ANALISIS Y GESTION DE RIESGOS EN EL MARCO...

1

ANALISIS Y GESTION DE RIESGOS EN EL MARCO DEL SGSI, BASADO EN

LA METODOLOGIA MAGERIT Y APOYADO EN UN API WEB PARA SU

EJECUCION

David Alejandro García Hernández

Jeisson Herley Ruiz Murillo

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA

INGENIERIA EN TELEMATICA

BOGOTÁ

2017

2

ANALISIS Y GESTION DE RIESGOS EN EL MARCO DEL SGSI, BASADO EN

LA METODOLOGIA MAGERIT Y APOYADO EN UN API WEB PARA SU

EJECUCION

David Alejandro García Hernández

Código: 20141678022

Jeisson Herley Ruiz Murillo

Código: 20141678032

Documento presentado como requisito para entrega de anteproyecto de grado de

Ingeniería en Telemática

Monografía

Tutor

Jairo Hernández G.

UNIVERSIDAD DISTRITAL FRANCISCO JOSÉ DE CALDAS

FACULTAD TECNOLÓGICA INGENIERIA EN TELEMATICA

BOGOTÁ

2017

3

Nota de Aceptación

______________________________

______________________________

______________________________

______________________________

_____________________________

Firma tutor del Proyecto

_____________________________

Firma del Jurado

Bogotá, 09, 08, 2017.

4

Dedicamos este proyecto a nuestras

familias, y a mis amigos que nos

brindaron el apoyo necesario durante su

realización.

5

AGRADECIMIENTOS

Este proyecto de grado, ha requerido de un gran esfuerzo y dedicación por parte

de los Autores cabe destacar que no hubiera sido posible culminar este trabajo,

sin la colaboración de las personas que a continuación se mencionan y que directa

o indirectamente estuvieron presentes durante el desarrollo de esta tesis.

Agradecemos a Dios por brindarnos la fortaleza necesaria para seguir adelante en

los momentos difíciles, y por llenarnos de sabiduría para lograr con éxito la

culminación de este proyecto.

A nuestros padres, agradecemos su constante apoyo moral y económico, y por

creer en nuestras capacidades para que esta meta se cumpliera.

En general quisiéramos agradecer a todas las personas que han vivido con

nosotros la realización de este proyecto.

6

TABLA DE CONTENIDO

1. FASE DE DEFINICION, PLANEACION Y ORGANIZACIÓN .......................... 16

1.1. TITULO .................................................................................................... 16

1.2. TEMA ....................................................................................................... 16

1.3. PLANTEAMIENTO DEL PROBLEMA ...................................................... 16

1.3.1. Descripción. ....................................................................................... 16

1.3.2. Formulación del problema. ................................................................ 17

1.4. JUSTIFICACION ...................................................................................... 17

1.4.1. Justificación Ambiental Y Social ........................................................ 18

1.5. OBJETIVOS ............................................................................................. 18

1.5.1. Objetivo General. ............................................................................... 18

1.5.2. Objetivos Específicos. ....................................................................... 18

1.6. ALCANCES .............................................................................................. 19

1.7. DELIMITACIONES ................................................................................... 20

1.7.1. Delimitación Geográfica. .................................................................... 20

1.7.2. Delimitación Temporal. ...................................................................... 20

1.7.3. Delimitación Operativa. ...................................................................... 20

1.8. MARCO HISTORICO ............................................................................... 20

1.9. MARCO TEORICO................................................................................... 21

1.10. MARCO CONCEPTUAL ....................................................................... 27

1.11. FACTIBILIDAD ...................................................................................... 28

1.11.1. Factibilidad Técnica. ....................................................................... 28

1.11.2. Factibilidad operativa...................................................................... 28

1.11.3. Factibilidad Legal. .......................................................................... 28

1.11.4. Factibilidad Económica. .................................................................. 29

1.11.5. Cronograma de Actividades ........................................................... 30

2. SITUACIÓN ACTUAL ..................................................................................... 31

2.1. Actividad 1: Marco de Referencia Aplicabilidad del Modelo ..................... 31

2.2. Actividad 2: Evaluación de oportunidad ................................................... 31

7

2.3. Actividad 3: Información Administrativa y Técnica ................................... 32

2.3.1. Misión ................................................................................................ 32

2.3.2. Visión ................................................................................................. 32

2.3.3. Organigrama ...................................................................................... 33

2.3.4. Información Técnica .......................................................................... 33

2.4. Actividad 4: Plataforma Tecnológica ........................................................ 35

2.4.1. Equipos Activos De Red .................................................................... 37

2.4.2. Diseño Lógico Oficina Central ........................................................... 39

2.4.3. Diseño Lógico Oficina Eje Cafetero ................................................... 39

2.4.4. Equipos De Cómputo ......................................................................... 40

2.4.5. Centro Datos...................................................................................... 40

2.4.6. Cableado Estructurado ...................................................................... 41

2.4.7. Cableado Vertical .............................................................................. 42

2.5. Actividad 5: Situación Actual de la Seguridad, Norma 27001 – GAP ....... 43

2.6. Actividad 6: Determinación del alcance del proyecto ............................... 45

2.7. Actividad 7: Planificación del proyecto ..................................................... 46

2.8. Actividad 8: Puesta en marcha del proyecto ............................................ 47

3. ANÁLISIS DE RIESGOS ................................................................................ 48

3.1. Caracterización de los Activos ................................................................. 48

3.1.1. Levantamiento de Activos de Información ......................................... 48

3.1.2. Valoración de los Activos ................................................................... 51

3.1.3. Identificación y Valoración de Activos ................................................ 52

3.2. Caracterización de las Amenazas ............................................................ 55

3.2.1. Identificación de las Amenazas ......................................................... 55

3.2.2. Valoración de las Amenazas ............................................................. 62

3.3. Estimación del Impacto y Riesgo Potencial .............................................. 62

3.3.1. Impacto potencial ............................................................................... 63

3.3.2. Riesgo Potencial: ............................................................................... 63

3.4. Salvaguardas ........................................................................................... 64

3.4.1. Identificación de las salvaguardas. .................................................... 64

8

3.4.2. Caracterización de las salvaguardas ................................................. 65

3.4.3. Identificación y Caracterización de las Salvaguardas ........................ 65

3.5. Estimación del Impacto y Riesgo Residual .............................................. 68

3.5.1. Impacto Residual ............................................................................... 68

3.5.2. Riesgo Residual ................................................................................. 69

4. GESTIÓN DE RIESGOS ................................................................................ 71

4.1. Toma de Decisiones................................................................................. 71

4.1.1. Identificación de los Riesgos Críticos ................................................ 71

4.1.2. Calificación del Riesgo ...................................................................... 75

4.2. Plan de Seguridad .................................................................................... 82

4.2.1. Normativas de Seguridad .................................................................. 82

4.2.2. Mitigación del Riesgo ......................................................................... 84

5. CONSTRUCCIÓN DEL API MAGERIT UD .................................................... 86

5.1. Metodología ............................................................................................. 86

5.2. Diagramas ................................................................................................ 87

6. CONCLUSIONES ........................................................................................... 91

7. RECOMENDACIONES ................................................................................... 92

8. BIBLIOGRAFÍA ............................................................................................... 93

ANEXOS ................................................................................................................. 2

ANEXO A - Tabla de controles norma ISO 27001 ............................................... 3

ANEXO B - ENCUESTAS .................................................................................. 21

ANEXO C – Valoración de Amenazas ............................................................... 39

ANEXO D – Impacto Potencial .......................................................................... 51

ANEXO E – Riesgo Potencial ............................................................................ 61

ANEXO F – Impacto Residual ............................................................................ 71

ANEXO G - Riesgo residual .............................................................................. 81

ANEXO H – ENTREVISTAS .............................................................................. 94

ANEXO I – MANUAL DE USUARIO ................................................................ 102

ANEXO J – MANUAL DEL SISTEMA .............................................................. 112

9

INDICE DE FIGURAS

Figura 1. Arquitectura en capas ............................................................................ 27

Figura 2. Cronograma de actividades ................................................................... 30

Figura 3. Organigrama .......................................................................................... 33

Figura 4. Configuración servidor primario ............................................................. 35

Figura 5. Configuración servidor secundario ......................................................... 36

Figura 6. Esquema de localización vehicular ........................................................ 36

Figura 7. AP TP-LINK TL-WA901ND .................................................................... 37

Figura 8. Huawei S3700 28TP-EI-24S-AC ............................................................ 37

Figura 9. DrayTek Vigor3900 ................................................................................ 37

Figura 10. Cisco Rv320-k9 .................................................................................... 38

Figura 11. UTM Fortigate 60d ............................................................................... 38

Figura 12. Dell Powervault 124T ........................................................................... 38

Figura 13. Diseño Lógico Oficina Central .............................................................. 39

Figura 14. Diseño Lógico Oficina Eje Cafetero...................................................... 39

Figura 15. Lenovo ThinkPad T460S ...................................................................... 40

Figura 16. Lenovo ThinkStation S10 ..................................................................... 40

Figura 17. Dell PowerEdge R620 .......................................................................... 41

Figura 18. Cableado horizontal ............................................................................. 42

Figura 19. Cableado vertical sede Bogotá ............................................................ 43

Figura 20. Cableado vertical sede Bogotá ............................................................ 43

Figura 21. Convenciones evaluación de controles ................................................ 44

Figura 22. Resumen Controles Evaluados ............................................................ 44

Figura 23. Grafico Implementación controles ........................................................ 45

10

Figura 24. Gráfico de barras implementación controles ........................................ 45

Figura 25. Criterios de valoración .......................................................................... 52

Figura 26. Criterios de degradación ...................................................................... 62

Figura 27. Criterios de probabilidad ...................................................................... 62

Figura 28. Impacto Potencial ................................................................................. 63

Figura 29. Riesgo Potencial .................................................................................. 64

Figura 30. Criterios de salvaguardas ..................................................................... 65

Figura 31. Impacto Residual .................................................................................. 69

Figura 32. Impacto Residual .................................................................................. 70

Figura 33. Kanban Proyecto .................................................................................. 87

Figura 34. Diagrama Entidad- relación .................................................................. 88

Figura 35. Diagrama de secuencia ........................................................................ 89

Figura 36. Diagrama de objetos ............................................................................ 90

Figura 37. Convenciones evaluación de controles .................................................. 3

Figura 38. Documentación API (Acceso Web) .................................................... 104

Figura 39. Lista de operaciones .......................................................................... 105

Figura 40. Detalle de operación. ......................................................................... 106

Figura 41. Verificación de la máquina virtual ....................................................... 107

Figura 42. Log de inicio de aplicación ................................................................. 107

Figura 43. Registro de empresa y/o proyecto...................................................... 108

Figura 44. Creación y/o edición de proyecto ....................................................... 109

Figura 45. Edición del proyecto 1. ....................................................................... 109

Figura 46. Edición del proyecto 2. ....................................................................... 110

Figura 47. Edición del proyecto 3 ........................................................................ 110

Figura 48. Edición del proyecto 4 ........................................................................ 111

11

Figura 49. Página de descarga PostgreSQL ....................................................... 113

Figura 50. Versión de sistema operativo para descarga ..................................... 113

Figura 51. Instalación PostgreSQL 1 ................................................................... 114









Figura 60. Creación base de datos ..................................................................... 118

Figura 61. Restore base de datos ....................................................................... 119

Figura 62. Ubicación archivo restore base de datos ........................................... 119

Figura 63. Pagina descarga JDK 8 ...................................................................... 120

Figura 64. Instalación JDK 8, paso 1 ................................................................... 120




Figura 68. . Diagrama de componentes .............................................................. 123

Figura 69. . Creación de empresa, MageritUD .................................................... 124

Figura 70. Creación de proyecto, MageritUD ...................................................... 124

Figura 71. Creación de dominio, MageritUD ....................................................... 125

Figura 72. Creación de activos, MageritUD ......................................................... 125

Figura 73. Creación de amenazas, MageritUD ................................................... 126

12

Figura 74. Creación de impacto potencial, MageritUD ........................................ 127

Figura 75. Creación de salvaguardas, MageritUD ............................................... 127

Figura 76. Catálogo de activos, MageritUD ......................................................... 128

Figura 77. Catálogo de amenazas, MageritUD ................................................... 128

Figura 78. Catálogo de salvaguardas, MageritUD ............................................... 129

Figura 79. Estructura MageritUD ......................................................................... 129

Figura 80. Magerit.ud-container .......................................................................... 130

Figura 81. Magerit.ud-controller .......................................................................... 130

Figura 82. Magerit.ud-definitions ......................................................................... 131

Figura 83. Magerit.ud-api .................................................................................... 131

Figura 84. Magerit.ud-domain ............................................................................. 132

13

RESUMEN

Este proyecto fue enfocado a las metodologías de análisis y gestión de riesgos, ya

que permiten determinar los riesgos a los que se encuentran expuestas las

organizaciones, por tal razón TrackSpia S.A.S, una PYME del mercado de rastreo

satelital, permitió llevar a cabo este caso estudio de análisis y gestión de riesgos

mediante el uso de la herramienta Magerit UD.

El desarrollo del análisis y gestión de riesgos se divide en cuatro capítulos.

En la primera parte se documentó la fase de definición, planeación y organización,

especificando los datos elementales del proyecto: título, tema del proyecto,

planteamiento del problema, justificación, objetivos, alcances y delimitaciones.

además, una descripción de cada uno de los libros de la metodología, con su

respectivo marco conceptual; detallando los términos elementales de Magerit V3.

El segundo capítulo es un estudio de la situación actual de la empresa,

puntualizando el marco de referencia de la aplicabilidad del modelo, la evaluación

de la oportunidad, alcance del proyecto y como se planificó el proyecto. Importante

dentro de la fase de planificación: la descripción de la plataforma tecnológica,

información técnica y administrativa de la organización y la situación actual con

respecto la norma ISO 27001.

En el tercer capítulo, se indica cuáles son los pasos que se deben seguir para

encontrar los riesgos sobre cada activo. Estos pasos son: la identificación de los

activos, valoración de los activos, caracterización de las amenazas, estimación del

impacto y riesgo potencial, identificación de las salvaguardas.

El cuarto capítulo describe las medidas pertinentes para realizar de la mitigación

de riesgos, tales como: la toma de decisiones, calificación de los riesgos, plan de

seguridad, mitigación del riesgo, conclusiones y recomendaciones.

14

ABSTRACT

This project was focused on risk analysis and management methodologies, since

they allow the identification of the risks to which the organizations are exposed. For

this reason, TrackSpia SAS, a SME in the satellite tracking market, allowed to

carry out this case of Study of risk analysis and management through the use of

the Magerit UD tool. The development of risk analysis and management is divided

into four chapters.

The first part documented the definition, planning and organization phase,

specifying the elementary data of the project: title, project theme, problem

statement, justification, objectives, scope and boundaries. In addition a description

of each of the books of the methodology, with its respective conceptual framework;

detailing the elementary terms of Magerit V3.

The second chapter is a study of the current situation of the company, stating the

frame of reference of the applicability of the model, the evaluation of the

opportunity, scope of the project and how the project was planned. Important in the

planning phase: the description of the technological platform, technical and

administrative information of the organization and the current situation with respect

to ISO 27001.

The third chapter outlines the steps that must be followed to find the risks for each

asset. These steps are: identification of assets, valuation of assets,

characterization of threats, estimation of impact and potential risk, identification of

safeguards.

The fourth chapter describes the relevant measures to carry out risk mitigation,

such as: decision making, risk rating, safety plan, risk mitigation, conclusions and

recommendations.

15

INTRODUCCIÓN

La presente monografía está dirigida a implementar un modelo seguridad por

medio de la metodología MAGERIT. Esto haciendo uso de un software que ha

sido desarrollado para facilitar el análisis de cada uno de los activos de una

organización. Para efectos del presente documento se ha elaborado un caso

estudio a la empresa TrackSpia LTDA.

En la actualidad un amplio sector de las organizaciones hace uso de las

tecnologías de la información y la comunicación (TIC), en donde el gran flujo de

información manejada y administrada debe ser almacenado, procesado y

transmitido de manera eficaz y eficiente.

Desde que se ha hecho masivo el uso de las TIC, se ha requerido cada vez más el

acompañamiento de personal experto, la adquisición o alquiler de la

infraestructura tecnológica necesaria para contener, transmitir y proteger, el amplio

volumen de información. El alcance de la tecnología en las organizaciones, ha

determinado que un factor fundamental es la seguridad de cada uno de los

recursos informáticos denominados activos, y estos activos son relevantes

siempre y cuando respalden la información que es lo más valioso para una

organización.

Aunque estos activos por más seguridad y protección implementada, no son

totalmente seguros, ya que continuamente sufren amenazas; tanto externo como

internamente, y para ello existen medidas de seguridad que permiten prevenir y

evitar daños. Es allí donde se entra a hablar de las metodologías de análisis de

riesgos. Para evitar mitigar todo tipo de riesgo que se pueda convertir en una

amenaza y en el peor de los casos materializarse sobre un activo.

La finalidad de este proyecto consiste en entregar una solución que permita aplicar

una de estas metodologías de análisis de riesgos. Para el caso del presente:

MAGERIT, que ha sido creado por el Consejo Superior de Administración Publica

de España (CSAE) y busca orientar el análisis de riesgos hacia las tecnologías de

la información y la comunicación (TIC).

16

1. FASE DE DEFINICION, PLANEACION Y ORGANIZACIÓN

1.1. TITULO

Análisis y gestión de riesgos en el marco del SGSI, basado en la metodología

MAGERIT y apoyado en un API Web para su ejecución.

1.2. TEMA

El tema principal del Análisis y gestión de riesgos en el marco del SGSI, basado

en la metodología MAGERIT y apoyado en un API Web para su ejecución será

todo lo relacionado con el análisis de riesgos, todo basado en la metodología

MAGERIT que está orientado a las tecnologías de la información y la

comunicación. Por otra parte, se busca por medio del desarrollo de un caso

estudio mostrar el uso de la MAGERIT como una metodología confiable para el

desarrollo de un análisis de riesgos eficaz y confiable.

1.3. PLANTEAMIENTO DEL PROBLEMA

1.3.1. Descripción.

El Sistema de Gestión de la Seguridad de la Información (SGSI) como su nombre

lo indica es todo un conjunto de procesos que se involucran en el ciclo de vida de

la información para garantizar la confidencialidad, integridad y disponibilidad de la

misma. La información y los sistemas que hacen uso de ella (sistemas de

información, servicios, equipos de cómputo, entre otros.), son activos demasiado

importantes para la empresa, por lo que uno de los procesos de SGSI conocido

como: análisis de gestión de riesgos ayuda a prevenir la materialización de las

amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un

impacto para la organización) a la que los activos puedan estar expuestos, por lo

tanto es de propósito general determinar los componentes de un sistema que

requieren protección, evaluar las vulnerabilidades que los debilitan y así como

determinar las amenazas que lo ponen en peligro.

Algunas de las empresas que se encuentran en crecimiento constante como es el

caso de TrackSpia LTDA, que a pesar de tener un flujo constante de clientes y de

implementar medidas organizativas que mejoran la producción y calidad de los

productos, no se anticipan a las situaciones adversas en donde se vean

involucrados los activos de la empresa, y mucho menos clarifican las posibles

17

pérdidas que estas puedan generar, debido a varios factores, entre los que se

encuentran:

Desconocimiento de la importancia de realizar un análisis de riesgos, y

sobre todo como este puede ayudar en las empresas que no cuentan con

una economía fluctuante.

La poca oferta de herramientas de software que permiten gestionar de

manera ordenada el análisis de riesgos propuesto por la metodología.

La falta de interés y/o de tiempo de las personas encargadas de realizar el

análisis, la valoración y la creación de salvaguardas.

El uso de herramientas de ofimática suministrados por terceros, que

originan costos excesivos de implantación al interior de la compañía, y que

en ocasiones promueven el error y/o métricas inexactas de los riesgos.

Actualmente se cuenta con metodologías (MAGERIT, OCTAVE, PCI, PMI) que

permiten llevar a cabo la detección de amenazas y/o vulnerabilidades. Esta acción

es realizada por parte de las personas encargadas de implementar el proceso de

seguridad de la información, tarea que en muchas ocasiones es ejecutada con

herramientas que no aseguran el cumplimiento concreto del procedimiento según

los estándares establecidos por la ISO 27005, lo que conlleva al error o disminuir

la objetividad de los resultados, estableciendo salvaguardas ambiguas o en

algunos casos ineficaces, lo que damnifica la gestión organizativa o administrativa.

1.3.2. Formulación del problema.

¿Cuáles son las amenazas eventuales a las que está expuesta una organización y

como realizar un análisis de gestión de riesgos, cuando no se cuenta con

información histórica de incidentes de seguridad apoyado la metodología

MAGERIT?

1.4. JUSTIFICACION

Teniendo en cuenta el problema, se evidencia que, mediante un análisis

concienzudo de la organización, en donde se realice una evaluación cada uno de

los activos, se puede lograr validar el nivel de riesgo con el que puede contar cada

activo, además de verificar los posibles riesgos con los que puede contar y así

18

evaluar el nivel de incidencia que tendría la materialización de un conjunto de

amenazas.

El apoyo que se brindara al análisis de riesgos por medio del api web, permitirá

facilitar que el análisis de riesgos se pueda realizar de una forma uniforme y

organizada en donde el gerente del proyecto pueda preocuparse por hacer un

correcto levantamiento de los activos y se ocupe de realizar un correcto plan de

mitigación y pueda establecer las políticas adecuadas para la mitigación de los

riesgos.

1.4.1. Justificación Ambiental Y Social

La justificación ambiental del presente proyecto incluye un análisis global del

mismo en su conjunto y un análisis detallado de sus principales componentes. El

enfoque técnico adoptado trata de detectar tanto los conflictos como las relaciones

positivas que se presentarían entre intereses y entre actividades (impactos

ambientales) como resultado de la ejecución del proyecto.

1.5. OBJETIVOS

1.5.1. Objetivo General.

Analizar por medio de la metodología MAGERIT la aplicación de un esquema de

seguridad proporcionando los principios básicos y requisitos mínimos para la

evaluación cualitativa de riesgos, obteniendo como resultado los controles que

mitiguen la exposición de los activos ante eventuales amenazas.

1.5.2. Objetivos Específicos.

Interpretar la metodología de gestión de riesgos MAGERIT v3 y como es aplicada en un análisis cualitativo para la obtención de resultados en pro de la integridad, confidencialidad, autenticidad, trazabilidad y disponibilidad de la información.

Establecer por medio de la metodología cuál es el nivel de riesgo aceptable con el cual puede convivir la organización que es objeto del estudio, y por medio de la gestión de riesgos conocer las alternativas para poder manejarlos.

19

Brindar a través la construcción de un api web, una herramienta que permita un análisis de riesgo cualitativo en el marco de la metodología MAGERIT v3.

Limitar el uso del análisis de riesgos a las tecnologías de la información y la comunicación TIC, evitando su uso a otras áreas administrativas de negocio y funcionales.

1.6. ALCANCES El Proyecto comprende el desarrollo de un análisis de riesgos basado en

metodología Magerit que contara con el apoyo de un api web. Para el desarrollo

de este cometido se tendrá en cuenta las siguientes etapas

Caracterización de los activos: En donde el usuario podrá ingresar los

activos que han sido previamente identificados en la organización para

poder empezar a realizar el análisis de riesgos.

Valoración de los activos: El usuario podrá realizar la valoración de los

activos en base a lo previamente ingresado.

Caracterización de las amenazas: El usuario podrá identificar las

amenazas que podría tener el activo en base al catálogo de elementos.

Valoración de las amenazas: El usuario realizara la valoración de las

amenazas, en donde podrá asignar valores tanto al nivel de degradación en

cada una de las dimensiones, como una valoración a la probabilidad de

ocurrencia que pese sobre esa amenaza en específico.

Estimación del Riesgo: Se procesa e interpreta los resultados obtenidos

para determinar el estado del riesgo de la organización. Se podrá realizar la

estimación del impacto y como tal la estimación del riesgo.

Caracterización de las Salvaguardas: El usuario podrá identificar las

salvaguardias efectivas para la organización junto con la eficacia que tiene

cada una de ellas para mitigar el riesgo. Se podrá identificar como se había

dicho anteriormente las salvaguardas y el usuario realizara una valoración

de las mismas.

20

1.7. DELIMITACIONES

1.7.1. Delimitación Geográfica.


MAGERIT y apoyado en un API Web para su ejecución, podrá ser aplicado a

cualquier tipo de organización tanto de carácter público, como de carácter privado,

por lo tanto, el aplicativo se implementará bajo estas condiciones.

1.7.2. Delimitación Temporal.


MAGERIT y apoyado en un API Web para su ejecución se ha proyectado para un

tiempo de 7 meses, según lo establecido en el cronograma de actividades.

1.7.3. Delimitación Operativa.

Las especificaciones técnicas que debe tener el equipo en el cual se desarrollará

el API Web son las siguientes

Sistema Operativo Windows.

Lenguaje de Programación Java.

Servidor Web y de aplicaciones Tomcat.

Ambiente de desarrollo Eclipse.

Motor de Base de Datos PostgreSQL.

El caso estudio aplicando MAGERIT para el Análisis de Riesgos abarcara toda la

parte TI de la organización, ya que la naturaleza de la metodología así lo indica.

1.8. MARCO HISTORICO

El CSAE que es el consejo superior de administración pública de España elaboro

MAGERIT como una metodología que permite analizar y evaluar los riesgos de

todos los elementos que conforman el área TI de una organización. Claro está que

la propuesta inicial estuvo orientada hacia la parte pública. Tal como ellos lo dicen:

21

“El CSAE ha elaborado y promueve Magerit como respuesta a la percepción de

que la Administración Pública (y en general toda la sociedad) depende de forma

creciente de los sistemas de in-formación para alcanzar sus objetivos. El uso de

tecnologías de la información y comunicaciones (TIC) supone unos beneficios

evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben

gestionarse prudentemente con medidas de seguridad que sustenten la confianza

de los usuarios de los servicios.”1

Magerit cuenta con 3 versiones, siendo la más reciente la versión 3, sin embargo

su historia se remonta a la versión 1 del año 1997 y una segunda versión del año

2005. Aunque Magerit no es la única metodología para el análisis de riesgos si se

podría decir que esta 100% enfocada hacia las tecnologías de la información y la

comunicación (TIC). Es importante decir que el análisis de riesgos es la piedra

angular en las guías de buen gobierno tal y como lo dice la ISO 385002.

Magerit v1.0 introdujo el concepto de dimensiones de seguridad y resistió bien al

paso del tiempo en la parte conceptual, ya que cada uno de los términos se siguen

utilizando en la versión 3, sin embargo los catálogos de elementos se encuentran

desactualizados.

El análisis de riesgos se ha visto como una necesidad desde que las

organizaciones se dieron cuenta de la importancia de evaluar la seguridad en las

organizaciones y poder determinar cómo es, cuánto vale y cómo de protegidos se

encuentran los bienes tangibles de la organización. Por ende, desde su evolución,

las actividades de gestión de riesgos permiten elaborar un plan de seguridad que,

implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que

se acepta la Dirección.

1.9. MARCO TEORICO

MAGERIT V3 Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se denomina “Proceso de Gestión de los Riesgos”, dentro del “Marco de Gestión

1 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf. Pág. 6 2 PASTOR, Andrés. 03 de marzo de 2011.ISO 38500: El camino hacia el gobierno TI. [en línea]: http://www.crisoltic.com/2011/03/iso-38500-el-camino-hacia-el-gobierno.html.

https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf



22

de Riesgos”. En otras palabras, MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información. Existen varias aproximaciones al problema de analizar los riesgos soportados por los sistemas TIC: guías informales, aproximaciones metódicas y herramientas de soporte. Todas buscan objetivar el análisis de riesgos para saber cuán seguros (o inseguros) son los sistemas y no llamarse a engaño. El gran reto de todas estas aproximaciones es la complejidad del problema al que se enfrentan; complejidad en el sentido de que hay muchos elementos que considerar y que, si no se es riguroso, las conclusiones serán de poco fiar. Es por ello que en Magerit se persigue una aproximación metódica que no deje lugar a la improvisación, ni dependa de la arbitrariedad del analista. También se ha buscado la uniformidad de los informes que recogen los hallazgos y las conclusiones de las actividades de análisis y gestión de riesgos: Modelo de valor Caracterización del valor que representan los activos para la Organización, así como de las dependencias entre los diferentes activos. Mapa de riesgos Relación de las amenazas a que están expuestos los activos. Declaración de aplicabilidad Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido. Evaluación de salvaguardas Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. Estado de riesgo Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas. Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse. Cumplimiento de normativa Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente. Plan de seguridad Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos.

23

Objetivos de Magerit3 Magerit v3 en el libro I. Metodología. Marca los siguientes objetivos:

Objetivos directos:

o Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos.

o Ofrecer un método sistemático para analizar los riesgos derivados del uso de las tecnologías de la información y las comunicaciones (TIC).

o Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control.

Objetivo indirecto:

o Preparar a la organización para procesos de la evaluación, auditoría, certificación o acreditación, según corresponda el caso.

Descripción de los Libros de Magerit Libro I. Método Este libro provee una descripción de la metodología, y dando una visión en conjunto de cada uno de los conceptos que intervienen en la propuesta dada para realizar el análisis de riesgos. Capítulo I: Comenta de forma general que se puede encontrar en la metodología y una descripción general de la historia y el buen gobierno. Capítulo II. Presenta los conceptos básicos de Magerit de una forma muy informal y breve, en donde se conceptualiza cada una de las actividades para llevar a cabo el análisis de riesgos. Capítulo III. Se detalla el método haciendo una descripción detallada especificadamente cada uno de los pasos para llevar a cabo el análisis de riesgos, esta orientación se realiza de forma general para que pueda ser utilizado por cualquier tipo de organización que lo requiera.

3 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf. Pág. 8




24

Capítulo IV. Proceso de gestión de riesgo, que explica cuáles son las actividades que se hacen en la gestión de riesgos. Capítulo V. Se centra en los proyectos en los que nos podemos encontrar inmersos para la realización del primer análisis de riesgos. Capítulo VI. Se establecen las actividades que serán requeridas para realizar un plan de seguridad una vez que se ha realizado el análisis de riesgos. Capítulo VII. Este capítulo se centra la seguridad de los sistemas de información considerando varios puntos de vista para mitigar los riesgos. Capítulo VIII. Recomendaciones o consejos prácticos para aplicarlos a la hora de realizar el análisis y gestión de riesgos. Libro II. Catálogo de Elementos Como su nombre lo indica, proporciona elementos y tareas que sirven para ser aplicados en el análisis y gestión de riesgos. Ofrece: Tipos de activos, Dimensiones y criterios de valoración, amenazas y salvaguardas. Hay dos objetivos que se ofrecen en este libro:

1. Facilitar la labor de las personas que acometen el proyecto, en el sentido de ofrecerles elementos estándar a los que puedan adscribirse rápidamente, centrándose en lo específico de sistema objeto del análisis.

2. Homogeneizar los resultados del análisis, promoviendo una terminología y unos criterios uniformes que permitan comparar e incluso integrar análisis realizados por diferentes equipos.

Libro III. Guía de Técnicas Describe algunas de las técnicas utilizadas en el análisis y gestión de riesgos. Se considera técnica a un conjunto de heurísticos y procedimientos que ayudan a alcanzar los objetivos propuestos. Para cada una de las técnicas referenciadas en el libro III son las siguientes:

Se explica brevemente el objetivo que se persigue al utilizarlas. Se describen los elementos básicos asociados. Se exponen los principios fundamentales de elaboración. Se presenta una notación textual y/o gráfica y se citan las fuentes

bibliográficas que, sin ser exhaustivas, se han estimado de interés para que el lector profundice en cada materia.

25

Las técnicas que recoge son las que se enumeran a continuación:

Análisis mediante tablas. Análisis algorítmico. Árboles de ataque. Técnicas generales. Análisis costo - beneficio. Diagramas de flujo de datos (DFD). Diagramas de procesos. Técnicas gráficas. Planificación de procesos. Sesiones de trabajo: entrevistas, reuniones y presentaciones. Valoración Delphi.

Sistemas Manejadores De Bases De Datos4

Un sistema de gestión de bases de datos se puede definir como una colección de

datos interrelacionados y un conjunto de programas para acceder a esos datos. La

colección de datos, normalmente denominada Base de Datos contiene información

acerca de una organización determinada. El objetivo principal de un SGBD es

proporcionar un entorno que sea eficiente para ser utilizado al extraer y almacenar

información de la base de datos.

PostgreSQL5

PostgreSQL es un avanzado sistema de bases de datos relacionales basado en

Open Source. Esto quiere decir que el código fuente del programa está disponible

a cualquier persona libre de cargos directos, permitiendo a cualquiera colaborar

con el desarrollo del proyecto o modificar el sistema para ajustarlo a sus

necesidades. PostgreSQL está bajo licencia BSD.

Un sistema de base de datos relacionales es un sistema que permite la

manipulación de acuerdo con las reglas del algebra relacional. Los datos se

almacenan en tablas de columnas y renglones. Con el uso de llaves, esas tablas

se pueden relacionar unas con otras.

4 KORTH, Henry F. y SILBERSCHATZ, Abraham. Fundamentos de Bases de Datos. España: Mc Graw Hill, 1993. p.1 5 PECOS MARTINEZ DANIEL. Introducción a PostgreSQL [en línea]. http://danielpecos.com/docs/mysql_postgres/x15.html. [Citado en 17 de Marzo de 2013].

http://danielpecos.com/docs/mysql_postgres/x15.html

26

El origen de PostgreSQL se sitúa en el gestor de bases de datos POSTGRES

desarrollado en la Universidad de Berkeley y que se abandonó en favor de

PostgreSQL a partir de 1994. Ya entonces, contaba con prestaciones que lo

hacían único en el mercado y que otros gestores de bases de datos comerciales

han ido añadiendo durante este tiempo.

PostgreSQL puede funcionar en múltiples plataformas (en general, en todas las

modernas basadas en Unix) y, a partir de la próxima versión 8.0 (actualmente en

su segunda beta), también en Windows de forma nativa. Para las versiones

anteriores existen versiones binarias para este sistema operativo, pero no tienen

respaldo oficial.

Arquitectura en Capas6 La arquitectura basada en capas se enfoca en la distribución de roles y responsabilidades de forma jerárquica proveyendo una forma muy efectiva de separación de responsabilidades. El rol indica el modo y tipo de interacción con otras capas, y la responsabilidad indica la funcionalidad que está siendo desarrollada. Por ejemplo, una aplicación web típica está compuesta por una capa de presentación (funcionalidad relacionada con la interfaz de usuario), una capa de negocios (procesamiento de reglas de negocios) y una capa de datos (funcionalidad relacionada con el acceso a datos). El estilo de arquitectura basado en capas se identifica por las siguientes características:

Describe la descomposición de servicios de forma que la mayoría de la

interacción ocurre solamente entre capas vecinas.

Las capas de una aplicación pueden residir en la misma máquina física

(misma capa) o puede estar distribuido sobre diferentes computadores (n-

capas).

Los componentes de cada capa se comunican con otros componentes en

otras capas a través de interfaces muy bien definidas.

Este modelo ha sido descrito como una “pirámide invertida de re-uso”

donde cada capa agrega responsabilidad y abstracción a la capa

directamente sobre ella.

6 PELAEZ JUAN. Arquitectura Basada en Capas [en línea]. http://geeks.ms/blogs/jkpelaez/archive/2009/05/29/arquitectura-basada-en-capas.aspx. [Citado en 17 de Marzo de 2013].

http://geeks.ms/blogs/jkpelaez/archive/2009/05/29/arquitectura-basada-en-capas.aspx

27

Arquitectura De N-Capas / 3-Capas

Este estilo de despliegue arquitectónico describe la separación de la funcionalidad

en segmentos separados de forma muy parecida al estilo de capas, peo en el cual

cada segmento está localizado en un computador físicamente separado. Este

estilo ha evolucionado desde la aproximación basada en componentes

generalmente usando métodos específicos de comunicación asociados a una

plataforma en vez de la aproximación basada en mensajes.

Figura 1. Arquitectura en capas (Fuente: https://geeks.ms/jkpelaez/2009/05/30/arquitectura-basada-en-capas/)

1.10. MARCO CONCEPTUAL Contrato: Es un acuerdo verbal o escrito que trasmite derechos y obligaciones entre la parte que otorga y la parte que acepta. J2EE: Java 2 Enterprise Edition (J2EE), es la especificación creada por SUN Microsystems de un conjunto de guías diseñadas para permitir el desarrollo de aplicaciones que cubran todas las necesidades de una empresa. Arquitectura De Software: Es la organización fundamental de un sistema encarnada en sus componentes, las relaciones entre ellos y el ambiente y los principios que orientan su diseño y evolución. Seguridad Informática: Es la disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. Activo Informático: Es un recurso (hardware/software) que posee una organización.

28

Tratamiento de los Riesgos: recopila las actividades encaminadas a modificar la situación del riesgo. Análisis de los Riesgos: Busca identificar los riesgos identificados, cuantificando sus consecuencias. Amenaza: Causa potencial de un incidente que puede causar daños a un sistema de información o una organización. Riesgo: Medida de daño probable sobre un sistema. 1.11. FACTIBILIDAD

1.11.1. Factibilidad Técnica.

Para el desarrollo de la monografía se utilizará la metodología Magerit v3, y un computador equipado con las siguientes herramientas: El sistema operativo Windows, El manejador de bases de datos PostgreSQL, El servidor de Web, de aplicaciones y de servicios Tomcat, El lenguaje de programación JAVA bajo especificación J2EE.

1.11.2. Factibilidad operativa.

El caso estudio estará desarrollado en base a la metodología Magerit, y en cuanto

al api Web estará diseñado para operar bajo el sistema operativo Windows.

Debido al diseño no demanda un equipo con grandes recursos de cómputo.

En cuanto a la factibilidad operativa a nivel de recurso humano, las personas a

cargo del proyecto se encuentran capacitadas y se tiene acceso a bibliografía

relevante para el desarrollo tanto del caso estudio, como del API Web.

1.11.3. Factibilidad Legal.

Magerit es una metodología abierta a quien lo quiera utilizar, por el lado de la parte operativa: el manejador de bases de datos PostgreSQL, el servidor Web y de Aplicaciones Tomcat, funcionan bajo licencia libre.

29

1.11.4. Factibilidad Económica.

La factibilidad económica discriminada por recursos de hardware, software y recurso humano. Se determina que el proyecto es económicamente factible.

Tabla 1. Factibilidad Económica (Fuente propia)

Recursos PROVEEDOR COSTO

1. Hardware

1 Computador con los

siguientes requerimientos:

Memoria RAM 1024 MB - Procesador 2.2 GHz - Disco Duro 40 GB libres - Monitor 1024 x 768 de resolución

PERSONAL

$1.700.000

2. Software NetBeans Licencia Open GNU, $0

PostgreSQL Licencia BSD $0

Windows Server 2008 Licencia Student,

Microsoft Dream spark

$0

3. Humano Desarrollador 2 Desarrolladores.

Salario mensual

individual $1’000.000 x 8

meses.

$16.000.000

4. Otros Transportes, medio

almacenamiento y

alimentación.

$ 2.500.000

5. Imprevistos $1.050.000

Total $21.150.000

30

1.11.5. Cronograma de Actividades

Figura 2. Cronograma de actividades (Fuente propia).

31

2. SITUACIÓN ACTUAL Como actividad preliminar se va a realizar el caso estudio para el Análisis y Gestión de Riesgos de las tecnologías de la información, en una empresa del sector servicio. Específicamente una empresa de rastreo satelital denominada TrackSpia LTDA, y para esto fue necesario realizar una serie de actividades con el fin de ayudar determinar la importancia, la magnitud y la planeación del proyecto, así como también establecer un panorama para la puesta en marcha del mismo: Es importante indicar que el análisis de riesgos será realizado bajo la metodología MAGERIT versión 3; como lo sugiere la metodología deberá ser involucrado el personal de las diferentes áreas relacionadas con el modelo de empresa propuesto. Las actividades nombradas anteriormente son las siguientes: 2.1. Actividad 1: Marco de Referencia Aplicabilidad del Modelo Para la aplicación del marco de referencia es importante que la empresa cumpla con una serie de requisitos mínimos que garanticen la ejecución de inicio a fin de cada una del as fases de análisis y gestión de riesgos, a continuación, se detalla el marco de referencia a cumplir.

Empresas del sector servicios, que cuenten con aplicaciones de carácter misional, que se expongan de cara a sus clientes y que cumplan con protocolos de seguridad como autenticación y autorización.

Que nunca hayan realizado un análisis de riesgos o que no cuenten con información cuantitativa de los incidentes de seguridad, ya que el modelo pretende realizar un análisis cualitativo de riesgos.

La empresa prestadora de servicios informáticos, estableció a partir del modelo planteado en el documento, la estructura necesaria para el inicio del análisis de riesgos. La comunicación entre el gerente del proyecto y los interesados, permitió llevar a cabo una identificación de activos acorde a las necesidades de la empresa. 2.2. Actividad 2: Evaluación de oportunidad En la empresa TrackSpia LTDA se ha logrado un gran crecimiento del uso de las tecnologías de la información y la comunicación, no solo en el core del que corresponde al seguimiento y rastreo satelital de los vehículos del sector público y privado, sino además en cada una de las áreas que intervienen en la empresa. Ha sido grande el beneficio que han recibido, pero no se han percatado de los problemas de seguridad que estas tecnologías traen.

32

Mediante entrevistas (ver ANEXO H) y encuestas(ver ANEXO B) realizadas a los empleados de los departamentos de: Recursos humanos, Contabilidad, Logística, Rastreo, y presupuesto, se ha percibido que se ha generado incidentes significativos relacionados a la seguridad. Para nombrar algunos de estos inconvenientes, se encuentran la falta de mantenimiento a la cola de mensajería que reporta los incidentes y novedades de cada uno de los vehículos clientes registrados para el rastreo, soportes de información visible para gran parte de los empleados que prestan ayuda telefónica a cada uno de los clientes. Los nombrados anteriormente generan una vulnerabilidad y abre una brecha de seguridad. 2.3. Actividad 3: Información Administrativa y Técnica TrackSpia LTDA es una empresa dedicada a la instalación y mantenimiento de equipos para rastreo satelital de vehículos. Cuenta con tecnología de punta en comunicación bidireccional GPRS que le permitirá, monitorear en tiempo real el movimiento de sus vehículos desde cualquier parte del mundo. El personal técnico es constantemente capacitado en la instalación y mantenimiento de equipos GPRS en todo tipo de vehículos, además de contar con una excelente área de atención al cliente, facilitando así la atención a incidentes en tiempo real. La organización cuenta con dos sedes en Colombia, la sede principal ubicada en la ciudad de Bogotá, donde se encuentran la mayor parte de la operación. La sede eje cafetero, que se encuentra ubicada en la ciudad de Medellín, es una sede con fines comerciales y de soporte técnico. 2.3.1. Misión

Proporcionar a nuestros clientes, la mejor opción en el mercado del monitoreo satelital, seguridad y administración de vehículos. Mediante un constante e innovador desarrollo tecnológico, buscamos alcanzar y superar las expectativas de nuestros clientes, permitiendo el crecimiento y valorización de nuestra compañía 2.3.2. Visión

Ser reconocidos como una de las mejores empresas del mercado colombiano en el campo de la Seguridad y control logístico de vehículos y carga. Mediante la mejora continua de nuestros servicios y capital humano buscamos brindar la mejor herramienta que contribuya a disminuir y optimizar los costos de operación y aumentar la productividad de cada uno de nuestros clientes

33

2.3.3. Organigrama

Figura 3. Organigrama (Fuente propia)

2.3.4. Información Técnica

Oficina Central

La sede principal de TrackSpia S.A.S, se encuentra en el barrio Castilla, en la ciudad de Bogotá. Es un edificio de tres plantas, que está adecuado para las labores comerciales, técnicas y administrativas, realizadas por cerca de 32 empleados. La primera planta, cuenta con todo el equipamiento técnico necesario para realizar, configuración, instalación y mantenimiento de dispositivos de rastreo satelital, en los vehículos de los clientes. Los técnicos instaladores cuentan con computadoras portátiles que se conectan inalámbricamente, a través de un punto de acceso instalado en la parte alta de la planta, con dicha conexión ingresan a la plataforma de la organización, configuran y verifican el funcionamiento del dispositivo instalado. La segunda planta, es utilizada para llevar a cabo labores administrativas y comerciales de toda la organización, cuenta con cuatro oficinas distribuidas de la siguiente manera:

La oficina de la “Gerencia General”, adecuada con equipamiento tecnológico y mobiliario para una persona.

La oficina de la “Gerencia Comercial”, adecuada con equipamiento tecnológico y mobiliario para una persona.

La oficina para el “Departamento de Ventas”, está conformada con equipamiento tecnológico y mobiliario para cinco personas.

34

La oficina de los departamentos de “Administración”, “Recursos Humanos” y “Cartera”, está conformada con equipamiento tecnológico y mobiliario para cinco personas.

En la segunda planta, existe un pequeño laboratorio para uso de los técnicos instaladores, con un espacio destinado para almacenamiento del inventario de dispositivos, y el equipamiento tecnológico y mobiliario para una persona. Por otra parte, en esta planta existen algunos dispositivos de uso común, una impresora multifuncional (impresora, escáner y fax) de red, y el punto de acceso inalámbrico. Los equipamientos ubicados en las oficinas, cuentan con una estación de trabajo fija o portátil, un dispositivo telefónico IP, se asignan puntos de conexión cableada Gigabit Ethernet, que se distribuyen por canaleta, hasta cada sitio de trabajo de trabajo. La tercera planta, reúne todas las actividades técnicas y tecnológicas de la organización, se distribuye en 4 oficinas, y un cuarto de equipos. La oficina de la “Unidad de Desarrollo”, está conformada con equipamiento tecnológico y mobiliario para seis personas. La oficina de la “Unidad de Infraestructura”, está conformada con equipamiento tecnológico y mobiliario para cinco personas. El cuarto de datos y equipos, se encuentra anexo a la oficina de la “Unidad de Infraestructura”, cuenta con un acceso controlado por biométricos y cámaras de vigilancia. La oficina de monitoreo, que es una división adscrita a la unidad de infraestructura, está conformada con equipamiento tecnológico y mobiliario para cuatro personas, funciona 24/7 en turnos rotativos de 8 horas por agente. La oficina de los técnicos de configuración e instalación de dispositivo de rastreo satelital, adscritos a la unidad de infraestructura, está conformada con equipamiento tecnológico y mobiliario para cuatro personas. La planta cuenta con un punto de acceso inalámbrico, con cobertura para todo el piso. Los equipamientos ubicados en las oficinas, cuentan con una estación de trabajo fija o portátil, un dispositivo telefónico IP, se asignan puntos de conexión cableada Gigabit Ethernet, que se distribuyen por canaleta, hasta cada sitio de trabajo de trabajo. En el caso de la unidad de desarrollo, las estaciones de trabajo cuentan con una pantalla de 24” adicional por estación. En el caso de la división de monitoreo las pantallas instaladas y adicionales son de 32” cada una. La sede utiliza un canal dedicado de fibra óptica que es proveído por la Empresa de Telecomunicaciones de Bogotá (ETB), con una capacidad de hasta 50 Megabytes, además, tiene un respaldo de conexión a internet de la empresa Claro Colombia, con una capacidad de 20 Megabytes.

35

Oficina Eje Cafetero La sede regional de la organización se encuentra en la ciudad de Armenia. Es una construcción de dos plantas. La primera planta, cuenta con todo el equipamiento técnico necesario para realizar, configuración, instalación y mantenimiento de dispositivos de rastreo satelital, en los vehículos de los clientes. Los técnicos instaladores cuentan con computadoras portátiles que se conectan inalámbricamente, a través de un punto de acceso instalado en la parte alta de la planta, con dicha conexión ingresan a la plataforma de la organización, configuran y verifican el funcionamiento del dispositivo instalado. En la segunda planta se encuentran ubicados el departamento de ventas, la unidad de infraestructura, a la que están adscritos los técnicos instaladores de la sede. Cada área está conformada con equipamiento tecnológico y mobiliario para tres y cinco personas, respectivamente. Además, existe un punto de acceso inalámbrico para toda la planta. En un costado de la planta se encuentra ubicado un gabinete con los equipos de comunicaciones. La sede utiliza un canal dedicado de fibra óptica que es proveído por Claro Colombia de 20 Megabytes de capacidad. Para la comunicación de datos entre sedes, existe una configuración de VPN para recursos restringidos y la conexión a la plataforma es a través del canal público. 2.4. Actividad 4: Plataforma Tecnológica La organización cuenta con un cuarto de equipos, en el cual se tiene un rack con los dos servidores Dell PowerEdge R620, además del sistema de backup Dell Powervault 124T. El servidor principal de la organización, contiene una plataforma Localización Vehicular Automatizada (AVL), realizada como un desarrollo propio. Para funcionar requiere la Máquina Virtual Java (JVM), así como un motor de base de datos PostgreSQL 9.x. Como sistema operativo base utiliza Linux Centos 7.x.

Figura 4. Configuración servidor primario (Fuente propia)

36

El servidor secundario, es utilizado como contenedor de aplicaciones de apoyo misional, entre ellas un ERP, CRM, correo electrónico, servidor de archivos, entre otros. Utiliza un sistema operativo hipervisor de VMware ESXi, y cuenta con una máquina virtual por servicio expuesto, además, contiene una réplica de la plataforma AVL, utilizada en caso de recuperación de desastres únicamente.

Figura 5. Configuración servidor secundario (Fuente propia)

Sistema de localización vehicular automatizada

Es una plataforma desarrollada a la medida, que funciona como punto de entrada de la información enviada remotamente desde los dispositivos. Un dispositivo se conecta a la plataforma utilizando protocolos de conexión TCP y/o UDP, una vez es reconocido por el servidor, el dispositivo comienza a enviar datos con la información de la posición, en geo coordenadas (latitud, longitud), y los datos del estado de los sensores conectados al dispositivo. Cuando el sistema AVL reconoce la información, la procesa y almacena en un formato lógico legible para el sistema. Una vez la información es capturada, los usuarios que están registrados como monitores de la aplicación, pueden visualizar esa información a través del sitio web, que funciona bajo protocolo HTTP. El sitio web consume una serie de recursos REST, que una vez cargan la información desde el servidor la actualizan en tiempo real en los navegadores de los usuarios que están monitoreando y con una sesión activa.

Figura 6. Esquema de localización vehicular (Fuente propia)

37

2.4.1. Equipos Activos De Red

Punto de Acceso TP-LINK TL-WA901ND x 5

Figura 7. AP TP-LINK TL-WA901ND (Fuente. http://www.tp-link.com/ar/products/details/cat-15_TD-W8961ND.html)

Descripción: El TP-LINK Punto de Acceso Inalámbrico N TL-WA901ND está diseñado para establecer o ampliar una red inalámbrica N de alta velocidad escalable o para conectar múltiples dispositivos Ethernet habilitados, tales como consolas de juegos, adaptadores multimedia digitales, impresoras o la red dispositivos de almacenamiento conectados a una red inalámbrica. La AP es compatible con una gran cantidad de diferentes funciones que hace que su experiencia de red inalámbrica más flexible que nunca. Ahora, puedes disfrutar de una mejor experiencia de Internet al descargar, juegos, streaming de video o con cualquier otra aplicación que desees utilizar.

Switch x 3: Huawei S3700 28TP-EI-24S-AC x 3

Figura 8. Huawei S3700 28TP-EI-24S-AC (Fuente. http://e.huawei.com/es/products/enterprise-networking/switches/campus-

switches/s3700-si-model)

Descripción: Los switches empresariales de la serie S3700 de Huawei utiliza hardware de vanguardia y el software de la Plataforma de Enrutamiento Versátil (VRP) de Huawei para brinda agregación y acceso de alto rendimiento para las redes de área de campus empresariales. El S3700 es fácil de instalar y de mantener. Gracias al despliegue de VLAN flexible, las capacidades de PoE, las funciones integrales de enrutamiento y la capacidad de migrar hacia una red IPv6, el S3700 permite que los clientes empresariales construyan redes de TI de próxima generación. Las tecnologías avanzadas de fiabilidad, tales como las de apilamiento, VRRP y RRPP, mejoran la capacidad de recuperación.

Router DrayTek Vigor3900

Figura 9. DrayTek Vigor3900 (Fuente. http://e.huawei.com/es/products/enterprise-networking/switches/campus-

switches/Vigor3900)

38

Descripción: El Vigor3900 es la solución más completa de la familia de Router DrayTek para las aplicaciones de VPN y múltiples WAN de nivel empresarial, este equipo garantiza la seguridad y los beneficios de ahorro de costos para las empresas a través de Múltiples VPN. Este Router no solo ofrece cientos de túneles VPN compatibles con protocolos como PPTP/L2TP/IPSec/L2TP a través de IPSec para satisfacer LAN-to-LAN remotas y las necesidades de comunicación seguras, sino también proporcionar conectividad SSL VPN para brindar un mejor acceso remoto a los usuarios. Con cuatro Gigabit Ethernet puertos SFP y un puerto de fibra activa como interfaces WAN permite corporación para suscribirse servicio de conexión a Internet de hasta a cinco diferentes proveedores de Internet

Router Cisco Rv320-k9

Figura 10. Cisco Rv320-k9 (Fuente. http://e.huawei.com/es/products/enterprise-networking/switches/campus-switches/Cisco

Rv320-k9)

Descripción:

La conectividad de red es el centro de cada pequeña empresa y el acceso seguro, la protección de firewall y el alto rendimiento son los pilares de cada router Cisco® Small Business de la serie R. El router Cisco VPN con WAN Gigabit dual RV320 no es la excepción. Con una interfaz de usuario intuitiva, el router Cisco RV320 está listo para funcionar en minutos. El router Cisco RV320 ofrece acceso confiable y altamente seguro para usted y sus empleados, tan transparente que no sabrá que está allí.

UTM Fortigate 60d

Figura 11. UTM Fortigate 60d (Fuente. http://mv-tech.co.id/fortigate-utm/)

Descripción:

La serie FortiGate-60D ofrece protección integral. Creada sobre la base del sistema FortiASIC en un chip 2 (SOC2), proporciona un conjunto integrado de tecnologías de seguridad que protegen todas las aplicaciones y datos. Proporciona aceleración de firewall en todos los tamaños de paquetes, aceleración de procesamiento de contenido UTM, acceso remoto seguro y VPN de alta velocidad para un rendimiento y protección superior.

Sistema de backup Dell Powervault 124T

Figura 12. Dell Powervault 124T(Fuente. https://www.etb-tech.com/powervault-124t-autoloader-lto5-

sas.html#.WX0_pekrXIU)

Descripción: El PowerVault 124T es un cargador automático de cintas que permite a los clientes maximizar el respaldo del almacenamiento basado en racks dentro de un chasis de 2U. Su arquitectura expandible y diseño de revista le

39

permite administrar y reemplazar rápidamente los cartuchos de tinta para las crecientes necesidades del centro de datos. Estas funciones también lo ayudan a ampliar la capacidad en forma rentable a fin de cumplir con las demandas de respaldo y recuperación futuras. El PowerVault 124T ofrece un respaldo confiable a través de la administración remota mediante cualquier navegador web y, a la vez, posee una integración sin complicaciones con los diversos sistemas operativos, como Microsoft® Windows y Linux®. 2.4.2. Diseño Lógico Oficina Central

Figura 13. Diseño Lógico Oficina Central (Fuente propia)

2.4.3. Diseño Lógico Oficina Eje Cafetero

Figura 14. Diseño Lógico Oficina Eje Cafetero (Fuente propia)

40

2.4.4. Equipos De Cómputo

Los equipos de cómputo son los activos informáticos más abundantes en una organización y así mismo son la entrada principal de potenciales amenazas, por lo tanto, se deben tener muy presentes en el momento de realizar el levantamiento de los activos.

Lenovo ThinkPad T460S x 20

Figura 15. Lenovo ThinkPad T460S (Fuente. https://www.amazon.com/Lenovo-ThinkPad-T460s-Computer-i5-

6200U/dp/B01FGLGXEE)

Descripción: El rendimiento de una PC nunca fue tan rápido. Los procesadores Intel® Core™ i de 6ta generación con seguridad integrada están diseñados para llevar tu productividad, creatividad y juegos en 3D hacia el siguiente nivel. La tecnología Intel® vPro * hace que la administración de nivel empresarial sea aún más conveniente y eficiente. Y con Windows 10 Pro puedes potenciar a tu empresa y a ti mismo para realizar cosas grandiosas en todos los dispositivos de manera segura y en cualquier parte, con cualquier persona y en cualquier momento. Ajustándose a una variedad de presupuestos, también es muy fácil de utilizar. Para que puedas hacer más desde el principio. vPro no está disponible con los procesadores Intel® i5

Lenovo ThinkStation S10 x 20

Figura 16. Lenovo ThinkStation S10 (Fuente. https://www.amazon.com/Lenovo-ThinkPad-T460s-Computer-i5-

6200U/dp/B01FGLGXEE)

Descripción: El más llamativo es el Lenovo ThinkStation S10 ofrece un Intel Core 2 y Core 2 Extreme QX965 a 3GHz. Estos procesadores vendrán acompañados de tarjetas gráficas NVIDIA, Ethernet Gigabit Dual y cantidad de puertos de expansión y conexiones USB para conectar todo tipo de accesorios y extender su funcionalidad.

2.4.5. Centro Datos

TrackSpia no cuenta con un centro de datos grande, esto debido a que las necesidades actuales se prestan para tener una data center pequeño y que se ajusta a sus necesidades.

41

Servidor Dell PowerEdge R620 x 2

Figura 17. Dell PowerEdge R620 (Fuentes. http://www.dell.com/es/empresas/p/poweredge-r620/pd)

Descripción:

Confíe en la combinación excepcional del diseño de rack hipertenso de 2 sockets y 1U, y la tecnología de procesamiento de servidor de última generación para obtener una productividad excelente en entornos con espacio reducido. Impulse el rendimiento de las aplicaciones drásticamente con el último procesador de la familia de procesador Intel® Xeon® E5-2600 y hasta 24 módulos dobles de memoria en línea (DIMM). Creado con tecnología de proceso de 22 nanómetros y hasta 12 núcleos por procesador, ofrece procesamiento increíblemente rápido para las tareas con uso intensivo de cómputos.

2.4.6. Cableado Estructurado

Para el cableado se utiliza cable UTP categoría 6A a través de canaleta y bandeja porta cable que se extiende desde cada área de trabajo (AT) hasta el cuarto de telecomunicaciones de cada piso del edificio con una distancia máxima de 90 metros. Adicional a esto todo el sistema eléctrico y se utiliza canaleta metálica cold rolled, para el transporte del cable UTP. Los puestos de trabajo para la conexión de equipos llevan una toma de Rj45 categoría 6A con su respectivo Face Plate. Por cada punto de red terminal debe haber uno a dos patch core categoría 6A de 2 metros cada uno (uno del Jack hasta el teléfono IP, y el otro hasta el equipo de trabajo; esto en caso que el puesto de trabajo tenga teléfono IP y computador). El edificio de la sede de Armenia cuenta con cableado horizontal categoría 5E, pero se tiene contemplado en TrackSpia la modificación del cableado existente por una categoría 6A ya que dicho cable tiene la capacidad de soportar velocidades superiores a 1gb y telefonía ip. El cable de la categoría 6A con parámetros de transmisión de datos mejorados apoya 10GBase-T y todas las otras aplicaciones digitales de banda ancha. El cable se compone de pares trenzados apantallados sin puesta a tierra, trenzados conjuntamente y protegidos con un forro de PVC de color gris. Este cable está indicado para el cableado interno estacionario. El cable supera los requerimientos de los estándares ISO/IEC 11801 y TIA/EIA-568-B.2-1 para la categoría 6A.

42

Figura 18. Cableado horizontal (Fuente propia)

2.4.7. Cableado Vertical

La función de este cableado es proporcionar la interconexión entre cuarto de telecomunicaciones principal y los demás cuartos de telecomunicaciones que se encuentran en los diferentes pisos, por medio de canalizaciones existentes en el edificio. El centro de cableado principal, se encuentra ubicado en el tercer piso donde están ubicados los servidores, el switch de core de alta velocidad y el router, el cual tiene una medida de 5 x 8 metros; se interconecta con cada uno de los subcentros de cableado de cada piso (del 1 al 3) por medio de fibra óptica multimodo 50/125 OM4 indoor de 12 hilos. La interconexión del switch de distribución con el del core y también la conexión con los servidores se hace por medio de enlaces redundantes. En cada piso del edificio de Bogotá y de la sede de Armenia existe un subcentro de cableado, con el objetivo de distribuir con mayor facilidad el respectivo cable para cada uno de los puntos existentes y los que se planean colocar a futuro, adicional se hace para cumplir que no se excedan los 90 metros que tiene un cable UTP categoría 6A., garantizando velocidades 1 GB. En cada subcentro de cableado debe haber los siguientes elementos para interconectar todos los puntos de red: Patch Panel Fibra Óptica y elementos complementarios, Patch Core Fibra Óptica Switch 24 o 48 puntos Patch Panel 24 y 48 puertos Categoría 6A: distribuirá los puntos desde el switch hasta su ubicación final. Patch Cords Cat 6A desde el switch hasta los patch panels Organizadores de cable.

43

Figura 19. Cableado vertical sede Bogotá (Fuente propia)

Figura 20. Cableado vertical sede Bogotá (Fuente propia)

2.5. Actividad 5: Situación Actual de la Seguridad, Norma 27001 – GAP El eje central de la norma ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información de la organización, por lo que, la filosofía principal

44

de este estándar es investigar donde se encuentran los riesgos. Para realizar este análisis se debe tomar previamente las medidas de seguridad o controles, Por lo tanto, el apéndice A de la norma muestra un listado de controles que deben ser revisados y evaluados previamente al inicio del análisis de riesgos.

Los siguientes son las convenciones utilizadas para la evaluación de los controles.

Figura 21. Convenciones evaluación de controles (Fuente. GILIBET, Don. Metodetodologías orientadas a Middleware.

[Online] Publicado 31 de Julio de 2013. http://comunidad.meddle.com/iebs/general/)

La siguiente tabla muestra el resumen de los controles evaluados, mostrando el nivel de conformidad. Para ver la muestra completa, ver el Anexo A.

Figura 22. Resumen Controles Evaluados (Fuente propia)

Las gráficas muestran que el nivel de implantación de cada uno de los controles de la ISO 27001 en TrackSpia no cumple a cabalidad con lo establecido en el estándar de seguridad y por lo tanto estos deben ser revisados y mitigados por medio del análisis de riesgos.

45

Figura 23. Grafico Implementación controles (Fuente propia)

Figura 24. Gráfico de barras implementación controles (Fuente propia)

2.6. Actividad 6: Determinación del alcance del proyecto Después de haber comprobado la oportunidad de ejecutar el proyecto de Análisis y Gestión de Riesgos, en esta fase se procede a identificar hasta donde se da el alcance, estableciendo los siguientes puntos:

46

Definir una programación orientada a la seguridad del sistema que realiza el monitoreo y rastreo de cada uno de los vehículos.

Analizar el estado actual de la empresa y especificar cuáles son las necesidades de mayor importancia respecto a la seguridad.

Escoger los mecanismos que permitan salvaguardar los activos de la empresa.

El dominio del proyecto se centra en las áreas de Recursos humanos, Contabilidad, Logística, Rastreo, y presupuesto. El personal de los diferentes departamentos que se encontraran involucrado en la realización del Análisis de Riesgos:

Ing. José Joaquín Segura - Jefe de Rastreo y seguimiento vehicular Ing. Daniel Ospina Gómez - Responsable soporte remoto, oficina de rastreo Ing. María Luisa Carmona - Análisis funcional de soporte a vehículos Contadora. María Ilsa Suárez- Jefe área de contabilidad Contador. Jaime Antonio Granados- Contador público Dra. Jennifer Andrea Serrano - Jefe Recursos Humanos Ing. Daniel Angulo González - Responsable área de telecomunicaciones

2.7. Actividad 7: Planificación del proyecto La empresa TrackSpia entrevisto a cada uno de los empleados que intervinieron en el proyecto, esto fue en un plazo no mayor a 5 días laborales. Las entrevistas ayudaron a determinar en qué ámbitos se encuentran afectados y planificar la intervención de ellos en el proyecto. Encuestar a manera de sondeo arrojó los porcentajes exactos sobre las fallas de seguridad en los sistemas de información y elementos de infraestructura. El análisis de gestión de riesgos para la empresa TrackSpia, fue constituido por dos equipos conformados por un equipo gerencial y un equipo de usuarios. El equipo gerencial estuvo conformado por David García y Jeisson Ruiz que fueron las personas encargadas de realizar la investigación, recopilación y análisis de los activos, sus potenciales amenazas, los riesgos y las salvaguardas que serán direccionadas a la empresa TrackSpia. El equipo de usuarios correspondió a todo el personal que hace uso de cada uno de los activos informáticos.

47

2.8. Actividad 8: Puesta en marcha del proyecto Las fichas de captura de datos que se encuentran disponibles en el libro de catálogo de elementos de MAGERIT versión 3, facilitan la recolección de la información específica de cada uno de los activos pertenecientes a la empresa. Tomando en cuenta la correlación entre activos y las correspondientes dimensiones de seguridad. Partiendo de estos activos se podrá determinar las amenazas, riesgos y el nivel de impacto que los activos puedan ejercer sobre la empresa TrackSpia. El nivel de seguridad fue determinado por la incorporación de salvaguardas que permiten prevenir o mitigar los riesgos analizados en el análisis de gestión de riesgos.

La empresa TrackSpia dispone de los recursos a utilizarse para el desarrollo del

proyecto en disponibilidad de equipos, tiempos planificados, medios materiales,

envío de documentos y manuales.

48

3. ANÁLISIS DE RIESGOS El análisis de riesgos es utilizado desde hace años en cualquier organización que lo desee y este surge a partir de la necesidad de organizar e interpretar datos científicos, facilitando decisiones para llegar a acuerdos en la organización. MAGERIT como metodología cumple a cabalidad la función de analizar a TrackSpia, ya que brinda la rigidez y solidez necesarias para el cumplimiento del análisis de gestión de riesgos. Siguiendo el método, se podrán identificar los activos que posee la empresa, establecerá las amenazas a las que están expuestos estos activos, y permitirá determinar las salvaguardas apropiadas para los activos y así podrá ser estimado el nivel de impacto en caso de que se materializa alguna amenaza.

Esta tarea se ejecuta por medio de encuestas y entrevistas a cada uno de los miembros del personal que interviene en los sistemas de información y telecomunicaciones, además de las inspecciones físicas que se realizan en las instalaciones físicas. Mediante el análisis de riesgos se puede saber cuánto vale y como están protegidos los activos evaluándolos por medio del método lo cual arrojara resultados que permitirán dar una conclusión.

3.1. Caracterización de los Activos

El objetivo de esta tarea es reconocer los activos que componen el sistema, definir las dependencias entre ellos, y determinar de parte del valor del sistema se soporta en cada activo. Se puede resumir en la expresión de conócete a ti mismo.7

3.1.1. Levantamiento de Activos de Información

Para el levantamiento de los activos se identifican un grupo general de activos que para las organizaciones del área TI, telemática o afines pueden ser esenciales. El formato para la identificación de realiza en base a lo recomendado en el libro II del catálogo de elementos.8

7 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de

Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf,Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, pago 37 8 Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 2-Catalogo de Elementos, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro2_catalogo-de-elementos_es_NIPO_630-12-171-8/2012_Magerit_v3_libro2_catalogo%20de%20elementos_es_NIPO_630-12-171-8.pdf

49

3.1.1.1. [D] Datos / Información

Toma los activos correspondientes a los datos de la organización, los cuales son el núcleo de la organización, esté activo en sí es un activo abstracto que será constantemente manipulado y almacenado en los equipos de cómputo.

[BACKUP_TS] COPIA DE RESPALDO. [ACCESO_SERVIDORES_TS] DATOS DE ACCESO SERVIDORES [LOGIN_USUARIOS_TS] DATOS ACCESO USUARIOS [CODIGOS_FUENTE_TS] CODIGOS FUENTE SW

3.1.1.2. [IS] Servicios Internos

Esta función recoge los activos esenciales a nivel interno en la organización es decir los activos que involucran al personal y por lo tanto satisfacen sus necesidades elementales para poder realizar su labor.

[INTERNET_TS] SERVICIO DE INTERNET [TELEFONIA_TS] SERVICIO DE TELEFONÍA [MANTENIMIENTO_TS] SERVICIO DE MANTENIMIENTO [BIOMETRICO_TS] ACCESO BIOMETRICO

3.1.1.3. [SW] Software - Aplicaciones Informáticas

Esta función recoge los activos esenciales a nivel lógico en la organización es decir los activos que involucran al de software.

[ERP_TS] ERP ADMINISTRATIVO Y FINANCIERO. [CRM_TS] SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [WEB_SITE_TS] PORTAL WEB DE LA ORGANIZACIÓN [SO_TS] SISTEMA OPERATIVO [SW_CUSTOM_TS] SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN [OFF_TS] OFIMATICA [AV_TS] ANTIVIRUS [SERV_BD_TS] SERVIDOR BASE DE DATOS [SERV_CORREO_TS] SERVIDOR DE CORREO [SERV_ARCHIVO_TS] SERVIDOR DE ARCHIVOS [SERV_DESARROLLO_TS] SERVIDOR DE DESARROLLO SW [SERV_VIRTUALIZACION_TS] SERVIDOR DE VIRTUALIZACIÓN [OTROS_SW_TS] OTROS SOFTWARE

3.1.1.4. [HW] Hardware

Esta función recoge los activos esenciales a nivel físico en la organización es decir los activos que involucran al de hardware.

50

[COMP_TS] EQUIPOS DE COMPUTO [IMP_TS] IMPRESORAS [ESC_TS] ESCANER [ACCESS_POINT_TS] ACCESS POINT [ANTISPAM_TS] ANTISPAM [UTM_TS] UTM SERGURIDAD PERIMETRAL [SERV_FISICO_TS] SERVIDORES FÍSICOS [AIRE_ACONDICIONADO_TS] SISTEMA DE AIRE ACONDICIONADO [SIS_ALMACENAMIENTO_TS] SISTEMA DE ALMACENAMIENTO [SWITCH_TS] SWITCH [ROUTER_TS] ROUTER [SIS_BACKUP_TS] SISTEMA DE BACKUP

3.1.1.5. [COM] Redes de Comunicaciones

Esta función recoge los activos a nivel de comunicaciones, que son básicos para la comunicación a nivel organizacional.

[PSTN_TS] RED TELEFÓNICA [ISDN_TS] RED DIGITAL [WIFI_TS] WI-FI [LAN_TS] RED LAN [INTERNET_TS] INTERNET [MAN_TS] RED METROPOLITANA

3.1.1.6. [MEDIA] Soportes de Información

Esta función recoge los activos que soportan y almacenan la información de la organización..

[CD_TS] CD [DVD_TS] DVD [USB_TS] MEMORIAS USB [DISK_EXT_TS] DISCOS DUROS EXTRAIBLES

3.1.1.7. [AUX] Equipamiento Auxiliar

Esta función recoge los activos suplementarios que aunque no son de primera necesidad si cumplen una funcionalidad necesaria e importante.

51

[CABLEADO_TS] CABLEADO [PLANTA_ELECT_TS] PLANTA ELECTRICA [MOBILIARIO_TS] MOBILIARIO [SIS_VIGILANCIA_TS] SISTEMA DE VIGILANCIA [UPS_TS] UPS [POWER_TS] FUENTES DE ALIMENTACIÓN [FIBRA_TS] FIBRA OPTICA [OTROS_EQUIPOS_TS] OTROS EQUIPOS AUXILIARES

3.1.1.8. [L] Instalaciones

Esta función recoge los activos físicos a nivel de instalaciones físicas de la organización.

[EDIFICIO_TS] EDIFICIO [SEDE_TS] SEDE [VEHICULO_TS] VEHICULO

3.1.1.9. [P] Personal

Esta función recoge los activos de personal y desarrollo humano en la organización.

[JF_TS] JEFE AREA FINANCIERO [DBA_TS] MANTENIMIENTO DE BASE DE DATOS [MANT_TS] MANTENIMIENTO DE EQUIPOS [JC_TS] JEFE DEL AREA DE CONTABILIDAD [JT_TS] JEFE DEL AREA DE LOGISTICA [JO_TS] JEFE DEL AREA OPERATIVA [JS_TS] JEFE DEL AREA DE SISTEMAS

3.1.2. Valoración de los Activos

La valoración de los activos permite evaluar el nivel de protección que debe tener un activo, desde luego es necesario dar un valor dependiendo del nivel de importancia y el valor que tiene dentro de la organización. Se debe dar un nivel de protección que en MAGERIT es dado por las dimensiones de seguridad. Estas dimensiones son dadas de la siguiente manera:

Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad

52

También se deben dar unos criterios de valoración:

Figura 25. Criterios de valoración (Fuente: Libro 1 MAGERIT v3)

Con base en esta información, se va a realizar la valoración de los activos de la TrackSpia en base a los activos que han sido identificados en la fase previa del análisis de riesgos.

Dimensiones

[D] Disponibilidad

[I] Integridad

[C] Confidencialidad

[A] Autenticidad de los usuarios

[T] Trazabilidad

3.1.3. Identificación y Valoración de Activos

Id Nombre Activo

Información Descripción del Activo de

Información

Dimensiones

[D] [I] [C] [A] [T]

Datos Información

1 BACKUP_TS COPIA DE RESPALDO. A

B

2 ACCESO_SERVIDORES_TS DATOS DE ACCESO SERVIDORES

A MA M

3 LOGIN_USUARIOS_TS DATOS ACCESO USUARIOS

A A M

4 CODIGOS_FUENTE_TS CODIGOS FUENTE SW A M

Servicios Internos

5 INTERNET_TS SERVICIO DE INTERNET MA M

6 TELEFONIA_TS SERVICIO DE TELEFONÍA A A

7 MANTENIMIENTO_TS SERVICIO DE MANTENIMIENTO A

53

8 BIOMETRICO_TS ACCESO BIOMETRICO M A A

M

Software - Aplicaciones Informáticas

9 ERP_TS ERP ADMINISTRATIVO Y FINANCIERO MA A A A M

10 CRM_TS SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES A A A A M

11 WEB_SITE_TS PORTAL WEB DE LA ORGANIZACIÓN M M M M M

12 SO_TS SISTEMA OPERATIVO M

M

13 SW_CUSTOM_TS SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN A A

M

14 OFF_TS OFIMATICA A A

15 AV_TS ANTIVIRUS A A

16 SERV_BD_TS SERVIDOR BASE DE DATOS MA A A A A

17 SERV_CORREO_TS SERVIDOR DE CORREO A A

M A

18 SERV_ARCHIVO_TS SERVIDOR DE ARCHIVOS A A M

19 SERV_DESARROLLO_TS SERVIDOR DE DESARROLLO SW M M M

20 SERV_VIRTUALIZACION_TS SERVIDOR DE VIRTUALIZACIÓN A A A

A

21 OTROS_SW_TS OTROS SOFTWARE B M B

Hardware

22 COMP_TS EQUIPOS DE COMPUTO M M

23 IMP_TS IMPRESORAS M M

24 ESC_TS ESCANER M B

25 ACCESS_POINT_TS ACCESS POINT M M

26 ANTISPAM_TS ANTISPAM A A

M A

27 UTM_TS UTM SERGURIDAD PERIMETRAL A A

28 SERV_FISICO_TS SERVIDORES FÍSICOS M M

M

29 AIRE_ACONDICIONADO_TS SISTEMA DE AIRE ACONDICIONADO A A

30 SIS_ALMACENAMIENTO_TS SISTEMA DE ALMACENAMIENTO A A

31 SWITCH_TS SWITCH M M

M

32 ROUTER_TS ROUTER M M

M

33 SIS_BACKUP_TS SISTEMA DE BACKUP A A

A

Redes de Comunicaciones

34 PSTN_TS RED TELEFÓNICA M M

B

54

35 ISDN_TS RED DIGITAL M M

B

36 WIFI_TS WI-FI M M

B

37 LAN_TS RED LAN A A

38 INTERNET_TS INTERNET MA A

39 MAN_TS RED METROPOLITANA MA A

Soportes de Información

40 CD_TS CD B B

B

41 DVD_TS DVD B B

B

42 USB_TS MEMORIAS USB B B

43 DISK_EXT_TS DISCOS DUROS EXTRAIBLES B M

B

Equipamiento Auxiliar

44 CABLEADO_TS CABLEADO A A

45 PLANTA_ELECT_TS PLANTA ELECTRICA M A

46 MOBILIARIO_TS MOBILIARIO B B

47 SIS_VIGILANCIA_TS SISTEMA DE VIGILANCIA MA A

8

48 UPS_TS UPS M M

49 POWER_TS FUENTES DE ALIMENTACIÓN A A

50 FIBRA_TS FIBRA OPTICA A A

M

51 OTROS_EQUIPOS_TS OTROS EQUIPOS AUXILIARES B B

B

Instalaciones

52 EDIFICIO_TS EDIFICIO B B

53 SEDE_TS SEDE B B

54 VEHICULO_TS VEHICULO B B

Personal

55 JF_TS JEFE AREA FINANCIERO

A

56 DBA_TS MANTENIMIENTO DE BASE DE DATOS

A

57 MANT_TS MANTENIMIENTO DE EQUIPOS

A

58 JC_TS JEFE DEL AREA DE CONTABILIDAD

M

59 JT_TS JEFE DEL AREA DE LOGISTICA

A

60 JO_TS JEFE DEL AREA OPERATIVA

A

61 JS_TS JEFE DEL AREA DE SISTEMAS

A

Tabla 2. Identificación de Activos (Fuente propia).

55

3.2. Caracterización de las Amenazas

Se busca identificar las amenazas relevantes sobre el sistema a analizar, caracterizándolas por las estimaciones de ocurrencia (probabilidad) y daño causado (degradación). Se puede decir que el objetivo de esta tarea es caracterizar el entorno al que se enfrenta el sistema y qué acciones pueden suceder.

3.2.1. Identificación de las Amenazas

El origen de cada una de las amenazas utilizadas en la siguiente tabla es a partir

de lo definido en la metodología MAGERIT y forman parte del catálogo de

amenazas definidos allí en la misma metodología.

ACTIVO AMENAZA

Datos Información

COPIA DE RESPALDO [E.1] Errores de los usuarios [E.2] Errores del administrador

DATOS DE ACCESO SERVIDORES [E.7] Deficiencias en la organización [A.4] Manipulación de la configuración

[A.5] Suplantación de la identidad del usuario [A.11] Acceso no autorizado

DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario [A.11] Acceso no autorizado

CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software)

[E.21] Errores de mantenimiento / actualización de programas (software)

[A.5] Suplantación de la identidad del usuario

Servicios Internos

SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico [I.8] Fallo de servicios de comunicaciones

[I.9] Interrupción de otros servicios y suministros esenciales [A.7] Uso no previsto

SERVICIO DE TELEFONÍA [E.1] Errores de los usuarios [E.2] Errores del administrador

[I.8] Fallo de servicios de comunicaciones

56

[I.9] Interrupción de otros servicios y suministros esenciales

SERVICIO DE MANTENIMIENTO [E.7] Deficiencias en la organización [E.21] Errores de mantenimiento /

actualización de programas (software) [E.23] Errores de mantenimiento /

actualización de equipos (hardware) [E.28] Indisponibilidad del personal

ACCESO BIOMETRICO [I.1] Fuego [I.2] Daños por agua

[I.*] Desastres industriales [A.5] Suplantación de la identidad del usuario


ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico [E.15] Alteración accidental de la información



SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES

[I.5] Avería de origen físico o lógico [E.15] Alteración accidental de la información



PORTAL WEB DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico [E.15] Alteración accidental de la información


[A.5] Suplantación de la identidad del usuario [A.24] Denegación de servicio

SISTEMA OPERATIVO [E.1] Errores de los usuarios [E.8] Difusión de software dañino

[E.20] Vulnerabilidades de los programas (software)


SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN

[I.5] Avería de origen físico o lógico [E.15] Alteración accidental de la información


OFIMATICA [E.21] Errores de mantenimiento / actualización de programas (software)

[E.1] Errores de los usuarios

ANTIVIRUS [E.8] Difusión de software dañino [E.20] Vulnerabilidades de los programas

57

(software) [E.21] Errores de mantenimiento /

actualización de programas (software)

SERVIDOR BASE DE DATOS [E.2] Errores del administrador [E.21] Errores de mantenimiento /

actualización de programas (software) [A.5] Suplantación de la identidad del usuario

[A.11] Acceso no autorizado

SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones [E.8] Difusión de software dañino

[A.4] Manipulación de la configuración [A.5] Suplantación de la identidad del usuario

[A.14] Interceptación de información (escucha)

SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones [E.8] Difusión de software dañino [E.21] Errores de mantenimiento /

actualización de programas (software) [A.15] Modificación deliberada de la

información [A.18] Destrucción de información [A.19] Divulgación de información

SERVIDOR DE DESARROLLO SW [E.20] Vulnerabilidades de los programas (software)



SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego [I.2] Daños por agua

[I.*] Desastres industriales [E.20] Vulnerabilidades de los programas

(software) [E.21] Errores de mantenimiento /

actualización de programas (software) [E.23] Errores de mantenimiento /

actualización de equipos (hardware) [A.11] Acceso no autorizado

OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones [E.21] Errores de mantenimiento /

actualización de programas (software)

Hardware

EQUIPOS DE COMPUTO [I.1] Fuego [I.2] Daños por agua

[I.*] Desastres industriales [I.5] Avería de origen físico o lógico

58

IMPRESORAS [I.1] Fuego [I.2] Daños por agua


ESCANER [I.1] Fuego [I.2] Daños por agua


ACCESS POINT [I.1] Fuego [I.2] Daños por agua


[E.4] Errores de configuración

ANTISPAM [I.1] Fuego [I.2] Daños por agua



UTM SERGURIDAD PERIMETRAL [I.1] Fuego [I.2] Daños por agua



SERVIDORES FÍSICOS [I.1] Fuego [I.2] Daños por agua



SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego [I.2] Daños por agua



SISTEMA DE ALMACENAMIENTO [I.1] Fuego [I.2] Daños por agua


[E.4] Errores de configuración [A.11] Acceso no autorizado

SWITCH [I.1] Fuego [I.2] Daños por agua


[E.4] Errores de configuración [A.4] Manipulación de la configuración


59

ROUTER [I.1] Fuego [I.2] Daños por agua


[E.4] Errores de configuración [A.11] Acceso no autorizado

SISTEMA DE BACKUP [I.1] Fuego [I.2] Daños por agua




RED TELEFÓNICA [I.1] Fuego [I.2] Daños por agua


RED DIGITAL [I.1] Fuego [I.2] Daños por agua


WI-FI [I.1] Fuego [I.2] Daños por agua


RED LAN [I.1] Fuego [I.2] Daños por agua


INTERNET [I.1] Fuego [I.2] Daños por agua


RED WAN [I.1] Fuego [I.2] Daños por agua



CD [E.15] Alteración accidental de la información [E.18] Destrucción de información

[E.19] Fugas de información [A.19] Divulgación de información

60

DVD [E.15] Alteración accidental de la información [E.18] Destrucción de información


MEMORIAS USB [E.15] Alteración accidental de la información [E.18] Destrucción de información


DISCOS DUROS EXTRAIBLES [E.15] Alteración accidental de la información [E.18] Destrucción de información



CABLEADO [I.11] Emanaciones electromagnéticas [I.1] Fuego

[I.2] Daños por agua [I.7] Condiciones inadecuadas de temperatura

o humedad [I.11] Emanaciones electromagnéticas

[I.*] Desastres industriales [A.25] Robo

PLANTA ELECTRICA [I.1] Fuego [I.2] Daños por agua



MOBILIARIO [I.1] Fuego [I.2] Daños por agua


SISTEMA DE VIGILANCIA [I.1] Fuego [I.2] Daños por agua


UPS [I.1] Fuego [I.2] Daños por agua


FUENTES DE ALIMENTACIÓN [I.1] Fuego [I.2] Daños por agua


61

FIBRA ÓPTICA [I.1] Fuego [I.2] Daños por agua

[I.7] Condiciones inadecuadas de temperatura o humedad


OTROS EQUIPOS AUXILIARES [I.1] Fuego [I.2] Daños por agua


Instalaciones

EDIFICIO [I.1] Fuego [I.2] Daños por agua

[I.*] Desastres industriales [A.27] Ocupación enemiga

SEDE [I.1] Fuego [I.2] Daños por agua

[I.*] Desastres industriales [A.27] Ocupación enemiga

VEHICULO [I.1] Fuego [I.2] Daños por agua

[I.*] Desastres industriales

Personal

JEFE AREA FINANCIERO [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información

MANTENIMIENTO DE BASE DE DATOS [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información

MANTENIMIENTO DE EQUIPOS [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información

JEFE DEL AREA DE CONTABILIDAD [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información

JEFE DEL AREA DE LOGISTICA [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información

JEFE DEL AREA OPERATIVA [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información

JEFE DEL AREA DE SISTEMAS [A.6] Abuso de privilegios de acceso [A.18] Destrucción de información

Tabla 3. Identificación de Amenazas (Fuente propia)

62

3.2.2. Valoración de las Amenazas

Cuando es determinado o determinadas las amenazas que puede tener un activo, es necesario valorar la amenaza, esto en dos formas:

Degradación ¿Cuan perjudicado saldría el activo? (valor) Probabilidad ¿Cuál es la probabilidad que se materialice la amenaza sobre el activo?

Se determina el nivel de degradación de un activo el cual puede ser intencionado o no intencionado. Cuando es no intencionado se determina como una pequeña parte de daño causado al activo, pero cuando en intencionado calcularlo se convierte en un inconveniente debido a que no es posible saber que tanto daño puede causar un atacante.

Figura 26. Criterios de degradación (Fuente: Libro 1 MAGERIT v3)

Por otro lado, medir la probabilidad se puede medir de la siguiente manera:

Figura 27. Criterios de probabilidad (Fuente: Libro 1 MAGERIT v3)

Nota:

Para verificar la tabla con la valoración de las amenazas, dirigirse al ANEXO C

3.3. Estimación del Impacto y Riesgo Potencial Un impacto es el daño que causa o puede causar sobre el activo derivado de la materialización de una amenaza. La tipificación de los impactos puede variar de acuerdo al proyecto. Para efectos de TrackSpia se presenta y se evalúan los impactos de acuerdo al tipo de pérdida ya sea organizacional o técnica.

63

Este proceso consta de dos actividades:

Estimación del impacto potencial Estimación del riesgo potencial

3.3.1. Impacto potencial

El impacto es la medida de daño a raíz de la materialización de una amenaza, esta materialización se da sobre el activo. El cálculo de este valor se toma a partir del valor de la degradación en cada una de las dimensiones y el valor del activo.

Para el cálculo se consideró los siguientes rangos de degradación:

Figura 28. Impacto Potencial (Fuente propia)

Nota:

Para verificar la tabla con la valoración de Impacto Potencial, dirigirse al ANEXO D

3.3.2. Riesgo Potencial:

Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo

el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más

que tener la probabilidad de ocurrencia.9


Información, Libro 1-Método, https://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/Documentacion/Metodologias-y-guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-8/2012_Magerit_v3_libro1_metodo_es_NIPO_630-12-171-8.pdf,Magerit-versión 3.0 Metodología de Análisis Y gestión de Riesgos de los Sistemas de Información, Libro 1-Método, pág. 29

64

Figura 29. Riesgo Potencial (Fuente: Ejecutores proyecto)

Nota:

Para verificar la tabla con el Riesgo Potencial, dirigirse al ANEXO E

3.4. Salvaguardas

Se deben definir las contramedidas para que las amenazas no se materialicen, de manera tal que el riesgo sea minimizado. Cuando las salvaguardas no son contempladas, se debe estimar el riesgo y el impacto, que sencillamente son mecanismos que reducen el riesgo. Es importante tener en cuenta lo anterior para ver la importancia de las salvaguardas dentro del proceso de análisis de riesgo.

En definición de Magerit: “Se definen las salvaguardas o contramedidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Hay amenazas que se conjurar organizándose adecuadamente, otras requieren de elementos técnicos (programas o equipos), otras seguridad física y por último, está la política de personal.”. La caracterización de las salvaguardas consta de dos fases:

Identificación de las salvaguardas. Valoración de las salvaguardas.

3.4.1. Identificación de las salvaguardas.

En el libro II de Magerit se encuentran 16 tipos de salvaguardas, el uso de estas salvaguardas y establecer cuáles se deben utilizar y cuáles no, en el libro I de Magerit contempla aspectos importantes tales como: tipos de activos a proteger, dimensión o dimensiones de seguridad que requieren protección, amenazas de las cuales se necesita protección, si existen salvaguardas alternativas.

Para identificar las salvaguardas existentes y proponer nuevas salvaguardas, MAGERIT proporciona un catálogo de salvaguardas de acuerdo a las recomendaciones de la ISO/IEC 27001, y 27002. De la siguiente forma:

65

Protecciones generales u horizontales Protección de los datos / información Protección de las claves criptográficas Protección de los servicios Protección de las aplicaciones (software) Protección de los equipos (hardware) Protección de las comunicaciones Protección de los soportes de información Protección de los elementos auxiliares Seguridad física – Protección de las instalaciones Salvaguardas relativas al personal “Son aquellas que se refieren a las

personas que tienen relación con el sistema de información”.

Salvaguardas de tipo organizativo.

3.4.2. Caracterización de las salvaguardas

Las salvaguardas se caracterizan, además de por su existencia, por su eficacia

frente al riesgo que pretenden conjurar.

Figura 30. Criterios de salvaguardas (Fuente: Libro 1 MAGERIT v3)

3.4.3. Identificación y Caracterización de las Salvaguardas

Id

Tipo de

Protección Código Salvaguarda Valoración Potencial

Situación

actual

Objetivo

Final

1

H

Protecciones

Generales 7 L1-L4 L3-L4 L4

2 EL H.IA

Identificación y

Autenticación 7 L2-L4 L3 L3-L4

3 PR H.IA.1

Política de detección de

usuarios 4 L1-L2 L1-L3 L3-L4

4 IM H.IA.2 Validación autenticación

8 L2-L3 L3 L4

http://h.ia/

66

usuarios

5 EL H.IA.3

Control usuarios

invitados 7 L3-L4 L4 L4

6

D

Protecciones de los

datos / información 8 L1-L4 L2-L4 L4-L5

7 PR D

Protección de la

Información 8 L1-L2 L2-L3 L3

8 PR D.1

Encripción documentos

gerenciales 6 L1-L3 L2-L3 L3-L4

9 CR D.2

Protección en servidor

archivos 7 L2-L3 L3 L4

10 PR D.3

Restricción dispositivos

almacenamiento 5 L3 L3 L4

11 PR DA

Copias seguridad de los

datos (Backup) 2 L3-L4 L4 L4-L5

12 PR DA.1

Automatización

almacenamiento

información 2 L3-L4 L4 L4-L5

13 PR DA.2

Backup por salida

empleados 2 L3-L4 L4 L4-L5

14 PR D.C

Cifrado de la

información 3 L3 L3-L4 L4

15 PR D.DS

Uso de firmas

electrónicas 5 L2-L3 L3-L4 L4

16 PR D.DS.1

Firma por entidad

certificadora 3 L3 L3-L4 L4

17

S

Protección de los

servicios 2 L4 L4 L5

18 EL S.www

Protección de servicios y

aplicaciones web 2 L4 L4 L4

19 EL S.www.1 Seguridad perimetral 2 L4 L4 L5

http://d.ds/

67

20 EL S.email

Protección del correo

electrónico 2 L4 L4 L5

21 EL S.email.1 AntiSpam 2 L3-L4 L4 L5

22

SW

Protección de las

aplicaciones (software) 9 L2-l4 L5 L5

23 PR SW

Protección de las

aplicaciones

informáticas 8 L2-L3 L3 L4-L5

24 PR SW.1

Implementación login

module con kerberos 9 L2-L3 L3 L4-L5

25 PR SW.2

Permisos acceso server

de desarrollo 8 L2-L3 L4 L5

26 RC SW.A

Copias de seguridad

(Backup) 7 L3-L4 L5 L5

27 IM SW.start Puesta en producción 6 L3-L4 L4 L5

28

COM

Protección de las

comunicaciones 9 L1-L2 L2-L3 L3-L4

29 CR COM.wifi

Seguridad Wireless

(WiFi) 9 L1-L2 L2-L3 L4-L5

30

IP

Protección en los

puntos de

interconexión con

otros sistemas 4 L2-L3 L2-L3 L3

31 PR IP.SPP

Sistema de protección

perimetral 4 L2-L3 L2-L3 L3

32

L

Seguridad física -

Protección de las

instalaciones 2 L4 L4 L5

33 PR L

Protección de las

instalaciones 2 L4 L4 L5

34 PR L.1

Mantenimiento Data

Center 3 L4 L4 L5

68

35 PR L.2

Mantenimiento cableado

estructurado 3 L4 L4 L5

36 PR HW

Protección de los

Equipos Informáticos 7 L3 L2-L3 L3

37 PR AUX

Protección de los

Elementos Auxiliares 5 L3-L4 L3-L4 L4

38 PR PS

Salvaguardas

Relativas al Personal 6 L1-L3 L2-L3 L3-L4

39 PR MP

Protección de los

Soportes de

Información 8 L3-L4 L3-L4 L5

Tabla 5. Salvaguardas (Fuente propia)

3.5. Estimación del Impacto y Riesgo Residual

Un impacto es el daño que causa o puede causar sobre el activo derivado de la materialización de una amenaza. La tipificación de los impactos puede variar de acuerdo al proyecto. Para efectos de TrackSpia se presenta y se evalúan los impactos de acuerdo al tipo de pérdida ya sea organizacional o técnica. Este proceso consta de dos actividades:

Estimación del impacto residual Estimación del riesgo residual

3.5.1. Impacto Residual

Dado un cierto conjunto de salvaguardas desplegadas y una medida de la

madurez de su proceso de gestión, el sistema queda en una situación de posible

impacto que se denomina residual. Se dice que hemos modificado el impacto,

desde un valor potencial a un valor residual.

El cálculo del impacto residual es sencillo. Como no han cambiado los activos, ni

sus dependencias, sino solamente la magnitud de la degradación, se repiten los

cálculos de impacto con este nuevo nivel de degradación.

69

La magnitud de la degradación tomando en cuenta la eficacia de las salvaguardas,

es la proporción que resta entre la eficacia perfecta y la eficacia real. El impacto

residual puede calcularse acumulado sobre los activos inferiores, o repercutido

sobre los activos superiores.10

Figura 31. Impacto Residual (Fuente propia)

Nota:

Para verificar la tabla con el Impacto Residual, dirigirse al ANEXO F

3.5.2. Riesgo Residual

Dado un cierto conjunto de salvaguardas desplegadas y una medida de la

madurez de su proceso de gestión, el sistema queda en una situación de riesgo

que se denomina residual. Se dice que hemos modificado el riesgo, desde un

valor potencial a un valor residual.

El cálculo del riesgo residual es sencillo. Como no han cambiado los activos, ni

sus dependencias, sino solamente la magnitud de la degradación y la probabilidad

de las amenazas, se repiten los cálculos de riesgo usando el impacto residual y la

probabilidad residual de ocurrencia.



70

La magnitud de la degradación se toma en consideración en el cálculo del impacto

residual. La magnitud de la probabilidad residual tomando en cuenta la eficacia de

las salvaguardas, es la proporción que resta entre la eficacia perfecta y la eficacia

real.

Para el cálculo de la frecuencia residual se aplica la siguiente formula:

Frecuencia residual = Efectividad Perfecta – Efectividad Real

Mientras para el cálculo del impacto residual, se realiza mediante la siguiente

matriz:

Figura 32. Impacto Residual (Fuente propia)

Nota: Para verificar la tabla con el Riesgo Residual, dirigirse al ANEXO G

71

4. GESTIÓN DE RIESGOS

Después de haber realizado el Análisis de Riesgos, queda a la vista los impactos y

los riesgos a los que está expuesto TrackSpia, y estos son una medida del estado

presente, entre la inseguridad potencial (sin salvaguarda alguna) y las medidas

adecuadas que reducen impacto y riesgo a valores despreciables. Son pues una

métrica de carencias.

Esto conlleva a la calificación de cada riesgo significativo, determinándose si:

Es critico en el sentido de que requiere atención urgente

Es grave en el sentido de que requiere atención

Es apreciable en el sentido de que pueda ser objeto de estudio para su

tratamiento.

Es asumible en el sentido de que no se van a tomar decisiones para

atajarlo.

Por lo tanto, podemos decir que el análisis realizado anteriormente en este caso

estudio solo es como tal un análisis, y podemos tomar las medidas necesarias

para llevar los controles necesarios para la toma de decisiones, conociendo lo que

se debe proteger. Todo ello sintetizado en el impacto.11

4.1. Toma de Decisiones

4.1.1. Identificación de los Riesgos Críticos

Una vez realizado el análisis de cada uno de los activos de TrackSpia con

respecto al análisis de cuáles de ellos tienen un nivel de riesgo considerable. Es

importante centrar la atención en estos activos con el fin de realizar la

implementación de los controles o salvaguardas necesarios, esto con el fin de

mitigar la amenaza o posibles amenazas.



72

Tabla 8. Riesgo Críticos (Fuente propia)

Criticidad Riesgo

Id Activo Amenaza [D] [I] [C] [A] [T]

Datos Información

2 DATOS ACCESO SERVIDORES [E.7] Deficiencias en la organización A A M

[A.4] Manipulación de la configuración MA A

[A.5] Suplantación de la identidad del usuario A B

[A.11] Acceso no autorizado MA MA A

3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MA MA A

[A.11] Acceso no autorizado MA

4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) MA B

[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MA A

[A.5] Suplantación de la identidad del usuario MA MA A

Servicios Internos

5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico A MA

[I.8] Fallo de servicios de comunicaciones A MA

[I.9] Interrupción de otros servicios y suministros esenciales MA B

[A.7] Uso no previsto A B

6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MA MA

[E.2] Errores del administrador MA MA

[I.8] Fallo de servicios de comunicaciones A M

[I.9] Interrupción de otros servicios y suministros esenciales MA

Software Aplicaciones Informáticas

73

9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico M M M B

[E.15] Alteración accidental de la información A A M

[E.21] Errores de mantenimiento / actualización de programas (software) A

[A.5] Suplantación de la identidad del usuario A A A M M

10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico M M

[E.15] Alteración accidental de la información M

[E.21] Errores de mantenimiento / actualización de programas (software) A A A M

[A.5] Suplantación de la identidad del usuario A MA M M

[E.20] Vulnerabilidades de los programas (software) M M

[E.21] Errores de mantenimiento / actualización de programas (software) M

16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador A

[E.21] Errores de mantenimiento / actualización de programas (software) A A A A

[A.5] Suplantación de la identidad del usuario A A M A A

[A.11] Acceso no autorizado M M M

17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones A A M A A

[E.8] Difusión de software dañino MA MA

[A.4] Manipulación de la configuración

[A.5] Suplantación de la identidad del usuario A A


18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones M M M B


74


[A.15] Modificación deliberada de la información MA MA MA MA A

[A.18] Destrucción de información A A

[A.19] Divulgación de información A

75

4.1.2. Calificación del Riesgo

A continuación, se gestionan los activos con los riesgos críticos:

Datos Acceso a Servidores

Descripción criticidad

Este activo pertenece a la capa de datos de información, y una vez detectadas las

amenazas se ha encontrado lo siguiente:

Encuentra amenazas altas en todas las dimensiones siendo las

dimensiones de disponibilidad, integridad y confidencialidad las que más

amenaza representa.

Donde más presenta inconvenientes es en los accesos no autorizados,

esto debido a que no hay un control específico quienes dentro del

personal del área de sistemas tiene permiso de acceso a los servidores.

Suplantación de identidad, es la amenaza que menor riesgo representa

para este activo en particular

Controles a aplicar

Las medidas para reducir el nivel de riesgo son las siguientes:

Para el control de accesos no autorizados, se deberá establecer un acceso

para cada funcionario del área de sistemas. Esto dependiendo del servidor

en el que requiera acceso para el cumplimiento de sus funciones.

En cuanto a la suplantación de identidad, cada miembro del personal de

TrackSpia será responsable del ingreso a su cuenta de usuario.

Tabla 9. Datos Acceso Servidores (Fuente propia)

76

Servicio de Internet





dimensiones de integridad, confidencialidad y autenticidad las que más

amenaza representa.

Acceso no autorizado es crítico debido a que muchos de los empleados de

TrackSpia dejan sus cuentas de usuario escritos en PosIt y pegados en el

monitor del computador.

Suplantación de identidad, es la amenaza que menor riesgo representa

para este activo en particular y es debido a que muchas cuentas de

usuario, de los empleados retirados, sigue vigente y no hay un control

específico para las mismas.

Controles a aplicar


Para el control de accesos no autorizados, se deberá realizar un barrido

del personal que se encuentra inactivo y retirado, esto con el fin de mitigar

la amenaza actualmente presentada

En cuanto a la suplantación de identidad, cada miembro del personal de

TrackSpia será responsable del ingreso a su cuenta de usuario y deberá

cambiar su contraseña cada mes.

Tabla 10. Servicio de internet (Fuente propia)

77

Códigos Fuente SW




En errores de mantenimiento y actualización presenta amenaza, debido a

que muchas veces se modifica código de los programas desarrollados por

parte del área de sistemas de TrackSpia, pero no se realiza ningún tipo de

actualización en la documentación de las modificaciones realizadas.

Controles a aplicar


Se establecerá como medida de control de que cada modificación

realizada en el código fuente, debe ser inmediatamente actualizada en la

documentación del código fuente.

Tabla 11. Códigos fuente SW (Fuente propia)

Servicio de Internet


Este activo pertenece a la capa de servicios internos, y una vez detectadas las


El corte de suministro eléctrico en TrackSpia ha sido presentado en

algunas ocasiones, debido al área donde se encuentra la compañía, cerca

de los cerros orientales y a causa a la caída de algunos árboles nativos.

Personal de TrackSpia ha incurrido en el acceso de páginas prohibidas de

contenido sexual y de redes sociales en horas laborales, así como

descargas Online de streaming y música.

Controles a aplicar


Se implantará una planta de suministro eléctrico adicional para el caso del

corte del suministro eléctrico.

78

Se revisarán las políticas establecidas en el Firewall para el control de

acceso a sitios indebidos por parte de los empleados de TrackSpia.

Tabla 12. Servicio internet (Fuente propia)

Servicio de Telefonía


Este activo pertenece a la capa de servicios internos, y una vez detectadas las



dimensiones de disponibilidad e integridad las que más amenaza

representa.

Los errores con el manejo de la línea telefónica de los usuarios es lo más

recurrente, debido a malos manejos con el teléfono.

El administrador de la centralita telefónica recurrentemente ha cruzado los

números de extensión al realizar mantenimientos.

Controles a aplicar


Se realizarán capacitaciones al personal sobre el uso de los teléfonos,

debido a los inconvenientes presentados y además se realizará la compra

masiva de teléfonos de la misma referencia y marca.

Se va a tercerizar el servicio de telefonía para evitar inconvenientes de

administración.

Tabla 13. Servicio de telefonía (Fuente propia)

79

ERP Administrativo y Financiero


Este activo pertenece a la capa de aplicaciones informáticas, y una vez

detectadas las amenazas se ha encontrado lo siguiente:



amenaza representa.

Los errores de mantenimiento y actualización son recurrentes por parte de

los programadores de TrackSpia, ya que no se realiza las puestas de

producción en horas no laborales

La alteración accidental del código fuente y las modificaciones realizadas

directamente en la base de datos son las principales consecuencias de las

quejas de los usuarios.

Controles a aplicar


Las puestas en producción de las modificaciones realizadas al ERP se

realizarán en horas de la noche o en días festivos

No se realizarán modificaciones directamente en la base de datos, sin

previa autorización del jefe del área de sistemas.

Tabla 14. ERP Administrativo y Financiero (Fuente propia)

Software Administración Relación-clientes






amenaza representa.

Los errores de mantenimiento y actualización son recurrentes por parte de

los programadores de TrackSpia, ya que no se realiza las puestas de

80

producción en horas no laborales

La alteración accidental del código fuente y las modificaciones realizadas

directamente en la base de datos son las principales consecuencias de las

quejas de los usuarios.

Controles a aplicar


Las puestas en producción de las modificaciones realizadas al ERP se

realizarán en horas de la noche o en días festivos

No se realizarán modificaciones directamente en la base de datos, sin

previa autorización del jefe del área de sistemas.

Tabla 15. Software Administración Relación-cliente (Fuente propia)

Servidor de Bases de Datos




Encuentra amenazas altas en todas las dimensiones.

Los errores de mantenimiento y actualización son recurrentes por parte del

administrador de la base de datos de TrackSpia, debido la falta de

experiencia en la administración del mismo.

Controles a aplicar


TrackSpia buscara capacitar al administrador de bases de datos para

mitigar la falta de inexperiencia.

Tabla 16. Servidor base de datos (Fuente propia)

81

Servidor de Correo






representa.

La difusión de software potencialmente dañino y de Spam por medio de la

mensajería electrónica, son las más grandes amenazas para el servidor

de correo.

La interceptación de mensajes es otra de las causas de falta de protección

de la información saliente en el servidor de correo electrónico.

Controles a aplicar


Modificar las políticas de salida y entrada de mensajería en el AntiSpam de

TrackSpia.

Monitorear por medio de WireShark y del AntiSpam, los mensajes

entrantes y salientes al finalizar la jornada laboral, en busca de potenciales

amenazas.

Tabla 17. Servidor de correo (Fuente propia)

Servidor de Archivos






representa.

La modificación de la información por parte del personal es frecuente,

porque la información que se encuentra en este servidor puede ser vista y

82

editada por toda la organización.

Lo anterior conlleva a que exista la eliminación de información de manera

intencionada o no intencionada.

Controles a aplicar


Se realizará una nueva configuración del servidor de archivos,

estableciendo controles de lectura y escritura. Y organizando estos

permisos de acuerdo al área en la que se necesite acceder.

Lo anterior mitigará el borrado de información, ya que cada área será

responsable de la misma.

Tabla 18. Servidor de archivos (Fuente propia)

4.2. Plan de Seguridad

En esta fase del caso estudio se trata de cómo llevar a cabo los planes de

seguridad, atendiendo por tales proyectos para materializar las decisiones

adoptadas para el tratamiento de los riesgos.

4.2.1. Normativas de Seguridad

Se implementarán las siguientes normativas de seguridad.

Uso autorizado de aplicaciones:

Los empleados están obligados a verificar que la información y que los

medios de almacenamiento estén libres de cualquier tipo de software

dañino, para ello deben ejecutar el software de antivirus.

Para prevenir infecciones por virus informáticos, los empleados deberán

hacer uso de cualquier software proporcionado por TrackSpia.

Uso adecuado del equipo de cómputo:

Cada empleado es responsable por el uso del equipo de cómputo asignado

por TrackSpia.

Mantener el equipo de cómputo en un entorno limpio y sin humedad.

83

Solo el personal capacitado del área de sistemas podrá llevar a cabo los

servicios de mantenimiento a los equipos.

Mientras se utiliza los equipos de cómputo, no se podrá consumir comidas

ni bebidas.

Backup de la información

Se podrá realizar copias de la información, única y exclusivamente en CD.

Los empleados deberán respaldar de forma periódica la información

Cuando el personal sea licenciado de la compañía, el personal de sistemas

es el único capacitado en la realización de tareas de respaldo de la

información.

Uso de los servicios de internet

Se prohíbe el acceso a páginas con contenido sexual, apuestas y juegos.

Se prohíbe las descargas de Streaming y música.

El acceso a internet es exclusivamente para actividades relacionadas con

las necesidades del puesto y la función desempeñada.

Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un

usuario de correo electrónico.

Protección de las Instalaciones

Hacer uso de los enceres de oficina de acuerdo a las necesidades

estrictamente laborales.

No utilizar los elementos de oficina para juegos, actividades lúdicas y que

no correspondan a la actividad laboral.

Gestión del Personal

Todo empleado de TrackSpia que utilice los bienes y servicios informáticos,

deberá conducirse bajo los principios de confidencialidad de la información.

En cada contrato de trabajo se deberá cláusulas de confidencialidad para

asegurar la información de la empresa.

Cada empleado deberá cumplir con el horario de trabajo establecido.

84

4.2.2. Mitigación del Riesgo

Ya analizado los riesgos que presenta mayor criticidad, se presenta a continuación

las salvaguardas aplicadas y se puede evidenciar este resultado en la tabla

presentada a continuación.


Datos Información

1 COPIA DE RESPALDO. [E.1] Errores de los usuarios B B B

[E.2] Errores del administrador MB B B

2 DATOS ACCESO SERVIDORES [E.7] Deficiencias en la organización MB MB B

[A.4] Manipulación de la configuración MB B

[A.5] Suplantación de la identidad del usuario MB

[A.11] Acceso no autorizado MB MB B

3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MB MB B

[A.11] Acceso no autorizado MB

4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) MB MB MB

[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB MB B

[A.5] Suplantación de la identidad del usuario MB MB MB B

Servicios Internos

5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico MB MB

[I.8] Fallo de servicios de comunicaciones MB MB

[I.9] Interrupción de otros servicios y suministros esenciales MB MB

[A.7] Uso no previsto MB MB

6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MB

[E.2] Errores del administrador MB

[I.8] Fallo de servicios de comunicaciones MB MB


85


9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico MB MB MB MB

[E.15] Alteración accidental de la información MB MB MB

[E.21] Errores de mantenimiento / actualización de programas (software) MB

[A.5] Suplantación de la identidad del usuario MB MB MB MB MB

10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico MB MB

[E.15] Alteración accidental de la información MB

[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB MB


16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador MB



[A.11] Acceso no autorizado MB MB MB

17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones MB MB MB MB MB

[E.8] Difusión de software dañino MB MB

[A.4] Manipulación de la configuración MB

[A.5] Suplantación de la identidad del usuario MB MB

[A.14] Interceptación de información (escucha) MB

18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones MB MB MB MB



[A.15] Modificación deliberada de la información MB MB MB MB MB

[A.18] Destrucción de información MB MB

[A.19] Divulgación de información MB Tabla 19. Mitigación del riesgo (Fuente propia)

86

5. CONSTRUCCIÓN DEL API MAGERIT UD

5.1. Metodología

En la construcción del API que implementa la metodología Magerit versión 3 se utilizó la metodología ágil Kanban que por su flexibilidad y facilidad de uso, permite la asignación de tareas a los miembros del equipo de desarrollo. Otra de las ventajas del uso de esta metodología es que al asignar las tareas por medio de post-it o tarjetas, se facilitó el seguimiento del estado en el que se encuentra y a quien fue asignada.

Haciendo uso del sistema de tareas de Kanban, se dio prioridad al cumplimiento de la tarea por encima de la rapidez con la que se hace, y esto teniendo en cuenta los tiempos para completar el desarrollo del prototipo (API), hizo que el equipo de desarrollo escogiera el uso de esta metodología.

Metodología Kanban

Kanban es definido como: “Un sistema de producción altamente efectivo y eficiente”, y el origen se remonta a los procesos de producción ideados por Toyota, y este sistema se basa en el uso de tarjetas para identificar las necesidades de material en la línea de producción de vehículos.

En la actualidad este sistema se ha llevado a otros campos, entre ellos la gerencia de proyectos y el desarrollo de software. Hay que recalcar que entre las principales ventajas de esta metodología es que es muy fácil de utilizar y actualizar por parte del equipo de trabajo. Además de ser una metodología muy visual, lo que permite fácilmente identificar las tareas y su estado, lo que conlleva a que el equipo de trabajo pueda ver claramente el estado de cada una de ellas

Aplicación de la metodología

Para el desarrollo de la metodología Kanban, se construyó un tablero con cuatro columnas, “Back log”, “TODO”, “DOING”, “DONE”.

La columna “Back log” contiene la lista de todas las tareas que se han considerado necesarias, para la construcción del producto.

La columna “TODO”, contiene todas las tareas que han sido priorizadas, utiliza una etiqueta de color púrpura, una tarea en estado TODO estará próxima a ser realizada.

La columna “DOING”, contiene todas las tareas que están siendo ejecutadas, utiliza una etiqueta de color amarillo, y otra etiqueta que identifica el responsable. No debe haber más de una tarea por responsable en esta columna.

87

La columna “DONE”, contiene todas las tareas que han sido finalizadas, utiliza una etiqueta de color verde. Una tarea finalizada ha sido desarrollada, documentada y probada.

A manera de facilitar la metodología se empleó una herramienta de uso gratuito, con host en la web y que ofrece una interfaz gráfica intuitiva, como se muestra en la figura XX+XX.

Figura 33. Kanban Proyecto (Fuente propia)

5.2. Diagramas

Cada uno de los diagramas realizados para este proyecto, buscó mostrar de una manera gráfica cómo fue el diseño del prototipo, desde el diseño de las tablas a utilizar en la base de datos hasta el flujo del proceso para el desarrollo de cada actividad del prototipo por medio de un diagrama de secuencia.

Como la metodología a utilizar fue Kanban, no fue objetivo realizar una diagramación detallada de cada uno de los procesos realizados en el API, sino más bien partir de un diseño general, mostrar el esquema adecuado que sirviese como modelo y guía en la implementación de cada uno de los procesos del prototipo.

88

Diagrama Entidad-Relación

En este diagrama se muestra como fue el diseño de las entidades del prototipo y por lo tanto persistidas en la base de datos.

Figura 34. Diagrama Entidad- Relación (Fuente propia)

Diagrama Secuencia Operaciones CRUD

Este diagrama muestra cómo ha sido el flujo del proceso a lo largo del desarrollo del API. Como se puede visualizar cada petición pasa por cada uno de los componentes que hacen parte de la arquitectura del prototipo de Magerit-UD.

En primer lugar, el usuario realiza una petición al servicio Web el cual se encarga de procesar la solicitud y enviarla al componente del servicio, y este aplica la lógica de negocio, una vez realizado este procedimiento se hace el llamado al componente de persistencia (repositorio) en donde almacenará, consultara o eliminará la información, según sean los requerimientos por parte del cliente.

89

Figura 35. Diagrama de secuencia (Fuente propia)

90

Diagrama Objetos

El siguiente diagrama muestra los objetos que intervienen en el prototipo, esto con el fin de dar una visión general.

Figura 36. Diagrama de objetos (Fuente propia)

91

6. CONCLUSIONES

La importancia que las organizaciones, identifiquen los factores de riesgo tanto internos como externos, es definitiva para garantizar su competitividad y permanencia en el mercado. Cuando una organización desea realizar la tarea, y poner en marcha el análisis de los posibles riesgos a los que está expuesta, uno de los principales obstáculos, es definitivamente que las organizaciones no se conocen, es decir, difícilmente tienen un conocimiento del capital invertido en tecnología, en que se emplean dichas tecnologías, y mucho menos que ha sucedido a través del tiempo con el equipamiento tecnológico. Por lo anterior, tener un marco de trabajo enfocados en análisis y gestión de riesgos, cobran vital importancia, principalmente al intentar dar inicio a la tarea. Para facilitar el inicio, se ha desarrollado un marco de trabajo basado en la metodología MAGERIT, en su tercera versión. Con el marco de trabajo propuesto, se estableció como y quienes facilitaban la información, que información era relevante, simplificando el paso entre la caracterización de los activos de la organización, a la identificación de las amenazas a las que se encontraban expuestos los activos, y cómo dichas amenazas podrían impactar los activos. El marco de trabajo permitió visualizar de forma inmediata las salvaguardas, que de una u otra forma ayudaran anular el riesgo o a mitigar el impacto del mismo. El enfoque cualitativo del marco de trabajo, además de simplificar la comunicación entre consultor y entrevistado, deshabilito la limitante impuesta por el desconocimiento histórico de los incidentes de seguridad ocurridos en la organización.

La herramienta “Magerit UD”, permitió mantener un flujo de principio a fin del análisis realizado, así pues, se mantuvo la información conseguida durante el proceso de identificación de activos, pasando por la valoración de activos, identificación de amenazas, evaluación del riesgo, identificación de salvaguardas, hasta llegar a la presentación del informe, que utilizara la mesa directiva para la toma de decisiones.

Por otra parte, es importante resaltar que el marco de trabajo planteado, mantiene una aplicabilidad en el sector de las PYMES, y que esta limitante obedece principalmente, a la granularidad causada por las fuentes de la información, es decir, cuando la estructura orgánica de la organización es compleja, las fuentes de información son más son más diversas, y esto puede causar una identificación y valoración de activos imprecisa, por ende todos los procesos subyacentes no operan de forma precisa. Cabe señalar que este ha sido el enfoque del proyecto, ya que empresas del sector de las grandes industrias, pueden destinar capitales importantes al análisis de riesgos, son estructuras organizativas con mayor grado de madurez, por lo que se enfocan en análisis cuantitativos, y que además al análisis de riesgo, el foco de atención puede ser más amplio, contemplado toda la normativa ISO 27000, y no solo los riesgos.

92

7. RECOMENDACIONES

Para reducir los riesgos que existen en los activos de la empresa se debería

hacer una restructuración del manual de procesos y procedimientos para el

manejo de cada uno de los activos de la organización

Se recomienda que haya una revisión periódica de las amenazas y riesgos

ya que la tecnología está cambiando constantemente y deben ser

controlados para evitar futuros problemas.

Se sugiere al gerente de la empresa que contrate al personal adecuado

para implementar las salvaguardas que fueron escogidas en el análisis de

riesgos para TrackSpia.

Capacitar al personal para que se cumplan las normas de seguridad que se

emplearon en la gestión de riesgos.

93

8. BIBLIOGRAFÍA

KOSUTIC, Dejan. ISO 27001 gap analysis vs. risk assessment. [Online]. Publicado Enero 27 de 2014. https://advisera.com/27001academy/knowledgebase/iso-27001-gap-analysis-vs-risk-assessment/

ICONTEC. NORMA TÉCNICA NTC-ISO/IEC COLOMBIANA 27001. [Online] Bogotá, 2006. Publicado Abril 03 de 2006. http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf

CORLETTI, Alejandro. ISO-27001: Los Controles (Parte II). [Online] Madrid, España.

Publicado 10 de Diciembre de 2006. http://www.iso27000.es/download/ISO-

27001_Los-controles_Parte_II.pdf

GILIBETS, Laia. Que es la metodología Kanban y cómo utilizarla. [Online]

Publicado 31 de Julio de 2013.

http://comunidad.iebschool.com/iebs/general/metodologia-kanban/

PRESSMAN, Roger S. Ingeniería del software. Un enfoque práctico. 5ª ed. Mc

Graw Hill, 2001.

KORTH, Henry F. y SILBERSCHATZ, Abraham. Fundamentos de Bases de Datos.

España: 1ª ed. Mc Graw Hill, 1993.

NIELSEN Jacob. Usabilidad Diseño de sitios Web. 2ª ed. Prentice Hall. 2000. [en

línea]. Citado en 16 de Marzo de 2013. Gerencia Proyectos.

http://www.degerencia.com/tema/gerencia_de_proyectos

MENDOZA, Jesús. http://www.monografias.com/trabajos36/administracion-y-

gerencia/administracion-y-gerencia.shtml [en línea]. [Citado en 16 de Marzo de

2013].

PELAEZ, Juan. Arquitectura basada en capas [en línea].

http://geeks.ms/blogs/jkpelaez/archive/2009/05/29/arquitectura-basada-en-

capas.aspx. [Citado el 15 de Marzo de 2013].

EUGENIO Ricardo, GUERRA Francisco, Sistemas de Información para la

Administración [en línea]. [Citado el 7 de Marzo de 2013].

http://www.mitecnologico.com/Main/ElementosSistemasDeInformacion

https://advisera.com/27001academy/knowledgebase/iso-27001-gap-analysis-vs-risk-assessment/

https://advisera.com/27001academy/knowledgebase/iso-27001-gap-analysis-vs-risk-assessment/

http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf

http://intranet.bogotaturismo.gov.co/sites/intranet.bogotaturismo.gov.co/files/file/Norma.%20NTC-ISO-IEC%2027001.pdf

http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_II.pdf

http://www.iso27000.es/download/ISO-27001_Los-controles_Parte_II.pdf

http://comunidad.iebschool.com/iebs/general/metodologia-kanban/

http://www.degerencia.com/tema/gerencia_de_proyectos

http://www.monografias.com/trabajos36/administracion-y-gerencia/administracion-y-gerencia.shtml

http://www.monografias.com/trabajos36/administracion-y-gerencia/administracion-y-gerencia.shtml



http://www.mitecnologico.com/Main/ElementosSistemasDeInformacion

1

M. AMUTIO, J. CANDAU y J. MAÑAS, Eds., MAGERIT – Versión 3.0. Metodología

De Análisis y Gestión De Riesgos De Los Sistemas De Información. Libro I -

Método. 2012.

A. BARCO and J. MAÑAS, Eds., GUÍA DE SEGURIDAD DE LAS TIC (CCN-STIC-

470D) - MANUAL DE USUARIO PILAR Versión 5.1. 2011

M. AMUTIO, J. CANDAU and J. MAÑAS, Eds., MAGERIT – Versión 3.0.

Metodología De Análisis y Gestión De Riesgos De Los Sistemas De Información.

Libro I - Método. 2012.

HUIDOBRO MOYA José M., ROLDÁN MARTÍNEZ David; “Seguridad en redes y

sistemas informáticos” editorial, Thomson Paraninfo, Madrid 2005.

ALEXANDER Alberto G, “Diseño y Gestión de un sistema de Seguridad de

Información, óptica ISO 27001:2005, editorial: Alfaomega, 2007.

ACEITUNO CANAL Vicente; “Seguridad de la información, Expectativas, Riesgos

y Técnicas de protección”, Editorial Limusa, México 2006.

BOLAÑOS, María C y ROCHA G. Mónica. 25 de marzo de 2014. Auditoria de SI.

Magerit V3 (Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información).[en linea]: http://asijav.weebly.com/auditoria-de-sistemas-

deinformacioacuten/magerit-v3-metodologa-de-anlisis-y-gestin-de-riesgos-de-

lossistemas-de-informacion.

GONZÁLEZ BARROSO, Jesús. Catálogo de Elementos. Madrid. Ministerio de

Hacienda y Administraciones Públicas. (v.3.0): Metodología de análisis y Gestión

de riesgos los sistemas de información. Libro número II de la metodología

MAGERIT, estandariza los elementos objeto de proyecto de análisis necesarios

para generar un inventario de activos, para luego hacer la administración de estos.

2012.

MAXITANA C, Jennifer D, NARANJO S. Bertha A. Administración de riesgos de

tecnología de información de una empresa del sector informático. [en linea].

https://www.dspace.espol.edu.ec/bitstream/123456789/15896/3/Resumen Cicyt.-

Administración de Riesgos de TI de una empresa del sector Informático.pdf

http://asijav.weebly.com/auditoria-de-sistemas-deinformacioacuten/magerit-v3-metodologa-de-anlisis-y-gestin-de-riesgos-de-lossistemas-de-informacion



2

ANEXOS

3

ANEXO A - Tabla de controles norma ISO 27001

Figura 37. Convenciones evaluación de controles

Fuente: Ejecutores Proyecto

Declaración de aplicabilidad de la norma ISO / IEC 27001 Anexo A controla a la:

Anexo A de referencia

Título de control Descripción del control Estado

A.5 Política de Seguridad

A5.1 Información Política de Seguridad

Para proporcionar a la dirección de gestión y apoyo a la seguridad de la información de acuerdo con los requerimientos del negocio y las leyes y reglamentos pertinentes.

A.5.1.1 Documento de Política de seguridad

de la información

Un documento de política de seguridad de la información deberá ser aprobado por la administración, y publicado y comunicado a

todos los empleados y colaboradores externos. D

A.5.1.2 Review of the information security

policy

La política de seguridad de la información será revisada a intervalos planificados o si se producen cambios significativos

para asegurar su conveniencia, adecuación y eficacia. PNP

4

A.6

Organización de la seguridad de la información

A.6.1 Organización Interna Para gestionar la seguridad de la información dentro de la organización

A.6.1.1 Compromiso de la dirección de

seguridad de la información

Gestión apoyará activamente a la seguridad dentro de la organización a través de una dirección clara, demuestra el

compromiso, la asignación explícita, y el reconocimiento de las responsabilidades de seguridad de la información.

MD

A.6.1.2 Coordinación de la seguridad de

información

Actividades de seguridad de información estarán coordinadas por representantes de diferentes sectores de la organización con

un papel relevante y función de trabajo. PNP

A.6.1.3 La asignación de las

responsabilidades de seguridad de la información

Todas las responsabilidades de seguridad de la información deben estar claramente definidas.

PNP

A.6.1.4 Proceso de autorización para

instalaciones de procesamiento de información

Un proceso de autorización de la administración para las nuevas instalaciones de procesamiento de información se define y se

aplica. MD

A.6.1.5 Los acuerdos de confidencialidad

Requisitos para los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades de la organización para

la protección de la información deben ser identificados y revisados con regularidad.

D

A.6.1.6 Contacto con las autoridades Se mantendrán los contactos apropiados con las autoridades

pertinentes. NA

A.6.1.7 Contacto con grupos de interés

especial

Se mantendrán los contactos apropiados con los grupos de interés especial u otros foros de seguridad especializados y

asociaciones profesionales. MD

A.6.1.8 Revisiones independientes de la

policita de seguridad de la información

El enfoque de la organización para la gestión de seguridad de la información y su aplicación (es decir, los objetivos de control,

controles, políticas, procesos y procedimientos para la seguridad de la información) se revisará de forma independiente a intervalos planificados, o cuando se producen cambios

significativos en la implementación de seguridad se producen.

PNP

5

A6.2 Partes Externas

Para mantener la seguridad de la información y de las instalaciones de procesamiento de información de la organización que se tiene acceso, procesan, comunican a, o administrados por entidades externas.

A.6.2.1 Identificación de los riesgos

relacionados con los agentes externos

Los riesgos para la información y las instalaciones de procesamiento de información de la organización de los

procesos de negocio relacionados con las partes externas deben ser identificados y los controles apropiados implementados

antes de conceder el acceso.

PNP

A.6.2.2 Abordar la seguridad cuando se

trata de clientes

Todos los requisitos de seguridad identificados deberán dirigirse antes de dar a los clientes el acceso a la información o de los

activos de la organización. RD

A.6.2.3 Abordar la seguridad en los

contratos de terceros

Acuerdos con terceros relacionados con el acceso, tratamiento, la comunicación o la gestión de la información o de las instalaciones de procesamiento de información de la

organización, o la adición de productos o servicios a las instalaciones de procesamiento de información se referirán a

todos los requisitos de seguridad pertinentes.

PNP

A.7 Gestión de Activos

A.7.1 La responsabilidad de los activos Para lograr y mantener la protección adecuada de los activos de la organización.

A.7.1.1 Inventarios de Activos Todos los activos deben estar claramente identificados y un

inventario de todos los activos importantes establecimiento y el mantenimiento.

MD

A.7.1.2 Propiedad de Activos Toda la información y los activos asociados a las instalaciones de tratamiento de la información serán propiedad de una parte

designada de la organización. D

A.7.1.3 Uso aceptables de los activos Normas para el uso aceptable de la información y de los activos asociados a las instalaciones de procesamiento de información

deberán ser identificadas, documentados e implementados. MD

A.7.2 clasificación de la información Para asegurar que la información reciba un nivel adecuado de protección.

A.7.2.1 directrices de clasificación La información se clasificará en función de su valor, los

requisitos legales, la sensibilidad y criticidad para la organización.

RD

6

A.7.2.2 Etiquetado de la información y la

manipulación

Un conjunto apropiado de procedimientos para el etiquetado de información y de tramitación se desarrollará y ejecutará de conformidad con el sistema de clasificación adoptado por la

organización.

PNP

A.8 La seguridad de los recursos humanos

A.8.1 Antes del Empleo

Para asegurarse de que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades, y son adecuados para las funciones que se consideran para, y para reducir el riesgo de robo, fraude o mal uso de las instalaciones.

A.8.1.1 Roles y Responsabilidades

Funciones y responsabilidades de los empleados, contratistas y usuarios de terceras partes de protección se definen y

documentan de conformidad con la política de seguridad de la información de la organización.

D

A.8.1.2 Proyección

Controles de verificación de antecedentes de todos los candidatos a empleo, contratistas y usuarios de terceras partes se llevarán a cabo de conformidad con las leyes, regulaciones y

ética, y proporcional a los requerimientos del negocio, la clasificación de la información que se acceda, y los riesgos

percibidos.

MD

A.8.1.3 Términos y condiciones del empleo

Como parte de su obligación contractual, los empleados, contratistas y usuarios de terceras partes se pondrán de acuerdo y firmar los términos y condiciones de su contrato de trabajo, en el que expondrá y responsabilidades de sus de la organización

para la seguridad de la información.

D

A.8.2 Durante el empleo

Para asegurar que todos los empleados, contratistas y usuarios de terceras partes son conscientes de la información amenazas y preocupaciones, sus responsabilidades y obligaciones de seguridad, y están equipados para apoyar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el riesgo de error humano.

A.8.2.1 Gestión de responsabilidades Administración exigir a los empleados, contratistas y usuarios de terceras partes para aplicar la seguridad de conformidad con las

políticas y procedimientos de la organización establecidas D

7

A.8.2.2 Concienciación sobre la seguridad de la información, la educación y la

formación

Todos los empleados de la organización y, en su caso, los contratistas y usuarios de terceras partes, deberán recibir una

capacitación adecuada sensibilización y actualizaciones regulares en las políticas y procedimientos de la organización,

que sea relevante para su función de trabajo.

D

A.8.2.3 Proceso Disciplinario Habrá un proceso disciplinario formal para los empleados que

han cometido una infracción de seguridad. MD

A.8.3 El termino o cambio de empleo Para asegurarse de que los empleados, contratistas y usuarios de terceras partes salen de una organización o el cambio de empleo de una manera ordenada.

A.8.3.1 Termino de responsabilidades Las responsabilidades para la realización de la terminación del

empleo o cambio de empleo, deberán estar claramente definidas y asignadas.

RD

A.8.3.2 Retorno de los activos Todos los empleados, contratistas y usuarios de terceras partes

deberán devolver todos los activos de la organización en su poder a la terminación de su empleo, contrato o acuerdo.

MD

A.8.3.3 Eliminación de los derechos de

acceso

Los derechos de acceso de todos los empleados, contratistas y usuarios de terceras partes a las instalaciones de procesamiento de la información del reglamento será eliminado después de la terminación de su empleo, contrato o acuerdo, o se ajustan al

cambio.

MD

A.9 La seguridad física y ambiental

A9.1 Áreas Seguras Para prevenir el acceso no autorizado físico, daños e interferencia a las instalaciones y la información de la organización.

A9.1.1 Perímetro de seguridad física

Perímetros de protección se utilizarán (barreras tales como paredes, puertas de entrada de la tarjeta controlada o

mostradores de recepción tripulados) para proteger áreas que contienen las instalaciones de procesamiento de la información y

de la información.

PNP

A9.1.2 Controles de entradas físicas Las áreas seguras quedarán protegidas por la entrada apropiada controles para asegurarse de que se les permite el acceso sólo

el personal autorizado. RD

8

A9.1.3 Asegurar oficinas, salas e

instalaciones La seguridad física de las oficinas, habitaciones e instalaciones,

se diseñó y aplicó MD

A9.1.4 La protección contra amenazas

externas y ambientales

La protección física contra daños por incendio, inundación, terremoto, explosión, disturbios civiles, y otros tipos de

catástrofes naturales o de origen humano debe ser diseñada y aplicada.

PNP

A9.1.5 Trabajar en zonas seguras Protección física y pautas para el trabajo en las áreas de

seguridad deben ser diseñadas y aplicadas. MD

A9.1.6 Zonas de acceso público, de

entrega y de carga

Los puntos de acceso, tales como las zonas de entrega y de carga y otros puntos en los que las personas no autorizadas

puedan entrar los locales se deberán controlar y, si es posible, aislada de las instalaciones de procesamiento de información

para evitar el acceso no autorizado.

MD

A9.2 Seguridad de los equipos Para evitar la pérdida, daño, robo o el compromiso de los activos y la interrupción de las actividades de la organización.

A9.2.1 Emplazamiento y Protección del

equipo

El equipo deberá estar situado o protegido para reducir los riesgos de las amenazas y peligros ambientales, y las

oportunidades para el acceso no autorizado. MD

A9.2.2 Apoyo a los servicios públicos El equipo deberá estar protegido contra fallas de energía y otras

interrupciones causadas por fallas en el apoyo a los servicios públicos.

MD

A9.2.3 seguridad del cableado Energía y telecomunicaciones cableadas que transporta datos o el apoyo a los servicios de información deben estar protegidas

contra la interceptación o daño. MD

A9.2.4 El mantenimiento del equipo El equipo debe mantenerse correctamente para permitir su

continua disponibilidad e integridad. RD

A9.2.5 Seguridad de los equipos fuera de

las instalaciones

Seguridad se aplicará a los equipos fuera de las instalaciones, teniendo en cuenta los diferentes riesgos de trabajar fuera de los

locales de la organización. MD

A9.2.6 La eliminación segura o

de re-uso de equipos

Todos los elementos del equipo que contiene los medios de almacenamiento deberán ser evaluados para verificar que los datos sensibles y el software con licencia se han eliminado o

sobrescrito de forma segura antes de su eliminación.

D

9

A9.2.7 Eliminación de los equipos Equipo, la información o el software no se tomarán fuera del sitio

sin la previa autorización. D

A10 Gestión de Comunicación y Operaciones

A10.1 Procedimientos y

responsabilidades operacionales To ensure the correct and secure operation of information processing facilities.

A10.1.1 Procedimientos operacionales, adecuadamente documentados

Los procedimientos de operación deberán ser documentados, mantenidos y puestos a disposición de todos los usuarios que

los necesitan. D

A10.1.2 Gestión del Cambio Los cambios en las instalaciones y los sistemas de procesamiento de información deben controlarse.

MD

A10.1.3 La segregación de funciones Deberes y áreas de responsabilidad deben estar separados para

reducir las oportunidades de modificación o mal uso de los activos de la organización no autorizado o involuntario.

RD

A10.1.4 Separación de desarrollo, prueba e

instalaciones operacionales

Estarán separadas de desarrollo, prueba e instalaciones operacionales para reducir el riesgo de acceso no autorizado o

alteraciones en el sistema operativo. D

A10.2 Gestión de entrega de servicios

de terceros

Para implementar y mantener el nivel adecuado de seguridad de la información y la prestación de servicios en línea con los acuerdos de prestación de servicios de terceros.

A10.2.1 Servicio de entrega

Se velará por que los controles de seguridad, las definiciones de servicio, y los niveles de envío incluidos en el tercer acuerdo de prestación de servicios del partido se implementan, operado y

mantenido por el tercero.

NA

A10.2.2 El seguimiento y la revisión de los

servicios de terceros

Los servicios, los informes y los registros proporcionados por el tercero deberán ser controlados regularmente y revisados, y las

auditorías se llevarán a cabo con regularidad. NA

A10.2.3 Gestión de cambios en los servicios

de terceros

Los cambios en la prestación de servicios, incluido el mantenimiento y la mejora de las actuales políticas de seguridad

de información, procedimientos y controles, se gestionarán, teniendo en cuenta la criticidad de los sistemas y procesos que

intervienen empresas y re-evaluación de los riesgos.

PNP

10

A10.3 Planificación y aceptación del

sistema Para minimizar el riesgo de fallo de los sistemas.

A10.3.1 gestión de la capacidad El uso de los recursos deberá ser monitoreada, afinado, y

proyecciones de las futuras necesidades de capacidad para asegurar el rendimiento del sistema requerido.

RD

A10.3.2 la aceptación del sistema

Los criterios de aceptación para los nuevos sistemas de información, actualizaciones y nuevas versiones serán

establecidos y las pruebas adecuadas del sistema) llevaron a cabo durante el desarrollo y antes de la aceptación.

D

A10.4 Protección contra código

malicioso y móvil Para proteger la integridad del software y la información.

A10.4.1 Controles contra código malicioso Se llevarán a cabo la detección, prevención y recuperación

controles de protección contra código malicioso y los procedimientos apropiados de sensibilización usuario.

MD

A10.4.2 Controles contra códigos móviles

Cuando se autorice el uso de código móvil, la configuración deberá garantizar que el código móvil autorizado opera de

acuerdo con una política de seguridad claramente definido, y el código móvil no autorizado puede ser impedido de ejecutar.

D

A10.5 Back-up Para mantener la integridad y la disponibilidad de instalaciones de procesamiento de la información y de la información.

A10.5.1 Información

back-up

Copias de respaldo de la información y software serán tomadas y analizadas con regularidad de acuerdo con la política de copia

de seguridad acordadas. D

A10.6 Gestión de la seguridad de la red Para garantizar la protección de la información en las redes y la protección de la infraestructura de apoyo.

A10.6.1 controles de red

Redes se gestionarán adecuadamente y controlados, con el fin de protegerse de las amenazas, y para mantener la seguridad de los sistemas y aplicaciones que utilizan la red, incluyendo la

información en tránsito.

MD

A10.6.2 Seguridad de los servicios de red

Las características de seguridad, niveles de servicio y los requisitos de gestión de todos los servicios de la red deben ser identificados e incluidos en cualquier acuerdo de servicios de

red, si estos servicios se ofrecen en la empresa o subcontratado.

MD

11

A10.7 manejo del soporte Para evitar la divulgación no autorizada, modificación, eliminación o destrucción de bienes, y la interrupción de las actividades comerciales.

A10.7.1 Gestión de soportes extraíbles Deberá haber procedimientos establecidos para el manejo de los

medios extraíbles. PNP

A10.7.2 La eliminación de los medios de

comunicación Medios deberán ser desechados de forma segura y sin peligro

cuando ya no sea necesario, utilizando procedimientos formales. PNP

A10.7.3 Información del manejo de los

procedimientos

Los procedimientos para el manejo y almacenamiento de la información se establecerán para proteger esta información

contra su divulgación o uso no autorizado. MD

A10.7.4 Seguridad de la documentación del

sistema Documentación del sistema deben estar protegidos contra el

acceso no autorizado. RD

A10.8 Intercambio de información Para mantener la seguridad de la información y software intercambiado dentro de una organización y con cualquier entidad externa.

A10.8.1 Las políticas y los procedimientos de

intercambio de información

Políticas formales de cambio, los procedimientos y los controles deberán estar en su lugar para proteger el intercambio de

información mediante el uso de todo tipo de instalaciones de comunicación.

MD

A10.8.2 Los acuerdos de intercambio Los acuerdos se establecieron para el intercambio de

información y software entre la organización y las partes externas.

RD

A10.8.3 Medios físicos en tránsito Los medios que contienen información deben estar protegidos contra el acceso no autorizado, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización.

RD

A10.8.4 Mensajería Electrónica Información involucrada en la mensajería electrónica será

debidamente preservada. MD

A10.8.5 Sistemas de información de

negocios

Las políticas y procedimientos deberán ser desarrollados e implementados para proteger la información asociada a la interconexión de los sistemas de información de negocios.

RD

A10.9 Servicios de comercio electrónico Para garantizar la seguridad de los servicios de comercio electrónico, y su uso seguro.

12

A10.9.1 Comercio Electrónico

Información involucrado en el comercio electrónico que pasa a través de redes públicas, serán protegidos de la actividad

fraudulenta, disputa de contrato, y la divulgación y modificación no autorizada.

MD

A10.9.2 Transacciones On-line

Información involucrada en las transacciones en línea deberán estar protegidos para prevenir la transmisión incompleta, mal

enrutamiento, alteración mensaje no autorizado, la divulgación no autorizada, la duplicación de mensajes no autorizada o la

reproducción.

RD

A10.9.3 Información pública La integridad de la información puesta a disposición de un

sistema de acceso público debe ser protegida para evitar la modificación no autorizada.

MD

A10.10 Monitoreo Para detectar las actividades de procesamiento de información no autorizados.

A10.10.1 Registro de Auditoria

Los registros de auditoría de grabación de las actividades del usuario, excepciones y eventos de seguridad de información se producen y se conservarán durante un período acordado para ayudar en futuras investigaciones y la vigilancia del control de

acceso.

D

A10.10.2 Uso del sistema de monitoreo Procedimientos para el uso de vigilancia de las instalaciones de procesamiento de información se establecerán y los resultados

de las actividades de seguimiento de revisiones regulares. MD

A10.10.3 Protección de los registros de

información Instalaciones de registro y la información de registro se

protegerán contra la manipulación y acceso no autorizado. D

A10.10.4 Administración y operación de los

registros de información Actividades del administrador del sistema y gestor de la red se

registrarán. MD

A10.10.5 Fallo de Registros Fallos se registrarán, analizarán y tomarán las medidas

correspondientes. D

A10.10.6 Sincronización de Relojes

Los relojes de todos los sistemas de procesamiento de información pertinentes dentro de una organización o dominio de seguridad se pueden sincronizar con una fuente horaria exacta

acordada.

D

A11 Control de Acceso

A11.1 Requerimiento de negocio de

control de acceso Para controlar el acceso a la información.

13

A11.1.1 Política de control de acceso Se establecerá una política de control de acceso, documentado

y revisado basado en los requisitos empresariales y de seguridad para el acceso.

D

A11.2 Gestión de acceso de los

usuarios Para garantizar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de información.

A11.2.1 Registro de Usuarios Habrá un registro de usuario formal y procedimiento de la

matrícula en el lugar para otorgar y revocar el acceso a todos los sistemas y servicios de información.

D

A11.2.2 Administración de Privilegios La asignación y el uso de los privilegios se limitarán y

controlados. MD

A11.2.3 Administración de Passport de

Usuarios La asignación de contraseñas se controla a través de un

proceso de gestión formal. D

A11.2.4 Revisión de los derechos de acceso

de usuario La dirección revisará los derechos de acceso de los usuarios a

intervalos regulares utilizando un proceso formal. D

A11.3 Responsabilidades de los

usuarios

Para prevenir el acceso no autorizado de usuarios, y el compromiso o el robo de las instalaciones de procesamiento de la información y de la información.

A11.3.1 Utilización de Contraseña Los usuarios estarán obligados a seguir las buenas prácticas de

seguridad en la selección y uso de contraseñas. D

A11.3.2 Equipo de usuarios desatendido Los usuarios deberán asegurarse de que el equipo desatendido

tiene la protección adecuada. MD

A11.3.3 Política de escritorio y pantalla en

blanco o despejado

Se adoptarán una política de escritorio limpio de papeles y soportes de almacenamiento extraíbles y una política de la pantalla clara para las instalaciones de procesamiento de

información.

RD

A11.4 Control de acceso de red Para prevenir el acceso no autorizado a los servicios en red.

A11.4.1 Política sobre el uso de los servicios

de red Los usuarios sólo deberán disponer de acceso a los servicios

que han sido específicamente autorizados para su uso. D

A11.4.2 Autenticación de usuario para las

conexiones externas Métodos de autenticación adecuados se utilizan para controlar el

acceso de usuarios remotos. D

14

A11.4.3 Identificación de los equipos en las

redes

Identificación automática de los equipos se considerará como un medio para autenticar las conexiones de los lugares y equipos

específicos. MD

A11.4.4 Diagnóstico remoto y protección

puerto de configuración Se controlará el acceso físico y lógico a los puertos de

diagnóstico y configuración. D

A11.4.5 Segregación en redes Grupos de servicios de información, los usuarios y los sistemas

de información deberán estar separados de las redes MD

A11.4.6 Control de la conexión de red

Para las redes compartidas, especialmente aquellas que se extienden a través de fronteras de la organización, la capacidad de los usuarios para conectarse a la red se limitará, en línea con

la política y los requisitos de las aplicaciones de negocio de control de acceso

RD

A11.4.7 Control de Ruta de red

Controles de enrutamiento se aplicarán a las redes para garantizar que las conexiones de la computadora y los flujos de información no infringen la política de control de acceso de las

aplicaciones de negocio.

D

A11.5 Control de acceso del sistema

operativo Para prevenir el acceso no autorizado a los sistemas operativos.

A11.5.1 Procedimientos de Inicio Seguro El acceso a los sistemas operativos se controla mediante un

procedimiento de inicio de sesión seguro. MD

A11.5.2 Identificación y autenticación de

usuarios

Todos los usuarios deben tener un identificador único (ID de usuario) sólo para su uso personal, y una técnica de

autenticación adecuados serán elegidos para corroborar la identidad declarada de un usuario.

D

A11.5.3 Sistema de gestión de contraseñas Sistemas de gestión de contraseñas serán interactivos y se

asegurarán de contraseñas de calidad. MD

A11.5.4 Uso de las utilidades del sistema El uso de programas utilitarios que podrían ser capaces de

sistema y de aplicación controles primordiales será restringido y estrechamente controlado.

D

A11.5.5 Sesión de tiempo de espera Sesiones inactivas se cerrarán después de un período definido

de inactividad. D

A11.5.6 Limitación de tiempo de conexión Las restricciones a los tiempos de conexión se utilizan para proporcionar seguridad adicional para aplicaciones de alto

riesgo. NA

15

A11.6 El control de aplicaciones y

acceder a información Para prevenir el acceso no autorizado a la información contenida en los sistemas de aplicación.

A11.6.1 Restricción de acceso Información El acceso a las funciones de información y sistemas de

aplicaciones por los usuarios y el personal de apoyo se limitará de acuerdo con la política de control de acceso definido.

D

A11.6.2 Aislamiento del sistema Sensible Sistemas sensibles deben tener un (aislado) entorno informático

dedicado. MD

A11.7 Computadores Móviles y

Teletrabajo

Para garantizar la seguridad de la información cuando se utilizan las instalaciones de computación y teletrabajo móvil.

A11.7.1 Computadores Móviles y

comunicaciones

Una política formal deberá estar en su lugar, y se adoptará medidas de seguridad para proteger contra los riesgos del uso de las instalaciones de computación móvil y la comunicación.

D

A11.7.2 Teletrabajo Una política, planes y procedimientos operativos deberán ser

desarrollados e implementado para las actividades de teletrabajo.

NA

A12

Adquisición de sistemas de información, desarrollo y mantenimiento

A12.1 Los requisitos de seguridad de

los sistemas de información Para asegurar que la seguridad es una parte integral de los sistemas de información.

A12.1.1 Análisis de los requisitos de

seguridad y las especificaciones

Declaraciones de los requerimientos del negocio para los nuevos sistemas de información, o mejoras de los sistemas de

información existentes especificarán los requisitos para los controles de seguridad.

RD

A12.2 Procesamiento correcto en

aplicaciones Para evitar errores, la pérdida, modificación o mal uso de la información en la aplicación no autorizada.

A12.2.1 Validación de Datos de Entrada La entrada de datos a las aplicaciones deberá ser validada para

asegurarse de que esta información es correcta y apropiada. MD

12.2.2 Control del procesamiento interno Comprobaciones de validación deberán ser incorporadas en las aplicaciones para detectar cualquier corrupción de la información

a través de los errores de procesamiento o actos deliberados. MD

16

12.2.3 Integridad de los mensajes

Requisitos para garantizar la autenticidad y la protección de la integridad del mensaje en las aplicaciones deben ser

identificados, y los controles apropiados identificados e implementados.

RD

12.2.4 Validación de datos de salida La salida de datos desde una aplicación deberá ser validada para asegurarse de que el procesamiento de la información almacenada es correcto y adecuado a las circunstancias.

MD

A12.3 Controles criptográficos Para proteger la confidencialidad, autenticidad o integridad de la información por medios criptográficos.

A12.3.1 Política sobre el uso de controles

criptográficos

Una política sobre el uso de controles criptográficos para la protección de la información debe ser desarrollado e

implementado PNP

12.3.2 Gestión de claves Gestión de claves estará en el lugar para apoyar el uso de la

organización de las técnicas criptográficas. PNP

A12.4 Seguridad de los archivos del

sistema Para garantizar la seguridad de los archivos del sistema

A12.4.1 Control del Software Operacional Habrá procedimientos para controlar la instalación de software

en los sistemas operativos RD

A12.4.2 Protección de los datos de prueba

del sistema Los datos de prueba deben seleccionarse cuidadosamente y

protegidos y controlados. RD

A12.4.3 Control de acceso al código fuente

del programa El acceso al código fuente del programa se limitará. RD

A12.5 Seguridad en desarrollo y soporte

de procesos Para mantener la seguridad de software de sistema de aplicación y la información.

A12.5.1 Procedimientos de control de

cambio La implementación de los cambios se controla mediante el uso

de procedimientos formales de control de cambios. MD

A12.5.2 Revisión técnica de aplicaciones

después de cambios en el sistema operativo

Cuando se cambian los sistemas operativos, aplicaciones críticas de negocio deben ser revisados y probados para

asegurar que no hay impacto negativo en las operaciones de la organización o de la seguridad.

MD

A12.5.3 Restricciones en los cambios a los

paquetes de software

Las modificaciones a los paquetes de software se pondrán trabas, otros, las modificaciones necesarias, y todos los cambios

deben ser estrictamente controlados. MD

17

A12.5.4 filtración de información Se impedirá Oportunidades para la fuga de información. MD

A12.5.5 Desarrollo de software externalizado Desarrollo de software externalizado será supervisado y

controlado por la organización MD

A12.6 Gestión de Vulnerabilidades

Técnica Para reducir los riesgos derivados de la explotación de las vulnerabilidades técnicas publicadas.

A12.6.1 Control de las vulnerabilidades

técnicas

La información oportuna acerca de las vulnerabilidades técnicas de los sistemas de información que se utilizan se obtiene, la

exposición de la organización a tales vulnerabilidades evaluado y tomado las medidas adecuadas para hacer frente a los riesgos

asociados.

PNP

A13 Gestión de incidentes de seguridad de información

A13.1 Informar sobre los eventos de

seguridad de información y debilidades

Para garantizar la seguridad de la información de eventos y debilidades asociadas a los sistemas de información se comunican de una manera que permite acciones correctivas oportunas que deban tomarse.

A13.1.1 Informar sobre los eventos de

seguridad de información

Los eventos de seguridad de información se comunicarán a través de canales de gestión adecuadas tan pronto como sea

posible. D

A13.1.2 Informes debilidades de seguridad

Todos los empleados, contratistas y usuarios de terceras partes de los sistemas y servicios de información estarán obligados a

observar y reportar cualquier debilidad de seguridad que observen o sospechen en los sistemas o servicios.

MD

A13.2 Gestión de incidentes de

seguridad de la información y mejoras

Para garantizar un enfoque coherente y eficaz se aplica a la gestión de incidentes de seguridad de la información.

A13.2.1 Responsabilidades y procedimientos Responsabilidades y procedimientos de manejo deberán ser

establecidos para asegurar una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.

MD

A13.2.2 Aprendiendo de los incidentes de

seguridad de la información

Habrá mecanismos que permitan a los tipos, volúmenes y costos de los incidentes de seguridad de la información para ser

cuantificados y controlados. RD

18

A13.2.3 Acopio de Evidencias

Cuando una acción de seguimiento contra una persona u organización después de un incidente de seguridad de

información implica una acción jurídica (civil o penal), se percibirá la evidencia, conservado, y se presentó a cumplir con

las reglas para la prueba prevista en la jurisdicción correspondiente (s ).

D

A14 Gestión de continuidad del negocio

A14.1 Los aspectos de seguridad de información de la gestión de la

continuidad del negocio

Para contrarrestar las interrupciones a las actividades comerciales y proteger los procesos críticos de negocio de los efectos de los fallos principales de los sistemas de información o los desastres y asegurar su oportuna reanudación.

A14.1.1 Incluyendo seguridad de la

información en el proceso de gestión de la continuidad del negocio

Un proceso gestionado se desarrolla y se mantiene la continuidad del negocio en toda la organización que se ocupa de los requisitos de seguridad de la información necesaria para la

continuidad del negocio de la organización.

MD

A14.1.2 Continuidad del negocio y análisis

de riesgos

Los eventos que pueden causar interrupciones en los procesos de negocio deben ser identificados, junto con la probabilidad y el impacto de estas interrupciones y de sus consecuencias para la

seguridad de la información.

MD

A14.1.3 Desarrollo e implementación de

planes de continuidad que incluyen seguridad de la información

Los planes deberán desarrollarse y aplicarse para mantener o restaurar las operaciones y asegurar la disponibilidad de información al nivel requerido y en las escalas de tiempo requeridas siguientes a la interrupción o el fracaso de los

procesos críticos de negocio.

RD

A14.1.4 Marco de planificación de la


Deberá mantenerse un único marco de los planes de continuidad del negocio para asegurar que todos los planes son consistentes, para abordar de manera coherente los requisitos

de seguridad de la información, y para identificar las prioridades de prueba y mantenimiento.

RD

A14.1.5 Pruebas, mantenimiento y re-evaluación de los planes de


Los planes de continuidad deberán ser probados y actualizados regularmente para asegurarse de que están al día y efectivo.

PNP

A15 Conformidad

19

A15.1 El cumplimiento de los requisitos

legales

Para evitar el rebasamiento de cualquier ley, obligaciones legales, reglamentarias o contractuales, y de los requisitos de seguridad.

A15.1.1 Identificación de la legislación

aplicable

Todos los requisitos legales, reglamentarios y contractuales pertinentes y por el enfoque de la organización para cumplir con estos requisitos se definirán explícitamente, documentados, y se

mantienen al día para cada sistema de información y la organización.

RD

A15.1.2 Derechos de propiedad intelectual

(DPI)

Procedimientos apropiados se aplicarán para garantizar el cumplimiento de requisitos legales, reglamentarios y

contractuales sobre el uso de material con respecto al cual puede haber derechos de propiedad intelectual y sobre el uso de

productos de software propietario.

D

A15.1.3 Protección de los registros de la

organización

Registros importantes estarán protegidos contra pérdida, destrucción y falsificación, de acuerdo con los requisitos legales,

reglamentarios, contractuales y de negocios. MD

A15.1.4 Protección de datos y privacidad de

la información personal

Protección de datos y privacidad se garantizará como se requiere en la legislación pertinente, los reglamentos, y, si

procede, las cláusulas contractuales. D

A15.1.5 Prevención del uso indebido de las instalaciones de procesamiento de

información

Los usuarios se decidan a utilizar las instalaciones de procesamiento de información para fines no autorizados.

RD

A15.1.6 Regulación de los controles

criptográficos Controles criptográficos serán utilizados en cumplimiento de

todos los acuerdos, leyes y reglamentos. RD

A15.2 El cumplimiento de las políticas de seguridad y las normas y el

cumplimiento técnico

Para garantizar el cumplimiento de los sistemas con las políticas y estándares de seguridad de la organización

A15.2.1 El cumplimiento de las políticas y

normas de seguridad

Administradores se asegurarán de que todos los procedimientos de seguridad dentro de su área de responsabilidad se llevan a

cabo correctamente para lograr el cumplimiento con las políticas y estándares de seguridad.

RD

A15.2.2 Comprobación del cumplimiento

técnico Los sistemas de información deben ser revisados regularmente

por el cumplimiento de las normas de aplicación de la seguridad. PNP

20

A15.3 Consideraciones de auditoría del

sistema de información Para maximizar la eficacia y minimizar la interferencia a / desde el proceso de auditoría de sistemas de información.

A15.3.1 Controles de auditoría de sistemas

de información

Requisitos de auditoría y las actividades relacionadas con los controles de los sistemas operativos deberán ser planeadas cuidadosamente y acordaron reducir al mínimo el riesgo de

interrupciones en los procesos de negocio.

RD

A15.3.2 Protección de las herramientas de

auditoría de sistemas de información

El acceso a las herramientas de auditoría de sistemas de información debe ser protegido para evitar cualquier posible mal

uso o el compromiso. RD

21

ANEXO B - ENCUESTAS

De 35 empleados encuestados todos mencionaron que sus equipos no reciben

mantenimiento en determinado tiempo sino que el equipo debe presentar

problemas serios.

22

Los empleados de trackspia dijeron que cuando el computador no funciona deben

llamar al personal de sistemas para que arregle el equipo y por lo general se

demora 1 día realizando los ajustes correspondientes, retrasando las actividades

laborales.

La mayoria de los empleados no apagan o suspenden el computador para ir a

almorzar.

Todos los empleados guardan la información para ir a almorzar.

23

No tiene ningun periodo de tiempo para el cambio de equipos para eso debe de

estar en pesimas condiciones donde ya deje de funcionar para hacer la compra de

un equipo nuevo.

Todos los computadores tienen contraseñas pero no son secretas porque se

comparten de un empleado a otro.

24

No existe la politica de cambiar la contraseña cada cierto periodo en TrackSpia.

El internet utilizado por cada una de las areas para desempeñar las actividades

laborales, solo las areas de contabilidad y los digitadores no poseen este servicio.

25

Los empleados tienen acceso a cualquier pagina de internet.

Todos los equipos poseen antivirus pero en la mayoria mensionaron que estan

desactualizados

26

11. ¿Con qué frecuencia al mes realiza la actualización de su software de

Antivirus?

1 vez 2 veces

3 veces 4 veces

N° Ítem Frecuencia %

1 1 vez 40 40%

2 2 veces 20 20%

3 3 veces 10 10%

4 4 veces 30 30%

Hay una dualidad entre los que hacen actualización de su antivirus cada año, y el

caso opuesto de quienes lo hacen al menos cuatro veces. Pero en concreto hay

una falencia de seguridad al no existir una politica clara sobre las actualizaciones

de seguridad en el caso del antivirus.

12. ¿Ha presentado caídas en la base de datos?

Si No

27


1 Si 63 60%

2 No 37 40%

Las caidas en la base de datos son frecuentes, no hay una confianza generalizada

por la información que se encuentra allí almacenada.

13. ¿Cuáles servicios (correo, aplicaciones, video, etc.) o dispositivos

tecnológicos (pc, teléfono, impresora, etc.), utiliza para realizar sus labores

diarias?

Los más utilizados, son a su vez los más esenciales: correo electrónico, impresión, escáner, servidor de archivos, antivirus, etc. 14. Evalúe de 1 a 5 la importancia que tiene para usted, cada uno de los

elementos mencionados.

1 2

3 4

5

28


1 1 vez 40 40%

2 2 veces 20 20%

3 3 veces 10 10%

4 4 veces 30 30%

Es fundamental el uso de esos servicios, aunque se da casos de que mucha gente

es empleada en tareas que no requieren de un uso constante de los servicios

informaticos, por eso el resultado de la encuenta.

15. ¿Si alguno de los elementos mencionados no se encontrará disponible

por algún fallo o pérdida, no lograría ejecutar sus tareas? ¿sí o no? ¿Qué

elementos?

Si No


1 Si 66 60%

2 No 34 40%

Como son servicios esenciales, son bastante importantes, aunque como se

menciono en la pregunta anterior hay una buena cantidad de empleados que no

los utiliza.

29

16. ¿Las tareas que le han sido encomendadas involucran la custodia de

información que puede ser catalogada como sensible o de carácter

confidencial?

Si No


1 Si 54 50%

2 No 56 50%

Los empleados se encuentran divididos, y no entienden en muchos casos la

importancia de la custodia de la información, y de que si esta es mal utilizada

podría tener riesgos importantes para TrackSpia.

17. ¿Conoce o aplica acciones para garantizar la confidencialidad de la

información? ¿sí o no? ¿Cuáles?

Si No


1 Si 73 70%

2 No 37 30%

30

El personal dice en su mayoria, conocer las acciones para garantizar la

confidencialidad de la información

18. ¿Conoce o sabe de la existencia de algún elemento humano o proceso,

que promueva estrategias de seguridad para mantener la confidencialidad de

la información que administra?

Si No


1 Si 28 27%

2 No 72 83%

TrackSpia no ha sido conciente de promover estrategias para mantener la

confidencialidad de la información.

19. ¿Utiliza medios de almacenamiento como: Discos Duros externos, USB,

servicios de almacenamiento en la nube cuyo proveedor sea un tercero

(google drive, One Drive, dropbox, etc.), que no hayan sido facilitados por la

organización, y para almacenar información relacionada a sus tareas?

Si No

31


1 Si 100 100%

2 No 0 0%

El 100 porciento de los encuestados realiza el uso de los servicios de

almacenamiento nombrados.

20. ¿Administra información que se relacione con sus tareas, que se

encuentra en medios físicos (papel, A-Z, material de archivo)?

Si No


1 Si 100 100%

2 No 0 0%

El 100 porciento de los encuestados realiza el uso de los servicios de

almacenamiento nombrados.

21. Que unidades de almacenamiento utiliza frecuentemente?

CD

DVD

USB

DISCO DURO EXTRAIBLE FOTOCOPIAS, IMPRESIÓN, ESCANEO

32


1 CD 5 4%

2 DVD 10 8%

3 USB 65 65%

4 DISCO DURO EXTRAIBLE 16 15%

5 FOTOCOPIAS, IMPRESIÓN, ESCANEO 4 6%

El almacenamiento físico es esencial en la compañía, lo que requiere un servicio de archivo bastante numeroso. 22. Si tiene que usar servicios informáticos para realizar sus tareas, ¿Estos

servicios se encuentran restringidos mediante el uso de usuarios y

contraseñas?

Si No


1 Si 73 75%

2 No 27 25%

33

Si, y es que los aplicativos utilizados por el personal cuentan con ese tipo de seguridad, lo que indica que no hay política de contraseñas, sino simplemente se limitan a lo que los aplicativos les indique. 23. Si requiere más de una cuenta de usuario y contraseña para utilizar

servicios informáticos relacionados con sus tareas, ¿Qué herramienta o

como recuerda cada una de las cuentas de usuario y sus respectivas

contraseñas?

Lo métodos van: desde post-it ubicados en el monitor del equipo, hasta una contraseña que es compartida por uno o varios compañeros.

24. Las contraseñas que asigna a sus cuentas de usuario. ¿Con cuál de las

siguientes características cumple?

a. Cantidad de caracteres

Entre 1 y 8 caracteres.

Entre 9 y 12 caracteres. Más de 12 caracteres.


1 Entre 1 y 8 caracteres 73 75%

2 Entre 9 y 12 caracteres 17 15%

3 Más de 12 caracteres 10 10%

b. ¿Cuantas mayúsculas utiliza?

0 1 o 2

Más de dos

34


1 0 98 98%

2 1 o 2 1 1%

3 Más de 2 1 1%

c. ¿Cuantas minúsculas utiliza?

0

1 o 2

Más de dos


1 0 1 1%

2 1 o 2 19 19%

3 Más de 2 80 80%

d. ¿Cuántos números utiliza?

0

1

Más de uno

35


1 0 78 79%

2 1 o 2 13 11%

3 Más de 1 9 10%

e. ¿Cuantos caracteres especiales utiliza?

0

1 o 2

Más de dos


1 0 99 99%

2 1 o 2 1 1%

3 Más de 2 0 0%

36

25. ¿Comparte algún usuario y/o contraseña con personas de otras áreas?

Si No


1 Si 60 60%

2 No 40 40%

Este asunto es bastante delicado, porque ademas de ser un metodo para recordar

la contraseña, es una practica generalizada en el interior del personal de

TrackSpia.

26. ¿Las credenciales que comparte tiene acceso a información

confidencial?

Si No

37


1 Si 75 75%

2 No 25 25%

Las respuestas a esta pregunta fueron my variadas y en muchos casos fueron

contestadas con evasivas o eras respuestas sutiles, lo que indica que ningun

miembro del personal de TrackSpia queria verse comprometido.

27. ¿La persona o área con la que comparte las credenciales, está autorizada

por la organización para acceder a dicha información?

Si No


1 Si 25 25%

2 No 75 75%

La grafica es clara, no existe un control con las contraseñas compartidas entre los funcionarios de TrackSpia 28. Califique de 1 a 5 el servicio de soporte técnico prestado por el personal

de mantenimiento y soporte de computadores.

1 2 3 4 5

38


1 1 7 7%

2 2 20 29%

3 3 55 55%

4 4 8 8%

5 5 10 10%

La mitad del personal califico como aceptable el servicio de soporte y

mantenimiento del area de tecnología.

39

ANEXO C – Valoración de Amenazas

Tabla 3. Valoración de Amenazas Fuente propia

Degradación

Id Activo Amenaza Probabilidad [D] [I] [C] [A] [T]

Datos Información

1 COPIA DE RESPALDO

[E.1] Errores de los usuarios A A

B

[E.2] Errores del administrador M

MA MA M

2 DATOS ACCESO SERVIDORES

[E.7] Deficiencias en la organización M

A A M

[A.4] Manipulación de la configuración A MA M

[A.5] Suplantación de la identidad del usuario M A

B

[A.11] Acceso no autorizado A

MA MA

M

3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario A

A A M


A

4 CODIGOS FUENTE SW

[E.20] Vulnerabilidades de los programas (software) M A

B [E.21] Errores de mantenimiento / actualización de

programas (software) A

A MA M

[A.5] Suplantación de la identidad del usuario A

A

M

Servicios Internos

5 SERVICIO DE INTERNET

[I.6] Corte del suministro eléctrico M M M

[I.8] Fallo de servicios de comunicaciones M M M

[I.9] Interrupción de otros servicios y suministros esenciales B B B

40

[A.7] Uso no previsto M A

B

6 SERVICIO DE TELEFONIA

[E.1] Errores de los usuarios A A A

[E.2] Errores del administrador A A A

[I.8] Fallo de servicios de comunicaciones M

A

M

[I.9] Interrupción de otros servicios y suministros esenciales A A

7 SERVICIO DE MANTENIMIENTO

[E.7] Deficiencias en la organización M M M [E.21] Errores de mantenimiento / actualización de

programas (software) M A M

M

[E.23] Errores de mantenimiento / actualización de equipos (hardware) M M B

[E.28] Indisponibilidad del personal M A

M

8 ACCESO BIOMETRICO

[I.1] Fuego M M B

[I.2] Daños por agua M A M

M

[I.*] Desastres industriales M

M

M M

[A.5] Suplantación de la identidad del usuario M M B


9 ERP ADMINISTRATIVO Y FINANCIERO

[I.5] Avería de origen físico o lógico B MA A

A M

[E.15] Alteración accidental de la información M MA A

A [E.21] Errores de mantenimiento / actualización de

programas (software) M M

[A.5] Suplantación de la identidad del usuario M MA A A A M

10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES

[I.5] Avería de origen físico o lógico B A A

[E.15] Alteración accidental de la información B A [E.21] Errores de mantenimiento / actualización de

programas (software) M M A MA

M

41

[A.5] Suplantación de la identidad del usuario M MA

A A M

11 PORTAL WEB DE LA ORGANIZACIÓN

[I.5] Avería de origen físico o lógico B MA A A A M

[E.15] Alteración accidental de la información B

A [E.21] Errores de mantenimiento / actualización de

programas (software) B A

[A.5] Suplantación de la identidad del usuario B MA A A A M

[A.24] Denegación de servicio B

M

M M

12 SISTEMA OPERATIVO

[E.1] Errores de los usuarios B M

M

[E.8] Difusión de software dañino M MA A A A M

[E.20] Vulnerabilidades de los programas (software) B A A [E.21] Errores de mantenimiento / actualización de

programas (software) B A

13 SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN

[I.5] Avería de origen físico o lógico M A A

[E.15] Alteración accidental de la información A A [E.21] Errores de mantenimiento / actualización de

programas (software) M MA A

A M

14 OFIMATICA

[E.21] Errores de mantenimiento / actualización de programas (software) B A A

[E.1] Errores de los usuarios B A

15 ANTIVIRUS

[E.8] Difusión de software dañino B A

[E.20] Vulnerabilidades de los programas (software) B MA A

A M

[E.21] Errores de mantenimiento / actualización de programas (software) B A A

16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador M A

[E.21] Errores de mantenimiento / actualización de programas (software) M M A MA

M

42

[A.5] Suplantación de la identidad del usuario M MA A A A M

[A.11] Acceso no autorizado B MA A

A

17 SERVIDOR DE CORREO

[I.8] Fallo de servicios de comunicaciones M MA A A A M

[E.8] Difusión de software dañino A A A

[A.4] Manipulación de la configuración M

[A.5] Suplantación de la identidad del usuario M A A

[A.14] Interceptación de información (escucha) M

18 SERVIDOR DE ARCHIVOS

[I.8] Fallo de servicios de comunicaciones B M A MA

M

[E.8] Difusión de software dañino A A A [E.21] Errores de mantenimiento / actualización de

programas (software) M A

[A.15] Modificación deliberada de la información A A A A A M

[A.18] Destrucción de información M A A

[A.19] Divulgación de información M A

19 SERVIDOR DE DESARROLLO SW

[E.20] Vulnerabilidades de los programas (software) M A A [E.21] Errores de mantenimiento / actualización de

programas (software) B A A

M

[A.11] Acceso no autorizado B M A MA

M

20 SERVIDOR DE VIRTUALIZACIÓN

[I.1] Fuego B MA A A A M

[I.2] Daños por agua B MA A A A M

[I.*] Desastres industriales B A A

[E.20] Vulnerabilidades de los programas (software) B A [E.21] Errores de mantenimiento / actualización de

programas (software) M A A

43

[E.23] Errores de mantenimiento / actualización de equipos (hardware) M A

[A.11] Acceso no autorizado B A A

21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones B A A

[E.21] Errores de mantenimiento / actualización de programas (software) B A

Hardware

22 EQUIPOS DE COMPUTO

[I.1] Fuego MB A A

[I.2] Daños por agua MB M MA

[I.*] Desastres industriales MB M M

[I.5] Avería de origen físico o lógico MB MA MA

23 IMPRESORAS

[I.1] Fuego MB A M

[I.2] Daños por agua MB MA M

[I.*] Desastres industriales MB M B

[I.5] Avería de origen físico o lógico MB M M

24 ESCANER

[I.1] Fuego MB A A

[I.2] Daños por agua MB M M


[I.5] Avería de origen físico o lógico MB A A

25 ACCESS POINT

[I.1] Fuego MB M M

[I.2] Daños por agua B M M

[I.*] Desastres industriales B M B

[I.5] Avería de origen físico o lógico B M M

44

[E.4] Errores de configuración B A A

26 ANTISPAM

[I.1] Fuego MB MA MA


[I.*] Desastres industriales MB MA MA


[E.4] Errores de configuración B M M

27 UTM SERGURIDAD PERIMETRAL

[I.1] Fuego MB MA M

[I.2] Daños por agua MB M B

[I.*] Desastres industriales MB MA M

[I.5] Avería de origen físico o lógico MB A A

[E.4] Errores de configuración M M MA

28 SERVIDORES FÍSICOS

[I.1] Fuego MB MA M

[I.2] Daños por agua MB MA MA

[I.*] Desastres industriales MB MA A


[E.4] Errores de configuración M M M

29 SISTEMA DE AIRE ACONDICIONADO

[I.1] Fuego B M B

[I.2] Daños por agua B M M

[I.*] Desastres industriales B A A

M A

[I.5] Avería de origen físico o lógico B MA MA

[E.4] Errores de configuración M M M

M

30 SISTEMA DE [I.1] Fuego MB MA MA

45

ALMACENAMIENTO [I.2] Daños por agua MB A A


M


M

[E.4] Errores de configuración M A A

A


31 SWITCH

[I.1] Fuego MB M M

[I.2] Daños por agua B M B



[E.4] Errores de configuración B M M

[A.4] Manipulación de la configuración M M M

[A.11] Acceso no autorizado M A M

32 ROUTER

[I.1] Fuego MB M M

[I.2] Daños por agua B M B



[E.4] Errores de configuración M MA MA


33 SISTEMA DE BACKUP


[I.2] Daños por agua MB A A


[I.5] Avería de origen físico o lógico B M M

46

[E.4] Errores de configuración M A A


34 RED TELEFÓNICA

[I.1] Fuego MB M M

B


B


B

[I.5] Avería de origen físico o lógico MB MA A

35 RED DIGITAL


[I.2] Daños por agua B MA MA


B


B

36 WI-FI

[I.1] Fuego MB M M

B


B


B


B

37 RED LAN

[I.1] Fuego MB MA A

[I.2] Daños por agua MB MA MA



B

38 INTERNET

[I.1] Fuego MB M M

B


B


B


B

47

39 RED METROPOLITANA

[I.1] Fuego MB M M

B

[I.2] Daños por agua MB MA A


[I.5] Avería de origen físico o lógico MB MA MA


40 CD

[E.15] Alteración accidental de la información B B MB

MB

[E.18] Destrucción de información M B MB

MB

[E.19] Fugas de información A MB MB

[A.19] Divulgación de información M B M

B

41 DVD

[E.15] Alteración accidental de la información B B MB

MB

[E.18] Destrucción de información M B MB

MB

[E.19] Fugas de información A MB MB

[A.19] Divulgación de información M B M

B

42 MEMORIAS USB

[E.15] Alteración accidental de la información M B MB

MB

[E.18] Destrucción de información A B MB

MB

[E.19] Fugas de información M MB MB

[A.19] Divulgación de información A B M

B

43 DISCOS DUROS EXTRAIBLES

[E.15] Alteración accidental de la información M B MB

MB

[E.18] Destrucción de información A B MB

MB

[E.19] Fugas de información M MB MB

[A.19] Divulgación de información A B M

B


48

44 CABLEADO

[I.11] Emanaciones electromagnéticas B A A

[I.1] Fuego B M A

[I.2] Daños por agua B MB MB

[I.7] Condiciones inadecuadas de temperatura o humedad B MA MA

A

[I.11] Emanaciones electromagnéticas B M M

[I.*] Desastres industriales MB A A

[A.25] Robo MB A A

M

45 PLANTA ELECTRICA

[I.1] Fuego MB MB MB

MB


[I.9] Interrupción de otros servicios y suministros esenciales B M A

[I.*] Desastres industriales MB MB MB

[A.25] Robo MB MA MA

A

46 MOBILIARIO

[I.1] Fuego MB M M



M

[A.25] Robo MB MB MB

MB

47 SISTEMA DE VIGILANCIA

[I.1] Fuego MB A A

[I.2] Daños por agua MB M A



A

48 UPS [I.1] Fuego MB M M


49


M

[A.25] Robo M MB MB

MB

49 FUENTES DE ALIMENTACIÓN

[I.1] Fuego MB A A

[I.2] Daños por agua MB M A


[A.25] Robo MB M A

A

50 FIBRA OPTICA

[I.1] Fuego MB A A


[I.7] Condiciones inadecuadas de temperatura o humedad MB M A



A

51 OTROS EQUIPOS AUXILIARES

[I.1] Fuego MB M M



M


MB

Instalaciones

52 EDIFICIO

[I.1] Fuego B MB B

[I.2] Daños por agua B B MB

[I.*] Desastres industriales B MB MB

[A.27] Ocupación enemiga B MB B

53 SEDE [I.1] Fuego B B MB

[I.2] Daños por agua B MB MB

50

[I.*] Desastres industriales B MB B

[A.27] Ocupación enemiga B B MB

54 VEHICULO

[I.1] Fuego B MB B


[I.*] Desastres industriales B MB MB

Personal

55 JEFE AREA FINANCIERO MB

A

MB

A

56 MANTENIMIENTO DE BASE DE DATOS

MB

A

MB

M

57 MANTENIMIENTO DE EQUIPOS MB

A

MB

A

58 JEFE DEL AREA DE CONTABILIDAD

MB

A

MB

A

59 JEFE DEL AREA DE LOGISTICA MB

A

MB

A

60 JEFE DEL AREA OPERATIVA MB

M

MB

A

61 JEFE DEL AREA DE SISTEMAS MB

A

MB

A

51

ANEXO D – Impacto Potencial

Tabla 3. Impacto Potencial Fuente propia

Impacto Potencial


Datos Información

1 COPIA DE RESPALDO. [E.1] Errores de los usuarios M B

[E.2] Errores del administrador MA M M


[A.4] Manipulación de la configuración MA M


[A.11] Acceso no autorizado MA MA M

3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MA MA M


4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) M B

[E.21] Errores de mantenimiento / actualización de programas (software) A A MA M

Servicios Internos

[A.5] Suplantación de la identidad del usuario A A M

5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico A M


[I.9] Interrupción de otros servicios y suministros esenciales A B

[A.7] Uso no previsto MA B

6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios A A

[E.2] Errores del administrador A A

52


[I.9] Interrupción de otros servicios y suministros esenciales A

7 SERVICIO DE MANTENIMIENTO [E.7] Deficiencias en la organización A M

[E.21] Errores de mantenimiento / actualización de programas (software) MA M M

[E.23] Errores de mantenimiento / actualización de equipos (hardware) M B

[E.28] Indisponibilidad del personal MA M

8 ACCESO BIOMETRICO [I.1] Fuego M M

[I.2] Daños por agua A A M

[I.*] Desastres industriales M A M M

[A.5] Suplantación de la identidad del usuario M M


9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico MA MA MA M

[E.15] Alteración accidental de la información MA MA A

[E.21] Errores de mantenimiento / actualización de programas (software) MA

[A.5] Suplantación de la identidad del usuario A MA A A M

10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico MA MA

[E.15] Alteración accidental de la información MA

[E.21] Errores de mantenimiento / actualización de programas (software) A MA MA M

[A.5] Suplantación de la identidad del usuario MA A A M

11 PORTAL WEB DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico A A A A M

[E.15] Alteración accidental de la información A

53


[A.5] Suplantación de la identidad del usuario A A A A M

[A.24] Denegación de servicio M M M

12 SISTEMA OPERATIVO [E.1] Errores de los usuarios M M

[E.8] Difusión de software dañino A A A A M

[E.20] Vulnerabilidades de los programas (software) A A


13 SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico MA MA

[E.15] Alteración accidental de la información MA

[E.21] Errores de mantenimiento / actualización de programas (software) MA MA A M

14 OFIMATICA [E.21] Errores de mantenimiento / actualización de programas (software) MA MA

[E.1] Errores de los usuarios MA

15 ANTIVIRUS [E.8] Difusión de software dañino MA

[E.20] Vulnerabilidades de los programas (software) MA MA A M

[E.21] Errores de mantenimiento / actualización de programas (software) MA MA

16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador MA

[E.21] Errores de mantenimiento / actualización de programas (software) A A MA A

[A.5] Suplantación de la identidad del usuario MA A A MA A

[A.11] Acceso no autorizado MA A MA

54

17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones MA MA A A A



[A.5] Suplantación de la identidad del usuario MA MA


18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones A MA A M


[E.21] Errores de mantenimiento / actualización de programas (software) MA

[A.15] Modificación deliberada de la información MA MA A A M

[A.18] Destrucción de información MA MA

[A.19] Divulgación de información MA

19 SERVIDOR DE DESARROLLO SW [E.20] Vulnerabilidades de los programas (software) A A

[E.21] Errores de mantenimiento / actualización de programas (software) A A M

[A.11] Acceso no autorizado M A MA M

20 SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego MA MA MA A A

[I.2] Daños por agua MA MA A A A

[I.*] Desastres industriales MA MA

[E.20] Vulnerabilidades de los programas (software) MA

[E.21] Errores de mantenimiento / actualización de programas (software) MA MA

[E.23] Errores de mantenimiento / actualización de equipos (hardware) MA

[A.11] Acceso no autorizado MA MA

55

21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones M A


Hardware

22 EQUIPOS DE COMPUTO [I.1] Fuego A A

[I.2] Daños por agua M A

[I.*] Desastres industriales M M

[I.5] Avería de origen físico o lógico A A

23 IMPRESORAS [I.1] Fuego A M

[I.2] Daños por agua A M

[I.*] Desastres industriales M B

[I.5] Avería de origen físico o lógico M M

24 ESCANER [I.1] Fuego A M

[I.2] Daños por agua M B


[I.5] Avería de origen físico o lógico A M

25 ACCESS POINT [I.1] Fuego M M

[I.2] Daños por agua M M



[E.4] Errores de configuración A A

26 ANTISPAM [I.1] Fuego MA MA

[I.2] Daños por agua A A


[I.5] Avería de origen físico o lógico MA MA


27 UTM SERGURIDAD PERIMETRAL [I.1] Fuego MA A

56

[I.2] Daños por agua A M

[I.*] Desastres industriales MA A


[E.4] Errores de configuración A MA

28 SERVIDORES FÍSICOS [I.1] Fuego A M


[I.*] Desastres industriales A A


[E.4] Errores de configuración M M

29 SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego A M


[I.*] Desastres industriales MA MA M A


[E.4] Errores de configuración A A M

30 SISTEMA DE ALMACENAMIENTO [I.1] Fuego MA MA

[I.2] Daños por agua MA MA

[I.*] Desastres industriales A A M

[I.5] Avería de origen físico o lógico A A M

[E.4] Errores de configuración MA MA A

[A.11] Acceso no autorizado A A

31 SWITCH [I.1] Fuego M M





[A.4] Manipulación de la configuración M M

[A.11] Acceso no autorizado A M

32 ROUTER [I.1] Fuego M M

57




[E.4] Errores de configuración MA A

[A.11] Acceso no autorizado M M

33 SISTEMA DE BACKUP [I.1] Fuego MA MA


[I.*] Desastres industriales A A


[E.4] Errores de configuración MA MA


34 RED TELEFÓNICA [I.1] Fuego M M B

[I.2] Daños por agua M M B

[I.*] Desastres industriales M M B


35 RED DIGITAL [I.1] Fuego A A



[I.5] Avería de origen físico o lógico M M B

36 WI-FI [I.1] Fuego M M B

[I.2] Daños por agua M M B


[I.5] Avería de origen físico o lógico M M B

37 RED LAN [I.1] Fuego MA MA



[I.5] Avería de origen físico o lógico A A B

38 INTERNET [I.1] Fuego A A B

58

[I.2] Daños por agua A A B

[I.*] Desastres industriales A A B

[I.5] Avería de origen físico o lógico A A B

39 RED METROPOLITANA [I.1] Fuego A A B





40 CD [E.15] Alteración accidental de la información B MB MB

[E.18] Destrucción de información B MB MB

[E.19] Fugas de información MB MB

[A.19] Divulgación de información B B B

41 DVD [E.15] Alteración accidental de la información B MB MB




42 MEMORIAS USB [E.15] Alteración accidental de la información B MB MB




43 DISCOS DUROS EXTRAIBLES [E.15] Alteración accidental de la información B MB MB



[A.19] Divulgación de información B M


44 CABLEADO [I.11] Emanaciones electromagnéticas MA MA

[I.1] Fuego A MA

[I.2] Daños por agua B B

59

[I.7] Condiciones inadecuadas de temperatura o humedad MA MA

[I.11] Emanaciones electromagnéticas A A


[A.25] Robo MA MA M

45 PLANTA ELECTRICA [I.1] Fuego MB B MB

[I.2] Daños por agua A MA

[I.9] Interrupción de otros servicios y suministros esenciales M MA

[I.*] Desastres industriales MB B

[A.25] Robo A MA A

46 MOBILIARIO [I.1] Fuego B B


[I.*] Desastres industriales M M M


47 SISTEMA DE VIGILANCIA [I.1] Fuego MA MA


[I.*] Desastres industriales B B

[A.25] Robo MA A MA

48 UPS [I.1] Fuego M M


[I.*] Desastres industriales A A M


49 FUENTES DE ALIMENTACIÓN [I.1] Fuego MA MA



[A.25] Robo A MA A

50 FIBRA OPTICA [I.1] Fuego MA MA

60


[I.7] Condiciones inadecuadas de temperatura o humedad A MA


[A.25] Robo MA B A

51 OTROS EQUIPOS AUXILIARES [I.1] Fuego B B




Instalaciones

52 EDIFICIO [I.1] Fuego MB MB

[I.2] Daños por agua B MB

[I.*] Desastres industriales MB MB

[A.27] Ocupación enemiga MB B

53 SEDE [I.1] Fuego B MB

[I.2] Daños por agua MB MB


[A.27] Ocupación enemiga B MB

54 VEHICULO [I.1] Fuego MB B



Personal

55 JEFE AREA FINANCIERO A

A

56 MANTENIMIENTO DE BASE DE DATOS A

M

57 MANTENIMIENTO DE EQUIPOS A

A

61

58 JEFE DEL AREA DE CONTABILIDAD A

A

59 JEFE DEL AREA DE LOGISTICA A

A

60 JEFE DEL AREA OPERATIVA M

A

61 JEFE DEL AREA DE SISTEMAS A

ANEXO E – Riesgo Potencial

Tabla 4. Riesgo Potencial Fuente propia

Riesgo Potencial


1 COPIA DE RESPALDO. [E.1] Errores de los usuarios A M

[E.2] Errores del administrador A M M


[A.4] Manipulación de la configuración MA A


[A.11] Acceso no autorizado MA MA A

3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MA MA A

[A.11] Acceso no autorizado MA

4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) MA B

[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MA A

[A.5] Suplantación de la identidad del usuario MA MA A

5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico A MA

62

[I.8] Fallo de servicios de comunicaciones A MA

[I.9] Interrupción de otros servicios y suministros esenciales MA B

[A.7] Uso no previsto A B

6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MA MA

[E.2] Errores del administrador MA MA


[I.9] Interrupción de otros servicios y suministros esenciales MA

7 SERVICIO DE MANTENIMIENTO [E.7] Deficiencias en la organización A M

[E.21] Errores de mantenimiento / actualización de programas (software) A M M

[E.23] Errores de mantenimiento / actualización de equipos (hardware) MA B

[E.28] Indisponibilidad del personal A M

8 ACCESO BIOMETRICO [I.1] Fuego M M

[I.2] Daños por agua A A M

[I.*] Desastres industriales M A M M

[A.5] Suplantación de la identidad del usuario M M

9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico M M M B

[E.15] Alteración accidental de la información A A M


[A.5] Suplantación de la identidad del usuario A A A M M

10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico M M


63


[A.5] Suplantación de la identidad del usuario A MA M M

11 PORTAL WEB DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico M M MA M B



[A.5] Suplantación de la identidad del usuario M M M M B

[A.24] Denegación de servicio B B B

12 SISTEMA OPERATIVO [E.1] Errores de los usuarios B B

[E.8] Difusión de software dañino A A M A M

[E.20] Vulnerabilidades de los programas (software) M M


13 SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico A A

[E.15] Alteración accidental de la información MA MA


14 OFIMATICA [E.21] Errores de mantenimiento / actualización de programas (software) M M

[E.1] Errores de los usuarios M

15 ANTIVIRUS [E.8] Difusión de software dañino M

[E.20] Vulnerabilidades de los programas (software) M M M B

[E.21] Errores de mantenimiento / actualización de programas (software) M M

16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador A

64

[E.21] Errores de mantenimiento / actualización de programas (software) A A A A

[A.5] Suplantación de la identidad del usuario A A M A A


17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones A A M A A



[A.5] Suplantación de la identidad del usuario A A


18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones M M M B



[A.15] Modificación deliberada de la información MA MA MA MA A

[A.18] Destrucción de información A A

[A.19] Divulgación de información A

19 SERVIDOR DE DESARROLLO SW [E.20] Vulnerabilidades de los programas (software) A A

[E.21] Errores de mantenimiento / actualización de programas (software) M M B

[A.11] Acceso no autorizado B M M B

20 SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego M M M M M

[I.2] Daños por agua M M M M M


[E.20] Vulnerabilidades de los programas (software) M

[E.21] Errores de mantenimiento / actualización de programas (software) A A

65

[E.23] Errores de mantenimiento / actualización de equipos (hardware) A


21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones B M

[E.21] Errores de mantenimiento / actualización de programas (software) B

22 EQUIPOS DE COMPUTO [I.1] Fuego B B



[I.5] Avería de origen físico o lógico B B

23 IMPRESORAS [I.1] Fuego B B


[I.*] Desastres industriales B MB


24 ESCANER [I.1] Fuego B B


[I.*] Desastres industriales B MB


25 ACCESS POINT [I.1] Fuego B B





26 ANTISPAM [I.1] Fuego M M





66

27 UTM SERGURIDAD PERIMETRAL [I.1] Fuego M B





28 SERVIDORES FÍSICOS [I.1] Fuego B B





29 SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego M B


[I.*] Desastres industriales M A B M

[I.5] Avería de origen físico o lógico M A

[E.4] Errores de configuración A A M

30 SISTEMA DE ALMACENAMIENTO [I.1] Fuego M M


[I.*] Desastres industriales B B B

[I.5] Avería de origen físico o lógico B B B

[E.4] Errores de configuración A A A

[A.11] Acceso no autorizado A A

31 SWITCH [I.1] Fuego B B




[E.4] Errores de configuración B B

[A.4] Manipulación de la configuración M M

[A.11] Acceso no autorizado A M

67

32 ROUTER [I.1] Fuego B B






33 SISTEMA DE BACKUP [I.1] Fuego M M



[I.5] Avería de origen físico o lógico A M


34 RED TELEFÓNICA [I.1] Fuego B B MB


[I.*] Desastres industriales B B MB


35 RED DIGITAL [I.1] Fuego B B

[I.2] Daños por agua B M


[I.5] Avería de origen físico o lógico B B MB

36 WI-FI [I.1] Fuego B B MB




37 RED LAN [I.1] Fuego M M




38 INTERNET [I.1] Fuego B B MB

68




39 RED METROPOLITANA [I.1] Fuego B B MB




40 CD [E.15] Alteración accidental de la información B MB MB


[E.19] Fugas de información B B


41 DVD [E.15] Alteración accidental de la información B MB MB


[E.19] Fugas de información B B


42 MEMORIAS USB [E.15] Alteración accidental de la información B MB MB

[E.18] Destrucción de información M B B


[A.19] Divulgación de información M M M

43 DISCOS DUROS EXTRAIBLES [E.15] Alteración accidental de la información B MB MB

[E.18] Destrucción de información M B B


[A.19] Divulgación de información M A

44 CABLEADO [I.11] Emanaciones electromagnéticas M M

[I.1] Fuego M M


[I.7] Condiciones inadecuadas de temperatura o humedad M M

69

[I.11] Emanaciones electromagnéticas M M


[A.25] Robo M M MB

45 PLANTA ELECTRICA [I.1] Fuego M MB MB


[I.9] Interrupción de otros servicios y suministros esenciales B M


[A.25] Robo B M B

46 MOBILIARIO [I.1] Fuego B MB




47 SISTEMA DE VIGILANCIA [I.1] Fuego M M



[A.25] Robo M B M

48 UPS [I.1] Fuego B B




49 FUENTES DE ALIMENTACIÓN [I.1] Fuego M M



[A.25] Robo B M B

50 FIBRA OPTICA [I.1] Fuego M M


70

[I.7] Condiciones inadecuadas de temperatura o humedad B M


[A.25] Robo M MB B

51 OTROS EQUIPOS AUXILIARES [I.1] Fuego MB MB




52 EDIFICIO [I.1] Fuego MB MB



[A.27] Ocupación enemiga MB B

53 SEDE [I.1] Fuego B MB



[A.27] Ocupación enemiga B MB

54 VEHICULO [I.1] Fuego MB B



55 JEFE AREA FINANCIERO B

B

56 MANTENIMIENTO DE BASE DE DATOS B

B

57 MANTENIMIENTO DE EQUIPOS B

B

58 JEFE DEL AREA DE CONTABILIDAD B

B

59 JEFE DEL AREA DE LOGISTICA B

71

B

60 JEFE DEL AREA OPERATIVA B

B

61 JEFE DEL AREA DE SISTEMAS B

B

ANEXO F – Impacto Residual

Tabla 6. Impacto Residual Fuente propia


Datos Informacion

1 COPIA DE RESPALDO. [E.1] Errores de los usuarios B B B

[E.2] Errores del administrador MB B B

2 DATOS ACCESO SERVIDORES [E.7] Deficiencias en la organización MB MB B

[A.4] Manipulación de la configuración MB B

[A.5] Suplantación de la identidad del usuario MB

[A.11] Acceso no autorizado MB MB B

3 DATOS ACCESO USUARIOS [A.5] Suplantación de la identidad del usuario MB MB B

[A.11] Acceso no autorizado MB

4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) MB B

[E.21] Errores de mantenimiento / actualización de programas (software) MB MB MB B

[A.5] Suplantación de la identidad del usuario MB MB B

Servicios Internos

5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico MB B

[I.8] Fallo de servicios de comunicaciones MB B

72

[I.9] Interrupción de otros servicios y suministros esenciales MB B

[A.7] Uso no previsto MB B

6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MB

[E.2] Errores del administrador MB

[I.8] Fallo de servicios de comunicaciones MB B


7 SERVICIO DE MANTENIMIENTO [E.7] Deficiencias en la organización MB B

[E.21] Errores de mantenimiento / actualización de programas (software) MB B B

[E.23] Errores de mantenimiento / actualización de equipos (hardware) MB B

[E.28] Indisponibilidad del personal MB B

8 ACCESO BIOMETRICO [I.1] Fuego MB B

[I.2] Daños por agua MB MB B

[I.*] Desastres industriales MB MB B B

[A.5] Suplantación de la identidad del usuario MB B


9 ERP ADMINISTRATIVO Y FINANCIERO [I.5] Avería de origen físico o lógico MB MB MB B

[E.15] Alteración accidental de la información MB MB MB


[A.5] Suplantación de la identidad del usuario MB MB MB MB B

10 SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES [I.5] Avería de origen físico o lógico MB MB


73


[A.5] Suplantación de la identidad del usuario BM MB MB B

11 PORTAL WEB DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico MB MB MB MB B



[A.5] Suplantación de la identidad del usuario MB MB MB MB B

[A.24] Denegación de servicio B B B

12 SISTEMA OPERATIVO [E.1] Errores de los usuarios B B

[E.8] Difusión de software dañino MB MB MB MB B

[E.20] Vulnerabilidades de los programas (software) MB MB


13 SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN [I.5] Avería de origen físico o lógico MB MB



14 OFIMATICA [E.21] Errores de mantenimiento / actualización de programas (software) MB MB

[E.1] Errores de los usuarios MB

15 ANTIVIRUS [E.8] Difusión de software dañino MB

[E.20] Vulnerabilidades de los programas (software) MB MB MB B

[E.21] Errores de mantenimiento / actualización de programas (software) MB MB

16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador MB

74



[A.11] Acceso no autorizado MB MB MB

17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones MB MB MB MB MB


[A.4] Manipulación de la configuración MB

[A.5] Suplantación de la identidad del usuario MB MB

[A.14] Interceptación de información (escucha) MB

18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones MB MB MB B



[A.15] Modificación deliberada de la información MB MB MB MB B

[A.18] Destrucción de información MB MB

[A.19] Divulgación de información MB

19 SERVIDOR DE DESARROLLO SW [E.20] Vulnerabilidades de los programas (software) MB MB

[E.21] Errores de mantenimiento / actualización de programas (software) MB MB B

[A.11] Acceso no autorizado B MB MB B

20 SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego MB MB MB MB MB

[I.2] Daños por agua MB MB MB MB MB


[E.20] Vulnerabilidades de los programas (software) MB

[E.21] Errores de mantenimiento / actualización de programas (software) MB MB

[E.23] Errores de mantenimiento / actualización de equipos (hardware) MB

75

[A.11] Acceso no autorizado MB MB

21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones B MB

[E.21] Errores de mantenimiento / actualización de programas (software) B

Hardware

22 EQUIPOS DE COMPUTO [I.1] Fuego MB MB



[I.5] Avería de origen físico o lógico MB MB

23 IMPRESORAS [I.1] Fuego MB B

[I.2] Daños por agua MB B



24 ESCANER [I.1] Fuego MB B



[I.5] Avería de origen físico o lógico MB B

25 ACCESS POINT [I.1] Fuego B B




[E.4] Errores de configuración MB MB

26 ANTISPAM [I.1] Fuego MB MB





27 UTM SERGURIDAD PERIMETRAL [I.1] Fuego MB MB

76

[I.2] Daños por agua MB B




28 SERVIDORES FÍSICOS [I.1] Fuego MB B





29 SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego MB B




[E.4] Errores de configuración MB MB B

30 SISTEMA DE ALMACENAMIENTO [I.1] Fuego MB MB


[I.*] Desastres industriales MB MB B

[I.5] Avería de origen físico o lógico MB MB B

[E.4] Errores de configuración MB MB MB

[A.11] Acceso no autorizado MB MB

31 SWITCH [I.1] Fuego B B





[A.4] Manipulación de la configuración B B

[A.11] Acceso no autorizado MB B

32 ROUTER [I.1] Fuego B B

77





[A.11] Acceso no autorizado B B

33 SISTEMA DE BACKUP [I.1] Fuego MB MB






34 RED TELEFÓNICA [I.1] Fuego B B B

[I.2] Daños por agua B B B



35 RED DIGITAL [I.1] Fuego MB MB




36 WI-FI [I.1] Fuego B B B

[I.2] Daños por agua B B B



37 RED LAN [I.1] Fuego MB MB



[I.5] Avería de origen físico o lógico B MB B

38 INTERNET [I.1] Fuego B MB B

78

[I.2] Daños por agua B MB B

[I.*] Desastres industriales B MB B

[I.5] Avería de origen físico o lógico B MB B

39 RED METROPOLITANA [I.1] Fuego B MB B





40 CD [E.15] Alteración accidental de la información B M M

[E.18] Destrucción de información B M M

[E.19] Fugas de información M M


41 DVD [E.15] Alteración accidental de la información B M M




42 MEMORIAS USB [E.15] Alteración accidental de la información B M M




43 DISCOS DUROS EXTRAIBLES [E.15] Alteración accidental de la información B M M



[A.19] Divulgación de información B B


44 CABLEADO [I.11] Emanaciones electromagnéticas MB MB

[I.1] Fuego MB MB


79

[I.7] Condiciones inadecuadas de temperatura o humedad MB MB

[I.11] Emanaciones electromagnéticas MB MB


[A.25] Robo MB MB B

45 PLANTA ELECTRICA [I.1] Fuego M B M


[I.9] Interrupción de otros servicios y suministros esenciales B MB



46 MOBILIARIO [I.1] Fuego B B



[A.25] Robo M M MB

47 SISTEMA DE VIGILANCIA [I.1] Fuego MB MB




48 UPS [I.1] Fuego B B


[I.*] Desastres industriales MB MB B

[A.25] Robo M M M

49 FUENTES DE ALIMENTACIÓN [I.1] Fuego MB MB




50 FIBRA OPTICA [I.1] Fuego MB MB

80


[I.7] Condiciones inadecuadas de temperatura o humedad MB MB


[A.25] Robo MB B MB

51 OTROS EQUIPOS AUXILIARES [I.1] Fuego B B



[A.25] Robo M M M

Instalaciones

52 EDIFICIO [I.1] Fuego M M



[A.27] Ocupación enemiga M B

53 SEDE [I.1] Fuego B M



[A.27] Ocupación enemiga B M

54 VEHICULO [I.1] Fuego M B



Personal

55 JEFE AREA FINANCIERO MB

MB

56 MANTENIMIENTO DE BASE DE DATOS MB

B

57 MANTENIMIENTO DE EQUIPOS MB

81

MB

58 JEFE DEL AREA DE CONTABILIDAD MB

MB

59 JEFE DEL AREA DE LOGISTICA MB

MB

60 JEFE DEL AREA OPERATIVA B

MB

61 JEFE DEL AREA DE SISTEMAS MB

ANEXO G - Riesgo residual

Tabla 7. Riesgo Residual

Fuente propia

Impacto Residual

Id Activo Amenaza

Eficacia. Real (Situación

Actual) Eficacia.Perfecta (Objetivo Final )

Frecuencia Residual [D] [I] [C] [A] [T]

Datos Informacion M (50%) MA (100%) M (50%)

1 COPIA DE RESPALDO. [E.1] Errores de los usuarios M MA M B B B

[E.2] Errores del administrador M MA M MB B B

2 DATOS ACCESO SERVIDORES

[E.7] Deficiencias en la organización M MA M MB MB B

[A.4] Manipulación de la configuración M MA M MB B

[A.5] Suplantación de la identidad del usuario M MA M MB

82

[A.11] Acceso no autorizado M MA M MB MB B

3 DATOS ACCESO USUARIOS

[A.5] Suplantación de la identidad del usuario M MA M MB MB B

[A.11] Acceso no autorizado M MA M MB

4 CODIGOS FUENTE SW [E.20] Vulnerabilidades de los programas (software) M MA M MB MB MB

[E.21] Errores de mantenimiento / actualización de programas (software) M MA M MB MB MB MB B

[A.5] Suplantación de la identidad del usuario M MA M MB MB MB B

Servicios Internos MA (95%) MA (100%) MB (5%)

5 SERVICIO DE INTERNET [I.6] Corte del suministro eléctrico MA MA MB MB MB

[I.8] Fallo de servicios de comunicaciones MA MA MB MB MB

[I.9] Interrupción de otros servicios y suministros esenciales MA MA MB MB MB

[A.7] Uso no previsto MA MA MB MB MB

6 SERVICIO DE TELEFONIA [E.1] Errores de los usuarios MA MA MB MB

[E.2] Errores del administrador MA MA MB MB

[I.8] Fallo de servicios de comunicaciones MA MA MB MB MB

[I.9] Interrupción de otros servicios y suministros esenciales MA MA MB

7 SERVICIO DE MANTENIMIENTO

[E.7] Deficiencias en la organización MA MA MB MB MB

[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB MB

[E.23] Errores de mantenimiento / actualización de equipos (hardware) MA MA MB MB MB

83

[E.28] Indisponibilidad del personal MA MA MB MB MB

8 ACCESO BIOMETRICO [I.1] Fuego MA MA MB MB MB

[I.2] Daños por agua MA MA MB MB MB MB

[I.*] Desastres industriales MA MA MB MB MB MB MB

[A.5] Suplantación de la identidad del usuario MA MA MB MB MB

Software Aplicaciones Informáticas L5 (100%) L5 (100%) MB (0%)

9 ERP ADMINISTRATIVO Y FINANCIERO

[I.5] Avería de origen físico o lógico MA MA MB MB MB MB MB

[E.15] Alteración accidental de la información MA MA MB MB MB MB

[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB

[A.5] Suplantación de la identidad del usuario MA MA MB MB MB MB MB MB

10

SOFTWARE ADMINISTRACIÓN - RELACIÓN DE CLIENTES

[I.5] Avería de origen físico o lógico MA MA MB MB MB

[E.15] Alteración accidental de la información MA MA MB MB

[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB MB MB


11 PORTAL WEB DE LA ORGANIZACIÓN

[I.5] Avería de origen físico o lógico MA MA MB MB MB MB MB MB

[E.15] Alteración accidental de la información MA MA MB MB MB

[E.21] Errores de mantenimiento / actualización de programas MA MA MB MB

84

(software)


[A.24] Denegación de servicio MA MA MB MB MB MB

12 SISTEMA OPERATIVO [E.1] Errores de los usuarios MA MA MB MB MB

[E.8] Difusión de software dañino MA MA MB MB MB MB MB MB

[E.20] Vulnerabilidades de los programas (software) MA MA MB MB MB


13

SOFTWARE PROPIETARIOS DE LA ORGANIZACIÓN

[I.5] Avería de origen físico o lógico MA MA MB MB MB

[E.15] Alteración accidental de la información MA MA MB MB


14 OFIMATICA


[E.1] Errores de los usuarios MA MA MB MB

15 ANTIVIRUS [E.8] Difusión de software dañino MA MA MB MB

[E.20] Vulnerabilidades de los programas (software) MA MA MB MB MB MB MB

[E.21] Errores de mantenimiento / actualización de programas (software) MA MA MB MB MB

16 SERVIDOR BASE DE DATOS [E.2] Errores del administrador MA MA MB MB

85



[A.11] Acceso no autorizado MA MA MB MB MB MB

17 SERVIDOR DE CORREO [I.8] Fallo de servicios de comunicaciones MA MA MB MB MB MB MB MB

[E.8] Difusión de software dañino MA MA MB MB MB

[A.4] Manipulación de la configuración MA MA MB MB

[A.5] Suplantación de la identidad del usuario MA MA MB MB MB

[A.14] Interceptación de información (escucha) MA MA MB MB

18 SERVIDOR DE ARCHIVOS [I.8] Fallo de servicios de comunicaciones MA MA MB MB MB MB MB

[E.8] Difusión de software dañino MA MA MB MB MB


[A.15] Modificación deliberada de la información MA MA MB MB MB MB MB MB

[A.18] Destrucción de información MA MA MB MB MB

[A.19] Divulgación de información MA MA MB MB

19 SERVIDOR DE DESARROLLO SW

[E.20] Vulnerabilidades de los programas (software) MA MA MB MB MB


[A.11] Acceso no autorizado MA MA MB MB MB MB MB

20 SERVIDOR DE VIRTUALIZACIÓN [I.1] Fuego MA MA MB MB MB MB MB MB

86

[I.2] Daños por agua MA MA MB MB MB MB MB MB

[I.*] Desastres industriales MA MA MB MB MB

[E.20] Vulnerabilidades de los programas (software) MA MA MB MB


[E.23] Errores de mantenimiento / actualización de equipos (hardware) MA MA MB MB

[A.11] Acceso no autorizado MA MA MB MB MB

21 OTROS SOFTWARE [I.8] Fallo de servicios de comunicaciones MA MA MB MB MB


Hardware M (50%) A (90%) M (40%)

22 EQUIPOS DE COMPUTO [I.1] Fuego M A M MB MB

[I.2] Daños por agua M A M B MB

[I.*] Desastres industriales M A M B B

[I.5] Avería de origen físico o lógico M A M MB MB

23 IMPRESORAS [I.1] Fuego M A M MB B

[I.2] Daños por agua M A M MB B

[I.*] Desastres industriales M A M MB B

[I.5] Avería de origen físico o lógico M A M B

24 ESCANER [I.1] Fuego M A M B B

[I.2] Daños por agua M A M B B


[I.5] Avería de origen físico o lógico M A M MB B

87

25 ACCESS POINT [I.1] Fuego M A M B B



[I.5] Avería de origen físico o lógico M A M B B

[E.4] Errores de configuración M A M MB MB

26 ANTISPAM [I.1] Fuego M A M MB MB

[I.2] Daños por agua M A M MB MB

[I.*] Desastres industriales M A M MB MB



27 UTM SERGURIDAD PERIMETRAL [I.1] Fuego M A M MB MB

[I.2] Daños por agua M A M MB B




28 SERVIDORES FÍSICOS [I.1] Fuego M A M MB B




[E.4] Errores de configuración M A M B B

29 SISTEMA DE AIRE ACONDICIONADO [I.1] Fuego M A M MB B


[I.*] Desastres industriales M A M MB MB MB


88

[E.4] Errores de configuración M A M MB MB B

30 SISTEMA DE ALMACENAMIENTO [I.1] Fuego M A M MB MB


[I.*] Desastres industriales M A M MB MB B

[I.5] Avería de origen físico o lógico M A M MB MB B

[E.4] Errores de configuración M A M MB MB MB

[A.11] Acceso no autorizado M A M MB MB

31 SWITCH [I.1] Fuego M A M B B




[E.4] Errores de configuración M A M B B

[A.4] Manipulación de la configuración M A M B B

[A.11] Acceso no autorizado M A M MB B

32 ROUTER [I.1] Fuego M A M B B



[I.5] Avería de origen físico o lógico M A M MB B

[E.4] Errores de configuración M A M MB B

[A.11] Acceso no autorizado M A M B B

33 SISTEMA DE BACKUP [I.1] Fuego M A M MB MB




89


Redes de Comunicaciones M (50%) A (95%) M (45%)

34 RED TELEFÓNICA [I.1] Fuego M A M B B B

[I.2] Daños por agua M A M B B B

[I.*] Desastres industriales M A M B B B

[I.5] Avería de origen físico o lógico M A M MB M

35 RED DIGITAL [I.1] Fuego M A M MB M

[I.2] Daños por agua M A M MB M


[I.5] Avería de origen físico o lógico M A M B B B

36 WI-FI [I.1] Fuego M A M B B B

[I.2] Daños por agua M A M B B B


[I.5] Avería de origen físico o lógico M A M B B B

37 RED LAN [I.1] Fuego M A M MB MB



[I.5] Avería de origen físico o lógico M A M B MB B

38 INTERNET [I.1] Fuego M A M B MB B

[I.2] Daños por agua M A M B MB B

[I.*] Desastres industriales M A M B MB B

[I.5] Avería de origen físico o lógico M A M B MB B

39 RED METROPOLITANA [I.1] Fuego M A M B MB B



90


Soportes de Información A (90%) MA (100%) B (10%)

40 CD [E.15] Alteración accidental de la información A MA B B B B

[E.18] Destrucción de información A MA B B B B

[E.19] Fugas de información A MA B B B

[A.19] Divulgación de información A MA B B B B

41 DVD [E.15] Alteración accidental de la información A MA B B B B




42 MEMORIAS USB [E.15] Alteración accidental de la información A MA B B B B

[E.18] Destrucción de información A MA B B B



43 DISCOS DUROS EXTRAIBLES

[E.15] Alteración accidental de la información A MA B B B B



[A.19] Divulgación de información A MA B B B

Equipamiento Auxiliar A (90%) MA (95%) MB (5%)

44 CABLEADO [I.11] Emanaciones electromagnéticas A MA MB MB MB

[I.1] Fuego A MA MB MB MB

[I.2] Daños por agua A MA MB B MB

[I.7] Condiciones inadecuadas de temperatura o humedad A MA MB MB MB

91

[I.11] Emanaciones electromagnéticas A MA MB MB MB

[I.*] Desastres industriales A MA MB MB MB

[A.25] Robo A MA MB MB MB MB

45 PLANTA ELECTRICA [I.1] Fuego A MA MB B MB MB

[I.2] Daños por agua A MA MB MB MB

[I.9] Interrupción de otros servicios y suministros esenciales A MA MB MB MB

[I.*] Desastres industriales A MA MB B MB


46 MOBILIARIO [I.1] Fuego A MA MB MB MB


[I.*] Desastres industriales A MA MB MB MB MB

[A.25] Robo A MA MB B MB MB

47 SISTEMA DE VIGILANCIA [I.1] Fuego A MA MB MB MB




48 UPS [I.1] Fuego A MA MB MB MB



[A.25] Robo A MA MB B MB MB

49 FUENTES DE ALIMENTACIÓN [I.1] Fuego A MA MB MB MB




50 FIBRA OPTICA [I.1] Fuego A MA MB MB MB


92

[I.7] Condiciones inadecuadas de temperatura o humedad A MA MB MB MB



51 OTROS EQUIPOS AUXILIARES [I.1] Fuego A MA MB MB MB



[A.25] Robo A MA MB MB B MB

Instalaciones MA (95%) MA (95%) MB (0%)

52 EDIFICIO [I.1] Fuego MA MA MB B B

[I.2] Daños por agua MA MA MB MB B

[I.*] Desastres industriales MA MA MB B B

[A.27] Ocupación enemiga MA MA MB B MB

53 SEDE [I.1] Fuego MA MA MB MB B

[I.2] Daños por agua MA MA MB B B

[I.*] Desastres industriales MA MA MB B MB

[A.27] Ocupación enemiga MA MA MB MB B

54 VEHICULO [I.1] Fuego MA MA MB B MB

[I.2] Daños por agua MA MA MB MB B

[I.*] Desastres industriales MA MA MB B B

Personal M (50%) MA (95%) M (45%)

55 JEFE AREA FINANCIERO M MA M MB

M MA MB

56 MANTENIMIENTO DE BASE DE DATOS M MA M MB

M MA B

57 MANTENIMIENTO DE EQUIPOS M MA M MB

93

M MA MB

58 JEFE DEL AREA DE CONTABILIDAD M MA M MB

M MA MB

59 JEFE DEL AREA DE LOGISTICA M MA M MB

M MA MB

60 JEFE DEL AREA OPERATIVA M MA M B

M MA MB

61 JEFE DEL AREA DE SISTEMAS M MA M MB

94

ANEXO H – ENTREVISTAS

Este fue el formato de entrevista. Contiene una serie de preguntas que fueron realizadas a cada uno de los miembros del equipo de trabajo de TrackSpia que utilizan en sus labores cotidianas elementos o recursos TI.

1. ¿Con qué frecuencia al mes realiza la actualización de su software de Antivirus?

2. ¿Cuáles servicios (correo, aplicaciones, video, etc.) o dispositivos tecnológicos (pc, teléfono, impresora, etc.), utiliza para realizar sus labores diarias? 3. ¿Ha presentado fallos en los servicios tecnológicos que utiliza para realizar sus labores? ¿Cuáles han sido esos servicios? y ¿De qué forma lo han afectado?

4. En caso que la pregunta anterior fuese afirmativa. ¿Cuánto ha sido el tiempo máximo de espera para que se restablezcan estos servicios?

5. Basado en la pregunta anterior. ¿Si alguno de los elementos mencionados no se encontrará disponible por algún fallo o pérdida, no lograría ejecutar sus tareas? ¿Sí o no? ¿Qué elementos?

6. ¿De acuerdo a su rol al interior de la organización, las tareas que realiza involucran la custodia de información que puede ser catalogada como sensible o de carácter confidencial?

7. ¿Conoce o aplica acciones para garantizar la confidencialidad de la información que tiene a su cargo? ¿Sí o no? ¿Cuáles?

8. ¿Conoce o sabe de la existencia de algún elemento humano o proceso, que promueva estrategias de seguridad para mantener la confidencialidad de la información que administra?

9. ¿La información que tiene a su cargo se encuentra disponible cuando usted la requiere?

10. ¿Utiliza medios de almacenamiento como: Discos Duros externos, USB, servicios de almacenamiento en la nube cuyo proveedor sea un tercero (google drive, One Drive, dropbox, etc.), que no hayan sido facilitados por la organización, y para almacenar información relacionada a sus tareas?

11. ¿Administra información que se relacione con sus tareas, que se encuentra en medios físicos (papel, A-Z, material de archivo)?

12. Si tiene que usar servicios informáticos para realizar sus tareas, ¿Estos servicios se encuentran restringidos mediante el uso de usuarios y contraseñas?

95

13. Si requiere más de una credencial para utilizar servicios informáticos relacionados con sus tareas, ¿Qué herramienta o como recuerda cada una de las cuentas de usuario y sus respectivas contraseñas?

14. ¿Comparte algún usuario y/o contraseña con personas de otras áreas? Si su respuesta es afirmativa. ¿Porque?

15. ¿Las credenciales que comparte tiene acceso a información confidencial?

16. ¿La persona o área con la que comparte las credenciales, está autorizada por la organización para acceder a dicha información?

17. Califique de 1 a 5 el servicio de soporte técnico prestado por el personal de mantenimiento y soporte de computadores.

18. ¿Se han presentado fallos en el suministro eléctrico? ¿Por cuánto tiempo? ¿Ha sido frecuente?

19. ¿Se han presentado fallos en el suministro telefónico? ¿Por cuánto tiempo? ¿Ha sido frecuente?

20. ¿El servicio de correo electrónico se encuentra disponible cuando usted la requiere?

21. ¿Ha tenido algún tipo de restricción de acceso a páginas de internet?

NOTA: La siguientes preguntas sólo aplican para el personal del área de tecnología.

22. ¿Utiliza algún repositorio para almacenar los cambios en los códigos fuente de los desarrollos realizados en la organización?

23. ¿Cuenta la organización con acceso biométrico? ¿Si es afirmativo dónde se encuentra ubicado?

24. ¿Utiliza aplicativos de computadora protegidos bajo licenciamiento de pago?

25. ¿La organización cuenta con servidores virtual izados?

26. ¿Se realiza afinamiento en las bases de datos? ¿Con qué periodicidad?

96

27. ¿Cuántas veces en el año se realiza mantenimiento al cableado estructurado de la organización?

28. ¿Para sus servidores, mantiene algún tipo de contrato por soporte técnico con el proveedor del sistema operativo?

29. ¿Los servicios tecnológicos (ERP, CRM, Servidor de archivos, servidor de impresión), utilizan políticas de seguridad basadas en roles y permisos?

30. ¿Qué medidas de protección de la información se manejan en la organización (certificados digitales, firma, ofuscación de documentos)?

La siguiente entrevista fue realizada al responsable de la dirección de tecnología de TrackSpia, las preguntas contenidas, fueron formuladas con el fin de recolectar información pertinente al estado actual de cada uno de los recursos de informáticos.

1. ¿Con qué frecuencia al mes realiza la actualización de su software de Antivirus?

Respuesta Gerente: Existe una política de seguridad interna del área de sistemas, en donde por dependencia se establecen horarios para realizar la actualización del antivirus. Los horarios han sido previamente acordados con los encargados de las restantes áreas con el fin de no obstaculizar sus labores. Por lo general estas actualizaciones se realizan en horas de la noche.

2. ¿Cuáles servicios (correo, aplicaciones, video, etc.) o dispositivos tecnológicos (pc, teléfono, impresora, etc.), utiliza para realizar sus labores diarias?

Respuesta Gerente: Servicios de: impresión, escáner, red, acceso a internet, telefonía, streaming, correo electrónico, CRM, ERP, servidor de archivos, office, medios de almacenamiento magnéticos (CD, DVD, USB).

3. ¿Ha presentado fallos en los servicios tecnológicos que utiliza para realizar sus labores? ¿Cuáles han sido esos servicios? y ¿De qué forma lo han afectado?

Respuesta Gerente: Si, en varios de los servicios nombrados en la pregunta anterior se ha reportado caídas por parte de los usuarios, claro está, que estos inconvenientes han sido resueltos con la mayor prontitud. La mayoría han sido solucionados por parte de la unidad de infraestructura. Mientras que los errores más específicos, como los errores en plataforma interna, han sido solucionados por la unidad de desarrollo.

97

4. En caso que la pregunta anterior fuese afirmativa. ¿Cuánto ha sido el tiempo máximo de espera para que se restablezcan estos servicios?

Respuesta Gerente: El plazo máximo para cubrir uno de los servicios caídos ha sido de 24 horas.

5. Basado en la pregunta anterior. ¿Si alguno de los elementos mencionados no se encontrará disponible por algún fallo o pérdida, no lograría ejecutar sus tareas? ¿Sí o no? ¿Qué elementos?

Respuesta Gerente: Si, en mi caso trabajo casi todo el tiempo con el correo electrónico. Por lo tanto, Si este servicio no se encuentra disponible por un largo periodo de tiempo, sería un gran inconveniente, no solo para mí, sino para cada uno de los empleados de la empresa.

6. ¿De acuerdo a su rol al interior de la organización, las tareas que realiza involucran la custodia de información que puede ser catalogada como sensible o de carácter confidencial?

Respuesta Gerente: Cada uno de los documentos, sean físicos o digitales y que pasan por mis manos o se encuentran sobre mi escritorio, son esenciales, y por lo tanto deben ser custodiados. El área de tecnología se encarga de almacenar y custodiar los documentos digitales en medios magnéticos que no se puedan alterar como CD, DVD.

7. ¿Conoce o aplica acciones para garantizar la confidencialidad de la información que tiene a su cargo? ¿Sí o no? ¿Cuáles?

Respuesta Gerente: En el área de tecnología recomendamos a las personas que. Sí es información en medios impresos: esta debe permanecer almacenada bajo llave, nunca se debe dejar ningún documento en el escritorio o sitio de trabajo, sin que se esté utilizando en ese momento. Por su parte, si es medio magnético, el acceso o uso de dicha información es accedida por credenciales como usuario y contraseña.

8. ¿Conoce o sabe de la existencia de algún elemento humano o proceso, que promueva estrategias de seguridad para mantener la confidencialidad de la información que administra?

Respuesta Gerente: Hasta el momento, no hay tal elemento o proceso, creo que este debería ser el objetivo de esta entrevista. Recoger e identificar los problemas que existen en TrackSpia y poder solucionarlos.

9. ¿La información que tiene a su cargo se encuentra disponible cuando usted la requiere?

98

Respuesta Gerente: Creo que tenemos falencias con la forma en la que almacenamos los archivos, no contamos con un sistema centralizado de almacenamiento de la información.

10. ¿Utiliza medios de almacenamiento como: Discos Duros externos, USB, servicios de almacenamiento en la nube cuyo proveedor sea un tercero (google drive, One Drive, dropbox, etc.), que no hayan sido facilitados por la organización, y para almacenar información relacionada a sus tareas?

Respuesta Gerente: Si, y en eso radica el problema que le nombraba en la pregunta anterior, todo se encuentra almacenado en medios magnéticos como CD, DVD y USB. Lo cual no garantiza que tengamos una cadena de custodia adecuada para esta información.

11. ¿Administra información que se relacione con sus tareas, que se encuentra en medios físicos (papel, A-Z, material de archivo)?

Respuesta Gerente: Si, esta información se encuentra almacenada en el sector de archivo de la documentación.

12. Si tiene que usar servicios informáticos para realizar sus tareas, ¿Estos servicios se encuentran restringidos mediante el uso de usuarios y contraseñas?

Respuesta Gerente: Si.

13. Si requiere más de una credencial para utilizar servicios informáticos relacionados con sus tareas, ¿Qué herramienta o como recuerda cada una de las cuentas de usuario y sus respectivas contraseñas?

Respuesta Gerente: No, a cada persona que es vinculada a la organización le son asignados los usuarios y contraseñas que requiere, pero no puedo asegurar que entre las personas no se compartan dicha información.

14. ¿Comparte algún usuario y/o contraseña con personas de otras áreas? Si su respuesta es afirmativa. ¿Porque?

Respuesta Gerente: No, como se le ocurre, de mi parte no. Como le digo no le puedo asegurar es si en otras áreas lo hacen. Aunque… yo me imaginaria que sí.

15. ¿Las credenciales que comparte tiene acceso a información confidencial?

Respuesta Gerente: Por supuesto, si creamos credenciales, es precisamente para garantizar que dicha información, no sea utilizada o accedida por quien no sea el responsable.

99

16. ¿La persona o área con la que comparte las credenciales, está autorizada por la organización para acceder a dicha información?

Respuesta Gerente: Como le vengo comentando, no se comparten contraseñas...

17. Califique de 1 a 5 el servicio de soporte técnico prestado por el personal de mantenimiento y soporte de computadores.

Respuesta Gerente: Creo que el servicio que prestamos ha sido óptimo, yo lo calificaría con un 4.5, mejor dicho 4, porque no dejan de existir inconformidades en el servicio por parte de los usuarios.

18. ¿Se han presentado fallos en el suministro eléctrico? ¿Por cuánto tiempo? ¿Ha sido frecuente?

Respuesta Gerente: Si se han presentado fallos, pero no han sido de manera frecuente. El máximo tiempo que recuerdo que falló el flujo eléctrico fue por una hora y condensa vino y arregló el inconveniente.

19. ¿Se han presentado fallos en el suministro telefónico? ¿Por cuánto tiempo? ¿Ha sido frecuente?

Respuesta Gerente: Si, cada vez que falla el internet o la electricidad.

20. ¿El servicio de correo electrónico se encuentra disponible cuando usted la requiere?

Respuesta Gerente: Al principio no. Pero, cuando incluimos el servicio de AntiSpam, las caídas bajaron dramáticamente y el servicio mejoró exponencialmente.

21. ¿Ha tenido algún tipo de restricción de acceso a páginas de internet?

Respuesta Gerente: Si, debido a que tenemos algunos servicios críticos, nació un requerimiento de restringir el uso del servicio de internet, por lo que adquirimos un UTM de seguridad perimetral.

NOTA: La siguientes preguntas sólo aplican para el personal del área de tecnología.

100

22. ¿Utiliza algún repositorio para almacenar los cambios en los códigos fuente de los desarrollos realizados en la organización?

Respuesta Gerente: Si, para los desarrollos utilizamos un repositorio de archivo Jit.

23. ¿Cuenta la organización con acceso biométrico? ¿Si es afirmativo dónde se encuentra ubicado?

Respuesta Gerente: Si, en el cuarto de equipos contamos con ese servicio.

24. ¿Utiliza aplicativos de computadora protegidos bajo licenciamiento de pago?

Respuesta Gerente: Si, el paquete de Office de Microsoft, Mónica que es nuestro ERP.

25. ¿La organización cuenta con servidores virtual izados?

Respuesta Gerente: Si, contamos con un servidor que utiliza VMware, allí están las máquinas virtuales de los servicios.

26. ¿Se realiza afinamiento en las bases de datos? ¿Con qué frecuencia?

Respuesta Gerente: Tenemos un servicio tercerizado que 3 veces al año realiza una visita a TrackSpia. En esas visitas se realiza el afinamiento pertinente.

27. ¿Cuántas veces en el año se realiza mantenimiento al cableado estructurado de la organización?

Respuesta Gerente: Desde que se realizó la reforma en el cableado estructurado (hace 5 años), no realizamos este tipo de mantenimiento. Nos encargamos de reemplazar los cables que están conectados entre el pc y el conector cada vez que se deterioran,

28. ¿Para sus servidores, mantiene algún tipo de contrato de soporte técnico, con el proveedor del sistema operativo?

Respuesta Gerente: No, no pagamos soporte en el caso del servidor Linux. Tenemos un servidor Windows, pero, no pagamos soporte.

29. ¿Los servicios tecnológicos (ERP, CRM, Servidor de archivos, servidor de impresión), utilizan políticas de seguridad basadas en roles y permisos?

Respuesta Gerente: Si, la seguridad que viene implícita en cada una de las herramientas.

101

30. ¿Qué medidas de protección de la información se manejan en la organización (certificados digitales, firma, ofuscación de documentos)?

Respuesta Gerente: En este momento, no contamos con ninguna medida.

102

ANEXO I – MANUAL DE USUARIO

Este manual guiará al usuario en el uso de la herramienta de Magerit UD de una

forma muy visual e interactiva, además se describe cual es la utilidad de la

herramienta y a quien se encuentra dirigido.

¿Qué es Magerit UD? Magerit UD es una API REST, en otras palabras, es una biblioteca que se apoya en el estándar HTTP para proveer una serie de funciones enfocadas en la aplicación de la metodología MAGERIT v3 para el análisis y la gestión de riesgos, de esta manera un tercero puede hacer uso de los métodos o funciones expuestos, en sus productos o herramientas propias. Las API REST son bastante utilizadas, por ejemplo TWITTER y FACEBOOK, ofrecen Apis que permiten integrar sus servicios con facilidad en plataformas como revistas, foros, blogs, entre otros. ¿Quéno es Magerit UD? Magerit UD, no cuenta con una interfaz de usuario para la aplicación de análisis y gestión de riesgos, por el contrario, ofrece la lógica propia del sistema, lo que equivale a presentar un modelo que permite desarrollar el análisis y la gestión de los riesgos. Por lo tanto, en caso de necesitar implementar una interfaz gráfica, la herramienta se encuentra abierta para que cualquier empresa que cuente con el talento humano con conocimientos en herramientas de programación web, haga uso de la misma... Estructura del API REST Magerit UD, se encuentra dividido en cinco recursos principalmente que son:

Activos

Amenazas

Gestión

Empresa

Proyectos

Cada uno de los recursos expone funciones propias del ciclo de vida del análisis y gestión de riesgos. El API se basa en las convenciones de uso de los verbos GET, POST, PUT y DELETE, es decir, cuando se quiere solicitar un recurso al API se debe hacer un llamado HTTP con el verbo GET, si se quiere crear un nuevo recurso se debe realizar el llamado con el verbo POST, si se quiere modificar un recurso existente se debe realizar el llamado con el verbo PUT, por último si se quiere eliminar un recurso se debe realizar el llamado con el verbo DELETE.

103

Recurso Activos Este recurso permite adelantar toda la fase de parametrización del sistema, permite hacer carga, modificación, eliminación y consulta de entidades de negocio, como son tipos de activos, activos, dimensiones de valoración, escalas de valoración, criterios de valoración entre otros. Cada acción sobre el recurso de Activo tiene la estructura “<dominio o ip del servidor>/activo/...” Recurso Amenazas Este recurso permite adelantar toda la fase de parametrización del sistema, permite hacer carga, modificación, eliminación y consulta de entidades de negocio, como son tipos de amenazas, amenazas, escalas de valoración, escalas de degradación, entre otros. Cada acción sobre el recurso de Amenazas tiene la estructura “<dominio o ip del servidor>/amenaza/...”. Recurso Gestión Este recurso permite adelantar toda la fase de parametrización del sistema, permite hacer carga, modificación, eliminación y consulta de entidades de negocio, como son tipos de salvaguardas y criterios de salvaguardas. Cada acción sobre el recurso de Gestión tiene la estructura “<dominio o ip del servidor>/gestion/...”. Recurso Empresa Este recurso permite crear, modificación y consultar en entidad empresa. Cada acción sobre el recurso de Empresa tiene la estructura “<dominio o ip del servidor>/empresa/...” Recurso Proyecto Este recurso permite adelantar todo un ciclo de análisis y gestión de riesgos, permite hacer carga, modificación, eliminación y consulta de entidades de negocio relacionadas con un proyecto. Un proyecto es la entidad de negocio que referencia todos los elementos relacionados con el análisis y la gestión de los riesgo, como son dominios, identificación de activos, valoración de activos, amenazas, valoración de amenazas, riesgo e impacto, y las salvaguardas, el recurso Proyecto tiene la estructura “<dominio o ip del servidor>/proyecto/...”, y todos los elementos de un proyecto manejan la estructura “<dominio o ip del servidor>/proyecto/<código del proyecto>/<elemento>...”. Todos los métodos o funciones asociados al proyecto requieren la cabecera “X-ApiKey” cuyo valor es un UUID que se genera durante la creación de la empresa, cuando la creación es exitosa retorna dicho valor.

104

Como usar la documentación del API? La documentación completa de cada uno de los recursos y/o funciones expuestas por el API se puede encontrar en la URL “<ruta servidor>/v1.0/api/swagger-ui.html”, donde <ruta servidor> es la IP o dominio asignado a la tarjeta de red del servidor, por ejemplo si es una instancia local podría ser “localhost:8080/v1.0/api/swagger-ui.html“

Figura 38. Documentación API (Acceso Web)

Fuente: Ejecutores del proyecto

La pantalla principal de la documentación permite visualizar los cinco recursos principales, para ver el listado de operaciones y sub-recursos contenidas por cada recurso, puede hacer clic sobre el nombre del recurso o utilizar las acciones “Show/Hide” o “List Operations” al costado derecho de recurso. Frente a cada operación se encuentra una breve descripción de la razón de ser de la misma.

http://localhost:8080/v1.0/api/swagger-ui.html

105

Figura 39. Lista de operaciones


En la lista de operaciones puede hacer clic sobre el nombre de la operación, esto hará que el detalle de la operación sea desplegado, el detalle de una operación está conformado por los siguientes elementos.

1. Notas de implementación: Es una descripción completa de la función prestada por la operación.

2. Respuesta: Texto que especifica la forma como la operación responde. 3. Valor de ejemplo: Muestra un ejemplo de la respuesta de la operación

presentada como un javascript object notation. 4. Parámetros: La lista de parámetros requerida para la petición, la interfaz

gráfica de la documentación además de ofrecer información sobre el API, contiene formularios HTML básicos que permiten realizar peticiones de prueba del API

5. Mensajes de respuesta: Son los posibles mensajes de respuesta obtenidos de la operación cuando el estado de la respuesta es diferente a 200.

6. Botón “Try it out!”: Permite enviar la petición parametrizada en la lista de parámetros.

106

Figura 40. Detalle de operación.


Ejecutando la aplicación La aplicación Magerit UD fue construida con lenguaje de programación Java 1.8, debido a que es un lenguaje multiplataforma, y la cantidad de facilidades que ofrece para la construcción de plataformas en ambientes empresariales.

Por lo anterior antes de ejecutar el inicio de la plataforma debe cerciorarse que cuente con la máquina virtual de Java versión 8, abra una consola de comandos y ejecute el comando.

java –version

107

Este comando puede indicar que java no fue reconocido o mostrar una versión inferior de la máquina virtual por lo que deberá instalar o actualizar a la versión 8 o superior. http://www.oracle.com/technetwork/pt/java/javase/downloads/jdk8-downloads-

2133151.html.

Figura 41. Verificación de la máquina virtual


Luego de verificar la máquina virtual ya es posible iniciar la ejecución de la aplicación, por lo que en la misma consola de comandos, ubique el directorio en el que se encuentra la aplicación “magerit.ud-v1.0.jar” y ejecute el siguiente comando: java -jar magerit.ud-v1.0.jar

La consola comenzará a mostrar un log de arranque de la plataforma, cuando termine de inicializar la plataforma podrá ver un log similar al de la imagen 5.

Figura 42. Log de inicio de aplicación

Fuente: Ejecutores de proyecto

http://www.oracle.com/technetwork/pt/java/javase/downloads/jdk8-downloads-2133151.html

http://www.oracle.com/technetwork/pt/java/javase/downloads/jdk8-downloads-2133151.html

108

Importante: Note que en el log se indica que el servidor está escuchando por el puerto 8080, además al ser una ejecución local el dominio es localhost o la IP es 127.0.0.1.

Una vez inicie la aplicación abra su navegador web e ingrese la siguiente URL

“localhost:8080/v1.0/api/swagger-ui.html“., e iniciar a navegar por la documentación de API.

Ejemplo de implementación A continuación se describe una breve implementación de una plataforma que utiliza el API Magerit UD, para permitir realizar un análisis y gestión de riesgos cualitativos a través de una interfaz gráfica de usuario que simula el resumen ejecutivo, luego que el usuario termina de gestionar el formulario puede imprimir dicho informe. Para ingresar a la plataforma de demostración debe utilizar la URL “localhost:8080/v1.0/api/ui“.

Figura 43. Registro de empresa y/o proyecto


Una vez en la plataforma, puede crear una nueva empresa, al crear una empresa el sistema retorna el UUID que utilizará para gestionar de los proyectos. Una vez conoce el UUID de la empresa puede iniciar o continuar con la gestión de un los proyectos de análisis y gestión, debe ingresar el UUID de la empresa y el identificador del proyecto.

http://localhost:8080/v1.0/api/swagger-ui.html

http://localhost:8080/v1.0/api/ui

109

Figura 44. Creación y/o edición de proyecto


Una vez en la pantalla de edición del proyecto podrá editar el código y nombre del proyecto, además en la parte superior derecha de la pantalla se encuentra el botón de cambio de vista de impresión y de edición.

Figura 45. Edición del proyecto 1.

Fuente: Ejecutores de proyecto.

110

También podrá editar los objetivos y las consideraciones del proyecto.

Figura 46. Edición del proyecto 2.


En la sección de “2.1.1 identificación y valoración de amenazas“, podrá agregar dominios y activos al proyecto. Un dominio es la representación de las áreas de la empresa (RRHH, Gerencia, ...), proceso y/o subprocesos, cuando se aplica el modelo de análisis y gestión de riesgos, se identifican y valoran activos para cada dominio. Al identificar los activos de un dominio, implícitamente se construye el catálogo del proyecto.

Figura 47. Edición del proyecto 3


111

.

Figura 48. Edición del proyecto 4

Fuente: Ejecutores proyecto

112

ANEXO J – MANUAL DEL SISTEMA El presente manual contiene las instrucciones a las que deben atenerse los usuarios de cada una de las organizaciones para poder hacer uso del api de Magerit UD, es importante seguir cada uno de los pasos aquí establecidos, para el correcto uso de la herramienta.

Instalación de MAGERIT UD

MAGERIT UD es un API Web que contiene la aplicación de la metodología de análisis de riesgos Magerit en su versión 3. Como su nombre lo indica, un API Web es una interfaz de programación que contiene para el caso del presente proyecto todas las funcionalidades de la metodología Magerit, pero a bajo nivel, es decir, a nivel exponer por medio de servicios Web la parte lógica de la metodología, para que pueda ser utilizada por cualquier empresa u organización que lo requiera y cuente con el talento humano (con cierto nivel técnico) que implemente por medio de una interfaz gráfica el API desarrollado.

Requisitos de Instalación

Magerit UD requiere de unas herramientas específicas que deben ser instaladas previamente y son necesarias para su correcto funcionamiento. Estas herramientas son las que se nombran a continuación.

Java JDK 8 (recomendable: ultimo RELEASE) PostgreSQL 9.1.3 MageritUD.bat

A continuación un breve instructivo de instalación para sistema operativo Windows en su distribución 7, para cada una de las herramientas del sistema.

113

Instalación PostgreSQL 9.3

Abrir un navegador web y acceder a la URL: http://www.postgresql.org/download/windows

Figura 49. Página de descarga PostgreSQL

Fuente: http://www.postgresql.org/download/windows

Direccionará a otra página donde es posible descargar la versión correcta que se ajuste tanto a las necesidades como para el tipo de sistema operativo instalado.

Figura 50. Versión de sistema operativo para descarga

Fuente: http://www.postgresql.org/download/windows

Para el caso de este instructivo es 9.3 para Windows de 64 bits. Una vez descargado el archivo de instalación ejecutar y si se encuentra activo el control de

http://www.postgresql.org/download/windows



114

cuentas de usuario mostrará una advertencia con el texto "¿Desea permitir que este programa realice cambios en el equipo?", pulsar "Sí" para continuar con la instalación de PostgreSQL:

Figura 51. Instalación PostgreSQL 1


Se iniciará el asistente para instalar PostgreSQL, pulsar "Siguiente":



Indicar la carpeta de instalación de PostgreSQL, donde se guardarán los ejecutables, librerías y ficheros de configuración de PostgreSQL:

115



Indicar también la carpeta donde se guardarán los datos por defecto de PostgreSQL:



Introducir la contraseña para el superusuario "postgres" que será con el que se iniciara sesión para administrar la base de datos, si existe clave de cuenta en Windows introducir la nueva clave.

116



Introducir el puerto de escucha para la conexión con el servidor PostgreSQL, por defecto el 5432:



Seleccionar la configuración regional:

117



Pulsar "Siguiente" para iniciar la instalación definitiva.



Se iniciará el asistente para instalar el motor de base de datos PostgreSQL, que creará las carpetas oportunas, copiará los ficheros necesarios y creará el servicio Windows para iniciar de forma automática el motor de base de datos.

Una vez finalizada la instalación el asistente brindara la posibilidad de ejecutar Stack Builder, aplicación que permitirá instalar otros componentes y herramientas para PostgreSQL:

118



Si ha sido marcada la opción de Stack Builder, se iniciará, seleccionar "PostgreSQL 9.1.3 on port 5432". Pulsar "Finish" (en este caso cancelar Stack Builder pues no se requiere instalar más componentes).

Restore Database MAGERIT UD

Una vez realizada la instalación de PostgreSQL, se debe vincular la base de datos por medio del archivo mageritUD.sql. Y este proceso será descrito a continuación.

En primer lugar se debe crear una base de datos, la cual se denominará magerit.

Figura 60. Creación base de datos


119

Una vez creada la base de datos, se procede a realizar un restore (restauración) de la base de datos desarrollada para el proyecto. El archivo es MageritUD.backup

Figura 61. Restore base de datos


Figura 62. Ubicación archivo restore base de datos


120

Instalación Java JDK 8

Ingresar a la página de java e ir directamente a la descarga y ubicar la versión de JDK 8. http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

Seleccionar la versión de jdk 8 para Windows.

Figura 63. Pagina descarga JDK 8

Fuente: http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

Siguiente

Figura 64. Instalación JDK 8, paso 1


http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html



121

Escoger la carpeta donde se realizará la instalación y siguiente.



Podrá evidenciarse el estado de la instalación y por ultimo click en finalizar.



122

Ejecución de Magerit UD

Para la ejecución de Magerit UD, hay que dirigirse a la carpeta donde se encuentra el instalador.



Componentes del sistema.

Magerit UD busca integrar cada uno de los componentes más relevantes de la metodología Magerit de forma que puedan ser trabajados por distintas organizaciones y por distintos proyectos. Esto equivale a tener un análisis de riesgos en donde cada área dependencia u oficina (denominada dominio) pueda tener una análisis de sus activos y para los gerentes de proyecto u encargados de realizar el análisis, poder llevar distintos proyectos para la misma organización. Por ejemplo, es posible que una organización tenga distintos servicios y distintos core de negocio, por ejemplo Kawasaki posee líneas de negocio para distintos tipos de vehículos (aviones, barcos, motocicletas) y además trabaja en el sector metalúrgico y tecnológico, por lo tanto, si se llevara a cabo un análisis de riesgos en el sector TI de cada una de sus líneas de producción, podría llevar a cabo una aplicación de la metodología en varios de sus proyectos, llevando el análisis y gestión de riesgos por separado.

123

Los componentes principales de Magerit UD son los siguientes

Figura 68. . Diagrama de componentes


Web Services: Se exponen servicios web de tipo rest para que puedan ser consumidos por el front end (interfaz gráfica) que implemente el usuario.

Empresa: Es la información propia de la organización que realice la implementación de Magerit UD. Cuando se realiza la creación de la empresa, el sistema generará un código único (Api Key) para la empresa creada.

124

Figura 69. . Creación de empresa, MageritUD


Proyecto: Información propia del proyecto a crear, como se nombró anteriormente una organización puede manejar varios proyectos en simultáneo.

Figura 70. Creación de proyecto, MageritUD


125

Dominio: Son las dependencias, áreas, oficinas, sedes de la organización.

Figura 71. Creación de dominio, MageritUD


Activos: Son los recursos informáticos (hardware y software) de la empresa u organización. En el sistema serán ingresados por cada organización y por cada proyecto.

Figura 72. Creación de activos, MageritUD


126

Amenazas: Por cada proyecto y con el código de cada organización, podrá ser asociada una amenaza. Estas amenazas están directamente relacionadas a un activo sobre el cual se evaluará la posibilidad de que se materialice esta amenaza.

Figura 73. Creación de amenazas, MageritUD


Impacto potencial: Este componente es la medida de daño a raíz de la materialización de una amenaza, esta materialización se da sobre el activo. El cálculo de este valor se toma a partir del valor de la degradación en cada una de las dimensiones y el valor del activo.

127

Figura 74. Creación de impacto potencial, MageritUD


Salvaguardas: Este componente define las contramedidas para que las amenazas no se materialicen, de manera tal que el riesgo sea minimizado. Cuando las salvaguardas no son contempladas, se debe estimar el riesgo y el impacto, que sencillamente son mecanismos que reducen el riesgo. Es importante tener en cuenta lo anterior para ver la importancia de las salvaguardas dentro del proceso de análisis de riesgo.

Figura 75. Creación de salvaguardas, MageritUD


128

Catálogo de activos: Este componente permite tanto cargar los activos sugeridos por magerit en los libros de la metodología, como también asociar nuevos en caso de ser necesario.

Figura 76. Catálogo de activos, MageritUD


Catálogo de amenazas: Este componente permite tanto cargar las amenazas sugeridas por magerit en los libros de la metodología, como también asociar nuevos en caso de ser necesario.

Figura 77. Catálogo de amenazas, MageritUD


129

Catálogo de salvaguardas: Este componente permite tanto cargar las salvaguardas sugeridas por magerit en los libros de la metodología, como también asociar nuevos en caso de ser necesario.

Figura 78. Catálogo de salvaguardas, MageritUD


3. Estructura de Magerit UD

Magerit UD fue construido en base a la siguiente estructura:

Figura 79. Estructura MageritUD


130

Magerit.ud-container: Hace referencia a la configuración de SpringBoot. En este archivo de tipo yml, se encuentra configurado tanto la base de datos, como el despliegue de la aplicación. Es el contenedor desde el cual se inicia la aplicación. Esta configuración de inicio se realiza por medio de SpringBoot.

Figura 80. Magerit.ud-container


magerit.ud-controller: Este módulo permite realizar la configuración de Spring a nivel de controlador.

Figura 81. Magerit.ud-controller


131

magerit.ud-definitions: Se encuentra la configuración de Swagger que es el estándar para la documentación de servicios web de tipo rest.

Figura 82. Magerit.ud-definitions


magerit.ud-api: Es importante aclarar que este módulo contiene código que es autogenerado una vez que se realiza la compilación del código por medio de maven. El código autogenerado es toda la información correspondiente a los servicios Web de tipo rest definidos en la configuración realizada en el módulo de magerit.ud-definitions.

Figura 83. Magerit.ud-api


132

magerit.ud-domain: Módulo donde se encuentra el dominio del sistema. Con dominio del sistema hablamos de la persistencia de los datos en el motor de bases de datos.

Figura 84. Magerit.ud-domain


ANALISIS Y GESTION DE RIESGOS EN EL MARCO...

Documents

Transcript of ANALISIS Y GESTION DE RIESGOS EN EL MARCO...