Auditoria de sistemas Tesis_JRTF_capitulo4

63

CAPÍTULO 4 ANÁLISIS DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA DIGESTYC

4.1 DESCRIPCIÓN GENERAL

La seguridad informática es la capacidad de las redes o de los sistemas de

información para resistir, con un determinado nivel de confianza, los accidentes o

acciones ilícitas o malintencionadas que comprometan la disponibilidad,

autenticidad, integridad y confidencialidad de los datos almacenados o

transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen

accesibles.

Sin embargo, tal como se ha mencionado antes, cualquier organización de

negocios o no, está expuesta a fallos en la seguridad de su información, y existe

siempre una amenaza latente de que un evento o acción afecte a la organización

en su capacidad de alcanzar sus objetivos o realizar sus estrategias. Esto es lo

que identificamos como riesgo.

El Consejo Superior de Administración Electrónica de España, en la

documentación de la metodología MAGERIT10 especifica una definición mas

formal de riesgo: “Estimación del grado de exposición a que una amenaza se

materialice sobre uno o más activos [de información] causando daños o perjuicios

a la organización”.

El riesgo indica lo que le podría pasar a los activos si no se protegieran

adecuadamente. Es importante saber qué características son de interés en cada

activo, así como saber en qué medida estas características están en peligro.

10 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT). Tomo I : Método. Ministerio de Administraciones Públicas, Madrid 2006.

64

Esto se logra mediante un análisis de riesgos, el cual es un proceso sistemático

para estimar la magnitud de los riesgos a que está expuesta una organización.

Realizar un análisis de riesgos es laborioso y costoso. Levantar un mapa de

activos y valorarlos requiere la colaboración de muchos perfiles dentro de la

organización, desde los niveles de gerencia hasta los técnicos. Y no solo hay que

involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio

entre todos pues, si importante es cuantificar los riesgos, más importante aún es

relativizarlos. Y esto es así porque típicamente en un análisis de riesgos aparecen

multitud de datos. La única forma de afrontar la complejidad es centrarse en lo

más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o

incluso despreciable. Por eso, si los datos no están bien ordenados en términos

relativos, su interpretación es imposible.

El análisis de riesgos es una tarea mayor que requiere esfuerzo y coordinación.

Por tanto debe ser planificada y justificada. En particular, en este estudio, las

tareas relacionadas con el análisis de riesgos han sido probablemente las que

más tiempo nos han requerido.

Finalmente, se debe tener bien claro que un análisis de riesgos es recomendable

en cualquier organización que dependa de los sistemas de información y

comunicaciones para el cumplimiento de su misión. En particular en cualquier

entorno donde se practique la tramitación electrónica de bienes y servicios, sea en

contexto público o privado. El análisis de riesgos permite tomar decisiones de

inversión en tecnología, desde la adquisición de equipos de producción hasta el

despliegue de un centro alternativo para asegurar la continuidad de la actividad,

pasando por las decisiones de adquisición de salvaguardas técnicas y de

selección y capacitación del personal.

4.2 ELEMENTOS Y TAREAS QUE CONFORMAN EL ANÁLISIS Existen dos elementos sobre los cuales esta fundamentado el análisis de riesgos:

65

Activos, que son los elementos del sistema de información (o

estrechamente relacionados con este) que aportan valor a la organización.

Amenazas, que son situaciones que les pueden pasar a los activos

causando un perjuicio a la organización.

Con estos elementos se puede estimar:

Los impactos: lo que podría pasar

Los riesgos: lo que probablemente pase

El análisis de riesgos es una aproximación metódica para determinar el riesgo

siguiendo unos pasos pautados:

1. Determinar los activos relevantes para la organización, su interrelación y su

valor, en el sentido de qué perjuicio (coste) supondría su degradación.

2. Determinar a qué amenazas están expuestos aquellos activos.

3. Estimar el impacto, definido como el daño sobre el activo derivado de la

materialización de la amenaza.

4. Estimar el riesgo, definido como el impacto ponderado con la tasa de

ocurrencia (o expectativa de materialización) de la amenaza.

La siguiente figura ilustra en forma gráfica este proceso:

Fig. 4.1: Elementos del análisis de riesgos

66

4.3 IDENTIFICACIÓN DE ACTIVOS Se denominan activos a los recursos del sistema de información o relacionados

con éste, necesarios para que la organización funcione correctamente y alcance

los objetivos propuestos por su dirección.

El activo esencial es la información que maneja el sistema; o sea los datos. Y

alrededor de estos datos se pueden identificar otros activos relevantes

La organización internacional ISACA11 (Asociación para el control y auditoría de

sistemas de información, por sus siglas en inglés) en su metodología COBIT

(Objetivos de Control para las Tecnologías de Información) se refiere a los activos

de información como recursos de tecnologías de información. En este estudio se

ha usado el modelo de identificación de activos que COBIT propone, aunque vale

la pena mencionar que las tipificaciones de activos de otros modelos de

estándares o recomendaciones internacionales no varían mucho. En general, las

categorías de los activos, tampoco deberían ser muy rígidas, pues deben permitir

que una organización adopte las categorías que sean más adecuadas para su

infraestructura de sistemas en particular.

Los recursos de TI identificados en COBIT se pueden definir como sigue:

La información son los datos en todas sus formas de entrada, procesados

y generados por los sistemas de información, en cualquier forma en que

son utilizados por el negocio.

Las aplicaciones incluyen tanto sistemas de usuario automatizados como

procedimientos manuales que procesan información.

La infraestructura: es la tecnología y las instalaciones (hardware, sistemas

operativos, sistemas de administración de base de datos, redes,

11 ISACA es una organización ampliamente reconocida en los campos de seguridad informática y de la gestión de los recursos de información. Con más de 65.000 miembros en todo el mundo, esta organización se caracteriza por su diversidad. Los miembros viven y trabajan en más de 140 países y cubren una variedad de puestos profesionales relacionados con Tecnologías de información.

67

multimedia, etc., así como el sitio donde se encuentran y el ambiente que

los soporta) que permiten el procesamiento de las aplicaciones.

Soportes de información: Incluye los recursos necesarios para alojar y dar

soporte a los sistemas de información, dicho de otra forma son los medios

de almacenamiento de datos.

Las personas: son el personal requerido para planear, organizar, adquirir,

implementar, entregar, soportar, monitorear y evaluar los sistemas y los

servicios de información. Estas pueden ser internas, por outsourcing o

contratadas, de acuerdo a como se requieran.

La tipificación de los activos es tanto una información documental de interés como

un criterio de identificación de amenazas potenciales y salvaguardas apropiadas a

la naturaleza del activo.

La relación que sigue clasifica los activos dentro de una jerarquía, determinando

para cada uno un código que refleja su posición jerárquica, un nombre y una breve

descripción de las características que recoge cada categoría. Nótese que la

pertenencia de un activo a un tipo no es excluyente de su pertenencia a otro tipo;

es decir, un activo puede ser simultáneamente de varios tipos.

[D] Datos / Información

Elementos de información que, de forma singular o agrupados, representan el

conocimiento que se tiene de algo. Los datos son el corazón que permite a una

organización prestar sus servicios. Son en cierto sentido un activo abstracto que

será almacenado en equipos o soportes de información (normalmente agrupado

en forma de bases de datos) o será transferido de un lugar a otro por los medios

de transmisión de datos.

Es habitual que en un análisis de riesgos e impactos, el usuario se limite a valorar

los datos, siendo los demás activos sirvientes que deben cuidar y proteger los

datos que se les encomiendan.

68

[SW] Aplicaciones (software)

Con múltiples denominaciones (programas, aplicativos, desarrollos, etc.) este

categoría se refiere a tareas que han sido automatizadas para su desempeño por

un equipo informático. Las aplicaciones gestionan, analizan y transforman los

datos permitiendo la explotación de la información para la prestación de los

servicios.

No preocupa en este apartado el denominado “código fuente” o programas que

serán datos de interés comercial, a valorar y proteger como tales. Dicho código

aparecería como datos.

[HW] Equipos informáticos (hardware) Se refiere a la infraestructura tecnológica, bienes materiales, físicos, destinados a

soportar directa o indirectamente los servicios que presta la organización, siendo

pues depositarios temporales o permanentes de los datos, soporte de ejecución

de las aplicaciones informáticas o responsables del procesado o la transmisión de

datos. Se incluye aquí también al equipamiento auxiliar informático, como es el

caso de sistemas de generación de alimentación ininterrumpida (UPS), sistemas

de cableado eléctrico y de redes de datos, etc. [SI] Soportes de información

En esta categoría se consideran dispositivos físicos que permiten almacenar

información de forma permanente o, al menos, durante largos períodos de tiempo.

[P] Personal

En este epígrafe aparecen las personas relacionadas con los sistemas de

información, como por ejemplo: usuarios externos, usuarios internos, operadores,

administradores de sistemas, administradores de comunicaciones,

administradores de bases de datos, desarrolladores, proveedores, etc.

69

4.3.1 Descripción del proceso de identificación de activos

Realización de entrevistas e inspecciones físicas.

Para proceder a iniciar el inventario de activos de información fue necesario

realizar varias visitas a la institución, durante el período del 13 al 27 de abril de

XXXX. Se coordinaron las visitas con la jefatura de la división de sistemas; quien

designo personal del área de informática, para proporcionar el soporte necesario.

La primera locación de la institución donde se realizó la identificación de activos

fue la División de sistemas. Para recolectar los datos se entrevistaron los

encargados de las diferentes divisiones dentro de la división de informática. Estas

personas son los responsables de los activos que fueron inventariados dentro de

la división de sistemas.

Como es de esperarse, se determinó que es en la división de sistemas donde se

encuentra la mayor parte del equipo y herramientas de software de más alta

criticidad, particularmente los servidores, bases de datos y las aplicaciones

alojadas en estos equipos. Aquí que es donde se acumula la información que

proviene de las personas de campo para ser utilizada en distintas formas para

efectos de estadísticos y la distribución de estas a las distintas instituciones que

de uno u otra forma analizan los informes finales.

Posteriormente se visitó el área de la dirección y sub dirección; y luego la división

administrativa, para ello se contó con la asesoría del jefe de esta sección. Aquí se

encuentran las áreas de Finanzas, Recursos Humanos, Colecturía, Pagaduría,

Publicaciones e Impresiones, Servicios Generales de Mantenimiento, y Almacén.

Se entrevistó inicialmente al jefe de la división de precios, esta es una de las áreas

que de acuerdo a nuestro análisis es de suma importancia en la parte operativa,

ya que es aquí en donde se procesan las estadísticas sobre un listado de

productos predeterminados, si han tenido alzas o bajas en precios.

70

Para continuar, se realizó en la división de estadísticas sociales el inventario

correspondiente, y las entrevistas al responsable de esta área, que también de

acuerdo a nuestro estudio ha sido considerada como otra de las divisiones con

mayor importancia en cuanto a los procesos de información que tiene bajo su

responsabilidad.

Por último se realizaron las entrevistas correspondientes en la división de censos y

encuestas económicas con parte del personal y con el jefe de esta división. Esta

división también es de mucha importancia por los datos que mes a mes se

procesan. Cabe mencionar que esta sección no tiene ninguna relación al proyecto

que actualmente se están realizando con las encuestas de población y vivienda.

El resultado de todas estas entrevistas y jornadas de inspección ha sido

sintetizado en las tablas de inventarios de activos que se presentan en el siguiente

apartado.

71

4.3.2 Tablas de inventario de activos División o Departamento: División de Sistemas - Informática

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD

Servidor DELL Controlador de Dominio, (Windows 2003 Server,

Active Directory). SW, HW, SI alto

Servidor DELL Proxy Server, Seguridad Internet (Windows 2003

Sever, ISA Server) SW, HW, SI medio

Servidor DELL Web Server

(Windows 2003 Server, IIS)

SW, HW, SI alto

Servidor DELL SQL Server

(Windows 2003 Server, MS SQL Server 2005)

SW, HW, SI alto

Servidor DELL Correo

(Windows 2003 Server, MS Exchange )

SW, HW, SI alto

Servidor DELL File Server (Windows 2003 Server) SW, HW, SI alto

Servidor DELL Back Up Server (Windows 2003 Server) SW, HW, SI alto

Servidor DELL Concentrador de VPN’s ISA Server SW, HW, SI medio

FW Cisco Pix Firewall HW alto

Modem ASCOM V. 35/ Router 1600 Cisco

Conexión a Internet (pertenece al proveedor) HW medio

Switch Cisco/ Linksys SW 2024 LAN de servidores HW alto

SW DELL LAN Estaciones de trabajo de Informática HW alto

Transceivers (5) Convertidores IO/ETL

Interconexión Red de Fibra (Red de Campus) HW alto

Bracket Patch Panel (24) LAN de informática HW

UPS PowerWare (2) 9125 2.2 KVA Protección Servidores HW alto

UPS Smart Central (3) 1 KVA Protección Comunicación HW

Alto

72

PC soporte (1) Jefatura Soporte (Monitoreo) SW, HW alto

PC Soporte Técnico (2) Soporte Técnico SW, HW medio Computadoras 6 Programadores D alto Computadora 1 secretaria D medio Computadoras 2- jefaturas D alto

Cisco Linksys Switch 24 Puertos LAN Soporte Técnico HW medio

Laptop y Cañon Uso de Presentaciones y Varios HW bajo

Aplicaciones (.NET) internas alojadas en

SQL SERVER Div. Censos y Enc. Econ SW alto

Base de Datos, SQL Producción SQL Server D alto

Aplicación Precios (FOX) alojada en FILE

SERVER Div. Precios SW alto

Base de Datos Precios(FOX)

Alojada en FILE SERVER.

Div. Precios D alto

Base de Datos ISSA (FILE SERVER) Div. Estadist. Sociales D alto

Base de Datos CSPRO (FILE SERVER) Div. Estadist. Sociales D alto

Aplicación Activo Fijo y base de Datos

(SQL SERVER) Div. Administrativa SW alto

Base de Datos, SQL Test/Desarrollo SQL Server D alto

73

División o Departamento: División de Sistemas – Captura de Datos

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD 7 Computadoras Digitación SW, HW, SI bajo 1 Computadora Depuración SW, HW, SI bajo 1 Computadora Muestra SW, HW, SI bajo 1 Computadora Jefatura SW, HW, SI bajo 5 Computadoras Digitalización SW, HW, SI bajo 1 Computadora Terminal Patrones Diseño SW, HW, SI bajo

Hub 16 puertos INTEL LAN SW, HW, SI bajo

8 UPS, CDP 0.5 KVA Protección Equipo de

Cómputo HW bajo

Impresor Láser en Red, Lexmark Impresiones Varias HW bajo

Imp. Térmicas TSC 2 Impresor viñetas para encuestas (externo) 2 HW bajo

Scanner Spectrum Alta Velocidad

Digitalización y Captura de Datos HW bajo

División o Departamento: Dirección Administrativa

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD 1 Impresor, 2

computadoras UPS Finanzas SW, HW, SI medio

4 Impresores, 3 computadoras UPS Colecturía SW, HW, SI bajo

1 Impresor, 2 computadoras UPS Pagaduría SW, HW, SI bajo

2 Impresores, 2 computadoras UPS Publicaciones e Impresiones SW, HW, SI bajo

2 Impresores, 2 computadoras UPS

Servicios Generales Mantenimiento, Transporte,

Ordenanza SW, HW, SI bajo

1 Impresor, 2 computadoras UPS Almacén( papelería y útiles) SW, HW, SI bajo

1 impresor de Area, 3 computadoras UPS Contabilidad SW, HW, SI medio

3 Impresores de Area, 2 computadoras UPS

Jefatura de la División Administrativa SW, HW, SI medio

74

División o Departamento: Dirección y Sub-dirección


1 Impresor, 1-PC- 1 UPS Uso de subdirector SW, HW, SI alto

1 Impresor, 1PC- 1 UPS Tareas secretariales SW, HW, SI alto

1 Laptop Uso del director SW, HW, SI alto

División o Departamento: División de Precios.

DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD 1 Impresor p/todos matricial p/ boletas

( exclusivo), 3 computadoras + UPS

Procesamiento de Información SW, HW, SI bajo

1 Computadora + UPS Procesos de Controles Control de Calidad SW, HW, SI bajo

3 Computadoras +UPS Captura de Datos Reciben Datos de

Encuestas en la Calle SW, HW, SI bajo

2 Computadoras Para Secretaria y Jefatura SW, HW, SI medio

División o Departamento: División de Estadísticas Sociales.


1 Switch 12 Puertos Cisco SW2024, 1

Regulador de Voltaje

Red y equipamiento auxiliar. HW medio

7 Computadoras, 6 Reguladores de voltaje Digitadores HW, SW, SI bajo

5 Computadoras 1 Cultural, 3 Áreas Vitales, 1 Programador SW, HW, SI bajo

5 Computadoras, 3 Reguladores

Análisis y digitalización de Ingresos y Gastos SW, HW, SI bajo

1 Fotocopiadora Xerox, 1 Impresor Canon Encuestas de Hogares

Metodología HW bajo

75

8 computadoras, 5 reguladores de voltaje 6 fijas, 2 impresores

Encuestas de Hogares Metodología

SW, HW, SI bajo

6 computadoras Área de Campo 4 Metodología, 2

administrativos, 2

SW, HW, SI

bajo

5 Pc, 4 UPS, 1 Impresor Lasser hp 1320

Área de Campo para Levantamiento, y

recopilación de encuestas

Socioeconómicas

SW, HW, SI Bajo

División o Departamento: Dirección Censos y Encuestas Económicas.

DESCRIPCION FINALIDAD LOCALIZACION CRITICIDAD

1 Computadora Área de Campo 1,

Critica y Codificación, Control de Calidad

HW, SW, SI

Bajo

1 Switch 8 puertos SRW 2024,

Área de Campo 1 Critica y Codificación,

Control de Calidad

HW

Medio

5 computadoras, 2 UPS

Área de Campo 1 Encuestas Humanas, Sistemas de Cuentas

Nacionales HW, SW, SI

Bajo

1 Switch 24 puertos Nortel networks HW Medio

9 Pc´s, 2 impresores y 7 reguladores

Área de Campo 2 Unidad de Encuestas

(Critica y Reportes de

supervisores)

HW, SW, SI

Bajo

1 Switch 14 Puertos, Super Stack 3Com Área de Campo 2 HW

Medio

1 Switch 24 puertos DELL 5324 Power

Conect, 1 UPS

Metodología HW Medio

76

1 Impresor, 7 UPS, y 10 computadoras

Elaboración de Boletas, Manuales Instructivos,

Generación de Información,

Generación de Gráficas

HW, SW, SI Bajo

1 Laptop Metodología

encuestas Económicas exclusivamente

HW, SW, SI

Medio

1 Impresor OKI B6300 Uso general HW Bajo

3 Computadoras, 3 UPS Metodología 2 Análisis, Muestreo

HW, SW, SI

Bajo

1 Switch 24 puertos Nortel Networks cat 5 e, 1 Switch centre Com 724

Metodología Proyectos. (Soporta Solvencias,

colectaría y encuestas económicas)

HW Medio

7 cpu, 5 UPS Solvencias, para matrículas de comercio

HW, SW, SI

Bajo

4.4 IDENTIFICACIÓN DE AMENAZAS El siguiente paso consiste en determinar las amenazas que pueden afectar a cada

activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir,

interesa lo que puede pasarle a los activos en cuestión y causar un daño.

Hay accidentes naturales (terremotos, inundaciones, etc.) y desastres industriales

(contaminación, fallos eléctricos) ante los cuales el sistema de información es

víctima pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay

amenazas causadas por las personas, bien errores, bien ataques intencionados.

Junto con las amenazas trataremos también las vulnerabilidades de los sistemas.

Existe una relación muy estrecha entre amenazas y vulnerabilidades como

factores propiciadores de los riesgos. Como ya se explico previamente, en el

capítulo 1 de este trabajo, amenaza se refiere a un peligro latente o un factor de

riesgo externo de un sistema o de un sujeto expuesto, en cambio, la

vulnerabilidad se entiende, en general, como un factor de riesgo interno que

77

determina la factibilidad de que el sujeto o sistema expuesto sea afectado por el

fenómeno que caracteriza la amenaza

En este estudio se ha realizado un proceso de revisión de amenazas típicas de

sistemas de información, basándonos en el catálogo de amenazas propuesto por

MAGERIT12 y partir de ellas se han examinado las vulnerabilidades que puedan

existir a nivel de la organización, y que generan un aumento en la probabilidad de

que la amenaza se materialice en los activos expuestos.

4.4.1 Valoración de las amenazas

Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus

dimensiones, ni en la misma cuantía.

Una vez determinado que una amenaza puede perjudicar a un activo, hay que

estimar cuán vulnerable es el activo, en dos sentidos:

Degradación: cuán perjudicado resultaría el activo

Frecuencia: cada cuánto se materializa la amenaza

La degradación mide el daño causado por un incidente en el supuesto de que

ocurriera. La degradación se suele caracterizar como una fracción del valor del

activo y así aparecen expresiones como que un activo se ha visto “totalmente

degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no

son intencionales, probablemente baste conocer la fracción físicamente

perjudicada de un activo para calcular la pérdida proporcional de valor que se

pierde. Pero cuando la amenaza es intencional, no se puede pensar en

proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma

selectiva.

12 MAGERIT v 2.0: Metodología de Administración y Gestión de riesgos en Tecnologías de Información. “Tomo II : Catalogo de Elementos”. Ministerio de Administraciones Públicas, Madrid, 2006.

78

La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede

ser de terribles consecuencias pero de muy improbable materialización; mientras

que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente

como para acabar acumulando un daño considerable. La frecuencia se modela

como una tasa anual de ocurrencia, siendo valores típicos:

Muy frecuente a diario

Frecuente mensualmente

Normal una vez al año

Poco frecuente cada varios años

79

4.4.2 Tablas de amenazas y vulnerabilidades

Se presenta a continuación un catálogo de amenazas posibles sobre los activos

de un sistema de información. Para cada amenaza se presenta un cuadro como el

siguiente:

[código] Título descriptivo de la amenaza

Tipos de activos:

que se pueden ver afectados

por este tipo de amenaza

Dimensiones13 :

1. de seguridad que se pueden ver

afectadas por este tipo de amenaza,

ordenadas de más a menos relevante

Descripción:

Complementaria o más detallada de la amenaza. Lo que le puede ocurrir a los

activos del tipo indicado con las consecuencias indicadas

Por otro lado, las amenazas han sido agrupadas según la naturaleza de sus

causas, siendo estas las siguientes:

Desastres Naturales.

De origen Industriales.

Errores no Intencionados.

Ataques Deliberados.

13 No debe olvidarse que este estudio esta enfocado a la identificación de riesgos que atentan contra la disponibilidad, por lo tanto nos limitaremos a mencionar todas las dimensiones de la seguridad que pueden verse comprometidas ante una amenaza en particular, pero al momento de priorizar los riesgos, nos centraremos únicamente en un enfoque que priorice los impactos sobre la dimensiones de la disponibilidad. Ciertas amenazas que no comprometen el estado de disponibilidad de los activos de información tampoco han sido tomadas en cuenta en este estudio.

80

4.4.2.1 Amenazas relacionadas con desastres naturales [N]

Sucesos que pueden ocurrir sin intervención de los seres humanos como causa

directa o indirecta.

A-N.1 : FUEGO

Tipos de Activos

Hardware, equipos informáticos

Datos e Información

Soporte de Información

Software (Aplicaciones)

Personal

Dimensiones

1. Disponibilidad

2. Trazabilidad de los servicios

3. Trazabilidad de los datos

Descripción

Incendios: posibilidad de que el fuego acabe con recursos del sistema

Vulnerabilidades detectadas relacionadas a esta amenaza:

No existen sensores de humo o alarma contra incendios

No existen suficientes extintores de incendios, o no están distribuidos en los

sitios claves de manejo de información.

No hay procedimientos de emergencia ante un incendio.

Existen materiales inflamables cerca de los sitios críticos de manejo de

información.

Hay paredes de concreto pero también hay paredes de material inflamables

tales como madera o plywood.

81

A-N.2 : DAÑOS POR AGUA

Tipos de Activos





Dimensiones

1. Disponibilidad



Descripción

Inundaciones: posibilidad de que el agua acabe con recursos del sistema.


Las locaciones donde se ubican activos de información son susceptible a

filtraciones de agua, incluyendo aquellas donde están activos críticos.

Podrían generarse problemas debido a las instalaciones de fontanería que

no son las mas adecuadas. Los baños están junto al cuarto de servidores.

No existe un sistema de drenaje de emergencia.

Atenuantes de las Vulnerabilidades:

Se han tomado algunas contramedidas para evitar que el agua llegue hasta

los centros de cómputo, como por ejemplo ubicar equipos críticos en

plataformas para elevar la altura a la que están situados los servidores.

82

A-N.3 : DESASTRES NATURALES

Tipos de Activos





Personal

Dimensiones

1. Disponibilidad



Descripción

Otros incidentes que se producen sin intervención humana: rayo, tormenta

eléctrica, terremoto, ciclones, avalancha, deslaves o derrumbes, etc.

Se excluyen desastres específicos tales como incendios e inundaciones.


Aunque se ha instalado recientemente un pararrayos con su

correspondiente aterrizado, este no se cumple la normativa de punto único

de conexión del sistema de tierras, lo que constituye una tierra aislada.

Según el Código de Electricidad (NEC)14 esto no ofrece la protección

adecuada y constituye un riesgo para equipos electrónicos sensibles.

No existen planes de emergencia a nivel del personal sobre que hacer en

casos de desastre, como por ejemplo un terremoto.

No se cuenta con un sitio alterno de operación o al menos un sitio diferente

(separado geográficamente) donde se almacenen copias de respaldo

(backups) de la información y las aplicaciones de misión critica de la

organización.


14 2005 NEC :Nacional Electrical Code Handbook.

83

El edificio no es anti-sísmico, pero su estructura ha probado ser resistente a

Sismos.

No existen reportes de daños estructurales provocados por sismos

anteriores.

No se evidencian paredes agrietadas de las cuales se sospeche que

puedan representar peligros.

No existen condiciones que lo hagan susceptibles a deslaves, avalanchas,

erupciones volcánicas.

4.4.2.2 Amenazas de origen industrial

Sucesos que pueden ocurrir de forma accidental, derivados de la actividad

humana de tipo industrial. Estas amenazas pueden darse de forma accidental o

deliberada.

A-I.1 : FUEGO

Tipos de Activos





Personal

Dimensiones

1. Disponibilidad



Descripción

Incendio: posibilidad de que el fuego acabe con los recursos del sistema.


No existen sensores de humo o alarma contra incendios

84

No existen suficientes extintores de incendios, o no están distribuidos en los

sitios claves de manejo de información.

No hay procedimientos de emergencia ante un incendio.

Existen materiales inflamables cerca de los sitios críticos de manejo de

información.

Hay paredes de concreto pero también hay paredes de material inflamables

tales como madera o plywood.

Las instalaciones eléctricas no tienen un mantenimiento adecuado. No hay

una certificación que avale si estas son 100% seguras. Sin embargo,

tampoco se han registrado mayores incidentes relacionados con cortos

circuitos en instalaciones eléctricas.

Las ducterías eléctricas y de datos usan poliductos, el cual es un material

altamente inflamable.

No existen extintores adecuados de polvo químico especiales para fuego

eléctrico y equipos electrónicos en el centro de cómputo.

No se tiene certeza sobre si se les proporciona el adecuado mantenimiento

a los extintores que existen.

A-I.2 : DAÑOS POR AGUA

Tipos de Activos





Dimensiones

1. Disponibilidad



Descripción

Inundaciones: posibilidad de que el agua acabe con recursos del sistema.

85


Podrían generarse problemas debido a las instalaciones de fontanería que

no son las más adecuadas. Los baños están junto al cuarto de servidores.

No existe un sistema de drenaje de emergencia.

A-I.3: DESASTRES INDUSTRIALES

Tipos de Activos





Personal

Dimensiones

1. Disponibilidad



Descripción

Otros desastres debidos a la actividad humana: explosiones, derrumbes,

contaminación química, sobrecarga eléctrica, fluctuaciones eléctricas, ...

accidentes de tráfico, etc.


No hay materiales que puedan producir explosiones.

Si hay problemas de suministro eléctrico. Problemas de calidad de energía.

Se dan problemas de fluctuaciones de energía. Picos de voltaje. Problemas

de picos transitorios que afectan los equipos informáticos. Existen

antecedentes de daños a equipos por esta causa.

La mayoría de UPS que se tienen no ofrecen la adecuada protección

contra problemas de calidad de energía.

Existe un UPS de gran capacidad que aun no ha sido conectado.

Uso de regletas corrientes sin protección.

86

Las acometidas de datos o eléctricas son susceptibles a daños por

accidentes de tráfico en los postes de los tendidos eléctricos. También son

susceptibles a robo de cables.


Si se cuentan con algunos UPS que tienen este tipo de protección pero son

únicamente para los servidores críticos. También se cuenta con un

regulador de voltaje que protege un circuito donde se conectan equipos de

misión crítica.

A-I.4: CONTAMINACIÓN MECÁNICA O DE AMBIENTE.

Tipos de Activos




Dimensiones

1. Disponibilidad



Descripción

Vibraciones, polvo, suciedad


Problemas de excesivo polvo sobre los equipos. En ocasiones el viento

levanta las losas del cielo falso y debido a eso cae bastante polvo.

Esta situación ocurre en los sitios del centro de cómputo y en casi todas las

demás oficinas donde hay equipos informáticos.

87

A-I.5: INTERFERENCIA ELECTROMAGNETICA

Tipos de Activos



(medios electrónicos)

Dimensiones

1. Disponibilidad



Descripción

Interferencias de radio, campos magnéticos, luz ultravioleta


Las redes inalámbricas tienen cierto nivel de protección de acceso y

encripción de datos usando protocolo WEP, aunque se conoce que este

puede ser fácilmente descifrado, lo cual podrá comprometer la

disponibilidad.

Fuera de ello, se considera que no existen mayores incidentes al respecto

que demuestren vulnerabilidades en este punto.

Existen servicios de redes inalámbricas en la institución pero funcionan

adecuadamente y no interfieren en la operación normal.

A-I.6: AVERÍAS DE ORIGEN FÍSICO O LÓGICO

Tipos de Activos





Dimensiones

1. Disponibilidad



Descripción

Fallos en los equipos y/o fallos en los programas. Puede ser debida a un

defecto de origen u ocurrida durante el funcionamiento del sistema.

En sistemas de propósito específico, a veces es difícil saber si el origen del

88

fallo es físico o lógico; pero para las consecuencias que se derivan, esta

distinción no suele ser relevante.


No existe una infraestructura formal de back up, aunque se pueden usar

equipos del stock de partes de Informática para cubrir algún equipo que se

haya dañado.


Los equipos de misión crítica gozan de alta confiabilidad en su

funcionamiento. No hay mayores incidentes que hagan constatar fallas de

origen lógico o físico.

Las PC´s de uso general si pueden presentar fallas, pero estas son

corregidas a través de la garantía del fabricante o por el departamento de

soporte interno.

Otros equipos en general no han presentado mayores problemas en cuanto

a fallas por defectos de fabricación o mala calidad. Las fallas

experimentadas generalmente son producidas por factores externos como

el suministro eléctrico.

Las computadoras son de fabricantes reconocidos, de buena calidad y con

garantía.

89

A-I.7: CORTE DEL SUMINISTRO ELÉCTRICO

Tipos de Activos




(electrónicos)

Dimensiones

1. Disponibilidad



Descripción

Cese de la alimentación eléctrica.


No todos los equipos informáticos son alimentados mediante UPS, pero si

todos los equipos que son considerados de misión critica (Servidores,

dispositivos de comunicaciones, etc.)

Ya se compro una planta eléctrica. Pero esta no ha sido instalada aun.

Tampoco existe una planificación conocida que diga cuando se realizará

esta Instalación para saber cuando estará en servicio.

Cortes de energía prolongados (más de veinte minutos) requerirán que los

equipos de misión crítica de la institución sean apagados. No existirá

disponibilidad de los servicios de información en la institución durante el

lapso que dure el corte de energía.

La red interna de suministro eléctrico no esta bien identificada y tampoco

tiene el mantenimiento óptimo para garantizar la seguridad de estas

instalaciones. Los sistemas eléctricos podrían ser susceptibles a cortos

circuitos que podrían provocar la interrupción del suministro total o parcial,

debido a la quema de fusibles de protección, o la apertura de un circuito de

protección térmica.

90

A-I.8: CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD

Tipos de Activos



Dimensiones

1. Disponibilidad

2. Trazabilidad de los servicio


Descripción

Deficiencias en la climatización de los locales, excediendo los márgenes de

trabajo de los equipos: excesivo calor, excesivo frío, exceso de humedad, etc.


Los aires acondicionados de la sala de equipos críticos no tienen el

mantenimiento adecuado. Presentan problemas de goteo constante y

excesivo en sus bandejas de drenaje.

Los aires acondicionados de misión crítica no son del tipo llamado “aires

acondicionados de precisión”, los cuales son los equipos idoneos para el

enfriamiento de cuartos de equipos. Los equipos actuales, no tienen control

sobre la humedad relativa del ambiente, lo cual podría resultar en daños en

tarjetas electrónicas.

Atenuantes de las vulnerabilidades:

El funcionamiento de los aires en cuanto a regulación de temperatura es

aceptable. La capacidad de enfriamiento esta bien.

A-I.9: FALLO DE SERVICIOS DE COMUNICACIONES

Tipos de Activos

Hardware (equipos de

comunicaciones)

Software (Aplicaciones en Red)

Dimensiones

1. Disponibilidad

91

Descripción

Cese de la capacidad de transmitir datos de un sitio a otro. Típicamente se

debe a la destrucción física de los medios físicos de transporte o a la

detención de los centros de conmutación, ya sea por destrucción, detención o

simple incapacidad para atender al tráfico presente.


Existe siempre la posibilidad de que estos servicios fallen debido a

diferentes causas, por lo general debido a causas imputables a los

proveedores de servicio. Estas fallas pueden ser por problemas en los

equipos o por problemas en los medios de transmisión.

No existe infraestructura de comunicaciones alterna o de respaldo, de modo

que pueda suplir los servicios de comunicaciones en caso de que los

servicios principales de comunicaciones falle.


El nivel de servicio de los proveedores de comunicaciones ha resultado ser

bastante bueno. Las incidencias en cortes de estos servicios es mínima. En

promedio un corte mensual, tiene una duración promedio aproximada de 20

minutos.

El servicio de comunicación es únicamente de conexión a Internet y en

cierta medida NO se considera el servicio de conexión a INTERNET como

de misión critica y puede estar fuera lapsos mayores de tiempo (Este lapso

será determinado cuando se estudie el nivel residual de riesgo que será

aceptable para la organización).

Si se publica el sitio web de la institución a través de esta vía, pero una

interrupción de este servicio podría estar entre los riesgos aceptables por la

institución, hasta un tiempo máximo que determine la institución.

92

En los servicios de comunicación de la red interna, existe un tramo de fibra

que ha presentado mal funcionamiento, se presume que esta defectuoso.

Ha sido reemplazado por Cable de cobre UTP, con lo que se ha

solucionado el problema.

Las capacidades de los equipos de comunicación internos (Switches y

Routers) cumplen adecuadamente con los requerimientos y la demanda de

tráfico de la Institución.

A-I.10: INTERRUPCIÓN DE OTROS SERVICIOS Y

SUMINISTROS ESENCIALES

Tipos de Activos

Hardware, equipos auxiliares

Dimensiones

1. Disponibilidad

Descripción

Otros servicios o recursos de los que depende la operación de los equipos; por

ejemplo, papel para las impresoras, toner, refrigerante,


No se considera que existan vulnerabilidades para a este tipo de

amenazas.

A-I.11: DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN

Tipos de Activos


Dimensiones

1. Disponibilidad



Descripción Como consecuencia del paso del tiempo.

93


No hay una ubicación adecuada para almacenar y resguardar soportes de

información (medios magnéticos, medios ópticos, documentos en papel)

Los backups se hacen en medios ópticos (DVD’s y CD’s)

Documentos en papel no se convierten a otro medio (no se digitalizan).

Estos documentos son susceptibles a los daños que pueda sufrir el papel

como consecuencia de un proceso de archivado inadecuado o daños

provocados por el paso del tiempo.


Se pretende que en un futuro los documentos en papel puedan

digitalizarse, pero no se especifica cuando será realizado esto.

4.4.2.3 Amenazas debido a errores y fallos no intencionados

Fallos no intencionales causados por las personas. La numeración no es

consecutiva, sino que está alineada con los ataques deliberados, muchas veces

de naturaleza similar a los errores no intencionados, difiriendo únicamente en el

propósito del sujeto.

A-E.1: ERRORES DE LOS USUARIOS.

Tipos de Activos



Dimensiones

1. Disponibilidad

2. Integridad.

Descripción

Equivocaciones de las personas cuando usan los servicios, datos, etc.

94


La capacitación que se da a los usuarios nuevos puede en algunos casos

no ser muy extensa y completa, lo cual podría generar cierto nivel de

inexperiencia y desconocimiento de las aplicaciones.

Resulta imposible predecir el comportamiento de los usuarios y la

incidencia de errores provocados por estos. Siempre existe la posibilidad de

que se comentan errores al introducir datos o manipular información, pero

se estima que estos pueden ser detectados rápidamente, y se valora que

esto no es un factor que compromete la seguridad del sistema debido a que

ya existen controles que buscan prevenir y corregir errores de esta

naturaleza. Estos son detallados a continuación.


Los usuarios con mas de un año en sus puestos, conocen bien el sistema.

El porcentaje de rotación de personal en la institución es relativamente bajo.

Los sistemas tienen control de calidad para verificar la no existencia de

errores o inconsistencias en la generación de los datos

Se considera mínima la posibilidad de que un error de usuario normal

atente contra la disponibilidad del sistema.

Los usuarios normales no tienen posibilidad de borrar datos

accidentalmente.

Existen mecanismos de control que evitan que los usuarios manipulen la

información más allá de lo que están autorizados a realizar.

95

A-E.2: ERRORES DEL ADMINISTRADOR

Tipos de Activos




Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad

4. Autenticidad del servicio

5. Autenticidad de los datos

6. Trazabilidad del servicio


Descripción

Equivocaciones de personas con responsabilidades de instalación,

administración y operación.


Si se tiene bien delimitados el grupo de administradores y sub-

administradores. En cada división se han delegado personas responsables

con permisos de administración sobre sus propios sistemas. Esto no

constituye una vulnerabilidad siempre y cuando estas personas estén

debidamente capacitadas, y se compruebe que efectivamente el diseño del

sistema de directorio restringe adecuadamente los permisos de cada

responsable solo a los equipos que les corresponde

Se hacen backups o copias de respaldo antes de ejecutar cambios o

manipular los sistemas, pero esto queda a discreción de quien ejecutará los

cambios, no es una política obligatoria.

El grupo de administradores globales pertenecen a informática y están

delimitadas sus funciones y derechos de administración sobre los sistemas,

sin embargo una sola persona maneja la administración de los equipos más

críticos, lo cual podría ser un problema en caso de ausencia de esa

96

persona, por otro lado los demás administradores no están familiarizados

con esos sistemas.

No se manejan bitácoras de logs o cambios en los sistemas.


Implementaciones de cambios, aplicaciones nuevas, equipos nuevos o

cambio de equipos críticos, se prueban en un ambiente aislado de forma de

no interferir con el ambiente de producción.

A-E.3: ERRORES DE MONITORIZACIÓN

Tipos de Activos



Dimensiones



Descripción

Inadecuado registro de actividades: falta de registros, registros incompletos,

registros incorrectamente fechados, registros incorrectamente atribuidos, etc.


No existe ninguna monitorización de logs. Los logs generados por algunos

sistemas como servidores, controlador de dominio, equipos de seguridad y

comunicaciones están disponibles (según la forma de admón. propia de

cada equipo) pero no son monitoreados constantemente, sin embargo, el

administrador manifiesta que podrían ser usados en caso de un problema.

No existe registro automatizado de cambios o manipulaciones en los

sistemas. Si se tiene un registro manual de cambios, pero es una bitácora

en archivo de texto que se digita en forma manual. Este archivo esta

expuesto a quedar desactualizado si no se digita la información de los

97

sucesos, conforme van ocurriendo. También podría ser borrado o accesado

por personas no autorizadas.

No se ha implementado algún sistema de notificación automática o de

alarmas según la magnitud del incidente reportado a partir de los logs.

No existen políticas de almacenamiento de los logs reportados por el

sistema. No se tienen directrices sobre si estos deben ser reciclados o

almacenados, y cuanto tiempo deben almacenarse en caso de que se

hiciera esto último.

Las auditorias de software son hechas por la corte de cuentas pero no

contemplan auditorias de los logs de mantenimiento de los equipos y

servicios. Tampoco realiza esta función ninguna otra entidad, externa o

interna en la institución.

Atenuantes a las Vulnerabilidades:

Existe monitorización de la disponibilidad en red de los servidores y los

equipos de comunicación.

A-E.4: ERRORES DE CONFIGURACIÓN

Tipos de Activos




Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad





Descripción

Introducción de datos de configuración erróneos.

Prácticamente todos los activos dependen de su configuración y ésta de la

diligencia del administrador: privilegios de acceso, flujos de actividades,

registro de actividad, enrutamiento, etc.

98


No se tiene documentación del funcionamiento y configuración de las

aplicaciones de producción desarrolladas internamente, aunque ya se tiene

en proyecto la realización de esta.

No existe documentación de las aplicaciones de software que usa la

organización, especialmente de las que han sido desarrolladas

internamente en la organización. En el caso de aplicaciones comerciales o

de licencia abierta, en la mayoría de los casos no se tiene a la mano, pero

el administrador afirma que podría conseguirse fácilmente.

No existe una documentación de las configuraciones del directorio de

usuarios (Active Directory) o de otros servicios esenciales para la

organización.

Atenuantes a las vulnerabilidades:

Documentación de inventario de activos de información es realizada en

coordinación con el departamento de activo fijo de la institución (Div.

Administrativa) El software también esta incluido en estos inventarios pues

se considera como parte de activo fijo.

Los equipos, servicios y aplicaciones son implementados por el personal de

informática que conoce y administra adecuadamente el entorno de

configuración de la empresa.

Se tiene debidamente documentado la base de configuraciones de las

redes de comunicaciones de los equipos.

Si se tiene un control propio por parte de informática de la base de datos de

configuraciones de los equipos. Este control es un archivo de Excel en la

máquina del administrador.

99

A-E.7: DEFICIENCIAS EN LA ORGANIZACIÓN

Tipos de Activos

Personal

Dimensiones

1. Disponibilidad

Descripción

Cuando no está claro quién tiene que hacer exactamente qué y cuándo,

incluyendo tomar medidas sobre los activos o informar a la jerarquía de

gestión. Se puede caer en acciones descoordinadas, errores por omisión, etc.


El administrador principal de la plataforma sostiene que no existen mayores

problemas respecto a esta amenaza. Sin embargo, en la inspección se ha

apreciado que no existe planes de contingencia de ningún tipo en caso de

situaciones catastróficas. Debido a esto puede suponerse que es muy

probable que en situaciones de emergencia, no se tengan claras las

acciones que deban tomarse a fin de proteger y salvaguardar la integridad

de las personas, minimizar los impactos sobre los activos de información y

lograr la recuperación de los sistemas y servicios en el menor tiempo

posible. Este estudio pretende justamente corregir esta situación.

No se ha podido tener acceso al documento de políticas de seguridad de la

institución que debiera establecer las directivas principales de la

organización sobre las cuales se fundamenta la administración y el uso de

los recursos de información, a fin de garantizar que dicha información

mantenga su condición de segura. Los responsables de informática de la

institución manifiestan que si existe este documento, pero debido a que se

ha solicitado varias veces y no se nos ha proporcionado, puede presumirse

que talvez este ha sido extraviado o no se dispone en forma inmediata de

él.

100

Por otro lado, los usuarios no conocen el contenido de este documento, por

lo que se presume que tampoco tengan claras cuales sean las

disposiciones de la institución en materia de seguridad.

A-E.8: DIFUSION DE SOFTWARE DAÑINO

Tipos de Activos


Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad





Descripción

propagación en forma no intencionada de virus, espías (spyware), gusanos,

troyanos, bombas lógicas, etc.


No se realizan pruebas controladas del funcionamiento efectivo de los

equipos de seguridad como por ejemplo el servidor de antivirus, aunque el

funcionamiento del servidor constata que este es efectivo puesto que ha

demostrado detener virus.

Ya han sucedido problemas de infección masiva en equipos causados por

virus, pero después de la instalación del servidor de AV esto no se ha

vuelto a presentar.

No se cuenta con una solución que filtre el contenido de paquetes de

Internet para evitar que se ejecuten en forma no autorizada códigos

101

maliciosos a través de paginas web en las que los usuarios naveguen sin

darse cuenta que pueden ser objetos de un incidente de seguridad.

No se cuenta con mecanismos de control que evite que los usuarios

puedan navegar a través de sitios web que sean potencialmente peligrosos.

El firewall con el que se cuenta no es capaz de filtrar a este nivel.

No hay controles sobre el uso de dispositivos de almacenamiento portátil

(memorias USB, discos flexibles, discos duros externos, etc), o sobre los

puertos de conexión de los mismos en las computadoras y servidores.

Atenuantes a las Vulnerabilidades:

AV en todas las máquinas. Hay un servidor centralizado que despliega las

actualizaciones de AV.

El servidor del AV monitorea a los dispositivos cliente y reporta

debidamente actividades que puedan generar incidentes de seguridad a

nivel de software y hardware. Equipos infectados etc.

El servidor tiene las políticas configuradas para que tome decisiones y

acciones cuando encuentra problemas de Virus o similares.

Las máquinas son activadas con el FW de Windows, y este no puede ser

desactivado por los usuarios.

Se contempla dentro de las políticas de seguridad en la institución que esta

prohibido instalar software no autorizado por Informática. Esta política es

cumplida en forma obligatoria a nivel de sistema operativo y mediante

permisos del sistema de directorio de usuarios, de modo que los usuarios

no tienen privilegios para instalar software no autorizado

Se instalan de forma automática los parches de seguridad requeridos por

los sistemas operativos de las estaciones de trabajo y de los servidores.

Esto se hace a través de una herramienta de software instalada en un

servidor que baja las actualizaciones del Internet y las aplica a todos los

equipos que han sido configurados en el entorno de la red de la institución.

102

A-E.9: ERRORES DE ENRUTAMIENTO

Tipos de Activos



Dimensiones

1. Integridad

2. Confidencialidad



Descripción

Envío de información a través de un sistema o una red usando,

accidentalmente, una ruta incorrecta que lleve la información donde o por

donde no es debido; puede tratarse de mensajes entre personas, entre

procesos o entre unos y otros.

Es particularmente destacable el caso de que el error de enrutamiento

suponga un error de entrega, acabando la información en manos de quien no

se espera.


No se dispone de herramientas de análisis de tráfico en la red que permitan

detectar errores en la entrega de paquetes de datos a través de las redes

de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen

paquetes de información hacia receptores diferentes que no sean los

legítimos destinatarios de los servicios de comunicaciones.

No existen registros o logs de confirmaciones y entregas, así como de

tráfico entrante y saliente que permita corroborar el funcionamiento correcto

de la red o detectar alguna anomalía que pueda darse en el entorno de

esta.

103

A-E.10: DESTRUCCIÓN DE LA INFORMACIÓN

Tipos de Activos


Dimensiones

1. Disponibilidad

Descripción

Pérdida accidental de información.

Esta amenaza sólo se identifica sobre datos en general, pues cuando la

información está en algún soporte (medio) de información específico, hay

amenazas específicas que aplican.


Se tiene como práctica frecuente la realización de copias de backup de los

datos de las aplicaciones criticas que residen en servidores, así como de

los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas

copias se realizan en medios ópticos (DVD’s) y no se cuenta con un

adecuado almacenamiento de estos medios, estos son susceptibles a

extravío, sustracción o deterioro.



(backups) de la información y las aplicaciones de misión crítica de la

organización.

No se realizan copias de respaldo en forma regular y periódica de los

archivos y documentos de los usuarios que aunque no son críticos, si se

consideran necesarios para la gestión de las operaciones de la

organización. Varios procesos son realizados utilizando hojas de cálculo

elaboradas en Excel, cuyos formatos genéricos no son respaldados para su

debida protección. De la misma forma, otros archivos, documentos o

aplicaciones que pueden ser considerados importantes para propósitos

104

administrativos u operacionales y que residen en las computadoras de los

usuarios.


Cuando se realizaran cambios en las estaciones de trabajo de los usuarios

y se estima que estos cambios podrían alterar en algún modo el

funcionamiento normal de estos equipos, se realiza un respaldo preventivo

de la información pertinente a las operaciones de la institución. Estos

respaldos son efectuados por personal de soporte técnico, debidamente

capacitado para estas tareas.

A-E.11: VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE)

Tipos de Activos



Dimensiones

1. Integridad

2. Confidencialidad

3. Disponibilidad

Descripción

Defectos en el código que dan pie a una operación defectuosa sin intención

por parte del usuario, pero con consecuencias sobre la integridad de los datos

o la capacidad misma de operar.


No se han efectuado auditorias de configuración y vulnerabilidad de los

programas para comprobar si estos son susceptibles a manipulación

105

externa o interna, y si existen vulnerabilidades inherentes al código de las

aplicaciones desarrolladas o a las transacciones que se efectúan en las

bases de datos.

Debido a que no se cuenta con documentación sobre las la costrucción de

las aplicaciones desarrolladas internamente, no se puede establecer con

certeza si estas carecen de errores en sus procedimientos de validación de

entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa

un sistema no sea comprobada adecuadamente de forma que una

vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.


En un ambiente aislado de desarrollo y pruebas, se realizan procesos de

control de calidad para comprobar que los programas funcionan

adecuadamente antes de que estos sean implementados en el directorio de

programas de gestión y producción de la institución.

Se aplican regularmente todos los parches recomendados por los

fabricantes a todos los servidores y se tiene especial cuidado con el

servidor que aloja el manejador de las bases de datos (MS-SQL). Las

aplicaciones de estos parches es controlada por una aplicación creada por

Microsoft especialmente para propósitos de corrección de vulnerabilidades

mediante la aplicación de los parches correctivos.

A-E.12: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE)

Tipos de Activos


Dimensiones

1. Integridad

2. Disponibilidad

106

Descripción

Defectos en los procedimientos o controles de actualización del código que

permiten que sigan utilizándose programas con defectos conocidos y

reparados (a través de parches) por el fabricante.


Existe un servicio que aplica en forma automática las actualizaciones y

parches que Microsoft, el fabricante de los sistemas operativos y de las

aplicaciones de base de datos y desarrollo utilizadas en la institución,

publica para corregir vulnerabilidades conocidas en sus sistemas. Sin

embargo es de sobra que algunos parches pueden malograr la

funcionalidad de los servicios que corren en la plataforma tecnológica, en

forma temporal, ya sea por un error generado en la actualización, o

simplemente porque el parche altero las condiciones de funcionamiento del

sistema, sin que hubiera forma de prever esta situación. Debido a ello es

altamente recomendable que se prueben los parches antes de aplicarse en

equipos críticos, pero esto no siempre se realiza en los sistemas de la

DIGESTYC.

A-E.13: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE)

Tipos de Activos

Hardware (equipos

informaticos)

Dimensiones

1. Disponibilidad

Descripción

Defectos en los procedimientos o controles de actualización de los equipos

que permiten que sigan utilizándose más allá del tiempo nominal de uso.

107


No se pudieron establecer vulnerabilidades asociadas a esta amenaza. Según el

administrador de sistemas de la institución, no se han dado incidentes debido a

situaciones como las que plantea esta amenaza, los equipos son reemplazados

cunado corresponde y el personal de soporte técnico tiene la capacidad y

experiencia necesaria para realizar esto sin interferir en las operaciones críticas de

la organización.

A-E.14: CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS

Tipos de Activos

Hardware (equipos

informáticos y de

comunicaciones)

Dimensiones

1. Disponibilidad

Descripción

La carencia de recursos suficientes provoca la caída del sistema cuando la

carga de trabajo es desmesurada.


No se monitorea a través de sesiones de protocolo SNMP (Protocolo de

Red para Administración simple) el estado y el uso de los recursos de

información como por ejemplo, monsumo de memoria y CPU, ancho de

banda, estadísticas históricas de funcionamiento, estado de las baterías de

emergencia (en el caso de UPS’s), etc.

108

A-E.15: INDISPONIBILIDAD DEL PERSONAL

Tipos de Activos

Personal

Dimensiones

1. Disponibilidad

Descripción

Ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden

público, desastres, o causas de fuerza mayor.

Se considera que existe personal que tiene funciones administrativas sobre

la operación de los sistemas de información cuya presencia en la institución

es crítica debido al dominio y experiencia que tienen sobre los sistemas, y

no ha sido posible efectuar una transferencia de conocimiento a mas

personal del departamento de informática para que puedan asumir los

mismos roles en caso de ausencia o indisponibilidad del personal.

No existen manuales detallados sobre los procedimientos que deben

realizarse para efectuar tareas administrativas o resolución de problemas

frecuentes que tengan que ver con el mantenimiento y configuración de los

sistemas y servicios de información críticos para la institución.

Si se llegara a ejecutar cambios en el personal de administración de la

plataforma tecnológica, sería un problema la comprensión de las

configuraciones actuales de los diferentes sistemas y servicios de

información de la institución, debido a la ausencia de documentación sobre

las configuraciones.

109

4.4.2.4 Amenazas a causa de ataques intencionados Fallos deliberados causados por las personas. La numeración no es consecutiva

para coordinarla con los errores no intencionados, muchas veces de naturaleza

similar a los ataques deliberados, difiriendo únicamente en el propósito del sujeto.

A-A.4: MANIPULACIÓN DE LA CONFIGURACIÓN

Tipos de Activos


y de comunicaciones



Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad





Descripción

Prácticamente todos los activos dependen de su configuración y ésta de la

diligencia del administrador: privilegios de acceso, flujos de actividades,

registro de actividad, enrutamiento, etc.


No existen sistemas de detección y prevención de intrusos en la institución

(IPS / IDS) que pudiera detectar movimientos o patrones de conducta

anormales en el entorno de la red, orientados a alterar la configuración de

los sistemas de información.

No existen sistemas de monitorización en línea que detecten y generen

alarmas y notificaciones automáticas a los administradores de red si se

ejecutan cambios o alteraciones en la configuración que pudieran afectar el

funcionamiento normal de los sistemas.

No se han implementado a nivel de las políticas de seguridad el uso de

contraseñas fuertes y el cambio obligatorio de estas en forma periódica.

110

Tampoco se han implementado técnicas que permitan que el sistema de

directorio de la red, (Active Directory) u otros servicios, obliguen a los

usuarios a implementar las directivas de seguridad referente al uso de

contraseñas seguras.

No existe documentación alguna sobre las configuraciones de los equipos.

Tampoco se lleva una administración sobre los cambios de las

configuraciones y registros de los mismos en bitácoras o bases de

configuraciones que dejen constancia de las acciones realizadas y de las

razones del porque se han hecho los cambios. Atenuantes de las vulnerabilidades:

Existe un equipo de firewall, configurado para bloquear conexiones no

autorizadas desde fuera de la red. Asimismo, este dispositivo también

restringe las conexiones salientes (hacia el Internet) solo a los usuarios

autorizados, sin embargo este no se ha auditado para confirmar que la

configuración de seguridad implantada sea la mas adecuada y efectiva.

El grupo de administradores de la plataforma tecnológica de la

institución esta compuesto únicamente por dos personas, quienes son

los únicos que tienen acceso a cambiar las configuraciones de los

equipos. Estas personas son consientes de las implicaciones de

seguridad que tendría la divulgación de las contraseñas o mal uso de los

privilegios de administración.

A-A.5 : SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO

Tipos de Activos



Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad



111

Descripción

Cuando un atacante consigue hacerse pasar por un usuario autorizado,

disfruta de los privilegios de este para sus fines propios.

Esta amenaza puede ser perpetrada por personal interno, por personas ajenas

a la organización o por personal contratado temporalmente.


No hay restricciones sobre la cantidad de sesiones que un usuario puede

iniciar. Tampoco existen restricciones sobre las estaciones de trabajo sobre

las cuales los usuarios pueden iniciar sesión, aun a pesar de que de

manera física, cada usuario tiene asignado un puesto de trabajo y una

estación de trabajo.

No se han implementado a nivel de las políticas de seguridad el uso de

contraseñas fuertes y el cambio obligatorio de estas en forma periódica.

Tampoco se han implementado técnicas que permitan que el sistema de

directorio de la red, (Active Directory) u otros servicios, obliguen a los

usuarios a implementar las directivas de seguridad referente al uso de

contraseñas seguras.

No existe dentro de la administración de usuarios, directivas o políticas que

deshabilite a los usuarios que por diversas razones se ausenten de sus

puestos de trabajo en periodos temporales relativamente largos, como por

ejemplo cuando algún usuario esta de vacaciones.

El proceso para dar de alta y de baja a los usuarios, cuando entran a formar

parte de la organización o cuando dejan de trabajar en la misma, no es

automático. Hasta que se reciben las notificaciones de recursos humanos,

el administrador del dominio tomas las acciones correspondientes para

actualizar el directorio, lo cual podría generar ciertos espacios de riesgo

sobre uso inautorizado de los recursos de información.

112

A-A.6: ABUSO DE PRIVILEGIOS DE ACCESO

Tipos de Activos



Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad

Descripción

Cada usuario disfruta de un nivel de privilegios para un determinado propósito;

cuando un usuario abusa de su nivel de privilegios para realizar tareas que no

son de su competencia, existe una amenaza de seguridad.


No existen procedimientos de revisión periódica de los derechos y permisos

efectivos de los usuarios, para comprobar si debido a un cambio de

configuración, o a una acción errónea o indebida se le han concedido a un

usuario o grupo de usuarios más derechos y permisos de los que le

corresponden.

No existen sistemas de control de tráfico en red que monitoreen el

comportamiento de los usuarios y las aplicaciones que están en uso por

parte de estos.

No existen sistemas de monitorización en línea que detecten y generen

alarmas y notificaciones automáticas a los administradores de red si se

ejecutan cambios o alteraciones en la configuración que pudieran afectar el

funcionamiento normal de los sistemas.

No existen mecanismos de control que detecten y prevengan posibles

abusos de privilegios en las aplicaciones o en el manejo de la información

en los entornos operativos de la institución.

No se implementa el cifrado de datos que sean considerados como

confidenciales o altamente criticos.

113


Existen mecanismos de seguridad implementados a nivel de permisos de

usuarios en el sistema de directorio (Active Directory) que restringe los

accesos a los recursos según los niveles autorizados. No se han registrado

incidentes que pongan en evidencia que esos mecanismos no funcionan.

A-A.7 : USO NO PREVISTO

Tipos de Activos


Soportes de información


Dimensiones

1. Disponibilidad

Descripción

Utilización de los recursos del sistema para fines no previstos, típicamente de

interés personal: juegos, consultas personales en internet, bases de datos

personales, programas personales, almacenamiento de datos personales, etc.


No existen herramientas de control de contenido o monitorización de tráfico

para el uso de Internet u otros servicios de la infraestructura de red y los

sistemas de información. El firewall únicamente deniega la conexión a los

no autorizados y concede el acceso a Internet a los usuarios que si están

autorizados y, pero sin filtrar en ningún modo a que sitios de internet se

conectan.

No se disponen de mecanismos de administración centralizada para

monitorear la actividad de los equipos de los usuarios y garantizar que no

se usen los recursos de estos equipos para fines no previstos. Tampoco se

implementan inventarios automatizados de software y hardware para

114

comprobar que no se hayan instalado componentes adicionales y no

autorizados a los equipos de los usuarios.


Las restricciones propias del sistema de directorio (Active Directory)

combinadas con otras restricciones de seguridad de los equipos no

permiten la instalación de software en los equipos por parte de los usuarios

no autorizados para tal fin.

Es mínima o nula la incidencia de uso de recursos para fines no previstos

de equipos y sistemas de misión critica (servidores de aplicación, base de

datos, etc)

Los mayores problemas referentes a este punto se dan con el uso de

Internet, el cual no se considera estrictamente como un servicio critico.

A-A.8: DIFUSIÓN DE SOFTWARE DAÑINO

Tipos de Activos


Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad





Descripción

Propagación intencionada de virus, espías (spyware), gusanos, troyanos,

bombas lógicas, etc.

115


Los equipos y dispositivos de la Institución están debidamente protegidos

con software antivirus, software anti-spyware y firewall de escritorio. Sin

embargo no existe mecanismos de control y de prevención automática

contra la conexión a la red (autorizada o no) de equipos externos a la

institución, como por ejemplo equipos porttiles, computadoras personales

de los empleados, etc. Se pudo constatar que en caso de proyectos

especiales, se instalan computadoras que pertenecen a otras instancias

gubernamentales, las cuales puede que no tengan todas las medidas de

seguridad pertinentes para evitar la realización de esta amenaza.

No hay controles sobre el uso de dispositivos de almacenamiento portátil

(memorias USB, discos flexibles, discos duros externos, etc), o sobre los

puertos de conexión de los mismos en las computadoras y servidores.

No se realizan pruebas controladas del funcionamiento efectivo de los

equipos de seguridad como por ejemplo el servidor de Antivirus, aunque el

funcionamiento del servidor constata que este es efectivo puesto que ha

demostrado detener virus.

Ya han sucedido problemas de infección masiva en equipos causados por

Virus, pero después de la instalación del servidor de AV esto no se ha

vuelto a presentar.


AV en todas las maquinas. Hay un servidor centralizado que despliega las

actualizaciones de AV.

El servidor del AV monitorea a los dispositivos cliente y reporta

debidamente actividades que puedan generar incidentes de seguridad a

nivel de software y hardware. Equipos infectados etc.

El servidor tiene las políticas configuradas para que tome decisiones y

acciones cuando encuentra problemas de virus o similares.

116

Las máquinas son activadas con el FW de Windows, y este además no

puede ser desactivado por los usuarios.

Existe un documento de definición de políticas de seguridad en la institución

que contempla no instalar software no autorizado por informática, esta

política es cumplida en forma obligatoria a nivel de sistema operativo y

mediante permisos del sistema de directorio de usuarios, de modo que los

usuarios no tienen privilegios para instalar software no autorizado

Se instalan de forma automática los parches de seguridad requeridos por

los sistemas operativos de las estaciones de trabajo y de los servidores.

Esto se hace a través de una herramienta de software instalada en un

servidor que baja las actualizaciones del internet y las aplica a todos los

equipos que han sido configurados en el entorno de la red de la institución.

A-A.9 : RE-ENRUTAMIENTO DE MENSAJES

Tipos de Activos


Hardware, equipos de

comunicaciones

Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad



Descripción

Envío de información a un destino incorrecto a través de un sistema o una red,

que llevan la información a donde o por donde no es debido; puede tratarse de

mensajes entre personas, entre procesos o entre unos y otros.

Un atacante puede forzar un mensaje para circular a través de un nodo

determinado de la red donde puede ser interceptado. Es particularmente

destacable el caso de que el ataque de enrutamiento lleve a una entrega

fraudulenta, acabando la información en manos de quien no debe.

117


No se dispone de herramientas de análisis de tráfico en la red que permitan

detectar errores en la entrega de paquetes de datos a través de las redes

de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen

paquetes de información hacia receptores diferentes que no sean los

legítimos destinatarios de los servicios de comunicaciones.

No existen registros o logs de confirmaciones y entregas, así como de

tráfico entrante y saliente que permita corroborar el funcionamiento correcto

de la red o detectar alguna anomalía que pueda darse en el entorno de

esta.

A-A.10: DESTRUCCIÓN DE LA INFORMACIÓN

Tipos de Activos


Dimensiones

1. Disponibilidad

Descripción

Eliminación intencional de información, con ánimo de obtener un beneficio o

causar un perjuicio. Esta amenaza sólo se identifica sobre datos en general,

pues cuando la información está en algún soporte informático, hay amenazas

específicas.


Se tiene como práctica frecuente la realización de copias de backup de los

datos de las aplicaciones criticas que residen en servidores, así como de

los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas

copias se realizan en medios ópticos (DVD’s) y no se cuenta con un

adecuado almacenamiento de estos medios, estos son susceptibles a

extravio, sustracción o deterioro.

118



(backups) de la información y las aplicaciones de misión critica de la

organización.

No se realizan copias de respaldo en forma regular y periódica de los

archivos y documentos de los usuarios que aunque no son críticos, si se

consideran necesarios para la gestión de las operaciones de la

organización. Varios procesos son realizados utilizando hojas de cálculo

elaboradas en Excel, cuyos formatos genéricos no son respaldados para su

debida protección. De la misma forma, otros archivos, documentos o

aplicaciones que pueden ser considerados importantes para propósitos

administrativos u operacionales y que residen en las computadoras de los

usuarios.


Cuando se realizaran cambios en las estaciones de trabajo de los usuarios

y se estima que estos cambios podrían alterar en algún modo el

funcionamiento normal de estos equipos, se realiza un respaldo preventivo

de la información pertinente a las operaciones de la institución. Estos

respaldos son efectuados por personal de soporte técnico, debidamente

capacitado para estas tareas.

A-A.11: MANIPULACIÓN DE PROGRAMAS

Tipos de Activos


Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad



119



Descripción

Alteración intencionada del funcionamiento de los programas, persiguiendo un

beneficio indirecto cuando una persona autorizada lo utiliza.


No se han efectuado auditorias de configuración y vulnerabilidad de los

programas para comprobar si estos son susceptibles a manipulación

externa o interna, y si existen vulnerabilidades inherentes al código de las

aplicaciones desarrolladas o a las transacciones que se efectúan en las

bases de datos.

No se han efectuado auditorias de integridad y vulnerabilidad de la base de

datos de gestión principal es Microsoft SQL. Existen vulnerabilidades

reportadas por el fabricante, así como técnicas de ataque dirigidas al

manejador de las bases de datos que podrían en algún momento generar

problemas de seguridad al permitir la creación, lectura, actualización o

borrado de datos disponibles en las aplicaciones y en formas arbitrarias. En

el peor de los casos, se puede comprometer completamente la base de

datos y los sistemas del entorno. Por ello deben efectuarse pruebas

especializadas para determinar si el manejador de las bases de datos esta

debidamente asegurado para minimizar estos riesgos15.

Debido a que no se cuenta con documentación sobre las la costrucción de

las aplicaciones desarrolladas internamente, no se puede establecer con

certeza si estas carecen de errores en sus procedimientos de validación de

entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa

un sistema no sea comprobada adecuadamente de forma que una

vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.

15 En el capitulo de Recomendaciones se ampliara este punto y se detallaran algunas recomendaciones básicas a tomar en cuenta para asegurar el sistema de manejo de bases de datos.

120


Se aplican regularmente todos los parches recomendados por los

fabricantes a todos los servidores y se tiene especial cuidado con el

servidor que aloja el manejador de las bases de datos (MS-SQL). Las

aplicaciones de estos parches es controlada por una aplicación creada por

Microsoft especialmente para propósitos de corrección de vulnerabilidades

mediante la aplicación de los parches correctivos.

A-A.14: DENEGACIÓN DE SERVICIO

Tipos de Activos


Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad





Descripción

Propagación intencionada de virus, espías (spyware), gusanos, troyanos,

bombas lógicas, etc.


No se han efectuado pruebas controladas de penetración intrusiva o de

conexiones no autorizadas a los servidores (desde el exterior o desde el

interior de la red) utilizando técnicas como por ejemplo escaneo de puertos

abiertos, verificación de servicios innecesarios activos, pruebas de captura

de contraseñas mediante keyloggers, o de adivinación de contraseñas

debiles, para comprobar si existen problemas que podrían comprometer la

121

seguridad de la institución y especialmente la disponibilidad de los servicios

de información si se llegaran a efectuar ataques de denegación de servicio.

No existen sistemas de detección y prevención de intrusos en la institución

(IPS / IDS) que pudiera detectar movimientos o patrones de conducta

anormales en el entorno de la red, orientados a alterar el funcionamiento

normal de los servicios de información.

A-A.15: ROBO

Tipos de Activos

Hardware, equipos en general


Dimensiones

1. Disponibilidad

Descripción

La sustracción de equipamiento provoca directamente la carencia de un medio

para prestar los servicios, es decir una indisponibilidad. El robo puede afectar

a todo tipo de equipamiento, siendo el robo de equipos y el robo de soportes

de información los más habituales.

El robo puede realizarlo personal interno, personas ajenas a la organización o

personas contratadas de forma temporal, lo que establece diferentes grados

de facilidad para acceder al objeto sustraído y diferentes consecuencias.

En el caso de equipos que hospedan datos, además se puede sufrir una fuga

de información.


Los controles y mecanismos de seguridad física orientados a prevenir el

robo de activos de información en la institución son mínimos. En las

locaciones donde se encuentran equipos críticos no existen los adecuados

mecanismos de control de acceso físico que permitan el paso solo al

122

personal estrictamente autorizado, ni tampoco hay un monitoreo

automatizado de estos accesos.

No se cuentan con sistemas de alarmas contra robo o intrusos para horas

nocturnas, ni siquiera en la locación de la división de informática que es

donde se encuentran los equipos de misión critica para las operaciones de

la institución.

No se lleva un control minucioso de los sitios permitidos a los que pueden

tener acceso los visitantes, personal externo, contratistas y demás

personas ajenas a la institución. Después de ser identificados en la portería

por el personal de seguridad, los visitantes pueden transitar libremente por

todas las instalaciones de la institución. No se chequean entradas y salidas

de equipos para comprobar si pudieran ser o no de la institución.

No se cuentan con sistemas de circuito cerrado por televisión para

monitorear la actividad tanto del personal de la institución, como de

personas ajenas a esta.

Los documentos de identificación de los empleados no llevan fotografía

que facilite la comprobación de la identidad de alguien en forma inmediata,

ni la autenticidad de dicha identificación. En el caso de los visitantes, las

tarjetas de visitantes no son de un color diferente a las identificaciones de

los empleados, y no difieren en mucho de estas, salvo por el hecho que

llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.


Se cuenta con una compañía de seguridad contratada que supervisa el

perímetro de las instalaciones de la institución. También controlan la

identificación y acceso del personal y de los visitantes, aunque con las

limitantes citadas anteriormente. La compañía se encarga de la vigilancia

en horas nocturnas al interior de la institución.

123

Las locaciones donde hay equipo informático se dejan cerradas con llave,

sin embargo existe vulnerabilidad para acceder a estas locaciones por las

ventanas o por el techo.

En horas y días hábiles, los empleados de la institución podrían darse

cuenta si alguien externo a la institución tiene un comportamiento

sospechoso, o intenta sustraer algún equipo u activo de información

propiedad de la institución. Esto podría ser reportado inmediatamente a los

agentes de seguridad para que intervengan a fin de evitar el incidente.

Todos los equipos y sistemas de informática de la institución están

debidamente inventariados por el departamento de activo fijo de la división

administrativa. Los equipos son identificados mediante un código con el que

son referenciados en el inventario de activo fijo.

A-A.16: ATAQUE DESTRUCTIVO

Tipos de Activos



Dimensiones

1. Disponibilidad

Descripción

Vandalismo, terrorismo, acción militar, etc. Esta amenaza puede ser

perpetrada por personal interno, por personas ajenas a la Organización o por

personas contratadas de forma temporal.


Los controles y mecanismos de seguridad física orientados a prevenir

ataques de esta naturaleza en la institución son mínimos. En las locaciones

donde se encuentran equipos críticos no existen los adecuados

mecanismos de control de acceso físico que permitan el paso solo al

personal estrictamente autorizado, ni tampoco hay un monitoreo

automatizado de estos accesos.

124

No se cuentan con sistemas de alarmas contra robo o intrusos para horas

nocturnas, ni siquiera en la locación de la división de informática que es

donde se encuentran los equipos de misión crítica para las operaciones de

la institución.

No se lleva un control minucioso de los sitios permitidos a los que pueden

tener acceso los visitantes, personal externo, contratistas y demás

personas ajenas a la institución. Después de ser identificados en la portería

por el personal de seguridad, los visitantes pueden transitar libremente por

todas las instalaciones de la institución. No se chequean entradas y salidas

de equipos para comprobar si pudieran ser o no de la institución.

No se cuentan con sistemas de circuito cerrado por televisión para

monitorear la actividad tanto del personal de la institución, como de

personas ajenas a esta.

Los documentos de identificación de los empleados no llevan fotografía

que facilite la comprobación de la identidad de alguien en forma inmediata,

ni la autenticidad de dicha identificación. En el caso de los visitantes, las

tarjetas de visitantes no son de un color diferente a las identificaciones de

los empleados, y no difieren en mucho de estas, salvo por el hecho que

llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.


Se cuenta con una compañía de seguridad contratada que supervisa el

perímetro de las instalaciones de la institución. También controlan la

identificación y acceso del personal y de los visitantes, aunque con las

limitantes citadas anteriormente. La compañía se encarga de la vigilancia

en horas nocturnas al interior de la institución.

Las locaciones donde hay equipo informático se dejan cerradas con llave,

sin embargo existe vulnerabilidad para acceder a estas locaciones por las

ventanas o por el techo.

125

En horas y días hábiles, los empleados de la institución podrían darse

cuenta si alguien externo a la institución tiene un comportamiento

sospechoso. Esto podría ser reportado inmediatamente a los agentes de

seguridad para que intervengan a fin de evitar cualquier incidente.

A-A.17: Ocupación Enemiga

Tipos de Activos



Dimensiones

1. Disponibilidad

2. Confidencialidad

Descripción

Cuando los locales han sido invadidos y se carece de control sobre los propios

medios de trabajo.


Debido a que el país no se encuentra en una situación de guerra directa contra

algún otro país o alguna fuerza armada opositora al gobierno legalmente instituido,

no se consideran vulnerabilidades respecto a esta amenaza, por lo que la

probabilidad de existencia de riesgos respecto a este punto se considera mínima.

A-A.18: INDISPONIBILIDAD DEL PERSONAL

Tipos de Activos

Personal

Dimensiones

1. Disponibilidad

Descripción

Ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral,

bajas no justificadas, bloqueo de los accesos, etc.

126


Se considera que existe personal que tiene funciones administrativas sobre

la operación de los sistemas de información cuya presencia en la institución

es crítica debido al dominio y experiencia que tienen sobre los sistemas, y

no ha sido posible efectuar una transferencia de conocimiento a mas

personal del departamento de informática para que puedan asumir los

mismos roles en caso de ausencia o indisponibilidad del personal.

No existen manuales detallados sobre los procedimientos que deben

realizarse para efectuar tareas administrativas o resolución de problemas

frecuentes que tengan que ver con el mantenimiento y configuración de los

sistemas y servicios de información críticos para la institución.

Si se llegara a ejecutar cambios en el personal de administración de la

plataforma tecnológica, sería un problema la comprensión de las

configuraciones actuales de los diferentes sistemas y servicios de

información de la institución, debido a la ausencia de documentación sobre

las configuraciones.

A-A.19: INGENIERIA SOCIAL

Tipos de Activos

Personal

Dimensiones

1. Disponibilidad

2. Integridad

3. Confidencialidad



Descripción

Abuso de la buena fe de las personas para que realicen actividades que

interesan a un tercero.

127


El personal en general, no conoce las políticas de seguridad de la Ia institución, ni

han sido sensibilizados sobre la importancia de la información y de la preservación

de la seguridad de la misma para la realización de las operaciones en la

organización. Esta vulnerabilidad podría dar lugar a que se obtuvieran datos o

información importante que incluso podría causar la realización de otras amenazas

e incidentes de seguridad de proporciones mayores.

128

4.4.2.5 Correlación entre las amenazas por errores no intencionados y los ataques deliberados

Numero Error Ataque

1 Error de los usuarios 2 Errores del administrador 3 Errores de monitorización (logs) 4 Errores de configuración Manipulación de la configuración

5 Suplantación de la identidad del usuario

6 Abuso de privilegios de acceso 7 Deficiencias en la Organización Uso no Previsto 8 Difusión de software dañino Difusión de software dañino 9 Errores de re-enrutamiento Re-enrutamiento de mensajes

10 Destrucción de información Destrucción de información

11 Vulnerabilidades de los programas (software) Manipulación de los Programas

12 Errores de mantenimiento / actualización de programas (software)

13 Errores de mantenimiento / actualización de equipos (hardware)

14 Caída del sistema por agotamiento de recursos Denegación de servicios

15 Robo 16 Ataque destructivo 17 Ocupación Enemiga 18 Indisponibilidad del Personal Indisponibilidad del Personal 19 Ingeniería Social

129

4.5 ANÁLISIS DE RIESGOS E IMPACTOS

Una vez que se tienen definidos las amenazas a las que están expuestos los

activos de información en la institución, así como las vulnerabilidades internas que

los recursos de información poseen, ya sea por las condiciones de su entorno, o

por deficiencias en la administración, se puede determinar cuales son los riesgos a

los cuales se enfrenta la institución en materia de seguridad de la información, y

que eventualmente, en caso de materializarse, podrían constituir un desastre

informático.

En el análisis de riesgos, la preocupación está relacionada con tres simples

preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál es la probabilidad

de que suceda? Los datos presentados en este apartado pueden ser de gran

ayuda a los responsables de la institución para valorar las acciones a tomar para

la prevención y mitigación de riesgos, a fin de evitar en lo posible, los desastres.

Para la evaluación de los riesgos es posible usar métodos muy variados en

composición y complejidad, pero para todos ellos es necesario realizar un

diagnóstico de la situación.

Un método comúnmente utilizado es el siguiente diagrama:

Fig. 4.2: Probabilidad vs. Impacto para evaluar riesgos.

130

Es necesario para determinar el índice de exposición a riesgos, determinar la

probabilidad que existe de que un riesgo se materialice, así como el impacto que

esta eventualidad causaría en las operaciones de la organización.

Teniendo el diagrama anterior como referencia se procedió a diseñar una matriz

de riesgos e impactos donde se sintetizan los activos de la institución, agrupados

en categorías de activos, y sus criticidades. Estos grupos de activos han sido

evaluados contra la posibilidad de que cada una de las amenazas pertinentes,

listadas anteriormente, puedan materializarse.

Los valores de probabilidad asignados a cada amenaza, fueron asignados por el

equipo que ha elaborado esta tesis y han sido razonados sobre todo, a partir de

las vulnerabilidades que fueron detectadas, así como también del historial de

eventos que se han dado en la institución y que nos fueron manifestados en las

entrevistas realizadas.

Por otro lado, los valores de criticidad e impactos asociados a cada activo fueron

dados por el personal de la institución que fue entrevistado, siendo ellos los más

idóneos para determinar la importancia de sus activos de información.

La matriz de impactos esta basada en la siguiente tabla de referencia:

Rango de Impacto

ALT

A

impacto Moderado

Alto impacto

Alto Impacto

MED

Bajo Impacto

Impacto Moderado

Alto Impacto

Criticidad Activo

BA

JA

Bajo Impacto

Bajo Impacto

Impacto moderado

Bajo Medio Alto Rango Vulnerabilidad

131

Con esta matriz se puede determinar el rango de impacto causado por una

amenaza que afecte a un determinado activo, según su criticidad y las

vulnerabilidades presentes.

A partir de los rangos de impacto determinados anteriormente, se procede a

evaluarlos contra los valores de probabilidad determinados para cada amenaza y

se relacionan según esta nueva tabla de referencia.

Tasa de Nivel de Riesgo

ALT

O

Riesgo Moderado Alto Riesgo Alto Riesgo

MED

Bajo Riesgo

Riesgo Moderado Alto Riesgo

Impacto (de la tabla de Impacto

anterior)

BA

JO

Bajo Riesgo

Bajo Riesgo

Riesgo Moderado

Bajo Medio Alto Valor de Probabilidad

Los valores de probabilidad vienen dados según la tabla de referencia que se

muestra a continuación:

Referencia de Valores de Probabilidad Calificación Descripción

ALTA Bastante probable. Varios eventos en un año

MEDIA Probable, al menos un evento en un año

BAJA Poco probable. Al menos un evento cada cinco años.

A continuación se presenta el informe general de riesgos informáticos de la

DIGESTYC, sintetizado en una matriz que nos muestra los niveles de exposición a

los riesgos.

132

Nuevamente se hace énfasis en que el objeto de este trabajo es la formulación de

un plan de recuperación de desastres, en el cual, básicamente se define como

reaccionar ante un desastre. Sin embargo a partir de la información mostrada en

el informe de riesgos, la institución debe hacer esfuerzos adicionales en el campo

de la prevención, para que además de contar con un plan de recuperación de

desastres, puedan ampliar su gestión a los campos de prevención y mitigación de

riesgos, a fin de prevenir hasta donde sea posible, el desastre.

133

CATALOGO COMPLETO DE AMENAZAS ANALIZADAS

CODIGO DESCRIPCION A-N.1 FUEGO A-N.2 DAÑOS POR AGUA A-N.3 DESASTRES NATURALES A-I.1 FUEGO A-I.2 DAÑOS POR AGUA A-I.3 DESASTRES INDUSTRIALES A-I.4 CONTAMINACIÓN MECÁNICA O DE AMBIENTE. A-1.5 INTERFERENCIA ELECTROMAGNETICA A-I.6 AVERÍAS DE ORIGEN FÍSICO O LÓGICO A-I.7 CORTE DEL SUMINISTRO ELÉCTRICO A-1.8 CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD A-I.9 FALLO DE SERVICIOS DE COMUNICACIONES A-I.10 INTERRUPCIÓN DE OTROS SERVICIOS Y SUMINISTROS ESENCIALES A-I.11 DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN A-E.1 ERRORES DE LOS USUARIOS. A-E.2 ERRORES DEL ADMINISTRADOR A-E.3 ERRORES DE MONITORIZACIÓN A-E.4 ERRORES DE CONFIGURACIÓN A-E.7 DEFICIENCIAS EN LA ORGANIZACIÓN A-E.8 DIFUSION DE SOFTWARE DAÑINO A-E.9 ERRORES DE ENRUTAMIENTO A-E.10 DESTRUCCIÓN DE LA INFORMACIÓN A-E.11 VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE) A-E.12 ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE) A-E.13 ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE) A-E.14 CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS A-E.18 INDISPONIBILIDAD DEL PERSONAL A-A.4 MANIPULACIÓN DE LA CONFIGURACIÓN A-A.5 SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO A-A.6 ABUSO DE PRIVILEGIOS DE ACCESO A-A.7 USO NO PREVISTO A-A.8 DIFUSIÓN DE SOFTWARE DAÑINO A-A.9 RE-ENRUTAMIENTO DE MENSAJES A-A.10 DESTRUCCIÓN DE LA INFORMACIÓN A-A.11 MANIPULACIÓN DE PROGRAMAS A-A.14 DENEGACIÓN DE SERVICIO A-A.15 ROBO A-A.16 ATAQUE DESTRUCTIVO A-A.17 OCUPACIÓN ENEMIGA A-A.18 INDISPONIBILIDAD DEL PERSONAL A-A.19 INGENIERIA SOCIAL

134

MATRIZ DE RIESGOS DE SEGURIDAD INFORMÁTICA EN LA DIGESTYC

Activos Exposure

Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza

Rango de Vulnerab (A, M, B)

Rango Impacto (A,M,B)

Probabilidad (A,M,B)

Resumen Nivel de Riesgo (A,M,B)

A-N.1 A A B M A-N.2 M A B M A-N.3 M A B M A-I.1 M A B M A-I.2 M A M A A-I.3 B M B B A-I.4 B M M M A-1.5 B M B B A-I.6 B M B B A-I.7 A A A A A-1.8 M A M A A-I.9 B M M M A-I.11 M A B M A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A A-E.8 B M M M A-E.11 M A B M A-E.12 B M B B A-E.13 N/A FALSO B FALSO A-E.14 M A M A A-A.4 A A B M A-A.5 A A M A A-A.6 M A B M A-A.7 M A B M

GRUPO DE SERVIDORES CRITICIDAD ALTA

(Controlador de dominio, SQL Server, Web, Mail Server,

Backup)

SW, HW,SI A

A-A.8 B M A A

135

A-A.11 M A B M A-A.14 M A B M A-A.15 A A M A A-A.16 A A B M

A-A.17 N/A FALSO B FALSO ACTIVOS EXPOSICIÓN






A-N.1 M A B M A-N.2 M A M A A-N.3 M A B M A-I.1 M A B M A-I.2 M A B M A-I.3 B M B B A-I.4 B M M M A-1.5 B M B B A-I.6 B M B B A-I.7 A A A A A-1.8 M A M A A-I.9 B M B B A-I.10 N/A FALSO N/A FALSO A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A A-E.9 B M B B

A-E.13 N/A FALSO B FALSO A-E.14 M A M A

Grupo de equipos auxiliares y de comunicaciones.

Criticidad Alta (UPS de servidores, Firewall, Conmutadores principales)

HW A

A-A.4 A A B M

136

A-A.5 A A B M A-A.6 M A B M A-A.7 M A B M A-A.9 B M B B A-A.14 M A B M A-A.15 A A M A A-A.16 A A B M

A-A.17 N/A FALSO N/A FALSO ACTIVOS EXPOSICIÓN






A-N.1 M A B M A-N.2 M A B M A-N.3 M A B M A-I.1 M A B M A-I.2 M A M A A-I.3 B M B B A-I.6 B M B B A-I.9 B M B B A-I.11 M A B M A-E.1 B M M M A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A A-E.8 B M M M A-E.9 B M B B

A-E.11 M A B M

APLICACIONES CRÍTICAS (Aplic. .NET internas,

Aplicaciones de Precios, Aplic. Activo fijo, Aplic. CSPRO e

ISSA)

SW A

A-E.12 B M M M

137

A-A.4 A A B M A-A.5 A A M A A-A.6 M A B M A-A.7 M A B M A-A.8 B M A A A-A.9 B M B B A-A.11 M A B M

A-A.14 M A B M ACTIVOS EXPOSICIÓN






A-N.1 M A B M A-N.2 M A B M A-N.3 M A B M A-I.1 M A B M A-I.2 M A M A A-I.3 B M B B A-I.4 B M M M A-I.6 B M B B A-I.7 A A A A A-E.1 B M M M A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A

A-E.10 M A M A A-E.11 M A B M A-A.4 A A B M

BASES DE DATOS (SQL, FOX, CSPRO, ISSA Y SQL para pruebas y desarrollo)

D A

A-A.10 M A M A

138

ACTIVOS EXPOSICIÓN






A-N.1 M A B M A-N.2 M A B M A-N.3 M A B M A-I.1 M A B M A-I.2 M A M A A-I.3 B M B B A-I.4 B M M M A-1.5 B M B B A-I.6 B M B B A-I.7 A A A A A-1.8 M A M A A-I.9 B M M M A-I.11 M A B M A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A A-E.8 B M M M

A-E.11 M A B M A-E.12 B M B B A-E.13 N/A FALSO B FALSO A-E.14 M A M A A-A.4 A A B M A-A.5 A A M A A-A.6 M A B M

Computadoras de criticidad alta en div. sistemas y en las

oficinas de Dirección.

HW, SW, SI A

A-A.7 M A M A

139

A-A.8 M A A A A-A.11 M A B M A-A.14 M A B M A-A.15 A A M A A-A.16 A A B M







A-N.1 M M B B A-N.2 M M B B A-N.3 M M B B A-I.1 M M B B A-I.2 M M M M A-I.3 B B B B A-I.4 B B M B A-1.5 B B B B A-I.6 B B B B A-I.7 A A A A A-1.8 M M M M A-I.9 B B M B A-I.11 M M B B A-E.2 B B B B A-E.3 M M B B A-E.4 M M M M A-E.8 B B M B

A-E.11 M M B B

Grupo de servidores de criticidad media : Proxy y

VPNServer

HW, SW, SI M

A-E.12 B B B B

140

A-E.13 N/A FALSO B FALSO A-E.14 M M M M A-A.4 A A B M A-A.5 A A M A A-A.6 M M B B A-A.7 M M M M A-A.8 M M A A A-A.11 M M B B A-A.14 M M B B A-A.15 A A B M A-A.16 A A B M







A-N.1 M M B B A-N.2 M M B B A-N.3 M M B B A-I.1 M M B B A-I.2 M M B B A-I.3 B B B B A-I.4 B B M B A-1.5 B B B B A-I.6 B B B B A-I.7 A A A A A-1.8 M M M M A-I.9 B B B B

Equipos comunicaciones definidos con criticidad media

(en general) HW M

A-I.10 N/A FALSO N/A FALSO

141

A-E.2 B B B B A-E.3 M M B B A-E.4 M M M M A-E.9 B B B B

A-E.13 N/A FALSO B FALSO A-E.14 M M M M A-A.4 A A B M A-A.5 A A B M A-A.6 M M B B A-A.7 M M B B A-A.9 B B B B A-A.14 M M B B A-A.15 A A M A A-A.16 A A B M

A-A.17 N/A FALSO N/A FALSO ACTIVOS EXPOSICIÓN






A-N.1 M M B B A-N.2 M M B B A-N.3 M M B B A-I.1 M M B B A-I.2 M M M M A-I.3 B B B B A-I.4 B B M B A-1.5 B B B B A-I.6 B B B B

Grupo de computadoras de criticidad media de todas las

divisiones.

HW, SW, SI M

A-I.7 A A A A

142

A-1.8 M M M M A-I.9 B B M B A-I.11 M M B B A-E.2 B B B B A-E.3 M M B B A-E.4 M M M M A-E.8 B B M B

A-E.11 M M B B A-E.12 B B B B A-E.13 N/A FALSO B FALSO A-E.14 M M M M A-A.4 A A B M A-A.5 A A M A A-A.6 M M B B A-A.7 M M M M A-A.8 M M A A A-A.11 M M B B A-A.14 M M B B A-A.15 A A M A A-A.16 A A B M

A-A.17 N/A FALSO B FALSO

143

ACTIVOS EXPOSICIÓN






A-N.1 M B B B A-N.2 M B B B A-N.3 M B B B A-I.1 M B B B A-I.2 M B M B A-I.3 B B B B A-I.4 B B M B A-1.5 B B B B A-I.6 B B B B A-I.7 A M A A A-1.8 M B M B A-I.9 B B M B A-I.11 M B B B A-E.2 B B B B A-E.3 M B B B A-E.4 M B M B A-E.8 B B M B

A-E.11 M B B B A-E.12 B B B B A-E.13 N/A FALSO B FALSO A-E.14 M B M B A-A.4 A M B B A-A.5 A M M M A-A.6 M B B B

Grupo de computadoras de criticidad baja de todas las

divisiones.

HW, SW, SI

B

A-A.7 M B M B

144

A-A.8 M B A M A-A.11 M B B B A-A.14 M B B B A-A.15 A M M M A-A.16 A M B B







A-N.1 M A B M A-N.3 M A B M A-I.1 M A B M A-I.3 B M B B

A-E.18 M A M A A-A.18 M A B M

Personal crítico para el manejo de la información (administradores,

desarrolladores, etc.)

P A

A-A.19 B M B B

Auditoria de sistemas Tesis_JRTF_capitulo4

Documents

Transcript of Auditoria de sistemas Tesis_JRTF_capitulo4