Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas
Auditoria de sistemas Tesis_JRTF_capitulo4
Transcript of Auditoria de sistemas Tesis_JRTF_capitulo4
![Page 1: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/1.jpg)
63
CAPÍTULO 4 ANÁLISIS DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA DIGESTYC
4.1 DESCRIPCIÓN GENERAL
La seguridad informática es la capacidad de las redes o de los sistemas de
información para resistir, con un determinado nivel de confianza, los accidentes o
acciones ilícitas o malintencionadas que comprometan la disponibilidad,
autenticidad, integridad y confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen
accesibles.
Sin embargo, tal como se ha mencionado antes, cualquier organización de
negocios o no, está expuesta a fallos en la seguridad de su información, y existe
siempre una amenaza latente de que un evento o acción afecte a la organización
en su capacidad de alcanzar sus objetivos o realizar sus estrategias. Esto es lo
que identificamos como riesgo.
El Consejo Superior de Administración Electrónica de España, en la
documentación de la metodología MAGERIT10 especifica una definición mas
formal de riesgo: “Estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos [de información] causando daños o perjuicios
a la organización”.
El riesgo indica lo que le podría pasar a los activos si no se protegieran
adecuadamente. Es importante saber qué características son de interés en cada
activo, así como saber en qué medida estas características están en peligro.
10 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT). Tomo I : Método. Ministerio de Administraciones Públicas, Madrid 2006.
![Page 2: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/2.jpg)
64
Esto se logra mediante un análisis de riesgos, el cual es un proceso sistemático
para estimar la magnitud de los riesgos a que está expuesta una organización.
Realizar un análisis de riesgos es laborioso y costoso. Levantar un mapa de
activos y valorarlos requiere la colaboración de muchos perfiles dentro de la
organización, desde los niveles de gerencia hasta los técnicos. Y no solo hay que
involucrar a muchas personas, sino que hay que lograr una uniformidad de criterio
entre todos pues, si importante es cuantificar los riesgos, más importante aún es
relativizarlos. Y esto es así porque típicamente en un análisis de riesgos aparecen
multitud de datos. La única forma de afrontar la complejidad es centrarse en lo
más importante (máximo impacto, máximo riesgo) y obviar lo que es secundario o
incluso despreciable. Por eso, si los datos no están bien ordenados en términos
relativos, su interpretación es imposible.
El análisis de riesgos es una tarea mayor que requiere esfuerzo y coordinación.
Por tanto debe ser planificada y justificada. En particular, en este estudio, las
tareas relacionadas con el análisis de riesgos han sido probablemente las que
más tiempo nos han requerido.
Finalmente, se debe tener bien claro que un análisis de riesgos es recomendable
en cualquier organización que dependa de los sistemas de información y
comunicaciones para el cumplimiento de su misión. En particular en cualquier
entorno donde se practique la tramitación electrónica de bienes y servicios, sea en
contexto público o privado. El análisis de riesgos permite tomar decisiones de
inversión en tecnología, desde la adquisición de equipos de producción hasta el
despliegue de un centro alternativo para asegurar la continuidad de la actividad,
pasando por las decisiones de adquisición de salvaguardas técnicas y de
selección y capacitación del personal.
4.2 ELEMENTOS Y TAREAS QUE CONFORMAN EL ANÁLISIS Existen dos elementos sobre los cuales esta fundamentado el análisis de riesgos:
![Page 3: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/3.jpg)
65
Activos, que son los elementos del sistema de información (o
estrechamente relacionados con este) que aportan valor a la organización.
Amenazas, que son situaciones que les pueden pasar a los activos
causando un perjuicio a la organización.
Con estos elementos se puede estimar:
Los impactos: lo que podría pasar
Los riesgos: lo que probablemente pase
El análisis de riesgos es una aproximación metódica para determinar el riesgo
siguiendo unos pasos pautados:
1. Determinar los activos relevantes para la organización, su interrelación y su
valor, en el sentido de qué perjuicio (coste) supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos.
3. Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza.
4. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materialización) de la amenaza.
La siguiente figura ilustra en forma gráfica este proceso:
Fig. 4.1: Elementos del análisis de riesgos
![Page 4: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/4.jpg)
66
4.3 IDENTIFICACIÓN DE ACTIVOS Se denominan activos a los recursos del sistema de información o relacionados
con éste, necesarios para que la organización funcione correctamente y alcance
los objetivos propuestos por su dirección.
El activo esencial es la información que maneja el sistema; o sea los datos. Y
alrededor de estos datos se pueden identificar otros activos relevantes
La organización internacional ISACA11 (Asociación para el control y auditoría de
sistemas de información, por sus siglas en inglés) en su metodología COBIT
(Objetivos de Control para las Tecnologías de Información) se refiere a los activos
de información como recursos de tecnologías de información. En este estudio se
ha usado el modelo de identificación de activos que COBIT propone, aunque vale
la pena mencionar que las tipificaciones de activos de otros modelos de
estándares o recomendaciones internacionales no varían mucho. En general, las
categorías de los activos, tampoco deberían ser muy rígidas, pues deben permitir
que una organización adopte las categorías que sean más adecuadas para su
infraestructura de sistemas en particular.
Los recursos de TI identificados en COBIT se pueden definir como sigue:
La información son los datos en todas sus formas de entrada, procesados
y generados por los sistemas de información, en cualquier forma en que
son utilizados por el negocio.
Las aplicaciones incluyen tanto sistemas de usuario automatizados como
procedimientos manuales que procesan información.
La infraestructura: es la tecnología y las instalaciones (hardware, sistemas
operativos, sistemas de administración de base de datos, redes,
11 ISACA es una organización ampliamente reconocida en los campos de seguridad informática y de la gestión de los recursos de información. Con más de 65.000 miembros en todo el mundo, esta organización se caracteriza por su diversidad. Los miembros viven y trabajan en más de 140 países y cubren una variedad de puestos profesionales relacionados con Tecnologías de información.
![Page 5: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/5.jpg)
67
multimedia, etc., así como el sitio donde se encuentran y el ambiente que
los soporta) que permiten el procesamiento de las aplicaciones.
Soportes de información: Incluye los recursos necesarios para alojar y dar
soporte a los sistemas de información, dicho de otra forma son los medios
de almacenamiento de datos.
Las personas: son el personal requerido para planear, organizar, adquirir,
implementar, entregar, soportar, monitorear y evaluar los sistemas y los
servicios de información. Estas pueden ser internas, por outsourcing o
contratadas, de acuerdo a como se requieran.
La tipificación de los activos es tanto una información documental de interés como
un criterio de identificación de amenazas potenciales y salvaguardas apropiadas a
la naturaleza del activo.
La relación que sigue clasifica los activos dentro de una jerarquía, determinando
para cada uno un código que refleja su posición jerárquica, un nombre y una breve
descripción de las características que recoge cada categoría. Nótese que la
pertenencia de un activo a un tipo no es excluyente de su pertenencia a otro tipo;
es decir, un activo puede ser simultáneamente de varios tipos.
[D] Datos / Información
Elementos de información que, de forma singular o agrupados, representan el
conocimiento que se tiene de algo. Los datos son el corazón que permite a una
organización prestar sus servicios. Son en cierto sentido un activo abstracto que
será almacenado en equipos o soportes de información (normalmente agrupado
en forma de bases de datos) o será transferido de un lugar a otro por los medios
de transmisión de datos.
Es habitual que en un análisis de riesgos e impactos, el usuario se limite a valorar
los datos, siendo los demás activos sirvientes que deben cuidar y proteger los
datos que se les encomiendan.
![Page 6: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/6.jpg)
68
[SW] Aplicaciones (software)
Con múltiples denominaciones (programas, aplicativos, desarrollos, etc.) este
categoría se refiere a tareas que han sido automatizadas para su desempeño por
un equipo informático. Las aplicaciones gestionan, analizan y transforman los
datos permitiendo la explotación de la información para la prestación de los
servicios.
No preocupa en este apartado el denominado “código fuente” o programas que
serán datos de interés comercial, a valorar y proteger como tales. Dicho código
aparecería como datos.
[HW] Equipos informáticos (hardware) Se refiere a la infraestructura tecnológica, bienes materiales, físicos, destinados a
soportar directa o indirectamente los servicios que presta la organización, siendo
pues depositarios temporales o permanentes de los datos, soporte de ejecución
de las aplicaciones informáticas o responsables del procesado o la transmisión de
datos. Se incluye aquí también al equipamiento auxiliar informático, como es el
caso de sistemas de generación de alimentación ininterrumpida (UPS), sistemas
de cableado eléctrico y de redes de datos, etc. [SI] Soportes de información
En esta categoría se consideran dispositivos físicos que permiten almacenar
información de forma permanente o, al menos, durante largos períodos de tiempo.
[P] Personal
En este epígrafe aparecen las personas relacionadas con los sistemas de
información, como por ejemplo: usuarios externos, usuarios internos, operadores,
administradores de sistemas, administradores de comunicaciones,
administradores de bases de datos, desarrolladores, proveedores, etc.
![Page 7: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/7.jpg)
69
4.3.1 Descripción del proceso de identificación de activos
Realización de entrevistas e inspecciones físicas.
Para proceder a iniciar el inventario de activos de información fue necesario
realizar varias visitas a la institución, durante el período del 13 al 27 de abril de
XXXX. Se coordinaron las visitas con la jefatura de la división de sistemas; quien
designo personal del área de informática, para proporcionar el soporte necesario.
La primera locación de la institución donde se realizó la identificación de activos
fue la División de sistemas. Para recolectar los datos se entrevistaron los
encargados de las diferentes divisiones dentro de la división de informática. Estas
personas son los responsables de los activos que fueron inventariados dentro de
la división de sistemas.
Como es de esperarse, se determinó que es en la división de sistemas donde se
encuentra la mayor parte del equipo y herramientas de software de más alta
criticidad, particularmente los servidores, bases de datos y las aplicaciones
alojadas en estos equipos. Aquí que es donde se acumula la información que
proviene de las personas de campo para ser utilizada en distintas formas para
efectos de estadísticos y la distribución de estas a las distintas instituciones que
de uno u otra forma analizan los informes finales.
Posteriormente se visitó el área de la dirección y sub dirección; y luego la división
administrativa, para ello se contó con la asesoría del jefe de esta sección. Aquí se
encuentran las áreas de Finanzas, Recursos Humanos, Colecturía, Pagaduría,
Publicaciones e Impresiones, Servicios Generales de Mantenimiento, y Almacén.
Se entrevistó inicialmente al jefe de la división de precios, esta es una de las áreas
que de acuerdo a nuestro análisis es de suma importancia en la parte operativa,
ya que es aquí en donde se procesan las estadísticas sobre un listado de
productos predeterminados, si han tenido alzas o bajas en precios.
![Page 8: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/8.jpg)
70
Para continuar, se realizó en la división de estadísticas sociales el inventario
correspondiente, y las entrevistas al responsable de esta área, que también de
acuerdo a nuestro estudio ha sido considerada como otra de las divisiones con
mayor importancia en cuanto a los procesos de información que tiene bajo su
responsabilidad.
Por último se realizaron las entrevistas correspondientes en la división de censos y
encuestas económicas con parte del personal y con el jefe de esta división. Esta
división también es de mucha importancia por los datos que mes a mes se
procesan. Cabe mencionar que esta sección no tiene ninguna relación al proyecto
que actualmente se están realizando con las encuestas de población y vivienda.
El resultado de todas estas entrevistas y jornadas de inspección ha sido
sintetizado en las tablas de inventarios de activos que se presentan en el siguiente
apartado.
![Page 9: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/9.jpg)
71
4.3.2 Tablas de inventario de activos División o Departamento: División de Sistemas - Informática
DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD
Servidor DELL Controlador de Dominio, (Windows 2003 Server,
Active Directory). SW, HW, SI alto
Servidor DELL Proxy Server, Seguridad Internet (Windows 2003
Sever, ISA Server) SW, HW, SI medio
Servidor DELL Web Server
(Windows 2003 Server, IIS)
SW, HW, SI alto
Servidor DELL SQL Server
(Windows 2003 Server, MS SQL Server 2005)
SW, HW, SI alto
Servidor DELL Correo
(Windows 2003 Server, MS Exchange )
SW, HW, SI alto
Servidor DELL File Server (Windows 2003 Server) SW, HW, SI alto
Servidor DELL Back Up Server (Windows 2003 Server) SW, HW, SI alto
Servidor DELL Concentrador de VPN’s ISA Server SW, HW, SI medio
FW Cisco Pix Firewall HW alto
Modem ASCOM V. 35/ Router 1600 Cisco
Conexión a Internet (pertenece al proveedor) HW medio
Switch Cisco/ Linksys SW 2024 LAN de servidores HW alto
SW DELL LAN Estaciones de trabajo de Informática HW alto
Transceivers (5) Convertidores IO/ETL
Interconexión Red de Fibra (Red de Campus) HW alto
Bracket Patch Panel (24) LAN de informática HW
UPS PowerWare (2) 9125 2.2 KVA Protección Servidores HW alto
UPS Smart Central (3) 1 KVA Protección Comunicación HW
Alto
![Page 10: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/10.jpg)
72
PC soporte (1) Jefatura Soporte (Monitoreo) SW, HW alto
PC Soporte Técnico (2) Soporte Técnico SW, HW medio Computadoras 6 Programadores D alto Computadora 1 secretaria D medio Computadoras 2- jefaturas D alto
Cisco Linksys Switch 24 Puertos LAN Soporte Técnico HW medio
Laptop y Cañon Uso de Presentaciones y Varios HW bajo
Aplicaciones (.NET) internas alojadas en
SQL SERVER Div. Censos y Enc. Econ SW alto
Base de Datos, SQL Producción SQL Server D alto
Aplicación Precios (FOX) alojada en FILE
SERVER Div. Precios SW alto
Base de Datos Precios(FOX)
Alojada en FILE SERVER.
Div. Precios D alto
Base de Datos ISSA (FILE SERVER) Div. Estadist. Sociales D alto
Base de Datos CSPRO (FILE SERVER) Div. Estadist. Sociales D alto
Aplicación Activo Fijo y base de Datos
(SQL SERVER) Div. Administrativa SW alto
Base de Datos, SQL Test/Desarrollo SQL Server D alto
![Page 11: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/11.jpg)
73
División o Departamento: División de Sistemas – Captura de Datos
DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD 7 Computadoras Digitación SW, HW, SI bajo 1 Computadora Depuración SW, HW, SI bajo 1 Computadora Muestra SW, HW, SI bajo 1 Computadora Jefatura SW, HW, SI bajo 5 Computadoras Digitalización SW, HW, SI bajo 1 Computadora Terminal Patrones Diseño SW, HW, SI bajo
Hub 16 puertos INTEL LAN SW, HW, SI bajo
8 UPS, CDP 0.5 KVA Protección Equipo de
Cómputo HW bajo
Impresor Láser en Red, Lexmark Impresiones Varias HW bajo
Imp. Térmicas TSC 2 Impresor viñetas para encuestas (externo) 2 HW bajo
Scanner Spectrum Alta Velocidad
Digitalización y Captura de Datos HW bajo
División o Departamento: Dirección Administrativa
DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD 1 Impresor, 2
computadoras UPS Finanzas SW, HW, SI medio
4 Impresores, 3 computadoras UPS Colecturía SW, HW, SI bajo
1 Impresor, 2 computadoras UPS Pagaduría SW, HW, SI bajo
2 Impresores, 2 computadoras UPS Publicaciones e Impresiones SW, HW, SI bajo
2 Impresores, 2 computadoras UPS
Servicios Generales Mantenimiento, Transporte,
Ordenanza SW, HW, SI bajo
1 Impresor, 2 computadoras UPS Almacén( papelería y útiles) SW, HW, SI bajo
1 impresor de Area, 3 computadoras UPS Contabilidad SW, HW, SI medio
3 Impresores de Area, 2 computadoras UPS
Jefatura de la División Administrativa SW, HW, SI medio
![Page 12: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/12.jpg)
74
División o Departamento: Dirección y Sub-dirección
DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD
1 Impresor, 1-PC- 1 UPS Uso de subdirector SW, HW, SI alto
1 Impresor, 1PC- 1 UPS Tareas secretariales SW, HW, SI alto
1 Laptop Uso del director SW, HW, SI alto
División o Departamento: División de Precios.
DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD 1 Impresor p/todos matricial p/ boletas
( exclusivo), 3 computadoras + UPS
Procesamiento de Información SW, HW, SI bajo
1 Computadora + UPS Procesos de Controles Control de Calidad SW, HW, SI bajo
3 Computadoras +UPS Captura de Datos Reciben Datos de
Encuestas en la Calle SW, HW, SI bajo
2 Computadoras Para Secretaria y Jefatura SW, HW, SI medio
División o Departamento: División de Estadísticas Sociales.
DESCRIPCION FINALIDAD CATEGORIA CRITICIDAD
1 Switch 12 Puertos Cisco SW2024, 1
Regulador de Voltaje
Red y equipamiento auxiliar. HW medio
7 Computadoras, 6 Reguladores de voltaje Digitadores HW, SW, SI bajo
5 Computadoras 1 Cultural, 3 Áreas Vitales, 1 Programador SW, HW, SI bajo
5 Computadoras, 3 Reguladores
Análisis y digitalización de Ingresos y Gastos SW, HW, SI bajo
1 Fotocopiadora Xerox, 1 Impresor Canon Encuestas de Hogares
Metodología HW bajo
![Page 13: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/13.jpg)
75
8 computadoras, 5 reguladores de voltaje 6 fijas, 2 impresores
Encuestas de Hogares Metodología
SW, HW, SI bajo
6 computadoras Área de Campo 4 Metodología, 2
administrativos, 2
SW, HW, SI
bajo
5 Pc, 4 UPS, 1 Impresor Lasser hp 1320
Área de Campo para Levantamiento, y
recopilación de encuestas
Socioeconómicas
SW, HW, SI Bajo
División o Departamento: Dirección Censos y Encuestas Económicas.
DESCRIPCION FINALIDAD LOCALIZACION CRITICIDAD
1 Computadora Área de Campo 1,
Critica y Codificación, Control de Calidad
HW, SW, SI
Bajo
1 Switch 8 puertos SRW 2024,
Área de Campo 1 Critica y Codificación,
Control de Calidad
HW
Medio
5 computadoras, 2 UPS
Área de Campo 1 Encuestas Humanas, Sistemas de Cuentas
Nacionales HW, SW, SI
Bajo
1 Switch 24 puertos Nortel networks HW Medio
9 Pc´s, 2 impresores y 7 reguladores
Área de Campo 2 Unidad de Encuestas
(Critica y Reportes de
supervisores)
HW, SW, SI
Bajo
1 Switch 14 Puertos, Super Stack 3Com Área de Campo 2 HW
Medio
1 Switch 24 puertos DELL 5324 Power
Conect, 1 UPS
Metodología HW Medio
![Page 14: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/14.jpg)
76
1 Impresor, 7 UPS, y 10 computadoras
Elaboración de Boletas, Manuales Instructivos,
Generación de Información,
Generación de Gráficas
HW, SW, SI Bajo
1 Laptop Metodología
encuestas Económicas exclusivamente
HW, SW, SI
Medio
1 Impresor OKI B6300 Uso general HW Bajo
3 Computadoras, 3 UPS Metodología 2 Análisis, Muestreo
HW, SW, SI
Bajo
1 Switch 24 puertos Nortel Networks cat 5 e, 1 Switch centre Com 724
Metodología Proyectos. (Soporta Solvencias,
colectaría y encuestas económicas)
HW Medio
7 cpu, 5 UPS Solvencias, para matrículas de comercio
HW, SW, SI
Bajo
4.4 IDENTIFICACIÓN DE AMENAZAS El siguiente paso consiste en determinar las amenazas que pueden afectar a cada
activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a los activos en cuestión y causar un daño.
Hay accidentes naturales (terremotos, inundaciones, etc.) y desastres industriales
(contaminación, fallos eléctricos) ante los cuales el sistema de información es
víctima pasiva; pero no por ser pasivos hay que permanecer indefensos. Hay
amenazas causadas por las personas, bien errores, bien ataques intencionados.
Junto con las amenazas trataremos también las vulnerabilidades de los sistemas.
Existe una relación muy estrecha entre amenazas y vulnerabilidades como
factores propiciadores de los riesgos. Como ya se explico previamente, en el
capítulo 1 de este trabajo, amenaza se refiere a un peligro latente o un factor de
riesgo externo de un sistema o de un sujeto expuesto, en cambio, la
vulnerabilidad se entiende, en general, como un factor de riesgo interno que
![Page 15: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/15.jpg)
77
determina la factibilidad de que el sujeto o sistema expuesto sea afectado por el
fenómeno que caracteriza la amenaza
En este estudio se ha realizado un proceso de revisión de amenazas típicas de
sistemas de información, basándonos en el catálogo de amenazas propuesto por
MAGERIT12 y partir de ellas se han examinado las vulnerabilidades que puedan
existir a nivel de la organización, y que generan un aumento en la probabilidad de
que la amenaza se materialice en los activos expuestos.
4.4.1 Valoración de las amenazas
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus
dimensiones, ni en la misma cuantía.
Una vez determinado que una amenaza puede perjudicar a un activo, hay que
estimar cuán vulnerable es el activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el activo
Frecuencia: cada cuánto se materializa la amenaza
La degradación mide el daño causado por un incidente en el supuesto de que
ocurriera. La degradación se suele caracterizar como una fracción del valor del
activo y así aparecen expresiones como que un activo se ha visto “totalmente
degradado”, o “degradado en una pequeña fracción”. Cuando las amenazas no
son intencionales, probablemente baste conocer la fracción físicamente
perjudicada de un activo para calcular la pérdida proporcional de valor que se
pierde. Pero cuando la amenaza es intencional, no se puede pensar en
proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma
selectiva.
12 MAGERIT v 2.0: Metodología de Administración y Gestión de riesgos en Tecnologías de Información. “Tomo II : Catalogo de Elementos”. Ministerio de Administraciones Públicas, Madrid, 2006.
![Page 16: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/16.jpg)
78
La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede
ser de terribles consecuencias pero de muy improbable materialización; mientras
que otra amenaza puede ser de muy bajas consecuencias, pero tan frecuente
como para acabar acumulando un daño considerable. La frecuencia se modela
como una tasa anual de ocurrencia, siendo valores típicos:
Muy frecuente a diario
Frecuente mensualmente
Normal una vez al año
Poco frecuente cada varios años
![Page 17: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/17.jpg)
79
4.4.2 Tablas de amenazas y vulnerabilidades
Se presenta a continuación un catálogo de amenazas posibles sobre los activos
de un sistema de información. Para cada amenaza se presenta un cuadro como el
siguiente:
[código] Título descriptivo de la amenaza
Tipos de activos:
que se pueden ver afectados
por este tipo de amenaza
Dimensiones13 :
1. de seguridad que se pueden ver
afectadas por este tipo de amenaza,
ordenadas de más a menos relevante
Descripción:
Complementaria o más detallada de la amenaza. Lo que le puede ocurrir a los
activos del tipo indicado con las consecuencias indicadas
Por otro lado, las amenazas han sido agrupadas según la naturaleza de sus
causas, siendo estas las siguientes:
Desastres Naturales.
De origen Industriales.
Errores no Intencionados.
Ataques Deliberados.
13 No debe olvidarse que este estudio esta enfocado a la identificación de riesgos que atentan contra la disponibilidad, por lo tanto nos limitaremos a mencionar todas las dimensiones de la seguridad que pueden verse comprometidas ante una amenaza en particular, pero al momento de priorizar los riesgos, nos centraremos únicamente en un enfoque que priorice los impactos sobre la dimensiones de la disponibilidad. Ciertas amenazas que no comprometen el estado de disponibilidad de los activos de información tampoco han sido tomadas en cuenta en este estudio.
![Page 18: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/18.jpg)
80
4.4.2.1 Amenazas relacionadas con desastres naturales [N]
Sucesos que pueden ocurrir sin intervención de los seres humanos como causa
directa o indirecta.
A-N.1 : FUEGO
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Soporte de Información
Software (Aplicaciones)
Personal
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Incendios: posibilidad de que el fuego acabe con recursos del sistema
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sensores de humo o alarma contra incendios
No existen suficientes extintores de incendios, o no están distribuidos en los
sitios claves de manejo de información.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios críticos de manejo de
información.
Hay paredes de concreto pero también hay paredes de material inflamables
tales como madera o plywood.
![Page 19: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/19.jpg)
81
A-N.2 : DAÑOS POR AGUA
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Soporte de Información
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Inundaciones: posibilidad de que el agua acabe con recursos del sistema.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Las locaciones donde se ubican activos de información son susceptible a
filtraciones de agua, incluyendo aquellas donde están activos críticos.
Podrían generarse problemas debido a las instalaciones de fontanería que
no son las mas adecuadas. Los baños están junto al cuarto de servidores.
No existe un sistema de drenaje de emergencia.
Atenuantes de las Vulnerabilidades:
Se han tomado algunas contramedidas para evitar que el agua llegue hasta
los centros de cómputo, como por ejemplo ubicar equipos críticos en
plataformas para elevar la altura a la que están situados los servidores.
![Page 20: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/20.jpg)
82
A-N.3 : DESASTRES NATURALES
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Soporte de Información
Software (Aplicaciones)
Personal
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Otros incidentes que se producen sin intervención humana: rayo, tormenta
eléctrica, terremoto, ciclones, avalancha, deslaves o derrumbes, etc.
Se excluyen desastres específicos tales como incendios e inundaciones.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Aunque se ha instalado recientemente un pararrayos con su
correspondiente aterrizado, este no se cumple la normativa de punto único
de conexión del sistema de tierras, lo que constituye una tierra aislada.
Según el Código de Electricidad (NEC)14 esto no ofrece la protección
adecuada y constituye un riesgo para equipos electrónicos sensibles.
No existen planes de emergencia a nivel del personal sobre que hacer en
casos de desastre, como por ejemplo un terremoto.
No se cuenta con un sitio alterno de operación o al menos un sitio diferente
(separado geográficamente) donde se almacenen copias de respaldo
(backups) de la información y las aplicaciones de misión critica de la
organización.
Atenuantes de las Vulnerabilidades:
14 2005 NEC :Nacional Electrical Code Handbook.
![Page 21: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/21.jpg)
83
El edificio no es anti-sísmico, pero su estructura ha probado ser resistente a
Sismos.
No existen reportes de daños estructurales provocados por sismos
anteriores.
No se evidencian paredes agrietadas de las cuales se sospeche que
puedan representar peligros.
No existen condiciones que lo hagan susceptibles a deslaves, avalanchas,
erupciones volcánicas.
4.4.2.2 Amenazas de origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad
humana de tipo industrial. Estas amenazas pueden darse de forma accidental o
deliberada.
A-I.1 : FUEGO
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Soporte de Información
Software (Aplicaciones)
Personal
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Incendio: posibilidad de que el fuego acabe con los recursos del sistema.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sensores de humo o alarma contra incendios
![Page 22: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/22.jpg)
84
No existen suficientes extintores de incendios, o no están distribuidos en los
sitios claves de manejo de información.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios críticos de manejo de
información.
Hay paredes de concreto pero también hay paredes de material inflamables
tales como madera o plywood.
Las instalaciones eléctricas no tienen un mantenimiento adecuado. No hay
una certificación que avale si estas son 100% seguras. Sin embargo,
tampoco se han registrado mayores incidentes relacionados con cortos
circuitos en instalaciones eléctricas.
Las ducterías eléctricas y de datos usan poliductos, el cual es un material
altamente inflamable.
No existen extintores adecuados de polvo químico especiales para fuego
eléctrico y equipos electrónicos en el centro de cómputo.
No se tiene certeza sobre si se les proporciona el adecuado mantenimiento
a los extintores que existen.
A-I.2 : DAÑOS POR AGUA
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Soporte de Información
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Inundaciones: posibilidad de que el agua acabe con recursos del sistema.
![Page 23: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/23.jpg)
85
Vulnerabilidades detectadas relacionadas a esta amenaza:
Podrían generarse problemas debido a las instalaciones de fontanería que
no son las más adecuadas. Los baños están junto al cuarto de servidores.
No existe un sistema de drenaje de emergencia.
A-I.3: DESASTRES INDUSTRIALES
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Soporte de Información
Software (Aplicaciones)
Personal
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Otros desastres debidos a la actividad humana: explosiones, derrumbes,
contaminación química, sobrecarga eléctrica, fluctuaciones eléctricas, ...
accidentes de tráfico, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay materiales que puedan producir explosiones.
Si hay problemas de suministro eléctrico. Problemas de calidad de energía.
Se dan problemas de fluctuaciones de energía. Picos de voltaje. Problemas
de picos transitorios que afectan los equipos informáticos. Existen
antecedentes de daños a equipos por esta causa.
La mayoría de UPS que se tienen no ofrecen la adecuada protección
contra problemas de calidad de energía.
Existe un UPS de gran capacidad que aun no ha sido conectado.
Uso de regletas corrientes sin protección.
![Page 24: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/24.jpg)
86
Las acometidas de datos o eléctricas son susceptibles a daños por
accidentes de tráfico en los postes de los tendidos eléctricos. También son
susceptibles a robo de cables.
Atenuantes de las Vulnerabilidades:
Si se cuentan con algunos UPS que tienen este tipo de protección pero son
únicamente para los servidores críticos. También se cuenta con un
regulador de voltaje que protege un circuito donde se conectan equipos de
misión crítica.
A-I.4: CONTAMINACIÓN MECÁNICA O DE AMBIENTE.
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Soporte de Información
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Vibraciones, polvo, suciedad
Vulnerabilidades detectadas relacionadas a esta amenaza:
Problemas de excesivo polvo sobre los equipos. En ocasiones el viento
levanta las losas del cielo falso y debido a eso cae bastante polvo.
Esta situación ocurre en los sitios del centro de cómputo y en casi todas las
demás oficinas donde hay equipos informáticos.
![Page 25: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/25.jpg)
87
A-I.5: INTERFERENCIA ELECTROMAGNETICA
Tipos de Activos
Hardware, equipos informáticos
Soporte de Información
(medios electrónicos)
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Interferencias de radio, campos magnéticos, luz ultravioleta
Vulnerabilidades detectadas relacionadas a esta amenaza:
Las redes inalámbricas tienen cierto nivel de protección de acceso y
encripción de datos usando protocolo WEP, aunque se conoce que este
puede ser fácilmente descifrado, lo cual podrá comprometer la
disponibilidad.
Fuera de ello, se considera que no existen mayores incidentes al respecto
que demuestren vulnerabilidades en este punto.
Existen servicios de redes inalámbricas en la institución pero funcionan
adecuadamente y no interfieren en la operación normal.
A-I.6: AVERÍAS DE ORIGEN FÍSICO O LÓGICO
Tipos de Activos
Hardware, equipos informáticos
Software (Aplicaciones)
Datos e Información
Soporte de Información
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Fallos en los equipos y/o fallos en los programas. Puede ser debida a un
defecto de origen u ocurrida durante el funcionamiento del sistema.
En sistemas de propósito específico, a veces es difícil saber si el origen del
![Page 26: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/26.jpg)
88
fallo es físico o lógico; pero para las consecuencias que se derivan, esta
distinción no suele ser relevante.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe una infraestructura formal de back up, aunque se pueden usar
equipos del stock de partes de Informática para cubrir algún equipo que se
haya dañado.
Atenuantes de las Vulnerabilidades:
Los equipos de misión crítica gozan de alta confiabilidad en su
funcionamiento. No hay mayores incidentes que hagan constatar fallas de
origen lógico o físico.
Las PC´s de uso general si pueden presentar fallas, pero estas son
corregidas a través de la garantía del fabricante o por el departamento de
soporte interno.
Otros equipos en general no han presentado mayores problemas en cuanto
a fallas por defectos de fabricación o mala calidad. Las fallas
experimentadas generalmente son producidas por factores externos como
el suministro eléctrico.
Las computadoras son de fabricantes reconocidos, de buena calidad y con
garantía.
![Page 27: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/27.jpg)
89
A-I.7: CORTE DEL SUMINISTRO ELÉCTRICO
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Soporte de Información
(electrónicos)
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción
Cese de la alimentación eléctrica.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No todos los equipos informáticos son alimentados mediante UPS, pero si
todos los equipos que son considerados de misión critica (Servidores,
dispositivos de comunicaciones, etc.)
Ya se compro una planta eléctrica. Pero esta no ha sido instalada aun.
Tampoco existe una planificación conocida que diga cuando se realizará
esta Instalación para saber cuando estará en servicio.
Cortes de energía prolongados (más de veinte minutos) requerirán que los
equipos de misión crítica de la institución sean apagados. No existirá
disponibilidad de los servicios de información en la institución durante el
lapso que dure el corte de energía.
La red interna de suministro eléctrico no esta bien identificada y tampoco
tiene el mantenimiento óptimo para garantizar la seguridad de estas
instalaciones. Los sistemas eléctricos podrían ser susceptibles a cortos
circuitos que podrían provocar la interrupción del suministro total o parcial,
debido a la quema de fusibles de protección, o la apertura de un circuito de
protección térmica.
![Page 28: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/28.jpg)
90
A-I.8: CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD
Tipos de Activos
Hardware, equipos informáticos
Soporte de Información
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicio
3. Trazabilidad de los datos
Descripción
Deficiencias en la climatización de los locales, excediendo los márgenes de
trabajo de los equipos: excesivo calor, excesivo frío, exceso de humedad, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los aires acondicionados de la sala de equipos críticos no tienen el
mantenimiento adecuado. Presentan problemas de goteo constante y
excesivo en sus bandejas de drenaje.
Los aires acondicionados de misión crítica no son del tipo llamado “aires
acondicionados de precisión”, los cuales son los equipos idoneos para el
enfriamiento de cuartos de equipos. Los equipos actuales, no tienen control
sobre la humedad relativa del ambiente, lo cual podría resultar en daños en
tarjetas electrónicas.
Atenuantes de las vulnerabilidades:
El funcionamiento de los aires en cuanto a regulación de temperatura es
aceptable. La capacidad de enfriamiento esta bien.
A-I.9: FALLO DE SERVICIOS DE COMUNICACIONES
Tipos de Activos
Hardware (equipos de
comunicaciones)
Software (Aplicaciones en Red)
Dimensiones
1. Disponibilidad
![Page 29: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/29.jpg)
91
Descripción
Cese de la capacidad de transmitir datos de un sitio a otro. Típicamente se
debe a la destrucción física de los medios físicos de transporte o a la
detención de los centros de conmutación, ya sea por destrucción, detención o
simple incapacidad para atender al tráfico presente.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Existe siempre la posibilidad de que estos servicios fallen debido a
diferentes causas, por lo general debido a causas imputables a los
proveedores de servicio. Estas fallas pueden ser por problemas en los
equipos o por problemas en los medios de transmisión.
No existe infraestructura de comunicaciones alterna o de respaldo, de modo
que pueda suplir los servicios de comunicaciones en caso de que los
servicios principales de comunicaciones falle.
Atenuantes de las Vulnerabilidades:
El nivel de servicio de los proveedores de comunicaciones ha resultado ser
bastante bueno. Las incidencias en cortes de estos servicios es mínima. En
promedio un corte mensual, tiene una duración promedio aproximada de 20
minutos.
El servicio de comunicación es únicamente de conexión a Internet y en
cierta medida NO se considera el servicio de conexión a INTERNET como
de misión critica y puede estar fuera lapsos mayores de tiempo (Este lapso
será determinado cuando se estudie el nivel residual de riesgo que será
aceptable para la organización).
Si se publica el sitio web de la institución a través de esta vía, pero una
interrupción de este servicio podría estar entre los riesgos aceptables por la
institución, hasta un tiempo máximo que determine la institución.
![Page 30: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/30.jpg)
92
En los servicios de comunicación de la red interna, existe un tramo de fibra
que ha presentado mal funcionamiento, se presume que esta defectuoso.
Ha sido reemplazado por Cable de cobre UTP, con lo que se ha
solucionado el problema.
Las capacidades de los equipos de comunicación internos (Switches y
Routers) cumplen adecuadamente con los requerimientos y la demanda de
tráfico de la Institución.
A-I.10: INTERRUPCIÓN DE OTROS SERVICIOS Y
SUMINISTROS ESENCIALES
Tipos de Activos
Hardware, equipos auxiliares
Dimensiones
1. Disponibilidad
Descripción
Otros servicios o recursos de los que depende la operación de los equipos; por
ejemplo, papel para las impresoras, toner, refrigerante,
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se considera que existan vulnerabilidades para a este tipo de
amenazas.
A-I.11: DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN
Tipos de Activos
Soporte de Información
Dimensiones
1. Disponibilidad
2. Trazabilidad de los servicios
3. Trazabilidad de los datos
Descripción Como consecuencia del paso del tiempo.
![Page 31: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/31.jpg)
93
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay una ubicación adecuada para almacenar y resguardar soportes de
información (medios magnéticos, medios ópticos, documentos en papel)
Los backups se hacen en medios ópticos (DVD’s y CD’s)
Documentos en papel no se convierten a otro medio (no se digitalizan).
Estos documentos son susceptibles a los daños que pueda sufrir el papel
como consecuencia de un proceso de archivado inadecuado o daños
provocados por el paso del tiempo.
Atenuantes de las Vulnerabilidades:
Se pretende que en un futuro los documentos en papel puedan
digitalizarse, pero no se especifica cuando será realizado esto.
4.4.2.3 Amenazas debido a errores y fallos no intencionados
Fallos no intencionales causados por las personas. La numeración no es
consecutiva, sino que está alineada con los ataques deliberados, muchas veces
de naturaleza similar a los errores no intencionados, difiriendo únicamente en el
propósito del sujeto.
A-E.1: ERRORES DE LOS USUARIOS.
Tipos de Activos
Datos e Información
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad.
Descripción
Equivocaciones de las personas cuando usan los servicios, datos, etc.
![Page 32: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/32.jpg)
94
Vulnerabilidades detectadas relacionadas a esta amenaza:
La capacitación que se da a los usuarios nuevos puede en algunos casos
no ser muy extensa y completa, lo cual podría generar cierto nivel de
inexperiencia y desconocimiento de las aplicaciones.
Resulta imposible predecir el comportamiento de los usuarios y la
incidencia de errores provocados por estos. Siempre existe la posibilidad de
que se comentan errores al introducir datos o manipular información, pero
se estima que estos pueden ser detectados rápidamente, y se valora que
esto no es un factor que compromete la seguridad del sistema debido a que
ya existen controles que buscan prevenir y corregir errores de esta
naturaleza. Estos son detallados a continuación.
Atenuantes de las vulnerabilidades:
Los usuarios con mas de un año en sus puestos, conocen bien el sistema.
El porcentaje de rotación de personal en la institución es relativamente bajo.
Los sistemas tienen control de calidad para verificar la no existencia de
errores o inconsistencias en la generación de los datos
Se considera mínima la posibilidad de que un error de usuario normal
atente contra la disponibilidad del sistema.
Los usuarios normales no tienen posibilidad de borrar datos
accidentalmente.
Existen mecanismos de control que evitan que los usuarios manipulen la
información más allá de lo que están autorizados a realizar.
![Page 33: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/33.jpg)
95
A-E.2: ERRORES DEL ADMINISTRADOR
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
6. Trazabilidad del servicio
7. Trazabilidad de los datos
Descripción
Equivocaciones de personas con responsabilidades de instalación,
administración y operación.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Si se tiene bien delimitados el grupo de administradores y sub-
administradores. En cada división se han delegado personas responsables
con permisos de administración sobre sus propios sistemas. Esto no
constituye una vulnerabilidad siempre y cuando estas personas estén
debidamente capacitadas, y se compruebe que efectivamente el diseño del
sistema de directorio restringe adecuadamente los permisos de cada
responsable solo a los equipos que les corresponde
Se hacen backups o copias de respaldo antes de ejecutar cambios o
manipular los sistemas, pero esto queda a discreción de quien ejecutará los
cambios, no es una política obligatoria.
El grupo de administradores globales pertenecen a informática y están
delimitadas sus funciones y derechos de administración sobre los sistemas,
sin embargo una sola persona maneja la administración de los equipos más
críticos, lo cual podría ser un problema en caso de ausencia de esa
![Page 34: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/34.jpg)
96
persona, por otro lado los demás administradores no están familiarizados
con esos sistemas.
No se manejan bitácoras de logs o cambios en los sistemas.
Atenuantes de las Vulnerabilidades:
Implementaciones de cambios, aplicaciones nuevas, equipos nuevos o
cambio de equipos críticos, se prueban en un ambiente aislado de forma de
no interferir con el ambiente de producción.
A-E.3: ERRORES DE MONITORIZACIÓN
Tipos de Activos
Datos e Información
Software (Aplicaciones)
Dimensiones
1. Trazabilidad del servicio
2. Trazabilidad de los datos
Descripción
Inadecuado registro de actividades: falta de registros, registros incompletos,
registros incorrectamente fechados, registros incorrectamente atribuidos, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe ninguna monitorización de logs. Los logs generados por algunos
sistemas como servidores, controlador de dominio, equipos de seguridad y
comunicaciones están disponibles (según la forma de admón. propia de
cada equipo) pero no son monitoreados constantemente, sin embargo, el
administrador manifiesta que podrían ser usados en caso de un problema.
No existe registro automatizado de cambios o manipulaciones en los
sistemas. Si se tiene un registro manual de cambios, pero es una bitácora
en archivo de texto que se digita en forma manual. Este archivo esta
expuesto a quedar desactualizado si no se digita la información de los
![Page 35: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/35.jpg)
97
sucesos, conforme van ocurriendo. También podría ser borrado o accesado
por personas no autorizadas.
No se ha implementado algún sistema de notificación automática o de
alarmas según la magnitud del incidente reportado a partir de los logs.
No existen políticas de almacenamiento de los logs reportados por el
sistema. No se tienen directrices sobre si estos deben ser reciclados o
almacenados, y cuanto tiempo deben almacenarse en caso de que se
hiciera esto último.
Las auditorias de software son hechas por la corte de cuentas pero no
contemplan auditorias de los logs de mantenimiento de los equipos y
servicios. Tampoco realiza esta función ninguna otra entidad, externa o
interna en la institución.
Atenuantes a las Vulnerabilidades:
Existe monitorización de la disponibilidad en red de los servidores y los
equipos de comunicación.
A-E.4: ERRORES DE CONFIGURACIÓN
Tipos de Activos
Hardware, equipos informáticos
Datos e Información
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
6. Trazabilidad del servicio
7. Trazabilidad de los datos
Descripción
Introducción de datos de configuración erróneos.
Prácticamente todos los activos dependen de su configuración y ésta de la
diligencia del administrador: privilegios de acceso, flujos de actividades,
registro de actividad, enrutamiento, etc.
![Page 36: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/36.jpg)
98
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se tiene documentación del funcionamiento y configuración de las
aplicaciones de producción desarrolladas internamente, aunque ya se tiene
en proyecto la realización de esta.
No existe documentación de las aplicaciones de software que usa la
organización, especialmente de las que han sido desarrolladas
internamente en la organización. En el caso de aplicaciones comerciales o
de licencia abierta, en la mayoría de los casos no se tiene a la mano, pero
el administrador afirma que podría conseguirse fácilmente.
No existe una documentación de las configuraciones del directorio de
usuarios (Active Directory) o de otros servicios esenciales para la
organización.
Atenuantes a las vulnerabilidades:
Documentación de inventario de activos de información es realizada en
coordinación con el departamento de activo fijo de la institución (Div.
Administrativa) El software también esta incluido en estos inventarios pues
se considera como parte de activo fijo.
Los equipos, servicios y aplicaciones son implementados por el personal de
informática que conoce y administra adecuadamente el entorno de
configuración de la empresa.
Se tiene debidamente documentado la base de configuraciones de las
redes de comunicaciones de los equipos.
Si se tiene un control propio por parte de informática de la base de datos de
configuraciones de los equipos. Este control es un archivo de Excel en la
máquina del administrador.
![Page 37: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/37.jpg)
99
A-E.7: DEFICIENCIAS EN LA ORGANIZACIÓN
Tipos de Activos
Personal
Dimensiones
1. Disponibilidad
Descripción
Cuando no está claro quién tiene que hacer exactamente qué y cuándo,
incluyendo tomar medidas sobre los activos o informar a la jerarquía de
gestión. Se puede caer en acciones descoordinadas, errores por omisión, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
El administrador principal de la plataforma sostiene que no existen mayores
problemas respecto a esta amenaza. Sin embargo, en la inspección se ha
apreciado que no existe planes de contingencia de ningún tipo en caso de
situaciones catastróficas. Debido a esto puede suponerse que es muy
probable que en situaciones de emergencia, no se tengan claras las
acciones que deban tomarse a fin de proteger y salvaguardar la integridad
de las personas, minimizar los impactos sobre los activos de información y
lograr la recuperación de los sistemas y servicios en el menor tiempo
posible. Este estudio pretende justamente corregir esta situación.
No se ha podido tener acceso al documento de políticas de seguridad de la
institución que debiera establecer las directivas principales de la
organización sobre las cuales se fundamenta la administración y el uso de
los recursos de información, a fin de garantizar que dicha información
mantenga su condición de segura. Los responsables de informática de la
institución manifiestan que si existe este documento, pero debido a que se
ha solicitado varias veces y no se nos ha proporcionado, puede presumirse
que talvez este ha sido extraviado o no se dispone en forma inmediata de
él.
![Page 38: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/38.jpg)
100
Por otro lado, los usuarios no conocen el contenido de este documento, por
lo que se presume que tampoco tengan claras cuales sean las
disposiciones de la institución en materia de seguridad.
A-E.8: DIFUSION DE SOFTWARE DAÑINO
Tipos de Activos
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
6. Trazabilidad del servicio
7. Trazabilidad de los datos
Descripción
propagación en forma no intencionada de virus, espías (spyware), gusanos,
troyanos, bombas lógicas, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se realizan pruebas controladas del funcionamiento efectivo de los
equipos de seguridad como por ejemplo el servidor de antivirus, aunque el
funcionamiento del servidor constata que este es efectivo puesto que ha
demostrado detener virus.
Ya han sucedido problemas de infección masiva en equipos causados por
virus, pero después de la instalación del servidor de AV esto no se ha
vuelto a presentar.
No se cuenta con una solución que filtre el contenido de paquetes de
Internet para evitar que se ejecuten en forma no autorizada códigos
![Page 39: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/39.jpg)
101
maliciosos a través de paginas web en las que los usuarios naveguen sin
darse cuenta que pueden ser objetos de un incidente de seguridad.
No se cuenta con mecanismos de control que evite que los usuarios
puedan navegar a través de sitios web que sean potencialmente peligrosos.
El firewall con el que se cuenta no es capaz de filtrar a este nivel.
No hay controles sobre el uso de dispositivos de almacenamiento portátil
(memorias USB, discos flexibles, discos duros externos, etc), o sobre los
puertos de conexión de los mismos en las computadoras y servidores.
Atenuantes a las Vulnerabilidades:
AV en todas las máquinas. Hay un servidor centralizado que despliega las
actualizaciones de AV.
El servidor del AV monitorea a los dispositivos cliente y reporta
debidamente actividades que puedan generar incidentes de seguridad a
nivel de software y hardware. Equipos infectados etc.
El servidor tiene las políticas configuradas para que tome decisiones y
acciones cuando encuentra problemas de Virus o similares.
Las máquinas son activadas con el FW de Windows, y este no puede ser
desactivado por los usuarios.
Se contempla dentro de las políticas de seguridad en la institución que esta
prohibido instalar software no autorizado por Informática. Esta política es
cumplida en forma obligatoria a nivel de sistema operativo y mediante
permisos del sistema de directorio de usuarios, de modo que los usuarios
no tienen privilegios para instalar software no autorizado
Se instalan de forma automática los parches de seguridad requeridos por
los sistemas operativos de las estaciones de trabajo y de los servidores.
Esto se hace a través de una herramienta de software instalada en un
servidor que baja las actualizaciones del Internet y las aplica a todos los
equipos que han sido configurados en el entorno de la red de la institución.
![Page 40: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/40.jpg)
102
A-E.9: ERRORES DE ENRUTAMIENTO
Tipos de Activos
Datos e Información
Software (Aplicaciones)
Dimensiones
1. Integridad
2. Confidencialidad
3. Autenticidad del servicio
4. Autenticidad de los datos
Descripción
Envío de información a través de un sistema o una red usando,
accidentalmente, una ruta incorrecta que lleve la información donde o por
donde no es debido; puede tratarse de mensajes entre personas, entre
procesos o entre unos y otros.
Es particularmente destacable el caso de que el error de enrutamiento
suponga un error de entrega, acabando la información en manos de quien no
se espera.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se dispone de herramientas de análisis de tráfico en la red que permitan
detectar errores en la entrega de paquetes de datos a través de las redes
de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen
paquetes de información hacia receptores diferentes que no sean los
legítimos destinatarios de los servicios de comunicaciones.
No existen registros o logs de confirmaciones y entregas, así como de
tráfico entrante y saliente que permita corroborar el funcionamiento correcto
de la red o detectar alguna anomalía que pueda darse en el entorno de
esta.
![Page 41: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/41.jpg)
103
A-E.10: DESTRUCCIÓN DE LA INFORMACIÓN
Tipos de Activos
Datos e Información
Dimensiones
1. Disponibilidad
Descripción
Pérdida accidental de información.
Esta amenaza sólo se identifica sobre datos en general, pues cuando la
información está en algún soporte (medio) de información específico, hay
amenazas específicas que aplican.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Se tiene como práctica frecuente la realización de copias de backup de los
datos de las aplicaciones criticas que residen en servidores, así como de
los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas
copias se realizan en medios ópticos (DVD’s) y no se cuenta con un
adecuado almacenamiento de estos medios, estos son susceptibles a
extravío, sustracción o deterioro.
No se cuenta con un sitio alterno de operación o al menos un sitio diferente
(separado geográficamente) donde se almacenen copias de respaldo
(backups) de la información y las aplicaciones de misión crítica de la
organización.
No se realizan copias de respaldo en forma regular y periódica de los
archivos y documentos de los usuarios que aunque no son críticos, si se
consideran necesarios para la gestión de las operaciones de la
organización. Varios procesos son realizados utilizando hojas de cálculo
elaboradas en Excel, cuyos formatos genéricos no son respaldados para su
debida protección. De la misma forma, otros archivos, documentos o
aplicaciones que pueden ser considerados importantes para propósitos
![Page 42: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/42.jpg)
104
administrativos u operacionales y que residen en las computadoras de los
usuarios.
Atenuantes de las vulnerabilidades:
Cuando se realizaran cambios en las estaciones de trabajo de los usuarios
y se estima que estos cambios podrían alterar en algún modo el
funcionamiento normal de estos equipos, se realiza un respaldo preventivo
de la información pertinente a las operaciones de la institución. Estos
respaldos son efectuados por personal de soporte técnico, debidamente
capacitado para estas tareas.
A-E.11: VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE)
Tipos de Activos
Datos e Información
Software (Aplicaciones)
Dimensiones
1. Integridad
2. Confidencialidad
3. Disponibilidad
Descripción
Defectos en el código que dan pie a una operación defectuosa sin intención
por parte del usuario, pero con consecuencias sobre la integridad de los datos
o la capacidad misma de operar.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se han efectuado auditorias de configuración y vulnerabilidad de los
programas para comprobar si estos son susceptibles a manipulación
![Page 43: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/43.jpg)
105
externa o interna, y si existen vulnerabilidades inherentes al código de las
aplicaciones desarrolladas o a las transacciones que se efectúan en las
bases de datos.
Debido a que no se cuenta con documentación sobre las la costrucción de
las aplicaciones desarrolladas internamente, no se puede establecer con
certeza si estas carecen de errores en sus procedimientos de validación de
entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa
un sistema no sea comprobada adecuadamente de forma que una
vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.
Atenuantes de las Vulnerabilidades:
En un ambiente aislado de desarrollo y pruebas, se realizan procesos de
control de calidad para comprobar que los programas funcionan
adecuadamente antes de que estos sean implementados en el directorio de
programas de gestión y producción de la institución.
Se aplican regularmente todos los parches recomendados por los
fabricantes a todos los servidores y se tiene especial cuidado con el
servidor que aloja el manejador de las bases de datos (MS-SQL). Las
aplicaciones de estos parches es controlada por una aplicación creada por
Microsoft especialmente para propósitos de corrección de vulnerabilidades
mediante la aplicación de los parches correctivos.
A-E.12: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE)
Tipos de Activos
Software (Aplicaciones)
Dimensiones
1. Integridad
2. Disponibilidad
![Page 44: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/44.jpg)
106
Descripción
Defectos en los procedimientos o controles de actualización del código que
permiten que sigan utilizándose programas con defectos conocidos y
reparados (a través de parches) por el fabricante.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Existe un servicio que aplica en forma automática las actualizaciones y
parches que Microsoft, el fabricante de los sistemas operativos y de las
aplicaciones de base de datos y desarrollo utilizadas en la institución,
publica para corregir vulnerabilidades conocidas en sus sistemas. Sin
embargo es de sobra que algunos parches pueden malograr la
funcionalidad de los servicios que corren en la plataforma tecnológica, en
forma temporal, ya sea por un error generado en la actualización, o
simplemente porque el parche altero las condiciones de funcionamiento del
sistema, sin que hubiera forma de prever esta situación. Debido a ello es
altamente recomendable que se prueben los parches antes de aplicarse en
equipos críticos, pero esto no siempre se realiza en los sistemas de la
DIGESTYC.
A-E.13: ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE)
Tipos de Activos
Hardware (equipos
informaticos)
Dimensiones
1. Disponibilidad
Descripción
Defectos en los procedimientos o controles de actualización de los equipos
que permiten que sigan utilizándose más allá del tiempo nominal de uso.
![Page 45: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/45.jpg)
107
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se pudieron establecer vulnerabilidades asociadas a esta amenaza. Según el
administrador de sistemas de la institución, no se han dado incidentes debido a
situaciones como las que plantea esta amenaza, los equipos son reemplazados
cunado corresponde y el personal de soporte técnico tiene la capacidad y
experiencia necesaria para realizar esto sin interferir en las operaciones críticas de
la organización.
A-E.14: CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS
Tipos de Activos
Hardware (equipos
informáticos y de
comunicaciones)
Dimensiones
1. Disponibilidad
Descripción
La carencia de recursos suficientes provoca la caída del sistema cuando la
carga de trabajo es desmesurada.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se monitorea a través de sesiones de protocolo SNMP (Protocolo de
Red para Administración simple) el estado y el uso de los recursos de
información como por ejemplo, monsumo de memoria y CPU, ancho de
banda, estadísticas históricas de funcionamiento, estado de las baterías de
emergencia (en el caso de UPS’s), etc.
![Page 46: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/46.jpg)
108
A-E.15: INDISPONIBILIDAD DEL PERSONAL
Tipos de Activos
Personal
Dimensiones
1. Disponibilidad
Descripción
Ausencia accidental del puesto de trabajo: enfermedad, alteraciones del orden
público, desastres, o causas de fuerza mayor.
Se considera que existe personal que tiene funciones administrativas sobre
la operación de los sistemas de información cuya presencia en la institución
es crítica debido al dominio y experiencia que tienen sobre los sistemas, y
no ha sido posible efectuar una transferencia de conocimiento a mas
personal del departamento de informática para que puedan asumir los
mismos roles en caso de ausencia o indisponibilidad del personal.
No existen manuales detallados sobre los procedimientos que deben
realizarse para efectuar tareas administrativas o resolución de problemas
frecuentes que tengan que ver con el mantenimiento y configuración de los
sistemas y servicios de información críticos para la institución.
Si se llegara a ejecutar cambios en el personal de administración de la
plataforma tecnológica, sería un problema la comprensión de las
configuraciones actuales de los diferentes sistemas y servicios de
información de la institución, debido a la ausencia de documentación sobre
las configuraciones.
![Page 47: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/47.jpg)
109
4.4.2.4 Amenazas a causa de ataques intencionados Fallos deliberados causados por las personas. La numeración no es consecutiva
para coordinarla con los errores no intencionados, muchas veces de naturaleza
similar a los ataques deliberados, difiriendo únicamente en el propósito del sujeto.
A-A.4: MANIPULACIÓN DE LA CONFIGURACIÓN
Tipos de Activos
Hardware, equipos informáticos
y de comunicaciones
Datos e Información
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
6. Trazabilidad del servicio
7. Trazabilidad de los datos
Descripción
Prácticamente todos los activos dependen de su configuración y ésta de la
diligencia del administrador: privilegios de acceso, flujos de actividades,
registro de actividad, enrutamiento, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sistemas de detección y prevención de intrusos en la institución
(IPS / IDS) que pudiera detectar movimientos o patrones de conducta
anormales en el entorno de la red, orientados a alterar la configuración de
los sistemas de información.
No existen sistemas de monitorización en línea que detecten y generen
alarmas y notificaciones automáticas a los administradores de red si se
ejecutan cambios o alteraciones en la configuración que pudieran afectar el
funcionamiento normal de los sistemas.
No se han implementado a nivel de las políticas de seguridad el uso de
contraseñas fuertes y el cambio obligatorio de estas en forma periódica.
![Page 48: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/48.jpg)
110
Tampoco se han implementado técnicas que permitan que el sistema de
directorio de la red, (Active Directory) u otros servicios, obliguen a los
usuarios a implementar las directivas de seguridad referente al uso de
contraseñas seguras.
No existe documentación alguna sobre las configuraciones de los equipos.
Tampoco se lleva una administración sobre los cambios de las
configuraciones y registros de los mismos en bitácoras o bases de
configuraciones que dejen constancia de las acciones realizadas y de las
razones del porque se han hecho los cambios. Atenuantes de las vulnerabilidades:
Existe un equipo de firewall, configurado para bloquear conexiones no
autorizadas desde fuera de la red. Asimismo, este dispositivo también
restringe las conexiones salientes (hacia el Internet) solo a los usuarios
autorizados, sin embargo este no se ha auditado para confirmar que la
configuración de seguridad implantada sea la mas adecuada y efectiva.
El grupo de administradores de la plataforma tecnológica de la
institución esta compuesto únicamente por dos personas, quienes son
los únicos que tienen acceso a cambiar las configuraciones de los
equipos. Estas personas son consientes de las implicaciones de
seguridad que tendría la divulgación de las contraseñas o mal uso de los
privilegios de administración.
A-A.5 : SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO
Tipos de Activos
Hardware, equipos informáticos
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
![Page 49: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/49.jpg)
111
Descripción
Cuando un atacante consigue hacerse pasar por un usuario autorizado,
disfruta de los privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas ajenas
a la organización o por personal contratado temporalmente.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay restricciones sobre la cantidad de sesiones que un usuario puede
iniciar. Tampoco existen restricciones sobre las estaciones de trabajo sobre
las cuales los usuarios pueden iniciar sesión, aun a pesar de que de
manera física, cada usuario tiene asignado un puesto de trabajo y una
estación de trabajo.
No se han implementado a nivel de las políticas de seguridad el uso de
contraseñas fuertes y el cambio obligatorio de estas en forma periódica.
Tampoco se han implementado técnicas que permitan que el sistema de
directorio de la red, (Active Directory) u otros servicios, obliguen a los
usuarios a implementar las directivas de seguridad referente al uso de
contraseñas seguras.
No existe dentro de la administración de usuarios, directivas o políticas que
deshabilite a los usuarios que por diversas razones se ausenten de sus
puestos de trabajo en periodos temporales relativamente largos, como por
ejemplo cuando algún usuario esta de vacaciones.
El proceso para dar de alta y de baja a los usuarios, cuando entran a formar
parte de la organización o cuando dejan de trabajar en la misma, no es
automático. Hasta que se reciben las notificaciones de recursos humanos,
el administrador del dominio tomas las acciones correspondientes para
actualizar el directorio, lo cual podría generar ciertos espacios de riesgo
sobre uso inautorizado de los recursos de información.
![Page 50: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/50.jpg)
112
A-A.6: ABUSO DE PRIVILEGIOS DE ACCESO
Tipos de Activos
Hardware, equipos informáticos
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
Descripción
Cada usuario disfruta de un nivel de privilegios para un determinado propósito;
cuando un usuario abusa de su nivel de privilegios para realizar tareas que no
son de su competencia, existe una amenaza de seguridad.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen procedimientos de revisión periódica de los derechos y permisos
efectivos de los usuarios, para comprobar si debido a un cambio de
configuración, o a una acción errónea o indebida se le han concedido a un
usuario o grupo de usuarios más derechos y permisos de los que le
corresponden.
No existen sistemas de control de tráfico en red que monitoreen el
comportamiento de los usuarios y las aplicaciones que están en uso por
parte de estos.
No existen sistemas de monitorización en línea que detecten y generen
alarmas y notificaciones automáticas a los administradores de red si se
ejecutan cambios o alteraciones en la configuración que pudieran afectar el
funcionamiento normal de los sistemas.
No existen mecanismos de control que detecten y prevengan posibles
abusos de privilegios en las aplicaciones o en el manejo de la información
en los entornos operativos de la institución.
No se implementa el cifrado de datos que sean considerados como
confidenciales o altamente criticos.
![Page 51: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/51.jpg)
113
Atenuantes de las vulnerabilidades:
Existen mecanismos de seguridad implementados a nivel de permisos de
usuarios en el sistema de directorio (Active Directory) que restringe los
accesos a los recursos según los niveles autorizados. No se han registrado
incidentes que pongan en evidencia que esos mecanismos no funcionan.
A-A.7 : USO NO PREVISTO
Tipos de Activos
Hardware, equipos informáticos
Soportes de información
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
Descripción
Utilización de los recursos del sistema para fines no previstos, típicamente de
interés personal: juegos, consultas personales en internet, bases de datos
personales, programas personales, almacenamiento de datos personales, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen herramientas de control de contenido o monitorización de tráfico
para el uso de Internet u otros servicios de la infraestructura de red y los
sistemas de información. El firewall únicamente deniega la conexión a los
no autorizados y concede el acceso a Internet a los usuarios que si están
autorizados y, pero sin filtrar en ningún modo a que sitios de internet se
conectan.
No se disponen de mecanismos de administración centralizada para
monitorear la actividad de los equipos de los usuarios y garantizar que no
se usen los recursos de estos equipos para fines no previstos. Tampoco se
implementan inventarios automatizados de software y hardware para
![Page 52: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/52.jpg)
114
comprobar que no se hayan instalado componentes adicionales y no
autorizados a los equipos de los usuarios.
Atenuantes de las Vulnerabilidades:
Las restricciones propias del sistema de directorio (Active Directory)
combinadas con otras restricciones de seguridad de los equipos no
permiten la instalación de software en los equipos por parte de los usuarios
no autorizados para tal fin.
Es mínima o nula la incidencia de uso de recursos para fines no previstos
de equipos y sistemas de misión critica (servidores de aplicación, base de
datos, etc)
Los mayores problemas referentes a este punto se dan con el uso de
Internet, el cual no se considera estrictamente como un servicio critico.
A-A.8: DIFUSIÓN DE SOFTWARE DAÑINO
Tipos de Activos
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
6. Trazabilidad del servicio
7. Trazabilidad de los datos
Descripción
Propagación intencionada de virus, espías (spyware), gusanos, troyanos,
bombas lógicas, etc.
![Page 53: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/53.jpg)
115
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los equipos y dispositivos de la Institución están debidamente protegidos
con software antivirus, software anti-spyware y firewall de escritorio. Sin
embargo no existe mecanismos de control y de prevención automática
contra la conexión a la red (autorizada o no) de equipos externos a la
institución, como por ejemplo equipos porttiles, computadoras personales
de los empleados, etc. Se pudo constatar que en caso de proyectos
especiales, se instalan computadoras que pertenecen a otras instancias
gubernamentales, las cuales puede que no tengan todas las medidas de
seguridad pertinentes para evitar la realización de esta amenaza.
No hay controles sobre el uso de dispositivos de almacenamiento portátil
(memorias USB, discos flexibles, discos duros externos, etc), o sobre los
puertos de conexión de los mismos en las computadoras y servidores.
No se realizan pruebas controladas del funcionamiento efectivo de los
equipos de seguridad como por ejemplo el servidor de Antivirus, aunque el
funcionamiento del servidor constata que este es efectivo puesto que ha
demostrado detener virus.
Ya han sucedido problemas de infección masiva en equipos causados por
Virus, pero después de la instalación del servidor de AV esto no se ha
vuelto a presentar.
Atenuantes de las Vulnerabilidades:
AV en todas las maquinas. Hay un servidor centralizado que despliega las
actualizaciones de AV.
El servidor del AV monitorea a los dispositivos cliente y reporta
debidamente actividades que puedan generar incidentes de seguridad a
nivel de software y hardware. Equipos infectados etc.
El servidor tiene las políticas configuradas para que tome decisiones y
acciones cuando encuentra problemas de virus o similares.
![Page 54: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/54.jpg)
116
Las máquinas son activadas con el FW de Windows, y este además no
puede ser desactivado por los usuarios.
Existe un documento de definición de políticas de seguridad en la institución
que contempla no instalar software no autorizado por informática, esta
política es cumplida en forma obligatoria a nivel de sistema operativo y
mediante permisos del sistema de directorio de usuarios, de modo que los
usuarios no tienen privilegios para instalar software no autorizado
Se instalan de forma automática los parches de seguridad requeridos por
los sistemas operativos de las estaciones de trabajo y de los servidores.
Esto se hace a través de una herramienta de software instalada en un
servidor que baja las actualizaciones del internet y las aplica a todos los
equipos que han sido configurados en el entorno de la red de la institución.
A-A.9 : RE-ENRUTAMIENTO DE MENSAJES
Tipos de Activos
Software (Aplicaciones)
Hardware, equipos de
comunicaciones
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Trazabilidad del servicio
Descripción
Envío de información a un destino incorrecto a través de un sistema o una red,
que llevan la información a donde o por donde no es debido; puede tratarse de
mensajes entre personas, entre procesos o entre unos y otros.
Un atacante puede forzar un mensaje para circular a través de un nodo
determinado de la red donde puede ser interceptado. Es particularmente
destacable el caso de que el ataque de enrutamiento lleve a una entrega
fraudulenta, acabando la información en manos de quien no debe.
![Page 55: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/55.jpg)
117
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se dispone de herramientas de análisis de tráfico en la red que permitan
detectar errores en la entrega de paquetes de datos a través de las redes
de comunicaciones, o manipulaciones deliberadas que desvíen o repliquen
paquetes de información hacia receptores diferentes que no sean los
legítimos destinatarios de los servicios de comunicaciones.
No existen registros o logs de confirmaciones y entregas, así como de
tráfico entrante y saliente que permita corroborar el funcionamiento correcto
de la red o detectar alguna anomalía que pueda darse en el entorno de
esta.
A-A.10: DESTRUCCIÓN DE LA INFORMACIÓN
Tipos de Activos
Datos e Información
Dimensiones
1. Disponibilidad
Descripción
Eliminación intencional de información, con ánimo de obtener un beneficio o
causar un perjuicio. Esta amenaza sólo se identifica sobre datos en general,
pues cuando la información está en algún soporte informático, hay amenazas
específicas.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Se tiene como práctica frecuente la realización de copias de backup de los
datos de las aplicaciones criticas que residen en servidores, así como de
los fuentes y archivos ejecutables de las aplicaciones mismas, pero estas
copias se realizan en medios ópticos (DVD’s) y no se cuenta con un
adecuado almacenamiento de estos medios, estos son susceptibles a
extravio, sustracción o deterioro.
![Page 56: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/56.jpg)
118
No se cuenta con un sitio alterno de operación o al menos un sitio diferente
(separado geográficamente) donde se almacenen copias de respaldo
(backups) de la información y las aplicaciones de misión critica de la
organización.
No se realizan copias de respaldo en forma regular y periódica de los
archivos y documentos de los usuarios que aunque no son críticos, si se
consideran necesarios para la gestión de las operaciones de la
organización. Varios procesos son realizados utilizando hojas de cálculo
elaboradas en Excel, cuyos formatos genéricos no son respaldados para su
debida protección. De la misma forma, otros archivos, documentos o
aplicaciones que pueden ser considerados importantes para propósitos
administrativos u operacionales y que residen en las computadoras de los
usuarios.
Atenuantes de las vulnerabilidades:
Cuando se realizaran cambios en las estaciones de trabajo de los usuarios
y se estima que estos cambios podrían alterar en algún modo el
funcionamiento normal de estos equipos, se realiza un respaldo preventivo
de la información pertinente a las operaciones de la institución. Estos
respaldos son efectuados por personal de soporte técnico, debidamente
capacitado para estas tareas.
A-A.11: MANIPULACIÓN DE PROGRAMAS
Tipos de Activos
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
![Page 57: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/57.jpg)
119
6. Trazabilidad del servicio
7. Trazabilidad de los datos
Descripción
Alteración intencionada del funcionamiento de los programas, persiguiendo un
beneficio indirecto cuando una persona autorizada lo utiliza.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se han efectuado auditorias de configuración y vulnerabilidad de los
programas para comprobar si estos son susceptibles a manipulación
externa o interna, y si existen vulnerabilidades inherentes al código de las
aplicaciones desarrolladas o a las transacciones que se efectúan en las
bases de datos.
No se han efectuado auditorias de integridad y vulnerabilidad de la base de
datos de gestión principal es Microsoft SQL. Existen vulnerabilidades
reportadas por el fabricante, así como técnicas de ataque dirigidas al
manejador de las bases de datos que podrían en algún momento generar
problemas de seguridad al permitir la creación, lectura, actualización o
borrado de datos disponibles en las aplicaciones y en formas arbitrarias. En
el peor de los casos, se puede comprometer completamente la base de
datos y los sistemas del entorno. Por ello deben efectuarse pruebas
especializadas para determinar si el manejador de las bases de datos esta
debidamente asegurado para minimizar estos riesgos15.
Debido a que no se cuenta con documentación sobre las la costrucción de
las aplicaciones desarrolladas internamente, no se puede establecer con
certeza si estas carecen de errores en sus procedimientos de validación de
entrada/salida. Esto podría dar lugar a que la entrada o salida que procesa
un sistema no sea comprobada adecuadamente de forma que una
vulnerabilidad puede ser aprovechada por una cierta secuencia de entrada.
15 En el capitulo de Recomendaciones se ampliara este punto y se detallaran algunas recomendaciones básicas a tomar en cuenta para asegurar el sistema de manejo de bases de datos.
![Page 58: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/58.jpg)
120
Atenuantes de las Vulnerabilidades:
Se aplican regularmente todos los parches recomendados por los
fabricantes a todos los servidores y se tiene especial cuidado con el
servidor que aloja el manejador de las bases de datos (MS-SQL). Las
aplicaciones de estos parches es controlada por una aplicación creada por
Microsoft especialmente para propósitos de corrección de vulnerabilidades
mediante la aplicación de los parches correctivos.
A-A.14: DENEGACIÓN DE SERVICIO
Tipos de Activos
Software (Aplicaciones)
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
6. Trazabilidad del servicio
7. Trazabilidad de los datos
Descripción
Propagación intencionada de virus, espías (spyware), gusanos, troyanos,
bombas lógicas, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No se han efectuado pruebas controladas de penetración intrusiva o de
conexiones no autorizadas a los servidores (desde el exterior o desde el
interior de la red) utilizando técnicas como por ejemplo escaneo de puertos
abiertos, verificación de servicios innecesarios activos, pruebas de captura
de contraseñas mediante keyloggers, o de adivinación de contraseñas
debiles, para comprobar si existen problemas que podrían comprometer la
![Page 59: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/59.jpg)
121
seguridad de la institución y especialmente la disponibilidad de los servicios
de información si se llegaran a efectuar ataques de denegación de servicio.
No existen sistemas de detección y prevención de intrusos en la institución
(IPS / IDS) que pudiera detectar movimientos o patrones de conducta
anormales en el entorno de la red, orientados a alterar el funcionamiento
normal de los servicios de información.
A-A.15: ROBO
Tipos de Activos
Hardware, equipos en general
Soporte de Información
Dimensiones
1. Disponibilidad
Descripción
La sustracción de equipamiento provoca directamente la carencia de un medio
para prestar los servicios, es decir una indisponibilidad. El robo puede afectar
a todo tipo de equipamiento, siendo el robo de equipos y el robo de soportes
de información los más habituales.
El robo puede realizarlo personal interno, personas ajenas a la organización o
personas contratadas de forma temporal, lo que establece diferentes grados
de facilidad para acceder al objeto sustraído y diferentes consecuencias.
En el caso de equipos que hospedan datos, además se puede sufrir una fuga
de información.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los controles y mecanismos de seguridad física orientados a prevenir el
robo de activos de información en la institución son mínimos. En las
locaciones donde se encuentran equipos críticos no existen los adecuados
mecanismos de control de acceso físico que permitan el paso solo al
![Page 60: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/60.jpg)
122
personal estrictamente autorizado, ni tampoco hay un monitoreo
automatizado de estos accesos.
No se cuentan con sistemas de alarmas contra robo o intrusos para horas
nocturnas, ni siquiera en la locación de la división de informática que es
donde se encuentran los equipos de misión critica para las operaciones de
la institución.
No se lleva un control minucioso de los sitios permitidos a los que pueden
tener acceso los visitantes, personal externo, contratistas y demás
personas ajenas a la institución. Después de ser identificados en la portería
por el personal de seguridad, los visitantes pueden transitar libremente por
todas las instalaciones de la institución. No se chequean entradas y salidas
de equipos para comprobar si pudieran ser o no de la institución.
No se cuentan con sistemas de circuito cerrado por televisión para
monitorear la actividad tanto del personal de la institución, como de
personas ajenas a esta.
Los documentos de identificación de los empleados no llevan fotografía
que facilite la comprobación de la identidad de alguien en forma inmediata,
ni la autenticidad de dicha identificación. En el caso de los visitantes, las
tarjetas de visitantes no son de un color diferente a las identificaciones de
los empleados, y no difieren en mucho de estas, salvo por el hecho que
llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.
Atenuantes de las vulnerabilidades:
Se cuenta con una compañía de seguridad contratada que supervisa el
perímetro de las instalaciones de la institución. También controlan la
identificación y acceso del personal y de los visitantes, aunque con las
limitantes citadas anteriormente. La compañía se encarga de la vigilancia
en horas nocturnas al interior de la institución.
![Page 61: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/61.jpg)
123
Las locaciones donde hay equipo informático se dejan cerradas con llave,
sin embargo existe vulnerabilidad para acceder a estas locaciones por las
ventanas o por el techo.
En horas y días hábiles, los empleados de la institución podrían darse
cuenta si alguien externo a la institución tiene un comportamiento
sospechoso, o intenta sustraer algún equipo u activo de información
propiedad de la institución. Esto podría ser reportado inmediatamente a los
agentes de seguridad para que intervengan a fin de evitar el incidente.
Todos los equipos y sistemas de informática de la institución están
debidamente inventariados por el departamento de activo fijo de la división
administrativa. Los equipos son identificados mediante un código con el que
son referenciados en el inventario de activo fijo.
A-A.16: ATAQUE DESTRUCTIVO
Tipos de Activos
Hardware, equipos en general
Soportes de información
Dimensiones
1. Disponibilidad
Descripción
Vandalismo, terrorismo, acción militar, etc. Esta amenaza puede ser
perpetrada por personal interno, por personas ajenas a la Organización o por
personas contratadas de forma temporal.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los controles y mecanismos de seguridad física orientados a prevenir
ataques de esta naturaleza en la institución son mínimos. En las locaciones
donde se encuentran equipos críticos no existen los adecuados
mecanismos de control de acceso físico que permitan el paso solo al
personal estrictamente autorizado, ni tampoco hay un monitoreo
automatizado de estos accesos.
![Page 62: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/62.jpg)
124
No se cuentan con sistemas de alarmas contra robo o intrusos para horas
nocturnas, ni siquiera en la locación de la división de informática que es
donde se encuentran los equipos de misión crítica para las operaciones de
la institución.
No se lleva un control minucioso de los sitios permitidos a los que pueden
tener acceso los visitantes, personal externo, contratistas y demás
personas ajenas a la institución. Después de ser identificados en la portería
por el personal de seguridad, los visitantes pueden transitar libremente por
todas las instalaciones de la institución. No se chequean entradas y salidas
de equipos para comprobar si pudieran ser o no de la institución.
No se cuentan con sistemas de circuito cerrado por televisión para
monitorear la actividad tanto del personal de la institución, como de
personas ajenas a esta.
Los documentos de identificación de los empleados no llevan fotografía
que facilite la comprobación de la identidad de alguien en forma inmediata,
ni la autenticidad de dicha identificación. En el caso de los visitantes, las
tarjetas de visitantes no son de un color diferente a las identificaciones de
los empleados, y no difieren en mucho de estas, salvo por el hecho que
llevan el texto que dice “visitante”, pero pueden fácilmente ser confundidas.
Atenuantes de las vulnerabilidades:
Se cuenta con una compañía de seguridad contratada que supervisa el
perímetro de las instalaciones de la institución. También controlan la
identificación y acceso del personal y de los visitantes, aunque con las
limitantes citadas anteriormente. La compañía se encarga de la vigilancia
en horas nocturnas al interior de la institución.
Las locaciones donde hay equipo informático se dejan cerradas con llave,
sin embargo existe vulnerabilidad para acceder a estas locaciones por las
ventanas o por el techo.
![Page 63: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/63.jpg)
125
En horas y días hábiles, los empleados de la institución podrían darse
cuenta si alguien externo a la institución tiene un comportamiento
sospechoso. Esto podría ser reportado inmediatamente a los agentes de
seguridad para que intervengan a fin de evitar cualquier incidente.
A-A.17: Ocupación Enemiga
Tipos de Activos
Hardware, equipos en general
Soportes de información
Dimensiones
1. Disponibilidad
2. Confidencialidad
Descripción
Cuando los locales han sido invadidos y se carece de control sobre los propios
medios de trabajo.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Debido a que el país no se encuentra en una situación de guerra directa contra
algún otro país o alguna fuerza armada opositora al gobierno legalmente instituido,
no se consideran vulnerabilidades respecto a esta amenaza, por lo que la
probabilidad de existencia de riesgos respecto a este punto se considera mínima.
A-A.18: INDISPONIBILIDAD DEL PERSONAL
Tipos de Activos
Personal
Dimensiones
1. Disponibilidad
Descripción
Ausencia deliberada del puesto de trabajo: como huelgas, absentismo laboral,
bajas no justificadas, bloqueo de los accesos, etc.
![Page 64: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/64.jpg)
126
Vulnerabilidades detectadas relacionadas a esta amenaza:
Se considera que existe personal que tiene funciones administrativas sobre
la operación de los sistemas de información cuya presencia en la institución
es crítica debido al dominio y experiencia que tienen sobre los sistemas, y
no ha sido posible efectuar una transferencia de conocimiento a mas
personal del departamento de informática para que puedan asumir los
mismos roles en caso de ausencia o indisponibilidad del personal.
No existen manuales detallados sobre los procedimientos que deben
realizarse para efectuar tareas administrativas o resolución de problemas
frecuentes que tengan que ver con el mantenimiento y configuración de los
sistemas y servicios de información críticos para la institución.
Si se llegara a ejecutar cambios en el personal de administración de la
plataforma tecnológica, sería un problema la comprensión de las
configuraciones actuales de los diferentes sistemas y servicios de
información de la institución, debido a la ausencia de documentación sobre
las configuraciones.
A-A.19: INGENIERIA SOCIAL
Tipos de Activos
Personal
Dimensiones
1. Disponibilidad
2. Integridad
3. Confidencialidad
4. Autenticidad del servicio
5. Autenticidad de los datos
Descripción
Abuso de la buena fe de las personas para que realicen actividades que
interesan a un tercero.
![Page 65: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/65.jpg)
127
Vulnerabilidades detectadas relacionadas a esta amenaza:
El personal en general, no conoce las políticas de seguridad de la Ia institución, ni
han sido sensibilizados sobre la importancia de la información y de la preservación
de la seguridad de la misma para la realización de las operaciones en la
organización. Esta vulnerabilidad podría dar lugar a que se obtuvieran datos o
información importante que incluso podría causar la realización de otras amenazas
e incidentes de seguridad de proporciones mayores.
![Page 66: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/66.jpg)
128
4.4.2.5 Correlación entre las amenazas por errores no intencionados y los ataques deliberados
Numero Error Ataque
1 Error de los usuarios 2 Errores del administrador 3 Errores de monitorización (logs) 4 Errores de configuración Manipulación de la configuración
5 Suplantación de la identidad del usuario
6 Abuso de privilegios de acceso 7 Deficiencias en la Organización Uso no Previsto 8 Difusión de software dañino Difusión de software dañino 9 Errores de re-enrutamiento Re-enrutamiento de mensajes
10 Destrucción de información Destrucción de información
11 Vulnerabilidades de los programas (software) Manipulación de los Programas
12 Errores de mantenimiento / actualización de programas (software)
13 Errores de mantenimiento / actualización de equipos (hardware)
14 Caída del sistema por agotamiento de recursos Denegación de servicios
15 Robo 16 Ataque destructivo 17 Ocupación Enemiga 18 Indisponibilidad del Personal Indisponibilidad del Personal 19 Ingeniería Social
![Page 67: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/67.jpg)
129
4.5 ANÁLISIS DE RIESGOS E IMPACTOS
Una vez que se tienen definidos las amenazas a las que están expuestos los
activos de información en la institución, así como las vulnerabilidades internas que
los recursos de información poseen, ya sea por las condiciones de su entorno, o
por deficiencias en la administración, se puede determinar cuales son los riesgos a
los cuales se enfrenta la institución en materia de seguridad de la información, y
que eventualmente, en caso de materializarse, podrían constituir un desastre
informático.
En el análisis de riesgos, la preocupación está relacionada con tres simples
preguntas: ¿qué está bajo riesgo?, ¿qué puede ir mal? y ¿cuál es la probabilidad
de que suceda? Los datos presentados en este apartado pueden ser de gran
ayuda a los responsables de la institución para valorar las acciones a tomar para
la prevención y mitigación de riesgos, a fin de evitar en lo posible, los desastres.
Para la evaluación de los riesgos es posible usar métodos muy variados en
composición y complejidad, pero para todos ellos es necesario realizar un
diagnóstico de la situación.
Un método comúnmente utilizado es el siguiente diagrama:
Fig. 4.2: Probabilidad vs. Impacto para evaluar riesgos.
![Page 68: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/68.jpg)
130
Es necesario para determinar el índice de exposición a riesgos, determinar la
probabilidad que existe de que un riesgo se materialice, así como el impacto que
esta eventualidad causaría en las operaciones de la organización.
Teniendo el diagrama anterior como referencia se procedió a diseñar una matriz
de riesgos e impactos donde se sintetizan los activos de la institución, agrupados
en categorías de activos, y sus criticidades. Estos grupos de activos han sido
evaluados contra la posibilidad de que cada una de las amenazas pertinentes,
listadas anteriormente, puedan materializarse.
Los valores de probabilidad asignados a cada amenaza, fueron asignados por el
equipo que ha elaborado esta tesis y han sido razonados sobre todo, a partir de
las vulnerabilidades que fueron detectadas, así como también del historial de
eventos que se han dado en la institución y que nos fueron manifestados en las
entrevistas realizadas.
Por otro lado, los valores de criticidad e impactos asociados a cada activo fueron
dados por el personal de la institución que fue entrevistado, siendo ellos los más
idóneos para determinar la importancia de sus activos de información.
La matriz de impactos esta basada en la siguiente tabla de referencia:
Rango de Impacto
ALT
A
impacto Moderado
Alto impacto
Alto Impacto
MED
Bajo Impacto
Impacto Moderado
Alto Impacto
Criticidad Activo
BA
JA
Bajo Impacto
Bajo Impacto
Impacto moderado
Bajo Medio Alto Rango Vulnerabilidad
![Page 69: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/69.jpg)
131
Con esta matriz se puede determinar el rango de impacto causado por una
amenaza que afecte a un determinado activo, según su criticidad y las
vulnerabilidades presentes.
A partir de los rangos de impacto determinados anteriormente, se procede a
evaluarlos contra los valores de probabilidad determinados para cada amenaza y
se relacionan según esta nueva tabla de referencia.
Tasa de Nivel de Riesgo
ALT
O
Riesgo Moderado Alto Riesgo Alto Riesgo
MED
Bajo Riesgo
Riesgo Moderado Alto Riesgo
Impacto (de la tabla de Impacto
anterior)
BA
JO
Bajo Riesgo
Bajo Riesgo
Riesgo Moderado
Bajo Medio Alto Valor de Probabilidad
Los valores de probabilidad vienen dados según la tabla de referencia que se
muestra a continuación:
Referencia de Valores de Probabilidad Calificación Descripción
ALTA Bastante probable. Varios eventos en un año
MEDIA Probable, al menos un evento en un año
BAJA Poco probable. Al menos un evento cada cinco años.
A continuación se presenta el informe general de riesgos informáticos de la
DIGESTYC, sintetizado en una matriz que nos muestra los niveles de exposición a
los riesgos.
![Page 70: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/70.jpg)
132
Nuevamente se hace énfasis en que el objeto de este trabajo es la formulación de
un plan de recuperación de desastres, en el cual, básicamente se define como
reaccionar ante un desastre. Sin embargo a partir de la información mostrada en
el informe de riesgos, la institución debe hacer esfuerzos adicionales en el campo
de la prevención, para que además de contar con un plan de recuperación de
desastres, puedan ampliar su gestión a los campos de prevención y mitigación de
riesgos, a fin de prevenir hasta donde sea posible, el desastre.
![Page 71: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/71.jpg)
133
CATALOGO COMPLETO DE AMENAZAS ANALIZADAS
CODIGO DESCRIPCION A-N.1 FUEGO A-N.2 DAÑOS POR AGUA A-N.3 DESASTRES NATURALES A-I.1 FUEGO A-I.2 DAÑOS POR AGUA A-I.3 DESASTRES INDUSTRIALES A-I.4 CONTAMINACIÓN MECÁNICA O DE AMBIENTE. A-1.5 INTERFERENCIA ELECTROMAGNETICA A-I.6 AVERÍAS DE ORIGEN FÍSICO O LÓGICO A-I.7 CORTE DEL SUMINISTRO ELÉCTRICO A-1.8 CONDICIONES INADECUADAS DE TEMPERATURA Y/O HUMEDAD A-I.9 FALLO DE SERVICIOS DE COMUNICACIONES A-I.10 INTERRUPCIÓN DE OTROS SERVICIOS Y SUMINISTROS ESENCIALES A-I.11 DEGRADACIÓN DE LOS SOPORTES DE INFORMACIÓN A-E.1 ERRORES DE LOS USUARIOS. A-E.2 ERRORES DEL ADMINISTRADOR A-E.3 ERRORES DE MONITORIZACIÓN A-E.4 ERRORES DE CONFIGURACIÓN A-E.7 DEFICIENCIAS EN LA ORGANIZACIÓN A-E.8 DIFUSION DE SOFTWARE DAÑINO A-E.9 ERRORES DE ENRUTAMIENTO A-E.10 DESTRUCCIÓN DE LA INFORMACIÓN A-E.11 VULNERABILIDADES EN LOS PROGRAMAS (SOFTWARE) A-E.12 ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE PROGRAMAS (SOFTWARE) A-E.13 ERRORES DE MANTENIMIENTO / ACTUALIZACIÓN DE EQUIPOS (HARDWARE) A-E.14 CAIDA DEL SISTEMA POR AGOTAMIENTO DE RECURSOS A-E.18 INDISPONIBILIDAD DEL PERSONAL A-A.4 MANIPULACIÓN DE LA CONFIGURACIÓN A-A.5 SUPLANTACIÓN DE LA IDENTIDAD DEL USUARIO A-A.6 ABUSO DE PRIVILEGIOS DE ACCESO A-A.7 USO NO PREVISTO A-A.8 DIFUSIÓN DE SOFTWARE DAÑINO A-A.9 RE-ENRUTAMIENTO DE MENSAJES A-A.10 DESTRUCCIÓN DE LA INFORMACIÓN A-A.11 MANIPULACIÓN DE PROGRAMAS A-A.14 DENEGACIÓN DE SERVICIO A-A.15 ROBO A-A.16 ATAQUE DESTRUCTIVO A-A.17 OCUPACIÓN ENEMIGA A-A.18 INDISPONIBILIDAD DEL PERSONAL A-A.19 INGENIERIA SOCIAL
![Page 72: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/72.jpg)
134
MATRIZ DE RIESGOS DE SEGURIDAD INFORMÁTICA EN LA DIGESTYC
Activos Exposure
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 A A B M A-N.2 M A B M A-N.3 M A B M A-I.1 M A B M A-I.2 M A M A A-I.3 B M B B A-I.4 B M M M A-1.5 B M B B A-I.6 B M B B A-I.7 A A A A A-1.8 M A M A A-I.9 B M M M A-I.11 M A B M A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A A-E.8 B M M M A-E.11 M A B M A-E.12 B M B B A-E.13 N/A FALSO B FALSO A-E.14 M A M A A-A.4 A A B M A-A.5 A A M A A-A.6 M A B M A-A.7 M A B M
GRUPO DE SERVIDORES CRITICIDAD ALTA
(Controlador de dominio, SQL Server, Web, Mail Server,
Backup)
SW, HW,SI A
A-A.8 B M A A
![Page 73: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/73.jpg)
135
A-A.11 M A B M A-A.14 M A B M A-A.15 A A M A A-A.16 A A B M
A-A.17 N/A FALSO B FALSO ACTIVOS EXPOSICIÓN
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 M A B M A-N.2 M A M A A-N.3 M A B M A-I.1 M A B M A-I.2 M A B M A-I.3 B M B B A-I.4 B M M M A-1.5 B M B B A-I.6 B M B B A-I.7 A A A A A-1.8 M A M A A-I.9 B M B B A-I.10 N/A FALSO N/A FALSO A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A A-E.9 B M B B
A-E.13 N/A FALSO B FALSO A-E.14 M A M A
Grupo de equipos auxiliares y de comunicaciones.
Criticidad Alta (UPS de servidores, Firewall, Conmutadores principales)
HW A
A-A.4 A A B M
![Page 74: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/74.jpg)
136
A-A.5 A A B M A-A.6 M A B M A-A.7 M A B M A-A.9 B M B B A-A.14 M A B M A-A.15 A A M A A-A.16 A A B M
A-A.17 N/A FALSO N/A FALSO ACTIVOS EXPOSICIÓN
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 M A B M A-N.2 M A B M A-N.3 M A B M A-I.1 M A B M A-I.2 M A M A A-I.3 B M B B A-I.6 B M B B A-I.9 B M B B A-I.11 M A B M A-E.1 B M M M A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A A-E.8 B M M M A-E.9 B M B B
A-E.11 M A B M
APLICACIONES CRÍTICAS (Aplic. .NET internas,
Aplicaciones de Precios, Aplic. Activo fijo, Aplic. CSPRO e
ISSA)
SW A
A-E.12 B M M M
![Page 75: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/75.jpg)
137
A-A.4 A A B M A-A.5 A A M A A-A.6 M A B M A-A.7 M A B M A-A.8 B M A A A-A.9 B M B B A-A.11 M A B M
A-A.14 M A B M ACTIVOS EXPOSICIÓN
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 M A B M A-N.2 M A B M A-N.3 M A B M A-I.1 M A B M A-I.2 M A M A A-I.3 B M B B A-I.4 B M M M A-I.6 B M B B A-I.7 A A A A A-E.1 B M M M A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A
A-E.10 M A M A A-E.11 M A B M A-A.4 A A B M
BASES DE DATOS (SQL, FOX, CSPRO, ISSA Y SQL para pruebas y desarrollo)
D A
A-A.10 M A M A
![Page 76: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/76.jpg)
138
ACTIVOS EXPOSICIÓN
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 M A B M A-N.2 M A B M A-N.3 M A B M A-I.1 M A B M A-I.2 M A M A A-I.3 B M B B A-I.4 B M M M A-1.5 B M B B A-I.6 B M B B A-I.7 A A A A A-1.8 M A M A A-I.9 B M M M A-I.11 M A B M A-E.2 B M B B A-E.3 M A B M A-E.4 M A M A A-E.8 B M M M
A-E.11 M A B M A-E.12 B M B B A-E.13 N/A FALSO B FALSO A-E.14 M A M A A-A.4 A A B M A-A.5 A A M A A-A.6 M A B M
Computadoras de criticidad alta en div. sistemas y en las
oficinas de Dirección.
HW, SW, SI A
A-A.7 M A M A
![Page 77: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/77.jpg)
139
A-A.8 M A A A A-A.11 M A B M A-A.14 M A B M A-A.15 A A M A A-A.16 A A B M
A-A.17 N/A FALSO B FALSO ACTIVOS EXPOSICIÓN
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 M M B B A-N.2 M M B B A-N.3 M M B B A-I.1 M M B B A-I.2 M M M M A-I.3 B B B B A-I.4 B B M B A-1.5 B B B B A-I.6 B B B B A-I.7 A A A A A-1.8 M M M M A-I.9 B B M B A-I.11 M M B B A-E.2 B B B B A-E.3 M M B B A-E.4 M M M M A-E.8 B B M B
A-E.11 M M B B
Grupo de servidores de criticidad media : Proxy y
VPNServer
HW, SW, SI M
A-E.12 B B B B
![Page 78: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/78.jpg)
140
A-E.13 N/A FALSO B FALSO A-E.14 M M M M A-A.4 A A B M A-A.5 A A M A A-A.6 M M B B A-A.7 M M M M A-A.8 M M A A A-A.11 M M B B A-A.14 M M B B A-A.15 A A B M A-A.16 A A B M
A-A.17 N/A FALSO B FALSO ACTIVOS EXPOSICIÓN
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 M M B B A-N.2 M M B B A-N.3 M M B B A-I.1 M M B B A-I.2 M M B B A-I.3 B B B B A-I.4 B B M B A-1.5 B B B B A-I.6 B B B B A-I.7 A A A A A-1.8 M M M M A-I.9 B B B B
Equipos comunicaciones definidos con criticidad media
(en general) HW M
A-I.10 N/A FALSO N/A FALSO
![Page 79: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/79.jpg)
141
A-E.2 B B B B A-E.3 M M B B A-E.4 M M M M A-E.9 B B B B
A-E.13 N/A FALSO B FALSO A-E.14 M M M M A-A.4 A A B M A-A.5 A A B M A-A.6 M M B B A-A.7 M M B B A-A.9 B B B B A-A.14 M M B B A-A.15 A A M A A-A.16 A A B M
A-A.17 N/A FALSO N/A FALSO ACTIVOS EXPOSICIÓN
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 M M B B A-N.2 M M B B A-N.3 M M B B A-I.1 M M B B A-I.2 M M M M A-I.3 B B B B A-I.4 B B M B A-1.5 B B B B A-I.6 B B B B
Grupo de computadoras de criticidad media de todas las
divisiones.
HW, SW, SI M
A-I.7 A A A A
![Page 80: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/80.jpg)
142
A-1.8 M M M M A-I.9 B B M B A-I.11 M M B B A-E.2 B B B B A-E.3 M M B B A-E.4 M M M M A-E.8 B B M B
A-E.11 M M B B A-E.12 B B B B A-E.13 N/A FALSO B FALSO A-E.14 M M M M A-A.4 A A B M A-A.5 A A M A A-A.6 M M B B A-A.7 M M M M A-A.8 M M A A A-A.11 M M B B A-A.14 M M B B A-A.15 A A M A A-A.16 A A B M
A-A.17 N/A FALSO B FALSO
![Page 81: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/81.jpg)
143
ACTIVOS EXPOSICIÓN
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 M B B B A-N.2 M B B B A-N.3 M B B B A-I.1 M B B B A-I.2 M B M B A-I.3 B B B B A-I.4 B B M B A-1.5 B B B B A-I.6 B B B B A-I.7 A M A A A-1.8 M B M B A-I.9 B B M B A-I.11 M B B B A-E.2 B B B B A-E.3 M B B B A-E.4 M B M B A-E.8 B B M B
A-E.11 M B B B A-E.12 B B B B A-E.13 N/A FALSO B FALSO A-E.14 M B M B A-A.4 A M B B A-A.5 A M M M A-A.6 M B B B
Grupo de computadoras de criticidad baja de todas las
divisiones.
HW, SW, SI
B
A-A.7 M B M B
![Page 82: Auditoria de sistemas Tesis_JRTF_capitulo4](https://reader030.fdocuments.ec/reader030/viewer/2022020116/5571f2c349795947648d048c/html5/thumbnails/82.jpg)
144
A-A.8 M B A M A-A.11 M B B B A-A.14 M B B B A-A.15 A M M M A-A.16 A M B B
A-A.17 N/A FALSO B FALSO ACTIVOS EXPOSICIÓN
Nombre Tipo Criticidad (Alta, Media, Baja) Amenaza
Rango de Vulnerab (A, M, B)
Rango Impacto (A,M,B)
Probabilidad (A,M,B)
Resumen Nivel de Riesgo (A,M,B)
A-N.1 M A B M A-N.3 M A B M A-I.1 M A B M A-I.3 B M B B
A-E.18 M A M A A-A.18 M A B M
Personal crítico para el manejo de la información (administradores,
desarrolladores, etc.)
P A
A-A.19 B M B B