Instituto Suizo Universidad

Maestría en Impuestos

ACTIVIDAD 3: INSTRUMENTO DE
RECOLECCION DE INFORMACION Y
ANALISIS DE DATOS

Nombre del Alumno: Adriana Rodríguez García

Matricula: 2164976
Materia Cursada: FUNDAMENTOS DE LA INVESTIGACIÓN

Asesor:
DRA MARIBEL VILLANUEVA ESCALANTE
Técnica de recolección

Se selecciona la técnica de encuestas mediante entrevista la cual consiste en

obtener información de los sujetos de estudio, proporcionados por ellos mismos,
sobre opiniones, conocimientos, actitudes sugerencias.

Hay dos maneras de obtener información, la entrevista y el cuestionario.

La entrevista: las respuestas son obtenidas verbalmente y se necesita entrevistador.

Es el método mas eficaz que el cuestionario, ya que permite obtener información
mas completa

Ventajas

En la entrevista se pueden obtener mayores datos

Técnicas de recolección de datos más utilizadas, ya que pueden llevarse a cabo

tanto física como digitalmente para recopilar datos cuantitativos a través de
encuestas y datos cualitativos a través de entrevistas y encuestas cualitativas

Desventajas de la entrevista.
 Se requiere de mayor tiempo.
 Es mas costoso por la inversión de tiempo de los investigadores.
 Es limitada en personas que tienen dificultad para expresarse.
 Se requiere mayor conocimiento del tema.
 Se hace en muestras pequeñas

Adicional a lo anterior sumaremos FAIR es un modelo cuantitativo estándar

internacional que permite cuantificar riesgos de ciberseguridad en una organización.
 “Open Group” publica y mantiene, entre otros, dos estándares relevantes
relacionados con la gestión de riesgos de ciberseguridad y análisis de costes:
 Estándar de Análisis de Riesgos (O-RA; The Open Group Standard for Risk
Analysis): Proporciona un conjunto de estándares para diferentes aspectos del
análisis de riesgos de la seguridad de la información.

 Estándar de Taxonomía de Riesgos (O-RT; The Open Group Standard for Risk
Taxonomy): Define una taxonomía para los factores implicados en los riesgos de
seguridad de la información.
Una taxonomía bien definida permite medir y/o estimar mejor las variables de los
factores de riesgo de pérdida de información, y esto es crítico para la Dirección de
la Organización tenga la información necesaria para tomar decisiones mejor
informadas y consistentes, basadas en datos.
La taxonomía de riesgos se divide en dos ramas:
Frecuencia de Eventos de Pérdida (LEF – Loss Event Frequency): Es la
frecuencia probable, dado un rango de tiempo, de que una amenaza inflija un daño
en un recurso, generando por ejemplo una exfiltración.
Frecuencia de Eventos de Amenaza (TEF- Threat Event Frecuency) que se
refiere a la frecuencia probable de que una amenaza actúe de forma exitosa o no
sobre el recurso. Esta a su vez viene afectada por:
Frecuencia de Contacto (CF – Contact Frecuency) referida a la probabilidad de
que una amenaza entre realmente en contacto con el recurso.
Probabilidad de Acción (PoA – Probability of Action) definida como la
probabilidad de que la amenaza actúe una vez entre en contacto con el recurso.
Vulnerabilidad del recurso (Vuln – Vulnerability) que se refiere a la probabilidad
de que un amenaza se materialice en una pérdida de información. La vulnerabilidad
por su parte depende de:
Capacidad de la Amenaza (TCap – Threat Capability): Hace referencia al nivel
de fuerza que puede aplicar la amenaza sobre el recurso. Por ejemplo, diferentes
tipos de malware o ransomware son más destructivos que otros.
Fuerza de Resistencia (RS – Resistance Stregth) que se refiere a cuánta fuerza
es capaz de resistir un recurso frente a una amenaza. Por ejemplo, un password de
fortaleza fuerte no es lo mismo que el típico “1234”.
Magnitud de la pérdida (LM – Loss Magnitude): Es la magnitud probable de
pérdida, resultante de un evento de pérdida. Se diferencia entre dos tipos de
pérdida:
Pérdida Primaria (Primary Loss): Se refiere a aquella que ocurre directamente
como resultado de la acción de la amenaza sobre el recurso. Por ejemplo, en un
ataque de denegación de servicio sobre la web de la empresa, la pérdida sería la
caída de la web y el perjudicado es el dueño, la empresa.
Pérdida Secundaria (Secondary Loss), que es aquella que ocurre sobre partes
interesadas secundarias. Si es la web de una empresa que da un servicio de CRM,
los afectados pueden ser por ejemplo los clientes del CRM. Ésta se desgrana en:
Frecuencia del Evento de Pérdida Secundaria relativa al porcentaje de tiempo
que un escenario de pérdida puede tener efectos secundarios. Por ejemplo, el
tiempo en que los clientes no tienen servicio.
Magnitud de la Pérdida Secundaria que representa las pérdidas derivadas de
lidiar con las reacciones de los perjudicados. Por ejemplo, pérdidas de clientes,
multas y juicios, etc.

Instrumento y aplicación de entrevista con cuestionario

Se toma como muestra un Banco Nacional y se realizan encuesta a 1 directivo

administrativo y 1 especialista en seguridad con el siguiente cuestionario:
Cuestionario Directivo Administrativo

1.1 ¿La dirección general y ejecutiva ha considerado la importancia que tiene el

estudio del sistema de información?

SI ( x) NO ( )

1.2 ¿Se establecen los requisitos de información a largo plazo?

SI (x ) NO ( )

1.3 ¿Se ha realizado una planificación estratégica del sistema de información para
la Empresa?

SI ( ) NO (x )

1.4 ¿Existe una metodología para llevar a cabo tal planificación?

SI ( ) NO (x )

1.5 ¿Está definida la función del director del sistema de información?

SI (x ) NO ( )

1.6 ¿Existe un plan estratégico del departamento de sistema de información?

SI (x ) NO ( )

2. Recursos humanos
2.1 ¿Se estudia la evolución del mercado y la adaptación del personal a esa
evolución?

SI ( ) NO (x )

2.2 ¿Los informáticos reciben noticias del momento tecnológico por revistas, notas
técnicas, etc.?

SI (x ) NO ( )

2.3 ¿Se recibe formación y se planifica ésta mediante asistencia a cursos,

seminarios, etc.?

SI (x ) NO ( )

3. Otros aspectos

3.1 ¿Los cambios en los sistemas informáticos son consecuencia de la planificación

más que de la presión por necesidades operativas?
SI ( ) NO (x )

3.2 ¿Se solicitan demostraciones sobre los nuevos artículos a los proveedores?

SI (x ) NO ( )

3.3 ¿Se ha realizado algún estudio de planificación del posible efecto de las cargas
normales de trabajo y los picos sobre los requerimientos tanto de equipos como de
software?

SI ( ) NO (x )
3.4 ¿La entidad dispone de un plan informático?
SI ( ) NO (x )

3.5 ¿Se están siguiendo las directrices marcadas por el plan?

SI ( ) NO (x )
3.6 ¿El plan recoge todos los diferentes aspectos relacionados con la función
informática?

SI ( ) NO (x )

Cuestionario a Personal de Sistemas

Los locales asignados a los servidores de datos tienen

• Aire acondicionado (x )
• Protección contra el fuego ( x)
• Cerradura especial ( )

¿Qué información mínima contiene el inventario de los servidores de datos?

Número de serie o carrete ( )

Número o clave del usuario (x )

Número del archivo lógico ( x)

Nombre del sistema que lo genera ( )

Fecha de expiración del archivo ( )

Número de volumen ( )
¿Se verifican con frecuencia la validez de los inventarios de los archivos
magnéticos?

SI ( x) NO ( )

¿En caso de existir discrepancia entre las cintas o discos y su contenido, se

resuelven y explican satisfactoriamente las discrepancias?
SI ( ) NO (x )

¿Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta a

disco, el cual fue inadvertidamente destruido?

SI (x ) NO ( )

¿Se tienen identificados los archivos con información confidencial y se cuenta con
claves de acceso?

SI (x ) NO ( )

¿Existe un control estricto de las copias de estos archivos?

SI (x ) NO ( )

¿Se borran los archivos de los dispositivos de almacenamiento, cuando se

desechan estos?

SI (x ) NO ( )
¿Se certifica la destrucción o baja de los archivos defectuosos?

SI ( ) NO (x )
¿Se registran como parte del inventario las nuevas cintas que recibe la biblioteca?
SI ( x) NO ( )

¿Se tiene un responsable, por turno, de los servidores de datos?

SI (x ) NO ( )

¿Se realizan auditorías periódicas a los medios de almacenamiento?

SI ( ) NO ( x)

¿Qué medidas se toman en el caso de extravío de algún dispositivo de

almacenamiento?

No se tiene un plan de acción en caso de extravio

¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de
almacenamiento, al personal autorizado?

SI (x ) NO ( )

¿Se tiene relación del personal autorizado para firmar la salida de archivos
confidenciales?
SI ( x) NO ( )

¿Existe un responsable en caso de falla?

SI (x ) NO ( )
¿Se distribuyen en forma periódica entre los jefes de sistemas y programación
informes de archivos para que liberen los dispositivos de almacenamiento?

SI (x ) NO ( )

Muestra

Se tomaron las opiniones de dos de las más importantes áreas que se ven
involucradas en el proceso y control de la pérdida de información.
Una vez aplicado los cuestionarios también se obtuvieron las siguientes estadísticas
con apoyo del equipo de seguridad de la información:

Estimación de la Frecuencia de Eventos de Amenaza (TEF)

El equipo nos comparte que la frecuencia de amenazas ha sido moderada pero se

ha ido incrementando con el avance tecnológico.

Estimación de la Capacidad de Amenaza (TCAP)

Se cataloga como una capacidad de amenaza moderada

Estimación de la Fuerza de Resistencia (RS)

En este caso, se calificó de Alta ya que el Banco cuenta con medidas anti-phishing
para intentar bloquear estos ataques, y herramientas de EDR, sin embargo, una vez
dentro, el banco no dispone de cifrado en el servidor de ficheros y el atacante se
podría llevar si lo consigue, los ficheros en claro.

Definir la Vulnerabilidad (Vuln)

Una vez definido el TCap y RS podemos extraer con la matriz de abajo la

Vulnerabilidad que en este caso es Moderada (M).

Definir la Frecuencia de Pérdida (LEF)

De la misma forma que con la Vulnerabilidad, podemos derivarla a partir del TEF
(M) y la Vulnerabilidad (M). En nuestro escenario es Moderada (M).
Evaluación de la Magnitud de Pérdida (LM)

Estimación de la Magnitud de Pérdida Primaria

En este escenario podríamos estar hablando de tres potenciales acciones de la

amenaza:
Uso indebido, Divulgación o Denegación de Acceso (Destrucción).

Tomando de base las respuestas y experiencias del personal de TI podemos

concluir que la pérdida probable podemos decir que, en este escenario en el que
no estamos teniendo en cuenta el efecto del cifrado o la denegación de acceso del
ransomware, sino la exfiltración, tendría poco impacto en la productividad de la
organización, que podría continuar con sus operaciones, excepto por la interrupción
causada en los equipos de seguridad y TI.
 Los principales costes estarían en el ámbito de la respuesta, ya que hay que
cuantificar el coste-hora de las personas implicadas en la investigación, la gestión
del incidente, las comunicaciones internas, etc. En un escenario conservador, se
invertirían no menos de 1.000 horas a un precio medio de 100 dólares por hora
considerando usuarios internos y externos.

Estimación de la Magnitud de Pérdida Secundaria

Lo primero que debemos hacer es identificar a los involucrados o afectados. En este

caso estarían implicados datos de clientes. También es algo que afectaría a los
reguladores, debido a que es una pérdida de datos relativos a PCI de mucho
impacto en un banco.

 Estimación de la Frecuencia de Eventos de Pérdida Secundaria

(SLEF): Teniendo en cuenta el colectivo de afectados, en este escenario y
siguiendo la siguiente tabla diríamos que el número de involucrados que tendría que
ser gestionado e informado es Muy Alto (MA).

Para derivar la frecuencia de esta estimación de probabilidad de perdida, podemos

utilizar la siguiente matriz relacionándola con la Frecuencia de Eventos de Pérdida
Primaria (LEF) calculada anteriormente (Moderada; M). En este caso los daría un
SLEF Muy Alta (MA).
 CONCLUSIONES

De acuerdo con lo analizado en los cuestionarios podemos ver que el Banco se

encuentra en un riesgo por algunas deficiencias en los controles de la información,
y más aún por que no se cuenta con un plan de acción en el caso de una fuga y
mucho menos un plan de remediación para minimizar los riesgos, lo cuál sustenta
el hecho de hacer muy necesario la implementación de un plan Proceso Estándar
para Evitar la Fuga de Información de sus colaboradores y establecer un protocolo
eficiente en las Empresas basado en la normatividad vigente en México.
Adicional a lo anterior la pérdida y costo en el riesgo primario se considera
Moderado, pero el Riesgo secundario se considera Muy alto tal como se muestra a
continuación:
 Derivar el Riesgo Primario: Hemos derivado LEF (Frecuecia del evento) y LM (La
Magnitud de la Pérdida), que en nuestro caso y en base a los análisis previos sería
Moderado.
 Derivar el Riesgo Secundario: Hemos derivado SLEF y LM Secundario, que en
nuestro caso y en base a los análisis previos sería Muy Alta (MA).

 Derivar el Riesgo Global: Podemos combinar el Riesgo Primario y Secundario

para derivarlo. Estamos hablando en este caso de un riesgo global Muy Alto.
Una vez estimado el Riesgo Global, podemos cuantificar en base a la siguiente tabla
el coste de la fuga.

Para este caso podríamos estar hablando de un coste Severo para el negocio que
podría superar los $10M.

Con la Frecuencia de Eventos de Pérdida (LEF: Moderada en nuestro caso) y la

Magnitud del Riesgo Global (LM; Muy Alta en nuestro caso) podemos estimar el
Riesgo Global en base a la siguiente tabla.
Bibliografia

Módulo 4: Métodos de Recaudación de Información - Sección 1 | ORI - The Office

of Research Integrity (hhs.gov)

METODOLOGÍA FAIR DE CUANTIFICACIÓN DE RIESGOS DE CIBER

SEGURIDAD (riskmathics.com)