfil de proyecto AGR.
Tareas:
Tarea T1.2.1: Objetivos y restricciones generales
Tarea T1.2.2: Determinación del dominio y límites
Tarea T1.2.3: Identificación del entorno
Tarea T1.2.4: Estimación de dimensiones y coste
Actividad A1.3: Planificación del proyecto
Se determina la carga de trabajo que supone la realización del proyecto. Se planifican

las entrevistas que se van a realizar para la recogida de información: quiénes van a ser
entrevistados.
Se elabora el plan de trabajo para la realización del proyecto.
59
En esta actividad se determinan los participantes y se estructuran los diferentes grupos y
comités para llevar a cabo el proyecto.
El resultado de esta actividad está constituido por:
• un plan de trabajo para el proyecto AGR
• procedimientos de gestión de la información generada
Tareas:
Tarea T1.3.1: Evaluar cargas y planificar entrevistas
Tarea T1.3.2: Organizar a los participantes
Actividad A1.4: Lanzamiento del proyecto
Se adaptan los cuestionarios para la recogida de información adaptándolos al proyecto

presente. Se eligen las técnicas principales de evaluación de riesgo a utilizar y se
asignan los recursos necesarios para el comienzo del proyecto. También se realiza una
campaña informativa de sensibilización a los afectados sobre las finalidades y
requerimientos de su participación.
El resultado de esta actividad está constituido por:
• los cuestionarios para las entrevistas
• el plan de entrevistas
• el catálogo de tipos de activos
• la relación de dimensiones de seguridad y
• los criterios de valoración
Tareas:
Tarea T1.4.1: Adaptar los cuestionarios
Tarea T1.4.2: Criterios de evaluación
Tarea T1.4.3: Recursos necesarios
Tarea T1.4.4: Sensibilización
60
Análisis de riesgos
Este proceso es el núcleo central de Magerit y su correcta aplicación condiciona la

validez y utilidad de todo el proyecto. La identificación y estimación de los activos y de
las posibles amenazas que les acechan representa una tarea compleja.
Este proceso tiene los siguientes objetivos:
• Levantar un modelo del valor del sistema, identificando y valorando los activos
relevantes.
• Levantar un mapa de riesgos del sistema, identificando y valorando las

amenazas sobre aquellos activos.
• Levantar un conocimiento de la situación actual de salvaguardas.
• Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto

potencial (sin salvaguardas), como el impacto residual (incluyendo el efecto de
las salvaguardas implementadas si se trata de un sistema actual, no de un sistema
previsto).
• Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin

salvaguardas), como el riesgo residual (incluyendo el efecto de las salvaguardas
implementadas si se trata de un sistema actual, no de un sistema previsto).
• Mostrar al comité director las áreas del sistema con mayor impacto y/o riesgo.
El punto de partida de este proceso es la documentación del anterior referente a los

objetivos del proyecto, los planes de entrevistas, la evaluación de cargas, la
composición y reglas de actuación del equipo de participantes, el plan de trabajo y el
informe de presentación del proyecto.
Este proceso se desarrolla mediante una serie de actividades y tareas.
Actividad 2.1: Caracterización de los activos
Esta actividad busca identificar los activos relevantes dentro del sistema a analizar,
caracterizándolos por el tipo de activo, identificando las relaciones entre los diferentes
activos, determinando en qué dimensiones de seguridad son importantes y valorando
esta importancia.
El resultado de esta actividad es el informe denominado “modelo de valor”.
61
Tareas:
Tarea T2.1.1: Identificación de los activos
Tarea T2.2.2: Dependencias entre activos
Tarea T2.3.3: Valoración de los activos
El objetivo de estas tareas es reconocer los activos que componen los procesos, y definir
las dependencias entre ellos. Así y a partir de la información recopilada en la actividad
anterior, esta actividad profundiza el estudio de los activos con vistas a obtener la
información necesaria para realizar las estimaciones de riesgo.
Actividad 2.2: Caracterización de las amenazas
Esta actividad busca identificar las amenazas relevantes sobre el sistema a analizar,
caracterizándolas por la frecuencia estimada de ocurrencia y la estimación de daño
(degradación) que causarían sobre los activos.
El resultado de esta actividad es el informe denominado “mapa de riesgos”.
Tareas:
Tarea T2.2.1: Identificación de las amenazas
Tarea T2.2.2: Valoración de las amenazas
Actividad 2.3: Caracterización de las salvaguardas
Esta actividad busca identificar las salvaguardas desplegadas en el sistema a analizar,

calificándolas por su eficacia frente a las amenazas que pretenden mitigar.
El resultado de esta actividad es el informe denominado “evaluación de salvaguardas”.
Tareas:
Tarea T2.3.1: Identificación de las salvaguardas existentes
Tarea T2.3.2: Valoración de las salvaguardas existentes
Actividad 2.4: Estimación del estado de riesgo
Esta actividad procesa todos los datos recopilados en las actividades anteriores para
• realizar un informe del estado de riesgo: estimación de impacto y riesgo
62
• realizar un informe de insuficiencias: deficiencias o debilidades en el sistema de
salvaguardas
Tareas:
Tarea T2.4.1: Estimación del impacto
Tarea T2.4.2: Estimación del riesgo
Tarea T2.4.3: Interpretación de los resultados
Documentación final
De esta fase se obtienen una serie de documentos que sirven para valorar el análisis
realizado. Dichos documentos son:
Modelo de valor. Informe que detalla los activos, sus dependencias, las
dimensiones en las que son valiosos y la estimación de su valor en cada dimensión.
Mapa de riesgos. Informe que detalla las amenazas significativas sobre cada activo,
caracterizándolas por su frecuencia de ocurrencia y por la degradación que causaría
su materialización sobre el activo.
Evaluación de salvaguardas. Informe que detalla las salvaguardas existentes

calificándolas en su eficacia para reducir el riesgo que afrontan.
Estado de riesgo. Informe que detalla para cada activo el impacto y el riesgo
residuales frente a cada amenaza.
Informe de insuficiencias. Informe que detalla las salvaguardas necesarias pero

ausentes o insuficientemente eficaces.
Gestión de riesgos
Se procesan los impactos y riesgos identificados en el proceso anterior, bien

asumiéndolos, bien afrontándolos. Para afrontar los riesgos que se consideren
inaceptables se llevará a cabo un plan de seguridad que corrija la situación actual. Un
plan de seguridad se materializa en una colección de programas de seguridad. Algunos
programas serán sencillos, mientras que otros alcanzarán suficiente nivel de
complejidad y coste como para que su ejecución se convierta en un proyecto
propiamente dicho. La serie de programas (y, en su caso, proyectos) se planifica en el
tiempo por medio del denominado Plan de Seguridad que ordena y organiza las
63
actuaciones encaminadas a llevar el estado de riesgo a un punto aceptable y aceptado
por la Dirección.
En la gestión de riesgos se toman una serie de decisiones entre las que destacan:
• Elegir una estrategia para mitigar el impacto y el riesgo.
• Determinar las salvaguardas oportunas para la decisión anterior.
• Determinar la calidad necesaria para dichas salvaguardas.
• Diseñar un plan de seguridad para llevar el impacto y el riesgo a niveles

aceptables.
• Llevar a cabo el plan de seguridad.
Este proceso se desarrolla por medio de las siguientes actividades y tareas:
Actividad A3.1: Toma de decisiones
En esta actividad se traducen las conclusiones técnicas del proceso P2 en decisiones de

actuación.
Tareas:
Tarea T3.1.1: Calificación de los riesgos
Actividad A3.2: Plan de seguridad
En esta actividad se traducen las decisiones de actuación en acciones concretas:

proyectos de mejora de la seguridad planificados en el tiempo.
Tareas:
Tarea T3.2.1: Programas de seguridad
Tarea T3.2.2: Plan de ejecución
Actividad A3.3: Ejecución del plan
Esta actividad recoge la serie de proyectos que materializan el plan de seguridad y que
se van realizando según dicho plan.
Tareas:
Tarea T3.3.*: Ejecución de cada programa de seguridad
64
Documentación final
La documentación final será el Plan de Seguridad proyectado en base al análisis de

riesgos realizado así como los informes descritos en Magerit.
En relación a la Gestión de Seguridad la Dirección de la Organización tiene mucho que

decir y ha de aprobar todos los proyectos de seguridad planteados en el plan de
seguridad.
65
Proceso P1: Planificación Actividad A1.3: Planificación del proyecto
Actividad A1.1: Estudio de oportunidad Tarea T1.3.1: Evaluar cargas y planificar entrevistas
Tarea T1.1.1: Determinar la oportunidad Tarea T1.3.2: Organizar a los participantes
Actividad A1.2: Determinación del alcance del proyecto Tarea T1.3.3: Planificar el trabajo
Tarea T1.2.1: Objetivos y restricciones generales Actividad A1.4: Lanzamiento del proyecto
Tarea T1.2.2: Determinación del dominio y límites Tarea T1.4.1: Adaptar los cuestionarios
Tarea T1.2.3: Identificación del entorno Tarea T1.4.2: Criterios de evaluación
Tarea T1.2.4: Estimación de dimensiones y coste Tarea T1.4.3: Recursos necesarios
Tarea T1.4.4: Sensibilización
Proceso P2: Análisis de riesgos
Actividad A2.1: Caracterización de los activos
Tarea T2.1.1: Identificación de los activos
Tarea T2.1.2: Dependencias entre activos
Tarea T2.1.3: Valoración de los activos
Actividad A2.2: Caracterización de las amenazas
Tarea T2.2.1: Identificación de las amenazas
Tarea T2.2.2: Valoración de las amenazas
Actividad A2.3: Caracterización de las salvaguardas
Tarea T2.3.1: Identificación de las salvaguardas existentes
Tarea T2.3.2: Valoración de las salvaguardas existentes
Actividad A2.4: Estimación del estado de riesgo
Tarea T2.4.1: Estimación del impacto
Tarea T2.4.2: Estimación del riesgo

Proceso P3: Gestión de riesgos
Tarea T2.4.3: Interpretación de los resultados
Tarea A3.1.1: Calificación de los riesgos
Figura 8. Ciclo de vida detallado de un Análisis y Gestión de riesgos
66
EAR
67
Introducción
EAR1 es una herramienta informática que soporta el análisis y gestión de riesgos de un
sistema de información siguiendo la metodología Magerit. Esta herramienta está basada
en otra herramienta denominada PILAR2 [MAGE05].
La diferencia entre EAR y PILAR es el público al que va destinado. Mientras que

PILAR es de uso exclusivo del Estado y las Instituciones pertenecientes al mismo; EAR
está destinada a empresas privadas y a todo aquel que desee adquirir la licencia de la
misma.
PILAR
PILAR es una herramienta desarrollada bajo la especificación del CNI3 para soportar el
análisis de riesgos de los sistemas de información siguiendo la metodología Magerit. En
el desarrollo de la herramienta se ha contado con la colaboración del CCN4,
estableciendo requisitos, y la Fábrica Nacional de Moneda y Timbre.
Especificaciones
Tanto PILAR como EAR están desarrolladas en Java, pudiéndose emplear sobre
cualquier plataforma que soporte este entorno de programación, sin depender de
licencias de productos de terceras partes. El resultado es una aplicación gráfica
monopuesto5 [MAGE05].
La herramienta soporta todas las fases del método Magerit:
• Caracterización de los activos: identificación, clasificación, dependencias y

valoración
1
Entorno de Análisis de Riesgos
2
Procedimiento Informático-Lógico para el Análisis de Riesgos
3
Centro Nacional de Inteligencia
4
Centro Criptológico Nacional
5
La aplicación se ha de instalar en un equipo de trabajo, siendo éste el único equipo desde el que se
puede acceder y trabajar con ella.
68
• Caracterización de las amenazas
• Evaluación de las salvaguardas
La herramienta incorpora los catálogos del "Catálogo de Elementos" de Magerit,

permitiendo una homogeneidad en los resultados del análisis:
• tipos de activos
• dimensiones de valoración
• criterios de valoración
• catálogo de amenazas
Para incorporar este catálogo, EAR (así como PILAR) diferencia entre el motor de
cálculo de riesgos y la biblioteca de elementos, que puede ser reemplazada para seguir
el paso de la evolución en el tiempo de los catálogos de elementos.
La herramienta evalúa el impacto y el riesgo, acumulado y repercutido, potencial y

residual, presentándolo de forma que permita el análisis de por qué se da cierto impacto
o cierto riesgo.
Las salvaguardas se califican por fases, permitiendo la incorporación a un mismo

modelo de diferentes situaciones temporales. Típicamente se puede incorporar el
resultado de los diferentes programas de seguridad a lo largo de la ejecución del plan de
seguridad, monitorizando la mejora del sistema.
Los resultados se presentan en varios formatos: informes RTF, gráficas y tablas para
incorporar a hojas de cálculo. De esta forma es posible elaborar diferentes tipos de
informes y presentaciones de los resultados.
Por último, la herramienta calcula calificaciones de seguridad siguiendo los epígrafes de

normas de iure o de facto de uso habitual. Cabe citarse:
• Criterios de Seguridad, normalización y conservación
• UNE-ISO/IEC 17799:2005: sistemas de gestión de la seguridad
• RD 994/1999: datos de carácter personal
Por último hay que destacar que EAR y PILAR incorporan tanto los modelos
cualitativos como cuantitativos, pudiendo alternarse entre uno y otro para extraer el
69
máximo beneficio de las posibilidades teóricas de cada uno de ellos. La versión de EAR
que se va a usar para realizar el AGR es EAR 3.0 BETA.
Análisis cualitativo
La herramienta permite un análisis cualitativo, de trazo grueso, utilizando escalas

simples para valorar activos, amenazas y salvaguardas [MAÑA06].
Un análisis cualitativo se recomienda como primer paso, antes de entrar en un análisis

detallado. Dicho análisis permite:
• Identificar los activos relevantes.
• Identificar las amenazas relevantes.
• Identificar las salvaguardas inexistentes.
• Determinar los activos críticos (sujetos a máximo riesgo).
En el caso práctico analizado se emplea este análisis.
Análisis cuantitativo
La herramienta permite un análisis cuantitativo, el cual permite [MAÑA06]:
• Detallar el valor económico de los daños causados por las amenazas sobre los
activos.
• Precisar la tasa esperada de ocurrencia (frecuencia).
• Precisar el grado de eficacia de las salvaguardas, sus coste de implantación y de

mantenimiento anual.
• Precisar la justificación de un gasto en seguridad como diferencia entre lo que

cuesta protegerse (más) y lo que se arriesga perder.
70
Presentación del AGR en EAR

Todas las funciones de EAR están explicadas mediante la ayuda contenida en la
herramienta, la cual se presenta en formato HTML. Así mismo las funciones
contempladas en EAR abarcan toda la metodología Magerit, siguiendo el proceso
descrito en la metodología.
La presentación que EAR muestra al usuario se basa en la forma en que Magerit divide
cada una de las etapas. Las partes principales de la herramienta son:
• D: Proyecto
• A: Análisis de Riesgos
• G: Gestión de Riesgos
• I: Informes
• E: Calificaciones d Seguridad
71
Figura 9. EAR. Pantalla principal.
La relación entre EAR y Magerit es completa. Una de las razones por las que se ha
empleado Magerit como metodología AGR ha sido la existencia de EAR como
herramienta informática que facilita el proceso AGR y la consecución de todos los hitos
marcados. Gracias a EAR el AGR es mucho más sencillo, dinámico y flexible;
pudiendo en todo momento volver a revisar un paso anterior sin tener que dar marcha
atrás, hacer el AGR de forma vertical y no horizontal (analizar una parte de los activos
con sus amenazas de forma independiente del resto de activos y posteriormente volver
atrás para analizar el resto de activos), ver los resultados de forma gráfica o mediante
indicadores6, etc.
6
En la ayuda contenida en la aplicación se pueden ver los distintos indicadores y su significado. La ayuda
permite ver esto y actúa de forma dinámica mediante páginas HTML que se cargan dependiendo de
donde se pida la ayuda y lo que se quiera ver.
72
Figura 10. EAR. Etapas de Magerit.
La parte referente a proyecto puede ser todo lo relacionado con el proceso de

planificación, mientras que los dos siguientes procesos están definidos en la herramienta
con el mismo nombre que en Magerit (A, G).
En los datos del proyecto se puede poner todo aquello referente a la gestión del proyecto
que se creo conveniente. Así por ejemplo se puede poner el nombre del proyecto, la
propietaria del mismo y/o del sistema de información analizado, la persona que lo lleva
a cabo, la versión en la que se encuentra, la fecha… o cualquier otro tipo de
información. El subconjunto de dimensiones a analizar se define (selecciona) en el
apartado D (Proyecto). Hay que recordar que Magerit define siete dimensiones
diferentes, las cuales se pueden tener en cuenta en el análisis o no.
73
Figura 11. EAR. Informes contemplados y calificaciones evaluadas:
Uno de los objetivos de Magerit es dar uniformidad a los informes presentados en un

AGR. EAR contempla esto, soportando la creación de todos los informes descritos en
Magerit. Los informes se obtienen desde el apartado llamado con el mismo nombre (I).
EAR soporta realizar el AGR frente a tres normas de calidad:
• ISO/IEC 17799:2005
• Criterios de seguridad, normalización y conservación
• Reglamento de medidas de seguridad
En el apartado criterios de valoración se puede ver en que medida se cumplen cada una
de las normas y donde hay que mejorar el sistema.
74
iMat
75
iMat Desarrollo y funcionamiento
La matriculación en una universidad es uno de los procesos más importantes por ser la
forma en que las universidades obtienen a sus clientes (alumnos). Por ello el sistema de
matriculación ha de ser rápido, dinámico y efectivo, sin obligar al alumno a hacer
grandes esfuerzos a la hora de matricularse.
En la Universidad Pontificia de Comillas los alumnos de primer y segundo ciclo

realizan su matriculación a través de la Web. Este sistema además de ser efectivo es una
muestra de la modernidad y dinamismo que la universidad pretende mostrar,
características que se encuentran dentro de la misión de la organización y, por lo tanto,
es importante lograr su conservación de forma efectiva.
Actualmente la Universidad Pontificia de Comillas posee 11000 alumnos, de los cuales

7500 son alumnos de primer y segundo ciclo, de los cuales, aproximadamente, 7000
realizan la matriculación por Internet. Por ello este sistema de información ha de
funcionar correctamente y asegurar su disponibilidad, confidencialidad e integridad en
todo momento.
Desarrollo y funcionamiento
iMat, Sistema de Matriculación de la Universidad Pontificia de Comillas, es un sistema
basado en una estructura de 3 capas: acceso a datos, lógica de negocio y presentación
claramente diferenciadas. La interfaz con el usuario se realiza mediante páginas Web
desarrolladas en ASP, la lógica de negocios se encuentra encapsulada en unos
componentes en COM+1 desarrollados con Visual Basic (VB) mientras que el acceso a
datos se realiza con otros componentes en COM+ que actúan contra una base de datos
SQL Server 2000. Por consiguiente, los componentes que acceden a los datos y que
tienen la lógica de negocio están en desarrollados VB 6.0, funcionando en COM+ de tal
forma que únicamente un usuario de dominio específico tiene acceso a los datos. Los 3
1
COM+ es un servidor de componentes de transacciones distribuidas, a grandes rasgos te permite
controlar que las transacciones funcionen (no se quede a medias una matrícula), optimiza los hilos de
ejecución y permite configurar en el mismo servidor cual es el usuario que, por ejemplo, levanta los
componentes. Algo que se suele utilizar para declarar en ese sitio cual es el usuario de NT que levanta el
componente y que es el que utilizará posteriormente los componentes de acceso a datos para hacer las
conexiones a la BD.
76
servidores Web IIS 6.0 que mantienen la Web de Comillas están balanceados por
hardware de tal forma que en función de la carga de uno u otro se le redirige al usuario
al que menos lo este.
La aplicación, iMat, solo está instalada en los servidores Web de la Universidad.
Cuando un usuario se conecta a la universidad, bien sea para realizar la matrícula,

conectarse al portal de recursos, SIFO, o navegar por la Web; el sistema de la
universidad almacena la dirección IP del usuario y su información (claves, contraseñas,
etc.), teniendo de esta forma control de lo que se hace en el sistema y quien lo hace.
Esta información es almacenada en un log.
La conexión a Internet es suministrada mediante dos fibras ópticas gestionadas por las
RedIRIS (como sucede en todas las universidades). Sin embargo, no se dispone de un
proveedor de servicios secundario. Por lo tanto existe un riesgo latente en el caso de que
la RedIRIS falle; hay una dependencia total en relación a este servicio. De todos modos,
hay que tener en cuenta que sin Internet la red interna sí que funcionaría correctamente,
siendo Internet lo que dejaría de funcionar.
Arquitectura en tres capas

La arquitectura de una aplicación es la vista conceptual de la estructura de esta. La
arquitectura en capas tiene como objetivo principal la separación de la lógica de
negocios con la lógica de diseño; un ejemplo básico de esto es separar la capa de datos
de la capa de presentación al usuario. La ventaja de separar en capas es que el
desarrollo del sistema se puede llevar a cabo en varios niveles y al realiza cambios en el
sistema sólo se ha de atacar el nivel requerido.
Al mismo tiempo, permite distribuir el trabajo de creación de una aplicación por

niveles, de este modo, cada grupo de trabajo está totalmente abstraído del resto de
niveles, simplemente es necesario conocer la relación que existe entre niveles.
En el diseño de sistemas informáticos, como es el caso de iMat, se suelen usar las

arquitecturas multinivel o programación por capas. En dichas arquitecturas a cada nivel
se le confía una misión simple, lo que permite el diseño de arquitecturas escalables (que
pueden ampliarse con facilidad en caso de que las necesidades aumenten).El diseño más
en boga actualmente es el diseño en tres niveles (o en tres capas). Este es el diseño
implantado en iMat.
77
Las capas que existen en iMat (y en todo sistema estructurado en tres capas) son:
1. Capa de presentación
2. Capa de negocio.
3. Capa de Datos.
La capa de presentación es la capa mostrada al usuario. Presenta el sistema al usuario,

le comunica la información, obteniendo también información del mismo. Para ello se ha
realizar un mínimo de proceso (realizando un filtrado previo para comprobar que no
hay errores de formato). Esta capa se comunica únicamente con la capa de negocio. En
el caso de iMat la presentación se realiza mediante páginas Web desarrolladas en ASP
que se encuentran almacenadas en el servidor de ficheros y son mostradas a los usuarios
desde los servidores Web. Como se ha comentado anteriormente, antes de comunicarse
con la capa de negocio, iMat realiza un filtrado para comprobar que no hay errores de
formato (como por ejemplo un DNI no válido, un teléfono incorrecto, etc.).
La capa de negocio o lógica de negocio es donde residen los programas que se

ejecutan, recibiendo las peticiones del usuario y enviando las respuestas tras el proceso.
Se denomina capa de negocio debido a que es aquí donde se establecen todas las reglas
que deben cumplirse. Esta capa se comunica con la capa de presentación, para recibir
las solicitudes y presentar los resultados, y con la capa de datos, para solicitar al gestor
de base de datos el almacenamiento o recuperación de datos de él. En iMat la lógica de
negocio se encuentra encapsulada en componentes COM+ desarrollados en VB 6.02,
que se encuentran en el servidor de ficheros, siendo donde se ejecutan para enviar la
información a la capa de presentación.
La capa de datos es la capa donde residen los datos. Está formada por uno o más
gestores de bases de datos que realizan todo el almacenamiento de datos, reciben
solicitudes de almacenamiento o recuperación de información desde la capa de negocio.
En UPCO3, el gestor de bases de datos es SQL Server 2000, habiendo una única base de
datos donde reside toda la información académica de la universidad y a la que acceden
todas aquellas aplicaciones que necesiten usar dicha información, incluyendo a iMat.
2
Visual Basic 6.0
3
UPCO, Universidad Pontificia de Comillas.
78
Todas estas capas pueden residir en un único ordenador, si bien lo más usual es que
haya una multitud de ordenadores donde reside la capa de presentación (clientes en una
arquitectura cliente/servidor). Las capas de negocio y de datos pueden residir en el
mismo ordenador, y si el crecimiento de las necesidades lo aconseja se pueden separar
en dos o mas ordenadores. Así, si el tamaño o complejidad de la base de datos aumenta,
se puede separar en varios ordenadores los cuales recibirán las peticiones del ordenador
en que resida la capa de negocio.
Figura 12. Arquitectura en tres capas
Si fuese la complejidad en la capa de negocio lo que obligase a la separación, esta capa

de negocio podría residir en uno o más ordenadores que realizarían solicitudes a una
única base de datos. En el caso de iMat la capa de presentación se encuentra en los tres
servidores Web IIS 6.0, la capa de negocio en el servidor de ficheros y la de datos en el
servidor de datos (donde reside la base de datos); existiendo un servidor de balanceo
para gestionar las conexiones con los clientes. Todo lo relativo a los servidores se
encuentra explicado más adelante.
En una arquitectura de tres niveles, los términos capas y niveles no significan lo mismo
ni son similares. El término capa hace referencia a la forma como una solución es
segmentada desde el punto de vista lógico (Presentación/ Lógica de Negocio/ Datos).
79
En cambio, el término nivel, corresponde a la forma en que las capas lógicas se

encuentran distribuidas de forma física.
Figura 13. Arquitectura en tres capas detallada4
En el caso de iMat la estructura del sistema es de tres capas y tres niveles.
Figura 14. Esquema en tres capas de UPCO5
4
http://www.lagash.com/mbi/framework.jpg
5
UPCO, Universidad Pontificia de Comillas
80
Funcionamiento
El sistema de Matriculación funciona, básicamente, del siguiente modo: en función del

alumno validado con su clave y contraseña se estudia su expediente y las normas que
establecen al respecto cada facultad o escuela, una vez comparado su expediente contra
estas normas al alumno se le categoriza de tal forma que lleva implícita la oferta de
asignaturas de la que puede matricularse. Una vez presentada la oferta de asignaturas, el
alumno podrá seleccionar de entre ellas las que considere y se le comprueba que está
dentro de los intervalos de créditos establecidos.
Si lo vemos desde el punto de vista del hardware, el alumno se valida y es aceptado por
el servidor de balanceo, una vez comprobada la validación comparando la información
con la base de datos. Al ser aceptado el servidor de balanceo le reenvía al servidor Web
que considera mejor en ese momento. Una vez en el servidor Web el alumno solicita la
información que desea, si esa información es de la universidad se busca en el servidor
de ficheros y se devuelve al usuario (que está en un servidor Web); si la información no
es de la universidad, se busca en Internet (protegido por el firewall) y se muestra al
alumno pasando por el servidor de balanceo y Web. En el caso de iMat las páginas ASP
se buscan en el servidor de ficheros y la información en la base de datos (servidor de
datos).
iMat tiene su grado máximo de utilización en los meses de septiembre y octubre,

cuando se realizan más matrículas. En estos meses pueden llegar a alcanzarse hasta
1000 accesos en un mismo día. Existe una demanda potencial al año de 7500 alumnos
que pueden usar dicha aplicación, siendo usada por aproximadamente 7000 de ellos.
Comillas posee 11000 alumnos de los cuales 7500 son de primer y segundo ciclos, que
son los clientes potenciales de iMat. El resto pertenecen a doctorados o postgrados.
81
iMat Servidores
Servidores
iMat se ayuda de tres servidores balanceados para desempeñar sus funciones. Los tres
servidores Web IIS 6.0 que mantienen la Web de Comillas están balanceados por
hardware (mediante un servidor de balanceo) de tal forma que en función de la carga de
uno u otro se redirige al usuario al servidor que menos cargado se encuentre. Dichos
servidores no se usan en exclusiva para iMat sino para la Web en general, y en
consecuencia para iMat entre otras muchas aplicaciones. Cada servidor Web es capaz de
soportar 20000 conexiones.
La información se encuentra en el servidor de Base de Datos de Producción, en un

único sitio y en consecuencia a esa base de datos acceden otras aplicaciones, como por
ejemplo la aplicación de gestión académica (utilizada en Secretaria General) que
accede a la misma información. Por este motivo no es necesario para la secretaria
general saber la clave de los alumnos para acceder a los datos de los mismos. Para
acceder a la información de los alumnos se ayudan de buscadores capaces de acceder a
los datos mediante el nombre, DNI, apellidos,... carreras,... etc. Una vez seleccionado al
alumno, acceden a toda su información académica, incluyendo su matrícula.
Agrupando los servidores se puede decir que hay:
- Un servidor de balanceo, para distribuir la carga de trabajo entre los

servidores de presentación.
- Tres servidores de presentación (Web), para presentar la información

solicitada por los usuarios en páginas ASP.
- Un servidor de datos, para gestionar la información manejada por el sistema.
- Un servidor de ficheros, donde se encuentran algunas aplicaciones instaladas

y que se comunica con los servidores de Web para dar información que se
presentará más tarde. En este servidor es donde se encuentra, entre otras
aplicaciones, iMat instalada y funcionando. Las páginas Web que se cargan
en los servidores de presentación se encuentran almacenadas en el servidor
de ficheros. Este servidor es el que lleva la lógica de negocio.
82
iMat Servidores
Seguridad y localización
Los servidores se encuentran en la sede de Alberto Aguilera 23, 3ª planta, en una

habitación especial con acceso autorizado exclusivamente por tarjeta. La tarjeta de
acceso solamente la posee el personal autorizado. Dicha habitación cuenta con un
sistema antiincendios; está protegida mediante alarma y se mantiene a una temperatura
especial. El tamaño de dicha habitación es de aproximadamente 12 m2.
El servidor de datos y el de componentes se sitúan detrás de un firewall, así como el

acceso a los datos se hace a través del usuario que levanta, que esta configurado en
COM+ para evitar información incoherente en caso de que el usuario se caiga del
sistema. Por este motivo únicamente un usuario de dominio específico1 tiene acceso a
los datos.
El modelo de tres capas deja ver que el servidor que gestiona la carga de trabajo y
balancea el resto de servidores es un elemento crítico en el sistema. A su vez el servidor
de datos no posee un soporte de seguridad inmediato. En relación a la información
almacenada en el servidor de datos se realiza una copia de seguridad cada 5 minutos a
otro servidor localizado en Alberto Aguilera 25 (AA25). A su vez cada hora se realiza
un Back-up de seguridad.
En caso de error en el servidor de datos, el servidor de datos “secundario” situado en

AA25 no se suele utilizar por tener que iniciarse el cambio de servidor de forma
manual. Se considera menos costoso perder unas horas en arreglar el principal y volver
a ponerlo en funcionamiento que cambiar de servidor. Si se diese el caso lo máximo que
se puede perder son 5 minutos de información, ya que es el periodo transcurrido entre
cada volcado al servidor secundario.
Como ya se ha comentado, cada servidor Web pueden tener hasta 20000 conexiones a la
vez. En total se pueden servir a 60000 conexiones en el mismo instante. Esa es la
frontera que posee el sistema de Comillas (no iMat). Esta barrera está considerada como
inalcanzable. Sin embargo en el caso teórico que se alcanzase no hay ningún
procedimiento, mecanismo, etc. que corte las conexiones entrantes.
1
Por usuario de dominio específico se entiende que sólo puede haber un usuario con la misma clave
conectado al sistema a la vez. La clave de una alumno es lo que vulgarmente se entiende como usuario;
en el caso de la universidad esa clave es el número de alumno.
83
iMat Servidores
Especificaciones de los equipos:
Caja fuerte.
LAMPERTZ DIS-DATASAFE S, modelo S120DIS
Servidor de base de datos. Dell PowerEdge 2850.
Doble procesador Xeon.
Doble fuente alimentación.
2GB RAM.
Discos sistema RAID1.
Discos de datos RAID 1+0.
Conexiones Gbit.
Servidores Web. Dell Optiblex GX280.
Pentium 4 HT.
2GB RAM.
Conexiones Gbit.
Firewall. Dell Poweredge 1750.
Pentium4 HT,
1GB RAM.
Conexiones Gbit.
Servidor paginas Web. (Servidor de ficheros). Dell Powervault 770F.
Doble procesador Xeon.
Doble fuente alimentación.
2GB RAM.
Discos sistema RAID1
Discos de datos RAID5
Conexiones Gbit.
84
iMat Servidores
Balanceador de carga. Alteon AD3.
8 puerto 10/100 + 1 puerto 1000 SX (Fibra)
Servidor replicación base de datos. Inves Pentium 4 HT.
2 GB RAM.
Disco sistema.
Disco datos
85
iMat Datos/Información
Datos / Información
Como se ha explicado anteriormente, la información académica que se maneja es la
misma para todas las aplicaciones de la universidad, obteniendo la información del
mismo servidor de datos. El servicio responsable de la gestión y mantenimiento de los
datos es el servicio de Gestión Académica (Secretaria General). Dicho servicio tiene
acceso a toda la información. Por lo tanto el sistema de matriculación (iMat) no es el
responsable de mantener la información, simplemente se encarga de obtener la necesaria
para cada usuario y gestiona las partes implicadas en la matriculación.
A la hora de hacer la matrícula, cada alumno ha de realizar la suya propia, pudiendo

llegar a modificarla, sin intervención del servicio de Gestión Académica, en tres
ocasiones. Si necesita o quiere modificarlo más veces debe solicitarlo en Gestión
Académica que le concederá o negará el permiso. Para poder conceder o denegar el
permiso es necesario logarse con un usuario de SG que tenga acceso a dicho privilegio
(no todos los usuarios de SG tienen este permiso). Lógicamente los usuarios con
permiso para modificar la información de los alumnos pueden modificar y acceder a la
información de las matrículas (o a cualquier otra información) las veces que quieran.
Es importante saber distinguir entre el servicio de Gestión Académica y el Servicio de

Matriculación. Ambos están estrechamente relacionados, pero cada uno tiene un campo
de acción definido con respecto a los datos (información). El sistema de matriculación,
iMat, lo único (aunque muy importante) que hace es cargar información sobre as
matrículas de los alumnos y gestionar éstas, pero otra cosa es la gestión o visualización
que se haga de los datos desde otros sistemas (con otros usuarios). En el momento en
que el usuario que accede a la matrícula (de forma legal y admitida por el sistema) no es
el alumno al que pertenece, es porque el acceso se hace con un usuario, del servicio de
Gestión Académica normalmente, siendo este sistema el que está usando los datos (no
iMat). iMat se encarga del proceso de matriculación del alumno, pero en ningún
momento de los datos del mismo. Los únicos datos modificados por iMat son los
relativos a la matrícula del alumno que ha accedido al sistema de matriculación.
Ya se ha especificado anteriormente que la autenticación se realiza mediante usuario

(número de alumno) y contraseña. A su vez, mediante componentes COM+, se verifica
que cada usuario sólo pueda tener levantada una sesión al mismo tiempo. Estos
componentes COM+ se encuentran situados en la capa de negocio.
86
iMat Datos/Información
Para acortar el alcance del sistema a analizar se va a tener en cuenta el acceso hecho por
los alumnos y los becarios. En relación a SG, sólo se va a tener en cuenta lo relacionado
con la matriculación (permisos de modificación).
87
iMat Seguridad de la Información
Seguridad de la información
Con relación a la seguridad de la información se realiza un backup diario del servidor
de Base de Datos, donde se encuentra dicha información. Este Backup se hace en
cintas. Para el último mes (es más reciente) se guardan las cintas de todos los días. El
resto de los meses poseen un Backup mensual. Para mayor seguridad también se realiza
un Backup trimestral y anual. En resumen:
• Realización de un Backup diario en cintas.
• Almacenamiento diario de los backups del último mes.
• Almacenamiento de la información del resto de los meses (en tres cintas).
• Almacenamiento de la información trimestral (en cuatro cintas).
• Almacenamiento de la información anual (en tres cintas).
Estos backups, realizados en cintas, se guardan en una caja de seguridad especial,

antimagnética y antiincendios. La llave de seguridad de dicha caja sólo a posee el
personal autorizado.
El servidor de datos cuenta con un servidor de back-up situado en Alberto Aguilera

25. Cada cinco minutos se realiza una copia entera del servidor al servidor de back-up
para, en caso de error en el servidor de datos, no perder la información. Como mucho se
pueden perder cinco minutos.
iMat está programado en VB 6.0 y se almacenan copias de seguridad de versiones

anteriores mediante Microsoft Visual Sourcesafe. Este programa permite volver e
versiones anteriores de programa o código en caso de fallo en la versión actual. Se han
hecho algunas pruebas para comprobar que esta regresión es posible aunque en
momentos excepcionales, sin llegar a establecer un método formal para pruebas de
regresión.
En lo referente al acceso a iMat, la conexión se realiza mediante HTTPS, iniciándose

con un proceso de validación en el que se pide el usuario y su contraseña. La
información se envía a los servidores de forma cifrada y mediante componentes COM+
para garantizar su integridad.
Si la conexión se realiza dentro desde un ordenador de la universidad, no se sale de la

Intranet de la organización (conexión más rápida y segura). Si por el contrario se realiza
88
iMat Seguridad de la Información
desde otra localización, la conexión usa Internet para enviar los datos. Para garantizar la
disponibilidad de la información y que se pueda siempre realizar esta conexión, la
universidad dispone de una conexión de fibra óptica suministrada por la RedIRIS. Esta
conexión posee una conexión de back-up que actúa de modo redundante por si falla la
otra conexión. En caso de que la universidad se quedase sin conexión a Internet, los
alumnos que lo sufrirían serían únicamente los que se quisiesen matricular desde casa.
Si se quiere matricular desde la universidad sería posible por estar usando sólo la
Intranet. Por ello es importante saber que el número de alumnos que realizan su
matrícula en lugares diferentes a la universidad está aumentando año a año por la
comodidad que supone, por lo que garantizar Internet es algo fundamental hoy en día.
89
iMat Aplicaciones asociadas a iMat
Aplicaciones asociadas a iMat

Además de lo que se ha definido como iMat, existen aplicaciones que también influyen
en el servicio de matriculación de la universidad y ayudan a un mejor funcionamiento
del mismo.
iMatBecarios es una aplicación usada por el personal de apoyo durante el periodo de

matrículas (alumnos que son contratados con éste propósito). Dicha aplicación permite
imprimir las matrículas de los alumnos y agilizar el proceso de presentación en
Secretaría General (SG).
Durante el periodo de matriculación existe otra aplicación usada únicamente por

personal autorizado (directores de departamento, decanos,...) que les da la posibilidad de
consultar en tiempo real el grado de ocupación de los grupos de las asignaturas de libre
elección, para saber si tienen que abrir más grupos o no van a cubrir los esperados.
Por último aunque existe una aplicación que permite a los jefes de estudio simular la
matricula de alumnos ficticios con casuísticas diferentes para saber si están todos los
casos de estudios estudiados. Por ejemplo: alumnos que no superan los créditos exigidos
para pasar de curso, alumnos que cogen más créditos de los permitidos, etc.
El alcance del análisis y gestión de riesgos abarcará iMat, iMat becarios y los datos
manejados por el resto de aplicaciones asociadas. En ningún caso abarcará los centros
de trabajo del personal de la universidad (despachos de directores, salas de ordenadores
de la universidad, etc.). Los únicos ordenadores a tener en cuenta serán los usados por
los becarios.
Interfaz de iMat con el usuario

Para la realización de las matrículas los alumnos interactúan con iMat a través de
páginas ASP (capa de presentación). Para que la conexión sea segura y no se quede
información incompleta, dichas páginas están encapsuladas en componentes COM+ que
evitan información corrupta o incompleta. Los pasos seguidos por el alumno a la hora
de realizar la matrícula comienzan mediante una validación (clave-contraseña) que se
envía al servidor encapsulada y cifrada para evitar su pérdida o posibles escuchas.
90
iMat Interfaz con el usuario
Figura 15. iMat, Validación.
Una vez se ha comprobado la autenticidad y validez del usuario (alumno) se comprueba

la carrera que está haciendo para mostrar en pantalla una respuesta positiva a la
validación.
Figura 16. iMat, Validación aceptada.
91
Se comprueban los datos que se han de cargar para la matriculación del alumno
(asignaturas de próximo curso, asignaturas pendientes, itinerarios, etc.), así como las
reglas y restricciones existentes (máximo número de créditos permitidos, selección de
un solo itinerario, restricción de asignaturas por no haber cursado algunas previas, etc.).
Todas estas restricciones se le muestran al alumno para facilitarle la matriculación.
Figura 17. iMat, información del plan de estudios de la carrera.
Figura 18.iMat, información para el alumno en relación a las restricciones.
92
El siguiente paso es el núcleo central para el alumno: la selección de las asignaturas.

Una vez el alumno ha decidido las asignaturas y pulsado el botón para pasar a la
siguiente fase, iMat ha de comprobar que todas las reglas se cumplen.
Figura 19. iMat, Selección de asignaturas por parte del alumno.
Figura 20. iMat, Presentación por parte de iMat de las asignaturas seleccionadas.
93
A continuación se le piden al alumno unos datos para completar la matrícula. Hay que
recordar que hasta la última pantalla, donde se dice claramente que la matrícula ha sido
aceptada, no termina el proceso de matriculación y, por consiguiente, la matrícula no es
válida hasta ese momento.
Figura 21. iMat, solicitud de información adicional.
94
Figura 22. iMat, Presentación final de la matrícula.
Figura 23. iMat, matrícula aceptada.
95
iMat Posibles daños en el sistema
Posibles riesgos
iMat es considerado un subsistema seguro dentro del sistema de información de la
universidad. Los riesgos descritos a continuación son los considerados por el personal
de STIC, encargado de gestionar y administrar iMat, antes de realizar el AGR sobre el
sistema.
Aunque lograr que iMat no funcionase correctamente sería tremendamente difícil,

podría darse el caso que no todos los posibles escenarios estuviesen cubiertos o tenidos
en consideración. Ese es el objetivo del análisis y gestión de riesgos, lograr que el
sistema sea todo lo seguro que la organización esté dispuesta a asumir (en relación a los
costes que esto supondría). A ser un ejemplo teórico se va a considerar que se busca la
lograr que el sistema sea lo más seguro posible, en términos teóricos.
Un posible mal funcionamiento del sistema provocaría que los alumnos no pudiesen
matricularse, con el descontento que esto provocaría. Ese descontento se traduciría en
pérdida de clientes y beneficios para la universidad y, lo que es más importante a largo
plazo, una pérdida de imagen enorme.
Algunos errores tipo de errores podrían darse a la hora de calcular el precio de la

matrícula o al presentar la oferta de asignaturas, si esto no fuese correcto podrían darse
casos de matrículas incorrectas e inválidas que el sistema aceptaría, el alumno realizaría
pero la universidad rechazaría.
Los fallos que se consideran en STIC que pueden llegar a darse son los que tienen que
ver con la presentación de las páginas presentadas. Puede que algún campo no esté
controlado, que no se hayan “capado” los valores que provocarían errores (ej. DNI
demasiado largo). Es importante recordar que iMat también controla el nivel de
ocupación de los grupos de asignaturas optativas y de libre elección para decidir si se
presentan o no. Si se presentasen asignaturas que estuvieran llenas o que no fuesen
válidas podrían darse casos de matrículas inválidas.
Otro tipo de errores podrían darse en los equipos, provocados por un estudio
insuficiente de la dimensión del sistema y los equipos necesarios para su correcto
funcionamiento, por un accidente en las instalaciones o por un error en los equipos.
La conexión a Internet es suministrada mediante dos fibras ópticas gestionadas por las
RedIRIS (como a todas las universidades). No se dispone de un proveedor secundario.
96
iMat Posibles daños en el sistema
Por lo tanto hay un riesgo latente en el caso de que la RedIRIS falle, hay una
dependencia total en relación a este servicio. Hay que tener en cuenta que sin Internet la
red interna (Intranet) sí que funcionaría correctamente.
Todos los posibles riesgos han de ser estudiados en un Análisis y Gestión de Riesgos,
siendo el propósito del siguiente capítulo.
97
Análisis y Gestión de Riesgos en iMat
98
Análisis y Gestión de Riesgos en iMat Planificación
Estudio de oportunidad
El objetivo de este análisis y gestión de riesgos es plasmar mediante un ejemplo la

forma en la que se ha de realizar un AGR. El sistema de información a analizar es iMat,
explicado en el capítulo anterior. En cada una de las actividades y tareas a realizar se va
a explicar en qué consiste, qué se ha de alcanzar y cómo hacerlo. EAR es la herramienta
informática que se va a usar para llevar a cabo el AGR siguiendo la metodología
Magerit.
P1: Planificación
A1.1: Estudio de oportunidad
El objetivo de esta actividad es lograr sensibilizar a la Dirección de la Organización de

la necesidad de elaborar un proyecto AGR.
T1.1.1: Determinar la oportunidad
Objetivo
Identificar o suscitar el interés de la Dirección de la Organización en la

realización de un proyecto AGR.
Esta tarea suele realizarse mediante entrevistas y reuniones con la directiva de la

Organización para, de este modo, hacer ver la necesidad de la seguridad y los
problemas que pueden derivar por no tener un sistema de seguridad correcto. La
dirección suele comprender las ventajas que reportan los sistemas de información
(tanto para la imagen de la Organización como para la comodidad en el desempeño de
las actividades) [MAGE05].
La iniciativa ha de partir de un promotor, interno o externo a la Organización,

consciente de los problemas relacionados con la seguridad de los sistemas de
información. Dicho promotor ha de elaborar un informa preliminar para lograr el visto
bueno de la dirección [MAGE05].
Promotor del proyecto: Eduardo Ferrero Recaséns
Informe preliminar
99
El sistema de matriculación, iMat, de la Universidad Pontificia de Comillas

(Organización) es el medio por el cual se realizan las matrículas en la universidad. El
método alternativo es realizar la matricula en Secretaria General de forma manual;
método lento, con mayor posibilidad a fallos y que supone un coste de tiempo y
personal grande para la universidad en periodos de matriculación.
El servicio facilita la realización y modificación de la matrícula a través de la intranet

de la universidad o desde cualquier otro lugar. Sólo se necesita tener un ordenador
con acceso a Internet e introducir el usuario y la contraseña necesaria para acceder a
la información académica del alumno y hacer la matrícula. Dependiendo del alumno
las posibilidades que se le ofrecen varían, incluyendo el número de créditos que de
los que puede matricularse, las asignaturas que puede cursar, etc.
Si en algún momento iMat o los datos necesarios fallan, la matriculación de todos los
alumnos puede llegar a ser caótica, principalmente si esto pasa en verano (de junio a
septiembre), octubre o febrero, donde el número de matrículas a realizar puede llegar
a ascender hasta un número máximo potencial de 7500. La única alternativa posible
sería encargar al personal de Secretaria (Gestión Académica) la realización de las
matrículas manualmente ayudándose de personal temporal que habría que contratar
para este servicio. Los gastos derivados en tiempo perdido por el personal que
desviaría su actividad principal a este propósito, así las pérdidas económicas por
pérdidas de futuros alumnos y lo que puede llegar a ser más importante: el daño de
imagen que causaría a la universidad (no hay que olvidar que una universidad se
alimenta del prestigio que posee de cara a la sociedad). Hasta la fecha los únicos
momentos críticos que se recuerdan son fallos puntuales de los servidores Web, pero
nunca se pueden descartar los riesgos potenciales.
Cabe destacar que durante los meses de septiembre y octubre, meses críticos para
iMat, pueden llegar a producirse 1000 accesos diarios a iMat (creación, modificación
y/o visualización de matrículas). Anualmente se realizan aproximadamente 7000
matrículas usando iMat sobre las 7500 potenciales. Comillas posee 11000 alumnos
aproximadamente, de los cuales 7500 son de primer o segundo ciclo y el resto
pertenecen a postgrado o doctorado. Estos últimos no usan iMat.
Del mismo modo existen aplicaciones como iMatBecarios o aplicaciones especiales
100
para personal autorizado (directores, decanos, etc.) que se apoyan en los servicios de
iMat para crear funciones especiales. Por ejemplo iMatBecarios es la aplicación
usada por los becarios, en los periodos de matriculación, que les permite visualizar
las matrículas de los alumnos para imprimirla y agilizar el proceso de presentación en
Secretaria General (SG). Los directores de departamentos pueden usar una aplicación
que les permite ver las asignaturas de libre elección en tiempo real para ver su grado
de ocupación y poder gestionar dichas asignaturas de forma mejor.
Por todo ello se considera la necesidad de llevar a cabo un análisis y gestión de

riesgos sobre iMat y los datos que maneja para reducir los posibles riesgos al mínimo
así como ayudar a saber que hacer en caso de fallo, solventando dicho fallo en el
menor tiempo posible.
Comité de seguimiento1
Director del proyecto (Isdefe2 - Departamento de Seguridad):
Ramón Arias Ruiz de Somavia (rarias@isdefe.es)
Promotor y analista:
Eduardo Ferrero Recaséns (eduardo.ferrero.recasens@gmail.com)
Subdirector de STIC3; y Coordinador del grupo de trabajo de la Web de

Comillas:
José María Ortiz Lozano (jmortiz@stic.upcomillas.es)
1
En este caso el comité está formado por las personas que han colaborado de forma activa en el proyecto.
Es un comité informal que para el ejemplo se considera válido, aunque en la práctica habría que
establecer formalmente a los participantes en el proyecto y sus responsabilidades.
2
Isdefe (Ingeniería de Sistemas para la Defensa de España, S.A.). Empresa pública española creada en el
año 1985 con objeto de proporcionar apoyo técnico de ingeniería y servicios de consultoría en tecnologías
avanzadas, tanto en el sector de defensa como en el ámbito civil. (http://www.isdefe.es)
3
STIC: Servicio de Sistemas y Tecnologías de la Información y Comunicación de la Universidad
Pontificia de Comillas.
101
102
Determinación del alcance del proyecto
A1.2: Determinación del alcance del proyecto
A la hora de hacer un proyecto de análisis y gestión de riesgos se han de definir de

forma concreta los límites del dominio que se va a estudiar. Tener los conceptos de
dominio correctamente definidos es primordial para lograr alcanzar unos resultados
finales correctos y que se ajusten a la realidad [MAGE05].
Querer abarcar un sistema de información demasiado amplio puede dar lugar a olvidos
en el análisis, así como a no llegar a profundizar todo lo que se debe. Por ello se
recomienda analizar sistemas acotados y bien definidos. Es conveniente realizar
análisis de sistemas de información concretos y, posteriormente, unirlos para tener un
análisis completo del sistema que intentar abarcar todo de una sola vez [MAGE05].
En el ejemplo a tratar el sistema de información, iMat, pertenece a su vez a un sistema

mucho mayor como es el de la Universidad Pontificia de Comillas. Sin embargo el
análisis sólo se centra en el dominio que se refiere a iMat por la razón expuesta
anteriormente.
iMat se encuentra definida y explicada en la parte del proyecto llamado con el mismo
nombre. El alcance que se le va a dar al proyecto se centra en iMat y la aplicación usada
por los becarios para la impresión de matrículas en periodo de matriculación
(iMatBecarios).
También se van a tener en cuenta los servidores (Web, de balanceo, de datos, etc.), el
entorno que les rodea y la información que manejan. No hay que olvidar que lo que se
pretende es lograr un sistema seguro en el que los riegos estén identificados y
controlados. En última instancia se pretende proteger la imagen de la Universidad de
cara al público. Un fallo en iMat podría suponer una pérdida de imagen y prestigio muy
dura, que llevaría consigo unas pérdidas económicas elevadas, pérdidas de futuros
alumnos, tiempo del personal, etc.
No se van a tener en cuenta los ordenadores personales instalados en las aulas de

informática por considerarse que no están pensados para este propósito. La
matriculación se puede realizar desde casa a través de Internet. Sí se van a tener en
cuenta los ordenadores de SG ya que son una parte fundamental del trabajo
desempeñado este personal. Además, estos ordenadores son los que se usan para
103
acceder al sistema de Gestión Académica e imprimir las matrículas, así como para
otorgar más permisos de modificación de matrícula.
Durante los periodos de matriculación se suelen facilitar unos ordenadores en el pasillo

del edificio de ICADE (Alberto Aguilera 25) que son usados en exclusiva para realizar
las matrículas. Al lado de estos ordenadores se instala el puesto de trabajo de los
becarios que ayudan en el proceso de matriculación (dicho puesto consta de ordenadores
e impresora). Este montaje temporal se tendrá en cuenta, pero siempre sabiendo que no
es un elemento imprescindible para la realización de matrículas.
T1.2.1: Objetivos y restricciones generales
Los participantes en esta tarea son los miembros del comité de seguimiento definido en
la tarea T1.1.1.
Objetivos
Determinar los objetivos del proyecto, diferenciados según horizontes

temporales a corto y medio plazo.
Determinar las restricciones generales que se imponen sobre el proyecto
Se han definir los objetivos del proyecto y diferenciar los horizontes temporales a corto
y medio plazo. En este caso, al tratarse de un proyecto final de carrera, los objetivos son
analizar el sistema y dar a conocer los resultados al personal encargado. Para ello se
cuenta con el apoyo del STIC, que proporciona a través de José María Ortíz Lozano la
información necesaria para realizar el análisis y gestión de riesgos. En un proyecto
normal los objetivos a corto plazo serían los de asegurar el sistema de información ante
los riesgos más graves y/o comunes; y a medio plazo dotar al sistema de una fiabilidad
casi completa (nunca se puede asegurar la seguridad al 100%).
El proyecto va a analizar el sistema basándose en la UNE/ISO 177991 y en las

especificaciones de seguridad de la UNE 715012.
1
UNE-ISO/IEC 17799: tecnología de la Información. código de buenas prácticas para la Gestión de la
Seguridad de la Información. Noviembre de 2005. Se aplicará esta norma por ser la usada en EAR 3.0
BETA, herramienta usada en el análisis.
104
Restricciones
Políticas o gerenciales Al tratarse de un ejemplo no se considera este factor.
El sistema influye en gran medida en el prestigio de la

Universidad por el la forma en que alumnos (nuevos
Estratégicas
o no) realizan su matrícula. Es la imagen inicial de la
universidad de cara al público.
La información y el centro de procesos del sistema se

Geográficas
encuentra en Alberto Aguilera 23, tercera planta
El proyecto ha de acabarse antes del periodo de

matriculación para dar a conocer los datos del mismo
al STIC (al ser un ejemplo no se va a poner en
práctica).
Temporales
Los periodos críticos de matriculación: Desde Junio
hasta Octubre (incluidos) y Febrero.
La información que maneja iMat ha de estar

actualizada en tiempo real para evitar inconsistencias.
2
UNE 71501: Tecnología de la información (TI). Guía para la Gestión de la Seguridad de TI. Noviembre
de 2001. Norma creada por AENOR. Esta norma se divide en tres partes:
Parte 1: Conceptos y modelos para la Seguridad de TI.
Parte 2. Gestión y planificación de la seguridad de TI.
Parte 3: Técnicas para la gestión de la seguridad de TI.
105
iMat es la forma de realizar la matrícula para alumnos

de licenciaturas y diplomaturas. No existe otro
método válido a menos que iMat falle.
Estructurales Los datos manejados por iMat son los que se usan
para todos los sistemas de la universidad que
necesiten información del mismo tipo (acerca de los
alumnos).
iMat es la forma de captar alumnos y crecer.

Funcionales El funcionamiento correcto de iMat permite liberar
carga de trabajo al personal de SG y escuelas.
La información manejada se rige por la LOPD3, por

Legales lo que ha de cumplir unos controles concretos y ser
manejada correctamente.
El Servicio de Gestión Académica usa el sistema para

apoyarse en la gestión de los datos de los alumnos.
Relacionadas con el personal Becarios, profesores, directores,… han de poder
desempeñar sus funciones relacionadas con la
matriculación.
Los datos manejados por iMat son los que se usan

para todos los sistemas de la universidad que
Metodológicas
necesiten información del mismo tipo (acerca de los
alumnos, asignaturas, etc.).
Política de innovación adoptada por la universidad de

Culturales
cara al público.
3
LOPD: Ley Orgánica de Protección de Datos
106
Presupuestarias Al tratarse de un ejemplo no se considera este factor.
Tabla 1. Restricciones.
T1.2.2: Determinación del dominio y límites
Esta tarea presume un principio básico: el análisis y gestión de riesgos debe centrarse
en un dominio limitado, que puede incluir varias unidades o mantenerse dentro de una
sola unidad, ya que un proyecto de ámbito demasiado amplio o indeterminado podría
ser inabarcable, por excesivamente generalista o por demasiado extendido en el
tiempo, con perjuicio en las estimaciones de los elementos del análisis.
En esta tarea se identifican las unidades objeto del proyecto así como las
características generales de dichas unidades [MAGE05].
Objetivo
Determinar el dominio, alcance o perímetro del proyecto AGR.
Diagramas de proceso más importantes4 [BARR01] [MAGE05]
Control
Entrada Actividad Salida
Mecanismos
Figura 24. Representación empleada en los diagramas de proceso
4
El tipo de diagrama de procesos usado es SADT (Structured Analysis and Design Technique).
107
Impresión de matrícula a través de iMatBecarios
Becarios de la universidad
Clave y Autenticar becario para

Adquisición de permisos
contraseña otorgar permisos
1
Acceder a la
Clave alumno matrícula del alumno Matrícula del alumno
Imprimir
matrícula Matrícula
3 imprimida
Servidor de datos y Servidores Web
Figura 25. Impresión de matrícula a través de iMatBecarios
108
Procesos de Matriculación realizado por un alumno.
Alumno de la universidad o aceptado y situación
Grado de ocupación de las asignaturas

Clave y
Autenticación
contraseña Listado de asignaturas posibles a seleccionar
del alumno*
alumno 1
Precio estimado sin descuentos

Asignaturas seleccionadas
Selección de
Reserva de asignaturas para el alumno
asignaturas 2
Normas para descuentos
Datos alumno (bancarios, familiares, personales)

Confirmación Matrícula confirmada o
rechazada
matrícula 3
Gestión de **
asignaturas 4
* Se estudia el expediente del alumno y las normas que se establecen al respecto cada facultad o
escuela. Una vez comparado su expediente contra estas normas al alumno se le categoriza de tal
forma que lleva implícita la oferta de asignaturas de la que puede matricularse.
** Confirmación o liberación de la reserva de las asignaturas
Figura 26. Procesos de Matriculación realizado por un alumno
109
Modificación de la matrícula
Matrícula existente
Matrícula
Matrícula
Autenticación
existente Aceptación o rechazo para modificar la matrícula (depende de SG)
del alumno
1
Precio estimado sin descuentos

Modificar
Nuevas asignaturas seleccionadas Reserva de asignaturas para el alumno
matrícula 2
Normas para descuentos
Datos alumno (bancarios, familiares, personales)

Confirmación Matrícula confirmada o
Aceptación / Rechazo rechazada
matrícula 3
Gestión de *
asignaturas 4
* Confirmación o liberación de la reserva de las asignaturas
Figura 27. Modificación de la matrícula
No siempre es posible modificar la matrícula por parte de un alumno. Un alumno puede

modificar su matrícula tres veces. Si desea hacerlo más veces ha de solicitarlo en SG,
otorgándole más modificaciones (una cada vez que lo solicita).
Las unidades involucradas en el sistema de matriculación son:
STIC, encargado de gestionar iMat y mantener su correcto funcionamiento.
SG, encargada del proceso y gestión de matriculación de los alumnos. A su vez

es la que otorga nuevos permisos para la modificación de la matrícula a los
alumnos.
110
Departamentos que usan la información (directores de departamento, jefes de

estudio, becarios, etc.).
El dominio del sistema engloba principalmente el uso de los servidores y las

aplicaciones que facilitan todas las funcionalidades existentes en el proceso de
matriculación. Entre estas funcionalidades ya se han comentado algunas como
iMatBecarios, aplicaciones para la gestión por parte de directores de departamento o
jefes de estudio, así como la propia aplicación de matriculación (iMat propiamente
dicho). A su vez se considera que el personal no es objeto de estudio por su movilidad e
implicación parcial en este sistema, teniendo otras funciones principales.
Como ya se ha comentado anteriormente, se considera que las aulas de informática no

son objeto del dominio por poder usar todos los ordenadores de la escuela o los de
cualquier lugar (casa, oficina, cibercafé…). Sin embargo, sí se van a tener en cuenta los
ordenadores facilitados exclusivamente para la matriculación. Dichos ordenadores, así
como el puesto de becarios, se encuentra situado en el pasillo de la planta baja de
Alberto Aguilera 23.
En los diagramas de procesos realizados se ha podido comprobar que lo único

imprescindible para la existencia de iMat son los servidores y las aplicaciones
específicas. Esto se explicará en la parte de análisis del sistema. Los datos, aunque
esencial, no son propios de iMat, a pesar de que sí se van a tener en cuenta a la hora de
realizar el análisis.
T1.2.3: Identificación del entorno
Se realiza un estudio global de las unidades de información y el uso que hacen de los
sistemas de información. Esta tarea se realiza con objeto de identificar sus funciones y
finalidades principales y relaciones con el entorno, así como sus tendencias de
evolución [MAGE05].
Objetivos
Definir el perímetro de dominio.
Definir las relaciones entre el interior del dominio y el entorno.
111
Para realizar la identificación del entorno se van a usar diagramas de flujo de datos y
proceso. Con los diagramas de flujo de datos se podrán identificar los movimientos de
información que se realizan en el sistema. Así mismo, los diagramas de proceso, hechos
en la tarea T1.2.2, nos sirven para identificar las distintas actividades. Todos los
diagramas están acotados al problema que nos interesa, obviando el resto de
información, procesos o funcionalidades que puedan existir.
Diagramas de flujo de datos[BARR01] [MAGE05]
a Autenticación OK b
Matrícula
Secretaria
Datos Bancarios Datos alumno
Alumnos general
Confirmación
(SG)
Matrícula
Permiso
Datos alumno Modificación
1
OK/REJ_iMat Clave alumno
Info. Asig. Autenticación

Sistema
de
Matriculación
c OK OK d
Escuelas
Modif. asig.
y Becarios
Clave alumno
departamentos
Autenticación
Autenticación
Figura 28. Diagrama de contexto
112
Datos alumno
Matrícula
Autenticación
1.1 1.2
OK/REJ_iMat
Procesado
Datos alumno
Autenticación de
OK
Matrícula
Matrícula
Datos Bancarios
OK Confirmación
OK
OK
1.3 1.4
Info. Asig.
Clave alumno
Sistema Sistema
Modif. asig.
Matrículación Matriculación
Becarios Escuelas
1.5
Permiso
Sistema Modificación
SG
Datos alumno
Figura 29. Diagrama conceptual
113
Autenticación
Datos alumno
1.1.1 1.1.2
Datos al umno
Creación
Permisos
Validación opciones
Permisos
matrícula
Clave &
Contraseña
Clave & Reglas a

Contraseña Datos alumno aplicar
Reglas
D1 Alumnos D2 Personal D3 y
Escuelas
1.1.3
Obtención
de
OK
permisos
Figura 30. Autenticación
114
1.2.1 1.2.2
Datos alumno Datos alumno
Matrícula Matrícula
Comprobación
Realización
de
matrícula
matrícula
Reglas a
aplicar
Reglas
D1 Alumnos D3 y
Matrícula
Escuelas
1.2.4 1.2.3
Datos Bancarios
Datos Bancarios
OK/REJ_iMat Datos
Confirmación
Matrícula & Bancarios
Datos
Confirmación Datos Bancarios
Figura 31. Procesado de matrícula
1.3.1 1.3.2
OK
Obtención Imprimir Imprimir
matrícula matrícula
Clave alumno
Matrícula
D1 Alumnos
Figura 32Sistema de matriculación Becarios
115
1.4.1 1.4.2
OK Modif. asig.
Modificación
Obtención
datos
Info. Asig. asignaturas
asignatura
Asignaturas
Asignatura
Reglas
D3 y
Escuelas
Figura 33 Sistema de matriculación escuelas
1.5.1 1.5.2
OK
Datos alumno Permiso
Modificación
Datos alumno Info. Obtención
alumno permisos
D1 Alumnos
Figura 34. Sistema SG
T1.2.4: Estimación de dimensiones y coste
Objetivos
Determinar el dominio, alcance o perímetro del proyecto.
Esta tarea del proyecto busca identificar las unidades de objeto, los costes que
produciría incluirla en el proyecto y el beneficio que generaría. Para ello se lleva a
cabo un análisis coste-beneficio [MAGE05].
Para este proyecto esta tarea no se lleva a cabo.
116
Planificación del proyecto
A1.3: Planificación del proyecto
En esta actividad se determinan los participantes en el proyecto, determinando sus

cargas de trabajo, su estructuración en grupos y su modo de actuación. En este proyecto
esta actividad se va a realizar de forma general, sin detallar demasiado. Esto será así ya
que en este caso el grupo de trabajo es limitado (listado en la tarea T1.1.1) y el análisis
que se va a realizar es didáctico y no práctico.
T1.3.1: Evaluar cargas y planificar entrevistas
Si se va a realizar alguna entrevista se ha de informar a qué persona se va a

entrevistar, cuándo y con que objetivo. Es especialmente importante cuando los sujetos
a entrevistar se hayan en diferentes localizaciones geográficas [MAGE05].
Es conveniente ordenar las entrevistas de forma que primero se recaben las opiniones
más técnicas y posteriormente las gerenciales.
Objetivos
Definir los grupos de interlocutores: usuarios afectados en cada unidad.
Planificar las entrevistas de recogida de información.
Los grupos afectados han sido descritos en la actividad T1.2.2. Así mismo, la persona
que proporciona la información acerca del sistema es Don José María Ortiz Lozano,
subdirector de STIC y Coordinador del grupo de trabajo de la Web de Comillas.
La recogida de información se llevará a cabo mediante preguntas concretas que se

realizarán en el momento en que se requiera dicha información. Además se tendrá una
reunión con Don José María Ortiz Lozano para entender mejor el funcionamiento del
sistema y poder ver físicamente el emplazamiento de los servidores y demás hardware.
Dicha entrevista tendrá lugar el 5 de Abril a las 12 del mediodía en Alberto Aguilera 23,
lugar donde se encuentra iMat.
Así mismo se establecerán contactos periódicos con el director del proyecto, Don
Ramón Arias Ruiz de Somavia con el fin de enfocar mejor la realización del análisis.
117
T1.3.2: Organizar a los participantes
Objetivos
Determinar los órganos participantes en la gestión, realización, seguimiento y

mantenimiento del proyecto. Realizado anteriormente.
Definir las funciones y responsabilidades de los órganos participantes. Realizado

anteriormente.
Establecer las reglas y los modos operativos.
Establecer la clasificación de la información generada.
En las tareas T1.1.1 y T1.2.2 se definió y concretó el primer objetivo citado en esta
actividad. Como ya se ha comentado, SG y escuelas no participan en el proyecto. STIC
es la única parte de la universidad que toma parte en el proyecto. La tarea T1.1.1
también abarca el segundo objetivo de esta actividad.
La información y documentación que se va a generar durante el proyecto tomará la

clasificación de difusión limitada o sin clasificar.
T1.3.3: Planificar el trabajo
Objetivos
Elaborar el calendario concreto de realización de las distintas etapas, actividades

y tareas del proyecto.
Establecer un calendario de seguimiento que defina las fechas tentativas de

reuniones del comité de dirección, el plan de entregas de los productos, las
posibles modificaciones en los objetivos marcados, etc.
Al realizarse el proyecto desde la distancia, las reuniones en este caso no son

importantes. La única planificada en persona es el 5 de Abril, el resto se harán vía
correo electrónico.
Calendario de actividades
Este calendario es considerado flexible, pudiendo sufrir alteraciones.
• Febrero:
118
Explicación de la gestión de la seguridad de TI.
• Marzo:
Explicación de iMat y planificación del proyecto. Hasta el 20 de Febrero:

Explicación de MAGERIT y definición detallada del ejemplo teórico que
se va a analizar.
• Abril:
Caracterización de los activos.
Caracterización de las amenazas.
Caracterización de las salvaguardas.
Estimación del estado de riesgo.
• Mayo:
Gestión de riesgos: Selección de las salvaguardas ISO, plan de seguridad

(planificación).
Conclusión y revisión del proyecto.
119
Lanzamiento del proyecto
A1.3: Lanzamiento del proyecto
En esta etapa se termina de preparar el lanzamiento del proyecto. Se seleccionan y

adaptan cuestionarios para la recogida de datos; se especifican las técnicas y reglas
que se van a emplear, se asignan los recursos para la realización del proyecto y se
realiza una campaña informativa de sensibilización a los implicados.
En el caso de estudio los cuestionarios son las preguntas realizadas mediante correos
electrónicos y llamadas telefónicas. Así mismo ya se han explicado el resto de detalles
sobre la recogida de información en la actividad T1.3.1.
Las técnicas a emplear son las que se especifican y recomiendan en MAGERIT.
T1.4.1: Adaptar los cuestionarios
Los cuestionarios se adaptan con el objetivo de identificar correctamente los elementos

de trabajo: activos, amenazas, vulnerabilidades, impactos, salvaguardas existentes,
restricciones generales, etc. en previsión de las necesidades de as actividades A2.1
(caracterización de los activos), A2.2 (caracterización de las amenazas) y A2.3
(caracterización de las salvaguardas).
Objetivos
Identificar la información relevante a obtener, agruparla de acuerdo a la

estructura de unidades y roles de los participantes.
La información relevante acerca del caso de estudio se puede consultar en la parte

específica del sistema (iMat). Dicha información ha sido elaborada y estructura de
acuerdo con la información facilitada por el STIC por medio de José María Ortíz
Lozano. La información ha sido estructurada por Eduardo Ferrero Recaséns, autor de
este proyecto, y revisada por Ramón Arias Ruiz de Somavia, director del mismo.
T1.4.2: Criterios de evaluación
Objetivos
Determinar el catálogo de tipos de activos.
Determinar las dimensiones de valoración de activos.
120
Determinar los niveles de valoración de activos. Incluyendo una guía unificada

de criterios para asignar un cierto nivel a un cierto activo.
Determinar los niveles de valoración de las amenazas: Frecuencia y

degradación.
Un activo puede ser valioso desde diferentes puntos de vista. A estos distintos puntos de
vista es a lo que se llama dimensiones.
Un aspecto, diferenciado de otros posibles aspectos, respecto del que

podemos medir el valor de un activo en el sentido del perjuicio que nos
causaría su pérdida de valor. (Definición de dimensión según Magerit)
[MAGE05].
Las dimensiones definidas por Magerit son [MAGE05]:
• Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso

cuando lo requieran a la información y sus activos asociados.
• Integridad. Garantía de la exactitud y completitud de la información y los

métodos de su procesamiento.
• Confidencialidad. Aseguramiento de que la información es accesible sólo para

aquellos autorizados a tener acceso.
• Autenticidad. Aseguramiento de la identidad u origen.
• Trazabilidad (accountability). Aseguramiento de que en todo momento se

podrá determinar quién hizo qué y en qué momento. Esta última se ha añadido
debido a la importancia de saber que se hace con los datos y quien lo hace en
cada momento.
Las dos últimas cada vez están siendo más importantes en contextos como el comercio
electrónico o la administración electrónica.
EAR, de acuerdo con las especificaciones realizadas en Magerit, divide estas cuatro
dimensiones en siete.
• [D] Disponibilidad. Aseguramiento de que los usuarios autorizados tienen

acceso cuando lo requieran a la información y sus activos asociados.
121
• [I] Integridad. Garantía de la exactitud y completitud de la información y los

métodos de su procesamiento.
• [C] Confidencialidad. Aseguramiento de que la información es accesible sólo

para aquellos autorizados a tener acceso.
• [A_S] Autenticidad de los usuarios del servicio. Aseguramiento de la

identidad u origen.
• [A_D] Autenticidad del origen de los datos. Aseguramiento de la identidad u

origen.
• [T_S] Trazabilidad del servicio. Aseguramiento de que en todo momento

podremos determinar quién hizo qué y en qué momento.
• [T_D] Trazabilidad de los datos. Aseguramiento de que en todo momento

podremos determinar quién hizo qué y en qué momento.
En el AGR1 que se va a realizar se van a tener en cuenta las dimensiones D, I, C. Estas

son las dimensiones que se tienen en cuenta normalmente en las organizaciones así
como en la OTAN o ISDEFE.
Las amenazas que se van a contemplar son las especificadas en Magerit y recomendadas
por la UNE-ISO/IEC 177992. De estas amenazas se van a suprimir las que se consideran
no factibles o irrelevantes para el estudio del sistema. En el aparatado A2.2 se
especificarán y estudiarán con mayor detalle las amenazas a considerar.
T1.4.3: Recursos necesarios
Objetivos
Asignar los recursos necesarios (humanos, de organización, técnicos, etc.) para

la realización del proyecto AGR.
Para este proyecto esta tarea no se lleva a cabo.
1
AGR: Análisis y Gestión de Riesgos.
2
UNE-ISO/IEC 17799 Tecnología de la información. Código de buenas prácticas para la Gestión de la
Seguridad de la Información.
122
T1.4.4: Sensibilización
En esta tarea se han de entregar los informes pertinentes a la dirección, informar de las
intenciones y objetivos perseguidos con la realización del proyecto, etc.
Objetivos
Informar a las unidades afectadas.
Crear un ambiente de conocimiento general de los objetivos, responsables y

plazos.
En el caso del proyecto que nos ocupa esta tarea no se puede realizar por no existir
dirección alguna. Para compensar esto se ha acordado aprobar los objetivos del proyecto
por parte de todos los implicados.
123
Análisis y Gestión de Riesgos en iMat Análisis de Riesgos
P2: Análisis de Riesgos

Este proceso es el núcleo central de Magerit y su correcta aplicación condiciona la
validez y utilidad de todo el proyecto. La identificación y estimación de los activos y de
las posibles amenazas que les acechan representa una tarea compleja.
Este proceso tiene los siguientes objetivos [MAGE05]:
• Levantar un modelo del valor del sistema, identificando y valorando los activos
relevantes.
• Levantar un mapa de riesgos del sistema, identificando y valorando las

amenazas sobre aquellos activos.
• Levantar un conocimiento de la situación actual de salvaguardas.
• Evaluar el impacto posible sobre el sistema en estudio, tanto el impacto

potencial (sin salvaguardas), como el impacto residual (incluyendo el efecto de
las salvaguardas implementadas si se trata de un sistema actual, no de un sistema
previsto).
• Evaluar el riesgo del sistema en estudio, tanto el riesgo potencial (sin

salvaguardas), como el riesgo residual (incluyendo el efecto de las salvaguardas
implementadas si se trata de un sistema actual, no de un sistema previsto).
• Mostrar al comité director las áreas del sistema con mayor impacto y/o riesgo.
El punto de partida de este proceso es la documentación obtenida en el proceso de

planificación.
124
Caracterización de los activos
A2.1: Caracterización de activos
El objetivo de las tareas englobadas en esta actividad es reconocer los activos que
componen los procesos, y definir las dependencias entre ellos. Así, y a partir de la
información recopilada en las actividades anteriores, esta actividad profundiza el
estudio de los activos con vistas a obtener la información necesaria para realizar las
estimaciones de riesgo [MAGE05].
A la hora de identificar activos hay que saber que se puede considerar activo. Esta
actividad puede llegar a ser una de las más complicadas en todo el AGR.
Pueden ser activos (depende de la

Siempre son activos
opinión del analista)
• Información • Intangibles
o (datos funcionales) • Servicios
• Aplicaciones (SW) o a usuario final (ext)
• Equipos (HW) o Intermedios (int)
• Comunicaciones • Personas
• Locales o Usuarios
o Operadores
o Administradores
o desarrolladores
Tabla 2. Posibles activos a considerar en un AGR
Es frecuente que las tareas relacionadas con los activos se realicen concurrentemente
con las tareas relacionadas con las amenazas sobre dichos activos (A2.2) e
identificación de las salvaguardas actuales (A2.3), simplemente porque suelen coincidir
las personas y es difícil que el interlocutor no tienda de forma natural a tratar cada
activo “verticalmente”, viendo todo lo que le afecta antes de pasar al siguiente.
125
T2.1.1: Identificación de los activos
Objetivos
Identificar los activos que componen el dominio, determinando sus

características, atributos y clasificación en los tipos determinados
Al hacer el proyecto con EAR, esta herramienta ayuda a organizar los activos según la
metodología, estructurándola y clasificándola de forma sencilla y fácil de identificar en
el análisis posteriormente.
Basándose en la tabla 1, los tipos de activos pueden clasificarse de la siguiente forma:
• Servicios
• Datos/Información
• Aplicaciones (software)
• Equipos informáticos (hardware)
• Redes de comunicaciones
• Soportes de información (media)
• Equipamiento auxiliar
• Instalaciones
• Personal
Los datos/información es lo que se pretende proteger en última instancia. Por este

motivo la información merece una clasificación más detallada:
• [per]datos de carácter personal
• [com] de interés comercial
• [adm] administración pública
• [int] administración interna
• [conf] configuración
126
• [src] código fuente
• [test] datos de prueba
• [log] registros
Los datos pueden ser de varios tipos según la clasificación de confidencialidad que se
les otorgue:
• [S] Secretos
• [R] Reservados
• [C] Confidenciales
• [DL] De difusión limitada
• [SC] Sin clasificar
Los activos en iMat son:
[S] Servicios
[MAT] Matriculación
[IMPR_BEC] Impresión Becarios
[I] Información
[I_A] Información Alumnos
[I_B] Información Becarios
[I_ASIG] Información Asignaturas
[I_DEP] Información departamentos
[I_STIC] Información STIC
[I_CONF] Información de configuración
[I_LOG] Información de Log
[I_COD] Código Fuente
[A] Aplicaciones
[IMAT] iMat
[IMATBEC] iMatbecarios
[SW_BASE] Software base
[BBDD] SQL Server 2000
[SO] Sistema Operativo

[VB] Visual Basic 6.0
[E] Equipamiento
[SERV] Servidores
[SERV_DAT] Servidor de Datos
[SERV_BAL] Servidor de balanceo
[SERV_FICH] Servidor de Ficheros
[SERV_WEB] Servidores Web
[SERV_BACK] Servidor de back-up
[IMP_BEC] Impresora becarios
[PC_BEC] PC Becarios
[PC_MAT] PC Matriculación
[SWITCH] Switch
[CAJ_SEG] Caja de Seguridad
[LAN] Red de área local
[INT] Internet
[FIRE] Firewall
[POWER] Sistema de alimentación
[POWER_AA23] Sistema de Alimentación de la sala de servidores
[POWER_AA25] Sistema alimentación sala auxiliar
[TEMP] Sistema de climatización
[TEMP_AA23] Sistema de climatización de la sala de servidores
[TEMP_AA25] sistema climatización sala auxiliar
[L] Locales
[SERV_AA23] Servidores
[SERV_AA25] Servidor auxiliar
[BEC_AA21] Emplazamiento becarios
[P] Personal
[ADM] Administradores
[SG] Secretaría General
[BEC] Becarios
[ALUM] Alumnos
Para ver con más detalle los activos mirar el modelo de valor, situado en el anexo
informes.
T2.1.2: Dependencia entre activos
Una vez los activos han sido identificados hay que valorar el grado que dependencia
que tienen unos con otros. La dependencia de una activo con otro puede provocar que
los riesgos que posee un activo sean muchos más que son que se creían a priori
[MAGE05].
Objetivos
Identificar y valorar las dependencias entre activos, es decir, la medida en que

un activo de orden superior se puede ver perjudicado por una amenaza
materializada sobre un activo de orden inferior.
Servicios
Información (datos)
Personal
Software de base Aplicaciones
Equipamiento (HW)
Locales
Figura 35. Dependencia entre activos [MAÑA06]
Para realizar esto se tienen en cuenta la tarea anterior (T2.1.1) así como los diagramas
de flujo y de procesos realizados en la planificación. La figura 35 muestra la
dependencia entre activos de forma general. Se puede comprobar como los servicios
dados por el sistema de información dependen de forma directa de la información
manejada y las aplicaciones usadas; y de forma indirecta de todos los activos del
sistema. Por este motivo la valoración posterior deberá hacerse en los activos de nivel
superior (servicios e información), dejando que las dependencias den la valoración al
resto de activos.
Si se han hecho entrevistas o se ha tenido la posibilidad de realiza una valoración

Delphi1 también es conveniente tenerlas en cuenta. En el caso de iMat se han realizado
entrevistas.
La dependencia entre activos en iMat es la siguiente:
1
Valoración Delphi. Técnica cualitativa que permite abordar y comprender con una alta precisión
problemas complejos. Para ello se cuenta con un comité de expertos que identifican los problemas y las
posibles soluciones a realizar. Cada experto valora el problema de forma individual mediante
cuestionarios u otras técnicas y posteriormente se da a todos a conocer el resultado para obtener un
consenso.
Figura 36. Dependencia entre activos

T2.1.3: Valoración de los activos
Objetivos
Identificar en que dimensión es valioso el activo.
Valorar el coste que para la Organización supondría la destrucción del activo.
De esta tarea se obtiene el modelo de valor, informe que permite conocer la

importancia de los activos. El modelo de valor detalla los activos, sus dependencias, las
dimensiones en las que son valiosos y la estimación de su valor en cada dimensión. Este
modelo puede estar hecho mediante diversos criterios de valoración. En el AGR de iMat
se va a seguir un criterio de valoración cualitativo.
La valoración cualitativa busca relativizar el modelo de tal forma que la valoración

entre todos los activos del análisis sea homogénea y comparable. Para ello se ayuda de
una escala.
Cada activo, en cada dimensión, recibe un valor en la escala. Esto es así porque cada
dimensión recibe un análisis independiente. Las dimensiones que se van a valorar para
iMat son [D] disponibilidad, [I] integridad de datos y [C] confidencialidad.
La disponibilidad es el aseguramiento de que los activos que los usuarios

autorizados tienen acceso cuando lo requieran a la información y sus activos
asociados.
La integridad de datos es la garantía de la exactitud y completitud de la

información y los métodos de su procesamiento.
La confidencialidad de los datos es el aseguramiento de que la información es

accesible sólo para aquellos autorizados a tener acceso.
A la hora de hacer un proyecto de análisis y gestión de riesgos, la valoración se hace

únicamente sobre los activos de mayor nivel (servicios y datos) y aquellos que no
tengan relaciones de dependencias con ellos. El resto de activos obtendrán su valoración
por las dependencias existentes.
La escala de valoración que se va a emplear es la siguiente:

Valor Criterio
10 Muy alto Daño muy grave a la organización
7-9 Alto Daño grave a la organización
4-6 Medio Daño importante a la organización
1-3 Bajo Daño menor a la organización
0 Despreciable Irrelevante a efectos prácticos
Tabla 3. Valoración cualitativa, escala a seguir en el AGR iMat
El modelo de valor de iMat se puede encontrar como anexo, donde se detalla todo lo
referente a los activos de iMat. Hay que tener en cuenta que tanto la caracterización de
activos como sus relaciones de dependencia y valoración, son tareas subjetivas que, a
pesar de tener información para hacerlas, dependen del analista y su forma de entender
el sistema. No hay dos modelos de valor iguales.
La valoración de los activos estudiados y clasificados en iMat es la que se muestra a

continuación:
ACTIVO [D] [I] [C]

[S] Servicios
[MAT] Matriculación [7]
[IMPR_BEC] Impresión Becarios [3]
[I] Información
[I_A] Información Alumnos [6]
[I_ASIG] Información Asignaturas [3]
[I_DEP] Información departamentos [3]
[I_STIC] Información STIC [2]
[I_CONF] Información de configuración [1]
[I_LOG] Información de Log [1] [1] [1]

[A] Aplicaciones
[IMAT] iMat [7]
[E] Equipamiento
[SERV] Servidores
[SERV_BACK] Servidor de back-up [1] [2]
[IMP_BEC] Impresora becarios [1]
[PC_MAT] PC Matriculación [1]
[SWITCH] Switch
[CAJ_SEG] Caja de Seguridad [4] [4]
[INT] Internet
[FIRE] Firewall
[POWER_AA23] Sistema de Alimentación sala servidores
[TEMP_AA23] Sistema de climatización sala servidores
[L] Locales
[P] Personal
[BEC] Becarios
[ALUM] Alumnos
Tabla 4. Valoración propia de los activos.
Para ver el por qué de esta valoración ver el anexo informes, modelo de valor.
Valoración acumulada:
ACTIVO [D] [I] [C]

[S] Servicios
[MAT] Matriculación [7]
[IMPR_BEC] Impresión Becarios [3]
[I] Información
[I_A] Información Alumnos [7] [1] [6]
[I_B] Información Becarios [3] [1] [1]
[I_ASIG] Información Asignaturas [7] [1] [3]
[I_DEP] Información departamentos [7] [1] [3]
[I_STIC] Información STIC [2]
[I_CONF] Información de configuración [7] [1]
[I_LOG] Información de Log [1] [1] [1]
[A] Aplicaciones
[IMAT] iMat [7] [7] [6]
[IMATBEC] iMatbecarios [7] [1] [2]
[BBDD] SQL Server 2000 [7] [7] [6]

[E] Equipamiento
[SERV] Servidores
[SERV_BAL] Servidor de balanceo [7] [7] [6]
[SERV_WEB] Servidores Web [7] [7] [6]
[SERV_FICH] Servidor de Ficheros [7] [7] [6]
[SERV_DAT] Servidor de Datos [7] [7] [6]
[SERV_BACK] Servidor de back-up [1] [2]
[IMP_BEC] Impresora becarios [1]
[PC_BEC] PC Becarios [1]
[PC_MAT] PC Matriculación [1]
[SWITCH] Switch [7] [7] [6]
[CAJ_SEG] Caja de Seguridad [4] [4]
[LAN] Red de área local [7] [7] [6]
[INT] Internet [7] [7] [6]
[FIRE] Firewall [7] [7] [6]
[POWER_AA23] Sistema de Alimentación sala servidores [7] [7] [6]
[POWER_AA25] Sistema alimentación sala auxiliar [1] [2]
[TEMP_AA23] Sistema de climatización sala servidores [7] [7] [6]
[TEMP_AA25] sistema climatización sala auxiliar [1] [2]
[L] Locales
[SERV_AA23] Servidores [7] [7] [6]
[SERV_AA25] Servidor auxiliar [1] [2]
[BEC_AA21] Emplazamiento becarios [1]
[P] Personal
[ADM] Administradores [7] [7] [6]
[SG] Secretaría General [7] [1] [6]
[BEC] Becarios [7] [1] [2]
[ALUM] Alumnos [7] [7] [6]
Tabla 5. Valoración acumulada de los activos
Los elementos marcados son aquellos cuyos valores provienen de sus dependencias con
otros activos.
Caracterización de las amenazas
A2.2: Caracterización de las amenazas
Una amenaza es aquel evento que puede desencadenar un incidente en la

Organización, produciendo daños materiales o pérdidas inmateriales en sus activos
[MAÑA06].
Estas amenazas se pueden focalizar en un activo en concreto y reaccionar en cadena a

través de las diversas relaciones de dependencia que este posee con el resto de activos.
Las amenazas pueden ser causadas de forma accidental o intencionada. Las causas
accidentales pueden darse por causas [MAÑA06]:
- naturales (terremotos, inundaciones, rayos...),
- industriales (electricidad, emanaciones…) o
- humanas (errores u omisiones).
Las causas intencionadas pueden ser robo, fraude, espionaje, intercepción pasiva o
activa, etc.
En EAR las amenazas estandarizadas por Magerit. Según la misma, las amenazas están
clasificadas en cuatro grupos:
- [N] Desastres Naturales
- [I] De origen industrial
- [E] Errores y fallos no intencionados
- [A] Ataque intencionados
Dentro de estos grupos se definen las amenazas existentes. Para comprobar la amenazas
existentes ver el anexo “Amenazas”.
T2.2.1: Identificación de las amenazas
Objetivos
Identificar las amenazas relevantes sobre cada activo.
Hay varias formas de identificar las amenazas existentes en cada activo. Uno de los
métodos es mediante una clasificación por activos, relacionando cada activo con las
amenazas que se cree que pueden sufrir. Lo bueno de este método es que la relación
amenaza-activo es directa. Sin embargo, es un criterio intuitivo. EAR permite aplicar las
amenazas estándar sobre cada activo de forma automática dejando que sea
posteriormente el analista el que considere si las relaciones son factibles o hay que
poner otras.
Otro método de identificación de amenazas es mediante una valoración Delphi o árboles

de ataque1.
En el AGR de iMat se van a emplear la clasificación por activos. Para la relación entre
las amenazas y los activos ver el anexo informes, mapa de riesgos.
T2.2.2: Valoración de las amenazas
Objetivos
Estimar la frecuencia de ocurrencia de cada amenaza sobre cada activo.
Estimar la degradación que causaría la amenaza en cada dimensión del activo si

llegara a materializarse.
1
Los árboles de ataque son una técnica para modelar las diferentes formas de alcanzar un objetivo.
Aunque han existido durante años con diferentes nombres, se hicieron famosos a partir de los trabajos de
B. Schneier que propuso su sistematización en el área de los sistemas de información.
El objetivo del atacante se usa como raíz del árbol. A partir de este objetivo, de forma iterativa e
incremental se van detallando como ramas del árbol las diferentes formas de alcanzar aquel objetivo,
convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse. Los posibles ataques a
un sistema se acaban modelando como un bosque de árboles de ataque.
Un árbol de ataque pasa revista a cómo se puede atacar un sistema y por tanto permite identificar qué
salvaguardas se necesita desplegar para impedirlo. También permiten estudiar la actividad del atacante y
por tanto lo que necesita saber y lo que necesita tener para realizar el ataque; de esta forma es posible
refinar las posibilidades de que el ataque se produzca si se sabe a quién pudiera interesar el sistema y/o la
información y se cruza esta información con la habilidades que se requieren.
Para más información, “Guías Técnicas”, Magerit Versión 2. Se puede encontrar en

http://www.csi.map.es/csi/pg5m20.htm
Como ya se ha mencionado anteriormente2, hay que determinar el grado de degradación

y la frecuencia de ocurrencia de cada amenaza sobre cada activo con el fin de saber el
impacto y el riesgo potencial de dicha amenaza sobre dicho activo. Este proceso se
realiza en EAR usando como criterio de ocurrencia (frecuencia) el siguiente:
1: una vez al año

2: dos veces al año (semestral)
10: mensual
100 diario
0,5: cada dos años
0,1: cada diez años
El grado de degradación se especifica para activo, amenaza y dimensión. La
degradación se evalúa entre el 0% y el 100%. Posteriormente esta degradación se
extiende debido a la dependencia entre activos, obteniendo el impacto y el riesgo, tanto
acumulado con repercutido antes de aplicar las salvaguardas.
Si un activo A depende de otro B, el valor del impacto acumulado de A se acumula B en

la proporción en la que depende. Por otro lado, el impacto repercutido indica que el
daño en B repercute en A en la proporción en la que A depende de B. [MAÑA06]
En relación al riesgo. En relación al riesgo acumulado el valor de A se acumula en B en

la proporción en que depende. El riesgo repercutido es el impacto repercutido
multiplicado por la frecuencia de ocurrencia.
Impacto = Valor x Degradación
Riesgo = Impacto x Frecuencia
De esta tarea se obtiene el mapa de riesgos del sistema. El mapa de riesgos es un

informe en el que se relacionan las amenazas de cada activo con el daño que causarían a
la empresa y la frecuencia con la que se espera que ocurran. Visto desde otro punto de
vista, el mapa de riesgos es un resumen de las actividades A2.1 y A2.2.
2
Ver la parte referente a “Magerit, Análisis de Riesgos, Paso 2: Amenazas.”
Caracterización de las salvaguardas
A2.3: Caracterización de las Salvaguardas
Las salvaguardas permiten hacer frente a las amenazas [MAÑA06]. Hay diferentes
aspectos en los cuales puede actuar una salvaguarda para alcanzar sus objetivos de
limitación y/o mitigación del riesgo1:
[PR] procedimientos, que siempre son necesarios; a veces bastan procedimientos,

pero otras veces los procedimientos son un componente de una salvaguarda más
compleja. Se requieren procedimientos tanto para la operación de las salvaguardas
preventivas como para la gestión de incidencias y la recuperación tras las mismas.
Los procedimientos deben cubrir aspectos tan diversos como van el desarrollo de
sistemas, la configuración del equipamiento o la formalización del sistema
[MAGE05].
[PER] política de personal, que es necesaria cuando se consideran sistemas

atendidos por personal. La política de personal debe cubrir desde las fases de
especificación del puesto de trabajo y selección, hasta la formación continua
[MAGE05].
Soluciones técnicas, frecuentes en el entorno de las tecnologías de la información,

que puede ser [MAGE05]
[SW] aplicaciones (software)
[HW] dispositivos físicos
[COM] protección de las comunicaciones
[FIS] seguridad física, de los locales y áreas de trabajo [MAGE05].
La protección integral de un sistema de información requerirá una combinación de

salvaguardas de los diferentes aspectos comentados.
Expresado de otra forma, las salvaguardas se pueden clasificar en los siguientes grupos:
• Marco de gestión
1
Para más información sobre la limitación y/o mitigación de amenazas ver la parte correspondiente a
Magerit, Paso 3: Salvaguardas.
• Relaciones con terceros

• Servicios
• Datos / Información
• Aplicaciones informáticas (SW)
• Equipos informáticos (HW)
• Comunicaciones
• Elementos auxiliares
• Seguridad física
• Personal
T2.3.1: Identificación de las salvaguardas existentes
Objetivos
Identificar las salvaguardas, de cualquier tipo, que se han previsto y desplegado

a fecha de realización del estudio.
Las salvaguardas existentes se pueden encontrar en el anexo “evaluación de las

salvaguardas”. En el capítulo llamado iMat se puede encontrar como está concebido el
sistema de información, así como las medidas de seguridad que existen. A su vez, el
informe de insuficiencias muestra aquellas salvaguardas que hay que mejorar o
implantar por estar por debajo del umbral establecido. Este umbral es del 50% de
eficacia.
T2.3.2: Valoración de las salvaguardas existentes
Objetivos
Determinar la eficacia de las salvaguardas desplegadas.
Hay que ordenar en el tiempo los programas de seguridad teniendo en cuenta los
siguientes factores [MAGE05] [MAÑA04]:
- La criticidad, gravedad o conveniencia de los impactos y/o riesgos que se

afrontan, teniendo máxima prioridad los programas que afronten situaciones
críticas.
- El coste del programa.

- La disponibilidad del personal propio para responsabilizarse de la dirección (y,

en su caso, ejecución) de las tareas programadas.
- Otros factores como puede ser la elaboración del presupuesto anual de la

organización, las relaciones con otras organizaciones, la evolución del marco
legal, reglamentario o contractual, etc.
En el caso del AGR expuesto se va a tener en cuenta el primero de los factores.

También se va a valorar el grado de implantación que tienen. La eficiencia de las
salvaguardas desplegadas se puede ver en el anexo “evaluación de las salvaguardas”.
Salvaguarda Presente
Marco de gestión 59%
Relaciones con terceros na2
Servicios 86%
Datos / Información 98%
Aplicaciones informáticas (SW) 78%
Equipos informáticos (HW) 88%
Comunicaciones 90%
Elementos auxiliares 93%
Seguridad física 72%
Personal 78%
Tabla 6. Resumen de la eficacia de las salvaguardas agrupadas por tipos
La forma en que calculan los porcentajes de eficiencia depende de ciertos criterios que
se valoran de forma ponderada. Estos criterios son los que vamos a analizar a
continuación. Cada grupo de salvaguardas se compone de varios subgrupos que, a su
vez, se componen de más subgrupos. En la explicación mostrada a continuación se han
tenido en cuenta todos los factores; sin embargo, para facilitar la comprensión, sólo se
muestran los factores principales, estando completamente desplegados en el anexo
informes, evaluación de las salvaguardas.
2
No se estudia en el AGR
Se puede comprobar que el aspecto que peor se encuentra es el relacionado con el

marco de gestión, donde, si se analiza a fondo, se comprueba que no existe una
metodología de actuación formal en la organización en relación a los sistemas de
información y, en particular, a iMat. No existe un documento de análisis de riesgos, ni
un plan de seguridad escrito. La mayoría de los procedimientos escritos se encuentran
incompletos y no contemplan casos excepcionales o procedimientos de emergencia en
caso de que ocurran este tipo de incidencias (si suelen existir procedimientos para casos
o incidencias habituales).
La difusión de los documentos existentes es limitada e insuficiente. Las políticas

seguidas son las dadas por la directiva de STIC, aunque no siempre se cumplen, por no
estar escritas. A su vez, los errores reparados no siempre son documentados, lo que
puede llegar a dificultar una futura incidencia similar si el personal ha cambiado.
Marco de gestión 59%

Organización 55%
Normativa de seguridad 25%
Identificación y autenticación 89%
Control de acceso lógico 78%
Gestión de incidencias 42%
Revisión de la seguridad de los sistemas de información 30%
Continuidad del negocio (contingencia) 50%
Tabla 7. Marco de gestión. Salvaguardas.
La seguridad física es el segundo grupo de salvaguardas más desprotegido, aunque se

considera que el riesgo existente, debido a estas salvaguardas implantadas, es muy bajo.
Las salvaguardas implantadas son las correctas, fallando en la normativa formal de
seguridad (causa directa del marco de gestión). La seguridad falla en lo relacionado con
las normativas establecidas (prohibido fumar, cámaras de video, etc.) para el acceso en
la sala de servidores y los procedimientos de seguridad existentes. El diseño falla como
consecuencia de la normativa y de no existir una separación entre el área de seguridad y
el acceso al público. A STIC se puede acceder desde el edificio principal, subiendo por
ascensor hasta el tercer piso, sin requerirse identificación de ningún tipo. La sala de
servidores si contempla la restricción de acceso mediante tarjetas.
La protección frente a desastres es muy buena a pesar de haber salvaguardas a mejorar

como el sistema antiincendios, ya que hay un solo extintor a la entrada de la sala (fuera)
y ningún mecanismo de extinción automático para periodos en los que no haya personal
para extinguir el incendio. Sí se dispone de alarma antiincendios.
Seguridad física 72%

Inventario de instalaciones 87%
Normativa 0%
Procedimientos 63%
Diseño 37%
Control de los accesos físicos 87%
Protección del perímetro 100%
Vigilancia na
Iluminación de seguridad na
Protección frente a desastres 89%
Tabla 8. Seguridad física. Salvaguardas.
Por el contrario, en lo referente a las comunicaciones, los datos, los elementos auxiliares
o de soporte, la forma en que se prestan los servicios (iMat e iMatBecarios), el diseño y
seguridad de HW y SW; el sistema goza una gran seguridad y un buen diseño en estos
aspectos. Cabe destacar la seguridad de la información y las comunicaciones. Sin
embargo, aunque las comunicación tienen una valoración del 90% de eficacia, es un
elemento crítico que lo evidencia en el diseño del servicio de comunicaciones con el
exterior (Internet): Sólo existe un proveedor de servicios de Internet, lo que hace que se
depende de forma directa de este elemento para garantizar el servicio de iMat a través
de Internet (usado por más del 50% de los usuarios que acceden a iMat) [HUIT00].
Comunicaciones 90%
Inventario de servicios de comunicación 83%
Disponibilidad 93%
Adquisición o contratación 92%
Instalación 100%
Operación 98%
Cambios (actualizaciones y mantenimiento) 63%
Terminación 100%
Tabla 9.Comunicaciones. Salvaguardas.
La información manejada, activo más importante de la organización, está protegida de

forma casi perfecta (98%). Si hubiese que fijarse en algo sería en el inventario y su
revisión periódica, pero ese aspecto es el menos importante de todos los analizados y
por lo tanto se considera que no merece la pena.
Datos / Información 98%

Inventario de activos de información 80%
Clasificación de la información 100%
Disponibilidad 99%
Integridad 98%
Criptografía 100%
Tabla 10. Datos/Información. Salvaguardas.
Aunque las salvaguardas implantadas en SW y HW son muy buenas, la documentación

en los mismos no es tan buena, consecuencia directa del marco de gestión y la
normativa escrita. Este factor hay que corregirlo no sólo en SW y HW, sino en todo el
sistema. Esta falta de documentación afecta al inventario que se posee de las
aplicaciones. El uso de Microsoft Visual Soursafe facilita la gestión de versiones y
copias de seguridad, pero no garantiza una correcta regresión. Las pruebas de regresión
no existen, habiéndose hecho alguna, pero sin ser un aspecto formal y que se repita
como procedimiento periódico. No se ha evaluado el impacto potencial al cambio.
Aplicaciones informáticas (SW) 78%

Inventario de aplicaciones 37%
Copias de seguridad 66%
Adquisición na
Desarrollo 91%
Puesta en producción 100%
Explotación 80%
Terminación na
Tabla 11. Aplicaciones informáticas (SW). Salvaguardas.
Como sucede con el SW, en el HW no se ha contemplado el impacto que produciría el

cambio de equipos por diferentes modelos en caso de tener que hacerse de forma
inmediata. La identificación de los requisitos de seguridad se hace una vez implantados
los sistemas HW y no previamente, lo que puede llegar a perjudicar el desarrollo de HW
por no existir un plan de documentación en el que se especifican el por qué de los
equipos con relación a cada una de las aplicaciones y sistemas que soportan. Sin
embargo el margen para el error es amplio y difícil de alcanzar por este motivo ya que
la dimensión del sistema es mucho mayor que las necesidades reales por parte de los
sistemas de información implantados (incluyendo iMat). Sí existe un inventario del HW
y una documentación de los cambios realizados. Lo que no existe son planes de
contingencia.
Equipos informáticos (HW) 88%

Inventario de equipos 100%
Disponibilidad 100%
Adquisición de HW 83%
Desarrollo de HW 73%
Instalación 100%
Operación 91%
Terminación na
Tabla 12. Equipos informáticos (HW). Salvaguardas.
El personal existente (STIC) está conveniente contemplado en lo que refiere al

mantenimiento de los sistemas, cubriendo todos los puestos necesarios para gestionar
iMat y el resto de sistemas de la información de la universidad. Sin embargo, se debe
mejorar la política de formación en relación a su evaluación y planificación. Las
necesidades de formación se identifican cuando dicho personal considera que lo
necesita, sin haber un plan de formación continuo o una revisión y evolución del mismo
y sus resultados.
Personal 78%
Relación de personal 100%
Puestos de trabajo 100%

Contratación na
Formación 55%
Política del puesto de trabajo despejado y bloqueo de pantalla na
Protección del usuario frente a coacciones na
Tabla 13. Personal. Salvaguardas.
Los elementos auxiliares que ayuda y garantizan el buen funcionamiento de iMat como
el control de temperatura o el suministro eléctrico está convenientemente implantados y
garantizados para, en caso de fallo, funcionar correctamente.
Elementos auxiliares 93%

Inventario de equipamiento auxiliar 95%
Disponibilidad 100%
Instalaciones na
Suministro eléctrico 94%
Climatización 85%
Protección del cableado 90%
Otros suministros na
Tabla 14. Elementos auxiliares. Salvaguardas.
Los servicios prestados por el sistema de información (sistema de matriculación por

Internet e impresión de matrículas por parte de los becarios) se encuentra bien definidos,
correctamente explotados, desarrollados y estudiados. el porcentaje obtenido en la
disponibilidad se debe a que no se estudiado la posibilidad de que los servidores Web
superen el número máximo de conexiones, lo que provocaría un error de disponibilidad
en las capacidades máximas y en la prestación del servicio. Se sabe que ese número
(60000 conexiones) es inalcanzable, pero puede darse un ataque aprovechando esto.
Todo sistema ha de contemplar medidas de control, aunque sean teóricamente
inalcanzables.
Servicios 86%
Inventario de servicios 88%
Disponibilidad 63%
Desarrollo 95%
Despliegue na
Explotación 92%
Gestión de servicios externos na
Terminación 87%
Tabla 15. Servicios. Salvaguardas.

Estimación del estado de riesgo
A2.4: Estimación del estado de riesgo
T2.4.1: Estimación del impacto
Objetivos
Determinar el impacto potencial al que está sometido el sistema.
Determinar el impacto residual al que está sometido el sistema.
En esta tarea se estima el impacto al que están expuestos los activos del sistema
[MAGE05]:
• El impacto potencial, al que está expuesto el sistema teniendo en cuenta el valor

de los activos y la valoración de las amenazas; pero no las salvaguardas
actualmente desplegadas.
• El impacto residual, al que está expuesto el sistema teniendo en cuenta el valor

de los activos y la valoración de las amenazas, así como la eficacia de las
salvaguardas actualmente desplegadas.
Hay amenazas que provocan impactos mayores que otras sobre el mismo activo. En las
tablas presentadas a continuación sólo se presentan los activos clasificados según el
mayor impacto que pueden sufrir. Para ver los impactos clasificados según amenaza y
activo se recomienda consultar el informe de insuficiencias facilitado como anexo. Si
resumimos el impacto y lo clasificamos por dimensiones, tenemos los siguientes
impactos potenciales en los activos:
• Impacto muy alto: (10-7, siendo 7 una valoración del analista el clasificarlo como
alto o muy alto).
[D] Disponibilidad [I] Integridad
[MAT] Matriculación [IMAT] iMat
[I_A] Información Alumnos [BBDD] SQL Server 2000
[IMAT] iMat [SERV_BAL] Servidor de balanceo
[BBDD] SQL Server 2000 [SERV_WEB] Servidores Web

[SERV_BAL] Servidor de balanceo [SERV_FICH] Servidor de Ficheros
[SERV_WEB] Servidores Web [SERV_DAT] Servidor de Datos
[SERV_FICH] Servidor de Ficheros [FIRE] Firewall
[SERV_DAT] Servidor de Datos [ADM] Administradores
[SWITCH] Switch [ALUM] Alumnos
[FIRE] Firewall
Tabla 16. Impacto potencial muy alto
• Impacto alto (7-5, el 4 se ha considerado bajo, aunque en mucho casos se considera

un impacto alto)
[D] Disponibilidad [I] Integridad [C] Confidencialidad
[IMATBEC] iMatbecarios [SERV_AA23] Servidores [I_A] Información Alumnos
[INT] Internet [IMAT] iMat
[TEMP_AA23] Sistema de climatización

sala servidores
[I_ASIG] Información Asignaturas [SERV_BAL] Servidor de balanceo
[I_DEP] Información departamentos [SERV_WEB] Servidores Web
[I_CONF] Información de configuración [SERV_FICH] Servidor de Ficheros
[FIRE] Firewall
[ALUM] Alumnos
Tabla 17. impacto potencial alto
• Impacto medio o bajo (medio: 4-3, bajo:2-1)
[D] Disponibilidad [I] Integridad [C] Confidencialidad
[I_ASIG] Información
[IMPR_BEC] Impresión Becarios [SERV_BACK] Servidor de back-up
Asignaturas
[I_DEP] Información
departamentos
[BEC_AA21] Emplazamiento
becarios
[POWER_AA25] Sistema de [SERV_BACK] Servidor de

Alimentación sala auxiliar back-up
[TEMP_AA25] Sistema de
climatización sala auxiliar
Tabla 18. Impacto potencial medio y bajo
El impacto residual es, en todos los activos, igual o menor a 3 en todos los casos. Esto
significa que el impacto de cualquier amenaza sobre iMat es bajo. Esto se debe a que el
diseño del sistema de información es bueno. Sin embargo, se debería mejorar la forma
de gestionar los sistemas en lo relacionado con el aspecto formal y escrito.
En los anexos se podrán encontrar todas las valoraciones de impacto (activo-amenaza).

Se recomienda ver el anexo relativo al mapa de riesgos, el informe de insuficiencias y el
estado de riesgo. En estado de riesgo se podrán ver los impactos y riesgos potenciales y
residuales.
Figura 37. Impacto acumulado potencial y residual en servicios, aplicaciones, información y

personal relacionados con iMat1.
Figura 38. Impacto acumulado potencial y residual en BBDD, equipamiento y locales relacionados
con iMat.
1
El impacto (rojo) representa el impacto potencial y el presente (azul) el impacto residual.
Figura 39. Impacto acumulado potencial y residual en iMatBecarios2.
T2.4.2: Estimación del riesgo
Objetivos
Determinar el riesgo potencial al que está sometido el sistema.
Determinar el riesgo residual al que está sometido el sistema.
En esta tarea se estima el riesgo al están sometidos los activos del sistema:
El riesgo potencial es el riesgo al que está sometido el sistema teniendo en cuenta el

valor de los activos y la valoración de las amenazas; pero no las salvaguardas
desplegadas. Las amenazas en iMat y su valoración se pueden ver en el anexo informes,
mapa de riesgos.
2
Impacto acumulado potencial y residual en iMatBecarios que no tienen relación con iMat, a excepción
de la BBDD y algunos tipos de información. Hay activos que aparecen en los gráficos anteriores y
también están relacionados con iMatBecarios. El impacto (rojo) representa el impacto potencial y el
presente (azul) el impacto residual.
Una vez valoradas las amenazas se puede concluir que existe un riesgo intrínseco
(potencial) en iMat, es decir, sin tomar ninguna medida de seguridad:
• Existe un riesgo muy alto de amenazas de:
- [I.6] Corte del suministro eléctrico
- [I.7] Condiciones inadecuadas de temperatura y/o humedad, debido a la gran

cantidad de máquinas y el tamaño de las habitaciones de servidores. Es
necesario acondicionar estas habitaciones para garantizar unas condiciones
óptimas para el hardware.
- [I.8] Fallo de servicios de comunicaciones. Hay que considerar la gran cantidad

de comunicaciones y la compleja infraestructura de la misma. Un fallo en las
comunicaciones puede darse por numerosos motivos, como un error en la red de
la universidad o en las comunicaciones con el exterior; un fallo en los servidores
Web, o de balanceo, un fallo en el switch, etc.
- [E.1] Errores de los usuarios, debido fundamentalmente a la falta de

información en usuarios de primer curso y en la gran cantidad de matrículas que
se realizan.
- [E.2] Errores del administrador, debido a la formación que no reciben. No hay

que olvidar que se está analizando el riesgo intrínseco.
- [E.3] Errores de monitorización (log). El firewall es un elemento crítico en el

sistema de información. Un fallo en la monitorización de la red puede suponer la
entrada de SW dañino (virus, troyanos, etc.)
- [E.8] Difusión de software dañino, debido en muchos casos a programas piratas

instalados por el personal a causa de la falta de concienciación.
- [E.9] Errores de [re-]encaminamiento en el servidor de balanceo, provocando la

pérdida de información para los usuarios que lo sufran. Este error puede suponer
un riesgo muy importante para la disponibilidad del sistema.
- [E.24] Caída del sistema por agotamiento de recursos, debido a la gran

cantidad de recursos manejados y el número de accesos producidos en iMat en
periodos de matriculación.
- [A.5] Suplantación de la identidad del usuario, debido a obtenciones de clave de

otros usuarios o al uso de sesiones abiertas por otros usuarios.
Al dar de alta a un alumno en el sistema se establece como contraseña inicial el

DNI del alumno (la clave o usuario es siempre el número de alumno). Aunque
esta contraseña inicial se puede cambiar fácilmente a través de la intranet de la
universidad la mayoría de los alumnos no la cambian. Si a este hecho le
sumamos que hasta el 2004 se podía ver en los ordenadores de la universidad el
nombre del usuario que tenia la sesión abierta acompañado del DNI, la
obtención de contraseñas era relativamente sencilla. A partir de 2004 el DNI se
suprimió de la cadena de información que se mostraba, pero no se quitaron de
las cadenas de alumnos anteriores a 2004. Debido a este proyecto se están
suprimiendo los DNI de los alumnos anteriores al curso especificado.
Dejar una sesión abierta es un error de usuario (alumnos) que se comete de

forma diaria. Este despiste puede permitir a otras personas suplantar al usuario y
obtener su clave y contraseña en la terminal donde la sesión se ha dejado abierta
mediante el procedimiento de obtención de contraseñas comentado en el párrafo
anterior (si el alumno es anterior a 2004. En breve este procedimiento
desaparecerá por completo a eliminarse el DNI de las cadenas mostradas a los
usuarios).Para acceder a iMat se usan las mismas claves y contraseñas que en el
resto de servicios de la universidad, por lo que este error afecta a iMat.
- [A.11] Acceso no autorizado que, aunque, los usuarios tengan las garantías y
habilitaciones de seguridad adecuadas, esto no garantiza que accedan a la
información para la cual están autorizados acrecentándolo, además, por el
principio de la necesidad de conocer. A su vez pueden producirse accesos no
autorizados a las salas de servidores si éstas no poseen las medidas de seguridad
adecuadas.
- [A.15] Modificación de información, por la misma razón que E.16, pero en este
caso se debe propósitos intencionados por parte de los usuarios.
- [A.16] Introducción de falsa información, misma razón que A.15.
- [A.22] Manipulación de programas, aunque el personal es confiable y seguro,

pueden darse casos de personal malintencionado que intenta sabotear de alguna
forma el sistema de información; y si tiene acceso a los programas y su código

puede llegar a materializar esta amenaza.
- [A.24] Denegación de servicio, por errores de programación que no permiten a

usuarios autorizados acceder al sistema. Esta amenaza suele darse por una
reacción en cadena con otras amenazas.
- [A.29] Extorsión
• Existe un riesgo alto de amenazas de:
- [N.1] Fuego, debido a la concentración de equipos electrónicos y material

inflamable (mobiliario, paredes, etc.) en una zona localizada y concreta, es decir,
en la sala donde se encuentran los servidores. Lo mismo sucede en el
emplazamiento de becarios.
- [I.5] Avería de origen físico o lógico, debido a la concentración de equipo que

puede sufrir una avería por su uso continuo o una avería física provocada por el
mal estado de los componentes.
- [E.18] Destrucción de la información, por una fallo de hardware o un error de

software no probado en la fase de pruebas.
- [E.21] Errores de mantenimiento / actualización de programas (software), por

no seguir especificaciones del fabricante o un mantenimiento periódico que
permita detectar errores y atajarlos.
- [A.4] Manipulación de la configuración
- [A.6] Abuso de privilegios de acceso
- [A.14] Intercepción de información (escucha), debido a una inexistencia de

controles (como, por ejemplo, un firewall correctamente configurado).
- [A.19] Divulgación de información, por un error en la programación, una

carencia de medidas de seguridad o políticas de la organización.
• Existe un riesgo medio de amenazas de:
- [E.4] Errores de configuración, por carencias en la formación de los empleados.

- [E.7] Deficiencias en la organización, por falta de políticas de seguridad o

errores en la forma de comunicarlas.
- [E.14] Escapes de información, por carencias en las políticas de seguridad.
- [E.16] Introducción de falsa información, debido a errores a la hora de rellenar

formularios por parte de alumnos, becarios, administradores. En la mayoría de
los casos es por falta de atención o conocimientos.
- [E.20] Vulnerabilidades de los programas (software), por errores de

programación y no saber detectarlos en la fase de pruebas, lo que evidenciaría
una mala política de desarrollo.
- [E.23] Errores de mantenimiento / actualización de equipos (hardware), al no

seguir las especificaciones del fabricante y/o llevar una política de
mantenimiento insuficiente (intervalos de tiempo entre cada mantenimiento
excesivo, nivel de detalle, etc.)
- [A.4] Manipulación de la configuración, por carencias en la seguridad de acceso

a las salas de servidores. También puede modificarse la configuración de los
programas por accesos no autorizados a al código o partes del programa o datos
que no deberían estar disponibles para ciertos usuarios.
- [A.9] [Re-] encaminamiento de mensajes, por errores en la configuración de las

comunicaciones.
- [A.28] Indisponibilidad del personal debido fundamentalmente a la falta de

procedimientos y recursos en las labores claves de mantenimiento, soporte y
monitorización del sistema.
- [I.7] Condiciones inadecuadas de temperatura y/o humedad, ya que al ser un

recinto cerrado los equipos pueden fallar a causa de estas causas.
• Existe un riesgo bajo de amenazas de:
- [A.25] Robo de equipos, estando todos concentrados en lugares concretos.
- [A.26] Ataque destructivo, de equipos principalmente. Una vez se accede a las

salas de servidores, la destrucción de equipos es sencilla. A su vez la destrucción
de los ordenadores facilitados en los el pasillo en periodo de matriculación es
relativamente sencilla. Sin embrago, la importancia de estos ordenadores para el

sistema de información es nula, importando exclusivamente el aspecto
económico, aspecto no tratado en este AGR.
El riesgo residual, al que está sometido el sistema teniendo en cuenta el valor de los
activos y la valoración de las amenazas, así como la eficacia de las salvaguardas
actualmente desplegadas., se puede ver en el anexo informes (informe de insuficiencias
y estado de riesgo) .
T2.4.3: Interpretación de los resultados
Objetivos
Interpretar los resultados anteriores de impacto y riesgo.
Establecer las relaciones de prioridad por activos o grupos de activos, bien por
orden de impacto o por orden de riesgo.
De esta tarea se obtienen dos de los documentos que se incluirán en la documentación

final de todo proyecto AGR:
Estado de Riesgo. Informe resumen del impacto y riesgo potencial y residual a

que está sometido cada activo del dominio.
Informe de insuficiencias. Informe que destaca las incoherencias entre las

salvaguardas que se necesitan y las que existen y las divergencias entre las
magnitud del riesgo y a eficacia actual de las salvaguardas.
Ambos documentos se encuentran en los anexos
Al final del análisis de riesgos se obtiene el impacto y el riesgo existente en el sistema.

Ese impacto y riesgo que se obtiene puede verse desde dos ángulos distintos:
- Sin salvaguarda alguna.
- Con las salvaguardas ya implantadas en el sistema (sin gestión adicional).

Figura 40. Análisis y Gestión de Riesgos sin amenazas implantadas
Por los riesgos existentes y los impactos que tienen sobre los activos se puede
considerar que los elementos críticos en el sistema son los servidores y las
comunicaciones. Del mismo modo hay que garantizar la seguridad en el SW y el HW,
mediante procesos y políticas convenientemente acordadas. Los programas han de
hacerse según unas políticas de desarrollo establecidas, con fases de desarrollo y
pruebas diferenciadas. La existencia de una metodología en la organización, para
comunicar el estado de la seguridad y los procesos de instalación, mantenimiento y
actualizaciones de SW y HW, ha de considerarse algo imprescindible; siendo un
proceso organizado y formal.
La formación del personal de STIC (administradores) es importante para garantizar el

correcto funcionamiento. Esa formación ha de incluir procesos para inculcar la
importancia de la seguridad y documentarla.
Figura 41. Riesgos potenciales y residuales en iMat teniendo en cuenta las salvaguardas actuales.
Se puede comprobar en el gráfico que los servidores y el firewall son elementos críticos
en el sistema. Así mismo el switch y las comunicaciones también. No hay que olvidar
que iMat funciona mediante la red local (LAN) e Internet. El riesgo residual es bajo
gracias a las salvaguardas desplegadas.
Figura 42. Riesgos potenciales y residuales en iMatBecarios teniendo en cuenta las salvaguardas
actuales.
Se puede comprobar por el gráfico que el emplazamiento de los becarios no tiene

ninguna importancia para los fines del sistema de información.
No hay que olvidar que activos como los servidores, el firewall o la sala de servidores
también influyen en el correcto funcionamiento de iMatBecarios aunque se hayan
incluido en la figura 32 y no en la 33, haciendo esto para facilitar la comprensión del
sistema.
Análisis y Gestión de Riesgos en iMat Gestión de Riesgos
P3: Gestión de Riesgos

Se procesan los impactos y riesgos identificados en el proceso anterior, bien
asumiéndolos, bien afrontándolos. Para afrontar los riesgos que se consideren
inaceptables se llevará a cabo un plan de seguridad que corrija la situación actual. Un
plan de seguridad se materializa en una colección de programas de seguridad. Algunos
programas serán sencillos, mientras que otros alcanzarán suficiente nivel de
complejidad y coste como para que su ejecución se convierta en un proyecto
propiamente dicho. La serie de programas (y, en su caso, proyectos) se planifica en el
tiempo por medio del denominado Plan de Seguridad que ordena y organiza las
actuaciones encaminadas a llevar el estado de riesgo a un punto aceptable y aceptado
por la Dirección [MAGE05].
En la gestión de riesgos se toman una serie de decisiones entre las que destacan:
• Elegir una estrategia para mitigar el impacto y el riesgo.
• Determinar las salvaguardas oportunas para la decisión anterior.
• Determinar la calidad necesaria para dichas salvaguardas.
• Diseñar un plan de seguridad para llevar el impacto y el riesgo a niveles

aceptables.
• Llevar a cabo el plan de seguridad.
En el caso concreto de iMat este proceso se va a desarrollar de forma ficticia y sin

consulta previa con la dirección ni el STIC. Los planes de seguridad van a crearse sólo a
efectos de estudio.
Toma de decisiones
En esta actividad se traducen las conclusiones técnicas del proceso P2 en decisiones de

actuación.
Tareas:
Tarea T3.1.1: Calificación de los riesgos
Objetivos
Calificar los riesgos en una escala: crítico, grave, apreciable o asumible.
A la hora de clasificar los riesgos existentes en el sistema hay una serie de factores que
han de tenerse en cuenta siempre (gravedad del impacto/riesgo, legislación vigente,
obligaciones por contrato) y otros que dependen de la política la organización. Los
factores que dependen de la política la organización pueden ser muy variados,
abarcando desde la imagen pública que se quiere dar a la sociedad, la política interna
(empleados, contratación de personal, rotaciones, etc.), las relaciones con los
proveedores, el deseo de acceder a sellos de calidad reconocidos, etc. [MAGE05].
Una vez analizados todos los factores para cada uno de los riegos existentes en el
sistema de información hay que clasificarlos determinando si es
- crítico en el sentido de que requiere atención urgente,
- grave en el sentido de que requiere atención
- apreciable en el sentido de que pueda ser objeto de estudio para su tratamiento
- asumible en el sentido de que no se van a tomar acciones para atajarlo.
Si la última opción es la escogida, aceptación del riesgo, hay que justificar las razones
que han llevado a ello. Algunas de las razones pueden ser:
- El impacto residual es despreciable.
- El riesgo residual es despreciable.
- El coste de las salvaguardas oportunas es desproporcionado en comparación al

impacto y riesgo residuales.
Toma de decisiones
El plan de seguridad partirá de esta clasificación para estimar las políticas de

corrección y eliminación de amenazas.
En las actividades A2.3 y A.4 se han estudiado y explicados las salvaguardas existentes
y los impactos y riesgos potenciales y residuales. Además, se puede ver el estado de
riesgo del sistema de información en el informe de insuficiencias y el estado de riesgos
(anexos incluidos en los informes presentados).
Si resumimos los riesgos residuales del sistema (riesgo teniendo en cuenta las
salvaguardadas existentes) podemos comprobar que no existe un riesgo muy alto o alto
en el sistema, lo que verifica la teoría inicial que se tenía del sistema al empezar el AGR
sobre iMat: El sistema está conveniente protegido. Sin embargo, por el principio básico
de la seguridad (no existe un sistema 100% seguro), las salvaguardas aplicadas y la
forma en que aseguran el sistema, sí que existen riesgos en iMat.
• Existe un riegos residual medio (nivel 3 sobre 5) de:
- [I.1] Fuego. Debido a la concentración de equipos en un espacio reducido de

12m2 como es la sala de servidores o la sala auxiliar de servidores (donde se
encuentra el servidor de back-up). Además hay que tener en cuenta que no
existen normas de comportamiento dentro de las salas de servidores (como por
ejemplo prohibido fumar). Se cuenta con alarma antiincendios y sistema de
extinción para minimizar los riesgos.
- [E.1] Errores de los usuarios a la hora de usar iMat. Este tipo de errores se
puede dar en la aplicación (iMat) debido al desconociendo de los usuarios a la
hora de interaccionar con iMat o bien por la introducción de información errónea
que provoque errores. Los errores e usuarios pueden dañar el sistema en las
dimensiones de disponibilidad e integridad de datos. Por este motivo se han de
controlar los posibles fallos de los usuarios desde la aplicación antes de enviar
información a otras partes del sistema como puede ser el servidor de datos.
- [E.8] Difusión de software dañino. Esta amenaza se debe a la gran cantidad de

amenazas existentes hoy en día en la red y la imposibilidad de poder garantizar
100% la seguridad de los sistemas frente virus. Puede dañar a iMat en todas las
Toma de decisiones
dimensiones analizadas (D, I, C) No hay creerse algunos tópicos existentes

como1:
o El sistema no es importante para un hacker. Este tópico se basa en la idea de

que no introducir contraseñas seguras en una empresa no entraña riesgos
pues ¿quien va a querer obtener información de la organización? Sin
embargo, dado que los métodos de contagio se realizan por medio de
programas automáticos, desde unas máquinas a otras, estos no distinguen
buenos de malos, interesantes de no interesantes, etc. Por tanto abrir sistemas
y dejarlos sin claves es facilitar la vida a los virus.
o El sistema está protegido pues no abro archivos que no conozco. Esto es
falso, pues existen múltiples formas de contagio, además los programas
realizan acciones sin la supervisión del usuario poniendo en riesgo los
sistemas.
o El sistema dispone de antivirus, está protegido. En general los programas
antivirus no son capaces de detectar todas las posibles formas de contagio
existentes, ni las nuevas que pudieran aparecer conforme los ordenadores
aumenten las capacidades de comunicación.
o El sistema se encuentra detrás de un firewall, no hay posibilidad de
contagio. Esto únicamente proporciona una limitada capacidad de respuesta.
Las formas de infectarse en una red son múltiples. Unas provienen
directamente de accesos al sistema (de lo que protege un firewall) y otras de
conexiones que se realizan (de las que no me protege). Emplear usuarios con
altos privilegios para realizar conexiones puede entrañar riesgos.
- [A.5] Suplantación de la identidad del usuario. Ya se explicó la facilidad que

existe para averiguar usuarios y contraseñas a través de los ordenadores de la
universidad de alumnos anteriores a 2004 (ir a T2.4.1); debido a los errores
(despistes) de los alumnos a la hora de abandonar las salas de ordenadores sin
1
Seguridad informática, Wikipedia (http://www.wikipedia.es)
Toma de decisiones
cerrar la sesión2 o por no haber cambiado la contraseña. Esta facilidad afecta

directamente a todas las dimensiones analizadas, pudiendo ser dañinas para iMat
(aplicación) y como consecuencia a la base de datos y al servidor de datos,
pudiendo ser información no segura por poder ser modificada por la persona que
suplanta al usuario. También es cierto que este fallo de seguridad sólo existe a
nivel de usuario (alumno) y no de administrador, por lo que la información que
se vería afecta sería la de los alumnos y nunca la información de configuración o
administradores.
• Existe un riesgo residual bajo (nivel 2 sobre 5) de.
- [E.1] Errores de los usuarios en relación a la base de datos. El riesgo de errores

de usuarios es menor en relación a la base de datos que a iMat porque desde
iMat a la hora de introducir información siempre se pide confirmación varias
veces (por ejemplo a la hora de verificar las asignaturas o los datos personales)
antes de enviar la información a al servidor de datos para guardarla.
- [E.8] Difusión de software dañino. En este caso nos referimos a iMatBecarios.

El riesgo de software dañino es menor que en iMat por usar sólo la red local de
la universidad sin salir de la misma en ningún momento. Es cierto que iMat no
sale de la red local, pero al poder realizarse la matrícula desde Internet (lugares
externos a la universidad), el riesgo de contagio es mayor en iMat que en
iMatBecarios. Aún así en ninguno de los dos “sistemas” existe un riesgo alto de
contagio, es un riesgo teórico considerado por los principios expuestos
anteriormente al explicar el riesgo en iMat y clasificarlo como riesgo medio.
- [A.26] Ataque destructivo a los ordenadores facilitados en el pasillo en periodo

de matriculación. Estos ordenadores se encuentran en el pasillo sin protección
alguna exceptuando la vigilancia de los becarios. Por este motivo puede darse el
caso de un ataque destructivo (físico) contra ellos.
2
Este fallo de seguridad existía a la hora de empezar a hacer el análisis de riesgos y estudiar las
salvaguardas existentes. Hoy en día puede que este fallo haya sido reparado y no exista. Es cierto que esto
se encuentra contemplado mediante la desconexión automática de las sesiones sin actividad a los 20 min.
Toma de decisiones
- [I.7] Condiciones inadecuadas de temperatura y/o humedad. Existen

mecanismos para garantizar las condiciones de temperatura y humedad en las
salas de servidores. Sin embargo, debido al continuo funcionamiento de los
equipos HW instalados, puede darse el caso que esas condiciones cambien por
un fallo en algunas de las máquinas o en el sistema de climatización. En ese caso
hay que procurar que los servidores no sufran condiciones prejudiciales para su
correcto funcionamiento. Este riesgo perjudicaría a la disponibilidad de los
sistemas de información. [E.2] Errores del administrador (SQL, iMat, iMatBecarios)
- [E.3] Errores de monitorización (log). Ya se ha comentado que la seguridad no

se puede garantizar completamente. Por ese motivo puede asegurarse que el
firewall fallar a la hora de controlar las entradas al sistema. Es un error que se
considera de riesgo bajo, según las salvaguardas implantadas.
- [E.9] Errores de [re-]encaminamiento. El servidor de balanceo es un elemento

crítico del sistema que, como tal está convenientemente asegurado y estudiado.
Un error en el mismo provocaría errores que afectarían a algunos usuarios y por
tanto a la disponibilidad del sistema con relación a los mismos. Debido a gran
número de operaciones realizadas por este servidor un error es posible, aunque
improbable.
- [E.24] Caída del sistema por agotamiento de recursos. Ya se explicó que

aunque el sistema está dimensionado convenientemente contando con recursos
de sobra para prestar los servicios requeridos. Esto haría fallara al sistema
dejando de dar el servicio (como ocurre en un ordenador cuando se le piden más
tareas de las que es capaz de soportar). Un sistema seguro ha de controlar
siempre la capacidad y tener medidas para ello. Esta carencia de medidas puede
ser aprovechada para atacar al sistema. Sin embargo el riesgo es pequeño por los
recursos con los que cuenta, soportando hasta 60000 conexiones en los
servidores Web.
- [E.21] Errores de mantenimiento / actualización de programas (software).

Debido a las carencias en el marco de gestión y las normativas y metodologías
escritas para la realización de tareas.
Toma de decisiones
- [E.16] Introducción de falsa información, afectando a la integridad de la

información. Puede darse por errores de administración al crear/actualizar el
servidor de ficheros (páginas ASP, aplicaciones como iMat o iMatBecarios,
etc.), o al introducir la información de las asignaturas (créditos, etc.) dada por las
escuelas e introducidas por STIC. La introducción de información siempre es
supervisada y repasada, así como testeada en la fase de pruebas. Un error puede
darse por no contemplar algo en la fase de pruebas, algo difícil.
• Existe un riesgo residual muy bajo (grado 1 sobre 5) de.
- [I.5] Avería de origen físico o lógico. Las revisiones de mantenimiento

siguiendo las especificaciones de los fabricantes y los recambios minimizan el
riesgo de averías de origen físico o lógico. Sin embargo es un riesgo que es
imposible llevar al cero.
- [I.9] Interrupción de otros servicios y suministros esenciales. La redundancia de

todos los sistemas (comunicaciones, servidores, HW, repuestos) hace del
sistema un sistema robusto en cuento a la forma de prestar los servicios, siendo
el riesgo casi nulo. Los sistemas de alimentación y climatización se encuentran
respaldados por sistemas de reserva en las salas de servidores, así como en toda
la universidad.
- [I.6] Corte del suministro eléctrico. Para evitar esto se cuenta con un sistema
secundario de alimentación. Cabe destacar que las salvaguardas implantadas
han bajado este riesgo de se un riesgo muy alto a riesgo muy bajo, casi
inexistente.
- [E.2] Errores del administrador. El administrador es el personal de STIC

encargado de gestionar el sistema. Un error en la forma de hacerlo puede afectar
a la configuración del firewall, a las aplicaciones de iMat o iMatBecarios, a la
base de datos, etc. Por ello hay que tener políticas de formación y contratación
de personal, normativas y metodologías de documentación, comportamiento y
gestión en relación a los sistemas de información, etc.
- [E.4] Errores de configuración. Provocados por errores del administrador.

Toma de decisiones
- [E.24] Caída del sistema por agotamiento de recursos. En este caso nos estamos
refiriendo al servidor de ficheros. Un agotamiento de recursos es casi
impensable pues es un servidor que almacena información preestablecida, no se
introduce en él información durante el funcionamiento del sistema (exceptuando
aquella temporal para pedir información del servidor).
- [E.8] Difusión de software dañino. Refiriéndose de nuevo al servidor de ficheros

y por la misma razón (la información se introduce antes de empezar a funcionar
el sistema, siendo información de lectura). Sin embargo, la seguridad nunca es
del 100% en un servidor.
- [E.20] Vulnerabilidades de los programas (software). Para minimizar los riesgos

y detectarlos existen los programas de pruebas. Aunque el programa de pruebas
es muy bueno y cumple todas las salvaguardas recomendadas, el riesgo existe.
Nunca se puede garantizar que un SW es 100% seguro, un ejemplo claro es un
sistema operativo, donde los parches son frecuentes, al igual que lo programas
corporativos (SAP, Meta4, etc.). Esta afirmación puedo asegurarla por haber
trabajado en Meta4 en el área de calidad arreglando un programa de calidad que
controla los fallos en el resto de programas.
- [A.25] Robo de equipos. Las salvaguardas implantadas han bajado este riesgo de
riesgo muy alto a muy bajo. Sin embargo hay salvaguardas que hay que mejorar
como, por ejemplo, la forma de gestionar las tarjetas o el incluir un acceso a
STIC más restringido, que al menos cuente con una persona intermedia entre
STIC y el resto de la universidad (vigilante, secretaria, etc.). La sala de
servidores se encuentra protegida por un acceso restringido mediante tarjeta,
pero con un registro de visitas de personas invitadas (sí que cuenta con un
registro de visitas del personal que introduce la tarjeta para acceder).
- [A.26] Ataque destructivo. Por las mismas causas que A.25.

Plan de seguridad
Objetivos
Elaborar un conjunto de programas de seguridad.
Partiendo de la tarea anterior se tomarán en consideración todos los escenarios de

impacto y riesgo creados (críticos, graves, apreciables, asumibles o un mezcla de
estos). Se crearán una serie de programas de seguridad con el propósito de dar
respuesta a los diferentes escenarios creados [MAGE05].
Los programas de seguridad los que pretenden en última instancia es la implantación

de una serie de salvaguardas que lleven impacto y riesgo a niveles residuales asumibles
por la dirección [MAGE05].
Figura 43. Inserción de salvaguardas con el fin de obtener un impacto y riesgo residual asumible
para la dirección
Plan de seguridad
Los planes de seguridad que se recomiendan, una vez evaluados los riesgos residuales,
las salvaguardas existentes y comprobar que la mayoría de ellos se deban a las carencias
ya mencionadas el marco de gestión1:
P1. Normativas de seguridad
P1.1: Documentación de los cambios, reparaciones y mantenimientos (SW, y HW)
Crear una política de seguridad donde todo se encuentre correctamente

documentado (de manera formal) y donde exista un análisis de riesgos que valore
el estado del sistema.
Documentar todos los procedimientos de trabajo, revisando loas actuales y

añadiendo los que falten.
P1.2: Documentación de los cambios, reparaciones y mantenimientos (SW, y HW)
De esta forma se han evitar casos en los que no se sepan las posibles causas de un
error o materialización de amenaza, acotando las posibles causas. Todos los
documentos han de incluir:
- Fecha.
- Responsable.
- Activos implicados.
- Tareas realizadas.
- Comentarios adicionales.
P1.3: Normativa en relación a la seguridad física
Se han de establecer normas de conducta cerca de los servidores, lugares de

trabajo, etc. se han de cumplir todas las normativas de sanidad y seguridad
existentes para el tipo de instalaciones con las que se cuenta.
1
Al ser un ejemplo teórico, aunque basado en un ejemplo real, los planes de seguridad sugeridos no se
van a llevar a cabo. Por esta razón no se van a asignar responsables, otorgar recursos ni dar estimaciones
temporales. Los planes de seguridad se van a limitar a dar recomendaciones sobre el sistema.
Plan de seguridad
La limitación o vigilancia de acceso a STIC y, por tanto, a los servidores es una

salvaguardas que ha de estudiarse si merece la pena llevarla a cabo.
La realización de este plan de seguridad limitaría los riesgos las amenazas I.1, I.5, E.1,
E.3, E.7, E.8. E.9, E.20, E.21, E.24 entre otras.
P2: Eliminar fallos de seguridad evidentes
Un aspecto que hay que intentar minimizar es la posibilidad de obtener nombres

de usuario y contraseñas desde los ordenadores de la universidad. Se han de
buscar controles para evitar que los usuarios dejen las sesiones abiertas o
mantengan de forma permanente el DNI como contraseña. Las medidas a tomar se
basan en la eliminación del DNI de las cadenas a mostrar cuando se ve el usuario
conectado a la máquina. Para los alumnos anteriores a 2004 este riesgo es mucho
mayor por estar su DNI ligado a la cadena de información mostrada. Se han de
suprimir los DNI de las cadenas de información en alumnos anteriores a 2004; los
alumnos posteriores no tienen este problema. Cabe destacar que este problema se
está solucionando actualmente gracias a este proyecto.
Actualmente las sesiones se pueden cerrar de forma remota por el personal

encargado de las salas de ordenadores para evitar que un usuario deje una sesión
abierta de forma indefinida, pero esto no garantiza nada. Este fallo es crítico para
el sistema y limitaría riesgos de amenazas tales como E.1, E.8, A.5 (este de forma
importante), E.16, y E.20.
Las contraseñas iniciales son inevitables (sin ellas no puede entrar el usuario por
primera vez). La única medida posible es concienciar a los alumnos de la
necesidad de cambiar esa contraseña. Una forma puede ser el primer día de clase,
ir a la sala de ordenadores y que todos cambien su contraseña, evitando el riesgo
evidente de que la contraseña sea el DNI. Otra forma es obligar al usuario a
cambiar la contraseña la primera vez que se conecta al sistema.
P3: Clasificación del inventario (SW, HW, Ficheros, Elementos auxiliares)
El HW ya se encuentra correctamente estudiado en relación al inventario, sin

embargo el HW y los elementos auxiliares han de estudiarse. Los ficheros como
pueden ser las páginas ASP de iMat se encuentran ya localizadas y correctamente
Plan de seguridad
estudiadas. Lo que se debe hacer es valorar el grado de comentario del código,

estudiar el SW crítico, las necesidades de HW, etc.
P4: Formación y evaluación continua
La política de formación actual es buena pero no correcta. Se ha de establecer una

política de formación basada en el seguimiento continuo y evaluado de la misma.
Actualmente se llevan a cabo planes de formación según lo pide el personal de
STIC, sin motivar el aprendizaje continuo por parte de la organización.
Si se desea obtener un certificado de seguridad hay que lograr superar las

clasificaciones de la ISO o cualquier otro criterio exigido. El estado del sistema con
relación a la ISO/IEC 17799:2005, la CSNC2 o el RD9943 se encuentra a continuación
de la gestión de riesgos.
Objetivos
Ordenar temporalmente los programas de seguridad.
El orden de los planes de seguridad puede ser P2, P1, P3, P4. Se considera que erradicar
fallos de seguridad es lo primero, seguido de forma inmediata por P1. P4 es un plan de
seguridad recomendado pero no imprescindible para el correcto funcionamiento de iMat
e iMatBecarios.
2
Criterios de seguridad, normalización y conservación
3
Reglamento de medidas de seguridad
Ejecución del plan
Esta actividad recoge la serie de proyectos que materializan el plan de seguridad y que
se van realizando según dicho plan.
Objetivos
Alcanzar los objetivos previstos en el plan de seguridad para cada programa

planificado.
Para el ejemplo se considera que todos los planes de seguridad se han llevado a cabo. Si
esto fuese así los impactos y riesgos residuales serían los siguientes:
IMPACTOS
Figura 44. Impacto acumulado potencial y residual en cada una de las fases (Servicios, datos,
aplicaciones).
Ejecución del plan
Figura 45. Impacto acumulado potencial y residual en cada de las fases (BBDD, parte del
equipamiento).
Figura 46. Impacto acumulado potencial y residual en cada una de las fases (parte del
equipamiento, locales y personal)
Ejecución del plan
RIESGOS
Figura 47. Riesgos acumulados potenciales y residuales en cada una de las fases (Servicios, datos y
aplicaciones).
Ejecución del plan
Figura 48. Riesgos acumulados potenciales y residuales en cada una de las fases (BBDD y parte del
equipamiento).
Ejecución del plan
Figura 49. Riesgos acumulados potenciales y residuales en cada una de las fases (parte del
equipamiento, locales y personal).
Ejecución del plan
IMPACTO REPERCUTIDO
El impacto repercutido es aquel impacto que tienen los activos debido a las
dependencias con activos inferiores. Si un activo inferior falla, afecta al funcionamiento
de los activos superiores con los que está relacionado. Por este motivo un impacto en un
activo afecta a los activos de orden superior. Al hacer la valoración acumulada se
pasaban los valores de los activos superiores a los inferiores por la misma razón: si un
activo tiene una valoración X, los activos de los que depende también porque una
amenaza para ellos puede afectar a activos superiores.
Figura 50. Impacto repercutido en cada una de las fases.

Ejecución del plan
RIESGO REPERCUTIDO
Lo mismo que se ha explicado para el impacto repercutido afecta al riesgo repercutido.
Figura 51. Riesgo repercutido en cada una de las fases.

Análisis y Gestión de Riesgos en iMat Clasificación según la ISO/IEC 17799:2005
Calificación según la ISO/IEC 17799:2005
Figura 52. Calificación de la seguridad según la ISO/IEC 17799:2005
Se puede comprobar lo que ya se ha comentado en varias ocasiones: la seguridad física,

de comunicaciones, SW, HW, y datos está convenientemente contemplada en el estado
presente del sistema de información. Sin embargo la política de seguridad en sus
aspectos formales no se ha contemplado convenientemente. No existe una gestión de la
continuidad del negocio a largo plazo, así como la gestión de incidentes puede
mejorarse.
Donde falla la gestión de incidentes es en el aspecto formal y que no contempla

incidencias excepcionales o de poca probabilidad.
La continuidad del negocio no está contemplada en el sistema de información actual por

no haber un análisis de riesgos hecho y no tener una documentación de seguridad ni una
normativa. Aspectos que también influyen en la política de seguridad, la cual contempla
aspectos mínimos como son la delegación de responsabilidades o el trato con la
directiva, pero no valorar aspectos profundos y formales como los comentados.
No hay que olvidar que la solución dada es teórica y no real, mostrando la clasificación
del sistema en caso de realizarse completamente.
Análisis y Gestión de Riesgos en iMat Clasificación según la ISO/IEC 17799:2005
Figura 53. Presentación de la calificación ISO/IEC 17799:2005 en EAR
El apartado [6] no se encuentra valorado porque hay aspectos que no se han tenido en
cuenta en el AGR hecho a iMat. Esto no significa que no se encuentren valorados
ciertos aspectos de este apartado.
Análisis y Gestión de Riesgos en iMat Clasificación CSNC
Clasificación según la CSNC
Criterios de Seguridad, Normalización y Conservación
Figura 54. Calificación según la CSNC
Los aspectos peor valorados son los relacionados con la normalización y gestión del
sistema en su aspecto formal. Así por ejemplo se puede ver como el apartado 18 es el
peor valorado por referirse a dicho aspecto formal y la documentación de incidencias.
Las auditorias (20) y el plan de contingencias (19) o las políticas de seguridad (3) son
aspectos a mejorar. No hay que olvidar que la solución dada es teórica y no real,
mostrando la clasificación del sistema en caso de realizarse completamente.
Aspecto como la seguridad de la red o de los datos se encuentran muy bien valorados
según estos criterios. El control de acceso es muy bueno, fallando de forma mínima por
el fallo de seguridad comentado en múltiples ocasiones.
Figura 55. Presentación de la CSCN en EAR.
El aparatado 9 no se muestra porque no todo los factores que lo componen se han

valorado en el AGR realizado sobre iMat. Sin embargo sí hay factores valorados acerca
de la autenticación.
Clasificación según la RD994
Reglamento de medidas de seguridad
Figura 56. Clasificación según la RD994
No hay que olvidar que la solución dada es teórica y no real, mostrando la clasificación
del sistema en caso de realizarse completamente.
Figura 57. Presentación de la RD994 en EAR.

Conclusión
187
Conclusión
A lo largo de este proyecto se ha intentado dar a conocer la importancia del

funcionamiento y la seguridad (en sus aspectos de confidencialidad, integridad y
disponibilidad) de los sistemas de información en las empresas y las organizaciones
debido a que, cada vez más, las TI (Tecnologías de la Información) y la información son
más imprescindibles en sus procesos de negocio. Para ello se ha explicado la
importancia de realizar un Análisis y Gestión de Riesgos en aquellos sistemas cuya
importancia para el correcto funcionamiento de la organización es vital. Realizar un
AGR es una tarea costoso en tiempo y esfuerzos, por ello hay que saber hasta donde se
quiere abarcar, que se va a tener en cuenta y que tipo de AGR se va a realizar. En este
proyecto se ha aplicado una metodología específica para llevar a cabo esta tarea:
Magerit. Aplicar un método como el propuesto por Magerit es costoso en tiempo pero
efectivo a la hora de llevar a cabo todos los pasos sin dejar nada a la improvisación o al
descuido. Otra gran ventaja de aplicar Magerit es la posibilidad que se ha tenido de usar
una herramienta informática diseñada específicamente para Magerit. Esta herramienta,
EAR, ha facilitado el análisis, el retroceso en los casos en los que sido necesario, ha
permitido automatizar muchas de las tareas que sin EAR hubiesen supuesto un gran
esfuerzo (generación de informes, mapas, esquemas, etc.).
En relación al sistema analizado, iMat, mencionar que gracias a él se ha podido

comprobar que el punto débil en los sistemas de información no suele estar en el propio
sistema, sino en la forma de gestión: documentación, pruebas periódicas, etc. iMat se ha
mostrado como un sistema robusto, preparado para afrontar las amenazas que pueda
sufrir. El mayor riesgo de iMat se encuentra en la falta de documentación, lo que seria
una grave amenaza en caso de cambio de personal o asignación de nuevas
responsabilidades al personal existente. Esta falta de documentación es algo que falta en
muchos sistemas de información y que ha sido reconocido por multitud de personas que
trabajan en el sector, tanto en el mantenimiento del sistema de información como en la
creación de AGR.
Para concluir, a modo personal, la importancia de este proyecto radica en la posibilidad

de ver que un sistema de información no se queda en la superpie del código o el diseño
de hardware o las comunicaciones; hay toda una estructura detrás que ha de funcionar
para que el sistema no sufra una amenaza frente a la cual no está preparado. Los
recursos técnicos, humanos, la logística, la jerarquía de mando, la división de tareas, la
estructura conocida del sistema, etc. son factores muy importantes en un sistema de
188
Conclusión
información. Diseñar es importante, evaluar es importante, documentar es importante,

planificar es importante, todo es importante en un SI. Pero hay otra propiedad que hay
que tener en cuenta: la seguridad debe ser diseñada e implantada a partir de la
realización de un AGR que permita conocer de forma exacta cuales son los riegos a los
que un sistema está sometido.
Un sistema de información es, en muchos casos, la base para el correcto funcionamiento

de una organización; hay que saber mantenerlo y estar preparado para cualquier
incidencia.
Por último dar las gracias a dos personas que han hecho posible este proyecto y me han
ayudado en todo lo que han podido, dándome consejos y alentándome a realizarlo. Éstas
dos personas son Ramón Arias Ruiz de Somavia quien me ha dirigido y ayudado en
todo lo que le he pedido y ha estado en su mano, y José María Ortíz Lozano quien me
ha proporcionado toda la información que le he pedido acerca de iMat y me ha ayudado
en todo lo que he necesitado, incluso en momentos en los que no tenia tiempo ni para su
propio trabajo. Muchas gracias a los dos.
189
Anexos
190
Anexo Amenazas
Amenazas
Las amenazas presentadas a continuación son las descritas en Magerit y por consiguiente,
las que se aplican en el AGR de iMat, realizado con EAR. Los activos se asocian a las
amenazas que, se cree, pueden sufrir. Esta relación amenaza-activo se encuentra descrita
en Magerit en el capítulo “Catálogo de elementos”. Para ver la relación en iMat se
recomienda consultar el informe mapa de riesgos, obtenido del análisis de riesgos.
[N] Desastres Naturales

[N.1] Fuego
[N.2] Daños por agua
[N.*] Desastres naturales
[I] De origen industrial

[I.1] Fuego
[I.2] Daños por agua
[I.*] Desastres industriales
[I.3] Contaminación mecánica
[I.4] Contaminación electromagnética
[I.5] Avería de origen físico o lógico
[I.6] Corte del suministro eléctrico
[I.7] Condiciones inadecuadas de temperatura y/o humedad
[I.8] Fallo de servicios de comunicaciones
[I.9] Interrupción de otros servicios y suministros esenciales
[I.10] Degradación de los soportes de almacenamiento de la información
[I.11] Emanaciones electromagnéticas
[E] Errores y fallos no intencionados
[E.1] Errores de los usuarios
191
Anexo Amenazas
[E.2] Errores del administrador
[E.3] Errores de monitorización (log)
[E.4] Errores de configuración
[E.7] Deficiencias en la organización
[E.8] Difusión de software dañino
[E.9] Errores de [re-]encaminamiento
[E.10] Errores de secuencia
[E.14] Escapes de información
[E.15] Alteración de la información
[E.16] Introducción de falsa información
[E.17] Degradación de la información
[E.18] Destrucción de la información
[E.19] Divulgación de la información
[E.20] Vulnerabilidades de los programas (software)
[E.21] Errores de mantenimiento/actualización de programas (software)
[E.23] Errores de mantenimiento/actualización de equipos (hardware)
[E.24] Caída del sistema por agotamiento de recursos
[E.28] Indisponibilidad del personal
[A] Ataque deliberados
[A.4] Manipulación de la configuración
[A.5] Suplantación de la identidad del usuario
[A.6] Abuso de privilegios de acceso
[A.7] Uso no previsto
[A.8] Difusión de software dañino
[A.9] [Re-] encaminamiento de mensajes
192
Anexo Amenazas
[A.10] Alteración de la secuencia
[A.11] Acceso no autorizado
[A.12] Análisis de tráfico
[A.13] Repudio
[A.14] Intercepción de información (escucha)
[A.15] Modificación de información
[A.16] Introducción de falsa información
[A.17] Corrupción de la información
[A.18] Destrucción de la información
[A.19] Divulgación de la información
[A.22] Manipulación de programas
[A.24] Denegación de servicio
[A.25] Robo de equipos
[A.26] Ataque destructivo
[A.27] Ocupación enemiga
[A.28] Indisponibilidad del personal
[A.29] Extorsión
[A.30] Ingeriría Social
193
Anexo Definiciones y Acrónimos
Definiciones y Acrónimos
Definiciones
ACREDITACIÓN: Autorización otorgada a un sistema para manejar cierto

tipo de información como, por ejemplo, información
clasificada hasta un determinado nivel y en unas
condiciones especificas.
ACTIVO: Recurso del Sistema de Información o relacionado con

éste, necesario para que la organización funcione
correctamente y alcance los objetivos propuestos por la
dirección.
AMENAZA: Evento que puede desencadenar un incidente en la

organización, produciendo daños o pérdidas materiales o
inmateriales en sus activos.
ANÁLISIS DE RIESGOS: Proceso que permite la identificación de las amenazas que

acechan a los distintos activos del sistema de información
para determinar la vulnerabilidad del sistema ante esas
amenazas y para estimar el impacto o grado de perjuicio
que una seguridad insuficiente puede tener para la
organización, obteniendo cierto conocimiento del riesgo
que se corre.
CONFIDENCIALIDAD: Condición de seguridad que garantiza que la información

no pueda estar disponible o ser descubierta por o para
personas, entidades o procesos no autorizados.
DISPONIBILIDAD: Situación que se produce cuando se puede acceder a la

información contenida en un Sistema, a sus recursos y
servicios, conforme a las especificaciones del mismo.
Previene contra la denegación no autorizada de acceso a
la información o sistemas.
194
GESTIÓN DE RIESGOS: Proceso basado en los resultados obtenidos del Análisis

de Riesgos, que permite seleccionar e implantar las
medidas o salvaguardas de seguridad adecuadas para
conocer, prevenir, impedir, reducir o controlar los riesgos
identificados reduciendo de esta manera al mínimo su
potencialidad o sus posibles perjuicios.
IMPACTO: Consecuencia sobre un activo de la materialización de una

amenaza.
INCIDENTE: Cualquier evento no esperado o no deseado que pueda

comprometer la seguridad del sistema.
INFOSEC: Protección de la información almacenada, procesada o

transmitida, por Sistemas de Información y
Telecomunicaciones, mediante la aplicación de las
medidas necesarias que aseguren o garanticen la
confidencialidad, integridad y disponibilidad de la
información y la integridad y disponibilidad de los
propios sistemas.
INTEGRIDAD: Condición de seguridad que garantiza que la

información/sistema no ha sido modificada o alterada por
personas, entidades o procesos no autorizados.
LIMITACIONES: Son restricciones o factores a considerar cuando se

seleccionan o implantan las salvaguardas de seguridad,
como por ejemplo, limitaciones organizativas, financieras,
ambientales, legales, técnicas, culturales, sociales, etc.
195
POLÍTICA INFOSEC: Conjunto de normas reguladoras, reglas, procedimientos,

responsabilidades y prácticas que determinan el modo en
que los activos, incluyendo la información considerada
como sensible, son gestionados, protegidos y distribuidos
dentro de una organización.
RIESGO RESIDUAL: Es el riesgo que se tiene tras la aplicación de salvaguardas

de seguridad.
RIESGO: Posibilidad de que se produzca un impacto determinado

en un activo, en un conjunto de activos o en toda la
organización causando un daño en alguna de sus
dimensiones.
SALVAGUARDA o Acción, procedimiento o dispositivo físico o lógico que

MEDIDA DE reduce el riesgo.
SEGURIDAD:
SISTEMA DE Conjunto de elementos hardware, software, datos y

INFORMACIÓN; usuarios, que interconectados permiten el
almacenamiento, transmisión, transformación y
recuperación de la información.
VULNERABILIDAD: Debilidad de un activo que puede ser explotada por una

amenaza para materializar una agresión sobre dicho
activo.
196
Acrónimos
AENOR: Asociación Española de Normalización y Certificación.
ADP: Automatic Data Processing.
AGR: Análisis y Gestión de Riesgos.
ASP: Active Server Pages.
CCN: Centro Criptológico Nacional.
CD-ROM: Compact Disc-Read-Only Memory.
CNI: Centro Nacional de Inteligencia.
COM+: Component Object Model.
CPD: Centro de Producción de Documentos.
CSNC: Criterios de Seguridad, Normalización y Conservación.
DES: Data Encryption Standard.
DFD: Data Flor Diagram.
DRES: Declaración de Requisitos Específicos de Seguridad.
EAR: Entorno de Análisis de Riesgos.
HTTP: Hyper Text Transport Protocol.
HTTPS: Hyper Text Transport Protocol Secure.
HW: Hardware.
IEC: International Electrotechnical Commission.
IIS: Internet Information Services/Server.
197
iMat: Sistema de Matriculación de UPCO.
IPSEC: Internet Protocol Secure.
ISDEFE: Ingeniería de Sistema para la Defensa de España S.A.
ISO: International Organization for Standardization.
LAN: Red de Área Local.
MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información.
MAC: Media Access Control.
MS: Microsoft.
OTAN: Organización del Tratado del Atlántico Norte.
PC: Personal Computer.
PILAR: Procedimiento Informático-Lógico para el Análisis de Riesgos
POS: Procedimientos Operativos de Seguridad.
RAIS Redundant Array of Independent Disks.
RD994: Reglamento de medidas de seguridad.
SADT: Structured Analysis and Design Technique.
S.O.: Sistema Operativo.
SAI: Sistema de Alimentación Ininterrumpida.
SCSI: Small Computer System Interface.
SecOPS: Security Operating Procedures.
198
SQL: Structured Query Language.
STIC: Servicio de Sistemas y tecnologías de la Información y Comunicación.
SW: Software.
TCP/IP: Transport Control Protocol / Internet Protocol.
TI: Tecnología de la Información.
UE: Unión Europea.
UNE: Una Norma Española.
UPCO Universidad Pontificia de Comillas.
USB: Universal Serial Bus.
VB 6.0: Visual Basic 6.0.
199
Anexo: Modelo de Valor [IMAT] Sistema de Matriculación
Modelo de Valor
Proyecto: IMAT
Sistema de Matriculación
1. Datos del proyecto .............................................................................. 202
2. Dimensiones......................................................................................... 202
3. Activos ................................................................................................. 202
Árbol de activos ......................................................................................................202
Resumen de valoración ...........................................................................................203
Grupos de activos....................................................................................................205
3.1.1. [SERV] Servidores...................................................................................... 205
3.1.2. [POWER] Sistema de alimentación............................................................ 205
3.1.3. [TEMP] Sistema de climatización .............................................................. 205
Descripción detallada..............................................................................................205
[MAT] Matriculación..............................................................................................205
[IMPR_BEC] Impresión Becarios ..........................................................................206
[I_A] Información Alumnos ...................................................................................206
[I_B] Información Becarios ....................................................................................207
[I_ASIG] Información Asignaturas ........................................................................207
[I_DEP] Información departamentos......................................................................208
[I_STIC] Información STIC ...................................................................................209
[I_CONF] Información de configuración ...............................................................209
[I_LOG] Información de Log .................................................................................209
[I_COD] Código Fuente .........................................................................................210
[IMAT] iMat ...........................................................................................................210
200
[IMATBEC] iMatbecarios ......................................................................................211
[BBDD] SQL Server 2000......................................................................................212
[SO] Sistema Operativo ..........................................................................................212
[AV] Antivirus ........................................................................................................212
[VB] Visual Basic 6.0 .............................................................................................213
[MON_TRANS] Monitor Transaccional ................................................................213
[SERV_BAL] Servidor de balanceo.......................................................................213
[SERV_WEB] Servidores Web ..............................................................................214
[SERV_FICH] Servidor de Ficheros ......................................................................214
[SERV_DAT] Servidor de Datos............................................................................215
[SERV_BACK] Servidor de back-up .....................................................................216
[IMP_BEC] Impresora becarios .............................................................................217
[PC_BEC] PC Becarios ..........................................................................................217
[PC_MAT] PC Matriculación.................................................................................218
[SWITCH] Switch ..................................................................................................218
[CAJ_SEG] Caja de Seguridad...............................................................................219
[LAN] Red de área local .........................................................................................219
[INT] Internet..........................................................................................................220
[FIRE] Firewall.......................................................................................................220
[POWER_AA23] Sistema de Alimentación sala servidores ..................................221
[POWER_AA25] Sistema alimentación sala auxiliar ............................................221
[TEMP_AA23] Sistema de climatización sala servidores......................................222
[TEMP_AA25] sistema climatización sala auxiliar ...............................................222
[SERV_AA23] Servidores......................................................................................222
[SERV_AA25] Servidor auxiliar............................................................................223
[BEC_AA21] Emplazamiento becarios ..................................................................223

201
[ADM] Administradores.........................................................................................224
[SG] Secretaría General ..........................................................................................224
[BEC] Becarios .......................................................................................................224
[ALUM] Alumnos ..................................................................................................225
Datos del proyecto

IMAT Sistema de Matriculación
descripción Sistema de matriculación de la Universidad Pontifica de Comillas.
propietario Eduardo Ferrero Recaséns
organización Universidad Pontificia de Comillas
versión v1
biblioteca [std] Biblioteca estándar (23.4.2006)
Dimensiones
o [D] disponibilidad
o [I] integridad de los datos
o [C] confidencialidad de los datos
Activos
Árbol de activos
[S] Servicios
[I] Información
[A] Aplicaciones
[IMAT] iMat

[AV] Antivirus
[MON_TRANS] Monitor Transaccional
202
[E] Equipamiento
[SERV] Servidores
[SWITCH] Switch
[INT] Internet
[FIRE] Firewall
[L] Locales
[P] Personal
[BEC] Becarios
[ALUM] Alumnos
Resumen de valoración
[S] Servicios
activo [D] [I] [C]
[MAT] Matriculación [7](1)
[IMPR_BEC] Impresión Becarios [3](2)
(1) [7.lg.b] por afectar gravemente a las relaciones con el público en general
(2) [3.po] Orden público: causa de protestas puntuales
[I] Información
activo [D] [I] [C]
[I_A] Información Alumnos [6](1)
[I_ASIG] Información Asignaturas [3](2)
[I_DEP] Información departamentos [3](3)
[I_STIC] Información STIC [2](4)
[I_CONF] Información de configuración [1](5)
203
[I_LOG] Información de Log [1](6) [1](7) [1](8)
(1) [6.lbl] Datos clasificados como de difusión limitada

(4) [2.lbl] Datos clasificados como sin clasificar
(6) [1.olm] Pudiera mermar la eficacia o seguridad de la misión operativa o logística (alcance
local)
(7) [1.lg] Pudiera causar una pérdida menor de la confianza dentro de la Organización
[1.olm] Pudiera mermar la eficacia o seguridad de la misión operativa o logística (alcance
local)
[1.iio] Pudiera causar algún daño menor a misiones importantes de inteligencia o
información
local)
información
[A] Aplicaciones
activo [D] [I] [C]
[IMAT] iMat [7](1)
(1) [7.da] Probablemente cause una interrupción seria de las actividades propias de la
Organización con un impacto significativo en otras organizaciones
[7.adm] Administración y gestión: probablemente impediría la operación efectiva de la
organización
[7.lg.b] por afectar gravemente a las relaciones con el público en general
[7.olm] Probablemente cause perjudique la eficacia o seguridad de la misión operativa o
logística
[7.cei.c] causa de graves pérdidas económicas
[E] Equipamiento
activo [D] [I] [C]
[SERV_WEB] Servidores Web [7](1)
[SERV_BACK] Servidor de back-up [1](2) [2](3)
[IMP_BEC] Impresora becarios [1](4)
[PC_MAT] PC Matriculación [1](5)
[CAJ_SEG] Caja de Seguridad [4](6) [4](7)
(1) [7.adm] Administración y gestión: probablemente impediría la operación efectiva de la

organización
[5.da] Probablemente cause la interrupción de actividades propias de la Organización con
impacto en otras organizaciones
(2) [1.iio] Pudiera causar algún daño menor a misiones importantes de inteligencia o
información
(3) [2.cei.b] de bajo valor comercial
información
(4) [1.po] Orden público: pudiera causar protestas puntuales
[0.1] no afectaría a la seguridad de las personas
204
[0.2] sería causa de inconveniencias mínimas a las partes afectadas

(7) [4.pi1] Información personal: probablemente afecte a un grupo de individuos
[4.pi2] Información personal: probablemente quebrante leyes o regulaciones
[4.crm] Dificulte la investigación o facilite la comisión de delitos
[4.lbl] Datos clasificados como de difusión limitada
Grupos de activos
1.1.1. [SERV] Servidores
o [SERV_BAL] Servidor de balanceo
o [SERV_WEB] Servidores Web
o [SERV_FICH] Servidor de Ficheros
o [SERV_DAT] Servidor de Datos
o [SERV_BACK] Servidor de back-up
1.1.2. [POWER] Sistema de alimentación

o [POWER_AA23] Sistema de Alimentación sala servidores
o [POWER_AA25] Sistema alimentación sala auxiliar
1.1.3. [TEMP] Sistema de climatización

o [TEMP_AA23] Sistema de climatización sala servidores
o [TEMP_AA25] sistema climatización sala auxiliar
Descripción detallada
o [S] Servicios
o [S.pub] al público en general (sin relación contractual)
o [S.ext] a usuarios externos (bajo una relación contractual)
o [S.int] interno (usuarios y medios de la propia organzación)
o [S.www] world wide web
o [S.telnet] acceso remoto a cuenta local
o [S.edi] intercambio electrónico de datos
o [S.idm] gestión de identidades
o [S.ipm] gestión de privilegios
o [S.pki] PKI - infraestructura de clave pública
Plano: [base] Matriculación
Características
descripción Servicio dado por la universidad para la realización la matriculación por Internet
propietario Universidad Pontificia de Comillas
Inferiores (activos de los que depende este)
205
o [I_A] Información Alumnos

o [I_ASIG] Información Asignaturas
o [I_DEP] Información departamentos
o [I_CONF] Información de configuración
Valoración
dimensión valor valor acumulado
[D] disponibilidad [7](1) [7]
(1) [7.lg.b] por afectar gravemente a las relaciones con el público en general

o [S] Servicios
o [S.int] interno (usuarios y medios de la propia organzación)
o [S.idm] gestión de identidades
o [S.ipm] gestión de privilegios
o [S.pki] PKI - infraestructura de clave pública
Características
descripción Servicio suministrado a los becarios para ayudar a los alumnos en la realización de
sus matrículas
o [I_B] Información Becarios
Valoración
(1) [3.po] Orden público: causa de protestas puntuales

o [D] Datos / Información
o [D.adm] datos de interés para la administración pública
o [D.int] datos de gestión interna
o [D.per] datos de carácter personal
o [D.per.A] de nivel alto
Características
Tipo de Información personal de los alumnos de la Universidad Pontificia de
información Comillas
206
Particularidad En este activo se incluye la información de la matrícula.

Superiores (activos que dependen de este)
o [MAT] Matriculación
o [I_LOG] Información de Log
o [IMAT] iMat
o [SG] Secretaría General
Valoración
[D] disponibilidad [7]
[I] integridad de los datos [1]
[C] confidencialidad de los datos [6](1) [6]

o [D.per.A] de nivel alto
Características
Tipo de Información relativa a los becarios que trabajan con iMat y por tanto tienen
información acceso al programa iMatBecarios
o [IMPR_BEC] Impresión Becarios
o [IMATBEC] iMatbecarios
Valoración
[C] confidencialidad de los datos [1]

o [D.conf] datos de configuración
o [D.label] datos clasificados
o [D.label.SC] sin clasificar
207
Características
Tipo de Información relativa a las asignaturas existentes en la universidad y que
información pueden llegar a impartirse
o [IMAT] iMat
Valoración

o [D.label.C] confidencial
o [D.label.DL] difusión limitada
Características
Tipo de activo Información relativa a los departamentos de la universidad
Particularidad Incluye la información perteneciente a las reglas a aplicar para cada alumno a la
hora de realizar su matrícula
o [IMAT] iMat
Valoración
208

Características
Tipo de información Información relativa al personal de STIc relacionado con iMat
o [IMAT] iMat
Valoración

o [D.conf] datos de configuración
Características
Tipo de Información relativa a la configuración de iMat así como a los distintos tipos
información de acceso posibles
o [IMAT] iMat
Valoración

o [D.log] registro de actividad (log)
209
Características
Tipo de información Información histórica del uso de iMat o iMatBecarios
Valoración
[I] integridad de los datos [1](2) [1]
(3)
[C] confidencialidad de los datos [1] [1]
(1) [1.olm] Pudiera mermar la eficacia o seguridad de la misión operativa o logística (alcance
local)
local)
información
local)
información

o [D.source] código fuente
Características
Tipo de información Código fuente de iMat
Particularidad Necesario para modificar iMat pero no para su funcionamiento.
Valoración
[IMAT] iMat
o [SW] Aplicaciones (software)
o [SW.prp] desarrollo propio (in house)
210
Características
Propósito Aplicación usada por los alumnos para realizar la matricula a través de Internet.
o [I_STIC] Información STIC
o [BBDD] SQL Server 2000
o [ALUM] Alumnos
Valoración
(1) [7.da] Probablemente cause una interrupción seria de las actividades propias de la
Organización con un impacto significativo en otras organizaciones
[7.adm] Administración y gestión: probablemente impediría la operación efectiva de la
organización
[7.lg.b] por afectar gravemente a las relaciones con el público en general
[7.olm] Probablemente cause perjudique la eficacia o seguridad de la misión operativa o
logística
[7.cei.c] causa de graves pérdidas económicas
o [SW.prp] desarrollo propio (in house)
Características
Propósito Ayuda a los becarios a dar soporte a los alumnos a la hora de realizar e imprimir la
matrícula
o [I_STIC] Información STIC
211

o [BEC] Becarios
Valoración

o [SW.std] estándar (off the shelf)
o [SW.std.dbms] sistema de gestión de bases de datos
Características
descripción Almacena toda la información que la universidad posee
o [IMAT] iMat
o [ADM] Administradores
Valoración

o [SW.std.os] sistema operativo
Valoración
[AV] Antivirus
o [SW.std.av] anti virus
212
Valoración

o [SW.std.other] otra ...
Valoración

o [SW.std.tm] monitor transaccional
Valoración

o [SW.std.directory] servidor de directorio
o [HW] Equipamiento informático (hardware)
o [HW.host] grandes equipos
o [HW.network] soporte de la red
Características
descripción Balancea la carga de trabajo hacia los tres servidores Web
cantidad 1
213

o [FIRE] Firewall
Valoración

o [SW.std.www] servidor de presentación
o [SW.std.file] servidor de ficheros
o [SW.std.ts] servidor de terminales
Características
descripción Servidores de presentación desde donde se cargan las páginas ASP mostradas a los
alumnos
cantidad 3 (por ser los más propensos a fallos)
Localización Alberto Aguilera 23. Tercera planta, habitación de servidores de STIC
o [IMAT] iMat
Valoración
(1) [7.adm] Administración y gestión: probablemente impediría la operación efectiva de la

organización
[5.da] Probablemente cause la interrupción de actividades propias de la Organización con
impacto en otras organizaciones
214

o [D.source] código fuente
o [D.exe] código ejecutable
o [SW.std.app] servidor de aplicaciones
o [HW.data] que almacena datos
o [HW.peripheral] periféricos
o [HW.peripheral.crypto] dispositivos criptográficos
Características
descripción Capa de negocio
cantidad 1
o [I_COD] Código Fuente
Valoración

o [SW.std.dbms] sistema de gestión de bases de datos
o [HW.peripheral.crypto] dispositivos criptográficos
Características
descripción Servidor donde se encuentra la Base de datos que contienen toda la información
cantidad 1 (+ 1 de reserva)
215
Localización Alberto Aguilera 23, Tercera panta, habitación de servidores situado en STIC
Disponibilidad Asegurada mediante un HW idéntico de reserva por si hay que hacer un recambio
de componentes o un cambio completo de la máquina. A su vez existe una
garantía 24x7x4. Usa discos RAID
Back-up se hace una copia cada cinco minutos en un servidor localizado en un lugar
remoto (Alberto Aguilera 21)
o [FIRE] Firewall
Valoración

o [SW.std.backup] sistema de backup
Características
descripción Almacena toda la información con 5 minutos de diferencia con el servidor principal
propietario Universidad Pontrificia de Comillas
cantidad 1
Localización Alverto Aguilera 21. Primera planta
Valoración
(1) [1.iio] Pudiera causar algún daño menor a misiones importantes de inteligencia o
información
(2) [2.cei.b] de bajo valor comercial
216
información

o [HW.easy] fácilmente reeemplazable
o [HW.peripheral.print] medios de impresión
Características
propósito Usado para imprimir las matrículas desde el puesto de trabajo de los becarios
propietario Universidad Pontificia de COmillas
cantidad 1
o [PC_BEC] PC Becarios
Valoración

[0.1] no afectaría a la seguridad de las personas
[0.2] sería causa de inconveniencias mínimas a las partes afectadas
o [SW.std.browser] navegador web
o [HW.pc] informática personal
Características
Propósito Usado para dar soporte a los alumnos en tiempo de matriculación
cantidad 2
o [IMP_BEC] Impresora becarios
o [LAN] Red de área local
o [BEC_AA21] Emplazamiento becarios
217
Valoración
o [SW.std.browser] navegador web
o [SW.std.www] servidor de presentación
o [SW.std.other] otra ...
o [HW.pc] informática personal
Características
descripción Empleados por los alumnos para realizar la matriculación por Internet desde la
universidad. Acceden a la Intranet directamente
cantidad 10
o [BEC_AA21] Emplazamiento becarios
Valoración
[SWITCH] Switch
o [HW.network.switch] switches
o [HW.network.firewall] cortafuegos
o [HW.network.wap] punto de acceso wireless
Características
descripción Switch y firewall
cantidad 1
o [FIRE] Firewall
218

o [INT] Internet
o [SERV_AA23] Servidores
Valoración

o [D.log] registro de actividad (log)
o [D.label.S] secreto
o [D.label.R] reservado
o [D.label.C] confidencial
o [D.label.DL] difusión limitada
o [D.label.SC] sin clasificar
o [AUX] Equipamiento auxiliar
o [AUX.safe] cajas fuertes
Características
cantidad 1
Valoración
(2)
[C] confidencialidad de los datos [4] [4]

(2) [4.pi1] Información personal: probablemente afecte a un grupo de individuos
[4.pi2] Información personal: probablemente quebrante leyes o regulaciones
[4.crm] Dificulte la investigación o facilite la comisión de delitos
[4.lbl] Datos clasificados como de difusión limitada

o [COM] Redes de comunicaciones
o [COM.radio] red inalámbrica
o [COM.LAN] red local
219

o [PC_MAT] PC Matriculación
o [SWITCH] Switch
o [SERV_AA25] Servidor auxiliar
Valoración
[INT] Internet
o [COM] Redes de comunicaciones
o [COM.Internet] Internet
o [COM.other] otras ...
Características
descripción Se compone de dos fibras ópticas suministradas por la RedIRIS
propietario RedIRIS
cantidad 2
o [SWITCH] Switch
Valoración
[FIRE] Firewall
o [SW.std.av] anti virus
o [HW.network.firewall] cortafuegos
Características
descripción Firewall que protege al sistema de Comillas
cantidad 1
disponibiliad Su fallo puede desencadenar fallos en cadena muy graves que afectan al servidor
220
de datos (BBDD), al de ficheros, al de balanceo y a los servidores Web. Esto

desencadenaria un error en cadena en todo el sistema de información
o [SWITCH] Switch
Valoración

o [AUX.power] fuentes de alimentación
o [AUX.ups] sai - sistemas de alimentación ininterrumpida
o [AUX.gen] generadores eléctricos
o [AUX.cabling] cableado

Valoración

o [AUX.power] fuentes de alimentación
o [AUX.ups] sai - sistemas de alimentación ininterrumpida
o [AUX.gen] generadores eléctricos
o [AUX.cabling] cableado

Valoración
221


o [AUX.ac] equipos de climatización

Valoración

o [AUX.ac] equipos de climatización

Valoración
o [L] Instalaciones
o [L.site] emplazamiento
o [L.building] edificio
Características
Localización Alberto Aguilera 23. Tercera planta. Dicha planta es la planta donde se encuentra
STIC.
Seguridad Para acceder a la habitación de los servidores hay que disponer de una tarjeta de
acceso que sólo posee el personal autorizado.
222

o [SWITCH] Switch
o [POWER_AA23] Sistema de Alimentación sala servidores
o [TEMP_AA23] Sistema de climatización sala servidores
Valoración

o [L] Instalaciones
o [L.building] edificio
Características
Localización Localizado en Alberto Aguilera 25
Valoración

o [L] Instalaciones
Características
Localización Se encuentra en el pasillo de la primera planta de Alberto Aguilera 21. se compone
de dos lugares de trabajo con un ordenador cada uno y una impresora compartida
que sólo sirve para imprimir matrículas.
o [PC_MAT] PC Matriculación
Valoración
223
o [P] Personal
o [P.adm] administradores de sistemas
o [P.com] administradores de comunicaciones
o [P.dba] administradores de BBDD

o [SWITCH] Switch
Valoración

o [P] Personal
o [P.ui] usuarios internos
o [P.op] operadores

Valoración
[BEC] Becarios
o [P] Personal
o [P.op] operadores
224

Valoración
[ALUM] Alumnos
o [P] Personal
o [P.ue] usuarios externos

o [IMAT] iMat
Valoración
225
Anexo: Mapa de Riesgos [IMAT] Sistema de Matriculación
Mapa de Riesgos
Proyecto: IMAT
2. Dimensiones......................................................................................... 230
3. Amenazas por activo .......................................................................... 230
3.1. [MAT] Matriculación.......................................................................................230
3.2. [IMPR_BEC] Impresión Becarios ...................................................................230
3.3. [I_A] Información Alumnos ............................................................................230
3.4. [I_B] Información Becarios .............................................................................231
3.5. [I_ASIG] Información Asignaturas .................................................................231
3.6. [I_DEP] Información departamentos ...............................................................231
3.7. [I_STIC] Información STIC ............................................................................232
3.8. [I_CONF] Información de configuración ........................................................232
3.9. [I_LOG] Información de Log ..........................................................................232
3.10. [I_COD] Código Fuente ................................................................................232
3.11. [IMAT] iMat ..................................................................................................233
3.12. [IMATBEC] iMatbecarios .............................................................................233
3.13. [BBDD] SQL Server 2000.............................................................................234
3.14. [SO] Sistema Operativo .................................................................................234
3.15. [AV] Antivirus ...............................................................................................234
3.16. [VB] Visual Basic 6.0 ....................................................................................235
3.18. [SERV_BAL] Servidor de balanceo..............................................................236
3.19. [SERV_WEB] Servidores Web .....................................................................237
226
3.20. [SERV_FICH] Servidor de Ficheros .............................................................237
3.21. [SERV_DAT] Servidor de Datos...................................................................238
3.22. [SERV_BACK] Servidor de back-up ............................................................239
3.23. [IMP_BEC] Impresora becarios ....................................................................240
3.24. [PC_BEC] PC Becarios .................................................................................240
3.25. [PC_MAT] PC Matriculación........................................................................241
3.26. [SWITCH] Switch .........................................................................................241
3.27. [CAJ_SEG] Caja de Seguridad......................................................................242
3.28. [LAN] Red de área local ................................................................................242
3.29. [INT] Internet.................................................................................................243
3.30. [FIRE] Firewall..............................................................................................243
3.31. [POWER_AA23] Sistema de Alimentación sala servidores .........................244
3.32. [POWER_AA25] Sistema alimentación sala auxiliar ...................................244
3.33. [TEMP_AA23] Sistema de climatización sala servidores.............................245
3.34. [TEMP_AA25] sistema climatización sala auxiliar ......................................245
3.35. [SERV_AA23] Servidores.............................................................................245
3.36. [SERV_AA25] Servidor auxiliar...................................................................245
3.37. [BEC_AA21] Emplazamiento becarios .........................................................246
3.38. [ADM] Administradores................................................................................246
3.39. [SG] Secretaría General .................................................................................246
3.40. [BEC] Becarios ..............................................................................................246
3.41. [ALUM] Alumnos .........................................................................................246
4. Activos por amenaza .......................................................................... 247
4.1. [N.1] Fuego ......................................................................................................247
4.2. [N.2] Daños por agua.......................................................................................247
227
4.3. [N.*] Desastres naturales .................................................................................247
4.4. [I.1] Fuego........................................................................................................247
4.5. [I.2] Daños por agua ........................................................................................248
4.6. [I.*] Desastres industriales...............................................................................248
4.7. [I.3] Contaminación mecánica .........................................................................248
4.8. [I.4] Contaminación electromagnética.............................................................249
4.9. [I.5] Avería de origen físico o lógico...............................................................249
4.10. [I.6] Corte del suministro eléctrico ................................................................250
4.11. [I.7] Condiciones inadecuadas de temperatura y/o humedad ........................250
4.12. [I.8] Fallo de servicios de comunicaciones....................................................250
4.13. [I.9] Interrupción de otros servicios y suministros esenciales .......................250
4.14. [I.11] Emanaciones electromagnéticas ..........................................................251
4.15. [E.1] Errores de los usuarios..........................................................................251
4.16. [E.2] Errores del administrador......................................................................251
4.17. [E.3] Errores de monitorización (log)............................................................252
4.18. [E.4] Errores de configuración.......................................................................252
4.19. [E.7] Deficiencias en la organización ............................................................253
4.20. [E.8] Difusión de software dañino .................................................................253
4.21. [E.9] Errores de [re-]encaminamiento ...........................................................254
4.22. [E.10] Errores de secuencia ...........................................................................254
4.23. [E.14] Escapes de información ......................................................................254
4.24. [E.15] Alteración de la información ..............................................................255
4.25. [E.16] Introducción de falsa información ......................................................255
4.26. [E.17] Degradación de la información...........................................................255
4.27. [E.18] Destrucción de la información............................................................255
4.28. [E.19] Divulgación de información ...............................................................255

228
4.29. [E.20] Vulnerabilidades de los programas (software) ...................................256
4.30. [E.21] Errores de mantenimiento / actualización de programas (software)...256
4.31. [E.23] Errores de mantenimiento / actualización de equipos (hardware)......257
4.32. [E.24] Caída del sistema por agotamiento de recursos ..................................257
4.33. [E.28] Indisponibilidad del personal..............................................................257
4.34. [A.4] Manipulación de la configuración ........................................................257
4.35. [A.5] Suplantación de la identidad del usuario..............................................258
4.36. [A.6] Abuso de privilegios de acceso ............................................................258
4.37. [A.8] Difusión de software dañino.................................................................259
4.38. [A.9] [Re-]encaminamiento de mensajes.......................................................259
4.39. [A.10] Alteración de secuencia......................................................................259
4.40. [A.11] Acceso no autorizado .........................................................................260
4.41. [A.12] Análisis de tráfico...............................................................................261
4.42. [A.14] Intercepción de información (escucha) ..............................................261
4.43. [A.15] Modificación de información .............................................................261
4.44. [A.16] Introducción de falsa información......................................................261
4.45. [A.17] Corrupción de la información.............................................................261
4.46. [A.18] Destrucción de la información ...........................................................262
4.47. [A.19] Divulgación de información...............................................................262
4.48. [A.22] Manipulación de programas ...............................................................262
4.49. [A.24] Denegación de servicio ......................................................................262
4.50. [A.25] Robo de equipos .................................................................................263
4.51. [A.26] Ataque destructivo..............................................................................263
4.52. [A.28] Indisponibilidad del personal .............................................................263
4.53. [A.29] Extorsión ............................................................................................263
4.54. [A.30] Ingeniería social .................................................................................264

229
1. Datos del proyecto

versión v1
Dimensiones
o [D] disponibilidad
o [I] integridad de los datos
o [C] confidencialidad de los datos
Amenazas por activo

amenaza frecuencia [D] [I] [C]
[E.1] Errores de los usuarios 100 10% 30%
[E.2] Errores del administrador 20 50% 20%
[E.3] Errores de monitorización (log) 1 20% 20%
[E.4] Errores de configuración 0,5 80% 10%
[E.10] Errores de secuencia 0,5 10%
[E.24] Caída del sistema por agotamiento de recursos 0,4 100%
[A.4] Manipulación de la configuración 0,1 50% 10%
[A.5] Suplantación de la identidad del usuario 100 40%
[A.6] Abuso de privilegios de acceso 10 10%
[A.10] Alteración de secuencia 0,1 10%
[A.11] Acceso no autorizado 100 30%
[A.24] Denegación de servicio 10 30%

[E.1] Errores de los usuarios 30 10%
[E.2] Errores del administrador 1 50%
[E.3] Errores de monitorización (log) 1 20%
[E.4] Errores de configuración 0,5 80%
[E.10] Errores de secuencia 0,5
[E.24] Caída del sistema por agotamiento de recursos 0,4 100%
[A.4] Manipulación de la configuración 0,1 50%
[A.5] Suplantación de la identidad del usuario 0,1
[A.6] Abuso de privilegios de acceso 10
[A.10] Alteración de secuencia 0,1
[A.11] Acceso no autorizado 0,5

230

[E.2] Errores del administrador 50 40% 20% 10%
[E.4] Errores de configuración 0,5 50% 20% 20%
[E.15] Alteración de la información 10 30%
[E.16] Introducción de falsa información 100 30%
[E.18] Destrucción de la información 10 20%
[E.19] Divulgación de información 1 40%
[A.4] Manipulación de la configuración 0,1 50% 10% 50%
[A.11] Acceso no autorizado 100 30% 50%
[A.15] Modificación de información 10 60%
[A.16] Introducción de falsa información 20 80%
[A.17] Corrupción de la información 10 80%
[A.18] Destrucción de la información 10 100%
[A.19] Divulgación de información 10 100%

[E.3] Errores de monitorización (log) 1


231


[E.4] Errores de configuración 0,5 10%
[E.15] Alteración de la información 10
[E.16] Introducción de falsa información 100
[A.15] Modificación de información 10



[E.1] Errores de los usuarios 10
[E.2] Errores del administrador 1
[E.4] Errores de configuración 0,5
[E.14] Escapes de información 1
[E.15] Alteración de la información 10
[E.17] Degradación de la información 10
[E.18] Destrucción de la información 10
[E.19] Divulgación de información 1
[A.4] Manipulación de la configuración 0,1
[A.11] Acceso no autorizado 100
[A.14] Intercepción de información (escucha) 10
[A.15] Modificación de información 10
[A.16] Introducción de falsa información 20
[A.17] Corrupción de la información 10
[A.18] Destrucción de la información 10
232
[A.19] Divulgación de información 10
[IMAT] iMat
[I.5] Avería de origen físico o lógico 1 50%
[E.1] Errores de los usuarios 100 20% 50% 10%
[E.4] Errores de configuración 2 50% 10% 10%
[E.8] Difusión de software dañino 100 50% 50% 50%
[E.9] Errores de [re-]encaminamiento 0,5 1% 10%
[E.14] Escapes de información 0,5 20%
[E.20] Vulnerabilidades de los programas (software) 1 1% 20% 20%
[E.21] Errores de mantenimiento / actualización de 10 40% 40% 40%
programas (software)
[A.4] Manipulación de la configuración 1 50% 50% 50%
[A.5] Suplantación de la identidad del usuario 100 40% 50% 80%
[A.6] Abuso de privilegios de acceso 5 10% 10%
[A.8] Difusión de software dañino 10 100% 100% 100%
[A.9] [Re-]encaminamiento de mensajes 0,1 10% 100%
[A.14] Intercepción de información (escucha) 0,5 50%
[A.22] Manipulación de programas 20 100% 100% 100%
[A.5] Suplantación de la identidad del usuario 20 50% 50%
[A.22] Manipulación de programas 20 100% 100%
233


[I.5] Avería de origen físico o lógico 1
[E.4] Errores de configuración 2
[E.8] Difusión de software dañino 100
[E.9] Errores de [re-]encaminamiento 0,5
[E.14] Escapes de información 0,5
[E.20] Vulnerabilidades de los programas (software) 1
[E.21] Errores de mantenimiento / actualización de programas 10
(software)
[A.4] Manipulación de la configuración 1
[A.5] Suplantación de la identidad del usuario 20
[A.8] Difusión de software dañino 10
[A.9] [Re-]encaminamiento de mensajes 0,1
[A.14] Intercepción de información (escucha) 0,5
[A.22] Manipulación de programas 20
[AV] Antivirus
234

(software)

(software)
1.1. [MON_TRANS] Monitor Transaccional

235

(software)

[N.*] Desastres naturales 0,1 100%
[I.1] Fuego 0,5 100%
[I.*] Desastres industriales 0,1 100%
[I.3] Contaminación mecánica 0,1 50%
[I.4] Contaminación electromagnética 1 10%
[I.6] Corte del suministro eléctrico 1 100%
[I.7] Condiciones inadecuadas de temperatura y/o humedad 20 100%
[I.11] Emanaciones electromagnéticas 1 1%
[E.9] Errores de [re-]encaminamiento 30 60% 10% 10%
[E.23] Errores de mantenimiento / actualización de equipos 1 10%
(hardware)
[E.24] Caída del sistema por agotamiento de recursos 10 50%
236

[A.25] Robo de equipos 1 100% 10%
[A.26] Ataque destructivo 0,1 100%

[I.1] Fuego 0,5 100%
(hardware)

[I.1] Fuego 0,5 100%
237

[E.14] Escapes de información 1 1%
[E.17] Degradación de la información 10 1%
(hardware)
[A.14] Intercepción de información (escucha) 10 50%
[A.16] Introducción de falsa información 100 100%
[A.25] Robo de equipos 1 100% 100% 100%
[A.26] Ataque destructivo 0,1 100% 70%

[I.1] Fuego 0,5 100%
238

(hardware)
[A.4] Manipulación de la configuración 1 50%
50% 50%

[I.1] Fuego 0,5 100%
[I.11] Emanaciones electromagnéticas 1
[E.2] Errores del administrador 2 50% 20%
[E.4] Errores de configuración 2 50% 10%
[E.8] Difusión de software dañino 100 10% 10%
[E.9] Errores de [re-]encaminamiento 0,5 1%
[E.20] Vulnerabilidades de los programas (software) 1 1% 20%
[E.21] Errores de mantenimiento / actualización de programas 10 1% 1%
(software)
239

(hardware)
[A.4] Manipulación de la configuración 1 50% 50%
[A.6] Abuso de privilegios de acceso 5 10%
[A.8] Difusión de software dañino 10 100% 100%
[A.25] Robo de equipos 1 100%

[I.1] Fuego 0,5 100%
[E.4] Errores de configuración 1 50%
(hardware)
[I.1] Fuego 0,5 100%
[E.8] Difusión de software dañino 100 10%
[E.20] Vulnerabilidades de los programas (software) 1 1%
[E.21] Errores de mantenimiento / actualización de programas 10 1%
(software)
240
(hardware)
[A.8] Difusión de software dañino 10 100%
[I.1] Fuego 0,5 100%
[E.8] Difusión de software dañino 100 10%
[E.20] Vulnerabilidades de los programas (software) 1 1%
[E.21] Errores de mantenimiento / actualización de programas 10 1%
(software)
(hardware)
[A.8] Difusión de software dañino 10 100%
[A.26] Ataque destructivo 100 100%
[SWITCH] Switch
241

[I.1] Fuego 0,5 100%
(hardware)
[A.6] Abuso de privilegios de acceso 0,5 10% 50%

[N.1] Fuego 0,1
[N.2] Daños por agua 0,1
[N.*] Desastres naturales 0,1
[I.1] Fuego 0,5
[I.2] Daños por agua 0,5
[I.*] Desastres industriales 0,1
[I.3] Contaminación mecánica 0,5
[I.4] Contaminación electromagnética 1
[I.7] Condiciones inadecuadas de temperatura y/o humedad 5
[E.17] Degradación de la información 10 1%
[E.18] Destrucción de la información 10
[A.18] Destrucción de la información 10

[N.1] Fuego 0,1 100%
[N.2] Daños por agua 0,1 50%
242

[I.8] Fallo de servicios de comunicaciones 50 100%
[E.9] Errores de [re-]encaminamiento 5 1% 1%
[E.10] Errores de secuencia 2 10%
[E.14] Escapes de información 2 1%
[A.9] [Re-]encaminamiento de mensajes 2 10% 10%
[A.12] Análisis de tráfico 0,33 2%
[INT] Internet
[N.1] Fuego 0,1 100%
[N.2] Daños por agua 0,1 50%
[I.8] Fallo de servicios de comunicaciones 100 100%
[E.9] Errores de [re-]encaminamiento 5 1% 1%
[E.10] Errores de secuencia 2 10%
[A.9] [Re-]encaminamiento de mensajes 2 10% 10%
[A.12] Análisis de tráfico 0,33 2%
[FIRE] Firewall
243
[I.1] Fuego 0,5 100%

(hardware)

[I.1] Fuego 0,5 100%
[I.9] Interrupción de otros servicios y suministros esenciales 1 50%

[N.*] Desastres naturales 30 50%
[I.1] Fuego 30 50%
244

[I.3] Contaminación mecánica 1 50%

[I.1] Fuego 0,5 100%
[I.2] Daños por agua 0,5 50%

[I.1] Fuego 0,5 50%
[I.2] Daños por agua 0,5 50%
[I.1] Fuego 1 50%
[I.*] Desastres industriales 1 50%
[A.11] Acceso no autorizado 0,5 10% 10%
[A.26] Ataque destructivo 0,5 100% 50%

[I.1] Fuego 1
245


[I.1] Fuego 1
[E.7] Deficiencias en la organización 1 10%
[E.28] Indisponibilidad del personal 1 1%
[A.28] Indisponibilidad del personal 1 10%
[A.29] Extorsión 0,9 100% 100%
[A.30] Ingeniería social 0,5 100% 100%

[A.29] Extorsión 0,9 100% 100%
[BEC] Becarios
[A.29] Extorsión 0,9 100% 100%
[ALUM] Alumnos
[A.29] Extorsión 0,9 100% 100%
246
Activos por amenaza

[N.1] Fuego
activo frecuencia [D] [I] [C]
[CAJ_SEG] Caja de Seguridad 0,1
[LAN] Red de área local 0,1 100%
[INT] Internet 0,1 100%
[N.2] Daños por agua

[N.*] Desastres naturales

[SERV_BAL] Servidor de balanceo 0,1 100%
[SERV_FICH] Servidor de Ficheros 0,1 100%
[SERV_DAT] Servidor de Datos 0,1 100%
[SERV_BACK] Servidor de back-up 0,1 100%
[IMP_BEC] Impresora becarios 0,1 100%
[PC_BEC] PC Becarios 0,1 100%
[PC_MAT] PC Matriculación 0,1 100%
[SWITCH] Switch 0,1 100%
[FIRE] Firewall 0,1 100%
[POWER_AA23] Sistema de Alimentación sala servidores 0,1 100%
[POWER_AA25] Sistema alimentación sala auxiliar 30 50%
[TEMP_AA23] Sistema de climatización sala servidores 0,1 100%
[TEMP_AA25] sistema climatización sala auxiliar 0,1 50%
[SERV_AA23] Servidores 0,5 50%
[SERV_AA25] Servidor auxiliar 0,5 50%
[BEC_AA21] Emplazamiento becarios 0,5 50%
[I.1] Fuego
[SERV_WEB] Servidores Web 0,5 100%
247

[SERV_AA23] Servidores 1 50%
[SERV_AA25] Servidor auxiliar 1
[BEC_AA21] Emplazamiento becarios 1
[I.2] Daños por agua

[I.*] Desastres industriales

[POWER_AA25] Sistema alimentación sala auxiliar 0,1 50%
[SERV_AA23] Servidores 1 50%
[SERV_AA25] Servidor auxiliar 1 50%
[BEC_AA21] Emplazamiento becarios 1 50%
[I.3] Contaminación mecánica

248

[I.4] Contaminación electromagnética

[SERV_BAL] Servidor de balanceo 1 10%
[SERV_WEB] Servidores Web 1 10%
[SERV_FICH] Servidor de Ficheros 1 10%
[SERV_DAT] Servidor de Datos 1 10%
[SERV_BACK] Servidor de back-up 1 10%
[IMP_BEC] Impresora becarios 1 10%
[PC_BEC] PC Becarios 1 10%
[PC_MAT] PC Matriculación 1 10%
[SWITCH] Switch 1 10%
[CAJ_SEG] Caja de Seguridad 1
[LAN] Red de área local 1 10%
[INT] Internet 1 10%
[FIRE] Firewall 1 10%
[POWER_AA23] Sistema de Alimentación sala servidores 1 10%
[TEMP_AA23] Sistema de climatización sala servidores 1 10%
[TEMP_AA25] sistema climatización sala auxiliar 1 10%
[I.5] Avería de origen físico o lógico

[IMAT] iMat 1 50%
[IMATBEC] iMatbecarios 1 50%
[BBDD] SQL Server 2000 1 50%
[SO] Sistema Operativo 1
[AV] Antivirus 1
[VB] Visual Basic 6.0 1
[MON_TRANS] Monitor Transaccional 1
249
[I.6] Corte del suministro eléctrico

[I.7] Condiciones inadecuadas de temperatura y/o humedad

[I.8] Fallo de servicios de comunicaciones

[I.9] Interrupción de otros servicios y suministros

esenciales
250

[I.11] Emanaciones electromagnéticas

[SERV_BACK] Servidor de back-up 1
[IMP_BEC] Impresora becarios 1
[PC_BEC] PC Becarios 1
[PC_MAT] PC Matriculación 1
[INT] Internet 1 1%
[E.1] Errores de los usuarios

[MAT] Matriculación 100 10% 30%
[IMPR_BEC] Impresión Becarios 30 10%
[I_A] Información Alumnos 100 10% 30%
[I_B] Información Becarios 100 10% 10%
[I_COD] Código Fuente 10
[IMAT] iMat 100 20% 50% 10%
[IMATBEC] iMatbecarios 100 1% 10%
[BBDD] SQL Server 2000 100 1% 10%
[AV] Antivirus 20
[SERV_BAL] Servidor de balanceo 20 1% 10%
[SERV_WEB] Servidores Web 20 1% 10%
[SERV_FICH] Servidor de Ficheros 20 10% 10%
[SERV_DAT] Servidor de Datos 20 1% 10%
[SERV_BACK] Servidor de back-up 20 1% 10%
[FIRE] Firewall 20 1% 10%
[E.2] Errores del administrador

[I_A] Información Alumnos 50 40% 20% 10%
[I_B] Información Becarios 20 20% 20% 10%
[I_ASIG] Información Asignaturas 1 50% 20% 10%
251
[I_DEP] Información departamentos 1 20% 20% 10%

[I_STIC] Información STIC 1 10%
[I_CONF] Información de configuración 1 20% 20% 10%
[IMAT] iMat 2 20% 20% 10%
[IMATBEC] iMatbecarios 2 20% 20% 10%
[BBDD] SQL Server 2000 40 20% 20% 10%
[AV] Antivirus 2
[SERV_BAL] Servidor de balanceo 2 50% 20% 10%
[SERV_WEB] Servidores Web 2 50% 20% 10%
[SERV_FICH] Servidor de Ficheros 2 50% 20% 10%
[SERV_DAT] Servidor de Datos 2 50% 20% 10%
[SWITCH] Switch 1 50% 1% 10%
[LAN] Red de área local 1 50% 1% 10%
[INT] Internet 1 50% 1% 10%
[FIRE] Firewall 2 50% 20% 10%
[E.3] Errores de monitorización (log)

[I_A] Información Alumnos 1 50%
[I_B] Información Becarios 1
[I_ASIG] Información Asignaturas 1
[I_CONF] Información de configuración 1
[I_LOG] Información de Log 1
[IMAT] iMat 1 20%
[IMATBEC] iMatbecarios 1
[BBDD] SQL Server 2000 1
[AV] Antivirus 1
[SERV_BAL] Servidor de balanceo 1
[SERV_WEB] Servidores Web 1
[SERV_FICH] Servidor de Ficheros 1
[SERV_DAT] Servidor de Datos 1
[SERV_BACK] Servidor de back-up 1
[E.4] Errores de configuración

252
[MAT] Matriculación 0,5 80% 10%

[IMPR_BEC] Impresión Becarios 0,5 80%
[I_A] Información Alumnos 0,5 50% 20%
20%
[I_B] Información Becarios 0,5 50% 10%
10%
[I_ASIG] Información Asignaturas 0,5 50% 10%
10%
[I_DEP] Información departamentos 0,5 50% 10%
10%
[I_STIC] Información STIC 0,5 10%
[I_CONF] Información de configuración 0,5 50% 10% 10%
[I_LOG] Información de Log 0,5 50% 10% 10%
[I_COD] Código Fuente 0,5
[IMAT] iMat 2 50% 10% 10%
[BBDD] SQL Server 2000 2 50% 10% 10%
[AV] Antivirus 2
[SWITCH] Switch 1 50% 1% 10%
[INT] Internet 1 50% 1% 10%
[E.7] Deficiencias en la organización

[ADM] Administradores 1 10%
[SG] Secretaría General 1 10%
[BEC] Becarios 1 10%
[E.8] Difusión de software dañino

[IMAT] iMat 100 50% 50% 50%
[BBDD] SQL Server 2000 100 10% 10% 10%
[AV] Antivirus 100
253

[FIRE] Firewall 100 10% 10% 10%
[E.9] Errores de [re-]encaminamiento

[IMAT] iMat 0,5 1% 10%
[IMATBEC] iMatbecarios 0,5 1% 10%
[BBDD] SQL Server 2000 0,5 1% 10%
[SO] Sistema Operativo 0,5
[AV] Antivirus 0,5
[VB] Visual Basic 6.0 0,5
[MON_TRANS] Monitor Transaccional 0,5
[SERV_WEB] Servidores Web 0,5 1% 10%
[SERV_FICH] Servidor de Ficheros 0,5 1% 10%
[SERV_DAT] Servidor de Datos 0,5 1% 10%
[PC_MAT] PC Matriculación 0,5
[LAN] Red de área local 5 1% 1%
[INT] Internet 5 1% 1%
[FIRE] Firewall 0,5 1% 10%
[E.10] Errores de secuencia

[MAT] Matriculación 0,5 10%
[IMPR_BEC] Impresión Becarios 0,5
[IMAT] iMat 0,1 10%
[IMATBEC] iMatbecarios 0,1 10%
[BBDD] SQL Server 2000 0,1 10%
[AV] Antivirus 0,1
[PC_BEC] PC Becarios 0,1
[E.14] Escapes de información

[IMAT] iMat 0,5 20%
254

[AV] Antivirus 0,5
[SERV_BACK] Servidor de back-up 0,5
[E.15] Alteración de la información

[I_B] Información Becarios 10 1%
[I_ASIG] Información Asignaturas 10 40%
[I_DEP] Información departamentos 10 1%
[I_STIC] Información STIC 10
[E.16] Introducción de falsa información

[I_CONF] Información de configuración 100 1%
[E.17] Degradación de la información

[CAJ_SEG] Caja de Seguridad 10 1%
[E.18] Destrucción de la información

[E.19] Divulgación de información

255

[ADM] Administradores 1
[SG] Secretaría General 1
[BEC] Becarios 1
[ALUM] Alumnos 1
[E.20] Vulnerabilidades de los programas (software)

[IMAT] iMat 1 1% 20% 20%
[BBDD] SQL Server 2000 1 1% 20% 20%
[AV] Antivirus 1
[E.21] Errores de mantenimiento / actualización de

[IMAT] iMat 10 40% 40% 40%
[BBDD] SQL Server 2000 10 1% 1% 1%
[AV] Antivirus 10
256
[E.23] Errores de mantenimiento / actualización de equipos

(hardware)
[E.24] Caída del sistema por agotamiento de recursos

[E.28] Indisponibilidad del personal

[BEC] Becarios 1 1%
[ALUM] Alumnos 1 1%
[A.4] Manipulación de la configuración

[MAT] Matriculación 0,1 50% 10%
[I_A] Información Alumnos 0,1 50% 10% 50%
[I_B] Información Becarios 0,1 50% 10% 50%
[I_DEP] Información departamentos 0,1 50% 10% 50%
[I_STIC] Información STIC 0,1 50%
[I_CONF] Información de configuración 0,1 50% 10% 50%
[I_COD] Código Fuente 0,1
[IMAT] iMat 1 50% 50% 50%
257

[BBDD] SQL Server 2000 1 50% 50% 50%
[AV] Antivirus 1
[SWITCH] Switch 0,5 50% 10% 20%
[INT] Internet 1 50% 10% 20%
[A.5] Suplantación de la identidad del usuario

[MAT] Matriculación 100 40%
[IMAT] iMat 100 40% 50% 80%
[BBDD] SQL Server 2000 100 100% 100%
[AV] Antivirus 20
[A.6] Abuso de privilegios de acceso

[IMPR_BEC] Impresión Becarios 10
[IMAT] iMat 5 10% 10%
[BBDD] SQL Server 2000 5 10% 10%
[AV] Antivirus 5
258

[SWITCH] Switch 0,5 10% 50%
[A.8] Difusión de software dañino

[IMAT] iMat 10 100% 100% 100%
[BBDD] SQL Server 2000 10 100% 100% 100%
[AV] Antivirus 10
[FIRE] Firewall 10 100% 100% 100%
[A.9] [Re-]encaminamiento de mensajes

[IMAT] iMat 0,1 10% 100%
[IMATBEC] iMatbecarios 0,1 10% 100%
[BBDD] SQL Server 2000 0,1 10% 100%
[AV] Antivirus 0,1
[SERV_BAL] Servidor de balanceo 0,1 10% 100%
[SERV_WEB] Servidores Web 0,1 10% 100%
[SERV_DAT] Servidor de Datos 0,1 10% 100%
[FIRE] Firewall 0,1 10% 100%
[A.10] Alteración de secuencia

259

[IMAT] iMat 0,05 50%
[AV] Antivirus 0,05
[A.11] Acceso no autorizado

[I_A] Información Alumnos 100 30% 50%
[I_B] Información Becarios 100 10% 50%
[I_ASIG] Información Asignaturas 1 30% 50%
[I_DEP] Información departamentos 100 10% 50%
[I_STIC] Información STIC 100 50%
[I_CONF] Información de configuración 100 10% 50%
[I_LOG] Información de Log 100 10% 50%
[IMAT] iMat 5 10% 50%
[BBDD] SQL Server 2000 5 10% 50%
[AV] Antivirus 5
[IMP_BEC] Impresora becarios 5
[SWITCH] Switch 5 10% 50%
[CAJ_SEG] Caja de Seguridad 100 10% 50%
[SERV_AA23] Servidores 0,5 10% 10%
[SERV_AA25] Servidor auxiliar 5 1% 10%
260
[BEC_AA21] Emplazamiento becarios 5
[A.12] Análisis de tráfico

[A.14] Intercepción de información (escucha)

[IMAT] iMat 0,5 50%
[AV] Antivirus 0,5
[A.15] Modificación de información

[A.16] Introducción de falsa información

[A.17] Corrupción de la información

261
[A.18] Destrucción de la información

[A.19] Divulgación de información

[ADM] Administradores 1
[SG] Secretaría General 1
[BEC] Becarios 1
[ALUM] Alumnos 1
[A.22] Manipulación de programas

[IMAT] iMat 20 100% 100% 100%
[BBDD] SQL Server 2000 20 100% 100%
[AV] Antivirus 20
[A.24] Denegación de servicio

262

[A.25] Robo de equipos

[TEMP_AA23] Sistema de climatización sala servidores 1 10% 50%
[A.26] Ataque destructivo

[SERV_AA23] Servidores 0,5 100% 50%
[SERV_AA25] Servidor auxiliar 0,1 100%
[BEC_AA21] Emplazamiento becarios 0,1 100%
[A.28] Indisponibilidad del personal

[BEC] Becarios 1 10%
[A.29] Extorsión
[ADM] Administradores 0,9 100% 100%
[SG] Secretaría General 0,9 100% 100%
[BEC] Becarios 0,9 100% 100%
[ALUM] Alumnos 0,9 100% 100%
263
[A.30] Ingeniería social

[ADM] Administradores 0,5 100% 100%
[SG] Secretaría General 0,5 100% 100%
[BEC] Becarios 0,5 100% 100%
[ALUM] Alumnos 0,5 100% 100%
264
Anexo: Evaluación de Salvaguardas [IMAT] Sistema de Matriculación
Evaluación de Salvaguardas
Proyecto: IMAT
2. Planos................................................................................................... 265
3. Fases..................................................................................................... 265
4. Plano: [base] Matriculación .............................................................. 266

4.1. Marco de gestión..............................................................................................266
4.2. Servicios...........................................................................................................271
4.3. Datos / Información .........................................................................................273
4.4. Aplicaciones informáticas (SW) ......................................................................276
4.5. Equipos informáticos (HW).............................................................................278
4.6. Comunicaciones...............................................................................................280
4.7. Elementos auxiliares ........................................................................................284
4.8. Seguridad física................................................................................................285
4.9. Personal............................................................................................................287

versión v1
Planos
o [base] Matriculación
Fases
265
o [Presente] Situación actual

o [Solución 1] Posible situación futura

Detalle: nivel experto
Marco de gestión
salvaguarda [Presente] [Solución
1]
Organización 55% 83%
Comité de gestión de seguridad de la información (forum) 40% 83%
Está respaldado por la dirección 50% 100%
Define claramente las funciones de seguridad 30% 90%
Aprueba las designaciones de responsables de seguridad 30% 30%
Identifica los objetivos de seguridad 60% 60%
Revisa, evalúa y aprueba la política de seguridad 40% 100%
Asegura la coordinación en materia de seguridad dentro de la 20% 100%
organización
Coordinación de la seguridad de la información n.a. 100%
Se garantiza que las actividades de seguridad se llevan a cabo n.a. 100%
según la política
Se aprueban metodologías, procedimientos, normas, etc. n.a. 100%
Asignación de responsabilidades para la seguridad de la información 63% 92%
Se identifican claramente los activos y los procesos de seguridad 70% 100%
asociados con cada sistema específico
Se nombra al responsable de cada activo o proceso de seguridad 70% 70%
Se documentan los detalles de cada responsabilidad 50% 100%
Se definen y documentan claramente los niveles de autorización n.a. 100%
Roles identificados 85% 100%
Responsable de seguridad TIC 100% 100%
Responsable de seguridad de la información 70% 100%
Responsable de seguridad del sistema (RSS) (autoridad delegada) 40% 100%
Se dispone de asesoramiento especializado en seguridad 0% 50%
Cooperación entre organizaciones 55% 55%
Se mantienen contactos con las autoridades 50% 50%
Se mantienen contactos con los organismos reguladores 50% 50%
Se mantienen contactos con los proveedores de servicios de 70% 70%
información
Se mantienen contactos con los operadores de telecomunicaciones 50% 50%
Normativa de seguridad 25% 88%
Política de Seguridad (documento) 21% 73%
Política derivada de la Política de Seguridad Global de la 30% 100%
Organización
Está aprobado y respaldado por el responsable de la organización 30% 100%
Todo el personal de la organización tiene acceso al documento 30% 70%
Conocido y aceptado por los afectados 10% 70%
Referencia normativa y procedimientos específicos 30% 30%
Revisión periódica 10% 50%
Documentación de seguridad del sistema 0% 96%
Documento de seguridad 0% 100%
266
Documento de seguridad (LOPD) 0% 100%

Los documentos de seguridad tienen asignado un responsable n.a. 100%
Documentación basada en el análisis de riesgos n.a. 100%
Está aprobado/respaldado por el responsable de la organización n.a. 100%
Todo el personal del sistema tiene acceso al documento n.a. 70%
Proceso de revisión definido (considera todos los posibles n.a. 100%
cambios que pueden afectar a los riesgos)
Procedimientos operativos 30% 92%
Guías para todas las funciones ordinarias 50% 100%
Guías para situaciones excepcionales 10% 70%
Criterios de aceptación para versiones o sistemas nuevos 45% 88%
Documentación 50% 80%
Documentación de seguridad 0% 80%
Definición y prueba de los procedimientos de operación del 0% 80%
sistema
Definición de procedimientos de recuperación ante errores y de 30% 100%
reinicio
Comprobación de la facilidad de uso 60% 80%
Estudio de los efectos en el rendimiento y en la seguridad de su 100% 100%
implantación
Definición de un plan de contingencia 0% 100%
Definición de las medidas de seguridad a implantar 60% 100%
Pruebas de aceptación 100% 100%
Formación 100% 100%
Certificación independiente 0% 50%
Acreditación de sistemas 26% 91%
Validación de la documentación de seguridad n.a. 100%
Plan de inspección 20% 80%
Revisión Seguridad Física 20% 100%
Revisión Seguridad de Personal n.a. 100%
Revisión Seguridad de Documentos 0% 100%
Revisión INFOSEC 60% 100%
Revisión Seguridad Criptográfica 30% 60%
Identificación y autenticación 89% 96%
Identificación de usuario 100% 100%
Identificación única de todos los usuarios 100% 100%
Registro de las identificaciones 100% 100%
El sistema mantiene las autorizaciones de los usuarios 100% 100%
Solo se permite una (1) sesión activa por usuario 100% 100%
Herramientas de Identificación y Autenticación de usuario 79% 93%
Modificación o eliminación de los autenticadores incluidos por 100% 100%
defecto en los productos
Limitación del número de autenticadores necesarios por usuario 100% 100%
Verificación de la identidad de los usuarios previa entrega del 100% 100%
autenticador
Compromiso escrito de mantener la confidencialidad del 0% 100%
autenticador
Confirmación de la recepción de los autenticadores por los 100% 100%
interesados
{or} Mecanismo de autenticación 75% 75%
Contraseñas 75% 75%
267
Gestión de contraseñas 50% 50%

Las contraseñas iniciales serán temporales con una 0% 0%
duración limitada (mínima y máxima)
Se cifran las contraseñas almacenadas en el sistema 100% 100%
Las contraseñas de administración se custodian en sobre 50% 50%
lacrados convenientemente guardados en cajas de seguridad
Uso de contraseña 100% 100%
Los usuarios garantizan la confidencialidad de las 100% 100%
contraseñas
Las contraseñas no se incluyen en procesos automáticos 100% 100%
de conexión (código SW, páginas Web, etc.)
Se seleccionan contraseñas fáciles de recordar pero de 100% 100%
difícil conjetura
Contienen caracteres alfanuméricos, con mayúsculas y 100% 100%
minúsculas
No coinciden con el identificador de usuario, con 100% 100%
nombres o fechas de nacimiento
{xor} Token
Generador de contraseñas de un sólo uso
Token implementado en SW, con generador de números
pseudoaleatorio según FIPS 140-2 o equivalente
Token implementado en HW, con generador de números
Token implementado en HW FIPS 140-2 de nivel 4 o
equivalente
{xor} Biometría
Huella dactilar
Geometría de la mano
Iris
Retina
Tecleo
Voz
Texto manuscrito
Otros ...
Control de acceso lógico 78% 94%
Norma para el control de accesos 85% 85%
Basada en los requisitos de seguridad y del negocio 100% 100%
Revisión de la norma 70% 70%
Restricción de acceso a la información 100% 100%
Acceso a la información basado en la autorización y la necesidad 100% 100%
de conocer
Establecimiento de menús específicos para controlar los accesos a 100% 100%
las funciones de las aplicaciones
Control de los privilegios de los usuarios (lectura, escritura, 100% 100%
borrado, ejecución)
Control de los privilegios de otras aplicaciones 100% 100%
Segregación de tareas 66% 93%
Segregación de tareas en roles 87% 93%
Usuario del sistema 100% 100%
Entrada de datos 100% 100%
Autorización de datos 100% 100%
Administrador del Sistema 100% 100%
268
Administrador de Seguridad 100% 100%

Desarrollo y mantenimiento de sistemas 90% 90%
Administración de cambios 90% 90%
Auditoría de seguridad 0% 60%
Medidas adicionales de control 94% 94%
Prevenir la modificación de datos de producción por los 100% 100%
operadores
Prevenir el inicio de transacciones por los operadores 100% 100%
Restricción de acceso a las aplicaciones 100% 100%
Control de acceso a la consola de logs 100% 100%
Revisión de los periodos de vacaciones previstos de los 80% 80%
operadores y programadores
Supervisión de operaciones críticas 80% 80%
Formación en las funciones de cada rol del sistema 80% 80%
Monitorización de todas las operaciones 50% 80%
Registro de las operaciones 50% 100%
Registro de usuario 75% 100%
Procedimiento y registro de alta, activación, modificación y baja 100% 100%
de las cuentas de usuario
Comprobación previa de la identidad de los usuarios y de los 100% 100%
privilegios requeridos
Aprobación de los derechos de acceso por el propietario del 100% 100%
servicio o de la información
Comunicación por escrito de sus derechos de acceso a los 0% 100%
usuarios, y confirmación de éstos de su conocimiento
Gestión de privilegios 90% 90%
Identificación de los perfiles de acceso y sus privilegios asociados 100% 100%
Asignación de los privilegios mínimos e imprescindibles para 100% 100%
realizar las tareas autorizadas
Separación de responsabilidades 90% 90%
Procedimiento de autorización de acceso 100% 100%
Transacción 100% 100%
Aplicación 100% 100%
Proceso 100% 100%
Información 100% 100%
Registro de los privilegios de acceso 70% 70%
Diferentes perfiles de acceso para administración y seguridad 80% 80%
Revisión de los derechos de acceso de los usuarios 90% 90%
Revisión periódica de los registros de actividad en busca de 100% 100%
acciones inapropiadas
Registro y revisión periódica de los cambios en las autorizaciones 80% 80%
de acceso
Conexión en terminales (logon) 57% 86%
Número limitado de intentos fallidos 0% 100%
Tras un intento fallido existe un retardo hasta que el siguiente 0% 0%
intento sea posible
Sólo se solicita la mínima información requerida durante la 100% 100%
conexión
No se ofrecen mensajes de ayuda durante la conexión 100% 100%
Se valida la información de conexión sólo tras rellenar todos sus 100% 100%
datos de entrada
No mostrar identificación del sistema o aplicación hasta que 100% 100%
269
termine el proceso de conexión

Las contraseñas no podrán ser almacenadas en ningún proceso 0% 100%
automático (macros, teclas de función, etc.)
Identificación automática de terminales 100% 100%
Identificación de todos los terminales conectados a un "host" / 100% 100%
servidor (direcciones MAC, IPs estáticas, etc.)
Identificación no alterable por el usuario 100% 100%
Desconexión automática de terminales 50% 100%
Desconexión automática de sesiones o terminales inactivos de 100% 100%
alto riesgo
Gestión de incidencias 42% 89%
Procedimientos de gestión de incidentes 54% 87%
Definición de procedimientos a seguir para todos los tipos 20% 92%
potenciales de incidencias
Procedimiento para fallos del sistema y pérdidas de servicio 20% 100%
Procedimiento en caso de denegación de servicio 20% 100%
Procedimiento ante errores que resultan de datos del negocio 20% 100%
inexactos o incompletos
Procedimiento ante violaciones de la confidencialidad 20% 70%
Esquema de gestión 52% 77%
Suspensión de los trabajos en el sistema afectado hasta que la 90% 90%
incidencia sea resuelta
Análisis e identificación de la causa 90% 90%
Planificación e implantación de medidas 50% 70%
Comunicación con los afectados e implicados en la 50% 70%
recuperación de la incidencia
Comunicación de las acciones a la autoridad respectiva de la 70% 70%
organización
Recogida de pistas de auditoría, atendiendo a su validez, 0% 50%
calidad y completitud
Evidencias en documentos en papel 0% 87%
Registro de la persona que encontró el documento, lugar y 0% 100%
fecha
Testigos del descubrimiento 0% 100%
Comprobación de que el documento no ha sido modificado 0% 60%
Evidencias en medios electrónicos 50% 100%
Realización de copias de los medios electrónicos en medios 50% 100%
de alta fiabilidad
Registro de todas las acciones del proceso de copia 50% 100%
Testigos del proceso de copia 50% 100%
Análisis del impacto del incidente 70% 70%
Control formal del proceso de recuperación ante el incidente 90% 90%
Identificación y autorización del personal que gestione el 80% 80%
incidente
Registro de todas las acciones realizadas 80% 80%
Cada acción de emergencia es aprobada por la Dirección 100% 100%
Comprobación de la integridad de los sistemas y las medidas de 100% 100%
control de seguridad
Comunicación de las incidencias de seguridad 0% 85%
Procedimiento para la comunicación de las incidencias 0% 100%
Procedimiento para la respuesta ante las incidencias 0% 100%
Registro 0% 100%
270
Tipo de incidencia 0% 100%

Momento en que se ha producido 0% 100%
Persona que realiza la notificación 0% 100%
A quién se le comunica 0% 100%
Efectos derivados de la misma 0% 100%
Acciones tomadas 0% 100%
Difusión de los procedimientos n.a. 70%
Prueba y revisión de los procedimientos 0% 70%
Mecanismos para cuantificación y monitorización (indicadores) 0% 70%
de las incidencias
Se aprende de los incidentes y se proponen mejoras 100% 100%
Revisión de la seguridad de los sistemas de información 30% 79%
Se realiza regularmente un análisis de riesgos 10% 70%
Se revisan periódicamente las amenazas y las vulnerabilidades 0% 70%
Se evalúa periódicamente la idoneidad de los controles implantados 30% 70%
{or} Revisión del cumplimiento de los requisitos técnicos de los 40% 70%
sistemas de información
Revisión por un equipo de auditoría interna 40% 70%
Revisión por un auditor/empresa especializado e independiente
Registro de revisiones 50% 100%
Revisión y análisis periódicos 30% 70%
Revisión al menos cada dos años 50% 100%
Continuidad del negocio (contingencia) 50% 75%
Plan de gestión de crisis 0% 50%
Seguros contra interrupciones en el negocio 100% 100%
Servicios
1]
Inventario de servicios 88% 88%
Registro de servicios a usuarios 90% 90%
Registro de servicios internos 60% 60%
Identificación del propietario (persona responsable) 100% 100%
Revisión periódica del inventario 100% 100%
Disponibilidad 63% 100%
Protección frente a DoS 63% 100%
Identificación de los eventos que pueden causarlo 70% 100%
Dimensionamiento adecuado de los dispositivos accesibles 60% 100%
(cortafuegos, servidores, ...) para soportar la máxima carga
Dimensionamiento adecuado de la capacidad de almacenamiento 50% 100%
de los dispositivos de registro (logs) de la actividad
Proveedor de servicios alternativo 0% 100%
Monitorización 100% 100%
Desarrollo 95% 95%
Planificación de capacidades 90% 90%
Necesidades de procesamiento 90% 90%
Necesidades de software 100% 100%
Dependencia de otros servicios 75% 75%
Dependencia de servicios internos 50% 50%
Dependencia de servicios proporcionados por terceros 100% 100%
271
Necesidades de almacenamiento 100% 100%

Necesidades de transmisión 100% 100%
Requisitos de autenticidad 100% 100%
Explotacion 92% 92%
Norma de condiciones de uso 80% 80%
Proteccion de la integridad de la informacion publicada 97% 97%
electronicamente
Cumplimiento de la normativa vigente referente a la publicación 90% 90%
de datos
Controles contra el acceso no autorizado a las redes a las que se 100% 100%
conecta el sistema
Declaración pública sobre el nivel de compromiso de la 100% 100%
organización ante los datos publicados y su uso
Infraestructura de clave pública 90% 90%
Políticas y Procedimientos 80% 80%
Política de certificación 80% 80%
Declaración de prácticas de certificación 80% 80%
Gestión de claves 100% 100%
Generación de claves 100% 100%
Distribución de claves 100% 100%
Almacenamiento de las claves 100% 100%
Borrado de las claves 100% 100%
Recuperación de las claves 100% 100%
Protección del servidor de nombres de dominio (DNS) 100% 100%
Instalación de última versión de SW 100% 100%
Actualización periódica del SW (parches, versiones, etc.) 100% 100%
Autenticación y registro de las modificaciones de los datos 100% 100%
EDI 80% 80%
Integridad y autenticidad 60% 60%
Integridad de los datos 90% 90%
{xor} Mecanismo 90% 90%
Mecanismo basado en paridad, CRC-16, CRC-32, etc. 90% 90%
Mecanismo basado en MAC (Código de Autenticación de 90% 90%
Mensaje)
Mecanismo basado en MAC con "hash" (HMAC) según 90% 90%
FIPS 140-2
{xor} Mecanismo de hash 90% 90%
"Hash" según FIPS 140-2, SHA-1 o superior 90% 90%
Otros 90% 90%
Firma electrónica 0% 0%
Norma sobre firma electrónica 0% 0%
Procedimiento de firma y verificación 0% 0%
Certificado electrónico 0% 0%
{xor} Formato del certificado 0% 0%
X.509 de identidad 0% 0%
X.509 de atributos 0% 0%
PGP 0% 0%
Otro 0% 0%
{xor} Sujeto del certificado 0% 0%
{xor} Identifica persona 0% 0%
Reconocido 0% 0%
No reconocido 0% 0%
272
Dispositivo Físico 0% 0%
Dispositivo Lógico 0% 0%
Otros 0% 0%
{xor} Mecanismo de firma digital 0% 0%
Basado en algoritmo asimétrico según FIPS 140-2 0% 0%
RSA (Rivest-Shamir-Adleman) 1024 o superior 0% 0%
DSA (Digital Signature Algorithm) 1024 o superior 0% 0%
ECDSA (Elliptic Curve Digital Signature Algorithm) 0% 0%
256 o superior
Otro 0% 0%
Autenticación/comprobación del origen de los mensajes 60% 60%
Registro de envío de mensajes 70% 70%
Comprobación de entrega 80% 80%
{xor} Mecanismo de cifrado 100% 100%
{xor} Basado en algoritmo de cifrado según FIPS 140-2 100% 100%
Skipjack 100% 100%
DES 100% 100%
3DES 100% 100%
AES 100% 100%
Basado en módulo criptográfico validado según FIPS 140-2 100% 100%
(AES 128 o superior), o equivalente
Otros 100% 100%
Teletrabajo 100% 100%
Autorización previa 100% 100%
Terminación 87% 93%
Terminación de Servicio 87% 93%
Autorización previa 100% 100%
Estudio de los efectos 20% 60%
Almacenamiento seguro o destrucción de la información 100% 100%
1]
Inventario de activos de información 90% 90%
Identificación del propietario (persona responsable) 100% 100%
Clasificación de la información 100% 100%
La responsabilidad de la clasificación/reclasificación es del 100% 100%
generador de la información
Directrices de clasificación definidas por la LOPD 100% 100%
Directrices de clasificación definidas por la organización 100% 100%
Copias de seguridad de los datos 99% 99%
Norma de back-ups 99% 99%
Identificación de la información crítica para el negocio 90% 90%
Frecuencia de las copias 100% 100%
Requisitos de almacenamiento en el propio lugar, y en lugares 100% 100%
alternativos
Controles para el acceso autorizado a las copias de respaldo 100% 100%
273
Procedimientos de copia y restauración 100% 100%

Prueba periódica de las copias de seguridad y de los 100% 100%
procedimientos de restauración
Almacenamiento de las copias de seguridad y de los 100% 100%
procedimientos en lugares alternativos
{xor} Mecanismo de back-up 100% 100%
Copias de seguridad en soportes 100% 100%
Identificación de soportes de copia 100% 100%
Nombre 100% 100%
Fecha de creación 100% 100%
{or} Soporte 100% 100%
Papel 0% 0%
{or} Soporte magnético 100% 100%
Disquetes 100% 100%
Cinta 100% 100%
Cartucho 100% 100%
Cinta DAT 100% 100%
Cinta 8 mm 100% 100%
{xor} Microfilm 0% 0%
Poliéster 0% 0%
Halógeno de plata 0% 0%
{xor} Soporte óptico 0% 0%
CD ROM, CD-R, CD-RW 0% 0%
DVD-ROM, DVD-RAM, DVD-R, DVD-RW 0% 0%
Mediante copias de seguridad en remoto ("electronic vaulting", 100% 100%
"remote journaling")
Mediante reparto de carga entre servidores (server load 100% 100%
balancing)
Mediante replicación de discos síncrona o asíncrona 0% 0%
Integridad 98% 98%
Procedimientos de explotación adecuados a la protección de la 100% 100%
integridad
Procedimientos de copias de respaldo, protección y conservación 100% 100%
En transacciones, adoptar herramientas o procedimientos que 100% 100%
aseguren la integridad
Verificación de la ausencia de código dañino empotrado 90% 90%
Criptografía 100% 100%
Norma de uso de los controles criptográficos 100% 100%
Requisitos legales o contractuales 100% 100%
Algoritmos y parámetros de configuración 100% 100%
Roles y responsabilidades 100% 100%
Requisitos de identificación y autenticación 100% 100%
Procedimiento para alta, baja, modificación de privilegios 100% 100%
Requisitos de aplicabilidad (confidencialidad, integridad, 100% 100%
autenticidad y no repudio)
Requisitos de protección para los mecanismos criptográficos 100% 100%
Requisitos de control de los mecanismos criptográfico (registro, 100% 100%
contabilidad, auditoría, etc.)
Política de gestión de las claves 100% 100%
Necesidades de interoperabilidad, y previsiones futuras 100% 100%
Política de adquisición 100% 100%
Revisión periódica de las vulnerabilidades de los algoritmos 100% 100%
274

Certificado por la Autoridad Nacional Criptográfica 100% 100%
Skipjack 100% 100%
DES 100% 100%
3DES 100% 100%
AES 100% 100%
Basado en módulo criptográfico validado según FIPS 140-2 (AES 100% 100%
128 o superior), o equivalente
Otros 100% 100%
{xor} Mecanismo de integridad 100% 100%
Mensaje)
Mecanismo basado en MAC con "hash" (HMAC) según FIPS 100% 100%
140-2
Otros 100% 100%
Procedimiento de firma 100% 100%
Procedimiento de verificación 100% 100%
PGP 100% 100%
Otro 100% 100%
Reconocido 100% 100%
No reconocido 100% 100%
Otro 100% 100%
Otros 100% 100%
Certificado por la Autoridad nacional criptográfica 100% 100%
{xor} Basado en algoritmo asimétrico según FIPS 140-2 100% 100%
275

ECDSA (Elliptic Curve Digital Signature Algorithm) 256 o 100% 100%
superior
Otro 100% 100%
Aplicaciones informáticas (SW)

1]
Inventario de aplicaciones 37% 90%
Registro de aplicaciones 50% 100%
Registro de sistemas operativos y software de base 50% 100%
Copias de seguridad 66% 86%
Identificación del SW crítico para el negocio 10% 80%
Procedimientos de copia 80% 80%
Procedimiento de restauración 50% 80%
Almacenamiento de las copias de seguridad en lugares 100% 100%
alternativos
Protección de las copias de seguridad de acuerdo al SW que 100% 100%
contienen
Procedimiento de retención y destrucción de copias de seguridad 60% 100%
Desarrollo 91% 98%
Requisitos funcionales 80% 90%
Necesidades de procesamiento, y almacenamiento 100% 100%
Necesidades de transmisión 100% 100%
Necesidades de personal 60% 80%
Necesidades de mobiliario y equipamiento de apoyo 60% 80%
Entorno de desarrollo 82% 100%
Separación de los entornos de desarrollo y producción 100% 100%
Separación de funciones del personal programador 100% 100%
Metodología de desarrollo 30% 100%
Entorno de pruebas (pre-producción) 100% 100%
{xor} Separación del entorno de pruebas del entorno de 100% 100%
producción
Separación física 100% 100%
Separación lógica 100% 100%
El entorno de pruebas simula realísticamente el entorno de 100% 100%
producción
Cuentas de usuario diferentes: pruebas y producción 100% 100%
Procedimiento para el paso del entorno de pruebas al de 100% 100%
producción
{or} Protección de los datos de prueba del sistema 100% 100%
Las pruebas no usan datos de producción 100% 100%
Las pruebas usan datos de producción
Se aplica el mismo control de accesos que al sistema en 100% 100%
producción
Eliminación de la información de producción del sistema de
276
pruebas
Registro de las copias y uso de la información de producción a
efectos de auditoría
Autorización previa cada vez que se copie datos de producción a
un entorno de pruebas
Puesta en producción 100% 100%
Prueba previa del SW antes de su paso a producción 100% 100%
Explotación 80% 82%
Procedimiento para el control de software en producción 100% 100%
Los sistemas en producción no contienen compiladores 100% 100%
Los sistemas de producción no contienen herramientas de 100% 100%
desarrollo
Aislamiento de sistemas sensibles 83% 100%
Identificación del nivel de sensibilidad de la información 90% 100%
Instalación de aplicaciones críticas en máquinas dedicadas 80% 100%
Identificación de los recursos compartidos y autorización por el 80% 100%
responsable
Seguridad de las aplicaciones 100% 100%
Validación de los datos de entrada 100% 100%
Control de errores 98% 98%
Comprobación del rango de valores 100% 100%
Comprobación del tipo de datos de entrada 100% 100%
Comprobación de la completitud de los datos de entrada 100% 100%
Comprobación del volumen de datos 100% 100%
Comprobación de datos no autorizados o inconsistentes 90% 90%
Comprobación de la integridad de los datos mediante revisión 100% 100%
periódica de campos clave o ficheros de datos
Procedimientos de respuesta ante errores de validación 100% 100%
Procedimientos para comprobar la plausibilidad de los datos de 100% 100%
entrada
Verificación de la consistencia 100% 100%
Controles de sesión o de lotes, para conciliación de cuadres de 100% 100%
ficheros tras las actualizaciones de transacciones
Controles de cuadre para comprobación de cuadres de apertura 100% 100%
con cuadres previos de cierre
Controles de pasada en pasada 100% 100%
Totales de actualización de ficheros 100% 100%
Controles de programa a programa 100% 100%
Validación de los datos generados por el sistema 100% 100%
Comprobaciones de integridad de datos o del software 100% 100%
transferidos desde o hacia el ordenador central
Hash de registros y ficheros 100% 100%
Comprobaciones que aseguren que los programas de las 100% 100%
aplicaciones se ejecutan en el momento adecuado
Comprobaciones que aseguren que los programas se ejecutan en 100% 100%
el orden correcto, que finalizan en caso de fallo y que no sigue el
proceso hasta que el problema se resuelve
Registro de las actividades 100% 100%
Validación de los datos de salida 100% 100%
Validaciones de verosimilitud para comprobación de los datos 100% 100%
de salida
Cuentas de control de conciliación para asegurar el proceso de 100% 100%
277
todos los datos

Suministro de suficiente información al lector o a un sistema de 100% 100%
proceso subsiguiente para poder determinar la exactitud, completitud,
precisión y clasificación de la información
Procedimientos para contestar los cuestionarios de validación 100% 100%
de salidas
Definición de las responsabilidades de todos los implicados en 100% 100%
el proceso de salida de datos
Registro de las actividades 100% 100%
Seguridad de los ficheros de datos de la aplicación 100% 100%
Confidencialidad 100% 100%
Integridad 100% 100%
Autenticidad 100% 100%
Seguridad de los ficheros de configuración 100% 100%
Integridad 100% 100%
Autenticidad 100% 100%
Seguridad de los mecanismos de comunicación entre procesos 0% 0%
Integridad 0% 0%
Autenticidad 0% 0%
Cambios (actualizaciones y mantenimiento) 73% 80%
Seguimiento permanente de actualizaciones y parches 100% 100%
Evaluacion del impacto potencial del cambio 50% 100%
Impacto en la prestación de los servicios 50% 100%
Impacto en la confidencialidad de los datos 50% 100%
Impacto en la integridad de los datos 50% 100%
Impacto en los controles de monitorización 50% 100%
Definición del proceso de cambio de forma que minimice la 100% 100%
interrupción del servicio
Retención de versiones anteriores de software como medida de 100% 100%
precaución para contingencias
Pruebas de regresión 80% 80%
Registro de toda actualización de SW 100% 100%
Documentación de todos los cambios 100% 100%
Actualización de la documentación del sistema 70% 70%
Control de versiones de toda actualización del software 100% 100%
Actualización de todos los procedimientos de explotación afectados 0% 0%
Actualización de los planes de contingencia 0% 0%
Equipos informáticos (HW)

1]
Inventario de equipos 100% 100%
Registro de equipos propios 100% 100%
Mantenimiento periódico según especificaciones de los fabricantes 100% 100%
Dimensionamiento y adquisición de repuestos 100% 100%
Mantenimiento sólo por personal debidamente autorizado 100% 100%
278
{xor} Redundancia 100% 100%

Equipo alternativo 100% 100%
Equipo de alta disponibilidad con sistema de almacenamiento
RAID
Equipo alternativo preconfigurado con replicación de discos
síncrona o asíncrona
Cluster con sistema de almacenamiento RAID
Redundancia de los elementos críticos del "host"
Sistema redundante propio en centro alternativo
Contrato de prestación de servicio con el proveedor del sistema,
de acuerdo a los requisitos del negocio
Adquisición de HW 83% 83%
Identificación de los requisitos de seguridad de acuerdo a los 48% 48%
condicionantes del negocio
Estándares aplicables 80% 80%
Política de seguridad de la organización 50% 50%
Requisitos funcionales 60% 60%
Certificaciones y/o acreditaciones 0% 0%
Certificación de la calidad y exactitud del trabajo realizado según 50% 50%
estándares requeridos
Acuerdos para hacerse cargo en el caso de fallo de terceros 100% 100%
Protocolo de pruebas del producto 100% 100%
Necesidades de formación 70% 70%
Necesidades de repuestos 100% 100%
Garantías sobre actualización del producto 100% 100%
Cláusulas de penalización 100% 100%
Desarrollo de HW 73% 73%
Identificación de los requisitos de seguridad 70% 70%
Plan de Proyecto 100% 100%
Plan de Calidad 100% 100%
Plan de Pruebas 100% 100%
Plan de Documentación 50% 50%
Documento de Requititos 50% 50%
Especificaciones de Diseño 80% 80%
Diseño de Arquitectura 80% 80%
Protocolo de pruebas 70% 70%
Plan de Pruebas 80% 80%
Diario de Pruebas 50% 50%
Evaluación 80% 80%
Documentación sobre HW 80% 80%
Esquema Hardware 80% 80%
Descripción detallada de Componentes 80% 80%
Descripción de Herramientas de desarrollo utilizadas 80% 80%
Descripción de Herramientas de verificación utilizadas 80% 80%
Documentación sobre SW 80% 80%
Código fuente del SW de seguridad 80% 80%
Definición detallada de Funciones y Procedimientos 80% 80%
Descripción de Herramientas de desarrollo utilizadas 80% 80%
Descripción de Herramientas de verificación utilizadas 80% 80%
Instalación 100% 100%
Evitar que por acceder a este equipo se abra el acceso a otros 100% 100%
279
Evitar acceso visual a pantallas y monitores por personas no 100% 100%

autorizadas
Operación 91% 91%
Protección física de los equipos 90% 90%
Distribución adecuada de los equipos (evitar accesos innecesarios, 100% 100%
daños por agua, observación no autorizada, etc.)
Los elementos que requieran especial protección se aislarán para 100% 100%
reducir el nivel general de protección requerido
Control de los accesos a equipos de presentación (impresoras, 70% 70%
pantallas, etc.)
Protección de los dispositivos de red 90% 90%
Autorización previa para su utilización 100% 100%
Deshabilitación de todos los servicios o utilidades no empleados 100% 100%
Control de acceso a las consolas de administración 100% 100%
Desconexión automática de sesiones inactivas 20% 20%
Eliminación o modificación de cuentas y contraseñas 100% 100%
preconfiguradas
Prohibición de grupos de cuentas de administración compartidas 100% 100%
{xor} Administración remota 100% 100%
Se restringe la administración remota
No se permite la administración remota 100% 100%
Se emplean protocolos seguros para la administración remota 100% 100%
Reproducción de documentos 93% 93%
Asignación de cuentas de usuario 100% 100%
Autorización previa para realizar copias, y numeración de las 90% 90%
mismas
Registro y revisión de la actividad de los dispositivos de 90% 90%
reproducción (números de copias, usuarios que las han realizado, etc.)
Seguimiento permanente de actualizaciones 80% 80%
Procedimientos de control de cambios 84% 84%
Comunicación de los detalles del cambio al personal relacionado 100% 100%
Procedimientos y asignación de responsabilidades para abortar y, 80% 80%
en su caso recuperar, la situación inicial antes de un cambio
Registro de todo cambio 80% 80%
Archivo o destrucción de la documentación anterior 50% 50%
Control de versiones de todo cambio de hw 100% 100%
Comunicaciones
280

1]
Inventario de servicios de comunicación 83% 83%
Registro de servicios 80% 80%
Identificación del responsable 100% 100%
Protección de la disponibilidad 93% 93%
Identificación y eliminación de los "puntos únicos de fallo" (SPF- 70% 70%
Single Point of Failure)
Conexión redundante (mediante doble tarjeta de red) de los 100% 100%
dispositivos críticos
Monitorización de enlaces y dispositivos de red 100% 100%
Dimensionamiento y adquisición de repuestos 70% 70%
Mantenimiento periódico según especificaciones de los 100% 100%
fabricantes
{xor} Garantías de disponibilidad 100% 100%
Redundancia de los enlaces con esquema activo-pasivo,
incluyendo los dispositivos de red
Redundancia de los enlaces con reparto de carga, incluyendo 100% 100%
los dispositivos de red
Redundancia de los enlaces, con dispositivos de red tolerantes a
fallos (doble CPU, doble fuente de alimentación, y doble interfaz de
red)
Dispositivos de red tolerantes a fallos (doble CPU, doble fuente
de alimentación)
Adquisición o contratación 92% 92%
Planificación 92% 92%
Definición de los requisitos de seguridad para las conexiones a 100% 100%
establecer
Revisión de la arquitectura de la red de la organización 100% 100%
Tipos de redes existentes (redes de área local, de área 100% 100%
metropolitana, de área extensa)
Protocolos empleados 100% 100%
Aplicaciones de red (emulación de terminales, cliente-servidor, 100% 100%
...)
Identificación del tipo de conexión a establecer 100% 100%
Revisión de las características de la solución propuesta (sobre red 100% 100%
pública o privada, de datos, de voz y datos, etc.)
Identificación de los riesgos de la solución propuesta, y de las 80% 80%
salvaguardas necesarias
Documentación de la solución propuesta 60% 60%
Instalación 100% 100%
Evitar que el acceso físico para operación o mantenimiento abra el 100% 100%
acceso a otros activos
Operación 98% 98%
Control de acceso a la red 100% 100%
Acceso remoto 100% 100%
Autenticación para conexiones externas 100% 100%
Autenticación fuerte de usuario 100% 100%
Autenticación del origen de la conexión 100% 100%
281
{xor} mecanismo de autenticación 100% 100%

Redes privadas virtuales (VPN) 100% 100%
Comprobación de la dirección de red 100% 100%
Control de conexión a las redes 100% 100%
Restricciones basadas en requisitos de negocio 100% 100%
Control y filtrado de tráfico 100% 100%
Por tipo 100% 100%
Por sentido del flujo 100% 100%
Por períodos de tiempo 100% 100%
Por origen/destino 100% 100%
{xor} Sistema de protección perimetral 100% 100%
Cortafuegos 100% 100%
Filtrado de todas las conexiones externas (deben pasar 100% 100%
todas a través del cortafuegos)
{xor} Tipo de filtrado 100% 100%
Cortafuegos de filtrado de paquetes 100% 100%
Cortafuegos de inspección de estados 100% 100%
Cortafuegos con agentes proxy 100% 100%
Cortafuegos con servidores proxy 100% 100%
Limitar el número de servicios disponibles 100% 100%
Accesos de administración de forma segura (vía consola 100% 100%
segura, cifrado, redes separadas, etc.)
Registro de la actividad 100% 100%
Posibilidad de generar informes 100% 100%
Comprobaciones regulares de la política 100% 100%
Actualización periódica del sistema (parches) 100% 100%
Plan de contingencia específico 100% 100%
Copias de seguridad periódicas 100% 100%
NAT (Network Address Translation) 100% 100%
Gateway 100% 100%
Zona desmilitarizada (DMZ) 100% 100%
Dispositivo de sentido único 100% 100%
Norma de uso de los servicios de red 100% 100%
Identificación de las redes y los servicios a los que se puede 100% 100%
acceder
Procedimiento para las autorizaciones de acceso a las redes y 100% 100%
servicios
Procedimientos para la protección de los accesos a las redes y 100% 100%
servicios
Medios y dispositivos que se autorizan para el acceso a redes y 100% 100%
servicios
{xor} Protección de puertos de diagnóstico remoto 100% 100%
Prohibición de diagnóstico remoto 100% 100%
Protección del diagnóstico remoto 100% 100%
Protección física de los puertos 100% 100%
Autenticación del usuario 100% 100%
Limitación de privilegios 100% 100%
Registro y revisión de acciones durante el diagnóstico 100% 100%
Cifrado 100% 100%
Autorización previa de la acción de diagnóstico 100% 100%
Retirada de los datos de explotación antes del diagnóstico 100% 100%
Segregación de las redes en dominios 100% 100%
282
Segregación de los usuarios en dominios 100% 100%

Autenticación de nodos de la red 100% 100%
{xor} mecanismo de autenticación 100% 100%
mediante contraseñas 100% 100%
Control del encaminamiento 100% 100%
Basado en los flujos de información permitidos 100% 100%
Comprobación de direcciones de origen y destino 100% 100%
{or} mecanismo de control 100% 100%
Líneas o números de teléfono dedicados 100% 100%
Conexión automática de puertos a sistemas de aplicaciones 100% 100%
específicas o a pasarelas (gateways) de seguridad
Limitación de opciones de menú para usuarios 100% 100%
Evitar los recorridos cíclicos ilimitados en la red 100% 100%
Forzar el uso por usuarios de redes externas de ciertos 100% 100%
sistemas de información específicos y/o pasarelas (gateways) de
seguridad
Control activo de las comunicaciones permitidas de origen a 100% 100%
destino por medio de pasarelas de seguridad (cortafuegos)
Restricción de acceso a la red estableciendo dominios lógicos 100% 100%
separados, como redes privadas virtuales para ciertos grupos de
usuarios dentro de la Organización
Criptografía 100% 100%
Norma de uso de los controles criptográficos 100% 100%
Requisitos legales o contractuales 100% 100%
Algoritmos y parámetros de configuración 100% 100%
Roles y responsabilidades 100% 100%
Requisitos de identificación y autenticación 100% 100%
Procedimiento para alta, baja, modificación de privilegios 100% 100%
Requisitos de aplicabilidad (confidencialidad, integridad, 100% 100%
autenticidad y no repudio)
Requisitos de protección para los mecanismos criptográficos 100% 100%
Requisitos de control de los mecanismos criptográfico (registro, 100% 100%
contabilidad, auditoría, etc.)
Política de gestión de las claves 100% 100%
Necesidades de interoperabilidad, y previsiones futuras 100% 100%
Política de adquisición 100% 100%
Revisión periódica de las vulnerabilidades de los algoritmos 100% 100%
Skipjack 100% 100%
DES 100% 100%
3DES 100% 100%
AES 100% 100%
Basado en módulo criptográfico validado según FIPS 140-2 100% 100%
(AES 128 o superior), o equivalente
Otros 100% 100%
283
Integridad de los datos 100% 100%

{xor} Mecanismo de integridad 100% 100%
Mensaje)
Mecanismo basado en MAC con "hash" (HMAC) según 100% 100%
FIPS 140-2
Otros 100% 100%
Seguridad de los servicios de red 90% 90%
Monitorización de los servicios de red 100% 100%
Monitorización de excepciones e incidentes de seguridad 100% 100%
Seguimiento de los incidentes y errores, y corrección 100% 100%
Revisiones periódicas de la seguridad 80% 80%
Protección de las comunicaciones Internet 100% 100%
Herramienta de monitorización del tráfico 100% 100%
Registro de Navegación Web 100% 100%
Seguimiento permanente de actualizaciones 70% 70%
Evaluación del impacto potencial del cambio 80% 80%
Procedimiento formal de aprobación de cambios 40% 40%
Registro de toda actuación 40% 40%
Actualización de todos los procedimientos de operación afectados 100% 100%
Norma para la terminación de servicios de comunicaciones 100% 100%
Elementos auxiliares
1]
Inventario de equipamiento auxiliar 95% 95%
Registro de equipamiento auxiliar 100% 100%
Suministro eléctrico 94% 94%
Dimensionamiento del sistema considerando necesidades futuras 100% 100%
Instalación de acuerdo a la normativa vigente 90% 90%
284
Protección de las líneas de alimentación del sistema frente a 100% 100%

fluctuaciones y sobrecargas
Interruptor general de la alimentación del sistema situado en la 100% 100%
entrada de cada área
Interruptores etiquetados, y protegidos frente a activaciones 100% 100%
accidentales
Alimentación de respaldo 72% 72%
Procedimiento de emergencia 50% 50%
Pruebas 70% 70%
Revisión y mantenimiento periódicos 40% 40%
{or} Redundancia 100% 100%
Sistema de alimentación ininterrumpida (SAI) que permite el
funcionamiento de los equipos críticos, hasta su correcto cierre y
apagado
Sistema de alimentación redundante que garantiza el
funcionamiento de los equipos críticos, y la continuidad de las
operaciones
Acometida redundante (dos suministradores) 100% 100%
Climatización 85% 85%
Dimensionamiento adecuado del sistema 100% 100%
Control de temperatura 100% 100%
Control de humedad 100% 100%
Protección del cableado 90% 90%
Gestión centralizada 100% 100%
Etiquetado de los cables 100% 100%
Planos actualizados del cableado 100% 100%
Procedimiento para la modificación del cableado 30% 30%
Cableado tolerante a fallos (redundancia de líneas críticas, etc.) 100% 100%
Control de todos los accesos al cableado 100% 100%
Protección contra daños o intercepciones no autorizadas (conductos 100% 100%
blindados, cajas o salas cerradas, ...)
Seguridad física
1]
Inventario de instalaciones 87% 87%
Registro de instalaciones propias 100% 100%
Registro de instalaciones de terceros 100% 100%
Normativa 0% 100%
Normas de conducta (prohibición de fumar, beber, comer, ...) 0% 100%
Prohibición de equipos de registro (fotografía, video, audio, 0% 100%
telefonía, etc.) salvo autorización especial
Procedimientos 63% 63%
Inspección y aprobación de las áreas de seguridad 80% 80%
Revisiones periódicas 80% 80%
Plan de seguridad 40% 40%
Plan de emergencia 52% 52%
Procedimientos escritos para el acceso físico a las instalaciones en 20% 20%
caso de emergencia
285
Autorización de acceso 85% 85%

Registro de accesos al area en caso de emergencia 70% 70%
Accesos autorizados por la autoridad apropiada de la 100% 100%
organización
Diseño 37% 73%
Diseño observando reglas y normas relevantes sobre salud y sanidad 0% 100%
Situar equipos sensibles en áreas separadas 50% 80%
Separación de áreas de seguridad y de acceso público 30% 50%
Separación de áreas gestionadas por terceros 100% 100%
Acceso a través de un área de recepción 0% 50%
Control de los accesos físicos 87% 87%
Control de los accesos 96% 96%
Procedimiento de control de accesos 100% 100%
Verificación previa de las autorizaciones de acceso del personal 100% 100%
Registro de los accesos 100% 100%
Revisión periódica del registro de accesos 100% 100%
Se investiga cualquier sospecha o intento de acceso físico no 100% 100%
autorizado
Sistema automático de control de accesos 83% 83%
Alimentación redundante 100% 100%
{xor} Mecanismo de identificación 100% 100%
Basado en PIN o tarjeta 100% 100%
Basado en tarjeta y PIN
Basado en biometría
Basado en biometría y tarjeta
Sistema de Detección de Intrusión centralizado 85% 85%
Instalación por empresa autorizada 100% 100%
Alimentación redundante 100% 100%
Comprobación periódica 50% 50%
Salidas y procedimientos de emergencia garantizan que solo el 100% 100%
personal autorizado pueda acceder a las instalaciones
Control de las visitas 75% 75%
Autorizaciones previas para el acceso de visitas, personal de 100% 100%
mantenimiento, o personal de empresas contratistas
Comprobación de la identidad de las visitas 100% 100%
Registro de entrada/salida (nombre, empresa, fecha y horas de 0% 0%
entrada y salida, objeto del acceso, y persona que recibe)
Escolta y montorización de las actividades 100% 100%
Pases o identificadores 100% 100%
Obligatorio empleo de un pase (ej. tarjeta) en el interior del 100% 100%
recinto
Diseño difícil de falsificar 100% 100%
Incluyen fotografía de la persona a la que se emiten 100% 100%
No contienen datos que permitan, en caso de pérdida, obtener 100% 100%
información acerca de su finalidad (simplemente contiene una
dirección para su envío)
Se cierran y controlan periódicamente cuando están vacías 100% 100%
Control de llaves, combinaciones o dispositivos de seguridad 75% 75%
Las áreas de seguridad disponen de algún tipo de llave, 100% 100%
combinación o dispositivo de seguridad para acceder a las mismas
286
Solamente el personal autorizado puede usarlos 100% 100%

Las combinaciones se cambian o modifican cuando haya cambios 0% 0%
de personal que haya tenido acceso a las mismas
Protección del perímetro 100% 100%
{xor} Puertas de acceso 100% 100%
Puertas de acceso reforzadas 100% 100%
Puertas de acceso blindadas
Puertas de acceso acorazadas
Mínimo número de entradas 100% 100%
Protección de conductos y aberturas (falso techo, conductos de aire, 100% 100%
etc.)
Protección frente a desastres 89% 89%
Iluminación de emergencia cubre todas las áreas necesarias para 100% 100%
garantizar la continuidad de las misiones críticas
Protección frente a incendios 72% 72%
Vías de evacuación 50% 50%
Pulsadores de alarma 100% 100%
Sistema automático de detección de incendios 100% 100%
Medios manuales de extinción de incendios (extintores portátiles, 100% 100%
hidrantes, BIE's, etc.)
Sistema automático de extinción de incendios (sprinkler, etc.) 0% 0%
Plan de mantenimiento y verificación de los dispositivos y los 80% 80%
sistemas contra incendios
Iluminación de emergencia 100% 100%
Señalización (planos de evacuación, de planta, etc.) 0% 0%
Evacuación de humos 100% 100%
Plan de autoprotección 90% 90%
Seguros 100% 100%
Póliza de continente (edificios) 100% 100%
Póliza de continente y contenido (edificios y su contenido) 100% 100%
Personal
1]
Relación de personal 100% 100%
Identificación del responsable 100% 100%
Puestos de trabajo 100% 100%
Identificación y especificación de los puestos de trabajo 100% 100%
Formación 55% 55%
Identificación de necesidades de formación según roles y 70% 70%
responsabilidades
Evaluación y revisión del plan de formación 40% 40%
287
Anexo: Estado de Riesgo [IMAT] Sistema de Matriculación
Estado de Riesgo
Proyecto: IMAT
Fase: [Presente] Situación actual
2. Fases..................................................................................................... 290
3. Activos ................................................................................................. 290

3.1. [MAT] Matriculación.......................................................................................290
3.2. [IMPR_BEC] Impresión Becarios ...................................................................292
3.3. [I_A] Información Alumnos ............................................................................293
3.4. [I_B] Información Becarios .............................................................................295
3.5. [I_ASIG] Información Asignaturas .................................................................295
3.6. [I_DEP] Información departamentos ...............................................................297
3.7. [I_STIC] Información STIC ............................................................................298
3.8. [I_CONF] Información de configuración ........................................................299
3.9. [I_LOG] Información de Log ..........................................................................299
3.10. [I_COD] Código Fuente ................................................................................301
3.11. [IMAT] iMat ..................................................................................................301
3.12. [IMATBEC] iMatbecarios .............................................................................303
3.13. [BBDD] SQL Server 2000.............................................................................304
3.14. [SO] Sistema Operativo .................................................................................305
3.15. [AV] Antivirus ...............................................................................................305
3.16. [VB] Visual Basic 6.0 ....................................................................................305
3.17. [MON_TRANS] Monitor Transaccional.......................................................305
288
3.18. [SERV_BAL] Servidor de balanceo..............................................................305
3.19. [SERV_WEB] Servidores Web .....................................................................306
3.20. [SERV_FICH] Servidor de Ficheros .............................................................309
3.21. [SERV_DAT] Servidor de Datos...................................................................311
3.22. [SERV_BACK] Servidor de back-up ............................................................312
3.23. [IMP_BEC] Impresora becarios ....................................................................314
3.24. [PC_BEC] PC Becarios .................................................................................315
3.25. [PC_MAT] PC Matriculación........................................................................315
3.26. [SWITCH] Switch .........................................................................................316
3.27. [CAJ_SEG] Caja de Seguridad......................................................................317
3.28. [LAN] Red de área local ................................................................................318
3.29. [INT] Internet.................................................................................................319
3.30. [FIRE] Firewall..............................................................................................320
3.31. [POWER_AA23] Sistema de Alimentación sala servidores .........................321
3.32. [POWER_AA25] Sistema alimentación sala auxiliar ...................................322
3.33. [TEMP_AA23] Sistema de climatización sala servidores.............................322
3.34. [TEMP_AA25] sistema climatización sala auxiliar ......................................323
3.35. [SERV_AA23] Servidores.............................................................................323
3.36. [SERV_AA25] Servidor auxiliar...................................................................323
3.37. [BEC_AA21] Emplazamiento becarios .........................................................323
3.38. [ADM] Administradores................................................................................323
3.39. [SG] Secretaría General .................................................................................324
3.40. [BEC] Becarios ..............................................................................................324
3.41. [ALUM] Alumnos .........................................................................................324
289

versión v1
Fases
Activos
Impacto acumulado
amenaza impacto [Presente] [Solución 1]
[E.1] Errores de los usuarios [4] [1] [0]
[E.2] Errores del administrador [6] [2] [1]
[E.3] Errores de monitorización (log) [5] [1] [0]
[E.4] Errores de configuración [7] [2] [1]
[E.24] Caída del sistema por agotamiento de recursos [7] [2] [1]
[A.4] Manipulación de la configuración [6] [2] [1]
[A.24] Denegación de servicio [5] [1] [0]
Impacto repercutido
amenaza impacto [Presente] [Solución
1]
[N.1] Fuego [7] [1] [1]
[N.2] Daños por agua [6] [1] [1]
[N.*] Desastres naturales [7] [3] [1]
[I.1] Fuego [7] [3] [1]
[I.2] Daños por agua [6] [2] [1]
[I.*] Desastres industriales [7] [3] [1]
[I.3] Contaminación mecánica [6] [2] [1]
[I.4] Contaminación electromagnética [4] [1] [1]
[I.5] Avería de origen físico o lógico [7] [2] [1]
[I.6] Corte del suministro eléctrico [7] [2] [1]
[I.7] Condiciones inadecuadas de temperatura y/o humedad [7] [2] [1]
[I.8] Fallo de servicios de comunicaciones [7] [1] [1]
[I.9] Interrupción de otros servicios y suministros [6] [2] [1]
esenciales
[E.7] Deficiencias en la organización [4] [2] [1]
[E.8] Difusión de software dañino [6] [2] [1]
[E.9] Errores de [re-]encaminamiento [6] [1] [1]
[E.18] Destrucción de la información [5] [1] [0]
290
[E.20] Vulnerabilidades de los programas (software) [1] [0] [0]

[E.21] Errores de mantenimiento / actualización de [6] [2] [1]
[E.23] Errores de mantenimiento / actualización de equipos [4] [1] [1]
(hardware)
[E.28] Indisponibilidad del personal [1] [0] [0]
[A.5] Suplantación de la identidad del usuario [6] [2] [1]
[A.8] Difusión de software dañino [7] [2] [1]
[A.18] Destrucción de la información [7] [1] [0]
[A.22] Manipulación de programas [7] [2] [1]
[A.25] Robo de equipos [7] [2] [1]
[A.26] Ataque destructivo [7] [3] [1]
[A.28] Indisponibilidad del personal [4] [2] [1]
Riesgo acumulado
amenaza riesgo [Presente] [Solución 1]
[E.1] Errores de los usuarios {5} {2} {2}
[E.2] Errores del administrador {5} {2} {1}
[E.3] Errores de monitorización (log) {3} {1} {0}
[E.4] Errores de configuración {4} {1} {0}
[E.24] Caída del sistema por agotamiento de recursos {4} {1} {0}
[A.4] Manipulación de la configuración {3} {0} {0}
[A.24] Denegación de servicio {5} {2} {1}
Riesgo repercutido
amenaza riesgo [Presente] [Solución
1]
[N.1] Fuego {4} {0} {0}
[N.2] Daños por agua {3} {0} {0}
[N.*] Desastres naturales {4} {1} {0}
[I.1] Fuego {4} {2} {0}
[I.2] Daños por agua {4} {1} {0}
[I.*] Desastres industriales {4} {2} {0}
[I.3] Contaminación mecánica {4} {1} {0}
[I.4] Contaminación electromagnética {3} {1} {0}
[I.5] Avería de origen físico o lógico {4} {1} {0}
[I.6] Corte del suministro eléctrico {5} {1} {0}
[I.7] Condiciones inadecuadas de temperatura y/o humedad {5} {2} {1}
[I.8] Fallo de servicios de comunicaciones {5} {2} {2}
[I.9] Interrupción de otros servicios y suministros esenciales {4} {1} {0}
[E.7] Deficiencias en la organización {3} {1} {0}
[E.8] Difusión de software dañino {5} {3} {2}
[E.9] Errores de [re-]encaminamiento {5} {2} {1}
[E.18] Destrucción de la información {4} {1} {0}
[E.20] Vulnerabilidades de los programas (software) {1} {0} {0}
[E.21] Errores de mantenimiento / actualización de {5} {2} {1}
291
[E.23] Errores de mantenimiento / actualización de equipos {3} {1} {0}
(hardware)
[E.28] Indisponibilidad del personal {1} {0} {0}
[A.5] Suplantación de la identidad del usuario {5} {3} {2}
[A.8] Difusión de software dañino {5} {2} {1}
[A.18] Destrucción de la información {5} {1} {1}
[A.22] Manipulación de programas {5} {2} {1}
[A.25] Robo de equipos {5} {1} {0}
[A.26] Ataque destructivo {4} {1} {0}
[A.28] Indisponibilidad del personal {3} {1} {0}

Impacto acumulado
Impacto repercutido
1]
[N.1] Fuego [3] [1] [0]
[I.1] Fuego [3] [1] [0]
esenciales
292

Riesgo acumulado
Riesgo repercutido
1]
[N.1] Fuego {1} {0} {0}
[I.1] Fuego {2} {1} {0}

Impacto acumulado
293

[E.19] Divulgación de información [5] [1] [0]
[A.11] Acceso no autorizado [5] [1] [0]
[A.16] Introducción de falsa información [1] [0] [0]
[A.17] Corrupción de la información [1] [0] [0]
[A.19] Divulgación de información [6] [1] [0]
Impacto repercutido
1]
[E.14] Escapes de información [4] [1] [0]
[A.6] Abuso de privilegios de acceso [6] [1] [1]
[A.9] [Re-]encaminamiento de mensajes [6] [2] [1]
[A.12] Análisis de tráfico [1] [0] [0]
[A.14] Intercepción de información (escucha) [6] [1] [1]
[A.29] Extorsión [6] [3] [1]
[A.30] Ingeniería social [6] [3] [1]
Riesgo acumulado
[E.19] Divulgación de información {3} {0} {0}
[A.11] Acceso no autorizado {5} {2} {1}
[A.16] Introducción de falsa información {2} {1} {1}
294
[A.17] Corrupción de la información {2} {1} {0}

[A.19] Divulgación de información {5} {1} {0}
Riesgo repercutido
1]
[E.14] Escapes de información {3} {0} {0}
[A.6] Abuso de privilegios de acceso {5} {1} {1}
[A.9] [Re-]encaminamiento de mensajes {3} {0} {0}
[A.12] Análisis de tráfico {1} {0} {0}
[A.14] Intercepción de información (escucha) {5} {1} {1}
[A.29] Extorsión {4} {2} {1}
[A.30] Ingeniería social {4} {1} {0}

Impacto acumulado
Riesgo acumulado

Impacto acumulado
295

[E.16] Introducción de falsa información [1] [0] [0]
[A.15] Modificación de información [1] [0] [0]
Impacto repercutido
1]
[A.29] Extorsión [3] [1] [1]
Riesgo acumulado
[E.16] Introducción de falsa información {3} {2} {1}
[A.15] Modificación de información {3} {2} {1}
Riesgo repercutido
1]
296

[A.29] Extorsión {2} {1} {0}

Impacto acumulado
Impacto repercutido
1]
[A.29] Extorsión [3] [1] [1]
Riesgo acumulado
Riesgo repercutido
1]
297

[A.29] Extorsión {2} {1} {0}

Impacto acumulado
Impacto repercutido
1]
[A.29] Extorsión [2] [1] [0]
Riesgo acumulado
Riesgo repercutido
1]
298

[A.29] Extorsión {2} {1} {0}

Impacto acumulado
Impacto repercutido
[A.29] Extorsión [1] [0] [0]
Riesgo acumulado
Riesgo repercutido
[A.29] Extorsión {1} {0} {0}

Impacto repercutido
299

1]
[N.1] Fuego [1] [0] [0]
[I.1] Fuego [1] [0] [0]
[I.7] Condiciones inadecuadas de temperatura y/o [1] [0] [0]
humedad
[A.29] Extorsión [1] [0] [0]
Riesgo repercutido
[N.1] Fuego {0} {0} {0}
[I.1] Fuego {1} {0} {0}
300

[A.29] Extorsión {1} {0} {0}

[IMAT] iMat
Impacto acumulado
1]
[E.10] Errores de secuencia [4] [1] [0]
[A.10] Alteración de secuencia [6] [2] [1]
Impacto repercutido
1]
[E.15] Alteración de la información [1] [0] [0]
[E.17] Degradación de la información [1] [0] [0]
301
[A.29] Extorsión [7] [3] [1]
Riesgo acumulado
1]
[E.10] Errores de secuencia {2} {0} {0}
[A.10] Alteración de secuencia {3} {0} {0}
Riesgo repercutido
1]
[E.15] Alteración de la información {2} {1} {0}
302
[E.17] Degradación de la información {2} {1} {0}

[A.29] Extorsión {5} {2} {1}
Impacto acumulado
1]
Riesgo acumulado
1]
303


Impacto acumulado
1]
Riesgo acumulado
1]
304


[AV] Antivirus
Impacto acumulado
1]
[I.1] Fuego [7] [2] [1]
(hardware)
Riesgo acumulado
305

1]
[I.1] Fuego {4} {1} {0}
(hardware)

Impacto acumulado
1]
[I.1] Fuego [7] [2] [1]
306

(hardware)
Impacto repercutido
1]
[N.1] Fuego [7] [1] [1]
[I.1] Fuego [7] [3] [1]
esenciales
(hardware)
307

Riesgo acumulado
1]
[I.1] Fuego {4} {1} {0}
(hardware)
Riesgo repercutido
1]
[N.1] Fuego {4} {0} {0}
[I.1] Fuego {4} {2} {0}
308

(hardware)

Impacto acumulado
1]
[I.1] Fuego [7] [1] [1]
[E.15] Alteración de la información [1] [0] [0]
309
[E.17] Degradación de la información [1] [0] [0]

(hardware)
Riesgo acumulado
1]
[I.1] Fuego {4} {0} {0}
[E.15] Alteración de la información {2} {1} {0}
[E.17] Degradación de la información {2} {1} {0}
310

(hardware)

Impacto acumulado
1]
[I.1] Fuego [7] [2] [1]
(hardware)
311

Riesgo acumulado
1]
[I.1] Fuego {4} {1} {0}
(hardware)

Impacto acumulado
1]
[I.1] Fuego [1] [0] [0]
312

humedad
Impacto repercutido
1]
[N.1] Fuego [1] [0] [0]
[I.1] Fuego [1] [0] [0]
humedad
[A.29] Extorsión [2] [1] [0]
Riesgo acumulado
[I.1] Fuego {1} {0} {0}
Riesgo repercutido
[N.1] Fuego {0} {0} {0}
[I.1] Fuego {1} {0} {0}
313

[A.29] Extorsión {2} {1} {0}

Impacto acumulado
1]
[I.1] Fuego [1] [0] [0]
humedad
Impacto repercutido
1]
[N.1] Fuego [1] [0] [0]
[I.1] Fuego [1] [0] [0]
humedad
Riesgo acumulado
[I.1] Fuego {1} {0} {0}
Riesgo repercutido
314

[N.1] Fuego {0} {0} {0}
[I.1] Fuego {1} {0} {0}
Impacto acumulado
1]
[I.1] Fuego [1] [0] [0]
humedad
Riesgo acumulado
[I.1] Fuego {1} {0} {0}
Impacto acumulado
1]
[I.1] Fuego [1] [0] [0]
humedad
315
Impacto repercutido
1]
[N.1] Fuego [1] [0] [0]
[I.1] Fuego [1] [0] [0]
humedad
Riesgo acumulado
[I.1] Fuego {1} {0} {0}
Riesgo repercutido
[N.1] Fuego {0} {0} {0}
[I.1] Fuego {1} {0} {0}
[SWITCH] Switch
Impacto acumulado
1]
[I.1] Fuego [7] [2] [1]
316

(hardware)
Riesgo acumulado
1]
[I.1] Fuego {4} {1} {0}
(hardware)

Impacto acumulado
Impacto repercutido
317

Riesgo acumulado
Riesgo repercutido

Impacto acumulado
1]
[N.1] Fuego [7] [1] [1]
humedad
Riesgo acumulado
[N.1] Fuego {4} {0} {0}
318

[INT] Internet
Impacto acumulado
1]
[N.1] Fuego [7] [1] [1]
humedad
Riesgo acumulado
319
[N.1] Fuego {4} {0} {0}

[FIRE] Firewall
Impacto acumulado
1]
[I.1] Fuego [7] [2] [1]
(hardware)
320

Riesgo acumulado
1]
[I.1] Fuego {4} {1} {0}
(hardware)

Impacto acumulado
1]
[I.1] Fuego [7] [2] [1]
321

humedad
esenciales
Riesgo acumulado
[I.1] Fuego {4} {1} {0}

Impacto acumulado
1]
[I.1] Fuego [7] [2] [1]
humedad
esenciales
Riesgo acumulado
[I.1] Fuego {4} {1} {0}
322


Impacto acumulado
[I.1] Fuego [6] [3] [1]
Riesgo acumulado
[I.1] Fuego {4} {2} {0}

Impacto acumulado
Riesgo acumulado

Impacto acumulado
Riesgo acumulado
Impacto acumulado
[A.29] Extorsión [7] [3] [1]
Riesgo acumulado
323

[A.29] Extorsión {5} {2} {1}

Impacto acumulado
[A.29] Extorsión [6] [3] [1]
Riesgo acumulado
[A.29] Extorsión {4} {2} {1}
[BEC] Becarios
Impacto acumulado
[A.29] Extorsión [2] [1] [0]
Riesgo acumulado
[A.29] Extorsión {2} {1} {0}
[ALUM] Alumnos
Impacto acumulado
[A.29] Extorsión [7] [3] [1]
Riesgo acumulado
324
[A.29] Extorsión {5} {2} {1}

325
Anexo: Informe de insuficiencias [IMAT] Sistema de Matriculación
Informe de Insuficiencias (50%)

Proyecto: IMAT
Fase: [Presente] Situación actual
Nivel: experto
2. Planos................................................................................................... 326
3. Fases..................................................................................................... 326
4.1. Marco de gestión..............................................................................................327
4.2. Servicios...........................................................................................................330
4.3. Datos / Información .........................................................................................330
4.4. Aplicaciones informáticas (SW) ......................................................................331
4.5. Equipos informáticos (HW).............................................................................332
4.6. Comunicaciones...............................................................................................332
4.7. Elementos auxiliares ........................................................................................333
4.8. Seguridad física................................................................................................333
4.9. Personal............................................................................................................334

versión v1
Planos
Fases
326

Relación de salvaguardas que adolecen de un nivel de eficacia inferior al 50%.
Detalle: nivel experto.
Marco de gestión
1]
Organización 55% 83%
Comité de gestión de seguridad de la información (forum) 40% 83%
Está respaldado por la dirección 50% 100%
Define claramente las funciones de seguridad 30% 90%
Aprueba las designaciones de responsables de seguridad 30% 30%
Revisa, evalúa y aprueba la política de seguridad 40% 100%
Asegura la coordinación en materia de seguridad dentro de la 20% 100%
organización
Asignación de responsabilidades para la seguridad de la información 63% 92%
Se documentan los detalles de cada responsabilidad 50% 100%
Roles identificados 85% 100%
Responsable de seguridad del sistema (RSS) (autoridad delegada) 40% 100%
Se dispone de asesoramiento especializado en seguridad 0% 50%
Cooperación entre organizaciones 55% 55%
Se mantienen contactos con las autoridades 50% 50%
Se mantienen contactos con los organismos reguladores 50% 50%
Se mantienen contactos con los operadores de telecomunicaciones 50% 50%
Normativa de seguridad 25% 88%
Política de Seguridad (documento) 21% 73%
Política derivada de la Política de Seguridad Global de la 30% 100%
Organización
Está aprobado y respaldado por el responsable de la organización 30% 100%
Todo el personal de la organización tiene acceso al documento 30% 70%
Conocido y aceptado por los afectados 10% 70%
Referencia normativa y procedimientos específicos 30% 30%
Documentación de seguridad del sistema 0% 96%
Documento de seguridad 0% 100%
Documenación acreditación 0% n.a.
Concepto de Operación del Sistema 0% n.a.
POS 0% n.a.
DRES 0% n.a.
Documento de seguridad (LOPD) 0% 100%
Guías para todas las funciones ordinarias 50% 100%
Guías para situaciones excepcionales 10% 70%
Criterios de aceptación para versiones o sistemas nuevos 45% 88%
Documentación de seguridad 0% 80%
327
Definición y prueba de los procedimientos de operación del 0% 80%

sistema
Definición de procedimientos de recuperación ante errores y de 30% 100%
reinicio
Definición de un plan de contingencia 0% 100%
Certificación independiente 0% 50%
Acreditación de sistemas 26% 91%
Plan de inspección 20% 80%
Revisión Seguridad Física 20% 100%
Revisión Seguridad de Documentos 0% 100%
Revisión Seguridad Criptográfica 30% 60%
Identificación y autenticación 89% 96%
Herramientas de Identificación y Autenticación de usuario 79% 93%
Compromiso escrito de mantener la confidencialidad del 0% 100%
autenticador
{or} Mecanismo de autenticación 75% 75%
Contraseñas 75% 75%
Gestión de contraseñas 50% 50%
Las contraseñas iniciales serán temporales con una 0% 0%
duración limitada (mínima y máxima)
Las contraseñas de administración se custodian en sobre 50% 50%
lacrados convenientemente guardados en cajas de seguridad
{xor} Token
Generador de contraseñas de un sólo uso
Token implementado en SW, con generador de números
Token implementado en HW, con generador de números
Token implementado en HW FIPS 140-2 de nivel 4 o
equivalente
{xor} Biometría
Huella dactilar
Geometría de la mano
Iris
Retina
Tecleo
Voz
Texto manuscrito
Otros ...
Control de acceso lógico 78% 94%
Segregación de tareas 66% 93%
Segregación de tareas en roles 87% 93%
Auditoría de seguridad 0% 60%
Monitorización de todas las operaciones 50% 80%
Registro de las operaciones 50% 100%
Registro de usuario 75% 100%
Comunicación por escrito de sus derechos de acceso a los 0% 100%
usuarios, y confirmación de éstos de su conocimiento
Conexión en terminales (logon) 57% 86%
Número limitado de intentos fallidos 0% 100%
Tras un intento fallido existe un retardo hasta que el siguiente 0% 0%
intento sea posible
328
Las contraseñas no podrán ser almacenadas en ningún proceso 0% 100%

automático (macros, teclas de función, etc.)
Desconexión automática de terminales 50% 100%
Activación automática del protector de pantalla con contraseña 0% n.a.
tras un período de inactividad
Gestión de incidencias 42% 89%
Procedimientos de gestión de incidentes 54% 87%
Definición de procedimientos a seguir para todos los tipos 20% 92%
potenciales de incidencias
Procedimiento para fallos del sistema y pérdidas de servicio 20% 100%
Procedimiento en caso de denegación de servicio 20% 100%
Procedimiento ante errores que resultan de datos del negocio 20% 100%
inexactos o incompletos
Procedimiento ante violaciones de la confidencialidad 20% 70%
Esquema de gestión 52% 77%
Planificación e implantación de medidas 50% 70%
Comunicación con los afectados e implicados en la 50% 70%
recuperación de la incidencia
Recogida de pistas de auditoría, atendiendo a su validez, 0% 50%
calidad y completitud
Evidencias en documentos en papel 0% 87%
Registro de la persona que encontró el documento, lugar y 0% 100%
fecha
Testigos del descubrimiento 0% 100%
Comprobación de que el documento no ha sido modificado 0% 60%
Evidencias en medios electrónicos 50% 100%
Realización de copias de los medios electrónicos en medios 50% 100%
de alta fiabilidad
Registro de todas las acciones del proceso de copia 50% 100%
Testigos del proceso de copia 50% 100%
Comunicación de las incidencias de seguridad 0% 85%
Procedimiento para la comunicación de las incidencias 0% 100%
Procedimiento para la respuesta ante las incidencias 0% 100%
Registro 0% 100%
Tipo de incidencia 0% 100%
Momento en que se ha producido 0% 100%
Persona que realiza la notificación 0% 100%
A quién se le comunica 0% 100%
Efectos derivados de la misma 0% 100%
Acciones tomadas 0% 100%
Prueba y revisión de los procedimientos 0% 70%
Mecanismos para cuantificación y monitorización (indicadores) 0% 70%
de las incidencias
Revisión de la seguridad de los sistemas de información 30% 79%
Se realiza regularmente un análisis de riesgos 10% 70%
Se revisan periódicamente las amenazas y las vulnerabilidades 0% 70%
Se evalúa periódicamente la idoneidad de los controles implantados 30% 70%
{or} Revisión del cumplimiento de los requisitos técnicos de los 40% 70%
sistemas de información
Revisión por un equipo de auditoría interna 40% 70%
Revisión por un auditor/empresa especializado e independiente
Registro de revisiones 50% 100%
329
Revisión y análisis periódicos 30% 70%

Revisión al menos cada dos años 50% 100%
Continuidad del negocio (contingencia) 50% 75%
Plan de gestión de crisis 0% 50%
Servicios
1]
Protección frente a DoS 63% 100%
Dimensionamiento adecuado de la capacidad de almacenamiento 50% 100%
de los dispositivos de registro (logs) de la actividad
Proveedor de servicios alternativo 0% 100%
Desarrollo 95% 95%
Dependencia de otros servicios 75% 75%
Dependencia de servicios internos 50% 50%
Explotacion 92% 92%
EDI 80% 80%
Integridad y autenticidad 60% 60%
Procedimiento de firma y verificación 0% 0%
PGP 0% 0%
Otro 0% 0%
Reconocido 0% 0%
No reconocido 0% 0%
Otros 0% 0%
Basado en algoritmo asimétrico según FIPS 140-2 0% 0%
ECDSA (Elliptic Curve Digital Signature Algorithm) 0% 0%
256 o superior
Otro 0% 0%
Terminación de Servicio 87% 93%
Estudio de los efectos 20% 60%
330
salvaguarda [Presente] [Solución 1]

Copias de seguridad de los datos 99% 99%
{xor} Mecanismo de back-up 100% 100%
Copias de seguridad en soportes 100% 100%
{or} Soporte 100% 100%
Papel 0% 0%
{xor} Microfilm 0% 0%
Poliéster 0% 0%
Halógeno de plata 0% 0%
{xor} Soporte óptico 0% 0%
CD ROM, CD-R, CD-RW 0% 0%
DVD-ROM, DVD-RAM, DVD-R, DVD-RW 0% 0%
Mediante replicación de discos síncrona o asíncrona 0% 0%
Aplicaciones informáticas (SW)

1]
Inventario de aplicaciones 37% 90%
Registro de aplicaciones 50% 100%
Registro de sistemas operativos y software de base 50% 100%
Identificación del SW crítico para el negocio 10% 80%
Procedimiento de restauración 50% 80%
Desarrollo 91% 98%
Entorno de desarrollo 82% 100%
{or} Protección de los datos de prueba del sistema 100% 100%
Las pruebas usan datos de producción
Eliminación de la información de producción del sistema de
pruebas
Registro de las copias y uso de la información de producción a
efectos de auditoría
Autorización previa cada vez que se copie datos de producción a
un entorno de pruebas
Explotación 80% 82%
Seguridad de los mecanismos de comunicación entre procesos 0% 0%
Integridad 0% 0%
Autenticidad 0% 0%
Actualización de todos los procedimientos de explotación afectados 0% 0%
331
Equipos informáticos (HW)

1]
{xor} Redundancia 100% 100%
Equipo de alta disponibilidad con sistema de almacenamiento
RAID
Equipo alternativo preconfigurado con replicación de discos
síncrona o asíncrona
Cluster con sistema de almacenamiento RAID
Redundancia de los elementos críticos del "host"
Sistema redundante propio en centro alternativo
Contrato de prestación de servicio con el proveedor del sistema,
de acuerdo a los requisitos del negocio
Adquisición de HW 83% 83%
Identificación de los requisitos de seguridad de acuerdo a los 48% 48%
condicionantes del negocio
Política de seguridad de la organización 50% 50%
Certificaciones y/o acreditaciones 0% 0%
Certificación de la calidad y exactitud del trabajo realizado según 50% 50%
estándares requeridos
Desarrollo de HW 73% 73%
Plan de Documentación 50% 50%
Documento de Requititos 50% 50%
Protocolo de pruebas 70% 70%
Diario de Pruebas 50% 50%
Operación 91% 91%
Protección de los dispositivos de red 90% 90%
Desconexión automática de sesiones inactivas 20% 20%
{xor} Administración remota 100% 100%
Se restringe la administración remota
Archivo o destrucción de la documentación anterior 50% 50%
Comunicaciones
1]
Protección de la disponibilidad 93% 93%
{xor} Garantías de disponibilidad 100% 100%
Redundancia de los enlaces con esquema activo-pasivo,
incluyendo los dispositivos de red
Redundancia de los enlaces, con dispositivos de red tolerantes a
fallos (doble CPU, doble fuente de alimentación, y doble interfaz de
red)
332
Dispositivos de red tolerantes a fallos (doble CPU, doble fuente

de alimentación)
Procedimiento formal de aprobación de cambios 40% 40%
Registro de toda actuación 40% 40%
Elementos auxiliares
1]
Suministro eléctrico 94% 94%
Alimentación de respaldo 72% 72%
Procedimiento de emergencia 50% 50%
{or} Redundancia 100% 100%
Sistema de alimentación ininterrumpida (SAI) que permite el
funcionamiento de los equipos críticos, hasta su correcto cierre y
apagado
Sistema de alimentación redundante que garantiza el
funcionamiento de los equipos críticos, y la continuidad de las
operaciones
Climatización 85% 85%
Protección del cableado 90% 90%
Procedimiento para la modificación del cableado 30% 30%
Seguridad física
1]
Normativa 0% 100%
Normas de conducta (prohibición de fumar, beber, comer, ...) 0% 100%
Prohibición de equipos de registro (fotografía, video, audio, 0% 100%
telefonía, etc.) salvo autorización especial
Procedimientos 63% 63%
Plan de seguridad 40% 40%
Plan de emergencia 52% 52%
Procedimientos escritos para el acceso físico a las instalaciones en 20% 20%
caso de emergencia
Diseño 37% 73%
Diseño observando reglas y normas relevantes sobre salud y sanidad 0% 100%
Situar equipos sensibles en áreas separadas 50% 80%
Separación de áreas de seguridad y de acceso público 30% 50%
Acceso a través de un área de recepción 0% 50%
Control de los accesos físicos 87% 87%
Control de los accesos 96% 96%
333
Sistema automático de control de accesos 83% 83%

{xor} Mecanismo de identificación 100% 100%
Basado en tarjeta y PIN
Basado en biometría
Basado en biometría y tarjeta
Sistema de Detección de Intrusión centralizado 85% 85%
Comprobación periódica 50% 50%
Control de las visitas 75% 75%
Registro de entrada/salida (nombre, empresa, fecha y horas de 0% 0%
entrada y salida, objeto del acceso, y persona que recibe)
Control de llaves, combinaciones o dispositivos de seguridad 75% 75%
Las combinaciones se cambian o modifican cuando haya cambios 0% 0%
de personal que haya tenido acceso a las mismas
Protección del perímetro 100% 100%
{xor} Puertas de acceso 100% 100%
Puertas de acceso blindadas
Puertas de acceso acorazadas
Protección frente a desastres 89% 89%
Protección frente a incendios 72% 72%
Vías de evacuación 50% 50%
Sistema automático de extinción de incendios (sprinkler, etc.) 0% 0%
Señalización (planos de evacuación, de planta, etc.) 0% 0%
Personal
salvaguarda [Presente] [Solución 1]
Formación 55% 55%
Evaluación y revisión del plan de formación 40% 40%
334
Anexo: Calificación ISO/IEC 17799:2005 [IMAT] Sistema de Matriculación
Calificación [17799_2005] ISO/IEC 17799:2005

Proyecto: IMAT
3. Fases..................................................................................................... 335
4.1. [5] Política de seguridad ..................................................................................336
4.2. [6] Organización de la seguridad de la información........................................336
4.3. [7] Gestión de activos ......................................................................................336
4.4. [8] Seguridad relacionada con los recursos humanos ......................................336
4.5. [9] Seguridad física y del entorno....................................................................337
4.6. [10] Gestión de comunicaciones y operaciones...............................................337
4.7. [11] Control de acceso .....................................................................................338
4.8. [12] Adquisición, desarrollo y mantenimiento de sistemas .............................339
4.9. [13] Gestión de incidentes ...............................................................................339
4.10. [14] Gestión de la continuidad del negocio ...................................................339
4.11. [15] Conformidad...........................................................................................339

versión v1
2. Planos
Fases
335

[5] Política de seguridad
control [Presente] [Solución 1]
[1] Política de seguridad de la información 18% 86%
[1] Documento de política de seguridad de la información 25% 88%
[2] Revisión de la política de seguridad 10% 83%
[6] Organización de la seguridad de la información

control [Presente] [Solución
1]
[1] Organización interna
[1] Compromiso de la dirección con la seguridad de la información 40% 100%
[2] Coordinación para la seguridad de la información n.a. 100%
[3] Asignación de responsabilidades para la seguridad de la 63% 92%
información
[4] Proceso de autorización de recursos para el tratamiento de la n.a. n.a.
información
[5] Acuerdos de confidencialidad n.a. n.a.
[6] Colaboración con las autoridades 50% 50%
[7] Colaboración con grupos de específicos de interés 60% 60%
[8] Revisión independiente de la seguridad de la información
[2] Terceras partes n.a. n.a.
[1] Identificación riesgos relacionados con terceras partes n.a. n.a.
[2] Consideración de la seguridad en las relaciones con clientes n.a. n.a.
[3] Consideración de la seguridad en los acuerdos con terceras n.a. n.a.
partes
[7] Gestión de activos

[1] Identificación de responsables de los activos 86% 89%
[1] Inventario de activos 78% 88%
[2] Propiedad de los activos 100% 100%
[3] Condiciones de uso de los activos 80% 80%
[2] Clasificación de la información 100% 100%
[1] Guía de clasificación 100% 100%
[2] Etiquetado y tratamiento de la información n.a. n.a.
[8] Seguridad relacionada con los recursos humanos

[1] Previa a la contratación 100% 100%
[1] Perfiles, cargos y responsabilidades 100% 100%
[2] Selección de personal n.a. n.a.
[3] Condiciones laborales n.a. n.a.
[2] Mientras dure la contratación 55% 55%
[1] Responsabilidades de gestión n.a. n.a.
[2] Concienciación, formación y entrenamiento 55% 55%
[3] Medidas disciplinarias n.a. n.a.
[3] Fin de la contratación o cambio de puesto n.a. n.a.
336
[1] Responsabilidades en la terminación n.a. n.a.

[2] Devolución de activos n.a. n.a.
[3] Eliminación de derechos de acceso n.a. n.a.
[9] Seguridad física y del entorno

[1] Áreas seguras 56% 81%
[1] Perímetro de seguridad física 67% 83%
[2] Controles de entrada 87% 87%
[3] Aseguramiento de oficinas, salas, etc. 15% 75%
[4] Protección frente a amenazas externas 89% 89%
[5] Reglamentación del trabajo en áreas seguras 50% 100%
[6] Áreas abiertas al público, zonas de entrega, carga y descarga 30% 50%
[2] Seguridad del equipamiento 82% 86%
[1] Ubicación y protección de los equipos 75% 91%
[2] Servicios auxiliares 93% 93%
[3] Seguridad del cableado 92% 92%
[4] Mantenimiento de equipos 68% 68%
[5] Seguridad de los equipos fuera de las instalaciones n.a. n.a.
[6] Liberación o reutilización de equipos (pasan a otras manos) n.a. n.a.
[7] Mudanza de equipos (salen de su ubicación habitual) n.a. n.a.
[10] Gestión de comunicaciones y operaciones

[1] Procedimientos operativos y responsabilidades 71% 88%
[1] Procedimientos operativos documentados 30% 92%
[2] Gestión de cambios 68% 70%
[3] Segregación de tareas 90% 90%
[4] Separación de entornos de desarrollo, prueba y operación 96% 100%
[2] Gestión de servicios proporcionados por terceros n.a. n.a.
[1] Prestación del servicio n.a. n.a.
[2] Monitorización y revisión de los servicios de terceros n.a. n.a.
[3] Gestión de cambios en servicios de terceros n.a. n.a.
[3] Planificación y aceptación de sistemas 81% 83%
[1] Gestión de capacidad 72% 76%
[2] Aceptación de nuevos sistemas 90% 90%
[4] Protección frente a código dañino n.a. n.a.
[1] Protección frente a programas dañinos n.a. n.a.
[2] Protección frente a programas descargados sobre la marcha n.a. n.a.
[5] Copias de respaldo 99% 99%
[1] Copias de respaldo 99% 99%
[6] Gestión de la seguridad de la red 91% 91%
[1] Controles de red 87% 87%
[2] Seguridad de los servicios de red 95% 95%
[7] Tratamiento de soportes de información n.a. n.a.
[1] Gestión de soportes n.a. n.a.
[2] Destrucción de soportes n.a. n.a.
[3] Procedimientos de manejo de la información n.a. n.a.
[4] Seguridad de la documentación del sistema n.a. n.a.
[8] Intercambios de información 99% 99%
337
[1] Normas y procedimientos 99% 99%

[2] Acuerdos de intercambio n.a. n.a.
[3] Medios físicos en tránsito n.a. n.a.
[4] Mensajería electrónica n.a. n.a.
[5] Intercambios entre sistemas de información n.a. n.a.
[9] Servicios de comercio electrónico 97% 97%
[1] Comercio electrónico n.a. n.a.
[2] Transacciones en línea n.a. n.a.
[3] Información a disposición del público 97% 97%
[10] Monitorización n.a. n.a.
[1] Pistas de auditoría n.a. n.a.
[2] Monitorización de uso de los sistemas n.a. n.a.
[3] Protección de registros (logs) n.a. n.a.
[4] Registros de administración y operación n.a. n.a.
[5] Registro de fallos n.a. n.a.
[6] Sincronización de relojes n.a. n.a.
[11] Control de acceso

[1] Requisitos del servicio 85% 85%
[1] Política 85% 85%
[2] Gestión de usuarios 76% 82%
[1] Registro de usuarios 75% 100%
[2] Gestión de privilegios 90% 90%
[3] Gestión de contraseñas 50% 50%
[4] Revisión de derechos de acceso 90% 90%
[3] Responsabiliades de los usuarios 100% 100%
[1] Uso de contraseñas 100% 100%
[2] Equipo desatendido n.a. n.a.
[3] Puesto de trabajo limpio y pantalla en blanco n.a. n.a.
[4] Control de acceso a la red 100% 100%
[1] Política de uso de los servicios de red 100% 100%
[2] Autenticación de usuarios en acceso remoto 100% 100%
[3] Identificación de equipos en la red 100% 100%
[4] Puertas de diagnóstico y configuración remota 100% 100%
[5] Segregación de redes 100% 100%
[6] Control de conexión a la red 100% 100%
[7] Control de encaminamiento 100% 100%
[5] Control del acceso a sistemas en operación 71% 90%
[1] Procedimientos de entrada (log-on) n.a. n.a.
[2] Identificación y autorización de usuarios 89% 96%
[4] Uso de herramientas del sistema n.a. n.a.
[5] Terminación temporizada de la sesión 50% 100%
[6] Limitación del tiempo de conexión n.a. n.a.
[6] Control de acceso a datos y aplicaciones 75% 90%
[1] Restricción del acceso a la información 100% 100%
[2] Aislamiento de sistemas críticos 50% 80%
[7] Equipos y móviles y tele-trabajo 100% 100%
[1] Equipos móviles n.a. n.a.
[2] Tele-trabajo 100% 100%
338
[12] Adquisición, desarrollo y mantenimiento de sistemas

[1] Requisitos de seguridad 74% 74%
[1] Análisis y especificación de requisitos 74% 74%
[2] Garantías de procesamiento de información 75% 75%
[1] Validación de datos de entrada 100% 100%
[2] Control de tratamiento interno 100% 100%
[3] Integridad de los mensajes 0% 0%
[4] Validación de la salida 100% 100%
[3] Controles criptográficos 100% 100%
[1] Política de uso 100% 100%
[2] Gestión de claves 100% 100%
[4] Seguridad de los sistemas de ficheros 100% 100%
[1] Control de programas en producción 100% 100%
[2] Protección de los datos de prueba 100% 100%
[3] Acceso al código fuente n.a. n.a.
[5] Seguridad en los procesos de desarrollo y soporte 84% 87%
[1] Procedimientos de control de cambios n.a. n.a.
[2] Revisión técnica de las aplicaciones tras cambios del S.O. 80% 80%
[3] Control de cambios en paquetes software 73% 80%
[4] Fugas de información 100% 100%
[5] Desarrollo externalizado (outsourcing) n.a. n.a.
[6] Gestión de vulnerabilidades 100% 100%
[1] Control de vulnerabilidades 100% 100%
[13] Gestión de incidentes

[1] Comunicación de incidencias y debilidades 0% 85%
[1] Comunicación de incidencias 0% 85%
[2] Comunicación de debilidades n.a. n.a.
[2] Gestión de incidentes y mejoras 51% 79%
[1] Responsabilidades y procedimientos 54% 87%
[2] Aprendiendo del pasado 100% 100%
[3] Retención de evidencias 0% 50%
[14] Gestión de la continuidad del negocio

1]
[1] Seguridad de la información en relación a la gestión de 0% 50%
contingencias
[1] Inclusión de la seguridad de la información en los planes de n.a. n.a.
contingencia
[2] Continuidad y reconocimiento de riesgos n.a. n.a.
[3] Desarrollo e implantación de planes de continuidad incluyendo n.a. n.a.
la seguridad de la información
[4] Marco de planificación de la continuidad 0% 50%
[5] Prueba, mantenimiento y consolidación de los planes de n.a. n.a.
contingencia
[15] Conformidad
339

1]
[1] Requisitos legales 83% 100%
[1] Identificación de legislación aplicable n.a. n.a.
[2] Derechos de propiedad intelectual n.a. n.a.
[3] Protección de los registros de la organización n.a. n.a.
[4] Protección de datos e información de carácter personal 67% 100%
[5] Prevención frente al mal uso de los medios de tratamiento de la n.a. n.a.
información
[6] Regulación de controles criptográficos 100% 100%
[2] Satisfacción de políticas, normas y reglamentos técnicos n.a. n.a.
[1] Satisfacción de políticas y normas n.a. n.a.
[2] Verificación de la satisfacción de reglamentos técnicos n.a. n.a.
[3] Consideraciones sobre auditoría de sistemas n.a. n.a.
[1] Controles de auditoría n.a. n.a.
[2] Protección de las herramientas de auditoría n.a. n.a.
340
Anexo: Calificación CSNC [IMAT] Sistema de Matriculación
Calificación [csnc] Criterios de seguridad,

normalización y conservación
Proyecto: IMAT
2. Planos................................................................................................... 342
3. Fases..................................................................................................... 342

4.2. [4] Organización y planificación de la seguridad ............................................342
4.3. [5] Análisis y gestión de riesgos ......................................................................342
4.4. [6] Identificación y clasificación de activos a proteger ...................................343
4.5. [7] Salvaguardas ligadas al personal................................................................343
4.6. [8] Seguridad física ..........................................................................................343
4.7. [9] Autenticación .............................................................................................345
4.8. [10] Confidencialidad ......................................................................................345
4.9. [11] Integridad .................................................................................................346
4.10. [12] Disponibilidad ........................................................................................347
4.11. [13] Control de acceso ...................................................................................347
4.12. [14] Acceso a través de redes.........................................................................348
4.13. [15] Firma electrónica....................................................................................348
4.14. [16] Protección de soportes de información y copias de respaldo.................349
4.15. [17] Desarrollo y explotación de sistemas .....................................................350
4.16. [18] Gestión y registro de incidencias ...........................................................350
4.17. [19] Plan de contingencias .............................................................................351
341
4.18. [20] Auditoría y control de la seguridad ........................................................351

versión v1
Planos
Fases

1.1. [3] Política de seguridad
1]
[1] Se deben definir y documentar los requisitos y los objetivos de 21% 73%
seguridad.
[2] Se deben definir y documentar las estrategias, normas, pautas y 30% 92%
procedimientos para satisfacer los requisitos de seguridad y alcanzar
los mencionados objetivos.
[3] Se debe basar la política de seguridad en los resultados del análisis 30% 79%
y gestión de riesgos.
[4] Organización y planificación de la seguridad

1]
[1] Se debe identificar el papel de los diversos actores en relación con 66% 93%
los activos a proteger.
[2] Se deben definir con claridad las responsabilidades. 63% 92%
[3] Se deben definir y documentar procedimientos de seguridad. 30% 92%
[5] Análisis y gestión de riesgos

1]
[1] Se debe realizar el análisis y la gestión de riesgos aplicando 30% 79%
MAGERIT, Metodología de análisis y gestión de riesgos de los
sistemas de información, para determinar las medidas organizativas y
técnicas adecuadas que salvaguardan la autenticidad, confidencialidad,
integridad y disponibilidad de acuerdo con la proporcionalidad entre la
naturaleza de los datos y los tratamientos, los riesgos a que están
expuestos y el estado de la tecnología.
342
[2] Se debe informar al propietario de la aplicación y de los ficheros de 30% 79%

los riesgos detectados al objeto de que pueda tomar decisiones sobre la
política de seguridad a seguir.
[3] Los riesgos y las salvaguardas de la aplicación se deben revisar 50% 100%
periódicamente, así como siempre que las circunstancias lo aconsejen,
como una parte más de la gestión de la seguridad.
[6] Identificación y clasificación de activos a proteger

1]
[1] Se debe realizar y mantener un inventario de los activos a proteger 63% 90%
(información, equipamiento del sistema, soportes e información, otros
equipos -climatización, alimentación, etc.-).
[2] Para cada activo se debe identificar a su propietario, así como su 30% 79%
valor e importancia en términos cuantitativos o cualitativos, en función
de los requisitos de autenticidad, integridad, confidencialidad y
disponibilidad que le son aplicables. Esta información es crucial, pues
facilita el análisis y gestión de riesgos y, por tanto sirve, para
determinar las medidas de seguridad proporcionadas.
[3] En relación con los activos de tipo información, se debe documentar 78% 94%
a qué usuarios se autoriza el acceso y los atributos relacionados con el
referido acceso.
[7] Salvaguardas ligadas al personal

1]
[1] Se deben definir y documentar las funciones y obligaciones del 100% 100%
personal (Véase "Organización y planificación de la seguridad").
[2] Dar a conocer al personal las medidas de seguridad que afecten al 55% 55%
desarrollo de sus funciones y que en su caso deban aplicar, así como las
consecuencias en que pudiera incurrir en caso de incumplimiento.
[3] Dependiendo de los requisitos de la aplicación, se deben tener en n.a. n.a.
cuenta los aspectos de seguridad en el proceso de asignación de
puestos.
[4] Se debe suministrar al personal que maneje datos de carácter n.a. n.a.
personal u otra información cuya protección sea necesaria, el mobiliario
adecuado para guardar la información (en soporte papel o electrónico).
[5] Se debe controlar periódicamente la forma en que el personal que n.a. n.a.
disponga algún tipo de obligación en relación con la seguridad de la
información de la Organización, cumple este tipo de obligaciones.
[6] Establecer obligaciones de confidencialidad en los casos de personal n.a. n.a.
con contratos temporales o personal perteneciente a empresas
subcontratadas, cuando la información que puedan manejar en el
desempeño de sus obligaciones temporales sean datos de carácter
personal, u otra información sensible. El personal temporal o
subcontratado deberá aceptar expresamente las prescripciones de
confidencialidad.
[8] Seguridad física

1]
343
[1] Se debe situar el equipamiento que soporta a la aplicación así como n.a. n.a.
los soportes de información en áreas seguras y protegidas
adecuadamente.
[2] Se debe definir de forma proporcionada las medidas que garanticen 72% 86%
la seguridad de los locales a proteger en relación con los requisitos de
seguridad de la información que se almacene o procese.
[3] Se debe construir barreras físicas del suelo al techo para prevenir 37% 73%
entradas no autorizadas o contaminación del entorno. Las ventanas y
puertas de las áreas seguras deben estar cerradas y controlarse
periódicamente. Las ventanas deben protegerse externamente. Se
pueden necesitar barreras adicionales y perimetrales entre áreas con
diferentes requisitos de seguridad dentro del perímetro global de
seguridad.
[4] Se debe construir las instalaciones de forma discreta y minimizar las 37% 73%
indicaciones sobre su propósito, evitando signos obvios (fuera o dentro
del edificio) que identifiquen la presencia de las actividades cuya
seguridad se desea. No informar al personal que no esté directamente
implicado de las actividades que se hacen dentro de las áreas seguras.
[5] No se debe identificar en directorios telefónicos y de los vestíbulos 37% 73%
de la organización las localizaciones informáticas (excepto las oficinas
y áreas de recepción).
[6] Se debe proteger los locales de amenazas potenciales: eléctricas, 78% 78%
incendios, clima, agua, interferencias, agentes químicos y otros.
[7] Se debe documentar debidamente los procedimientos de emergencia 52% 52%
y revisar esta documentación de forma regular.
[8] Se debe formar al personal en el funcionamiento de todos los 55% 55%
sistemas instalados, realizando simulaciones de contingencias.
[9] Se deben implantar medidas para proteger los cables de líneas de 90% 90%
datos contra escuchas no autorizadas, contra daños (por ejemplo,
evitando rutas a través de áreas públicas o fácilmente accesibles), o
interferencias (por ejemplo, evitando recorridos paralelos y cercanos a
líneas eléctricas). Instalar las líneas de suministro y telecomunicaciones
para servicios de los sistemas de información en instalaciones comunes,
subterráneas cuando sea posible, o tener medidas alternativas de
protección adecuada.
[10] Se debe ubicar los terminales que manejen información y datos 90% 90%
sensibles en lugares donde se reduzca el riesgo de que aquellos estén a
la vista.
[11] Se debe almacenar los materiales peligrosos y/o combustibles a n.a. n.a.
una distancia de seguridad del emplazamiento de los ordenadores. Por
ejemplo, los suministros informáticos como el papel no se deben
almacenar en la sala de ordenadores (hasta que se necesiten).
Inspeccionar el material entrante, para evitar amenazas potenciales,
antes de llevarlo al punto de uso o almacenamiento.
[12] Se debe ubicar el equipamiento alternativo y copias de respaldo en n.a. n.a.
sitios diferentes y a una distancia conveniente de seguridad. Estas
copias de respaldo se almacenarán en armarios ignífugos (véase el
Capítulo Protección de soportes de información y copias de respaldo).
[13] Se debe controlar la entrada en exclusiva al personal autorizado a n.a. n.a.
las áreas que se hayan definido como áreas a ser protegidas. Autorizar
sólo con propósitos específicos y controlados los accesos a estas áreas,
registrando los datos y tiempos de entrada y salida. Obligar a todo el
personal que lleve una identificación visible dentro del área segura y
344
que observe e informe de la presencia de personal extraño al área. En

éstas se deben prohibir los trabajos no autorizados en solitario para
evitar la oportunidad de acción maliciosa. Cerrar la puerta externa del
área, cuando la interna esté abierta.
[14] Se debe restringir el acceso a las áreas seguras del personal de los n.a. n.a.
proveedores o de mantenimiento a los casos en que sea requerido y
autorizado. Aun con acceso autorizado deben restringirse sus accesos y
controlarse sus actividades (especialmente en zonas de datos sensibles).
[15] Se deben definir normas y controles relativos a la posible n.a. n.a.
salida/entrada física de soportes de información (impresos, cintas y
disquetes, CDs, etc.), así como de los responsables de cada operación.
[9] Autenticación
1]
[1] Se deben adoptar medidas de identificación y autenticación 89% 96%
proporcionadas a la naturaleza de la información y de los tratamientos,
de los riesgos a los que están expuestos y del estado del arte de la
tecnología.
[2] Se debe elaborar y mantener una lista de usuarios autorizados; éstos 82% 95%
deben tener un conjunto de atributos de seguridad que puedan ser
mantenidos individualmente.
[3] Se debe asignar a cada usuario un identificador único para su uso 100% 100%
exclusivo y personal, de forma que cualquier actuación suya pueda ser
trazada. Con el identificador de usuario el administrador de seguridad
debe poder identificar al usuario específico.
[4] El sistema debe exigir que cada usuario se identifique y autentifique 79% 93%
su identidad, antes de que se le permita realizar cualquier acción, para
acceder a la aplicación y a otros recursos (también al puesto local, al
servidor, al dominio de red, etc.).
[5] La identificación y autenticación fuerte, se realizará mediante al
menos un par de claves complementarias, una pública y otra privada,
generadas con algoritmos de cifrado asimétrico RSA-1024 o
equivalente, acompañadas del correspondiente certificado reconocido
de autenticidad que cumplirá las especificaciones x.509 v3 o superiores.
[6] La autenticación basada en identificador de usuario y contraseña fija 75% 75%
sólo es adecuada en el ámbito donde haya datos a los que haya que
aplicar las medidas denominadas de nivel básico.
[10] Confidencialidad
1]
[1] Se debe cifrar la información cuando la naturaleza de los datos y de 100% 100%
los tratamientos y los riesgos a los que estén expuestos lo requiera,
tanto en transacciones o comunicaciones como en almacenamiento, en
particular cuando se trate de datos de carácter personal a los que haya
que aplicar las medidas de nivel alto. Información dinámica: En los
intercambios entre puestos, servidores y otros dispositivos, así como en
transacciones electrónicas y transmisiones a través de redes de
telecomunicaciones. Información estática: En servidores, en soportes
electrónicos de información o en ordenadores personales o estaciones
de trabajo de los usuarios.
345
[2] Los algoritmos deben permitir una longitud mínima de claves de 100% 100%
128 bits, y se utilizarán preferentemente 3DES, IDEA, RC4, RC5, AES,
o equivalentes.
[3] Para el establecimiento de sesión web cifrada se debe utilizar el n.a. n.a.
protocolo SSL v3/TLS v1 o superior con cifrado simétrico de, al menos,
128 bits.
[4] En correo electrónico seguro se debe utilizar el estándar S/MIME v2 n.a. n.a.
o superior.
[5] En sesiones de administración remota se debe utilizar SSH. n.a. n.a.
[6] Se deben implantar procedimientos de apoyo a los mecanismos de 100% 100%
cifrado (control de acceso físico y lógico, autenticación, gestión de
claves, etc.) para evitar la divulgación no autorizada de la información
almacenada en dispositivos y soportes electrónicos o en tránsito a través
de redes de telecomunicaciones.
[7] El borrado de los datos debe realizarse mediante mecanismos n.a. n.a.
adecuados, como por ejemplo los basados en ciclos de reescritura de los
ficheros. El procedimiento de borrado tendrá en cuenta la naturaleza de
los datos o al riesgo aparejado a su desvelamiento.
[8] Para salvaguarda de la confidencialidad se debe tener en cuenta n.a. n.a.
también lo previsto en los capítulos "Seguridad física", "Autenticación",
"Control de acceso", "Acceso a través de redes" y "Protección de los
soportes de información y copias de respaldo".
[9] Cuando el mecanismo de protección de la confidencialidad en las n.a. n.a.
comunicaciones de la Administración con el ciudadano utilice
algoritmos de clave pública, además de los de clave simétrica, el par de
claves complementarias, pública y privada han de ser independientes de
los utilizados para autenticidad. Serán de RSA-1024 o equivalente y
certificado reconocido conforme con la norma UIT X.509 v3 o
versiones posteriores. La Administración deberá informar al ciudadano
de las medidas que permitan descifrar la información.
[11] Integridad
1]
[1] Se deben implantar procedimientos de explotación de la aplicación n.a. n.a.
y de los sistemas adecuados a la protección de la integridad.
[2] Se deben implantar procedimientos de copias de respaldo de 99% 99%
ficheros y bases de datos, y de protección y conservación de soportes de
información.
[3] Se deben generar copias de los documentos emitidos en soportes no n.a. n.a.
reescribibles de tipo "múltiple lectura única escritura" (WORM), como,
por ejemplo, CD-ROM o DVD (Véase en "Criterios de Conservación",
en el capítulo "Soportes" el apartado "Tipos de soportes de
almacenamiento de la información").
[4] Se deben aplicar técnicas de comprobación de la integridad de la 100% 100%
información: funciones resumen o hash, firma electrónica, etc. (en
particular a documentos y mensajes) para verificar la integridad de la
misma y, en su caso, de fechado electrónico.
[5] Se deben proteger los archivos de información mediante el atributo 100% 100%
de solo lectura.
[6] En las aplicaciones que ejecuten transacciones o procesos donde se n.a. n.a.
produzcan múltiples actualizaciones de datos que se encuentren
346
relacionados entre sí, se deben adoptar herramientas o procedimientos

que aseguren la integridad de estos datos en el caso de que se produzca
un fallo de proceso y no se pueda completar la transacción.
[7] Se debe realizar un análisis periódico de los accesos y de los n.a. n.a.
recursos utilizados.
[8] Se deben adoptar medidas de protección frente a código dañino en n.a. n.a.
los servidores de aplicación, en los equipos de los usuarios y en los
soportes circulantes (disquetes, CD's, otros):
[9] Se debe aplicar el fechado electrónico a los documentos o 100% 100%
información cuya fecha y hora se desea acreditar. La sincronización de
la fecha y la hora se deberá realizar con el Real Instituto y Observatorio
de la Armada, de conformidad con lo previsto sobre la hora legal en el
Real Decreto 1308/1992 de 23 de octubre y según las condiciones
técnicas y protocolos que el citado Organismo establezca. En particular
los registros telemáticos y los servicios de notificación electrónica
deben adoptar servicios de fechado electrónico para la acreditación de
fecha y hora.
[12] Disponibilidad
1]
[1] Se deben adoptar los procedimientos de explotación que garanticen 82% 82%
la fiabilidad de la aplicación y de los soportes en los que resida la
información.
[2] Los equipos que soporten la aplicación y cuya interrupción n.a. n.a.
accidental pueda provocar alteración o pérdida de datos o documentos
administrativos, deben estar protegidos contra fallos de suministro
eléctrico mediante sistemas de alimentación ininterrumpida.
[3] Si la naturaleza de los tratamientos y de los datos lo hacen 100% 100%
apropiado, se deben implantar equipos dotados de mecanismos
tolerantes a fallos.
[4] Los equipos deben mantenerse de acuerdo con las especificaciones 100% 100%
de los suministradores respectivos.
[5] Se deben adoptar las medidas apropiadas de seguridad física en el 72% 86%
entorno donde se encuentren los equipos que den soporte a la
aplicación. (Véase capítulo "Seguridad física")
[6] Se deben proteger los sistemas y las aplicaciones contra el código n.a. n.a.
dañino. Cabe adoptar las siguientes medidas:
[7] Se deben proteger los sistemas y las aplicaciones contra los ataques 63% 100%
de denegación de servicio.
[8] Se deberá preparar y mantener operativo un plan de contingencias. 50% 75%
(Véase capítulo "Plan de contingencias").
[13] Control de acceso

1]
[1] Se deben adoptar procedimientos en relación con la identificación y 89% 97%
autenticación de usuarios, la gestión y revisión de derechos y
privilegios de acceso de los usuarios, la comprobación de los accesos.
[2] Se debe asociar el control de acceso con los requisitos de 78% 94%
autenticidad, confidencialidad, integridad y disponibilidad exigidos por
el recurso al cual se intenta acceder.
347
[3] Se debe limitar el acceso a los recursos según la función o la 100% 100%
necesidad de conocer.
[4] Se deben revisar periódicamente y mediante procedimiento formal 90% 90%
los derechos de acceso de los usuarios
[5] Se debe formar a los usuarios en relación con el control de acceso a 55% 55%
los recursos protegidos.
[6] Se deben adoptar medidas en relación con el trabajo desde fuera de 100% 100%
las instalaciones de la organización.
[7] Se deben adoptar medidas adicionales específicas para los equipos n.a. n.a.
portátiles.
[8] Se deben adoptar medidas adicionales específicas para el control de n.a. n.a.
acceso de terceras partes
[14] Acceso a través de redes

1]
[1] Se debe establecer un proceso de gestión de las redes para 98% 98%
garantizar la seguridad de la información transmitida y el acceso a la
información remota. La responsabilidad de la gestión y explotación de
la red debe ser explícita.
[2] Se deben proteger los sistemas o servidores de la aplicación 100% 100%
mediante cortafuegos que restrinjan los accesos a los estrictamente
necesarios.
[3] Se debe cifrar la información transmitida a través de redes, para 100% 100%
evitar su modificación y divulgación no autorizadas.
[4] Se debe autentificar el acceso del usuario a los distintos recursos de 100% 100%
la red.
[5] Se debe definir en cada sistema y aplicación los usuarios que 100% 100%
pueden acceder a través de conexiones externas.
[6] El acceso a los sistemas de forma remota se debe realizar, siempre n.a. n.a.
que sea técnicamente factible, mediante redes privadas virtuales.
[15] Firma electrónica

1]
[1] La firma electrónica en las comunicaciones administrativas será al 100% 100%
menos firma electrónica avanzada, con certificado reconocido, cuyos
requisitos mínimos son:
[2] La creación de la firma debe contar con mecanismos de protección 100% 100%
que únicamente conozca o estén en posesión del firmante, por ejemplo
mediante una contraseña.
[3] Se deben emplear listas de revocación del tipo CRL V2, o versiones n.a. n.a.
posteriores.
[4] Las tarjetas criptográficas y los lectores de tarjetas se ajustarán a los 90% 90%
siguientes estándares: PC/SC e ISO 7816.
[5] Los servicios de sellado de tiempo proporcionados por la autoridad 100% 100%
de certificación cumplirán los estándares definidos, en particular, la
norma ISO/IEC 18014 para este tipo de servicios [RFC3161].
[6] Los protocolos de acceso a las listas de revocación serán del tipo n.a. n.a.
HTTP u OCSP.
[7] Los módulos criptográficos habrán de ser conformes con la norma 90% 90%
348
FIPS 140-2.
[16] Protección de soportes de información y copias de

respaldo
1]
[1] Se debe aplicar lo previsto en el documento "Criterios de n.a. n.a.
Conservación" en los capítulos de "Seguridad de la información" y
"Protección frente al deterioro físico" (Desarrollar y aplicar
procedimientos de seguridad que contemplen la autenticidad,
confidencialidad, integridad y disponibilidad, el tratamiento de datos de
carácter personal, la gestión de soportes removibles, la eliminación y
destrucción de soportes y la documentación del sistema de
conservación.).
[2] Se deben establecer procedimientos de realización, recuperación y 83% 93%
pruebas de las copias de respaldo que contemplen copias de los
programas, aplicaciones, documentación, bases de datos, sistemas
operativos, logs, etc.; debe definirse la periodicidad con que se realizan
las copias (diaria, semanal, mensual), número de copias que se realizan
y versiones distintas que se conservan. Los procedimientos de
realización de copias serán automáticos y periódicos.
[3] Se debe elegir un lugar de almacenamiento adecuado para los n.a. n.a.
soportes de información. Se debe tener en cuenta lo previsto en el
capítulo "Seguridad física".
[4] Para ficheros a los que haya que aplicar medidas de nivel alto se 99% 99%
debe recurrir a dos copias distintas una de las cuales debe guardarse en
una ubicación diferente de donde se encuentren los equipos
informáticos que las tratan.
[5] Se debe mantener un registro de entrada y salida de los soportes de n.a. n.a.
información. Permitirá conocer: el tipo de soporte, la fecha y hora, el
emisor, el número de soportes, el tipo de información que contienen, la
forma de envío y la persona responsable de la recepción que deberá
estar debidamente autorizada. Cabe recoger asimismo el número de
serie del soporte y marca de clasificación.
[6] Los soportes de información enviados o distribuidos al exterior que n.a. n.a.
contengan datos de nivel alto deberán ser cifrados.
[7] Verificar la definición y correcta aplicación de las medidas de n.a. n.a.
protección de los soportes de información.
[8] Se debe incluir entre las prácticas de protección de los soportes de n.a. n.a.
información medidas básicas como las siguientes, dentro y fuera del
horario normal de trabajo, para evitar su pérdida o destrucción:
armarios, llaves, contraseñas, etc.
[9] Se debe verificar que los usuarios cumplen las recomendaciones n.a. n.a.
relativas a que los equipos no atendidos queden convenientemente
protegidos.
[10] Realizar periódicamente pruebas para verificar que la recuperación 100% 100%
de la información a partir de las copias de respaldo funciona
correctamente. Estas pruebas se pueden basar en inspecciones
periódicas de forma aleatoria o exhaustiva para comprobar su presencia
física y contenido.
[11] El borrado de los datos debe realizarse mediante mecanismos n.a. n.a.
adecuados, como por ejemplo los basados en ciclos de reescritura de los
349
ficheros. El procedimiento de borrado tendrá en cuenta la naturaleza de

los datos o al riesgo aparejado a su desvelamiento.
[17] Desarrollo y explotación de sistemas

1]
[1] Se deben adoptar procedimientos de explotación adecuados para 90% 90%
salvaguardar la disponibilidad, integridad y confidencialidad de la
información.
[2] Se deben definir procedimientos para el paso de aplicaciones a 45% 88%
explotación, ya sean nuevas o actualizaciones de las existentes, que
recojan los requisitos que estas deben cumplir y las pruebas a realizar
antes de su aceptación.
[3] Se deben asegurar por medio de la gestión de configuración y de n.a. n.a.
cambios que las modificaciones en el sistema no reducen la efectividad
de las salvaguardas ni la seguridad general del mismo, que se
identifican nuevos requisitos de seguridad o impacto en la seguridad de
los posibles cambios y que los mismos tienen reflejo en el plan de
contingencias.
[4] Se deben realizar mantenimientos preventivos, como la instalación 80% 90%
de las actualizaciones de seguridad recomendadas por los fabricantes, o
el aumento de capacidad para evitar saturaciones.
[5] Se debe documentar en la política de seguridad los requisitos con 45% 88%
relación a licencias de programas y la prohibición de uso e instalación
de software no autorizado. Establecer controles periódicos que revisen
el software instalado e implantar mecanismos de protección para evitar
la instalación de software no autorizado.
[6] Se debe formar a los usuarios en el uso adecuado de la aplicación y 55% 71%
en los procedimientos de reacción ante incidentes.
[7] Se debe aplicar el análisis y gestión de riesgos para determinar las n.a. n.a.
necesidades de seguridad de la aplicación antes de su desarrollo e
incorporar las funciones de salvaguarda antes de completarla (más
barato y efectivo).
[8] Se deben tener en cuenta los aspectos de seguridad de la aplicación n.a. n.a.
en todas las fases de su ciclo de desarrollo, desde la planificación hasta
la implantación y el mantenimiento e incorporando las funciones de
salvaguarda antes de su puesta en explotación.
[18] Gestión y registro de incidencias

1]
[1] Se debe definir el procedimiento de gestión de incidencias, que 42% 89%
establezca las formas de comunicación, el diagrama de estados por los
que pasará hasta su conclusión, la clasificación según su gravedad, las
condiciones para el escalado de la incidencia a los responsables de la
organización, la forma de comunicación a proveedores externos,
consulta del estado de las incidencias, etc.
[2] Se debe formar y concienciar a los usuarios en relación con los 0% 85%
procedimientos de comunicación, consulta y reacción ante incidencias.
Se deben establecer canales para informar lo más rápidamente posible
de las incidencias y el mal funcionamiento de los sistemas.
[3] Se debe implantar un registro incidencias acorde al procedimiento y n.a. n.a.
350
a los datos manejados con el tipo de incidencia, momento, persona que

realiza la notificación, a quién lo notifica y los efectos de la misma.
Esta información junto con otra relativa a la seguridad se debe
conservar para aprender de estas experiencias, con objeto de minimizar
los posibles daños y consecuencias, para investigaciones futuras y para
el control de los accesos.
[4] Si sospecha que el mal funcionamiento es debido a problemas de 42% 89%
software (por ejemplo un virus), el usuario debe: observar los síntomas,
dejar de usar la aplicación e informar inmediatamente.
[19] Plan de contingencias

1]
[1] Se debe desarrollar un plan de contingencias, basado en los 0% 50%
resultados del análisis y gestión de riesgos, que mantenga o restaure el
servicio en el menor tiempo posible tras un incidente accidental o
deliberado.
[2] El plan de contingencias que, de forma fundamental, debe 0% 50%
identificar personas de contacto y acciones concretas, debe comprender
las acciones organizativas y/o técnicas necesarias para garantizar la
continuidad de la aplicación, con el fin de limitar al máximo la
necesidad de tomar decisiones durante el período de recuperación y de
recuperar los servicios imprescindibles en el menor tiempo posible
reduciendo al máximo su impacto económico, estratégico y político.
[3] Se debe activar el plan de contingencias como reacción ante un 50% 75%
incidente que afecte a la continuidad del servicio proporcionado por la
aplicación.
[20] Auditoría y control de la seguridad

1]
[1] La situación y actividades de seguridad se deben revisar de forma n.a. n.a.
independiente (auditoria) y periódicamente para asegurar que las
prácticas de la organización siguen estas normas y que además son
efectivas.
[2] En relación con la protección de datos de carácter personal a los que 30% 79%
haya que aplicar las denominadas medidas de nivel medio o alto, se
deben someter a auditoria los sistemas de información e instalaciones
de tratamiento de datos al menos cada dos años.
[3] La aplicación debe estar dotada de un registro de eventos o pista de n.a. n.a.
auditoria que registre al menos el identificador de usuario, fecha, hora,
y proceso mediante el que se ha realizado un alta, modificación o baja
de cualquier información que substancie el ejercicio de una potestad,
afecte a datos de carácter personal o pueda ser considerada como
sensible.
[4] Se deben proteger los ficheros de recogida de eventos así como las n.a. n.a.
herramientas de auditoria y control, a fin de evitar su alteración o
destrucción por medios no autorizados y para salvaguardar su
integridad y su disponibilidad, especialmente los del registro telemático
y el servicio de dirección electrónica única.
[5] Se deben sincronizar los relojes de los distintos sistemas para n.a. n.a.
facilitar un archivo fiable de eventos.
351
[6] Se debe controlar periódicamente la utilización de los distintos n.a. n.a.

componentes del sistema.
[7] Se debe asegurar que la función de auditoria accede en su caso a la n.a. n.a.
información relativa a las medidas de seguridad, pero no a los datos.
[8] En las aplicaciones que se citan a continuación, el registro de n.a. n.a.
eventos guardará al menos traza: en el servicio de dirección electrónica
única y en el registro telemático.
352
Anexo: RD994 [IMAT] Sistema de Matriculación
Calificación [rd994] Reglamento de medidas de

seguridad
Proyecto: IMAT
2. Planos................................................................................................... 353
3. Fases..................................................................................................... 353

4.1. [B] Medidas de seguridad de nivel básico .......................................................353
4.2. [M] Medidas de seguridad de nivel medio ......................................................354
4.3. [A] Medidas de seguridad de nivel alto ...........................................................354

versión v1
2. Planos
3. Fases
4. Plano: [base] Matriculación

4.1. [B] Medidas de seguridad de nivel básico
[8] Documento de seguridad 31% 97%
[2] Contenido del documento 62% 94%
[a] ámbito 65% 80%
[b] medidas, normas, procedimientos, reglas y estándares n.a. n.a.
353
[c] personal n.a. n.a.

[d] estructura de los ficheros y sistemas 75% 100%
[e] procedimiento de notificación 7% 98%
[f] copias de respaldo 100% 100%
[3] Revisión y actualizaoión n.a. 100%
[4] Ajuste a normativa n.a. n.a.
[9] Funciones y obligaciones del personal n.a. n.a.
[1] Definición n.a. n.a.
[2] Difusión n.a. n.a.
[10] Registro de incidencias 0% 100%
[11] Identificación y autenticación 100% 100%
[1] Relación y procedimientos 100% 100%
[3] Cambio de contraseñas 100% 100%
[12] Control de acceso 89% 89%
[1] Control de acceso 92% 92%
[2] Gestión de derechos de acceso 100% 100%
[3] Registro de usuarios 70% 70%
[4] Gestión de privilegios 92% 92%
[1] Gestión interna n.a. n.a.
[2] Gestión de soportes en tránsito n.a. n.a.
[14] Copias de respaldo y recuperación 92% 92%
[1] Gestión de backups 98% 98%
[2] Procedimientos de backup 98% 98%
[3] Periodicidad 80% 80%
4.2. [M] Medidas de seguridad de nivel medio

[16] Responsable de seguridad 70% 70%
[17] Auditoría 30% 79%
[18] Identificación y autenticación 50% 100%
[1] Mecanismos de dentificación y autenticación 100% 100%
[2] Limitación de reintentos 0% 100%
[19] Control de acceso físico 100% 100%
[1] Registro de entrada n.a. n.a.
[2] Registro de salida n.a. n.a.
[3] Desechado de soportes n.a. n.a.
[4] Salida de ficheros n.a. n.a.
[21] Registro de incidencias 90% 90%
[1] Recuperación de datos 80% 80%
[2] Autorización del responsable 100% 100%
[22] Pruebas con datos reales 100% 100%
4.3. [A] Medidas de seguridad de nivel alto

[23] Distribución de soportes n.a. n.a.
[24] Registro de accesos 0% 60%
354
[1] Datos registrados n.a. n.a.

[2] Identificación del registro accedido n.a. n.a.
[3] Control del responsable 0% 60%
[4] Periodo de conservación n.a. n.a.
[5] Revisión periódica n.a. n.a.
[25] Copias de respaldo y recuperación 100% 100%
[26] Telecomunicaciones 100% 100%
355
Bibliografía
356
Bibliografía
AENOR; Información obtenida de Internet (13 de Junio de 2006).

http://www.aenor.es/desarrollo/centroinformacion/faqs/faqs2.asp
[ARIA05] ARIAS RUIZ DE SOMAVIA, RAMÓN; Análisis de Riesgos del Sistema de

Información clasificado de Isdefe. Informe interno de la empresa. 2005.
[ARIAS05]ARIAS RUIZ DE SOMAVIA, RAMÓN; Gestión de la Seguridad del Sistema

de Información clasificado de Isdefe. Informe interno de la empresa. 2005.
Arquitectura en tres capas. Obtenido de Internet (21 de Febrero de 2006).

http://es.wikipedia.org/wiki/Programaci%C3%B3n_por_capas.
La información mostrada en iMAt en relación a la arquitectura en tres capas
ha sido obtenida de esta dirección y los enlaces que contiene.
[BARR01] BARRANCO DE AREBA, JESÚS; Metodología del análisis estructurado de

sistemas. Publicaciones de la Universidad Pontifica de Comillas, Segunda
Edición. 2001.
[HUIT01] HUITEMA, CHRISTIAN; Routing in the Internet; Second Edition. Prentice

Hall, 2000.
ISO/IEC 17799:2005; Information Technology – Security techniques – Code

of practice for information security management. Second Edition, 15/06/2005.
[MAGE05] MINISTERIO DE ADMINISTRACIONES PÚBLICAS; MAGERIT-versión

2 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información). Madrid, 2005.
[MAÑA06] MAÑAS, JOSÉ A.; Magerit, Metodología de Análisis y Gestión de Riesgos.

Diapositivas. Madrid, 2006.
[MAÑA04 ]MAÑAS, JOSÉ A; PILAR. Herramientas para el Análisis y la Gestión de

Riesgos.2004.
Manual para EAR (Entorno de análisis de riesgos). Obtenido de Internet (23

de Enero de 2006) de la página http://ar-tools.com/index.html. Página usada
para obtener información acerca de la herramienta EAR.
357
Bibliografía
[UNE01] UNE 71501 – 1 IN; Tecnología de la información, guía para la gestión de la

seguridad de TI. Noviembre 200154.
Parte 1: Conceptos y modelos para la seguridad de TI.
Parte 2: Gestión para la planificación de la seguridad de TI
Parte 3: Técnicas para la Gestión de la Seguridad de TI.
Seguridad Informática. Obtenido de Internet (21 de Febrero de 2006).

http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica. Usado a lo largo
del trabajo para la explicación de iMat y la evaluación de riesgos.
54
Este informe es equivalente al informe técnico ISO/IEC TR 13335-1:1996
358

Gestion de Riesgos PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestion de Riesgos PDF

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

PROYECTO FIN DE CARRERA

ANÁLISIS Y GESTIÓN DE RIESGOS DEL

AUTOR: Eduardo Ferrero Recaséns

MADRID, Junio de 2006

Eduardo Ferrero Recaséns

EL DIRECTOR DEL PROYECTO

Ramón Arias Ruiz de Somavia

Fdo.:……………………………… Fecha: ……/……/……

VºBº del Coordinador de Proyectos

Mario Castro Ponce

Fdo.:……………………………… Fecha: ……/……/……

Definición del problema........................................................................... 17

Objetivos, estrategias y políticas de seguridad....................................................... 24

Análisis y Gestión de Riegos.................................................................................. 24

Implantación del Plan de Seguridad ....................................................................... 30

Concienciación de la seguridad .............................................................................. 31

Alcance del proyecto ................................................................................................33

Introducción a iMat ................................................................................................ 34

Objetivos de Magerit .............................................................................................. 38

El análisis y gestión de riesgos en su contexto....................................................... 39

Realización del análisis y gestión de riesgos............................................................41

Gestión de Riesgos ................................................................................................. 54

Fases de un análisis y gestión de riesgos..................................................................58

Análisis de riesgos .................................................................................................. 61

Análisis cualitativo ................................................................................................. 70

Análisis cuantitativo ............................................................................................... 70

Presentación del AGR en EAR.................................................................................71

Arquitectura en tres capas....................................................................................... 77

Datos / Información ..................................................................................................86

Aplicaciones asociadas a iMat..................................................................................90

Interfaz de iMat con el usuario .................................................................................90

Posibles riesgos ........................................................................................................96

Análisis y Gestión de Riesgos en iMat.................................................... 98

A1.1: Estudio de oportunidad................................................................................. 99

A1.2: Determinación del alcance del proyecto..................................................... 103

A1.3: Planificación del proyecto .......................................................................... 117

A1.3: Lanzamiento del proyecto .......................................................................... 120

P2: Análisis de Riesgos ..........................................................................................124

A2.1: Caracterización de activos .......................................................................... 125

A2.2: Caracterización de las amenazas ................................................................ 138

A2.3: Caracterización de las Salvaguardas........................................................... 141

A2.4: Estimación del estado de riesgo.................................................................. 150

P3: Gestión de Riesgos ...........................................................................................163

Actividad A3.1: Toma de decisiones.................................................................... 164

Actividad A3.2: Plan de seguridad ....................................................................... 171

Actividad A3.3: Ejecución del plan...................................................................... 175

Calificación según la ISO/IEC 17799:2005 ...........................................................182

Clasificación según la CSNC .................................................................................184

Clasificación según la RD994 ................................................................................186

Definiciones y Acrónimos ......................................................................................194

Evaluación de Salvaguardas ...................................................................................265

Estado de Riesgo ....................................................................................................288

Informe de Insuficiencias (50%) ............................................................................326

Calificación [17799_2005] ISO/IEC 17799:2005..................................................335

Calificación [csnc] Criterios de seguridad, normalización y conservación............341

Calificación [rd994] Reglamento de medidas de seguridad...................................353

Figura 1. Gestión de la Seguridad de TI......................................................................... 23

Figura 2. Gestión de la Seguridad de TI......................................................................... 31

Figura 3. Metodología MAGERIT ................................................................................ 33

Figura 4. Análisis y Gestión de Riesgos en su Contexto................................................ 39

Figura 5.Submodelo de Procesos visto desde el Submodelo de elementos ................... 53