ACTIVIDAD SUMATIVA 2 UNIDAD I 1

SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA

ACTIVIDAD SUMATIVA 2 UNIDAD I

YESID ALBERTO TIBAQUIRA CORTES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESCUELA DE CIENCIAS BÁSICAS, TECNOLOGÍA E INGENIERÍA
ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA
BOGOTA D.C.
2014
ACTIVIDAD SUMATIVA 2 UNIDAD I 2

Tabla de Contenido
Introducción ........................................................................................................................................ 3
Objetivos ............................................................................................................................................. 4
General ............................................................................................................................................ 4
Específicos ...................................................................................................................................... 4
Informe Análisis de Riesgos ............................................................................................................... 5
Análisis de los Activos .................................................................................................................... 5
Identificación de Amenazas ............................................................................................................ 8
Evaluación Impacto Potencial ....................................................................................................... 11
Conclusiones ..................................................................................................................................... 13
Bibliografía ....................................................................................................................................... 14
ACTIVIDAD SUMATIVA 2 UNIDAD I 3

Introducción

En el presente trabajo se realiza un análisis de riesgos teniendo en cuenta la herramienta PILAR la

cual implementa la metodología de Magerit para la identificación y valoración de activos, basado en
la confidencialidad, integridad y disponibilidad, identificación y valoración de riesgos, teniendo
como referencias la probabilidad y el impacto de la materialización del riesgo, y una asociación de
amenazas a los riesgos identificados.
Este análisis se realiza, no tomando todos los activos de toda la organización (la cual no se
puede referenciar por acuerdos de confidencial con la misma), debido al tamaño de la misma, que se
considera como multinacional (número de empleados cerca de 25000). Se tomó un proyecto el cual
involucra un sistema de información para la administración de las salas dedicadas a reuniones,
videoconferencias, capacitaciones, entre otros, ya que actualmente se estaban asociando al correo
electrónico, pero los usuarios se quejaban porque no siempre estaba actualizado y no había un
control sobre la asignación de estos espacios, lo que promovió el planteamiento y viabilidad para
desarrollar este sistema.
Inicialmente se identifican los activos de información, asociados a hardware, aplicaciones,
información, recursos humanos, documentación y servicios, acorde a lo que permite relacionar la
herramienta PILAR en su licencia de evaluación, que hasta el momento nunca llegó. Posterior se
valoran los activos acorde a los pilares de la seguridad de la información (Disponibilidad,
Integridad y Confidencialidad). Teniendo en cuenta el tipo de activo asociado, la herramienta por
defecto asocia un grupo de amenazas al activo, los cuales después se convertirán en riesgos
valorados dentro de la jerarquización que tiene definida la herramienta.
Por último se presentan las conclusiones del trabajo y las referencias bibliográficas del
mismo, se reitera que debido a que no se obtuvo la licencia de evaluación de PILAR, no fue posible
realizar de manera profunda algunos puntos solicitados, sin embargo se presenta información
asociada al proyecto, de manera que se aproxime a los resultados solicitados.
ACTIVIDAD SUMATIVA 2 UNIDAD I 4

Objetivos

General

Implementar la herramienta PILAR y la metodología de análisis de riesgos Magerit en un proyecto

desde el enfoque del área de Tecnología de la Información.

Específicos

Especificar y valorar activos de información con la herramienta PILAR en un proyecto

informático.

Identificar y establecer el criterio de severidad de los riesgos que se encuentran implícitos

en el desarrollo y ejecución del proyecto.

Analizar las amenazas asociadas a los activos de información como resultado de la

identificación de los riesgos, de forma general,
ACTIVIDAD SUMATIVA 2 UNIDAD I 5

Informe Análisis de Riesgos

Análisis de los Activos

A continuación se presenta una imagen con los activos identificados para el sistema de información
para la gestión de salas (reuniones, videoconferencias) de una empresa de tecnología, en la
herramienta PILAR:

A continuación se detallan los activos identificados en la imagen anterior:

[B]Activos esenciales
Código Activo Descripción
Documentación SALAS Edificio Material Impreso con la ubicación y recursos
ACT006
Administrativo con los que cuenta cada sala
[SW]Aplicaciones
Código Activo Descripción
Aplicativo Web, por donde los usuarios
ACT001 Portal WebRooms finales accederán para validar el estado de
cada sala (Ocupado, Disponible)
Base de datos donde se almacenará toda la
ACT002 Base de Datos RoomsDB
información de las salas
ACTIVIDAD SUMATIVA 2 UNIDAD I 6

Documentación del uso de la aplicación para

ACT009 Manuales de la Aplicación
usuarios finales
[HW]Equipos
Código Activo Descripción
Servidor físico que funciona como servidor
ACT003 Servidor BOGAPPROOMS de aplicaciones y se encuentra instalada la
aplicación Web
Servidor de base de datos donde se
ACT004 Servidor BOGBDROOMS encuentra configurada la base de datos de la
aplicación
[COM] Comunicaciones
Código Activo Descripción
Interconexión entre la aplicación y el
ACT005 Interconexión LDAP directorio activo de la empresa para la
autenticación de usuarios
[L]Instalaciones
Código Activo Descripción
Ubicación física donde se encuentran los
ACT010 Datacenter Edificio Administrativo
servidores de la aplicación
[P]Personal
Código Activo Descripción
Gestor/líder de la aplicación quién se
ACT007 Administrador de la Aplicación descarga de dar soporte y mantenimiento a la
misma (2 personas)
ACT008 Usuario Final Usuarios que harán uso de la aplicación (2)

En al siguiente tabla se asocia el activo con su valoración según la disponibilidad, confidencialidad

e integridad del activo configurado en PILAR:
ACTIVIDAD SUMATIVA 2 UNIDAD I 7

Código Activo [D] [I] [C]

Documentación SALAS Edificio
ACT006 M A M
Administrativo

ACT001 Portal WebRooms A A M

ACT002 Base de Datos RoomsDB A A M

ACT009 Manuales de la Aplicación M M M

ACT003 Servidor BOGAPPROOMS A N/A A

ACT004 Servidor BOGBDROOMS A N/A A

ACT005 Interconexión LDAP A A A

ACT010 Datacenter Edificio Administrativo A A A

ACT007 Administrador de la Aplicación M N/A A

ACT008 Usuario Final M N/A A

ACTIVIDAD SUMATIVA 2 UNIDAD I 8

Identificación de Amenazas

Según la configuración por defecto que ofrece PILAR, cuando se realiza la asociación del activo a
una Clase de Activos definidos por la misma herramienta, ésta enlaza un conjunto de amenazas al
activo, en las siguientes imágenes se evidencia por cada activo, las amenazas a las que se
encuentran expuestas los activos con su ponderación por cada criterio (Disponibilidad, Integridad y
Confidencialidad):

Amenazas para el Activo 001:

Amenazas para el Activo 002:

ACTIVIDAD SUMATIVA 2 UNIDAD I 9

Amenazas para el Activo 003:

Amenazas para el Activo 004:

Amenazas para el Activo 005:

ACTIVIDAD SUMATIVA 2 UNIDAD I 10

Amenazas para el Activo 010:

Amenazas para el Activo 007:

Amenazas para el Activo 008:

En las anteriores imágenes se encuentran las posibles amenazas identificadas para cada activo, y un
porcentaje de impacto y frecuencia de probabilidad de que se materialice la amenaza. Se reitera que
esta clasificación es acorde a la Clase de Activos que se definición, en la identificación de activos,
además también se coloca un porcentaje por cada uno de los criterios de Disponibilidad, Integridad
y confidencialidad. Dentro de la versión de PILAR con Licencia de Evaluación, se identificaron
amenazas relacionadas con Fuga de Información a los activos ACT006 y ACT009, relacionados con
documentación, sin embargo la herramienta no permitió definir un porcentaje para estos activos en
caso que se presente la amenaza.
ACTIVIDAD SUMATIVA 2 UNIDAD I 11

Evaluación Impacto Potencial

Según la valoración de la severidad o criticidad de la materialización de la amenaza por los activos,

que se puede evidenciar en la siguiente imagen:

A continuación se presenta un mapa da calor que PILAR permite visualizar según el impacto
potencial sobre los activos asociados a los criterios de Disponibilidad, Integridad y
Confidencialidad:

Según la anterior gráfica, la mayoría de los riesgos identificados se encuentra en un nivel de

severidad Alto, teniendo en cuenta el tipo de información que tendrá la aplicación (Se podría
considerar este tipo de información, Interno, ya que solo involucra áreas de la organización y de
cierta forma la publicación de esta no afecta económicamente, legalmente, ni visualmente a la
organización), también se tuvo en cuenta que en caso de alguna caída del sistema, se puede tener un
tiempo de inactividad de la aplicación, y se encuentran definidos planes alternos de operación,
ACTIVIDAD SUMATIVA 2 UNIDAD I 12

mientras se realiza la recuperación total o parcial del sistema. Este tipo de mecanismos, se
convierten en controles que mitigan o transfieren este tipo de riesgos asociados.
ACTIVIDAD SUMATIVA 2 UNIDAD I 13

Conclusiones

Con el desarrollo del presente trabajo se logra identificar lo prácticas y útiles que son las
herramientas tecnológicas para análisis de riesgos que se pueden encontrar en el mercado, esto no se
limita a solo PILAR. Con la licencia (limitada) con la cual se desarrolló el trabajo, se consiguió:

Identificar los activos y valorarlos según varios tópicos relacionados a la disponibilidad,

integridad y confidencialidad de los mismos.
Identificación, valoración y asociación de riesgos a los activos definidos, incluyendo la
relación de amenazas, la cual es atada automáticamente por la herramienta, agilizando el
trabajo del analista de riesgos.
Presentar de manera general, una valoración de los riesgos asociadas a las amenazas
subyacentes al tipo de activo.

Además, con el fin de dar más comprensión al trabajo realizado, se presenta documentación del
proceso realizado, de forma manual (Sin la herramienta), de la identificación y valoración de
activos, que por lo general se encuentra entre los primeros pasos de un análisis de riesgos, en la
mayoría de las metodologías diseñadas para esta tarea (por no decir todas).
Se sugiere, como proyecto de grado de alguna ingeniería asociada a tecnología de la información,
con la dirección de un estudiante de post-grado de seguridad, el desarrollo de una herramienta (free)
para el análisis de riesgos, basándose el algún estándar, ya sea NIST SP 800-37 o ISO 27035,
estándares para implementar procesos de gestión de riesgos tecnológicos en las empresas.
ACTIVIDAD SUMATIVA 2 UNIDAD I 14

Bibliografía

Ayerbe, J. (15 de Julio de 2007). Blog de Seguridad de la Información. Obtenido de

http://blog.s21sec.com/2007/12/por-qu-un-plan-director-de-seguridad.html

Betarte, G., Corti, M., & De la fuente, R. (23 de Enero de 2011). Red Temática de Criptografía y
Seguridad de la Información. Obtenido de
http://www.criptored.upm.es/cibsi/cibsi2005/presentaciones/sesion11/HaciaUnaImplementa
cionExitosaDeUnSGSI.pdf

Inteco. (14 de Diciembre de 2009). Instituto Nacional de Tecnologías de la Comunicación.

Obtenido de
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf

ISO27000.es. (2012). El portal de ISO 27001 en Español. Obtenido de

http://www.iso27000.es/sgsi_implantar.html