Post on 18-Jan-2016
description
1 CAPÍTULO I
INTRODUCCIÓN
1.1 GENERALIDADES
1.1.1 La sociedad de la información
La masificación del uso de ordenadores en las dos últimas décadas provocó un
nuevo cambio en la sociedad; vivimos en la sociedad de la información. En la
actualidad es difícil concebir nuestra vida sin la asistencia de un ordenador para
realizar nuestro trabajo, compartir información con entidades financieras y
estatales o disfrutar de momentos de ocio. Más allá de la utilización personal
de un ordenador, todas las organizaciones, tanto privadas como estatales
sustentan su actividad en el uso de tecnologías informáticas. El desarrollo de las
tecnologías informáticas le ha permitido a las organizaciones gestionar de
manera muy eficiente el tránsito y almacenamiento de la información
1.1.2 Amenazas informáticas
Si bien es cierto que el desarrollo de las tecnologías informáticas ha permitido
un flujo ágil de la información a través de una organización, también es cierto
que ha permitido que personas inescrupulosas traten insistentemente de
vulnerar el canal por donde fluye la información con el fin de conseguir datos
confidenciales de las organizaciones y así obtener ventajas competitivas en el
mercado donde se desarrollen las actividades de la empresa víctima como
también obtener información delicada de sus funcionarios y clientes.
(Peltier, 2005, p. 18) clasifica a la amenazas en los siguientes conjuntos:
Amenazas naturales: debidas a la acción de la naturaleza
Amenazas humanas: eventos que son causados o permitidos por seres
humanos
Amenazas de entorno: debidas a la interacción de la estructura física de
un sistema informático con el entorno que le rodea.
1.1.3 Seguridad informática
En respuesta a la presencia de amenazas informáticas en toda organización,
nace la necesidad de crear políticas de protección de la información de la
organización. Los criterios referentes al tema de la seguridad informática se
recogen en la familia de normas ISO 2700 que busca ser un modelo a seguir
cuando se requiera gestionar los riesgos informáticos de una organización; en
general, estas normas pretenden proveer a cualquier organización,
indistintamente de su tamaño y naturaleza, herramientas para implementar y
operar un Sistema de Gestión de Seguridad Informática o ISMS por sus siglas en
inglés (ISO / IEC, 2009)
1.2 ANTECEDENTES
1.2.1 Fideval
Fideval es una empresa dedicada a la administración de fondos y fideicomisos
con presencia en el mercado ecuatoriano desde 1998. La empresa ha venido
manejando una importante cantidad dinero en activos de terceros, siendo en la
actualidad la principal administradora de fondos y fideicomisos ecuatoriana. La
tabla 1.1 muestra la evolución de la empresa a través del tiempo.
Tabla 1.1. Evolución de la empresa Fideval a través del tiempo
Año Acontecimiento
1998 Creación de la empresa como parte del grupo financiero
Arseval
2001 Fideval se independiza de Grupos financieros
2005 Fideval inicia su participación en el proceso de titularización
2009 Fideval inicia su modelo de gestión en administración de
fideicomisos masivos
2012 Fideval inicia el proceso de fusión con Fondos Pichincha
2013 Fideval se especializa en fondos de inversión
2014 Fideval lanza el Fondo Fix 90
Nota: Tomado de (Fideval, 2014)
Fideval se ha caracterizado por sus esfuerzos en gestionar de manera eficiente
la información de todos sus clientes para lo cual cuenta con un equipo
completo de profesionales dedicados a desarrollar soluciones informáticas que
le permita a los clientes disponer de su información en cualquier lugar del
mundo (Fideval, 2014).
1.2.2 Gestión de riesgos informáticos en Fideval
A pesar de los grandes esfuerzos de la empresa en el área tecnológica, existe
una observación importante: debido a que se encuentra en proceso de fusión
con Fondos Pichincha, la empresa no cuenta con un sistema de gestión de
riesgos informáticos integral ya que en la actualidad cada empresa realiza su
propio análisis de riesgos y toma medidas preventivas cada una por su cuenta.
Algunos de los problemas que pueden identificarse dentro de la empresa se
mencionan a continuación:
No existe una valoración de activos en la empresa
No existen indicadores de las amenazas potenciales sobre los sistemas
de información
No se ha estimado el impacto ni el riesgo informático
No existe un levantamiento de inventario informático basado en una
metodología formal
No se ha identificado las vulnerabilidades y amenazas de cada uno de
los activos del inventario
Al no identificar vulnerabilidades y amenazas de activos tampoco se
cuenta con las salvaguardas, por lo tanto no se pueden calcular los
impacto y el riesgo.
1.3 JUSTIFICACIÓN
Con el creciente uso de tecnologías informáticas en empresas que manejan
información delicada como es el caso de Fideval, lamentablemente también
crece el número de antisociales que pretenden apoderarse de manera ilícita de
esta información con el fin de sacar provecho propio y perjudicar a la empresa y
sus clientes. La piratería informática debe ser combatida por los especialistas en
esta área de cada empresa.
Este proyecto pretende utilizar los conocimientos impartidos en la Carrera de
Ingeniería en Sistemas para proveer a la empresa Fideval de un Sistema de
Gestión de Riesgos Informáticos tal que le permita a la empresa salvaguardar la
información delicada que maneja tanto propia como de sus clientes, mantener el
flujo de dicha información a través de un canal seguro de comunicación y
defenderse de ataques malintencionados oportunamente.
1.4 OBJETIVOS
1.4.1 Objetivo General
Realizar un análisis de riesgos informáticos para disminuir el impacto y el riesgo,
mediante el uso de la metodología MAGERIT v3 en la empresa Fideval
1.4.2 Objetivos Específicos
Catalogar e identificar los activos de la empresa Fideval
Identificar las vulnerabilidades y amenazas de los activos de la empresa
Fideval
Utilizar las técnicas de valoración para el cálculo del impacto y riesgo
Elaborar contramedidas que permitan minimizar el impacto y el riego
Utilizar la herramienta PILAR para la obtención de reportes
1.5 ALCANCE
Este proyecto tiene como objetivo implementar un Sistema de Gestión de
Seguridad Informática para los sistemas informáticos de la empresa Fideval para
asegurar la integridad, disponibilidad, confidencialidad y control de la
información de la empresa y sus clientes.
Dentro del desarrollo del proyecto se pretende desarrollar las siguientes
actividades:
Creación de la matriz de amenazas y vulnerabilidades
Desarrollo de un catálogo de inventarios
Elaboración del árbol de dependencias
Redacción del informe de vulnerabilidades
Redacción del informe de valor de activos
Confección de la matriz de relación de posibles amenazas
Creación del mapa de riesgos
Redacción de la declaración de aplicabilidad
Redacción de los informes de impacto
Elaboración del plan de seguridad
2 CAPÍTULO 2
FUNDAMENTOS TEÓRICOS
2.1 ANÁLISIS Y GESTIÓN DE RIESGOS
2.1.1 Generalidades
La gestión de riesgos es una herramienta gerencial que permite evaluar los costos de
proteger los bienes de la empresa de posibles amenazas; en el caso de las tecnologías
de la información la gestión de riesgos permite determinar el costo-beneficio de
integrar al sistema informático políticas de seguridad a fin de preservar la integridad y
confidencialidad de la información de la empresa.
La gestión de riesgos trata sobre el análisis de eventos virtuales inciertos por lo que el
nivel de protección que genere en los sistemas no siempre será total; en la práctica, lo
el nivel de seguridad debe llevarse a un nivel aceptable donde la información sea
resguardada de acuerdo a su importancia.
“La gestión de riesgos se compone de cuatro distintos procesos: análisis de riesgos,
valoración de riesgos, mitigación del riesgo y valoración y evaluación de controles de la
vulnerabilidad” (Peltier, 2005, p. 7).
Análisis de riesgos
El análisis de riesgos comprende la identificación y valoración de amenazas,
vulnerabilidades y eventos que tienen el potencial de dañar los activos de una
organización (Kouns, 2010, p. 7).
El análisis de riesgos permite a los administradores y encargados de los sistemas
informáticos de una organización conocer las amenazas a las que están expuestos los
activos. Además, el análisis de riesgos permite clasificar los activos y sus posibles
amenazas de acuerdo al valor que tienen cada uno de ellos.
Valoración de riesgos
“Es el proceso de calcular cuantitativamente el daño potencial y costo monetario
causado por una amenaza que tiene impacto sobre un activo informático de la
organización” (Kouns, 2010, p. 7).
“Es el computo del riesgo. El riesgo es una amenaza que explota una vulnerabilidad
para causar daño sobre un activo. El algoritmo del riesgo computa el riesgo como
función de los activos, amenazas y vulnerabilidades” (Peltier, 2005, p. 8).
De los conceptos anteriores se destaca que la valoración de riesgos arroja datos
numéricos de los riesgos que indican la cantidad de daño que pueden causar así como
su impacto económico en la organización. Además se menciona que cálculo del riesgo
es función de los activos, amenazas y vulnerabilidades por lo que estos componentes
deberán ser expresados también en valores numéricos.
Mitigación de riesgos
“Mediante este proceso una organización implementa controles y salvaguardas para
prevenir la ocurrencia de los riesgos identificados. Al mismo tiempo comprende la
implementación de recursos para recuperar los sistemas en caso que los riesgos se
materialicen” (Peltier, 2005, p. 8).
La mitigación de riesgos incluye el análisis costo-beneficio, selección, implementación,
pruebas y evaluación de seguridad de las salvaguardas (Kouns, 2010, p. 7).
El proceso de mitigación de riesgos incluye el análisis de la factibilidad, eficiencia y
costos de las medidas de seguridad y salvaguardas planteadas en base a la valoración
de riesgos; además incluye la implementación de las mismas.
Valoración y evaluación de controles de la vulnerabilidad
“Es la examinación sistemática de una infraestructura crítica, de los subsistemas
interconectados que la soportan y sus productos para determinar si las medidas de
seguridad implementadas son adecuadas, si existe alguna debilidad y evaluar
alternativas de implementación” (Peltier, 2005, p. 8).
“Es el monitoreo del sistema para comparar la efectividad contra el conjunto de
amenazas, vulnerabilidades y eventos previo así como el nuevo conjunto de amenazas,
vulnerabilidades y eventos derivado de las modificaciones realizadas al sistema”
(Kouns, 2010, p. 7)
La valoración y evaluación de los controles de la vulnerabilidad es la etapa de
evaluación de las protecciones y salvaguardas implementadas en contra del conjunto
de riesgos detectados en primera instancia a fin de determinar su efectividad;
asimismo, debido a que es improductivo alcanzar niveles de riesgos nulos, se encarga
de evaluar la efectividad de las medidas implementadas en contra del conjunto de
riesgos creado a partir del mejoramiento del sistema
2.1.2 Análisis de riesgos
“Análisis de riesgos es una técnica utilizada para identificar y valorar factores que
podrían poner en riesgo el éxito de un proyecto el alcanzar una meta” (Peltier, 2005, p.
15).
El análisis de riesgos puede considerarse como un estudio de factibilidad que realiza
organización antes de ejecutar los procedimientos prácticos de la gestión de riesgos
informáticos. Por tanto, tal y como se expresa en (Peltier, 2005, p. 15), parte de este
análisis implica un estudio costo-beneficio de la implementación del sistema de
salvaguardas así como la no implementación del mismo; además el autor manifiesta
que otro aspecto de este análisis es el impacto que tendrán las salvaguardas sobre los
funcionarios de la organización y los clientes
2.1.3 Valoración del riesgo
“Las organizaciones utilizan la valoración de riesgos para determinar qué amenazas
existen sobre un activo específico y el nivel de riesgo asociado a dicha amenaza”
(Peltier, 2005, p. 16).
La valoración de riesgos comprende el primer conjunto de procedimientos prácticos en
la gestión de riesgos informáticos; los procedimientos desarrollados permitirán
determinar cuantitativamente el nivel de riesgo al que están sometidos los activos de
la empresa; (Peltier, 2005, p. 16) define seis sub-procesos en la valoración del riesgo:
Definición de activos
Identificación de las amenazas
Determinación de la probabilidad de ocurrencia
Determinación del impacto de la amenaza
Recomendación de controles
Documentación
2.1.3.1 Definición de los activosComo activo debe entenderse a un sistema, aplicación, procedimiento o bien material
que tiene valor o relevancia para la organización y que se desea proteger; la definición
de los activos debe realizarse en forma precisa ya que de otro modo no se podrán
identificar las amenazas (Peltier, 2005, p. 16)
2.1.3.2 Identificación de amenazas“Una amenaza se define como un evento indeseado que tiene impacto en los activos
de la empresa” (Peltier, 2005, p. 18).
La identificación de amenazas comprende el estudio de las características de los
activos de la empresa en busca de situaciones que puedan comprometer su integridad
o desarrollo. (Peltier, 2005) agrupa los diferentes tipos de amenazas en tres categorías:
Amenazas naturales
Amenazas humanas
Amenazas del entorno
Amenazas naturales
Se producen por efecto de la madre naturaleza. Por ejemplo tormentas eléctricas,
terremotos, erupciones volcánicas, inundaciones, etc.
Amenazas humanas
Se deben a la acción del ser humano; la ocurrencia de estos acontecimientos se puede
producir por la omisión del personal y usuarios del sistema informático de la empresa
al no tener en cuenta las políticas de seguridad o bien por ataques deliberados como
pueden ser accesos no autorizados al sistema, ataques con virus informáticos, robo de
equipos, etc.
Amenazas del entorno
Estas se deben al deterioro de los elementos físicos que conforman el sistema
informático con el medio ambiente; ejemplos de este tipo de amenazas son la
contaminación por polvo, humedad ambiental, sobretensiones en la línea, oxidación,
etc.
2.1.3.3 Determinación de la probabilidad de ocurrencia “Una vez que la elaboración de la lista de amenazas termine, será necesario
determinar cuál es la probabilidad de que estas ocurran” (Peltier, 2005, pág. 19)
La determinación de la probabilidad de ocurrencia permitirá asignarle la importancia
justa a cada una de las amenazas. La probabilidad de ocurrencia depende en gran
medida de naturaleza de la actividad de cada empresa y su ubicación geográfica; por
ejemplo, la posibilidad de que la empresa sea alcanzada por un misil es casi nula en
Ecuador mientras que en Medio Oriente debe ser alta.
2.1.3.4 Determinación del impacto de la amenaza(Peltier, 2005, pág. 24) menciona que “impacto es la magnitud de la pérdida de valor de
un activo”.
La determinación del impacto es la medida cuantitativa del daño que puede causar una
amenaza sobre los activos de la empresa; el valor del impacto de una determinada
magnitud dependerá de la naturaleza de la empresa así como el criterio del grupo de
trabajo que realice la valoración.
2.1.3.5 Recomendación de controles“Después que el nivel de riesgo sea asignado, se deberá identificar los controles o
salvaguardas para eliminar el riesgo o al menos reducirlo a un nivel aceptable” (Peltier,
2005, pág. 25).
La determinación del nivel de riesgo de las amenazas identificadas permitirá al grupo
de estudio de riesgos plantear las mejores alternativas de control y salvaguarda de la
integridad de los activos de la empresa desde el punto de vista técnico; ejemplos de
controles propuestos pueden ser implementación de lectores de huellas dactilares,
antivirus, porteros electrónicos, adquisición de cajas fuertes, etc.
2.1.3.6 Documentación“Una vez terminado el estudio, los resultados deben ser documentados en un formato
estándar y presentados a la administración” (Peltier, 2005, pág. 27).
La documentación del análisis de riesgos permitirá un mejor entendimiento de todos
los pasos que se han seguido desde la identificación de los activos hasta la
recomendación de los controles. Los documentos generados servirán además como
soporte para futuros estudios y como puente de entre el departamento técnico y la
administración.
2.1.4 Análisis del costo-beneficio
Es análisis costo beneficio es una herramienta administrativa que permitirá evaluar las
ventajas económicas de la implementación de los controles y las salvaguardas
recomendadas en el análisis técnico. Si bien ya no es competencia directa del
departamento técnico, es necesario nombrarlo ya que constituye la etapa decisiva del
proyecto. (Peltier, 2005, pág. 27) recomienda tener en cuenta algunos aspectos a la
hora de realizar este análisis:
Costos de implementación, que incluyen tanto el hardware, el software
Reducción con el tiempo de la efectividad del sistema
Implementación de nuevas políticas y procedimientos a fin de sostener los
nuevos controles
Posibilidad de que nuevo personal deba ser contratado o al menos de que una
parte del personal actual deba ser capacitado
Mantenimiento del sistema
2.2 INTRODUCCIÓN A MAGERIT
Magerit es el acrónimo para Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información (Ministerio de Hacienda y Administraciones Públicas, 2012,
pág. 6) y puede entenderse como una metodología desarrollada para asistir a los
departamentos técnicos en el análisis de riesgos informáticos
Magerit ha sido desarrollada por el Consejo Superior de Administración Electrónica,
entidad de regulación española en el campo de las tecnologías informáticas, de
acuerdo a las normas ISO 31000
2.3 DESCRIPCIÓN DE LA METODOLOGÍA MAGERIT V3
La metodología Magerit desarrolla las siguientes tareas principalmente:
Identificación de los activos
Identificación de las amenazas
Determinación de las salvaguardas
Determinación del impacto residual
Determinación del riesgo residual
2.3.1 Identificación de los activos
2.3.1.1 IdentificaciónUn activo, como se indica en el apartado 2.1.3.1, es cualquier elemento que tenga
valor para la empresa; software, hardware, instalaciones, información y procesos son
ejemplos que indican la diversidad que existe en la naturaleza de los activos. Para su
identificación, Magerit ha desarrollado un “Catalogo de elementos”; esto le permite a
los departamentos técnicos estandarizar la identificación de los activos y los resultados
del análisis de riesgos (Ministerio de Hacienda y Administraciones Públicas, 2012, pág.
133)
2.3.1.2 DependenciaEl concepto de dependencia nace al estudiar la estructura jerárquica de los bienes;
existen bienes que dependen de otros para su funcionamiento y en consecuencia, las
amenazas de los que se encuentran abajo también afectaran al que se encuentra
arriba de la estructura jerárquica
2.3.1.3 ValoraciónEn Magerit existen dos formas de valoración de los activos: cualitativa y cuantitativa
(Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 26); la valoración
cualitativa es más fácil de realizar y entender; la valoración cuantitativa de los activos
requiere más esfuerzo pero permite realizar un análisis de riesgos más concreto.
2.3.2 Determinación de las amenazas
2.3.2.1 IdentificaciónDe la misma manera que los activos, muchas amenazas típicas se encuentran
catalogadas por Magerit a fin de facilitar el trabajo del departamento técnico y
estandarizar los resultados del análisis de riesgos. La determinación de las amenazas
debe realizarse sobre cada activo teniendo en cuenta que la naturaleza del mismo
influye sobre el tipo de amenazas a las que está expuesto
2.3.2.2 ValoraciónLa valoración de la amenaza se realiza de acuerdo a dos criterios: daño que puede
causar sobre un activo y probabilidad de ocurrencia (Ministerio de Hacienda y
Administraciones Públicas, 2012, pág. 28). La valoración de las amenazas, así como con
los activos, puede realizarse cualitativa o cuantitativamente dependiendo de la
exactitud que se requiera en el análisis de riesgos
2.3.3 Determinación del impacto potencial
Un sinónimo acertado, para este caso, de impacto es consecuencia; la determinación
del impacto potencial permitirá representar numéricamente las potenciales
consecuencias de las amenazas que atentan contra la integridad de para su evaluación
dentro del análisis de riesgos.
(Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 29) menciona que la
valoración del impacto puede calcularse a través de dos indicadores: impacto
acumulado e impacto repercutido; el impacto acumulado se calcula para todas las
amenazas de todos los activo y es función del valor acumulado del activo y el valor de
la amenaza; por su parte el impacto repercutido también se calcula para todas las
amenazas de todos los activos pero es función del valor propio del activo y el valor de
las amenazas de los activos de los que depende. La utilidad del cálculo del impacto
repercutido radica en determinar las salvaguardas a implementarse mientras que el fin
de calcular el impacto repercutido es determinar el valor del sistema informático
dentro en relación a los demás activos de la empresa
2.3.4 Determinación del riesgo potencial
“Se denomina riesgo potencial a la medida del daño probable sobre un sistema”
(Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 29). El cálculo del
riesgo potencial es fácil de realizar una vez que se obtenido el valor del impacto
potencial ya que este es función del impacto potencial y la probabilidad de la amenaza
2.3.5 Planteamiento de las salvaguardas
“Salvaguardas son aquellos procedimientos o mecanismos tecnológicos que reducen el
riesgo” (Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 31). Una
adecuada selección de las salvaguardas implica determinar, en función de la naturaleza
de los riesgos a los que se ven sometidos los activos, los mecanismos de protección
más simples y efectivos a fin de disminuir los riesgos a niveles aceptables
2.3.5.1 Selección de las salvaguardasAl seleccionar las salvaguardas más adecuadas para un activo, (Ministerio de Hacienda
y Administraciones Públicas, 2012, pág. 31) recomienda que se tomen en cuentas los
siguientes aspectos
Naturaleza del activo
Valor del activo
Naturaleza de las amenazas
Probabilidad de ocurrencia de las amenazas
Al final se deberá determinar si las salvaguardas seleccionadas aplican para la
protección de un determinado activo y si su uso se justifica desde el punto de vista
técnico
2.3.5.2 Clasificación de salvaguardasLa clasificación de las salvaguardas puede realizarse de acuerdo a diferentes criterios;
por ejemplo, teniendo en cuenta el tipo de activo que protegen, (Ministerio de
Hacienda y Administraciones Públicas, 2012, pág. 180) agrupa las salvaguardas en los
siguientes conjuntos:
Protección general
Protección de los datos/información
Protección de claves criptográficas
Protección de los servicios
Protección de las aplicaciones
Protección de las comunicaciones
Protección de los soportes de información
Protección de los elementos auxiliares
Protección de las instalaciones
Salvaguardas relativas al personal
Salvaguardas de tipo organizativo
2.3.6 Cálculo del impacto residual
En esta operación intervienen dos valores: el impacto que fue calculado sin
salvaguardas y el impacto calculado con las salvaguardas propuestas; la diferencia
entre estos dos valores será el impacto residual
2.3.7 Cálculo del riesgo residual
Esta operación es una diferencia entre el riesgo calculado sobre los activos sin
salvaguardas y el riesgo calculado cuando se toman en cuenta las salvaguardas
propuestas; hay que tomar en cuenta que las salvaguardas no solo afectan el
porcentaje de degradación de los activos sino también la frecuencia con la que estas se
materializan
2.3.8 Elaboración de la documentación
Una vez completadas las actividades descritas en los apartados 2.3.1 al 2.3.7, se
deberá elaborar la documentación referente al análisis. La presentación del análisis de
riesgos debe contener los siguientes informes:
Modelo de valor
Documento que contiene la información referente a los activos
Mapa de riesgos
Documento que contiene información referente a las amenazas
Declaración de aplicabilidad
Documento que recoge información referente a la naturaleza de las
salvaguardas seleccionadas
Evaluación de salvaguardas
Documento que recoge información referente a la eficacia de las de las
salvaguardas seleccionadas
Informe de insuficiencias o vulnerabilidades
Documento que recoge información acerca de las salvaguardas que deberían
ser implementadas pero que no lo están
Estado de riesgo
Documento que muestra información del impacto y riesgo que afectan a cada
activo por cada amenaza
2.4 OBJETIVOS DE MAGERIT V3
Magerit se ha desarrollado bajo la norma ISO 31000 a fin de realizar una gestión de
riesgos en sistemas informáticos eficiente (Ministerio de Hacienda y Administraciones
Públicas, 2012, pág. 7). Entre los objetivos que esta metodología se plantea se
encuentran los siguientes:
Objetivos directos
Hacer conciencia en las organizaciones de la existencia de riesgos y la
necesidad de gestionarlos
Ofrecer un metodo para analizar los riesgos asiciados al uso de las tecnologias
de informacion y comunicación
Proveer a la organización de herramientas que le permitan mantener los
riesgos en niveles aceptables
Objetivos indirectos
Preparar a la organización para los procesos de evaluacion, auditoría,
certificación o acreditación según sea el caso
2.5 ELEMENTOS DE MAGERIT V3
2.5.1 Activos
Son aquellos componentes o funcionalidades de un sistema que tiene algún valor para
la organización y que pueden llegar a ser víctimas de una amenaza. La naturaleza de
los activos es muy variada; entre los activos comúnmente identificados dentro de una
organización pueden mencionarse los siguientes:
Datos que materializan la información.
Servicios auxiliares que se necesitan para poder organizar el sistema.
Aplicaciones informáticas (software) que permiten manejar los datos.
Equipos informáti cos (hardware) y que permiten hospedar datos, aplicaciones
y servicios.
Soportes de información que son dispositivos de almacenamiento de datos.
Equipamiento auxiliar que complementa el material informático.
Redes de comunicaciones que permiten intercambiar datos.
Instalaciones que acogen equipos informáticos y de comunicaciones.
Personas que explotan u operan todos los elementos anteriormente citados.
2.5.2 Amenazas
Son eventos que perjudican de alguna manera el correcto funcionamiento de un
sistema. Las amenazas pueden agruparse de acuerdo a su naturaleza en las siguientes
categorías (Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 27):
De origen natural
Son las provocados por las fuerzas de la naturaleza; en nuestro medio son
probables inundaciones, terremotos y erupciones volcánicas
De origen industrial
Aquellas que provocan deterioro físico sobre los activos; algunos de los más
comunes son: sobre-voltaje, oxidación, temperaturas ambientales extremas,
humedad excesiva, etc.
Defectos del sistema
Este tipo de amenazas se deben a defectos presentes en el hardware o errores
de programacion en el software; ejemplos de las primeras son ordenadores
defectuosos, cables en mal estado mientras que ejemplos de los segundos
pueden ser errores de configuración, errores de desarrollo, etc.
Causadas por las personas de forma accidental
Las personas con acceso al sistema de información pueden ser causa de
problemas no intencionados; un ejemplo de este tipo de amenazas es la
pérdida de claves de acceso, dejar a la vista de todos documentos clasificados,
etc.
Causadas por las personas de forma deliberada
Las personas con acceso al sistema de información pueden ser causa de
problemas intencionados: ataques deliberados; bien con ánimo de beneficiarse
indebidamente, bien con ánimo de causar daños y perjuicios a la organización
2.5.3 Salvaguardas
Una salvaguarda es todo aquello que permite proteger un bien de la
materialización de una amenaza; la naturaleza de las salvaguardas depende de
los activos que resguarde; una clasificación propuesta por Magerit agrupa las
salvaguardas en los siguientes conjuntos:
Protección general
Protección de los datos/información
Protección de claves criptográficas
Protección de los servicios
Protección de las aplicaciones
Protección de las comunicaciones
Protección de los soportes de información
Protección de los elementos auxiliares
Protección de las instalaciones
Salvaguardas relativas al personal
Salvaguardas de tipo organizativo
2.5.4 Impactos y riesgos
Impacto y riesgo son medidores de la de la importancia que tendría la materialización
de una amenaza sobre un determinado activo; en Magerit se puede diferenciar dos
tipos de impacto y riesgo: potencial y residual, los primeros se calculan sin tomar en
cuenta las salvaguardas mientras que el segundo es la diferencia entre el riesgo
potencial y el que se calcula tomando en cuenta las salvaguardas seleccionadas
2.5.5 Documentación
La presentación del análisis de riesgos debe contener los siguientes informes:
Modelo de valor
Documento que contiene la información referente a los activos
Mapa de riesgos
Documento que contiene información referente a las amenazas
Declaración de aplicabilidad
Documento que recoge información referente a la naturaleza de las
salvaguardas seleccionadas
Evaluación de salvaguardas
Documento que recoge información referente a la eficacia de las de las
salvaguardas seleccionadas
Informe de insuficiencias o vulnerabilidades
Documento que recoge información acerca de las salvaguardas que deberían
ser implementadas pero que no lo están
Estado de riesgo
Documento que muestra información del impacto y riesgo que afectan a cada
activo por cada amenaza
2.6 APLICACIÓN DE MAGERIT V3
El análisis de los riesgos incluye las tareas mencionadas en la figura 2.2
Figura 2-1.Tareas que incluye el método de análisis de riesgos
MAR 1: Caracterización de los activos
La caracterización de los activos se realiza seleccionando las existencias con
mayor riesgo dentro de la organización y en concordancia con el catálogo de
elementos de Magerit. El resultado de esta actividad se plasma en el “Modelo
de valor” (Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 36).
MAR 2: Caracterización de las amenazas
Una vez determinados los activos sobre los cuales se va a trabajar, se realiza la
identificación las amenazas más peligrosas que podrían atacar los activos y su
frecuencia de ocurrencia. El resultado de esta actividad es el informe
denominado “mapa de riesgos” (Ministerio de Hacienda y Administraciones
Públicas, 2012, pág. 36).
MAR.3: Caracterización de las salvaguardas
La caracterización de las salvaguardas busca identificar y evaluar los procesos
recomendados con el fin de mitigar la influencia de las amenazas sobre los
activos de la organización. El resultado de esta actividad se concreta en varios
informes (Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 36):
o Declaración de aplicabilidad
o Evaluación de salvaguardas
o Insuficiencias (o vulnerabilidades del sistema de protección)
MAR.4: Estimación del estado de riesgo
El cálculo del riesgo y el impacto resume todas las actividades anteriores y nos
permite cuantificar las mejoras que se lograron con la implementación de las
salvaguardas sobre el sistema informático
2.7 INTRODUCCIÓN A PILAR
PILAR es el acrónimo de “Procedimiento informático Lógico para el Análisis de Riesgos”
(Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 125); este software ha
sido desarrollado con el fin de asistir en el Análisis de riesgos informáticos de acuerdo
a la metodología Magerit; a saber:
Caracterización de los activos
Caracterización de las amenazas
Evaluación de las salvaguardas
A fin se seguir la metodología y estandarizar los resultados del análisis, PILAR tiene
cargado el catálogo de elementos de esta metodología que incluye activos, amenazas,
dimensiones de evaluación, salvaguardas, etc.
PILAR realiza los cálculos de impacto y riesgo y genera graficas e informes con los
resultados del análisis de riesgos realizado
3 Análisis de riesgos3.1 Análisis de riesgos con PILAREl análisis de riesgos informáticos de una organización puede realizarse a través del software PILAR. Este software permite realizar el análisis siguiendo los siguientes pasos:
Identificación de activos Valoración de activos Identificación de amenazas Valoración de amenazas Primer cálculo del impacto y riesgo Determinación de las salvaguardas Valoración de salvaguardas Cálculo del impacto y riesgo finales
3.1.1 Identificación de ActivosLa tabla 3.1 muestra la identificación de los activos más representativos de la empresa Fideval; la identificación de los activos en el software PILAR se ilustra en la Figura 3.2
Tabla 3-2. Identificación de activos
Capa Activo Observación
Datos
FicherosArchivos que contiene toda la información de la empresa
Copias de respaldoCopias de respaldo de la información de la empresa
Credenciales
Incluye tarjetas de identificación y passwords que permiten el acceso a instalaciones y secciones virtuales
Servicios
Públicos
Servicios para los que no se requiere identificación; por ejemplo, la empresa ofrece simuladores de fondos de inversión
Internos
Procesos que utilizan los integrantes de la empresa para su desempeño
Clientes Básicamente son la
razón de ser la empresa ya que la empresa se dedica a administrar fondos y fideicomisos
Equipamiento
Software
Desarrollo propio
La empresa cuenta con software desarrollado puertas adentro para manejar algunos de sus servicios
A medida
Además de software propio, la empresa cuenta con software especializado que le permite agilitar las tareas que realiza así como los servicios que presta
Estándar
Como en toda empresa de este sector, también se cuenta con software estándar tal como antivirus, navegador, editor de texto, visor de archivos PDF, etc.
Equipos
Equipos grandes
Equipos de gran valor y pocas existencias; entre ellos se puede nombrar a los servidores
Equipos medianosDe menor valor y más existencias que los equipos grandes
Equipos personales
Equipos utilizados por la mayoría de personal; entre ellos puede nombrarse a las computadoras portátiles, routers, etc.
Comunicación
InternetLANTelefonía
AuxiliaresUPSGenerador eléctrico
Instalaciones EdificioPersonal Administradores del sistema Encargado de la
implementación, mantenimiento, monitorear y asegurar
el funcionamiento del sistema informático
Administradores de seguridad
El objetivo de la administración de seguridad es lograr la exactitud, integridad y protección de todos los procesos y recursos de los sistemas de información
Figura 3.2. Identificación de los activos en el software PILAR
3.1.2 Valoración de los activosMagerit propone la evaluación de activos en cinco dimensiones: disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad.
3.1.2.1 EscalaPara la valoración de los activos se utilizó una escala del uno al diez de acuerdo a la importancia de los activos dentro del sistema informático
3.1.2.2 ValoraciónEn la Tabla 3-3 se muestra la valoración de los activos identificados en el apartado 3.1.1; el procedimiento análogo en PILAR se ilustra en la Figura 3.3
Tabla 3-3. Valoración de los activos
Capa ActivoValoración
Disponibilidad
Integridad
Confidencialidad
Autenticidad
Trazabilidad
DatosFicheros 10 10 7Copias de respaldo 10 10Credenciales 10
ServiciosPúblicos 2 5 2Internos 9 9 8Clientes 10 10
Equipamiento
SoftwareDesarrollo propio 9 9 10A medida 9 8 9Estándar 7 5 2
EquiposEquipos grandes 10 8Equipos medianos 10 8Equipos personales 8 10
Comunicación
Internet 8 8 8LAN 10 9 10Telefonía 10 8 7
AuxiliaresUPS 10Generador eléctrico 10
Instalaciones Edificio 10
Personal
Administradores del sistema
10
Administradores de seguridad
7 9 8
Figura 3.3. Valoración de activos en PILAR
3.1.3 Identificación de las amenazasLa identificación de las amenazas se realiza sobre cada activo de acuerdo al catálogo de amenazas de Magerit tal como se muestra en la Tabla 3-4; la identificación de las amenazas en el software PILAR se ilustra en la Figura 3.4
Tabla 3-4. Identificación de amenazas
Capa Activo Amenazas
Datos
FicherosUso indebidoDifusión de software dañino
Copias de respaldoModificación de la informaciónDestrucción de la información
Credenciales Revelación de la información
Servicios
PúblicosVulnerabilidad de los programasErrores de mantenimiento / actualización
InternosErrores del administrador del sistemaRevelación de la información
ClientesFuga de informaciónCaída del sistema por agotamiento de recursos
Equipamiento
Software
Desarrollo propioErrores del administrador del sistemaErrores de configuración
A medidaErrores del administrador del sistemaErrores de configuración
EstándarErrores de los usuariosErrores de configuraciónDifusión de software dañino
Equipos
Equipos grandesAvería de origen físico o lógicoRobo de equipo
Equipos medianosAvería de origen físico o lógicoRobo de equipo
Equipos personalesAvería de origen físico o lógicoRobo de equipo
Comunicación
InternetUso indebidoRevelación de la información
LANSuplantación de identidadAbuso de privilegios de acceso
Telefonía Uso indebido
AuxiliaresUPS
Avería de origen físico o lógicoRobo de equipo
Generador eléctricoAvería de origen físico o lógicoRobo de equipo
Instalaciones EdificioFuegoAtaque destructivo
Personal Administradores del Errores del administrador del sistema
sistema Indisponibilidad del personalAdministradores de seguridad
ExtorsiónIndisponibilidad del personal
ClientesErrores de los usuariosRevelación de la información
ProveedoresIndisponibilidad del personalRevelación de la información
Figura 3.4. Identificación de amenazas en PILAR
3.1.4 Valoración de las amenazasLa valoración de la degradación que una amenaza puede producir sobre un activo se realiza en las mismas cinco dimensiones que los activos; en esta valoración debe añadirse la frecuencia de materialización de las amenazas en el sistema
3.1.4.1 Escala de la frecuenciaPara esta escala se escogió un rango entre 0 y 365, esto indica que las amenazas pueden materializarse de 0 a 365 veces por año; este valor corresponde a f año. La frecuencia que se utilizará para los cálculos se obtiene pasando la escala a un rango entre 0 y 1; este valor corresponde a f .
3.1.4.2 Escala de la valoraciónPara esta escala se utilizó un rango entre 0 y 1; este valor representa el porcentaje de degradación del activo
3.1.4.3 ValoraciónLa valoración de las amenazas se muestra en la Tabla 3-5; el proceso análogo en PILAR se ilustra en la Figura 3.5
Tabla 3-5. Valoración de las amenazas
Capa Activo Amenazas
ƒ año
ƒ
Degradación
Disponibilidad
Integridad
Confidencialidad
Autenticidad
Trazabilidad
Datos
FicherosUso indebido 20 0,055 0,1 0,3 0,9Difusión de software dañino 40 0,110 0,8 0,9 0,7
Copias de respaldoModificación de la información 40 0,110 1Destrucción de la información 5 0,014 1
Credenciales Revelación de la información 100 0,274 1
Servicios
Públicos
Vulnerabilidad de los programas
200 0,548 0,5 0,6 0,8
Errores de mantenimiento / actualización
80 0,219 0,8 0,7 0
InternosErrores del administrador del sistema
70 0,192 0,8 0,4 0,8
Revelación de la información 200 0,548 0,3
ClientesFuga de información 80 0,219 1Caída del sistema por agotamiento de recursos
200 0,548 0,9
Equipamiento Software Desarrollo propio Errores del administrador del sistema
30 0,082 0,7 0,8 1
Errores de configuración 50 0,137 0,3 0,4 0,6
A medidaErrores del administrador del sistema
70 0,192 0,7 0,8 1
Errores de configuración 40 0,110 0,3 0,4 0,6
EstándarErrores de los usuarios 90 0,247 0,7 0,8 1Difusión de software dañino 360 0,986 0,5 0,7 0,3
Equipos
Equipos grandesAvería de origen físico o lógico 40 0,110 1Robo de equipo 10 0,027 1 0,2
Equipos medianosAvería de origen físico o lógico 80 0,219 0,7Robo de equipo 10 0,027 0,9 0,6
Equipos personalesAvería de origen físico o lógico 300 0,822 0,8Robo de equipo 150 0,411 0,9 0,3
Comunicación
Internet
Fallo en servicio de comunicaciones
200 0,548 0,6
Errores del administrador del sistema
80 0,219 0,5 0,6 0,8
LAN
Fallo en servicio de comunicaciones
120 0,329 0,8
Errores del administrador del sistema
40 0,110 0,9 0,7 1
Telefonía
Fallo en servicio de comunicaciones
20 0,055 0,4
Errores del administrador del sistema
60 0,164 0,4 0,6 0,7
AuxiliaresUPS
Avería de origen físico o lógico 40 0,110 0,9Robo de equipo 10 0,027 1
Generador eléctricoAvería de origen físico o lógico 10 0,027 0,9Robo de equipo 5 0,014 0,9
Instalaciones Edificio Fuego 10 0,027 0,2
Ataque destructivo 10 0,027 0,3
PersonalAdministradores del sistema
Errores del administrador del sistema
80 0,219 0,7
Indisponibilidad del personal 60 0,164 0,9
Administradores de seguridadExtorsión 60 0,164 0,7Indisponibilidad del personal 50 0,137 0,6 0,3 0,5
Figura 3.5. Valoración de amenazas en PILAR
3.1.5 Cálculo del impacto y el riesgo sin salvaguardasEl cálculo del impacto y el riesgo se realiza en primer lugar sin tomar en cuenta salvaguarda alguna. El impacto es el producto del valor del activo y la degradación potencial del activo; por su parte el riesgo es el producto del impacto por la frecuencia de materialización de la amenaza. Los resultados del cálculo de estos valores se muestran en la Figura 3.6
3.1.6 Cálculo del impacto y el riesgoEl cálculo del impacto y el riesgo se realiza sin el planteamiento de nuevas salvaguardas. El impacto es el producto del valor del activo y la degradación potencial del activo; por su parte el riesgo es el producto del impacto por la frecuencia de materialización de la amenaza. Los resultados del cálculo de estos valores se muestran en la Figura 3.6
a
Ficheros
Copias de respaldo
Credenciales
Públicos
Internos
Clientes
Desarrollo propio
A medida
Estándar
Equipos grandes
Equipos medianos
Equipos personales
Internet
LAN
Telefonía
UPS
Generador eléctrico
Edificio
Administradores del sistema
Administradores de seguridad
0 2 4 6 8 10 12
Impacto
ConfidencialidadIntegridadDisponibilidad
b
Ficheros
Copias de respaldo
Credenciales
Públicos
Internos
Clientes
Desarrollo propio
A medida
Estándar
Equipos grandes
Equipos medianos
Equipos personales
Internet
LAN
Telefonía
UPS
Generador eléctrico
Edificio
Administradores del sistema
Administradores de seguridad
0 0.1 0.2 0.3 0.4 0.5 0.6
Riesgo
ConfidencialidadIntegridadDisponibilidad
Figura 3.6. Resultados de impacto y riesgo sobre los activos (a) Impacto (b) Riesgo
3.1.7 Determinación de las salvaguardas3.1.7.1 SalvaguardasPuede recomendarse una o más salvaguardas a fin de mitigar el efecto de una amenaza sobre un activo; en este proyecto se ha utilizado únicamente la salvaguarda más relevante para cada activo
3.1.7.2 EficaciaLa eficacia de una salvaguarda es un valor entre 0 y 1 que mide la capacidad de una salvaguarda para proteger el activo
La determinación de las salvaguardas se muestra en la Tabla 3-6
Tabla 3-6. Determinación de las salvaguardas
Capa Activo Amenazas Salvaguardas Eficacia
Datos
FicherosUso indebido Claves de acceso más seguras 0,6Difusión de software dañino Actualización de antivirus 0,8
Copias de respaldoModificación de la información Claves de acceso más seguras 0,5
Destrucción de la información Creación de copias redundantes
0,6
Credenciales Revelación de la información Reseteo de claves más frecuente
0,4
Servicios
Públicos
Vulnerabilidad de los programas
Mantenimiento código fuente de aplicaciones públicas
0,7
Errores de mantenimiento / actualización
Mantenimiento más frecuente 0,8
Internos
Errores del administrador del sistema
Capacitación del administrador del sistema
0,7
Revelación de la información Revisión de privilegios de usuarios internos
0,6
ClientesFuga de información Revisión de privilegios de los
clientes0,8
Caída del sistema por agotamiento de recursos
Mejoramiento de tecnología de equipos grandes
0,9
Equipamiento Software Desarrollo propio Errores del administrador del sistema
Capacitación del administrador del sistema
0,7
Errores de configuraciónMantenimiento código fuente de aplicaciones de desarrollo propio
0,6
A medida
Errores del administrador del sistema
Capacitación del administrador del sistema
0,7
Errores de configuraciónMantenimiento código fuente de aplicaciones de desarrollo a medida
0,6
EstándarErrores de los usuarios Capacitación del administrador
del sistema0,7
Difusión de software dañino Mantenimiento código fuente de aplicaciones estándar
0,6
Equipos
Equipos grandesAvería de origen físico o lógico Mantenimiento de equipos
más frecuente0,8
Robo de equipo Mejoramiento seguridad de las instalaciones
0,4
Equipos medianosAvería de origen físico o lógico Mantenimiento de equipos
más frecuente0,8
Robo de equipo Mejoramiento seguridad de las instalaciones
0,4
Equipos personalesAvería de origen físico o lógico Mantenimiento de equipos
más frecuente0,7
Robo de equipo Mejoramiento seguridad de las instalaciones
0, 4
Comunicación Internet
Fallo en servicio de comunicaciones
Contratación de un mejor servicio
0,8
Errores del administrador del sistema
Capacitación del administrador del sistema
0,7
LAN
Fallo en servicio de comunicaciones
Contratación de un mejor servicio
0,8
Errores del administrador del sistema
Capacitación del administrador del sistema
0,7
Telefonía
Fallo en servicio de comunicaciones
Contratación de un mejor servicio
0,8
Errores del administrador del sistema
Capacitación del administrador del sistema
0,7
Auxiliares
UPSAvería de origen físico o lógico Mantenimiento de equipos
más frecuente0,6
Robo de equipo Mejoramiento seguridad de las instalaciones
0,8
Generador eléctricoAvería de origen físico o lógico Mantenimiento de equipos
más frecuente0,6
Robo de equipo Mejoramiento seguridad de las instalaciones
0,4
Instalaciones EdificioFuego Mejoramiento seguridad de las
instalaciones0,6
Ataque destructivo Mejoramiento seguridad de las instalaciones
0,6
Personal
Administradores del sistemaErrores del administrador del sistema
Capacitación del administrador del sistema
0,4
Indisponibilidad del personal Motivación al personal 0,3
Administradores de seguridadExtorsión Capacitación del personal de
seguridad0,3
Indisponibilidad del personal Motivación al personal 0,3
3.1.8 Cálculo de impacto y riesgo residualesUna vez determinada la eficacia de las salvaguardas es posible determinar el impacto y riesgos residuales de acuerdo a las siguientes fórmulas:
impactores=(1−e )∗impacto
riesgores= (1−e )∗riesgo
La Figura 3.7 muestra los resultados del cálculo del impacto residual y el riesgo residual
a
Ficheros
Copias de respaldo
Credenciales
Públicos
Internos
Clientes
Desarrollo propio
A medida
Estándar
Equipos grandes
Equipos medianos
Equipos personales
Internet
LAN
Telefonía
UPS
Generador eléctrico
Edificio
Administradores del sistema
Administradores de seguridad
0 0.5 1 1.5 2 2.5 3 3.5 4 4.5
Impacto residual
ConfidencialidadIntegridadDisponibilidad
b
Ficheros
Copias de respaldo
Credenciales
Públicos
Internos
Clientes
Desarrollo propio
A medida
Estándar
Equipos grandes
Equipos medianos
Equipos personales
Internet
LAN
Telefonía
UPS
Generador eléctrico
Edificio
Administradores del sistema
Administradores de seguridad
0 0.05 0.1 0.15 0.2 0.25
Riesgo residual
ConfidencialidadIntegridadDisponibilidad
Figura 3.7. Cálculo del impacto y riesgo residuales (a) Impacto residual (b) Riesgo residual
4 Gestión de riesgos4.1 Toma de decisionesNingún sistema informático, debidamente planificado, carece de salvaguardas; sin embargo, con el paso del tiempo las amenazas a las que se ve expuesto cambian por lo que las salvaguardas deben ser actualizadas
4.1.1 Identificación de riesgos críticosAl analizar la Tabla 4-7 se observa que la mayoría de los activos se verían afectados en más de la mitad de su valor si se llegara a materializar alguna de las amenazas identificadas. Otro punto a tomar en cuenta en este análisis es que el riesgo es considerable (mayor al 50%) solo en pocos activos; sin embargo, el resto de valores del riesgo no debe ser despreciado ya que a pesar de ser muy poco frecuentes, su impacto es elevado
De acuerdo a la Tabla 4-7 los activos que presentan riesgo crítico son:
Copias de respaldo Credenciales Servicios a clientes Software de desarrollo propio Equipos grandes UPS
Tabla 4-7. Análisis del impacto actual y riesgo actual
Activo Amenazas
Impacto Riesgo
Disponibilidad
Integridad
Confidencialidad
Disponibilidad
Integridad
Confidencialidad
FicherosUso indebido
1 3 6,3
0,055
0,164
0,345
Difusión de software dañino
8 9 4,9
0,438
0,493
0,268
Copias de respaldo
Modificación de la información
10 0,548
Destrucción de la información
10 0,548
Credenciales Revelación de la información
10 0,548
Servicios públicos
Vulnerabilidad de los programas
1 3 1,6
0,055
0,164
0,088
Errores de 1, 3, 0,08 0,19
mantenimiento / actualización
6 5 8 2
Servicios internos
Errores del administrador del sistema
7,2
3,6
6,4
0,395
0,197
0,351
Revelación de la información
2,4
0,132
Servicios a clientesFuga de información
10 0,548
Caída del sistema por agotamiento de recursos
9 0,493
Software de desarrollo propio
Errores del administrador del sistema
6,3
7,2 10
0,345
0,395
0,548
Errores de configuración2,7
3,6
6 0,148
0,197
0,329
Software a medida
Errores del administrador del sistema
6,3
6,4 9
0,345
0,351
0,493
Errores de configuración2,7
3,2
5,4
0,148
0,175
0,296
Software estándarErrores de los usuarios
4,9
4 2 0,268
0,219
0,11
Difusión de software dañino
3,5
3,5
0,6
0,192
0,192
0,033
Equipos grandes
Avería de origen físico o lógico
10 0,548
Robo de equipo10 1,
60,54
80,08
8
Equipos medianos
Avería de origen físico o lógico
7 0,384
Robo de equipo9 4,
80,49
30,26
3
Equipos personales
Avería de origen físico o lógico
6,4
0,351
Robo de equipo7,2
3 0,395
0,164
Internet
Fallo en servicio de comunicaciones
4,8
0,263
Errores del administrador del sistema
44,8
6,4
0,219
0,263
0,351
LAN
Fallo en servicio de comunicaciones
8 0,438
Errores del administrador del sistema
96,3 10
0,493
0,345
0,548
Telefonía
Fallo en servicio de comunicaciones
4 0,219
Errores del administrador del sistema
44,8
4,9
0,219
0,263
0,268
UPS
Avería de origen físico o lógico
9 0,493
Robo de equipo10 0,54
8
Generador eléctrico
Avería de origen físico o lógico
9 0,493
Robo de equipo9 0,49
3
EdificioFuego 2 0,11
Ataque destructivo3 0,16
4
Administradores del sistema
Errores del administrador del sistema
70,38
4
Indisponibilidad del personal
9 0,493
Administradores de seguridad
Extorsión4,9
0,268
Indisponibilidad del personal
4,2
2,7
4 0,23 0,148
0,219
4.2 Plan de seguridad4.2.1 SalvaguardasUna vez determinados los activos con riesgo crítico, se establece un conjunto de salvaguardas para mitigarlos.
Las salvaguardas seleccionadas se muestran en la tabla 4.2; para la elaboración de este análisis se han seleccionado las salvaguardas con menor costo de implementación y mayor efectividad posible
Tabla 4-8. Prioridad de salvaguardas recomendadas
Activo Amenazas Salvaguardas Prioridad
FicherosUso indebido Claves de acceso más seguras NormalDifusión de software dañino Actualización de antivirus Normal
Copias de respaldoModificación de la información Claves de acceso más seguras Crítica
Destrucción de la información Creación de copias redundantes
Crítica
Credenciales Revelación de la información Reseteo de claves más frecuente
Crítica
Servicios públicos
Vulnerabilidad de los programas
Mantenimiento código fuente de aplicaciones públicas
Normal
Errores de mantenimiento / actualización
Mantenimiento más frecuente Normal
Servicios internos
Errores del administrador del sistema
Capacitación del administrador del sistema
Normal
Revelación de la información Revisión de privilegios de usuarios internos
Normal
Servicios a clientesFuga de información Revisión de privilegios de los
clientesCrítica
Caída del sistema por agotamiento de recursos
Mejoramiento de tecnología de equipos grandes
Crítica
Software de desarrollo propio
Errores del administrador del sistema
Capacitación del administrador del sistema
Crítica
Errores de configuraciónMantenimiento código fuente de aplicaciones de desarrollo propio
Crítica
Software a medida
Errores del administrador del sistema
Capacitación del administrador del sistema
Normal
Errores de configuraciónMantenimiento código fuente de aplicaciones de desarrollo a medida
Normal
Software estándarErrores de los usuarios Capacitación del administrador
del sistemaNormal
Difusión de software dañino Mantenimiento código fuente de aplicaciones estandar
Normal
Equipos grandesAvería de origen físico o lógico Mantenimiento de equipos
más frecuenteCrítica
Robo de equipo Mejoramiento seguridad de las instalaciones
Crítica
Equipos medianosAvería de origen físico o lógico Mantenimiento de equipos
más frecuenteNormal
Robo de equipo Mejoramiento seguridad de las instalaciones
Normal
Equipos personalesAvería de origen físico o lógico Mantenimiento de equipos
más frecuenteNormal
Robo de equipo Mejoramiento seguridad de las instalaciones
Normal
Internet
Fallo en servicio de comunicaciones
Contratación de un mejor servicio
Normal
Errores del administrador del sistema
Capacitación del administrador del sistema
Normal
LAN Fallo en servicio de comunicaciones
Contratación de un mejor servicio
Normal
Errores del administrador del sistema
Capacitación del administrador del sistema
Normal
Telefonía
Fallo en servicio de comunicaciones
Contratación de un mejor servicio
Normal
Errores del administrador del sistema
Capacitación del administrador del sistema
Normal
UPSAvería de origen físico o lógico Mantenimiento de equipos
más frecuenteCrítica
Robo de equipo Mejoramiento seguridad de las instalaciones
Crítica
Generador eléctricoAvería de origen físico o lógico Mantenimiento de equipos
más frecuenteNormal
Robo de equipo Mejoramiento seguridad de las instalaciones
Normal
EdificioFuego Mejoramiento seguridad de las
instalacionesNormal
Ataque destructivo Mejoramiento seguridad de las instalaciones
Normal
Administradores del sistemaErrores del administrador del sistema
Capacitación del administrador del sistema
Normal
Indisponibilidad del personal Motivación al personal Normal
Administradores de seguridadExtorsión Capacitación del personal de
seguridadNormal
Indisponibilidad del personal Motivación al personal Normal
4.2.2 Programa de seguridadUna vez determinado el conjunto de salvaguardas se procede a confeccionar el programa para ponerlas en marcha. La tabla 4.3 muestra el programa para la implementación de salvaguardas
4.2.3 Impacto y riesgo residualesTal como se observó en las gráficas 3.5 y 3.6, la el programa de seguridad recomendado tiene la capacidad de reducir el impacto a la mitad y eliminar valores críticos en el riesgo
Tabla 4-9. Programa de seguridad
Tarea Prioridad Responsable Plazo de ejecución Observaciones
Creación de respaldos de información redundantes
Crítica Departamento de sistemas
Un mes
Disminución del tiempo de valides de claves y credenciales
Crítica Departamento de sistemas
Dos semanas En la actualidad el tiempo en el que las claves se resetean es 1 mes
Revisión y actualización de los privilegios de los clientes sobre el sistema
Crítica Departamento de sistemas
Dos meses
Mejoramiento de la tecnología de los equipos grandes
Crítica Departamento de logística
Dos meses
Capacitación técnica de los administradores del sistema
Crítica Departamento de recursos humanos
Seis mesesSe debe capacitar al personal en temas inherentes al manejo del sistema así como en politicas de seguridad
Capacitación de los desarrolladores de software
Crítica Departamento de recursos humanos
Seis meses
Aumento en la frecuencia de mantenimiento a equipos grandes
Crítica Departamento de sistemas
Dos semanas
Mejoramiento de la seguridad de las instalaciones
Crítica Departamento de logística
Un mes
Actualización de los antivirus Normal Departamento de sistemas
Un mes
Mantenimiento de software de desarrollo propio, desarrollado a medida y estándar
Normal Departamento de sistemas
Tres meses
Revisión y actualización de los privilegios de los usuarios internos
Normal Departamento de sistemas
Un mes
Realización de actividades de motivación al personal
Opcional Departamento de recursos humanos
Contratación de un mejor servicio de internet y telefonía
Opcional Administración
5 Conclusiones y recomendaciones5.1 Conclusiones
Se realizó el análisis de riesgos informáticos sobre los activos más expuestos de la empresa FIDEVAL encontrándose que algunos de ellos se encontraban en riesgo crítico
La utilización de la metodología Magerit facilitó enormemente la realización del análisis de riesgos informáticos ya que propone un cumplimiento de tareas elemental y existe abundante documentación en español
Se determinaron las salvaguardas más adecuadas para reducir el impacto y el riesgo sobre los activos más expuestos de la empresa y se proyectó una reducción general del riesgo de 50%
5.2 Recomendaciones No promover el uso de software pago para la realización de análisis de riesgos
informáticos; es mejor desarrollar una aplicación de acuerdo a los requerimientos de casa empresa
Promover la cultura de gestión de riesgos informáticos ya que es una herramienta muy útil para la administración de una organización en lo referido a seguridad en general
Empezar la recomendación de salvaguardas por las más fáciles de implementar y por las más evidentes
6 Bibliography
Fideval. (01 de 01 de 2014). ¿Quiénes somos? Obtenido de Fideval: http://www.fideval.com/index.php?page=2&&language=es
ISO / IEC. (2009). Information technology — Security techniques — Information security management systems — Overview and vocabulary. Ginebra: ISO.
Kouns, J. (2010). Information technology risk management. Hovoken, NJ: Jhon Wiley & Sons.
Ministerio de Hacienda y Administraciones Públicas. (2012). MAGERIT – versión 3.0. Catálogo de elementos. Madrid: Ministerio de Hacienda y Administraciones Públicas.
Ministerio de Hacienda y Administraciones Públicas. (2012). MAGERIT – versión 3.0. Método. Madrid: Ministerio de Hacienda y Administraciones Públicas.
Peltier, T. (2005). Análisis de riesgos en seguridad informática. Boca Ratòn: CRC Press.