Análisis de Riegos FIDEVAL

1 CAPÍTULO I

INTRODUCCIÓN

1.1 GENERALIDADES

1.1.1 La sociedad de la información

La masificación del uso de ordenadores en las dos últimas décadas provocó un

nuevo cambio en la sociedad; vivimos en la sociedad de la información. En la

actualidad es difícil concebir nuestra vida sin la asistencia de un ordenador para

realizar nuestro trabajo, compartir información con entidades financieras y

estatales o disfrutar de momentos de ocio. Más allá de la utilización personal

de un ordenador, todas las organizaciones, tanto privadas como estatales

sustentan su actividad en el uso de tecnologías informáticas. El desarrollo de las

tecnologías informáticas le ha permitido a las organizaciones gestionar de

manera muy eficiente el tránsito y almacenamiento de la información

1.1.2 Amenazas informáticas

Si bien es cierto que el desarrollo de las tecnologías informáticas ha permitido

un flujo ágil de la información a través de una organización, también es cierto

que ha permitido que personas inescrupulosas traten insistentemente de

vulnerar el canal por donde fluye la información con el fin de conseguir datos

confidenciales de las organizaciones y así obtener ventajas competitivas en el

mercado donde se desarrollen las actividades de la empresa víctima como

también obtener información delicada de sus funcionarios y clientes.

(Peltier, 2005, p. 18) clasifica a la amenazas en los siguientes conjuntos:

Amenazas naturales: debidas a la acción de la naturaleza

Amenazas humanas: eventos que son causados o permitidos por seres

humanos

Amenazas de entorno: debidas a la interacción de la estructura física de

un sistema informático con el entorno que le rodea.

1.1.3 Seguridad informática

En respuesta a la presencia de amenazas informáticas en toda organización,

nace la necesidad de crear políticas de protección de la información de la

organización. Los criterios referentes al tema de la seguridad informática se

recogen en la familia de normas ISO 2700 que busca ser un modelo a seguir

cuando se requiera gestionar los riesgos informáticos de una organización; en

general, estas normas pretenden proveer a cualquier organización,

indistintamente de su tamaño y naturaleza, herramientas para implementar y

operar un Sistema de Gestión de Seguridad Informática o ISMS por sus siglas en

inglés (ISO / IEC, 2009)

1.2 ANTECEDENTES

1.2.1 Fideval

Fideval es una empresa dedicada a la administración de fondos y fideicomisos

con presencia en el mercado ecuatoriano desde 1998. La empresa ha venido

manejando una importante cantidad dinero en activos de terceros, siendo en la

actualidad la principal administradora de fondos y fideicomisos ecuatoriana. La

tabla 1.1 muestra la evolución de la empresa a través del tiempo.

Tabla 1.1. Evolución de la empresa Fideval a través del tiempo

Año Acontecimiento

1998 Creación de la empresa como parte del grupo financiero

Arseval

2001 Fideval se independiza de Grupos financieros

2005 Fideval inicia su participación en el proceso de titularización

2009 Fideval inicia su modelo de gestión en administración de

fideicomisos masivos

2012 Fideval inicia el proceso de fusión con Fondos Pichincha

2013 Fideval se especializa en fondos de inversión

2014 Fideval lanza el Fondo Fix 90

Nota: Tomado de (Fideval, 2014)

Fideval se ha caracterizado por sus esfuerzos en gestionar de manera eficiente

la información de todos sus clientes para lo cual cuenta con un equipo

completo de profesionales dedicados a desarrollar soluciones informáticas que

le permita a los clientes disponer de su información en cualquier lugar del

mundo (Fideval, 2014).

1.2.2 Gestión de riesgos informáticos en Fideval

A pesar de los grandes esfuerzos de la empresa en el área tecnológica, existe

una observación importante: debido a que se encuentra en proceso de fusión

con Fondos Pichincha, la empresa no cuenta con un sistema de gestión de

riesgos informáticos integral ya que en la actualidad cada empresa realiza su

propio análisis de riesgos y toma medidas preventivas cada una por su cuenta.

Algunos de los problemas que pueden identificarse dentro de la empresa se

mencionan a continuación:

No existe una valoración de activos en la empresa

No existen indicadores de las amenazas potenciales sobre los sistemas

de información

No se ha estimado el impacto ni el riesgo informático

No existe un levantamiento de inventario informático basado en una

metodología formal

No se ha identificado las vulnerabilidades y amenazas de cada uno de

los activos del inventario

Al no identificar vulnerabilidades y amenazas de activos tampoco se

cuenta con las salvaguardas, por lo tanto no se pueden calcular los

impacto y el riesgo.

1.3 JUSTIFICACIÓN

Con el creciente uso de tecnologías informáticas en empresas que manejan

información delicada como es el caso de Fideval, lamentablemente también

crece el número de antisociales que pretenden apoderarse de manera ilícita de

esta información con el fin de sacar provecho propio y perjudicar a la empresa y

sus clientes. La piratería informática debe ser combatida por los especialistas en

esta área de cada empresa.

Este proyecto pretende utilizar los conocimientos impartidos en la Carrera de

Ingeniería en Sistemas para proveer a la empresa Fideval de un Sistema de

Gestión de Riesgos Informáticos tal que le permita a la empresa salvaguardar la

información delicada que maneja tanto propia como de sus clientes, mantener el

flujo de dicha información a través de un canal seguro de comunicación y

defenderse de ataques malintencionados oportunamente.

1.4 OBJETIVOS

1.4.1 Objetivo General

Realizar un análisis de riesgos informáticos para disminuir el impacto y el riesgo,

mediante el uso de la metodología MAGERIT v3 en la empresa Fideval

1.4.2 Objetivos Específicos

Catalogar e identificar los activos de la empresa Fideval

Identificar las vulnerabilidades y amenazas de los activos de la empresa

Fideval

Utilizar las técnicas de valoración para el cálculo del impacto y riesgo

Elaborar contramedidas que permitan minimizar el impacto y el riego

Utilizar la herramienta PILAR para la obtención de reportes

1.5 ALCANCE

Este proyecto tiene como objetivo implementar un Sistema de Gestión de

Seguridad Informática para los sistemas informáticos de la empresa Fideval para

asegurar la integridad, disponibilidad, confidencialidad y control de la

información de la empresa y sus clientes.

Dentro del desarrollo del proyecto se pretende desarrollar las siguientes

actividades:

Creación de la matriz de amenazas y vulnerabilidades

Desarrollo de un catálogo de inventarios

Elaboración del árbol de dependencias

Redacción del informe de vulnerabilidades

Redacción del informe de valor de activos

Confección de la matriz de relación de posibles amenazas

Creación del mapa de riesgos

Redacción de la declaración de aplicabilidad

Redacción de los informes de impacto

Elaboración del plan de seguridad

2 CAPÍTULO 2

FUNDAMENTOS TEÓRICOS

2.1 ANÁLISIS Y GESTIÓN DE RIESGOS

2.1.1 Generalidades

La gestión de riesgos es una herramienta gerencial que permite evaluar los costos de

proteger los bienes de la empresa de posibles amenazas; en el caso de las tecnologías

de la información la gestión de riesgos permite determinar el costo-beneficio de

integrar al sistema informático políticas de seguridad a fin de preservar la integridad y

confidencialidad de la información de la empresa.

La gestión de riesgos trata sobre el análisis de eventos virtuales inciertos por lo que el

nivel de protección que genere en los sistemas no siempre será total; en la práctica, lo

el nivel de seguridad debe llevarse a un nivel aceptable donde la información sea

resguardada de acuerdo a su importancia.

“La gestión de riesgos se compone de cuatro distintos procesos: análisis de riesgos,

valoración de riesgos, mitigación del riesgo y valoración y evaluación de controles de la

vulnerabilidad” (Peltier, 2005, p. 7).

Análisis de riesgos

El análisis de riesgos comprende la identificación y valoración de amenazas,

vulnerabilidades y eventos que tienen el potencial de dañar los activos de una

organización (Kouns, 2010, p. 7).

El análisis de riesgos permite a los administradores y encargados de los sistemas

informáticos de una organización conocer las amenazas a las que están expuestos los

activos. Además, el análisis de riesgos permite clasificar los activos y sus posibles

amenazas de acuerdo al valor que tienen cada uno de ellos.

Valoración de riesgos

“Es el proceso de calcular cuantitativamente el daño potencial y costo monetario

causado por una amenaza que tiene impacto sobre un activo informático de la

organización” (Kouns, 2010, p. 7).

“Es el computo del riesgo. El riesgo es una amenaza que explota una vulnerabilidad

para causar daño sobre un activo. El algoritmo del riesgo computa el riesgo como

función de los activos, amenazas y vulnerabilidades” (Peltier, 2005, p. 8).

De los conceptos anteriores se destaca que la valoración de riesgos arroja datos

numéricos de los riesgos que indican la cantidad de daño que pueden causar así como

su impacto económico en la organización. Además se menciona que cálculo del riesgo

es función de los activos, amenazas y vulnerabilidades por lo que estos componentes

deberán ser expresados también en valores numéricos.

Mitigación de riesgos

“Mediante este proceso una organización implementa controles y salvaguardas para

prevenir la ocurrencia de los riesgos identificados. Al mismo tiempo comprende la

implementación de recursos para recuperar los sistemas en caso que los riesgos se

materialicen” (Peltier, 2005, p. 8).

La mitigación de riesgos incluye el análisis costo-beneficio, selección, implementación,

pruebas y evaluación de seguridad de las salvaguardas (Kouns, 2010, p. 7).

El proceso de mitigación de riesgos incluye el análisis de la factibilidad, eficiencia y

costos de las medidas de seguridad y salvaguardas planteadas en base a la valoración

de riesgos; además incluye la implementación de las mismas.

Valoración y evaluación de controles de la vulnerabilidad

“Es la examinación sistemática de una infraestructura crítica, de los subsistemas

interconectados que la soportan y sus productos para determinar si las medidas de

seguridad implementadas son adecuadas, si existe alguna debilidad y evaluar

alternativas de implementación” (Peltier, 2005, p. 8).

“Es el monitoreo del sistema para comparar la efectividad contra el conjunto de

amenazas, vulnerabilidades y eventos previo así como el nuevo conjunto de amenazas,

vulnerabilidades y eventos derivado de las modificaciones realizadas al sistema”

(Kouns, 2010, p. 7)

La valoración y evaluación de los controles de la vulnerabilidad es la etapa de

evaluación de las protecciones y salvaguardas implementadas en contra del conjunto

de riesgos detectados en primera instancia a fin de determinar su efectividad;

asimismo, debido a que es improductivo alcanzar niveles de riesgos nulos, se encarga

de evaluar la efectividad de las medidas implementadas en contra del conjunto de

riesgos creado a partir del mejoramiento del sistema

2.1.2 Análisis de riesgos

“Análisis de riesgos es una técnica utilizada para identificar y valorar factores que

podrían poner en riesgo el éxito de un proyecto el alcanzar una meta” (Peltier, 2005, p.

15).

El análisis de riesgos puede considerarse como un estudio de factibilidad que realiza

organización antes de ejecutar los procedimientos prácticos de la gestión de riesgos

informáticos. Por tanto, tal y como se expresa en (Peltier, 2005, p. 15), parte de este

análisis implica un estudio costo-beneficio de la implementación del sistema de

salvaguardas así como la no implementación del mismo; además el autor manifiesta

que otro aspecto de este análisis es el impacto que tendrán las salvaguardas sobre los

funcionarios de la organización y los clientes

2.1.3 Valoración del riesgo

“Las organizaciones utilizan la valoración de riesgos para determinar qué amenazas

existen sobre un activo específico y el nivel de riesgo asociado a dicha amenaza”

(Peltier, 2005, p. 16).

La valoración de riesgos comprende el primer conjunto de procedimientos prácticos en

la gestión de riesgos informáticos; los procedimientos desarrollados permitirán

determinar cuantitativamente el nivel de riesgo al que están sometidos los activos de

la empresa; (Peltier, 2005, p. 16) define seis sub-procesos en la valoración del riesgo:

Definición de activos

Identificación de las amenazas

Determinación de la probabilidad de ocurrencia

Determinación del impacto de la amenaza

Recomendación de controles

Documentación

2.1.3.1 Definición de los activosComo activo debe entenderse a un sistema, aplicación, procedimiento o bien material

que tiene valor o relevancia para la organización y que se desea proteger; la definición

de los activos debe realizarse en forma precisa ya que de otro modo no se podrán

identificar las amenazas (Peltier, 2005, p. 16)

2.1.3.2 Identificación de amenazas“Una amenaza se define como un evento indeseado que tiene impacto en los activos

de la empresa” (Peltier, 2005, p. 18).

La identificación de amenazas comprende el estudio de las características de los

activos de la empresa en busca de situaciones que puedan comprometer su integridad

o desarrollo. (Peltier, 2005) agrupa los diferentes tipos de amenazas en tres categorías:

Amenazas naturales

Amenazas humanas

Amenazas del entorno

Amenazas naturales

Se producen por efecto de la madre naturaleza. Por ejemplo tormentas eléctricas,

terremotos, erupciones volcánicas, inundaciones, etc.

Amenazas humanas

Se deben a la acción del ser humano; la ocurrencia de estos acontecimientos se puede

producir por la omisión del personal y usuarios del sistema informático de la empresa

al no tener en cuenta las políticas de seguridad o bien por ataques deliberados como

pueden ser accesos no autorizados al sistema, ataques con virus informáticos, robo de

equipos, etc.

Amenazas del entorno

Estas se deben al deterioro de los elementos físicos que conforman el sistema

informático con el medio ambiente; ejemplos de este tipo de amenazas son la

contaminación por polvo, humedad ambiental, sobretensiones en la línea, oxidación,

etc.

2.1.3.3 Determinación de la probabilidad de ocurrencia “Una vez que la elaboración de la lista de amenazas termine, será necesario

determinar cuál es la probabilidad de que estas ocurran” (Peltier, 2005, pág. 19)

La determinación de la probabilidad de ocurrencia permitirá asignarle la importancia

justa a cada una de las amenazas. La probabilidad de ocurrencia depende en gran

medida de naturaleza de la actividad de cada empresa y su ubicación geográfica; por

ejemplo, la posibilidad de que la empresa sea alcanzada por un misil es casi nula en

Ecuador mientras que en Medio Oriente debe ser alta.

2.1.3.4 Determinación del impacto de la amenaza(Peltier, 2005, pág. 24) menciona que “impacto es la magnitud de la pérdida de valor de

un activo”.

La determinación del impacto es la medida cuantitativa del daño que puede causar una

amenaza sobre los activos de la empresa; el valor del impacto de una determinada

magnitud dependerá de la naturaleza de la empresa así como el criterio del grupo de

trabajo que realice la valoración.

2.1.3.5 Recomendación de controles“Después que el nivel de riesgo sea asignado, se deberá identificar los controles o

salvaguardas para eliminar el riesgo o al menos reducirlo a un nivel aceptable” (Peltier,

2005, pág. 25).

La determinación del nivel de riesgo de las amenazas identificadas permitirá al grupo

de estudio de riesgos plantear las mejores alternativas de control y salvaguarda de la

integridad de los activos de la empresa desde el punto de vista técnico; ejemplos de

controles propuestos pueden ser implementación de lectores de huellas dactilares,

antivirus, porteros electrónicos, adquisición de cajas fuertes, etc.

2.1.3.6 Documentación“Una vez terminado el estudio, los resultados deben ser documentados en un formato

estándar y presentados a la administración” (Peltier, 2005, pág. 27).

La documentación del análisis de riesgos permitirá un mejor entendimiento de todos

los pasos que se han seguido desde la identificación de los activos hasta la

recomendación de los controles. Los documentos generados servirán además como

soporte para futuros estudios y como puente de entre el departamento técnico y la

administración.

2.1.4 Análisis del costo-beneficio

Es análisis costo beneficio es una herramienta administrativa que permitirá evaluar las

ventajas económicas de la implementación de los controles y las salvaguardas

recomendadas en el análisis técnico. Si bien ya no es competencia directa del

departamento técnico, es necesario nombrarlo ya que constituye la etapa decisiva del

proyecto. (Peltier, 2005, pág. 27) recomienda tener en cuenta algunos aspectos a la

hora de realizar este análisis:

Costos de implementación, que incluyen tanto el hardware, el software

Reducción con el tiempo de la efectividad del sistema

Implementación de nuevas políticas y procedimientos a fin de sostener los

nuevos controles

Posibilidad de que nuevo personal deba ser contratado o al menos de que una

parte del personal actual deba ser capacitado

Mantenimiento del sistema

2.2 INTRODUCCIÓN A MAGERIT

Magerit es el acrónimo para Metodología de Análisis y Gestión de Riesgos de los

Sistemas de Información (Ministerio de Hacienda y Administraciones Públicas, 2012,

pág. 6) y puede entenderse como una metodología desarrollada para asistir a los

departamentos técnicos en el análisis de riesgos informáticos

Magerit ha sido desarrollada por el Consejo Superior de Administración Electrónica,

entidad de regulación española en el campo de las tecnologías informáticas, de

acuerdo a las normas ISO 31000

2.3 DESCRIPCIÓN DE LA METODOLOGÍA MAGERIT V3

La metodología Magerit desarrolla las siguientes tareas principalmente:

Identificación de los activos

Identificación de las amenazas

Determinación de las salvaguardas

Determinación del impacto residual

Determinación del riesgo residual

2.3.1 Identificación de los activos

2.3.1.1 IdentificaciónUn activo, como se indica en el apartado 2.1.3.1, es cualquier elemento que tenga

valor para la empresa; software, hardware, instalaciones, información y procesos son

ejemplos que indican la diversidad que existe en la naturaleza de los activos. Para su

identificación, Magerit ha desarrollado un “Catalogo de elementos”; esto le permite a

los departamentos técnicos estandarizar la identificación de los activos y los resultados

del análisis de riesgos (Ministerio de Hacienda y Administraciones Públicas, 2012, pág.

133)

2.3.1.2 DependenciaEl concepto de dependencia nace al estudiar la estructura jerárquica de los bienes;

existen bienes que dependen de otros para su funcionamiento y en consecuencia, las

amenazas de los que se encuentran abajo también afectaran al que se encuentra

arriba de la estructura jerárquica

2.3.1.3 ValoraciónEn Magerit existen dos formas de valoración de los activos: cualitativa y cuantitativa

(Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 26); la valoración

cualitativa es más fácil de realizar y entender; la valoración cuantitativa de los activos

requiere más esfuerzo pero permite realizar un análisis de riesgos más concreto.

2.3.2 Determinación de las amenazas

2.3.2.1 IdentificaciónDe la misma manera que los activos, muchas amenazas típicas se encuentran

catalogadas por Magerit a fin de facilitar el trabajo del departamento técnico y

estandarizar los resultados del análisis de riesgos. La determinación de las amenazas

debe realizarse sobre cada activo teniendo en cuenta que la naturaleza del mismo

influye sobre el tipo de amenazas a las que está expuesto

2.3.2.2 ValoraciónLa valoración de la amenaza se realiza de acuerdo a dos criterios: daño que puede

causar sobre un activo y probabilidad de ocurrencia (Ministerio de Hacienda y

Administraciones Públicas, 2012, pág. 28). La valoración de las amenazas, así como con

los activos, puede realizarse cualitativa o cuantitativamente dependiendo de la

exactitud que se requiera en el análisis de riesgos

2.3.3 Determinación del impacto potencial

Un sinónimo acertado, para este caso, de impacto es consecuencia; la determinación

del impacto potencial permitirá representar numéricamente las potenciales

consecuencias de las amenazas que atentan contra la integridad de para su evaluación

dentro del análisis de riesgos.

(Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 29) menciona que la

valoración del impacto puede calcularse a través de dos indicadores: impacto

acumulado e impacto repercutido; el impacto acumulado se calcula para todas las

amenazas de todos los activo y es función del valor acumulado del activo y el valor de

la amenaza; por su parte el impacto repercutido también se calcula para todas las

amenazas de todos los activos pero es función del valor propio del activo y el valor de

las amenazas de los activos de los que depende. La utilidad del cálculo del impacto

repercutido radica en determinar las salvaguardas a implementarse mientras que el fin

de calcular el impacto repercutido es determinar el valor del sistema informático

dentro en relación a los demás activos de la empresa

2.3.4 Determinación del riesgo potencial

“Se denomina riesgo potencial a la medida del daño probable sobre un sistema”

(Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 29). El cálculo del

riesgo potencial es fácil de realizar una vez que se obtenido el valor del impacto

potencial ya que este es función del impacto potencial y la probabilidad de la amenaza

2.3.5 Planteamiento de las salvaguardas

“Salvaguardas son aquellos procedimientos o mecanismos tecnológicos que reducen el

riesgo” (Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 31). Una

adecuada selección de las salvaguardas implica determinar, en función de la naturaleza

de los riesgos a los que se ven sometidos los activos, los mecanismos de protección

más simples y efectivos a fin de disminuir los riesgos a niveles aceptables

2.3.5.1 Selección de las salvaguardasAl seleccionar las salvaguardas más adecuadas para un activo, (Ministerio de Hacienda

y Administraciones Públicas, 2012, pág. 31) recomienda que se tomen en cuentas los

siguientes aspectos

Naturaleza del activo

Valor del activo

Naturaleza de las amenazas

Probabilidad de ocurrencia de las amenazas

Al final se deberá determinar si las salvaguardas seleccionadas aplican para la

protección de un determinado activo y si su uso se justifica desde el punto de vista

técnico

2.3.5.2 Clasificación de salvaguardasLa clasificación de las salvaguardas puede realizarse de acuerdo a diferentes criterios;

por ejemplo, teniendo en cuenta el tipo de activo que protegen, (Ministerio de

Hacienda y Administraciones Públicas, 2012, pág. 180) agrupa las salvaguardas en los

siguientes conjuntos:

Protección general

Protección de los datos/información

Protección de claves criptográficas

Protección de los servicios

Protección de las aplicaciones

Protección de las comunicaciones

Protección de los soportes de información

Protección de los elementos auxiliares

Protección de las instalaciones

Salvaguardas relativas al personal

Salvaguardas de tipo organizativo

2.3.6 Cálculo del impacto residual

En esta operación intervienen dos valores: el impacto que fue calculado sin

salvaguardas y el impacto calculado con las salvaguardas propuestas; la diferencia

entre estos dos valores será el impacto residual

2.3.7 Cálculo del riesgo residual

Esta operación es una diferencia entre el riesgo calculado sobre los activos sin

salvaguardas y el riesgo calculado cuando se toman en cuenta las salvaguardas

propuestas; hay que tomar en cuenta que las salvaguardas no solo afectan el

porcentaje de degradación de los activos sino también la frecuencia con la que estas se

materializan

2.3.8 Elaboración de la documentación

Una vez completadas las actividades descritas en los apartados 2.3.1 al 2.3.7, se

deberá elaborar la documentación referente al análisis. La presentación del análisis de

riesgos debe contener los siguientes informes:

Modelo de valor

Documento que contiene la información referente a los activos

Mapa de riesgos

Documento que contiene información referente a las amenazas

Declaración de aplicabilidad

Documento que recoge información referente a la naturaleza de las

salvaguardas seleccionadas

Evaluación de salvaguardas

Documento que recoge información referente a la eficacia de las de las


Informe de insuficiencias o vulnerabilidades

Documento que recoge información acerca de las salvaguardas que deberían

ser implementadas pero que no lo están

Estado de riesgo

Documento que muestra información del impacto y riesgo que afectan a cada

activo por cada amenaza

2.4 OBJETIVOS DE MAGERIT V3

Magerit se ha desarrollado bajo la norma ISO 31000 a fin de realizar una gestión de

riesgos en sistemas informáticos eficiente (Ministerio de Hacienda y Administraciones

Públicas, 2012, pág. 7). Entre los objetivos que esta metodología se plantea se

encuentran los siguientes:

Objetivos directos

Hacer conciencia en las organizaciones de la existencia de riesgos y la

necesidad de gestionarlos

Ofrecer un metodo para analizar los riesgos asiciados al uso de las tecnologias

de informacion y comunicación

Proveer a la organización de herramientas que le permitan mantener los

riesgos en niveles aceptables

Objetivos indirectos

Preparar a la organización para los procesos de evaluacion, auditoría,

certificación o acreditación según sea el caso

2.5 ELEMENTOS DE MAGERIT V3

2.5.1 Activos

Son aquellos componentes o funcionalidades de un sistema que tiene algún valor para

la organización y que pueden llegar a ser víctimas de una amenaza. La naturaleza de

los activos es muy variada; entre los activos comúnmente identificados dentro de una

organización pueden mencionarse los siguientes:

Datos que materializan la información.

Servicios auxiliares que se necesitan para poder organizar el sistema.

Aplicaciones informáticas (software) que permiten manejar los datos.

Equipos informáti cos (hardware) y que permiten hospedar datos, aplicaciones

y servicios.

Soportes de información que son dispositivos de almacenamiento de datos.

Equipamiento auxiliar que complementa el material informático.

Redes de comunicaciones que permiten intercambiar datos.

Instalaciones que acogen equipos informáticos y de comunicaciones.

Personas que explotan u operan todos los elementos anteriormente citados.

2.5.2 Amenazas

Son eventos que perjudican de alguna manera el correcto funcionamiento de un

sistema. Las amenazas pueden agruparse de acuerdo a su naturaleza en las siguientes

categorías (Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 27):

De origen natural

Son las provocados por las fuerzas de la naturaleza; en nuestro medio son

probables inundaciones, terremotos y erupciones volcánicas

De origen industrial

Aquellas que provocan deterioro físico sobre los activos; algunos de los más

comunes son: sobre-voltaje, oxidación, temperaturas ambientales extremas,

humedad excesiva, etc.

Defectos del sistema

Este tipo de amenazas se deben a defectos presentes en el hardware o errores

de programacion en el software; ejemplos de las primeras son ordenadores

defectuosos, cables en mal estado mientras que ejemplos de los segundos

pueden ser errores de configuración, errores de desarrollo, etc.

Causadas por las personas de forma accidental

Las personas con acceso al sistema de información pueden ser causa de

problemas no intencionados; un ejemplo de este tipo de amenazas es la

pérdida de claves de acceso, dejar a la vista de todos documentos clasificados,

etc.

Causadas por las personas de forma deliberada

Las personas con acceso al sistema de información pueden ser causa de

problemas intencionados: ataques deliberados; bien con ánimo de beneficiarse

indebidamente, bien con ánimo de causar daños y perjuicios a la organización

2.5.3 Salvaguardas

Una salvaguarda es todo aquello que permite proteger un bien de la

materialización de una amenaza; la naturaleza de las salvaguardas depende de

los activos que resguarde; una clasificación propuesta por Magerit agrupa las

salvaguardas en los siguientes conjuntos:

Protección general

Protección de los datos/información

Protección de claves criptográficas

Protección de los servicios

Protección de las aplicaciones

Protección de las comunicaciones

Protección de los soportes de información

Protección de los elementos auxiliares

Protección de las instalaciones

Salvaguardas relativas al personal

Salvaguardas de tipo organizativo

2.5.4 Impactos y riesgos

Impacto y riesgo son medidores de la de la importancia que tendría la materialización

de una amenaza sobre un determinado activo; en Magerit se puede diferenciar dos

tipos de impacto y riesgo: potencial y residual, los primeros se calculan sin tomar en

cuenta las salvaguardas mientras que el segundo es la diferencia entre el riesgo

potencial y el que se calcula tomando en cuenta las salvaguardas seleccionadas

2.5.5 Documentación

La presentación del análisis de riesgos debe contener los siguientes informes:

Modelo de valor

Documento que contiene la información referente a los activos

Mapa de riesgos

Documento que contiene información referente a las amenazas

Declaración de aplicabilidad

Documento que recoge información referente a la naturaleza de las


Evaluación de salvaguardas

Documento que recoge información referente a la eficacia de las de las


Informe de insuficiencias o vulnerabilidades

Documento que recoge información acerca de las salvaguardas que deberían

ser implementadas pero que no lo están

Estado de riesgo

Documento que muestra información del impacto y riesgo que afectan a cada

activo por cada amenaza

2.6 APLICACIÓN DE MAGERIT V3

El análisis de los riesgos incluye las tareas mencionadas en la figura 2.2

Figura 2-1.Tareas que incluye el método de análisis de riesgos

MAR 1: Caracterización de los activos

La caracterización de los activos se realiza seleccionando las existencias con

mayor riesgo dentro de la organización y en concordancia con el catálogo de

elementos de Magerit. El resultado de esta actividad se plasma en el “Modelo

de valor” (Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 36).

MAR 2: Caracterización de las amenazas

Una vez determinados los activos sobre los cuales se va a trabajar, se realiza la

identificación las amenazas más peligrosas que podrían atacar los activos y su

frecuencia de ocurrencia. El resultado de esta actividad es el informe

denominado “mapa de riesgos” (Ministerio de Hacienda y Administraciones

Públicas, 2012, pág. 36).

MAR.3: Caracterización de las salvaguardas

La caracterización de las salvaguardas busca identificar y evaluar los procesos

recomendados con el fin de mitigar la influencia de las amenazas sobre los

activos de la organización. El resultado de esta actividad se concreta en varios

informes (Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 36):

o Declaración de aplicabilidad

o Evaluación de salvaguardas

o Insuficiencias (o vulnerabilidades del sistema de protección)

MAR.4: Estimación del estado de riesgo

El cálculo del riesgo y el impacto resume todas las actividades anteriores y nos

permite cuantificar las mejoras que se lograron con la implementación de las

salvaguardas sobre el sistema informático

2.7 INTRODUCCIÓN A PILAR

PILAR es el acrónimo de “Procedimiento informático Lógico para el Análisis de Riesgos”

(Ministerio de Hacienda y Administraciones Públicas, 2012, pág. 125); este software ha

sido desarrollado con el fin de asistir en el Análisis de riesgos informáticos de acuerdo

a la metodología Magerit; a saber:

Caracterización de los activos

Caracterización de las amenazas

Evaluación de las salvaguardas

A fin se seguir la metodología y estandarizar los resultados del análisis, PILAR tiene

cargado el catálogo de elementos de esta metodología que incluye activos, amenazas,

dimensiones de evaluación, salvaguardas, etc.

PILAR realiza los cálculos de impacto y riesgo y genera graficas e informes con los

resultados del análisis de riesgos realizado

3 Análisis de riesgos3.1 Análisis de riesgos con PILAREl análisis de riesgos informáticos de una organización puede realizarse a través del software PILAR. Este software permite realizar el análisis siguiendo los siguientes pasos:

Identificación de activos Valoración de activos Identificación de amenazas Valoración de amenazas Primer cálculo del impacto y riesgo Determinación de las salvaguardas Valoración de salvaguardas Cálculo del impacto y riesgo finales

3.1.1 Identificación de ActivosLa tabla 3.1 muestra la identificación de los activos más representativos de la empresa Fideval; la identificación de los activos en el software PILAR se ilustra en la Figura 3.2

Tabla 3-2. Identificación de activos

Capa Activo Observación

Datos

FicherosArchivos que contiene toda la información de la empresa

Copias de respaldoCopias de respaldo de la información de la empresa

Credenciales

Incluye tarjetas de identificación y passwords que permiten el acceso a instalaciones y secciones virtuales

Servicios

Públicos

Servicios para los que no se requiere identificación; por ejemplo, la empresa ofrece simuladores de fondos de inversión

Internos

Procesos que utilizan los integrantes de la empresa para su desempeño

Clientes Básicamente son la

razón de ser la empresa ya que la empresa se dedica a administrar fondos y fideicomisos

Equipamiento

Software

Desarrollo propio

La empresa cuenta con software desarrollado puertas adentro para manejar algunos de sus servicios

A medida

Además de software propio, la empresa cuenta con software especializado que le permite agilitar las tareas que realiza así como los servicios que presta

Estándar

Como en toda empresa de este sector, también se cuenta con software estándar tal como antivirus, navegador, editor de texto, visor de archivos PDF, etc.

Equipos

Equipos grandes

Equipos de gran valor y pocas existencias; entre ellos se puede nombrar a los servidores

Equipos medianosDe menor valor y más existencias que los equipos grandes

Equipos personales

Equipos utilizados por la mayoría de personal; entre ellos puede nombrarse a las computadoras portátiles, routers, etc.

Comunicación

InternetLANTelefonía

AuxiliaresUPSGenerador eléctrico

Instalaciones EdificioPersonal Administradores del sistema Encargado de la

implementación, mantenimiento, monitorear y asegurar

el funcionamiento del sistema informático

Administradores de seguridad

El objetivo de la administración de seguridad es lograr la exactitud, integridad y protección de todos los procesos y recursos de los sistemas de información

Figura 3.2. Identificación de los activos en el software PILAR

3.1.2 Valoración de los activosMagerit propone la evaluación de activos en cinco dimensiones: disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad.

3.1.2.1 EscalaPara la valoración de los activos se utilizó una escala del uno al diez de acuerdo a la importancia de los activos dentro del sistema informático

3.1.2.2 ValoraciónEn la Tabla 3-3 se muestra la valoración de los activos identificados en el apartado 3.1.1; el procedimiento análogo en PILAR se ilustra en la Figura 3.3

Tabla 3-3. Valoración de los activos

Capa ActivoValoración

Disponibilidad

Integridad

Confidencialidad

Autenticidad

Trazabilidad

DatosFicheros 10 10 7Copias de respaldo 10 10Credenciales 10

ServiciosPúblicos 2 5 2Internos 9 9 8Clientes 10 10

Equipamiento

SoftwareDesarrollo propio 9 9 10A medida 9 8 9Estándar 7 5 2

EquiposEquipos grandes 10 8Equipos medianos 10 8Equipos personales 8 10

Comunicación

Internet 8 8 8LAN 10 9 10Telefonía 10 8 7

AuxiliaresUPS 10Generador eléctrico 10

Instalaciones Edificio 10

Personal

Administradores del sistema

10


7 9 8

Figura 3.3. Valoración de activos en PILAR

3.1.3 Identificación de las amenazasLa identificación de las amenazas se realiza sobre cada activo de acuerdo al catálogo de amenazas de Magerit tal como se muestra en la Tabla 3-4; la identificación de las amenazas en el software PILAR se ilustra en la Figura 3.4

Tabla 3-4. Identificación de amenazas

Capa Activo Amenazas

Datos

FicherosUso indebidoDifusión de software dañino

Copias de respaldoModificación de la informaciónDestrucción de la información

Credenciales Revelación de la información

Servicios

PúblicosVulnerabilidad de los programasErrores de mantenimiento / actualización

InternosErrores del administrador del sistemaRevelación de la información

ClientesFuga de informaciónCaída del sistema por agotamiento de recursos

Equipamiento

Software

Desarrollo propioErrores del administrador del sistemaErrores de configuración

A medidaErrores del administrador del sistemaErrores de configuración

EstándarErrores de los usuariosErrores de configuraciónDifusión de software dañino

Equipos

Equipos grandesAvería de origen físico o lógicoRobo de equipo

Equipos medianosAvería de origen físico o lógicoRobo de equipo

Equipos personalesAvería de origen físico o lógicoRobo de equipo

Comunicación

InternetUso indebidoRevelación de la información

LANSuplantación de identidadAbuso de privilegios de acceso

Telefonía Uso indebido

AuxiliaresUPS

Avería de origen físico o lógicoRobo de equipo

Generador eléctricoAvería de origen físico o lógicoRobo de equipo

Instalaciones EdificioFuegoAtaque destructivo

Personal Administradores del Errores del administrador del sistema

sistema Indisponibilidad del personalAdministradores de seguridad

ExtorsiónIndisponibilidad del personal

ClientesErrores de los usuariosRevelación de la información

ProveedoresIndisponibilidad del personalRevelación de la información

Figura 3.4. Identificación de amenazas en PILAR

3.1.4 Valoración de las amenazasLa valoración de la degradación que una amenaza puede producir sobre un activo se realiza en las mismas cinco dimensiones que los activos; en esta valoración debe añadirse la frecuencia de materialización de las amenazas en el sistema

3.1.4.1 Escala de la frecuenciaPara esta escala se escogió un rango entre 0 y 365, esto indica que las amenazas pueden materializarse de 0 a 365 veces por año; este valor corresponde a f año. La frecuencia que se utilizará para los cálculos se obtiene pasando la escala a un rango entre 0 y 1; este valor corresponde a f .

3.1.4.2 Escala de la valoraciónPara esta escala se utilizó un rango entre 0 y 1; este valor representa el porcentaje de degradación del activo

3.1.4.3 ValoraciónLa valoración de las amenazas se muestra en la Tabla 3-5; el proceso análogo en PILAR se ilustra en la Figura 3.5

Tabla 3-5. Valoración de las amenazas

Capa Activo Amenazas

ƒ año

ƒ

Degradación

Disponibilidad

Integridad

Confidencialidad

Autenticidad

Trazabilidad

Datos

FicherosUso indebido 20 0,055 0,1 0,3 0,9Difusión de software dañino 40 0,110 0,8 0,9 0,7

Copias de respaldoModificación de la información 40 0,110 1Destrucción de la información 5 0,014 1

Credenciales Revelación de la información 100 0,274 1

Servicios

Públicos

Vulnerabilidad de los programas

200 0,548 0,5 0,6 0,8

Errores de mantenimiento / actualización

80 0,219 0,8 0,7 0

InternosErrores del administrador del sistema

70 0,192 0,8 0,4 0,8

Revelación de la información 200 0,548 0,3

ClientesFuga de información 80 0,219 1Caída del sistema por agotamiento de recursos

200 0,548 0,9

Equipamiento Software Desarrollo propio Errores del administrador del sistema

30 0,082 0,7 0,8 1

Errores de configuración 50 0,137 0,3 0,4 0,6

A medidaErrores del administrador del sistema

70 0,192 0,7 0,8 1

Errores de configuración 40 0,110 0,3 0,4 0,6

EstándarErrores de los usuarios 90 0,247 0,7 0,8 1Difusión de software dañino 360 0,986 0,5 0,7 0,3

Equipos

Equipos grandesAvería de origen físico o lógico 40 0,110 1Robo de equipo 10 0,027 1 0,2

Equipos medianosAvería de origen físico o lógico 80 0,219 0,7Robo de equipo 10 0,027 0,9 0,6

Equipos personalesAvería de origen físico o lógico 300 0,822 0,8Robo de equipo 150 0,411 0,9 0,3

Comunicación

Internet

Fallo en servicio de comunicaciones

200 0,548 0,6

Errores del administrador del sistema

80 0,219 0,5 0,6 0,8

LAN


120 0,329 0,8


40 0,110 0,9 0,7 1

Telefonía


20 0,055 0,4


60 0,164 0,4 0,6 0,7

AuxiliaresUPS

Avería de origen físico o lógico 40 0,110 0,9Robo de equipo 10 0,027 1

Generador eléctricoAvería de origen físico o lógico 10 0,027 0,9Robo de equipo 5 0,014 0,9

Instalaciones Edificio Fuego 10 0,027 0,2

Ataque destructivo 10 0,027 0,3

PersonalAdministradores del sistema


80 0,219 0,7

Indisponibilidad del personal 60 0,164 0,9

Administradores de seguridadExtorsión 60 0,164 0,7Indisponibilidad del personal 50 0,137 0,6 0,3 0,5

Figura 3.5. Valoración de amenazas en PILAR

3.1.5 Cálculo del impacto y el riesgo sin salvaguardasEl cálculo del impacto y el riesgo se realiza en primer lugar sin tomar en cuenta salvaguarda alguna. El impacto es el producto del valor del activo y la degradación potencial del activo; por su parte el riesgo es el producto del impacto por la frecuencia de materialización de la amenaza. Los resultados del cálculo de estos valores se muestran en la Figura 3.6

3.1.6 Cálculo del impacto y el riesgoEl cálculo del impacto y el riesgo se realiza sin el planteamiento de nuevas salvaguardas. El impacto es el producto del valor del activo y la degradación potencial del activo; por su parte el riesgo es el producto del impacto por la frecuencia de materialización de la amenaza. Los resultados del cálculo de estos valores se muestran en la Figura 3.6

a

Ficheros

Copias de respaldo

Credenciales

Públicos

Internos

Clientes

Desarrollo propio

A medida

Estándar

Equipos grandes

Equipos medianos

Equipos personales

Internet

LAN

Telefonía

UPS

Generador eléctrico

Edificio



0 2 4 6 8 10 12

Impacto

ConfidencialidadIntegridadDisponibilidad

b

Ficheros

Copias de respaldo

Credenciales

Públicos

Internos

Clientes

Desarrollo propio

A medida

Estándar

Equipos grandes

Equipos medianos

Equipos personales

Internet

LAN

Telefonía

UPS


Edificio



0 0.1 0.2 0.3 0.4 0.5 0.6

Riesgo


Figura 3.6. Resultados de impacto y riesgo sobre los activos (a) Impacto (b) Riesgo

3.1.7 Determinación de las salvaguardas3.1.7.1 SalvaguardasPuede recomendarse una o más salvaguardas a fin de mitigar el efecto de una amenaza sobre un activo; en este proyecto se ha utilizado únicamente la salvaguarda más relevante para cada activo

3.1.7.2 EficaciaLa eficacia de una salvaguarda es un valor entre 0 y 1 que mide la capacidad de una salvaguarda para proteger el activo

La determinación de las salvaguardas se muestra en la Tabla 3-6

Tabla 3-6. Determinación de las salvaguardas

Capa Activo Amenazas Salvaguardas Eficacia

Datos

FicherosUso indebido Claves de acceso más seguras 0,6Difusión de software dañino Actualización de antivirus 0,8

Copias de respaldoModificación de la información Claves de acceso más seguras 0,5

Destrucción de la información Creación de copias redundantes

0,6

Credenciales Revelación de la información Reseteo de claves más frecuente

0,4

Servicios

Públicos


Mantenimiento código fuente de aplicaciones públicas

0,7


Mantenimiento más frecuente 0,8

Internos


Capacitación del administrador del sistema

0,7

Revelación de la información Revisión de privilegios de usuarios internos

0,6

ClientesFuga de información Revisión de privilegios de los

clientes0,8

Caída del sistema por agotamiento de recursos

Mejoramiento de tecnología de equipos grandes

0,9

Equipamiento Software Desarrollo propio Errores del administrador del sistema


0,7

Errores de configuraciónMantenimiento código fuente de aplicaciones de desarrollo propio

0,6

A medida



0,7

Errores de configuraciónMantenimiento código fuente de aplicaciones de desarrollo a medida

0,6

EstándarErrores de los usuarios Capacitación del administrador

del sistema0,7

Difusión de software dañino Mantenimiento código fuente de aplicaciones estándar

0,6

Equipos

Equipos grandesAvería de origen físico o lógico Mantenimiento de equipos

más frecuente0,8

Robo de equipo Mejoramiento seguridad de las instalaciones

0,4

Equipos medianosAvería de origen físico o lógico Mantenimiento de equipos

más frecuente0,8


0,4

Equipos personalesAvería de origen físico o lógico Mantenimiento de equipos

más frecuente0,7


0, 4

Comunicación Internet


Contratación de un mejor servicio

0,8



0,7

LAN



0,8



0,7

Telefonía



0,8



0,7

Auxiliares

UPSAvería de origen físico o lógico Mantenimiento de equipos

más frecuente0,6


0,8

Generador eléctricoAvería de origen físico o lógico Mantenimiento de equipos

más frecuente0,6


0,4

Instalaciones EdificioFuego Mejoramiento seguridad de las

instalaciones0,6

Ataque destructivo Mejoramiento seguridad de las instalaciones

0,6

Personal

Administradores del sistemaErrores del administrador del sistema


0,4

Indisponibilidad del personal Motivación al personal 0,3

Administradores de seguridadExtorsión Capacitación del personal de

seguridad0,3

Indisponibilidad del personal Motivación al personal 0,3

3.1.8 Cálculo de impacto y riesgo residualesUna vez determinada la eficacia de las salvaguardas es posible determinar el impacto y riesgos residuales de acuerdo a las siguientes fórmulas:

impactores=(1−e )∗impacto

riesgores= (1−e )∗riesgo

La Figura 3.7 muestra los resultados del cálculo del impacto residual y el riesgo residual

a

Ficheros

Copias de respaldo

Credenciales

Públicos

Internos

Clientes

Desarrollo propio

A medida

Estándar

Equipos grandes

Equipos medianos

Equipos personales

Internet

LAN

Telefonía

UPS


Edificio



0 0.5 1 1.5 2 2.5 3 3.5 4 4.5

Impacto residual


b

Ficheros

Copias de respaldo

Credenciales

Públicos

Internos

Clientes

Desarrollo propio

A medida

Estándar

Equipos grandes

Equipos medianos

Equipos personales

Internet

LAN

Telefonía

UPS


Edificio



0 0.05 0.1 0.15 0.2 0.25

Riesgo residual


Figura 3.7. Cálculo del impacto y riesgo residuales (a) Impacto residual (b) Riesgo residual

4 Gestión de riesgos4.1 Toma de decisionesNingún sistema informático, debidamente planificado, carece de salvaguardas; sin embargo, con el paso del tiempo las amenazas a las que se ve expuesto cambian por lo que las salvaguardas deben ser actualizadas

4.1.1 Identificación de riesgos críticosAl analizar la Tabla 4-7 se observa que la mayoría de los activos se verían afectados en más de la mitad de su valor si se llegara a materializar alguna de las amenazas identificadas. Otro punto a tomar en cuenta en este análisis es que el riesgo es considerable (mayor al 50%) solo en pocos activos; sin embargo, el resto de valores del riesgo no debe ser despreciado ya que a pesar de ser muy poco frecuentes, su impacto es elevado

De acuerdo a la Tabla 4-7 los activos que presentan riesgo crítico son:

Copias de respaldo Credenciales Servicios a clientes Software de desarrollo propio Equipos grandes UPS

Tabla 4-7. Análisis del impacto actual y riesgo actual

Activo Amenazas

Impacto Riesgo

Disponibilidad

Integridad

Confidencialidad

Disponibilidad

Integridad

Confidencialidad

FicherosUso indebido

1 3 6,3

0,055

0,164

0,345

Difusión de software dañino

8 9 4,9

0,438

0,493

0,268

Copias de respaldo

Modificación de la información

10 0,548

Destrucción de la información

10 0,548

Credenciales Revelación de la información

10 0,548

Servicios públicos


1 3 1,6

0,055

0,164

0,088

Errores de 1, 3, 0,08 0,19

mantenimiento / actualización

6 5 8 2

Servicios internos


7,2

3,6

6,4

0,395

0,197

0,351

Revelación de la información

2,4

0,132

Servicios a clientesFuga de información

10 0,548


9 0,493

Software de desarrollo propio


6,3

7,2 10

0,345

0,395

0,548

Errores de configuración2,7

3,6

6 0,148

0,197

0,329

Software a medida


6,3

6,4 9

0,345

0,351

0,493

Errores de configuración2,7

3,2

5,4

0,148

0,175

0,296

Software estándarErrores de los usuarios

4,9

4 2 0,268

0,219

0,11

Difusión de software dañino

3,5

3,5

0,6

0,192

0,192

0,033

Equipos grandes

Avería de origen físico o lógico

10 0,548

Robo de equipo10 1,

60,54

80,08

8

Equipos medianos


7 0,384

Robo de equipo9 4,

80,49

30,26

3

Equipos personales


6,4

0,351

Robo de equipo7,2

3 0,395

0,164

Internet


4,8

0,263


44,8

6,4

0,219

0,263

0,351

LAN


8 0,438


96,3 10

0,493

0,345

0,548

Telefonía


4 0,219


44,8

4,9

0,219

0,263

0,268

UPS


9 0,493

Robo de equipo10 0,54

8



9 0,493

Robo de equipo9 0,49

3

EdificioFuego 2 0,11

Ataque destructivo3 0,16

4



70,38

4

Indisponibilidad del personal

9 0,493


Extorsión4,9

0,268

Indisponibilidad del personal

4,2

2,7

4 0,23 0,148

0,219

4.2 Plan de seguridad4.2.1 SalvaguardasUna vez determinados los activos con riesgo crítico, se establece un conjunto de salvaguardas para mitigarlos.

Las salvaguardas seleccionadas se muestran en la tabla 4.2; para la elaboración de este análisis se han seleccionado las salvaguardas con menor costo de implementación y mayor efectividad posible

Tabla 4-8. Prioridad de salvaguardas recomendadas

Activo Amenazas Salvaguardas Prioridad

FicherosUso indebido Claves de acceso más seguras NormalDifusión de software dañino Actualización de antivirus Normal

Copias de respaldoModificación de la información Claves de acceso más seguras Crítica

Destrucción de la información Creación de copias redundantes

Crítica

Credenciales Revelación de la información Reseteo de claves más frecuente

Crítica

Servicios públicos


Mantenimiento código fuente de aplicaciones públicas

Normal


Mantenimiento más frecuente Normal

Servicios internos



Normal

Revelación de la información Revisión de privilegios de usuarios internos

Normal

Servicios a clientesFuga de información Revisión de privilegios de los

clientesCrítica


Mejoramiento de tecnología de equipos grandes

Crítica

Software de desarrollo propio



Crítica

Errores de configuraciónMantenimiento código fuente de aplicaciones de desarrollo propio

Crítica

Software a medida



Normal

Errores de configuraciónMantenimiento código fuente de aplicaciones de desarrollo a medida

Normal

Software estándarErrores de los usuarios Capacitación del administrador

del sistemaNormal

Difusión de software dañino Mantenimiento código fuente de aplicaciones estandar

Normal

Equipos grandesAvería de origen físico o lógico Mantenimiento de equipos

más frecuenteCrítica


Crítica

Equipos medianosAvería de origen físico o lógico Mantenimiento de equipos

más frecuenteNormal


Normal

Equipos personalesAvería de origen físico o lógico Mantenimiento de equipos



Normal

Internet



Normal



Normal

LAN Fallo en servicio de comunicaciones


Normal



Normal

Telefonía



Normal



Normal

UPSAvería de origen físico o lógico Mantenimiento de equipos

más frecuenteCrítica


Crítica

Generador eléctricoAvería de origen físico o lógico Mantenimiento de equipos



Normal

EdificioFuego Mejoramiento seguridad de las

instalacionesNormal

Ataque destructivo Mejoramiento seguridad de las instalaciones

Normal

Administradores del sistemaErrores del administrador del sistema


Normal

Indisponibilidad del personal Motivación al personal Normal

Administradores de seguridadExtorsión Capacitación del personal de

seguridadNormal

Indisponibilidad del personal Motivación al personal Normal

4.2.2 Programa de seguridadUna vez determinado el conjunto de salvaguardas se procede a confeccionar el programa para ponerlas en marcha. La tabla 4.3 muestra el programa para la implementación de salvaguardas

4.2.3 Impacto y riesgo residualesTal como se observó en las gráficas 3.5 y 3.6, la el programa de seguridad recomendado tiene la capacidad de reducir el impacto a la mitad y eliminar valores críticos en el riesgo

Tabla 4-9. Programa de seguridad

Tarea Prioridad Responsable Plazo de ejecución Observaciones

Creación de respaldos de información redundantes

Crítica Departamento de sistemas

Un mes

Disminución del tiempo de valides de claves y credenciales


Dos semanas En la actualidad el tiempo en el que las claves se resetean es 1 mes

Revisión y actualización de los privilegios de los clientes sobre el sistema


Dos meses

Mejoramiento de la tecnología de los equipos grandes

Crítica Departamento de logística

Dos meses

Capacitación técnica de los administradores del sistema

Crítica Departamento de recursos humanos

Seis mesesSe debe capacitar al personal en temas inherentes al manejo del sistema así como en politicas de seguridad

Capacitación de los desarrolladores de software

Crítica Departamento de recursos humanos

Seis meses

Aumento en la frecuencia de mantenimiento a equipos grandes


Dos semanas

Mejoramiento de la seguridad de las instalaciones

Crítica Departamento de logística

Un mes

Actualización de los antivirus Normal Departamento de sistemas

Un mes

Mantenimiento de software de desarrollo propio, desarrollado a medida y estándar

Normal Departamento de sistemas

Tres meses

Revisión y actualización de los privilegios de los usuarios internos

Normal Departamento de sistemas

Un mes

Realización de actividades de motivación al personal

Opcional Departamento de recursos humanos

Contratación de un mejor servicio de internet y telefonía

Opcional Administración

5 Conclusiones y recomendaciones5.1 Conclusiones

Se realizó el análisis de riesgos informáticos sobre los activos más expuestos de la empresa FIDEVAL encontrándose que algunos de ellos se encontraban en riesgo crítico

La utilización de la metodología Magerit facilitó enormemente la realización del análisis de riesgos informáticos ya que propone un cumplimiento de tareas elemental y existe abundante documentación en español

Se determinaron las salvaguardas más adecuadas para reducir el impacto y el riesgo sobre los activos más expuestos de la empresa y se proyectó una reducción general del riesgo de 50%

5.2 Recomendaciones No promover el uso de software pago para la realización de análisis de riesgos

informáticos; es mejor desarrollar una aplicación de acuerdo a los requerimientos de casa empresa

Promover la cultura de gestión de riesgos informáticos ya que es una herramienta muy útil para la administración de una organización en lo referido a seguridad en general

Empezar la recomendación de salvaguardas por las más fáciles de implementar y por las más evidentes

6 Bibliography

Fideval. (01 de 01 de 2014). ¿Quiénes somos? Obtenido de Fideval: http://www.fideval.com/index.php?page=2&&language=es

ISO / IEC. (2009). Information technology — Security techniques — Information security management systems — Overview and vocabulary. Ginebra: ISO.

Kouns, J. (2010). Information technology risk management. Hovoken, NJ: Jhon Wiley & Sons.

Ministerio de Hacienda y Administraciones Públicas. (2012). MAGERIT – versión 3.0. Catálogo de elementos. Madrid: Ministerio de Hacienda y Administraciones Públicas.

Ministerio de Hacienda y Administraciones Públicas. (2012). MAGERIT – versión 3.0. Método. Madrid: Ministerio de Hacienda y Administraciones Públicas.

Peltier, T. (2005). Análisis de riesgos en seguridad informática. Boca Ratòn: CRC Press.

Documents

Análisis de Riegos FIDEVAL