Análisis de Riesgo de la Seguridad de la Información

Anuncio
Escuela de Ciencia y Tecnología
Facultad de Ingeniería
DESARROLLO DE REDES IV.
“METODOLOGIA DE ANALISIS DE RIESGO DE LA EMPRESA LA
CASA DE LAS BATERIAS S.A DE C.V”
Catedrático: Ing. Rodrigo Torres
INTEGRANTES:
Arévalo Bernal, Oscar William
25-0610-2002
Escalante Solórzano, Katia Elizabeth
25-3394-2003
Guevara Ruano, Nancy Elizabeth
25-0592-2003
Jiménez Hernández, Miguel Ángel
25-3405-2002
Montoya López, Ana Beatriz
25-2382-2003
Orellana Meléndez, José Hernán
25-1005-1999
Sección : 01
San Salvador, 21 de Mayo del 2009
Análisis de Riesgo de la Seguridad Informática.
INDICE.
Pagina
Introducción
Objetivos
6
Marco Teórico
7
Determinación de la probabilidad
11
Identificación de las vulnerabilidades
11
Identificación de amenazas
12
Limitantes del análisis de riesgo
13
Priorización de riesgos
14
Planteamiento del Problema
15
Descripción de la empresa
15
Misión
15
Visión
15
Políticas
16
Organigrama de la empresa
16
Organización interna de la empresa
17
Planteamiento del problema
17
Descripción de la metodología utilizada.
18
Análisis de Riesgo
18
Paso 1: Activos
19
Tipos de Activos a determinar
20
Dependencias
20
Dimensiones de Valoración
21
Valoración
23
2
Análisis de Riesgo de la Seguridad Informática.
Paso 2: Amenazas
23
Tipos de Amenazas a determinar
23
Valoración de las amenazas
24
Paso 3: Determinación del impacto.
25
Paso 4: Determinación del riesgo
26
Desarrollo de la Metodología
27
Entrevistas
27
Tablas de inventario de activos
32
Tablas de Amenazas y Vulnerabilidades
35
Análisis de riesgos e impactos
43
Conclusiones
44
Glosario
46
Bibliografía
48
3
Análisis de Riesgo de la Seguridad Informática.
INTRODUCCIÓN
En el presente trabajo se ha realizado la documentación sobre una consultoría de seguridad
en la empresa “LA CASA DE LAS BATERIAS S.A DE C.V”. La cual se encuentra ubicada en el lugar
(parte de la dirección) siendo el principal rubro (actividad a la que se dedica).
Para llevar a cabo la investigación se hizo uso de diferentes técnicas de recolección de
información como entrevistas a encargados del área de informática para determinar diversos
factores que intervienen como vulnerabilidades, amenazas, entre otros. En la seguridad de la
empresa antes mencionada se ha desarrollado la Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información, en este informe detallamos tanto
información general como
específica sobre lo que se refiere esta metodología llamada Magerit, elaborado por el Ministerio
español de Administraciones Públicas, Dado su carácter abierto que también se utiliza fuera de la
Administración.
En la primera parte del Marco Teórico se incluye fundamentos teóricos sobre diferentes
conceptos como lo son riesgo, vulnerabilidades, amenazas entre otros conceptos teóricos que son
de mucha importancia para el desarrollo de esta consultoría además para determinar qué factores
están afectando de forma directa o indirecta en la empresa para lograr tener una calidad en la
seguridad tanto física como seguridad lógica para lograr cumplir con los objetivos de la seguridad
entre los cuales cuenta con confidencialidad, integridad y disponibilidad.
En la segunda parte se da una explicación de forma breve pero detallada sobre el
planteamiento del problema entre la cual se incluyen aspectos fundamentales sobre la explicación
de la organización de la empresa, la situación actual de la empresa, tipo de rubro a la cual se dedica
la empresa, así como también la área de negocio procesos de la organización además se incluye
parte de los problemas de seguridad los cuales han sido verificados por parte del grupo de
consultores como planteados por la empresa.
En la tercera parte se da a conocer de forma detallada la documentación técnica de la
metodología a seguir para el desarrollo de la consultoría con la diferencia que en esta parte se da a
conocer de forma más explícita con la cual se pretende entre otros aspectos hacer que los
responsables de los sistemas de información tanto de la existencia de riesgos y de la necesidad de
4
Análisis de Riesgo de la Seguridad Informática.
Tratar a tiempo. Dichos inconvenientes para lograr obtener una certificación o una acreditación
según sea el caso.
Esta metodología se basa en tres libros los cuales están detallados de forma específica sus
principales funciones así como las normativas ISO de las cuales se basan o se rigen. También
planteamos el análisis de riesgos que desarrollaremos el cual nos permite determinar qué tiene la
Organización y estimar lo que podría pasar de forma metódicamente.
Así como los Elementos que intervienen como son los Activos, elementos del sistema de
información que aportan valor a la organización, las Amenazas que son cosas que perjudican a la
organización; para evitar estos inconvenientes hay que tomar medidas para salvaguardar dichos
activos con el desarrollo de este podremos determinar elementos para medir el riesgo por el cual
se está enfrentando o se pueda enfrentar así como también el impacto que podría suceder si se
dieran dichos inconvenientes para esto determinamos una serie de pasos los cuales se llevaran a
cabo para una correcta determinación del análisis de riesgos en la implementación de la
metodología.
La cual se desarrolla en la cuarta parte según lo que se ha presentado en por parte de la
empresa para la cual se está desarrollando esta consultoría en la cual ya se identificaron parte de
los riesgos y vulnerabilidades descubiertos por parte del grupo de consultores y están detallados en
esta parte del documento.
Además se ha brinda una parte de las conclusiones que se han tomado aunque estas de
forma general ya que se espera realizarlo de forma específica para la culminación de esta
consultoría la cual está siendo desarrollada hasta el momento y será culminada hasta el próximo
avance.
5
Análisis de Riesgo de la Seguridad Informática.
OBJETIVOS
Objetivo General:
Desarrollar una consultoría de seguridad en la empresa “LA CASA DE LAS BATERIAS, S.A DE C.V”
para determinar diversos factores que intervienen para lograr mejorar la seguridad de la
información en la organización.
Objetivos Específicos:
Conocer de forma detallada la metodología que se implementara para realizar una correcta
consultoría de seguridad a la empresa.
Implementar de forma correcta y eficiente la Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información, Magerit la cual será desarrollada por parte del grupo de
consultores de seguridad.
Realizar un planteamiento de análisis de Riesgos de seguridad con miras a identificar
vulnerabilidades así como también los riesgos potenciales y políticas de la empresa
Brindar un informe detallado en el cual se brindaran soluciones específicas para aplacar con
los riesgos o amenazas con el fin de minimizar los ataques a los que enfrenta la empresa.
Formular en base al análisis de riesgos de quien se debe proteger los activos de la empresa
ya sean estos usuarios inexpertos como atacantes externos, además de las aplicaciones a las
cuales se debe tener usos restringidos considerados como fundamentales para la
organización.
6
Análisis de Riesgo de la Seguridad Informática.
1.0 MARCO TEORICO
El concepto de riesgo está presente en la totalidad de las actividades que realiza el ser
humano, por lo que antes de implementar cualquier mecanismo de seguridad (software, hardware,
política, etc.) en las Tecnologías de la Información, es necesario conocer la prioridad de aplicación y
que tipo de medida podemos aplicar. El análisis de riesgos es el primer paso de la seguridad
informática.
Riesgo: es un evento, el cual es incierto y tiene un impacto negativo. También se puede definir
como la posibilidad de sufrir un daño por la exposición a un peligro y peligro: es la fuente del
riesgo y se refiere a una substancia o a una acción que puede causar daño. Las metodologías de
análisis de riesgos existentes describen sus etapas en forma teórica, se presentan pocos ejemplos o
es necesario una herramienta para realizarlo, cuyo costo normalmente es elevado.
Por lo anterior es necesario establecer una metodología cualitativa práctica para realizar un análisis
de riesgos a las áreas de TI, estableciendo cómo puede ejecutarse el análisis.
Análisis de riesgo: es el proceso cuantitativo o cualitativo que permite evaluar los riesgos.
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de
riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios
de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en
torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores
operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el
tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar
los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
Dentro del tema de análisis de riesgo se ven reflejados cinco elementos muy importantes
dentro del concepto estos son los siguientes: probabilidad, amenazas, vulnerabilidades, activos e
impactos.
Probabilidad
Amenazas
Vulnerabilidades
Activos
Impactos
7
Análisis de Riesgo de la Seguridad Informática.
PROBABILIDAD: establecer la probabilidad de ocurrencia puede realizarse de manera
cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la
existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué
posibilidades existen que la amenaza se presente independientemente del hecho que sea o no
contrarrestada.
Existen amenazas, como por ejemplo incendios, para las cuales hay información
suficiente (series históricas, compañías de seguros y otros datos) para establecer con
razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor
dificultad en establecer cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado
a datos; dónde se hacen estimaciones sobre la base de experiencias.
AMENAZAS: las amenazas siempre existen y son aquellas acciones que pueden ocasionar
consecuencias negativas en la operativa de la empresa. Comúnmente se indican como
amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de
software, los desastres ambientales como terremotos o inundaciones, accesos no
autorizados, facilidad de acceso a las instalaciones, etc.
Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en el primer
caso, o un acceso no autorizado a una base de datos en el segundo caso.
VULNERABILIDADES: son ciertas condiciones inherentes a los activos o presentes en su entorno
que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables. Mediante el
uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas
siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar
ningún impacto.
Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan las
siguientes: falta de conocimiento del usuario, tecnología inadecuadamente probada
(“testeada”), transmisión por redes públicas, etc.
Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al
virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien
potencialmente seguiría existiendo no podría materializarse.
ACTIVOS: Los activos a reconocer son aquellos relacionados con sistemas de información.
Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y
recursos humanos.
IMPACTOS: las consecuencias de la ocurrencia de las distintas amenazas son siempre
negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo
plazo.
8
Análisis de Riesgo de la Seguridad Informática.
Se puede establecer que las más comunes son: la pérdida directa de dinero, la pérdida
de confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan
comunes, felizmente, son la pérdida de vidas humanas, afectación del medio ambiente, etc.
Las amenazas se pueden convertir en realidad a través de fallas de seguridad, que
conocemos como vulnerabilidades y que deben ser eliminadas al máximo para que el ambiente que
se desea proteger esté libre de riesgos de incidentes de seguridad.
Por lo tanto, la relación entre amenaza-incidente-impacto, es la condición principal a tomar
en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que
se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos. A
continuación presentamos un esquema de la relación que existe en los elementos antes
mencionados.
Aprovechan las vulnerabilidades encontradas en nuestros sistemas y que se convierten en:
Que originan
Incidentes
Los impactos pueden ser
desastrosos,
según
su
amplitud y gravedad.
Son los hechos que deben ser
evitados en una organización,
puesto que causan impacto a los
negocios.
En virtud de la acción de un
agente o condición natural, que
son las amenazas en sí mismas,
los incidentes generan una serie
de problemas que pueden
afectar los principios de la
seguridad de la información.
9
Sin importar el tipo de
incidente, lo importante es
evaluar el impacto que
puede causar en los
diferentes activos de la
empresa.
Análisis de Riesgo de la Seguridad de la Información
El activo más importante que se posee es la información y, por lo tanto, deben
existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre
los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que
consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los
datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está
permitido debe estar prohibido" y ésta debe ser la meta perseguida.
Los medios para conseguirlo son:
1. Restringir el acceso (de personas de la organización y de las que no lo son) a los
programas y archivos.
2. Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión
minuciosa).
3. Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
4. Asegurar que la información transmitida sea la misma que reciba el destinatario
al cual se ha enviado y que no le llegue a otro.
5. Asegurar que existan sistemas y pasos de emergencia alternativos de
transmisión entre diferentes puntos.
6. Organizar a cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
7. Actualizar constantemente las contraseñas de accesos a los sistemas de
cómputo.
Una vez que la programación y el funcionamiento de un dispositivo de
almacenamiento (o transmisión) de la información se consideran seguras, todavía
deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a
los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única
protección posible es la redundancia (en el caso de los datos) y la descentralización por ejemplo mediante estructura de redes- (en el caso de las comunicaciones).
Estos fenómenos pueden ser causados por:
El usuario: causa del mayor problema ligado a la seguridad de un sistema
informático (porque no le importa, no se da cuenta o a propósito).
Programas maliciosos: programas destinados a perjudicar o a hacer un uso
ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el
ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos
10
Análisis de Riesgo de la Seguridad de la Información
programas pueden ser un virus informático, un gusano informático, un troyano,
una bomba lógica o un programa espía o Spyware.
Un intruso: persona que consigue acceder a los datos o programas de los cuales
no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer,
etc.).
Un siniestro (robo, incendio, por agua): una mala manipulación o una mal
intención derivan a la pérdida del material o de los archivos.
El personal interno de Sistemas. La competencia del poder que llevan a
disociaciones entre los sectores y soluciones incompatibles para la seguridad
informática.
1.1 Determinación de la probabilidad.
Con el fin de derivar una probabilidad o una estimación de la ocurrencia de un
evento, los siguientes factores deben ser tomados en cuenta:
Fuente de la amenaza y su capacidad.
Naturaleza de la vulnerabilidad.
La probabilidad que una vulnerabilidad potencial pueda ser explotada por una fuente
de amenaza la podemos clasificar en alta, media-alta, media, media-baja y baja.
1.2 Identificación de Vulnerabilidades.
Para la identificación de vulnerabilidades sobre la plataforma de tecnología, se
utilizan herramientas como listas de verificación y herramientas de software que
determinan vulnerabilidades a nivel del sistema operativo y firewall:
Seguridad Física.





Monitoreo ambiental
Control de acceso
Desastres naturales
Control de incendios
Inundaciones
Seguridad en las conexiones a Internet.
 Políticas en el Firewall
 VPN
 Detección de intrusos
Seguridad en la infraestructura de comunicaciones.
 Routers
11
Análisis de Riesgo de la Seguridad de la Información




Switches
Firewall
Hubs
RAS
Seguridad en Sistema Operacionales (Unix, Windows)
 Correo Electrónico
Seguridad en las aplicaciones Críticas
 Se define las aplicaciones que son críticas para la organización y por cada una de
ellas se obtendrá una matriz de riesgo. Es importante considerar que las
aplicaciones están soportadas por: Sistemas operativos, hardware servidor, redes
LAN y WAN, y el Centro de cómputo.
1.3 Identificación de Amenazas.
Una vez conocemos los recursos que debemos proteger y de identificar las
vulnerabilidades es hora de identificar de igual manera las amenazas que se ciernen
contra ellos. Una vulnerabilidad es cualquier situación que pueda desembocar en un
problema de seguridad, y una amenaza es la acción específica que aprovecha una
vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha
relación: sin vulnerabilidades no hay amenazas, y sin amenazas no hay
vulnerabilidades.
Se suelen dividir las amenazas que existen sobre los sistemas informáticos en tres
grandes grupos, en función del ámbito o la forma en que se pueden producir:
Desastres del entorno.
Dentro de este grupo se incluyen todos los posibles problemas relacionados con la
ubicación del entorno de trabajo informático o de la propia organización, así como con
las personas que de una u otra forma están relacionadas con el mismo. Por ejemplo, se
han de tener en cuenta desastres naturales (terremotos, inundaciones...), desastres
producidos por elementos cercanos, como los cortes de fluido eléctrico, y peligros
relacionados con operadores, programadores o usuarios del sistema.
Amenazas en el sistema.
Bajo esta denominación se contemplan todas las vulnerabilidades de los equipos y
su software que pueden acarrear amenazas a la seguridad, como fallos en el sistema
operativo, medidas de protección que éste ofrece, fallos en los programas, copias de
seguridad.
12
Análisis de Riesgo de la Seguridad de la Información
Amenazas en la red.
Cada día es menos común que una máquina trabaje aislada de todas las demás; se
tiende a comunicar equipos mediante redes locales, intranets o la propia Internet, y
esta interconexión acarrea nuevas - y peligrosas - amenazas a la seguridad de los
equipos, peligros que hasta el momento de la conexión no se suelen tener en cuenta.
Por ejemplo, es necesario analizar aspectos relativos al cifrado de los datos en tránsito
por la red, a proteger una red local del resto de internet, o a instalar sistemas de
autenticación de usuarios remotos que necesitan acceder a ciertos recursos internos a
la organización (como un investigador que conecta desde su casa a través de un
módem).
No siempre hemos de contemplar a las amenazas como actos intencionados contra
nuestro sistema: muchos de los problemas pueden ser ocasionados por accidentes,
desde un operador que derrama una taza de café sobre una terminal hasta un usuario
que tropieza con el cable de alimentación de un servidor y lo desconecta de la línea
eléctrica, pasando por temas como el borrado accidental de datos o los errores de
programación; decir `no lo hice a propósito' no ayuda nada en estos casos. Por
supuesto, tampoco tenemos que reducirnos a los accesos no autorizados al sistema:
un usuario de nuestras máquinas puede intentar conseguir privilegios que no le
corresponden, una persona externa a la organización puede lanzar un ataque de
negación de servicio contra la misma sin necesidad de conocer ni siquiera un login y
una contraseña, etc.
1.4 Limitantes del análisis de riesgo.
En general, a pesar de que se han desarrollado muchas soluciones a los
problemas de la seguridad en los sistemas de información, la apreciación general es
que la inseguridad es un problema que no ha sido resuelto. La perspectiva parece poco
optimista, principalmente debido a que los atacantes han pasado de ser aficionados en
busca de notoriedad a criminales en busca de lucro.
Posiblemente una de las principales razones por las cuales los problemas de
seguridad informática no han sido resueltos es la aparición frecuente de nuevas
amenazas. Como un ejemplo de esto es la evolución del malware: los virus altamente
nocivos y de amplia difusión han dado lugar a botnets furtivos, de difícil detección y
dirigidos a objetivos específicos.
Precisamente una de las debilidades de las metodologías de análisis de riesgo
es que parten de una visión estática de las amenazas así como de los controles
requeridos para disminuir los riesgos. El ciclo de vida establecido para las arquitecturas
de seguridad informático suele ser demasiado extenso ante un entorno en cambio
constante.
13
Análisis de Riesgo de la Seguridad de la Información
Los cambios en los riesgos que debe considerar una organización tienen dos orígenes:
a) El surgimiento de nuevas amenazas.
b) La adopción de nuevas tecnologías que da origen a riesgos no previstos.
Todo sistema de información evoluciona, debido a la integración de hardware y
software con características nuevas y más atractivas para los usuarios, así como al
desarrollo de nuevas funcionalidades. Estos cambios abren la posibilidad de riesgos
imprevistos y también pueden crear vulnerabilidades donde antes no existían.
1.5 Priorización De Riesgos.
En este paso de la estimación de riesgos, se estiman su prioridad de forma que
se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos. Cuando se
realiza la priorización (elementos de alto riesgo y pequeños riesgos), estos últimos no
deben ser de gran preocupación, pues lo verdaderamente crítico se puede dejar en un
segundo plano.
Sin importar cual sea el proceso que se siga, el análisis de riesgos comprende los
siguientes pasos:
1.
2.
3.
4.
Definir los activos informáticos a analizar.
Identificar las amenazas que pueden comprometer la seguridad de los activos.
Determinar la probabilidad de ocurrencia de las amenazas.
Determinar el impacto de las amenaza, con el objeto de establecer una
priorización de las mismas.
5. Recomendar controles que disminuyan la probabilidad de los riesgos.
6. Documentar el proceso.
Cuando ya hemos realizado este análisis no tenemos más que presentar nuestras
cuentas a los responsables de la organización (o adecuarlas al presupuesto que un
departamento destina a materias de seguridad), siempre teniendo en cuenta que el
gasto de proteger un recurso ante una amenaza ha de ser inferior al gasto que se
produciría si la amenaza se convirtiera en realidad. Hemos de tener siempre presente
que los riesgos se pueden minimizar, pero nunca eliminarlos completamente, por lo
que será recomendable planificar no sólo la prevención ante un problema sino
también la recuperación si el mismo se produce; se suele hablar de medidas proactivas
(aquellas que se toman para prevenir un problema) y medidas reactivas (aquellas que
se toman cuando el daño se produce, para minimizar sus efectos).
14
Análisis de Riesgo de la Seguridad de la Información
2.0 Planteamiento Del Problema.
¿Por que hoy en día muchas de las empresas se encuentran vulnerables a diferentes
tipos de amenazas tanto informáticas como físicas?
El presente proyecto tiene como finalidad Desarrollar e implementar un análisis de
riesgo de la seguridad informática de la empresa “LA CASA DE LAS BATERIAS, S.A
DE C.V”
2.1 Descripción de la Empresa.
La empresa “LA CASA DE LAS BATERIAS,
S.A DE C.V” se encuentra ubicada en la Zona
de San Salvador, es una mediana empresa que
se dedican al COMERCIO DE BATERIAS Y
ACCESORIOS, La Casa de las Baterías fue
fundada en 1973 en Panamá, inicia
operaciones en El Salvador en el 2008, con una
variedad de productos para satisfacer las
necesidades energéticas de este mercado.
Cuentan con 2 Sucursales en El Salvador (1 en
San Salvador y otra en San Miguel).
2 en Costa Rica y 13 en Panamá. La oferta que ellos ofrecen está respaldada por
importantes marcas brindando a sus clientes productos de excelente calidad con el
servicio, la atención y el asesoramiento técnico que ellos requieren.
2.1.1 Misión.
Suplir la demanda de nuestros clientes en Panamá y Centroamérica a través del
suministro oportuno de productos y servicios en el área de Baterías con todo el
respaldo técnico requerido para garantizar su satisfacción.
2.1.2 Visión.
Ser la empresa líder en el sector de las baterías en Centroamérica y Panamá,
ofreciendo productos y servicios de alta calidad.
15
Análisis de Riesgo de la Seguridad de la Información
2.1.3 Políticas.
Nuestro compromiso con nuestros clientes es brindar un servicio integral:
A nuestros clientes de distribución les brindaremos el respaldo requerido para
la venta de nuestros productos.
A nuestros clientes les brindamos asesoría técnica y un servicio integral en la
revisión, venta e instalación de todo tipo de Baterías en nuestras instalaciones
y en servicio a domicilio.
En ambos casos, con un personal altamente capacitado y a un precio competitivo,
cumpliendo y superando sus expectativas, mejorando continuamente el control de
nuestros procesos por medio de un eficaz Sistema de Gestión de la Calidad para
beneficio de la empresa, los clientes y colaboradores
2.1.4 Organigrama de la Empresa.
Auditor Externo
16
Análisis de Riesgo de la Seguridad de la Información
2.1.4 Organización Interna de la Empresa.
Cuentan con aproximadamente con 30 empleados divididos en 4 departamentos.
Poseen un equipo informático distribuido de la siguiente manera:
10 computadoras aproximadamente 3 en cada departamento.
5 impresoras 1 en cada departamento
5 Puntos de red
2 Fax y Fotocopiadora (multifunción)
3 Scanner
1 módems
2.2 Planteamiento del problema.
Esta empresa ha ido presentando la siguiente problemática, ya que hasta este
momento no habían contado con análisis de riesgo, para poder evaluar que tan
vulnerable están sus equipos a las diferentes amenazas.
Como también de no contar con un sistema de protección para sus equipos
informáticos entre estos podemos mencionar (falta de up´s, como también no cuentan
con antivirus, ni mucho menos firewall).
Por otra parte se observo que el acceso a la información esta vulnerable ya que
no se cuenta con una seguridad para permitir el acceso al equipo donde se encuentra
la información importante.
De continuar esta problemática la empresa corre riesgos de que todo su equipo
se queme ya que no cuentan con un regulador de voltaje, al mismo tiempo que la
información se pierda debido a que no existe las medidas de seguridad que se deben
de implementar para la información importante, y un robo de información por la
competencia, o por parte de empleados que manejen los recursos, entre otros riesgos
que se presentaran mas adelante.
Para más o menos contribuir a la solución de este problema se propone aplicar
la metodología MAGERIT, a esta empresa para contrarrestar algunos de los problemas
antes mencionados.
17
Análisis de Riesgo de la Seguridad de la Información
2.3 DESCRIPCIÓN DE LA METODOLOGÍA UTILIZADA.
MAGERIT – versión 2. Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información
Magerit es una metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información elaborada por el Consejo Superior de Administración Electrónica de
España para minimizar los riesgos de la implantación y uso de las Tecnologías de la
Información, enfocada a las Administraciones Públicas. Actualmente está en su versión
2.
El Consejo Superior de Administración Electrónica ha elaborado Magerit y
promueve su utilización como respuesta a la percepción de que la Administración
depende de forma creciente de las tecnologías de la información para el cumplimiento
de su misión. La razón de ser de Magerit está directamente relacionada con la
generalización del uso de los medios electrónicos, informáticos y telemáticos, que
supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos
riesgos que deben minimizarse con medidas de seguridad que generen confianza.
Hemos utilizado esta metodología, y la hemos adaptado a nuestras necesidades
de trabajo para realizar un análisis de riesgos que sirva como diagnostico fiel a la
empresa en estudio, para determinar su situación actual con respectó a la seguridad
informática.
2.1 Análisis de Riesgos
El análisis de riesgos es una aproximación metódica para determinar el riesgo
siguiendo unos pasos pautados:
1. Determinar los activos relevantes para la Organización, su interrelación y su
valor, en el sentido de qué perjuicio (coste) supondría su degradación.
2. Determinar a qué amenazas están expuestos aquellos activos
3. Estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza.
4. Estimar el riesgo, definido como el impacto ponderado con la tasa de
ocurrencia (o expectativa de materialización) de la amenaza.
18
Análisis de Riesgo de la Seguridad de la Información
La siguiente figura recoge el análisis de riesgos, cuyos pasos se detallan en las
siguientes secciones:
Paso 1: Activos
El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor
de estos datos se pueden identificar otros activos relevantes:
Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que
se necesitan para poder gestionar dichos datos.
Las aplicaciones informáticas (software) que permiten manejar los datos.
Los equipos informáticos (hardware) y que permiten hospedar datos,
aplicaciones y servicios.
Los soportes de información que son dispositivos de almacenamiento de datos.
El equipamiento auxiliar que complementa el material informático.
Las redes de comunicaciones que permiten intercambiar datos.
Las instalaciones que acogen equipos informáticos y de comunicaciones.
Las personas que explotan u operan todos los elementos anteriormente
citados.
19
Análisis de Riesgo de la Seguridad de la Información
Tipos de activos a determinar:
[D] Datos / Información
Los datos son el corazón que permite a una organización prestar sus servicios. Son en
cierto sentido un activo abstracto que será almacenado en equipos o soportes de
información (normalmente agrupado en forma de bases de datos) o será transferido
de un lugar a otro por los medios de transmisión de datos.
[SW] Aplicaciones (software)
Se refiere a tareas que han sido automatizadas para su desempeño por un equipo
informático. Las aplicaciones gestionan, analizan y transforman los datos permitiendo
la explotación de la información para la prestación de los servicio.
[HW] Equipos informáticos (hardware)
Bienes materiales, físicos, destinados a soportar directa o indirectamente los servicios
que presta la organización, siendo pues depositarios temporales o permanentes de los
datos soporte de ejecución de las aplicaciones informáticas o responsables del
procesado o la transmisión de datos.
[SI] Soportes de información
Se consideran dispositivos físicos que permiten almacenar información de forma
permanente o, al menos, durante largos periodos de tiempo.
[AUX] Equipamiento auxiliar
Se consideran otros equipos que sirven de soporte a los sistemas de información, sin
estar directamente relacionados con datos.
Dependencias
Aparece como importante el concepto de “dependencias entre activos” o la medida en
que un activo superior se vería afectado por un incidente de seguridad en un activo
inferior.
Se dice que un “activo superior” depende de otro “activo inferior” cuando la
materialización de una amenaza en el activo inferior tiene como consecuencia un
perjuicio sobre el activo superior. Informalmente puede interpretarse que los activos
inferiores son los pilares en los que se apoya la seguridad de los activos superiores.
20
Análisis de Riesgo de la Seguridad de la Información
Con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas
superiores dependen de las inferiores, para nuestro caso de estudio los niveles de
dependencia son:
Capa 1:
 El sistema de información propiamente dicho
 Equipos informáticos (hardware)
 Aplicaciones (software)
 Comunicaciones
 Soportes de información: discos, cintas, etc.
 Equipamiento Auxiliar
Capa 2:
 La información
 Datos
 Meta-datos: estructuras, índices, claves de cifra, etc.
Dimensiones de valoración
Las dimensiones se utilizan para valorar las consecuencias de la materialización de una
amenaza.
La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio
para la organización si el activo se ve dañado en dicha dimensión.
[D] Disponibilidad
Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la
información y sus activos asociados.
¿Qué importancia tendría que el activo no estuviera disponible?
Un activo tiene un gran valor desde el punto de vista de disponibilidad cuando si una
amenaza afectara a su disponibilidad, las consecuencias serían graves.
[I] Integridad de los datos
Garantía de la exactitud y completitud de la información y los métodos de su
procesamiento.
21
Análisis de Riesgo de la Seguridad de la Información
¿Qué importancia tendría que los datos fueran modificados fuera de control?
Los datos reciben una alta valoración desde el punto de vista de integridad cuando su
alteración, voluntaria o intencionada, causaría graves daños a la organización.
[C] confidencialidad de los datos
Aseguramiento de que la información es accesible sólo para aquellos autorizados a
tener acceso.
¿Qué importancia tendría que el dato fuera conocido por personas no autorizadas?
Los datos reciben una alta valoración desde el punto de vista de confidencialidad
cuando su revelación causaría graves daños a la organización.
[A_S] autenticidad de los usuarios del servicio
Aseguramiento de la identidad u origen.
¿Qué importancia tendría que quien accede al servicio no sea realmente quien se
cree?
La autenticidad de los usuarios de un servicio es lo contrario de la oportunidad de
fraude o uso no autorizado de un servicio.
[A_D] autenticidad del origen de los datos
Aseguramiento de la identidad u origen.
¿Qué importancia tendría que los datos no fueran realmente imputables a quien se
cree?
Los datos reciben una elevada valoración desde el punto de vista de autenticidad del
origen cuando un defecto de imputación causaría graves quebrantos a la organización.
Típicamente, se habilita la oportunidad de repudio.
22
Análisis de Riesgo de la Seguridad de la Información
VALORACIÓN
La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en
alguna escala de niveles). Los criterios más importantes a respetar son:
 Homogeneidad:
Es importante poder comparar valores aunque sean de diferentes dimensiones a fin de
poder combinar valores propios y valores acumulados, así como poder determinar si es
más grave el daño en una dimensión o en otra.
 Relatividad:
Es importante poder relativizar el valor de un activo en comparación con otros activos.
Se ha elegido una escala detallada de tres valores:
Importancia del Activo
Valor
Criterio
3
Alto
De gran importancia a la organización
2
Medio
De importancia a la organización
1
Bajo
De menor importancia a la organización
Paso 2: Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada
activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a nuestros activos y causar un daño.
Tipos de amenazas a determinar:
[N] Desastres naturales
Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa
o indirecta.
[I] De origen industrial
Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de
tipo industrial.
Estas amenazas pueden darse de forma accidental o deliberada.
23
Análisis de Riesgo de la Seguridad de la Información
[A] Ataques intencionados
Fallos deliberados causados por las personas.
La numeración no es consecutiva para coordinarla con los errores no intencionados,
muchas veces de naturaleza similar a los ataques deliberados, difiriendo únicamente
en el propósito del sujeto.
Para cada amenaza se presenta un cuadro como el siguiente:
[código] Título descriptivo de la amenaza
Tipos de activos:
Dimensiones:
Que se pueden ver afectados por este
1. De seguridad que se pueden ver
afectadas por este tipo de amenaza,
ordenadas de más a menos relevante.
tipo de amenazas
Descripción:
Complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del
tipo indicado con las consecuencias indicadas.
Valoración de las amenazas.
Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus
dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede
perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el activo
Frecuencia: cada cuánto se materializa la amenaza
La degradación mide el daño causado por un incidente en el supuesto de que
ocurriera.
Daño causado por la amenaza
Valor
Criterio
3
Alto
Daño grave
2
Medio
Daño importante
1
Bajo
Daño menor
24
Análisis de Riesgo de la Seguridad de la Información
La frecuencia pone en perspectiva aquella degradación, pues una amenaza puede ser
de terribles consecuencias pero de muy improbable materialización; mientras que otra
amenaza puede ser de muy bajas consecuencias, pero tan frecuente como para acabar
acumulando un daño considerable.
Frecuencia con que sucede la amenaza.
Valor
Criterio
3
Alto
Bastante Frecuente
2
Medio
Frecuente
1
Bajo
Poco Frecuente
Paso 3: Determinación del impacto
Se denomina impacto a la medida del daño sobre el activo derivado de la
materialización de una amenaza. Conociendo el valor de los activos (en varias
dimensiones) y la degradación que causan las amenazas, es directo derivar el impacto
que estas tendrían sobre el sistema.
Clasificación del Impacto
Valor
Criterio
3
Alto
Alto impacto
2
Medio
Impacto moderado
1
Bajo
Bajo impacto
Se puede calcular el impacto en base a tablas sencillas de doble entrada:
DEGRADACION
IMPACTO
VALOR
B
M
A
A
M
A
A
M
B
M
A
B
B
B
M
25
Análisis de Riesgo de la Seguridad de la Información
Aquellos activos que reciban una calificación de impacto alto (A) deberían ser objeto
de atención inmediata.
Paso 4: Determinación del riesgo
Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el
impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que
tener en cuenta la frecuencia de ocurrencia. El riesgo crece con el impacto y con la
frecuencia.
Clasificación del Riesgo
Valor
Criterio
3
Alto
Alto riesgo
2
Medio
Riesgo moderado
1
Bajo
Bajo riesgo
Pudiendo combinarse impacto y frecuencia en una tabla para calcular el riesgo:
FRECUENCIA
RIESGO
IMPACTO
B
M
A
A
M
A
A
M
B
M
A
B
B
B
M
Aquellos activos que reciban una calificación de riesgo alto (A) deberían ser objeto de
atención inmediata. Los que reciban una calificación de riesgo alto, deberían ser objeto
de planificación inmediata de salvaguardas.
26
Análisis de Riesgo de la Seguridad de la Información
DESARROLLO DE LA METODOLOGIA.
Paso 1: Activos.
Descripción del proceso de identificación de activos.
Entrevistas.
Se realizaron dos entrevistas que se desarrollaron a dos tipos de personas diferentes:
1. A un encargado del departamento de Recursos Humanos que nos brindo
información general de la empresa, y algunos datos básicos de la misma.
2. La segunda entrevista se realizo a una persona encargada del departamento de
contabilidad que cuenta con un acceso a toda la información de la empresa, y
los activos que esta empresa posee.
Universidad Tecnológica de El Salvador
Facultad de Ciencia y Tecnología
Escuela de Informática
Cátedra de Redes
Empresa:
Nombre:
Cargo:
Objetivo: Conocer específicamente la infraestructura de hardware y software de la empresa,
para identificar las diferentes vulnerabilidades y amenazas de la empresa, y así brindándoles
un análisis de riesgo efectivo.
Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que
esta cumpla con los requisitos y expectativas que la empresa necesita, solicitamos su
colaboración para el llenado de la siguiente encuesta contestando las siguientes preguntas. De
ante mano muchas gracias por su colaboración.
1. ¿Cuál es el rubro de la Empresa?
___________________________________________________________________
___________________________________________________________________
2. ¿Con cuantos departamentos cuenta la empresa?
___________________________________________________________________
___________________________________________________________________
27
Análisis de Riesgo de la Seguridad de la Información
3. ¿Con cuantas computadoras cuenta cada departamento?
___________________________________________________________________
___________________________________________________________________
4. ¿Cuenta con un servidor de Internet y de datos la empresa?
___________________________________________________________________
___________________________________________________________________
5. Tienen un departamento encargado de la administración del servidor, o este trabajo lo
realiza una persona específica.
___________________________________________________________________
___________________________________________________________________
6. ¿Estos departamentos tienen acceso a Internet?
___________________________________________________________________
___________________________________________________________________
7. ¿Qué usuarios son los que tienen acceso a Internet?
___________________________________________________________________
___________________________________________________________________
8. ¿Han implementado anteriormente algún sistema de prevención de riesgos para la
empresa?
___________________________________________________________________
___________________________________________________________________
9. ¿Qué tan frecuentemente lo han implementado?
___________________________________________________________________
___________________________________________________________________
10. Estaría usted de acuerdo que como grupo de consultores le brindemos una
metodología de análisis de riesgo.
___________________________________________________________________
28
Análisis de Riesgo de la Seguridad de la Información
Universidad Tecnológica de El Salvador
Facultad de Ciencia y Tecnología
Escuela de Informática
Cátedra de Redes
Empresa:
Nombre:
Cargo:
Objetivo: Conocer específicamente la infraestructura de hardware y software de la empresa,
para identificar las diferentes vulnerabilidades y amenazas de la empresa, y así brindándoles
un análisis de riesgo efectivo.
Indicaciones: Con el fin de conocer las vulnerabilidades y amenazas de la empresa para que
esta cumpla con los requisitos y expectativas que la empresa necesita, solicitamos su
colaboración para el llenado de la siguiente encuesta contestando las siguientes preguntas. De
ante mano muchas gracias por su colaboración.
1. El área de informática ¿cuenta con un lugar seguro para el almacenamiento de los
datos físicamente?
___________________________________________________________________
___________________________________________________________________
2. Los equipos de cómputo ¿cuentan con un sistema de alimentación eléctrica?
___________________________________________________________________
___________________________________________________________________
¿De que tipo?
___________________________________________________________________
___________________________________________________________________
3. El sistema de cómputo ¿cuenta con un cableado seguro?
___________________________________________________________________
___________________________________________________________________
29
Análisis de Riesgo de la Seguridad de la Información
4. ¿Con que tipo de hardware cuenta la empresa?
___________________________________________________________________
___________________________________________________________________
5. ¿Qué tipo de servidor tienen?
___________________________________________________________________
___________________________________________________________________
6. ¿Cuáles son los servicios de Internet a los que tienen acceso los usuarios?
___________________________________________________________________
___________________________________________________________________
7. ¿Qué horas son hábiles para acceder a estos servicios?
___________________________________________________________________
___________________________________________________________________
8. ¿Con que tipo de aplicaciones cuenta el equipo?
___________________________________________________________________
___________________________________________________________________
9. ¿Con que sistema operativo cuneta el equipo?
___________________________________________________________________
___________________________________________________________________
10. ¿Qué departamentos cuentan con ese sistema operativo?
___________________________________________________________________
___________________________________________________________________
11. Estos equipos de cómputo ¿poseen antivirus?
___________________________________________________________________
___________________________________________________________________
30
Análisis de Riesgo de la Seguridad de la Información
12. ¿Qué antivirus utilizan. Se encuentran registrados con alguna licencia?
___________________________________________________________________
___________________________________________________________________
13. El antivirus que utilizan actualmente cumple con los requerimientos de la empresa.
___________________________________________________________________
___________________________________________________________________
14. ¿Utilizan en el servidor algún tipo de firewall?
___________________________________________________________________
___________________________________________________________________
15. Las personas que accedan al equipo de cómputo entran con alguna contraseña.
___________________________________________________________________
___________________________________________________________________
16. Las aplicaciones consideradas fundamentales ¿cuentan con algún tipo de contraseña o
usuarios específicos?
___________________________________________________________________
___________________________________________________________________
31
Análisis de Riesgo de la Seguridad de la Información
Identificación de Activos.
Tablas de inventario de activos
Departamento: Mercadeo
No
Descripción
Finalidad
Categoría
Criticidad
2
Computadoras
Control de precios,
HW, SW, SI
Alto
HW
medio
Dell,
1
Promociones,
publicidad
Impresora Canon,
Publicaciones e
para todo el
impresiones
departamento
Departamento: Ventas
No
Descripción
Finalidad
Categoría
Criticidad
2
Computadoras
Control de Ventas,
HW, SW, SI
Alto
Dell
clientes, proveedores,
cotizaciones
1
Computadora Dell
Para las cajeras
HW, SW, SI
Alto
1
Impresora
Reportes ventas, precios
HW
medio
Panasonic, para
e impresiones varias
HW
bajo
todo el
departamento
1
Scanner para
Captura de datos,
todo el
informes de ventas y
departamento
cotizaciones
32
Análisis de Riesgo de la Seguridad de la Información
Departamento: Contabilidad
No
Descripción
Finalidad
Categoría
Criticidad
2
Computadoras
Finanzas
HW, SW, SI
Alto
Impresiones varias del
HW
medio
HW
bajo
HW
medio
Dell,
1
Impresora HP
departamento
1
1
Scanner para
Reportes y cotizaciones,
todo el
de acuerdo al
departamento
departamento.
Fax y
Para transacciones y
Fotocopiadora
datos e informes
(multifunción),
generales de la empresa
Panasonic
uso general.
Departamento: Recursos Humanos.
No
Descripción
Finalidad
Categoría
Criticidad
2
Computadoras
Información de los
HW, SW, SI
Alto
HW
medio
Dell.
1
empleados
Impresora
Impresiones varias del
Panasonic, para
departamento
todo el
departamento
33
Análisis de Riesgo de la Seguridad de la Información
Departamento: Gerencia General
No
Descripción
Finalidad
Categoría
Criticidad
1
Computadoras
Uso del Gerente
HW, SW, SI
Alto
Dell.
1
Impresora HP.
Uso Exclusivo del Gerente
HW
medio
1
Scanner
Uso del Gerente
HW
bajo
1
Modem
(Conexión a Internet)
HW
medio
speedtoucher
pertenece al proveedor
Fax y
Uso del Gerente
HW
medio
1
Fotocopiadora
34
Análisis de Riesgo de la Seguridad de la Información
Identificación de Amenazas
Tablas de amenazas y vulnerabilidades
Desastres Naturales [DesN]
[DesN.1] Fuego
Tipos de activos:
Dimensiones:
[HW] Equipos Informáticos (hardware)
[Dis] Disponibilidad
[SI] Soportes de Información
[EAUX] Equipamiento Auxiliar
Descripción
Incendios: Existe el riesgo de que un corto circuito provoque un incendio y el fuego dañe el
equipo de la empresa.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sensores de humo o alarma contra incendios
No existen suficientes extintores de incendios, o no están distribuidos en los
sitios claves de manejo de información.
No hay procedimientos de emergencia ante un incendio.
Existen materiales inflamables cerca de los sitios críticos de manejo de
información.
Hay paredes de concreto pero también hay paredes de material inflamables
tales como madera o plywood.
[DesN.2] Daños por agua
Tipos de activos:
Dimensiones:
[HW] Equipos Informáticos (hardware)
[Dis] Disponibilidad
[SI] Soportes de Información
Descripción:
Inundaciones: Posibilidad de que el agua dañe por completo los recursos del sistema.
35
Análisis de Riesgo de la Seguridad de la Información
Vulnerabilidades detectadas relacionadas a esta amenaza:
Existe la posibilidad de que haya filtración de agua en la época de invierno en
los lugares donde se encuentra equipo informático.
Amenazas de origen industrial [Indus.]
[Indus.1] Corte del Suministro Eléctrico
Tipos de activos:
Dimensiones:
[HW] Equipos Informáticos (hardware)
[Dis] Disponibilidad
[SI] Soportes de Información
[EAUX] Equipamiento Auxiliar
Descripción:
El que haya un corte permanente o corto de energía eléctrica.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No cuentan aun con una planta eléctrica para este tipo de emergencias.
No todos los equipos informáticos son alimentados mediante UPS.
Cortes de energía prolongados (más de veinte minutos) requerirán que los
equipos de misión crítica de la institución sean apagados. No existirá
disponibilidad de los servicios de información en la institución durante el
lapso que dure el corte de energía.
Los sistemas eléctricos podrían ser susceptibles a cortos circuitos que
podrían provocar la interrupción del suministro total o parcial.
El corte de energía podría dejar sin trabajar al personal de la empresa.
[Indus.2] Condiciones Inadecuadas de Temperatura
Tipos de activos:
Dimensiones:
[HW] Equipos Informáticos (hardware)
[Dis] Disponibilidad
[SI] Soportes de Información
[EAUX] Equipamiento Auxiliar
Descripción: Deficiencias en la climatización de los locales, excediendo los márgenes
de trabajo de los equipos: excesivo calor.
36
Análisis de Riesgo de la Seguridad de la Información
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe un mecanismo de aire acondicionado para toda la empresa.
Presentan un ambiente en la mayoría de departamentos con calor,
excediendo la temperatura de las maquinas.
[Indus.3] Degradación de los soportes de almacenamiento de la información
Tipos de activos:
Dimensiones:
[SI] Soportes de Información
[Dis] Disponibilidad
Descripción:
Como consecuencia del paso del tiempo
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay una ubicación adecuada para almacenar y resguardar soportes de
información (medios magnéticos, medios ópticos, documentos en papel)
Los backups se hacen en medios ópticos (DVD’s y CD’s)
Documentos en papel no se convierten a otro medio (no se digitalizan).
Estos documentos son susceptibles a los daños que pueda sufrir el papel
como consecuencia de un proceso de archivado inadecuado o daños
provocados por el paso del tiempo.
Amenazas a Causa de Ataques Intencionados [A_Int.]
[A_Int.1] Manipulación de la Configuración
Tipos de activos:
Dimensiones:
[D] Datos / información
1. [I] Integridad
[SW] Aplicaciones (software)
2. [C] Confidencialidad
[HW] Equipos informáticos (hardware)
3. [A_S] Autenticidad del servicio
4. [A_D] Autenticidad de los datos
7. [D] Disponibilidad
Descripción: Prácticamente todos los activos dependen de su configuración y ésta de
la diligencia del administrador: privilegios de acceso, flujos de actividades, registro de
actividad, encaminamiento, etc.
37
Análisis de Riesgo de la Seguridad de la Información
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existe un sistema para detección de intrusos dentro de la red de
información.
No mantienen un sistema de monitoreo constante en el cual detecten
notificaciones automáticas a quienes administran la red.
Nunca han implementado un nivel de políticas de seguridad como el uso de
contraseñas, y el cambio constante de estas.
No mantienen un sistema de Active Directory u otros servicios.
[A_Int.2] Suplantación de la Identidad del Usuario
Tipos de activos:
Dimensiones:
[SW] Aplicaciones (software)
1. [C] Confidencialidad
2. [A_S] Autenticidad del servicio
3. [A_D] Autenticidad de los datos
4. [I] Integridad
Descripción:
Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los
privilegios de este para sus fines propios.
Esta amenaza puede ser perpetrada por personal interno, por personas ajenas a la
Organización o por personal contratado temporalmente.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No hay restricciones sobre la cantidad de sesiones que un usuario puede
iniciar.
Tampoco existen restricciones sobre las estaciones de trabajo sobre las
cuales los usuarios pueden iniciar sesión, aun a pesar de que de manera
física, cada usuario tiene asignado un puesto de trabajo y una estación de
trabajo.
No se han implementado a nivel de las políticas de seguridad el uso de
contraseñas fuertes y el cambio obligatorio de estas en forma periódica.
38
Análisis de Riesgo de la Seguridad de la Información
No existe dentro de la administración de usuarios, directivas o políticas que
deshabilite a los usuarios que por diversas razones se ausenten de sus
puestos de trabajo en periodos temporales relativamente largos, como por
ejemplo cuando algún usuario está de vacaciones.
El proceso para dar de alta y de baja a los usuarios, cuando entran a formar
parte de la organización o cuando dejan de trabajar en la misma, no es
automático. Hasta que se reciben las notificaciones de recursos humanos,
el administrador del dominio tomas las acciones correspondientes para
actualizar el directorio, lo cual podría generar ciertos espacios de riesgo
sobre uso inautorizado de los recursos de información.
[A_Int.3] Abuso de Privilegios de Acceso
Tipos de activos:
Dimensiones:
[SW] Aplicaciones (software)
1. [C] Confidencialidad
[HW] Equipos Informáticos (hardware)
2. [I] Integridad
Descripción:
Cada usuario disfruta de un nivel de privilegios para un determinado propósito;
cuando un usuario abusa de su nivel de privilegios para realizar tareas que no son de
su competencia, hay problemas.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen procedimientos de revisión periódica de los derechos y permisos
efectivos de los usuarios, para comprobar si debido a un cambio de
configuración, o a una acción errónea o indebida se le han concedido a un
usuario o grupo de usuarios más derechos y permisos de los que le
corresponden.
No existen sistemas de monitorización en línea que detecten y generen
alarmas y notificaciones automáticas a los administradores de red si se
ejecutan cambios o alteraciones en la configuración que pudieran afectar el
funcionamiento normal de los sistemas.
No existen mecanismos de control que detecten y prevengan posibles
abusos de privilegios en las aplicaciones.
39
Análisis de Riesgo de la Seguridad de la Información
[A_Int.4] Uso no Previsto
Tipos de activos:
Dimensiones:
[SW] Aplicaciones (software)
[Dis] Disponibilidad
[HW] Equipos Informáticos (hardware)
[SI] Soportes de Información
Descripción:
Utilización de los recursos del sistema para fines no previstos, típicamente de interés
personal: juegos, consultas personales en Internet, bases de datos personales,
programas personales, almacenamiento de datos personales, etc.
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen herramientas de control de contenido o monitorización de
tráfico para el uso de Internet u otros servicios de la infraestructura de red
y los sistemas de información.
Tampoco se implementan inventarios automatizados de software y
hardware para comprobar que no se hayan instalado componentes
adicionales y no autorizados a los equipos de los usuarios.
[A_Int.5] Difusión de software dañino
Tipos de activos:
Dimensiones:
[SW] Aplicaciones (software)
1. [Dis] Disponibilidad
2. [I] Integridad
3. [C] Confidencialidad
4. [A_S] Autenticidad del Servicio
5. [A_D] Autenticidad de los Datos
Descripción:
Propagación intencionada de virus, espías (spyware), gusanos, troyanos, bombas
lógicas, etc.
40
Análisis de Riesgo de la Seguridad de la Información
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los equipos de computo tienen un software de antivirus en el cual esta
actualizado y bajo licencia.
No existen controles de las conexiones a red dentro de la empresa.
Por medio de que no tienen control en la red se conectan equipos
personales en los cuales se puede infectar de virus peligrosos la red.
No mantienen un control para el uso de memorias USB, discos duros
externos, etc.
[A_Int.6] Destrucción de la información
Tipos de activos:
Dimensiones:
[D] Datos / Información
[Dis] Disponibilidad
Descripción:
Eliminación intencional de información, con ánimo de obtener un beneficio o causar
un perjuicio.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Hacen frecuentemente la realización de backup por medio de DVD’s y CD’s
de los datos.
No se cuenta con un cuidado exclusivo del almacenamiento de datos por
medio ópticos.
No se cuenta con una oficina, en la cual se pueda guardar la información de
los backup’s y las aplicaciones fundamentales de la empresa.
[A_Int.7] Denegación de Servicio
Tipos de activos:
Dimensiones:
[HW] Equipos Informáticos (hardware)
[Dis] Disponibilidad
Descripción:
La carencia de recursos suficientes provoca la caída del sistema cuando la carga de
trabajo es desmesurada.
41
Análisis de Riesgo de la Seguridad de la Información
Vulnerabilidades detectadas relacionadas a esta amenaza:
No existen sistemas de detección y prevención de intrusos en la institución
(IPS / IDS) que pudiera detectar movimientos o patrones de conducta
anormales en el entorno de la red, orientados a alterar el funcionamiento
normal de los servicios de información.
[A_Int.8] Robo
Tipos de activos:
Dimensiones:
[HW] Equipos Informáticos (hardware)
1. [Dis] Disponibilidad
[SI] Soportes de Información
2. [C] Confidencialidad
[EAUX] Equipamiento Auxiliar
Descripción:
La sustracción de información empresarial se puede dar mediante el robo que pueda
hacer personal interno no personal ajeno a la compañía.
Vulnerabilidades detectadas relacionadas a esta amenaza:
Los controles y mecanismos de seguridad física orientados a prevenir el
robo de activos de información en la institución son mínimos.
No se cuentan con sistemas de alarmas contra robo o intrusos para horas
nocturnas, ni siquiera en la locación de la división de informática que es
donde se encuentran los equipos de misión critica para las operaciones de
la empresa.
Los documentos de identificación de los empleados no llevan fotografía que
facilite la comprobación de la identidad de alguien en forma inmediata, ni la
autenticidad de dicha identificación.
En el caso de los visitantes, las tarjetas de visitantes no son de un color
diferente a las identificaciones de los empleados, y no difieren en mucho de
estas, salvo por el hecho que llevan el texto que dice “visitante”, pero
pueden fácilmente ser confundidas.
42
Análisis de Riesgo de la Seguridad de la Información
ANÁLISIS DE RIESGOS E IMPACTOS
Catalogo Completo de Amenazas Analizadas
Código
Descripción
[DesN.1]
Fuego
[DesN.2]
Daños por Agua
[Indus.1]
Corte del Suministro Eléctrico
[Indus.2]
Condiciones Inadecuadas de temperatura
[Indus.3]
Degradación de los Soportes de Almacenamiento de la Información
[A_Int.1]
Manipulación de la Configuración
[A_Int.2]
Suplantación de la Identidad del Usuario
[A_Int.3]
Abuso de Privilegios de Acceso
[A_Int.4]
Uso no Previsto
[A_Int.5]
Difusión de Software Dañino
[A_Int.6]
Destrucción la Información
[A_Int.7]
Denegación de Servicio
[A_Int.8]
Robo
43
Análisis de Riesgo de la Seguridad de la Información
CONCLUSIONES
Entre las conclusiones que se dan en base al desarrollo del presente trabajo se
han determinado diferentes amenazas a las cuales se ven afectada la empresa están
las naturales como lo son el fuego es decir peligro a incendios que puedan causar
estragos o incluso acabar con los recurso de sistemas de información con los cuales
cuentan equipos informáticos entendiéndose por esto hardware debido a que se han
identificado diferentes vulnerabilidades con las que se ve relacionada esta amenaza
siendo las principales que no existen suficientes extintores de incendios también de no
contar con sensores de humo o alarmas de incendios además el personal no cuenta
con un método o procedimientos a seguir ante un siniestro de esta naturaleza.
Otra amenaza que se ha identificado de origen industrial es la de no contar con
suministro eléctrico optimo que la empresa necesita debido a que existe la
vulnerabilidades de no contar todos los equipos informáticos son alimentados
eléctricamente por un UPS. Viéndose afectados cuando un corte de energía eléctrica
se dé ya que no existirá disponibilidad de los servicios de información durante este
problema se dé o dure el corte de energía además de presentarse el riesgo de que los
sistemas eléctricos podrían ser susceptibles a cortos circuitos que podrían provocar la
interrupción del suministro total o parcial, debido a la quema de fusibles de protección
entre otros.
La amenaza la cual fue muy evidente notar consistía en que podían haber
ataques intencionados como robo de información entre las vulnerabilidades que se
tomaron en cuenta era que no existen sistemas de detección y prevención de intrusos
en la institución que pudiera detectar movimientos o patrones de conducta anormales
en el entorno de la red, orientados a alterar la configuración de los sistemas de
información. No se han implementado a nivel de las políticas de seguridad el uso de
contraseñas.
44
Análisis de Riesgo de la Seguridad de la Información
Además de Destrucción la información por parte intencional del personal con
ánimo de obtener un beneficio o causar un perjuicio.
Esta amenaza sólo se identifica sobre datos en general, pues cuando la información
está en algún soporte informático, hay amenazas específicas.
Estas son las principales amenazas a las que la empresa se ve afectada de acuerdo a las
vulnerabilidades que se han observado por parte del grupo de consultores entre otras
que se han dado a conocer por parte de la empresa.
Las cuales se esperan ser solventadas de acuerdo a las recomendaciones que se
presenten a medida se desarrolle esta metodología que se está siguiendo y las cuales
serán presentadas en el siguiente avance de este documento.
45
Análisis de Riesgo de la Seguridad de la Información
GLOSARIO.
 Activos: Los recursos del sistema de información o relacionados con éste,
necesarios para que la Organización funcione correctamente y alcance los objetivos
propuestos por su dirección.
 Autenticidad: (de quién hace uso de los datos o servicios), que no haya duda de
quién se hace responsable de una información o prestación de un servicio, tanto a
fin de confiar en él como de poder perseguir posteriormente los incumplimientos o
errores. Contra la autenticidad se dan suplantaciones y engaños que buscan
realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y,
como tal, fundamenta el comercio electrónico o la administración electrónica,
permitiendo confiar sin papeles ni presencia física.
 Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a
que está expuesta una Organización.
 Amenazas: las amenazas siempre existen y son aquellas acciones que pueden
ocasionar consecuencias negativas en la operativa de la empresa.
Comúnmente se indican como amenazas a las fallas, a los ingresos no
autorizados, a los virus, uso inadecuado de software, los desastres
ambientales como terremotos o inundaciones, accesos no autorizados,
facilidad de acceso a las instalaciones, etc.
 Botnet: es un término que hace referencia a una colección de software robots, o
bots, que se ejecutan de manera autónoma.
 Confidencialidad: Característica de la información por la que la misma sólo puede
ser revelada a los usuarios autorizados.
 Disponibilidad: disposición de los servicios a ser usados cuando sea necesario. La
carencia de disponibilidad supone una interrupción del servicio. La disponibilidad
afecta directamente a la productividad de las organizaciones.
 Gestión de riesgos: selección e implantación de salvaguardas para conocer,
prevenir, impedir, reducir o controlar los riesgos identificados.
46
Análisis de Riesgo de la Seguridad de la Información
 Integridad: mantenimiento de las características de completitud y corrección de los
datos. Contra la integridad, la información puede aparecer manipulada, corrupta o
incompleta. La integridad afecta directamente al correcto desempeño de las
funciones de una Organización.
 Impactos: las consecuencias de la ocurrencia de las distintas amenazas son
siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras,
de corto plazo o de largo plazo.
 Malware informático: es el término para el código malicioso diseñado para
molestar o destruir un sistema informático.
 Magerit: es una metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información elaborada por el Consejo Superior de Administración Electrónica para
minimizar los riesgos de la implantación y uso de las Tecnologías de la Información,
enfocada a las Administraciones Públicas
 Probabilidad: predicción calculada de la ocurrencia de un accidente en un cierto
periodo de tiempo.
 Riesgo: estimación del grado de exposición a que una amenaza se materialice
sobre uno o más activos causando daños o perjuicios a la Organización.
 Seguridad: es la capacidad de las redes o de los sistemas de información para
resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o
malintencionadas que comprometan la disponibilidad, autenticidad, integridad y
confidencialidad de los datos almacenados o transmitidos y de los servicios que
dichas redes y sistemas ofrecen o hacen accesibles.
 Virus informático: es un programa de ordenador que puede infectar otros
programas modificándolos, para incluir una copia de si mismo también Programa
que se duplica a sí mismo en un sistema informático incorporándose a otros
programas que son utilizados por varios sistemas.
 Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en
su entorno que facilitan que las amenazas se materialicen llevan a esos activos a
ser vulnerables. Mediante el uso de las debilidades existentes es que las
amenazas logran materializarse, o sea, las amenazas siempre están presentes,
pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún
impacto.
47
Análisis de Riesgo de la Seguridad de la Información
BIBLIOGRAFIA.
Enlaces bibliográficos.
 Web del Ministerio de Administraciones Públicas. Consejo Superior de
Informática:
www.map.es/csi/csi.htm
 Las Siete Guías Metodológicas:
www.map.es/csi/herramientas/GuiasMagerit.exe
 Herramienta MAGERIT:
www.map.es/csi/herramientas/HerramientaMagerit.exe
 Foro MAGERIT:
http://foro.map.es/
URLS.
 http://www.csi.map.es/csi/pg5m20.htm
 http://www.enisa.europa.eu/rmra/methods_tools/m_magerit.html
48
Descargar